ransomware Archivos - Consultora en Ciberseguridad y TI

10 junio, 202610 junio, 2026

Ataques a aplicaciones web y APIs: la amenaza que ya opera en el corazón de tu negocio

Durante años, la conversación sobre ciberseguridad giró alrededor de la red. Firewalls, perímetros, tráfico entrante y saliente. Esa visión no está equivocada, pero está incompleta.

Los datos más recientes del panorama global de amenazas revelan algo que los equipos de seguridad ya están sintiendo en su operación diaria: los ataques a aplicaciones web y APIs se han convertido en el principal frente de actividad del cibercrimen moderno, no como una proyección futura, sino como una realidad que lleva varios trimestres acelerando y que en 2026 sigue ganando terreno.

Entender qué está pasando en esta capa, por qué los enfoques tradicionales no son suficientes y qué implica para la operación de cualquier organización en LATAM es hoy, una conversación obligada para cualquier líder de TI o seguridad.

Ataques a aplicaciones web y APIs: los números que explican la tendencia

El volumen de transacciones maliciosas dirigidas a aplicaciones web y APIs creció 128% en 2025 comparado con el año anterior. Pero lo más revelador no es el número total sino el ritmo al que se aceleró durante el año.

La actividad registrada en los primeros seis meses de 2025 ya equivalía al 87% de todo lo registrado durante 2024. Y el segundo semestre creció otro 63% sobre el primero. En el cuarto trimestre de 2025 se mitigaron más de tres veces los ataques del mismo período del año anterior.

Ese patrón de aceleración sostenida es la señal más importante. No estamos ante un pico puntual, estamos ante una tendencia estructural que sigue activa y que las organizaciones que no han ajustado su postura de seguridad ya están enfrentando en tiempo real.

Por qué los ataques a aplicaciones web y APIs son diferentes

Los ataques volumétricos como los DDoS buscan saturar la infraestructura con tráfico masivo, son visibles, ruidosos y relativamente predecibles en su forma de operar.

Los ataques a aplicaciones web y APIs funcionan de forma distinta. Apuntan a la lógica del negocio, a los procesos que las aplicaciones ejecutan, a los datos que las APIs exponen y a los flujos de autenticación que protegen las cuentas de usuarios.

En 2025, la explotación de vulnerabilidades se consolidó como la categoría dominante de ataque en esta capa, representando el 41.8% de toda la actividad maliciosa. Esto indica que los atacantes están dejando atrás los vectores más predecibles como el SQL injection, cuya participación cayó a la mitad, para enfocarse en fallas más complejas y evasivas que los sistemas tradicionales de detección tienen más dificultad para identificar.

El declive del SQL injection no es una buena noticia, es una señal de que los adversarios están migrando hacia métodos más sofisticados que atacan la lógica de negocio y las APIs no gestionadas, como puntos de entrada prioritarios.

Los bots maliciosos: el motor silencioso detrás de los ataques a aplicaciones web y APIs

Detrás de gran parte de esta actividad hay un componente que muchas organizaciones subestiman: los bots maliciosos. En 2025 las transacciones de bots maliciosos crecieron 91.8%, casi duplicando el volumen del año anterior.

Esto no son scripts simples que lanzan solicitudes repetitivas; son redes coordinadas de bots que ejecutan reconocimiento, prueban credenciales, manipulan inventarios, realizan scraping de datos sensibles y preparan el terreno para ataques más complejos, como la toma de control de cuentas.

La región de América Latina no es ajena a esta tendencia. La participación de la región en el tráfico global de bots maliciosos creció de 13.4% a 15.2% en 2025. Un incremento que refleja que los actores de amenaza están ampliando su alcance geográfico y que las organizaciones en LATAM están cada vez más en el radar.

Lo que esto implica para las organizaciones en 2026

La buena noticia es que esta tendencia no es invisible ni imposible de gestionar. Los datos disponibles permiten entender exactamente dónde se están concentrando los riesgos y qué tipo de controles hacen diferencia real.

Las organizaciones que están respondiendo mejor a este panorama comparten algunas características: tienen visibilidad sobre el tráfico que llega a sus aplicaciones y APIs, no solo sobre el tráfico de red. Pueden distinguir entre tráfico legítimo y automatizado malicioso usando análisis de comportamiento, no solo firmas estáticas, y tienen procesos de remediación que no dependen únicamente de esperar a que se publique un parche, sino que pueden actuar sobre la exposición mientras la solución definitiva se prepara.

Los ataques a aplicaciones web y APIs seguirán siendo un frente activo en 2026. La diferencia entre las organizaciones que lo navegan con control y las que reaccionan cuando ya ocurrió el incidente, está en la visibilidad y en la capacidad de operar el riesgo de forma continua, no episódica.

La capa de aplicación es donde vive la lógica del negocio y es exactamente ahí donde las defensas modernas tienen que estar.

Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram, Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

7 enero, 20267 enero, 2026

Prisma browser lidera el frost radar y redefine el “workspace” seguro

Escucha este artículo aquí:

Por qué importa este reconocimiento

Palo Alto Networks anunció que Prisma Browser fue posicionado como mejor ubicado en innovación y líder en crecimiento dentro del Frost Radar™: Zero Trust Browser Security (ZTBS) 2025. La distinción llega en un contexto claro: 85% del trabajo sucede en el navegador y 95% de las organizaciones reportan incidentes originados ahí, especialmente con el auge de GenAI y apps SaaS.

El navegador ya no es “solo el navegador”: es tu nuevo perímetro

El navegador se volvió el “sistema operativo” del trabajo moderno. Eso lo pone en la primera línea de ataque: phishing evasivo asistido por IA, extensiones maliciosas, tráfico cifrado que oculta amenazas y dispositivos no gestionados que abren puntos ciegos. Prisma Browser ataca ese problema en el último tramo (last mile), dentro del propio navegador, con motores de seguridad de Palo Alto como Advanced WildFire (análisis de malware de día cero) y Advanced URL Filtering, operando justo en el momento de la interacción.

Qué valida frost & sullivan

El informe resalta capacidades diferenciadoras: prevención de fugas de datos a nivel de navegador, detección/prevención de ataques web con visibilidad de ejecución en página, bloqueo de extensiones maliciosas por comportamiento, DLP con IA, anti-exploit en navegador y una biblioteca amplia de apps/agents de IA. En conjunto, esto permite asegurar el uso de GenAI y SaaS, incluso en dispositivos no gestionados, con controles granulares como restricciones de portapapeles, bloqueo de capturas, y redacción en tiempo real.

“Pelear IA con IA”: precisión y escala

El motor Precision AI combina ML, deep learning y generativa para analizar contenido ya renderizado (no solo firmas estáticas). Así detecta phishing evasivo con “cloaking” generado por IA y ataques de reensamblado que suelen pasar bajo el radar de controles heredados. Alimentado por telemetría de más de 70 mil clientes, Prisma Browser afirma bloquear hasta 8.95 millones de ataques nuevos y únicos por día.

Gobernanza de acceso y datos sin romper la experiencia

Un valor práctico es dar visibilidad al uso de GenAI y SaaS (incluidas apps fuera de SSO), entender su riesgo y aplicar gobierno de acceso, todo sin VDI y sin romper la experiencia del usuario. Además, al integrarse con Prisma SASE, se orquestan Políticas unificadas en el borde y el navegador, simplificando operaciones para TI y seguridad.

Despliegue sin fricción y portabilidad total

Para CISOs y equipos de TI, la portabilidad 100% de licencias facilita llevar Prisma Browser como navegador completo, extensión, soluciones móviles o conectores en un modelo flexible. Así, la organización puede añadir una capa de seguridad empresarial directamente sobre el navegador que la gente ya usa, acelerando la adopción sin fricciones.

Lo que significa para las organizaciones en México

Menos puntos ciegos en el “último tramo”: controles y DLP directamente en el navegador, donde realmente ocurre el trabajo.
Uso seguro de GenAI: visibilidad y gobierno del acceso a copilotos y agentes, incluso en BYOD.
Menos complejidad operativa: políticas unificadas vía Prisma SASE y administración centralizada.
Preparación frente a amenazas modernas: defensa contra phishing y exploits de día cero que sortean herramientas legadas.

El liderazgo de Prisma Browser en el Frost Radar 2025 confirma algo que ya vemos en campo: el navegador es el nuevo perímetro, y asegurar ese “workspace” con controles de última milla cambia el juego. Para quienes quieren avanzar con GenAI y SaaS sin añadir fricción ni complejidad, este enfoque plataformizado reduce riesgos y acelera adopción.

#NovaInforma

3 diciembre, 20253 diciembre, 2025

Resiliencia DDoS en banca: cómo un ataque de 1.2 Tbps no tumbó nada

Escucha este artículo aquí:

Un escenario extremo que deja claro qué significa estar realmente protegido

A finales de noviembre de 2025, Radware contó cómo un banco global enfrentó uno de los ataques DDoS más grandes que se han reportado y, aun así, no sufrió interrupciones. El caso no es un ejemplo lejano o teórico; muestra lo que sucede cuando una organización prepara su defensa pensando en lo peor, no en lo probable. Para empresas que no pueden darse el lujo de detener sus operaciones ni un minuto, entender esta historia es imprescindible.

Cómo se desarrolló el ataque

El ataque no apareció de la nada. Tres días antes de su pico, el tráfico hacia la infraestructura del banco aumentó de forma dramática, señal de que algo se venía. Cuando la ofensiva se desató por completo, el volumen llegó a 1.2 terabits por segundo, con un promedio cercano a 1 Tbps sostenido durante días. Eso fácilmente desbordaría la mayoría de las defensas tradicionales.

No se trató de un solo tipo de ataque. Se combinó tráfico volumétrico para saturar ancho de banda con peticiones a nivel de aplicación destinadas a agotar recursos del servidor. Además, se usaron botnets distribuidas en miles de equipos comprometidos, lo que hacía que el tráfico pareciera legítimo y más difícil de filtrar.

