El control de los datos es la base de la seguridad de los datos. Es la esencia de todos los requisitos de cumplimiento y establecer el control es el núcleo de lo que hacemos.

Mientras navegamos por el final de este año y nos preparamos para el siguiente, examinemos este requisito básico. Nuestra experiencia nos dice que muchas organizaciones tienen dificultades con los fundamentos, pero siga leyendo y vea cuál es su situación.

¿Qué es el control?

Controlar los datos significa controlar el acceso a ellos. En otras palabras, controlar la actividad. Pero, ¿qué significa en la práctica y cómo lo hacemos?

Lo que todo el mundo sabe es que gestionar el acceso a los datos implica dos actividades:

• Usuarios y permisos – ¿Quiénes son los usuarios y qué acceso necesitan?
• Supervisión – ¿Qué está ocurriendo en la realidad?

Todo el mundo tiende a centrarse en la primera e ignorar la segunda. Pero la aplicación correcta tiene que ser diferente, porque es imposible asegurar los datos sin saber lo que está ocurriendo con ellos. No se puede proteger lo que no se ve.

Establecer controles sobre los usuarios y el acceso sin saber lo que ocurre en realidad carece de sentido. No sólo carece de visibilidad sobre si los controles están funcionando según lo previsto, sino que ni siquiera sabe qué cosas están sucediendo que necesita detener. Usted está asumiendo que sus usuarios y permisos se comportan como imaginaba, pero esa suposición suele ser errónea.

El conocimiento es poder

Saber lo que ocurre es la base de cualquier seguridad. Un guardia de seguridad ciego y sordo deambulando por los pasillos no podrá detener a los delincuentes. La visibilidad es la clave del éxito.

¿Tienes el control?

Por desgracia, muchas organizaciones se quedan cortas en lo que a visibilidad se refiere. Carecen de las herramientas necesarias para responder a preguntas básicas como:

• ¿Quién accedió a mis datos la semana pasada?
• ¿Qué programas se utilizaron para acceder a los datos?
• ¿A cuántos datos se accedió?

Sin respuestas a estas y otras preguntas similares, es imposible establecer controles eficaces. ¿Cómo puede determinar sobre qué debe informar o alertar? ¿Qué hay que evitar?

Cuando preguntamos a los clientes por qué configuran determinadas alertas, solemos obtener respuestas vagas como “me lo recomendaron”, “es una buena práctica”, “me parece una buena idea”, etcétera.

Por tanto, no es sorprendente que estos controles rara vez produzcan incidentes de seguridad. La falta de falsas alertas positivas es indicativa de una seguridad ineficaz, porque significa que hay muchos falsos negativos (sucesos no detectados).

Visualiza tu actividad como nunca antes

La seguridad ha cambiado mucho en los últimos 20 años y las tecnologías y soluciones nacidas a principios de la década de 2000 se consideran hoy en día obsoletas. Las soluciones modernas como Core Audit pueden dar una visibilidad sin precedentes de la actividad utilizando Proactive Forensics y ese es el primer paso recomendado en las implementaciones.

Con Core Audit Proactive Forensics, usted puede:

• Visualizar fuentes de actividad para entender quién ejecuta actividad, cuánta, desde dónde y cuándo.
• Investigar los patrones de actividad para comprender quién accede, a qué datos, cuándo y cuánto.
• Profundizar en los subconjuntos de actividad y visualizar cada uno para determinar la mejor manera de controlarlo.

El análisis forense proactivo es una de las muchas funciones de Core Audit, como el análisis de anomalías, las auditorías declarativas, los controles preventivos y muchas más. Sin embargo, Proactive Forensics es el primer paso en las implementaciones que le ayuda a entender el perfil de actividad y determinar qué otros controles debe implementar.

No te conformes con menos

Si cree que comprende bien lo que ocurre dentro de sus bases de datos y aplicaciones, ¡enhorabuena! Pero si no es así, es hora de considerar una alternativa. Programe una demostración para ver lo que Core Audit puede ofrecerle y, a continuación, pruébelo en sus propios sistemas para experimentar una visibilidad real.

Póngase en contacto con nosotros hoy mismo y adopte el futuro de la seguridad de las bases de datos.

A medida que nos adentramos en 2025, el panorama digital sigue evolucionando, trayendo consigo inmensas oportunidades e importantes riesgos. Las ciberamenazas son cada vez más sofisticadas y se dirigen a empresas de todos los tamaños. Para que las organizaciones prosperen, una estrategia de ciberseguridad sólida ya no es un lujo; es una necesidad básica.

Escasa inversión en ciberseguridad

En relación a su PIB, Latinoamérica invierte entre 4 y 5 veces menos en Ciberseguridad que Norteamérica. El crecimiento previsto de los presupuestos de Ciberseguridad en Latam también es inferior al de NA.

Al mismo tiempo, las brechas de datos en Latinoamérica están en su punto más alto. Diferentes estudios muestran cifras diferentes en cuanto a los países más atacados, y los primeros de la lista suelen ser México, Brasil, Colombia y Perú. Sin embargo, toda Latinoamérica está bajo ataque, con muchas brechas de datos exitosas.

Con mayores riesgos y menor inversión, América Latina debe invertir de forma MÁS INTELIGENTE. Es la única manera de luchar contra las olas de ataques si se tiene recursos limitados.

Una inversión más inteligente

Lo ideal sería poder comprar y utilizar muchas soluciones que aborden todos los riesgos posibles, pero eso no es realista. Nadie tiene presupuesto ni personal suficientes para hacer realidad esa fantasía.

La solución consiste en identificar unos pocos elementos críticos que impidan una filtración de datos y crear una inversión equilibrada en todos ellos. Hable con nosotros para obtener más información sobre cómo equilibrar el perímetro frente a los datos, los IPS frente a los IDS y mucho más. Permítanos ayudarle a crear en conjunto una defensa ganadora.

Ciberseguridad con un presupuesto optimizado

En Blue Core Research comprendemos la importancia de equilibrar las necesidades de seguridad con las limitaciones presupuestarias. Nuestro equipo de expertos trabaja en estrecha colaboración con los clientes para crear enfoques personalizados que se ajusten a su presupuesto y, al mismo tiempo, maximicen la protección de sus datos.

Cómo podemos ayudarle a optimizar su presupuesto de ciberseguridad

Comienza con una conversación para entender tus necesidades: Queremos entenderte a vos y tu situación particular. Tus motores, necesidades, expectativas, entorno, etc. Cuanto más sepamos sobre vos y tu organización, mejor podremos elaborar un plan que responda a tus necesidades y se ajuste a tu presupuesto.

Crear un enfoque personalizado: Nuestras soluciones pueden utilizarse de muchas maneras en función de los recursos disponibles. Sugeriremos un enfoque diferente para la implantación en función del número de sistemas, el personal disponible, el nivel de seguridad previsto, etc. Encontraremos la forma de sacar el máximo partido a sus recursos.

Precios agresivos: Queremos cuidar de tu negocio y vamos a trabajar en conjunto con vos para encontrar la manera. Podemos sugerirte diferentes niveles de seguridad y encontrar la forma de cubrir todo lo que necesites. Tenemos precios agresivos para ayudarle a cumplir sus objetivos presupuestarios.

Invertí en tranquilidad

Trabaja con nosotros para asegurarte de que tu presupuesto para 2025 incluya las soluciones de primera categoría que necesitas para luchar contra los ciberataques, las filtraciones de datos y mucho más.

Recordá que un plan presupuestario sólido no es un gasto, sino que es una inversión en el futuro de tu empresa.

Ponte en contacto