Y cuando parecía que había terminado, el banco fue golpeado repetidamente durante varios días, con picos de escala similar.

En teoría, este panorama es el sueño de cualquier atacante y la pesadilla de cualquier operación que dependa de la disponibilidad continua.

Qué hizo la diferencia: protección híbrida bien diseñada

El banco no se quedó a la defensiva con un solo recurso. Su estrategia combinó dos capas que se activaron en conjunto, sin fricciones.

Respuesta instantánea en sitio

Dispositivos locales filtraron el tráfico malicioso desde el primer momento, evitando una overload inmediata y dando visibilidad en tiempo real. Esa capa en sitio es la primera línea que reduce el ruido y controla lo que llega a la red interna.

Escalabilidad masiva en la nube

Cuando el ataque escaló y el volumen superó lo que cualquier capa local podría absorber, el tráfico se desvió de manera automática y transparente hacia un servicio de mitigación DDoS en la nube, siempre activo. Esta capa de depuración en la nube puede absorber volúmenes enormes sin que el tráfico legítimo se vea interrumpido, incluso en picos de 1.2 Tbps.

El paso entre la defensa local y la nube no generó retrasos, un punto crítico en situaciones extremas. Esa transición rápida es lo que evita que una organización pierda tiempo valioso mientras decide cómo reaccionar.

Por qué este modelo es el que hoy debe considerarse estándar

Las soluciones exclusivamente locales no escalan a niveles como el que se observó en este ataque. Ante un volumen así, una infraestructura solo en sitio se queda corta y, aun si se cuenta con muy buen hardware, es casi imposible absorber sin afectar operaciones. El enfoque híbrido combina respuesta inmediata con capacidad prácticamente ilimitada en la nube, lo que ofrece resiliencia real.

Este caso demuestra que la resiliencia no es cuestión de suerte o de esperar que el ataque más grande nunca llegue. Se trata de planear para lo peor, construir sistemas que se adapten bajo presión, y validar que esa adaptación realmente funciona cuando se pone a prueba.

¿Qué aprendizaje se lleva una organización que depende de disponibilidad total?

Los ataques DDoS ya no son solo un peligro teórico o eventualidad aislada: un volumen de 1 Tbps o más ya ocurre en el mundo real.
Cualquier empresa con servicios que no pueden detenerse debe replantear su estrategia de protección, porque confiar en defensas limitadas es arriesgarse a downtime, pérdida de confianza y daños financieros.
Una buena protección DDoS es la base de la continuidad del servicio y del valor que una organización entrega a sus clientes, especialmente cuando el mercado y los usuarios no perdonan la falta de disponibilidad.

Cómo conectar este caso con la visión de Nova y Radware

En Nova apostamos porque la ciberseguridad sea un habilitador de negocios, no un centro de costos. Este ejemplo deja claro que la inversión en una estrategia de defensa híbrida, con capacidad de escalar en nube y control en sitio, va más allá de la tecnología: es asegurar la continuidad, la reputación y la confianza. Para empresas financieras, de servicios, logística, retail u otros sectores donde un minuto de inactividad es crítico, este modelo es el camino para operar sin miedo a interrupciones masivas.}

#NovaInforma

5 noviembre, 20255 noviembre, 2025

Seguridad preparada para lo que sigue: la plataforma de Palo Alto Networks que unifica IA, navegador y criptografía cuántica

Escucha este artículo aquí:

Del rompecabezas de herramientas a una sola plataforma inteligente

Durante años, sumar controles significaba sumar proyectos y complejidad. Ese mosaico de “puntuales” dejó huecos, procesos lentos y fricción para adoptar lo nuevo. Palo Alto Networks plantea otro camino: consolidar defensas en una sola plataforma con IA, la Strata Network Security Platform. El objetivo es simple y potente: operar con menos fricción, adaptarse continuamente y responder con agilidad a lo que viene—desde casos de uso con IA hasta riesgos emergentes como la criptografía poscuántica.

El navegador ahora es tu puesto de trabajo (y debe comportarse como tal)

Hoy la mayor parte del trabajo ocurre en el navegador: copilotos de IA, SaaS, flujos críticos de negocio. El problema es que los navegadores de consumo no nacieron para seguridad empresarial. Prisma Browser cambia esa ecuación: protege el puesto de trabajo en la web—en dispositivos gestionados o no—sin obligarte a túneles raros ni a sacrificar experiencia.
Detiene ataques que ejecutan en el navegador y exploits de día cero antes de que se materialicen; da visibilidad y gobierno sobre el uso de GenAI y SaaS; y lleva clasificación y controles de datos asistidos por LLM hasta “el último tramo”, donde los datos están en uso. La idea no es reemplazar tu SASE, sino complementarlo para asegurar cualquier lugar de trabajo, en cualquier dispositivo y con todo el tráfico web, sin lastimar el rendimiento.

Prisma AIRS 2.0: claridad y control sobre todo tu ecosistema de IA

La adopción de agentes y aplicaciones de IA no se va a frenar. Con ella llegan vectores como prompt injection, abuso de herramientas y fallas en modelos. Prisma AIRS 2.0 cubre el ciclo completo: descubre componentes de IA en nubes múltiples e híbridas, evalúa riesgos con Model Security, Red Teaming y Posture Management, y protege en tiempo de ejecución tanto apps y modelos como agentes, bloqueando inyecciones, mal uso de herramientas y comportamientos maliciosos en el momento en que ocurren.
Para un CISO, esto se traduce en algo concreto: visibilidad transversal y defensa en vivo para que la innovación con IA avance con control, evidencia y trazabilidad.

Preparación cuántica sin detener el negocio

La ventana de “romper hoy, descifrar mañana” ya está en la agenda regulatoria. Migrar criptografía en apps, infraestructura y dispositivos toma años si no se planifica. Palo Alto Networks propone empezar por inventariar tu criptografía con Quantum Readiness, desplegar NGFW listos para PQC con PAN-OS reciente y acelerar la transición de aplicaciones internas e IoT/OT con Cipher Translation, evitando paros. Es un enfoque práctico: visibilidad primero, capacidades listas en el perímetro y una migración que no rompa la operación.

Una sola consola para gobernarlo todo

Todo lo anterior vive en la Strata Network Security Platform y se orquesta desde Strata Cloud Manager, gestión unificada impulsada por IA. Una vista para NGFW y SASE, políticas consistentes de extremo a extremo y operaciones simplificadas. Menos pantallas, menos ambigüedad, más eficacia medible.

Cómo lo aterrizamos en Nova (en clave CROC)

En nuestra visión CROC (Cyber Risk Operations Center), la seguridad es un proceso continuo de riesgo, no una colección de juguetes. Lo que nos gusta de esta propuesta es que acerca controles a donde ocurren las cosas: el navegador donde viven los datos en uso, el plano de IA donde se decide y actúa, y la capa criptográfica que garantiza confidencialidad a futuro. Con plataforma unificada y telemetría consistente, es más fácil priorizar por riesgo, automatizar respuesta y demostrar cumplimiento sin frenar la innovación.

#NovaInforma

19 junio, 202519 junio, 2025

Una nueva era en ciberseguridad: eficiencia y control desde una sola plataforma

Escucha este artículo aquí:

El cambio nunca es sencillo. En ciberseguridad, donde la estabilidad y la confianza lo son todo, modificar los hábitos puede parecer un riesgo. Pero cuando la meta es dar un salto en eficiencia, visibilidad y control, hay transformaciones que simplemente no pueden postergarse más.

En este contexto, Radware ha apostado por una evolución significativa: la creación de una plataforma unificada de seguridad. Una propuesta pensada no solo para integrar tecnología, sino para transformar la experiencia de los equipos de ciberseguridad.

Más servicios, una sola experiencia

El crecimiento de las soluciones en la nube ha traído beneficios enormes para la protección de aplicaciones, APIs, redes y servicios. Pero también ha generado un ecosistema fragmentado, donde cada herramienta tiene su propia consola, lógica y curva de aprendizaje.

Radware decidió romper con ese modelo. En lugar de obligar a los usuarios a navegar entre portales distintos, construyó una plataforma capaz de centralizar todas sus soluciones. Con ello, buscó reducir la carga operativa, mejorar la respuesta ante incidentes y facilitar una visión integral del riesgo.

Tres principios que cambiaron el juego

Empatía como punto de partida: Antes de diseñar la nueva experiencia, Radware escuchó activamente a sus usuarios: desde analistas SOC hasta proveedores MSSP. Lo que descubrieron les permitió priorizar funcionalidades reales, no supuestas.
Transición gradual: La nueva plataforma no llegó como una imposición, sino como una invitación progresiva. Los clientes pudieron adoptarla a su ritmo, compararla con sus portales actuales y dar feedback durante el proceso.
Transparencia y colaboración interna: Cada equipo dentro de Radware participó activamente en el cambio, asegurando coherencia en la experiencia y alineación en cada funcionalidad.

Diseñada para escalar

Lo que hace que esta plataforma destaque no es solo su interfaz moderna, sino la capacidad de adaptarse a cualquier entorno empresarial:

Vista unificada de incidentes de WAF, eventos DDoS y bots.
Configuraciones por plantilla y vistas multitenant para MSSP.
Controles de acceso detallados y registros de auditoría para cumplimiento.
Alta disponibilidad y baja latencia con despliegues globales.

Todo esto permite a los equipos de seguridad operar con mayor rapidez y confianza, sin perder visibilidad ni comprometer el control.

Mucho más que tecnología

El verdadero valor está en la experiencia. Los usuarios ahora pueden enfocarse en lo que importa: reducir riesgos, prevenir ataques y responder con eficacia. El resultado es una gestión de seguridad moderna, centrada en el usuario y lista para los retos de hoy.

En Nova, nos enorgullece colaborar con marcas como Radware que están transformando el panorama de la ciberseguridad con soluciones reales, pensadas desde el campo de batalla.

#NovaInforma

20 diciembre, 202420 diciembre, 2024

Interpol y la lucha global contra el cibercrimen

Escucha este artículo Aquí:

En un mundo cada vez más interconectado, el cibercrimen se ha convertido en una amenaza global que requiere una colaboración internacional efectiva. La Organización Internacional de Policía Criminal, conocida como Interpol, desempeña un papel crucial en este esfuerzo al coordinar acciones y estrategias entre países para combatir estas actividades delictivas.

El cibercrimen como una amenaza global

Los ciberdelincuentes no respetan fronteras. Desde ataques de ransomware hasta el robo de datos personales, las amenazas digitales afectan tanto a individuos como a grandes organizaciones en todos los rincones del mundo. El impacto económico de estos ataques es devastador; se estima que el cibercrimen costará a la economía global más de 10.5 billones de dólares anuales para 2025.

El papel de Interpol en la ciberseguridad

Interpol ha establecido una unidad especializada en ciberdelincuencia que opera desde su sede en Lyon, Francia. Esta unidad trabaja en estrecha colaboración con agencias nacionales y empresas privadas, incluyendo a socios estratégicos como Trend Micro, para:

Compartir información en tiempo real: Facilita el intercambio de datos sobre amenazas emergentes, identificando patrones y posibles ataques.
Coordinar operaciones internacionales: Desde la identificación de redes de ciberdelincuentes hasta su desarticulación, Interpol lidera esfuerzos multinacionales para capturar a los responsables.
Fortalecer capacidades locales: Proporciona capacitación y recursos a los países miembros para mejorar sus habilidades en ciberseguridad.

Casos recientes destacados

Uno de los éxitos más notables de Interpol en la lucha contra el cibercrimen fue la operación “Eagle Eye” en 2023, que resultó en la captura de una red de ransomware activa en varios continentes. Esta operación demostró cómo la cooperación internacional puede lograr resultados significativos en la lucha contra las amenazas digitales.

Retos y futuro en la lucha contra el cibercrimen

A pesar de los avances, Interpol enfrenta varios desafíos:

La evolución de las amenazas: Los ciberdelincuentes adoptan constantemente nuevas tecnologías y tácticas, lo que obliga a las agencias a mantenerse un paso adelante.
Limitaciones legales: Las diferencias en legislaciones nacionales complican la persecución de criminales que operan en múltiples jurisdicciones.
Falta de recursos: Algunos países carecen de la infraestructura y personal capacitado para combatir eficazmente el cibercrimen.

A medida que el panorama de amenazas digitales sigue creciendo, la colaboración internacional liderada por Interpol, respaldada por soluciones avanzadas como las de Trend Micro, es más crucial que nunca. La organización está trabajando en iniciativas innovadoras, como el uso de inteligencia artificial para detectar actividades maliciosas y el fortalecimiento de alianzas con el sector privado.

Para mantenerte informado y protegido, sigue las redes sociales de Nova : Instagram, Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

11 diciembre, 202417 diciembre, 2024

Ransomware: la importancia de prevenir antes que lamentar

Escucha este artículo Aquí:

El ransomware ha evolucionado hasta convertirse en una de las amenazas más persistentes y devastadoras para las empresas modernas. Este tipo de ataque no solo secuestra datos críticos, sino que pone en jaque la reputación, la continuidad del negocio y, en muchos casos, la estabilidad financiera de las organizaciones. Ante un ataque de este tipo, muchas empresas se enfrentan a una pregunta crucial: ¿pagar o no pagar?

Si bien la decisión puede parecer inevitable en el momento, la verdadera solución no está en elegir entre esas dos opciones, sino en evitar llegar a ese punto crítico mediante una estrategia de ciberseguridad sólida y proactiva. Aquí es donde CyberSOC Nova se posiciona como un aliado estratégico para proteger a las organizaciones.

El dilema: ¿pagar o arriesgarse?

La creciente sofisticación de los ataques de ransomware plantea un dilema que ninguna empresa quiere enfrentar. Por un lado, pagar el rescate puede parecer la forma más rápida de recuperar los datos y restablecer las operaciones. Por otro, hacerlo alimenta un modelo de negocio delictivo, sin garantías de recuperar toda la información.

¿Qué sucede si decides pagar?

Posible recuperación parcial: No siempre se recuperan todos los datos, y a veces los atacantes exigen pagos adicionales.
Mayor riesgo futuro: Pagar te convierte en un objetivo más atractivo para futuros ataques.
Implicaciones legales: Dependiendo de las normativas locales e internacionales, el pago podría ser considerado ilegal.

¿Qué pasa si decides no pagar?

Pérdida potencial de datos: Sin copias de seguridad efectivas, podrías perder información crítica de forma permanente.
Interrupciones prolongadas: El tiempo de inactividad puede causar daños económicos significativos.
Impacto reputacional: Los clientes podrían perder la confianza en tu organización si los datos comprometidos se filtran.

A pesar de estos escenarios, la mejor defensa no está en tomar la decisión correcta en ese momento, sino en no tener que enfrentarte a ella nunca.

Estrategias para evitar el ransomware: la prevención como piedra angular

La verdadera clave para mitigar el impacto del ransomware está en la prevención proactiva. Esto significa no solo adoptar medidas para evitar el acceso no autorizado, sino también crear un entorno donde los incidentes puedan ser detectados y neutralizados antes de causar daños.

Algunas prácticas esenciales incluyen:

Segmentación de red: Limitar el movimiento lateral de los atacantes dentro de la red.

Gestión de vulnerabilidades: Implementar parches y actualizaciones de forma regular.

Educación continua: Capacitar al personal para identificar intentos de phishing y otros métodos de infiltración.

Copias de seguridad confiables: Adoptar la regla 3-2-1-1-0 para garantizar la recuperación de datos en cualquier escenario.

Sin embargo, estas medidas solo son efectivas si se complementan con una solución avanzada como CyberSOC Nova, que permite una supervisión continua 24/7 y capacidades de respuesta que detectan anomalías en tiempo real.

Un caso práctico: cómo actuar antes de que sea demasiado tarde

Imagina una organización que identifica un comportamiento sospechoso gracias a las alertas generadas por CyberSOC Nova. Al analizar la actividad, se detecta que un atacante intentaba infiltrarse en el sistema mediante ransomware. Gracias a la visibilidad en tiempo real, los equipos de seguridad identificaron y neutralizaron la amenaza antes de que esta pudiera comprometer sistemas críticos.

Este tipo de intervenciones son posibles gracias a las capacidades avanzadas de detección y respuesta que ofrece CyberSOC Nova, que no solo identifican amenazas conocidas, sino que también analizan patrones anómalos para prevenir ataques aún desconocidos.

Navegando un panorama normativo complejo

Los marcos regulatorios en ciberseguridad son cada vez más estrictos, con iniciativas que buscan disuadir el pago de rescates y fomentar la transparencia en las prácticas de seguridad. Cumplir con estas normativas no solo evita sanciones, sino que también fortalece la reputación y la resiliencia de las empresas.

CyberSOC Nova ayuda a las organizaciones a cumplir con estos requisitos mediante la integración de herramientas que monitorizan, detectan y gestionan incidentes de manera eficiente, asegurando tanto el cumplimiento normativo como la continuidad del negocio.

Prepara tu defensa antes de necesitarla

El ransomware es una amenaza real y en constante evolución, pero las empresas no tienen por qué enfrentarla solas. Con un enfoque proactivo, herramientas avanzadas y el respaldo de CyberSOC Nova, es posible anticiparse a los ataques y minimizar su impacto. Al fortalecer tus defensas hoy, estás garantizando la seguridad y continuidad de tu organización en el futuro.

#NovaInforma

28 agosto, 202428 agosto, 2024

Cómo se frenó un ataque de ransomware “Play” gracias a una respuesta coordinada

El ransomware sigue siendo una de las amenazas más devastadoras para las organizaciones. Uno de los actores más notorios en este ámbito es el grupo de ransomware “Play”, conocido por sus ataques altamente sofisticados. A principios de este año, el equipo de Managed Detection and Response (MDR) de Trend Micro, utilizando la plataforma Trend Micro Vision One, detectó y contuvo un intento de intrusión por parte de este grupo, demostrando la importancia de una respuesta rápida y coordinada en ciberseguridad.

Descripción del incidente de Ransomware Play

La alerta inicial se produjo cuando la herramienta de comando y control SYSTEMBC fue detectada por el agente Apex One Endpoint Protection Platform (EPP). Esta herramienta de malware se alojaba en un servidor Windows y tenía como objetivo distribuir otras cargas útiles, como ransomware. Aunque la puerta trasera fue puesta en cuarentena, los atacantes aún tenían acceso al endpoint mediante credenciales legítimas. La red privada virtual (VPN) comprometida de la víctima permitió a los atacantes desplegar la herramienta de administración legítima PsExec, utilizada para ejecutar comandos en sistemas remotos.

Los atacantes también modificaron la configuración del Protocolo de Escritorio Remoto (RDP) para habilitar el acceso, y utilizaron una herramienta personalizada llamada GRIXBA para reconocimiento de red. Esta herramienta ayudó a los atacantes a identificar otros endpoints vulnerables, demostrando la capacidad del ransomware Play de realizar ataques sigilosos y evadir detecciones de seguridad.

La Técnica “Living-Off-the-Land” y las herramientas personalizadas

El grupo de ransomware Play empleó la técnica de “living-off-the-land”, utilizando herramientas legítimas como PsExec y RDP para operar sin ser detectados. Además, usaron herramientas personalizadas como GRIXBA, diseñadas para evitar las detecciones basadas en firmas tradicionales y facilitar su intrusión. Las herramientas personalizadas brindan ventajas a los atacantes, como la evasión y el sigilo, mientras que para los defensores ofrecen oportunidades de atribución y análisis de comportamiento para comprender mejor las tácticas de los atacantes.

Respuesta y mitigación del ataque

La respuesta coordinada del equipo de Trend Micro MDR fue crucial para contener la amenaza. Mediante un monitoreo continuo y análisis en tiempo real, se lograron detectar y bloquear actividades sospechosas, como el intento de volcado de memoria del proceso LSASS, utilizando el módulo de Monitoreo de Comportamiento (BM) del agente EPP de Apex One. Esta intervención oportuna impidió que los atacantes accedieran a información confidencial y evitaron una potencial exfiltración y cifrado de datos.

Estrategias de mitigación recomendadas

Para protegerse contra ataques similares del ransomware Play, las organizaciones deben implementar una serie de medidas de seguridad esenciales:

Actualización y Parchado Regular: Mantener todos los sistemas y software actualizados con los parches de seguridad más recientes para cerrar posibles vulnerabilidades.
Segmentación de la Red: Dividir la red en segmentos para limitar la propagación de ataques y contener daños potenciales en caso de intrusión.
Autenticación Multifactor (MFA): Implementar MFA para acceder a sistemas y datos sensibles, añadiendo una capa adicional de seguridad contra accesos no autorizados.
Supervisión del Tráfico de Red: Establecer monitoreo continuo del tráfico para identificar actividades inusuales o intrusiones en tiempo real.
Copias de Seguridad Periódicas: Realizar copias de seguridad regulares de datos críticos y almacenarlas en ubicaciones seguras fuera de la red principal para protegerlas contra ransomware.
Protección de Endpoints: Utilizar soluciones robustas de protección de endpoints para detectar y bloquear actividades maliciosas en dispositivos individuales.

Implementar estas medidas puede reducir significativamente el riesgo de sufrir ataques de ransomware y proteger la integridad de los sistemas de la organización. Para obtener una guía completa sobre cómo mitigar el ransomware, consulte la guía #STOPRANSOMWARE Play Ransomware.

En resumen

La detección y contención exitosa del ataque de ransomware Play por parte de Trend Micro nos deja ver la importancia de las medidas de seguridad proactivas y de una respuesta rápida ante amenazas. Utilizando los servicios de detección y respuesta gestionada (MDR), las organizaciones pueden beneficiarse de un monitoreo continuo y una protección experta, esencial en un panorama de amenazas cada vez más sofisticado. Las defensas en capas y las estrategias de mitigación descritas son fundamentales para construir una barrera sólida contra los ataques cibernéticos.

#NovaInforma

26 octubre, 202325 octubre, 2023

DarkGate: El malware que se infiltra a través de tus mensajes

En Nova estamos en constante investigación para traerte las amenazas más relevantes para que estés preparado en todos los escenarios posibles. ¿Alguna vez has recibido un archivo PDF de un amigo por Skype o Teams? Seguro pensaste que es inofensivo, la realidad es que podría ser un verdadero problema.

Recientemente, ha surgido una amenaza que está afectando a usuarios de servicios de mensajería instantánea como Skype y Microsoft Teams. Un malware, denominado DarkGate, se está propagando al hacerse pasar por archivos PDF.

Este proceso funciona de la siguiente manera: las plataformas de mensajería son utilizadas para entregar un script de Visual Basic para Aplicaciones (VBA) camuflado como un documento PDF. Cuando un usuario desprevenido abre dicho “documento”, se inicia la descarga y ejecución de un script AutoIt que desencadena el malware.

Aunque aún no se ha identificado el método exacto por el cual las cuentas originales de mensajería instantánea se comprometen, Trend Micro, en un reciente análisis, sugiere que podría deberse a credenciales filtradas o al compromiso previo de la organización principal.

DarkGate, identificado en 2018, es una amenaza multifacética. Posee capacidades para extraer datos confidenciales, minar criptomonedas y permitir a los ciberdelincuentes controlar sistemas infectados. Además, puede actuar como un medio para descargar otros malwares, amplificando así su peligro.

Lo alarmante es el incremento observado en campañas que distribuyen este malware, utilizando técnicas como correos electrónicos de phishing y tácticas de optimización de motores de búsqueda. Tras años de uso privado, el autor de DarkGate decidió ofrecerlo en foros clandestinos, lo que puede explicar este aumento en su actividad.

De acuerdo con Trend Micro, la mayoría de los ataques se han registrado en América, pero Asia, Oriente Medio y África no están exentos.

El riesgo principal radica en la confianza que los usuarios depositan en las aplicaciones de mensajería y en los contactos con los que se comunican. El simple acto de abrir un archivo puede desencadenar una infección por lo que una de las claves está en la educación del usuario.

También es recomendable mantener una estrategia de ciberseguridad robusta: Se deben implementar soluciones que controlen y restrinjan las aplicaciones y archivos accesibles a los usuarios. Una lista de aplicaciones permitidas puede ser esencial para limitar el acceso solo a aplicaciones seguras y verificadas.

Para lograr esto podemos apoyarnos de algunas soluciones de Trend Micro que demuestra una protección excepcional contra ataques, las soluciones que te recomendamos son:

Trend Micro Managed XDR que brinda monitoreo constante, defensa y detección en tiempo real. Además, incluido en Trend Service One™, garantiza una respuesta rápida ante cualquier amenaza y Trend Vision One™ que permite detectar y responder a amenazas en tiempo real. Además, es especialmente eficaz al aislar puntos finales, que suelen ser el punto de entrada para muchos malwares, garantizando que el sistema se mantenga limpio y seguro.

Es esencial recordar que la ciberseguridad no es una solución única para todos. Requiere un enfoque multifacético y la integración de varias herramientas y prácticas. Con las soluciones de Trend Micro, las organizaciones pueden dar un paso adelante para protegerse de amenazas como DarkGate y garantizar un entorno digital seguro y confiable.

¿Encontró interesante este artículo? Para mantenerte informado y protegido, síguenos en nuestras redes Instagram, Facebook y LinkedIn , donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

16 agosto, 202316 agosto, 2023

Un nuevo malware en el lenguaje “Rust” utiliza vulnerabilidades críticas en Redis para propagarse.

Echemos un vistazo a un reciente descubrimiento que ha llamado la atención en el mundo de la ciberseguridad. Se trata de el malware “Rust” que ha estado utilizando las vulnerabilidades críticas en los servidores Redis para propagarse. El nombre de este nuevo intruso es “P2PInfect”, y su método de ataque es dirigirse a los servidores Redis en la nube, explotando cualquier debilidad que encuentre.

Lo que hace que este malware sea particularmente intrigante es su elección del lenguaje de programación “Rust”. Esto lo convierte en una amenaza más sofisticada y potente en comparación con otros malwares. Los expertos han notado que “P2PInfect” tiene un enfoque tanto en servidores que ejecutan Redis tanto Linux como en Windows, lo que lo hace un poco más intimidante que los gusanos habituales.

La magnitud de esta amenaza es notoria, se estima que más de 900 sistemas Redis podrían estar en riesgo. El primer caso documentado de infección por “P2PInfect” se registró en la fecha fatídica del 11 de julio de 2023.

Caracteristicas

Un aspecto crucial de este malware es su habilidad para aprovechar una vulnerabilidad conocida como “Lua Sandbox Escape”. Siendo una debilidad crítica (CVE-2022-0543) con una puntuación CVSS de 10.0, ha sido un vehículo para varios programas maliciosos en el último año. Nombres como “Muhstik”, “Redigo” y “HeadCrab” han aprovechado esta brecha en la seguridad.

Una vez dentro, el malware despliega una carga útil que establece una conexión punto a punto (P2P) en una red más grande. Este paso le permite distribuir binarios maliciosos adicionales y desplegar un software de escaneo para propagar aún más el malware en otros sistemas Redis y en aquellos servidores expuestos a SSH.

Como si eso no fuera suficiente, el malware también se vale de un script de PowerShell para mantener una comunicación persistente entre el host comprometido y la red P2P, otorgando a los atacantes un acceso continuo. En la versión de Windows de “P2PInfect”, se añade un componente de Monitor, que se encarga de las actualizaciones automáticas y de lanzar nuevas versiones del malware.

A pesar de todo este revuelo, el propósito final de esta campaña de malware aún está en las sombras. Los investigadores no han encontrado pruebas sólidas de minería de criptomonedas, a pesar de la presencia de la palabra “minero” en el código fuente del kit de herramientas.

Lo que resulta desconcertante es que, hasta ahora, no se ha vinculado esta actividad a ninguno de los grupos de ataque avanzado ampliamente conocidos por asaltar entornos en la nube. En medio de esta incertidumbre, la tendencia es clara: los ciberdelincuentes se están volcando cada vez más hacia la exploración minuciosa de internet para encontrar entornos de nube que presenten vulnerabilidades.

Recomendación

En este sentido, implementar medidas de seguridad en la nube se convierte en una necesidad imperante. Trend Micro Network Security emerge como una solución robusta y transparente para detectar amenazas y asegurar entornos de una o varias nubes. Esta solución, parte del portafolio de NOVA, cubre todas las etapas del ciclo de vida del ataque, empleando inteligencia de amenazas avanzada y análisis de protocolos, junto con la detección de anomalías y métodos basados en firmas.

Si se busca un resguardo empresarial integral, Trend Micro ofrece seguridad a nivel enterprise para la capa de red, brindando protección a las nubes privadas virtuales (VPC) y asegurando la infraestructura y los segmentos de red sin interrupciones en las operaciones.

Para mantenerte informado y protegido, síguenos en nuestras redes Instagram, Facebook y LinkedIn , donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecen.

#NovaRecomienda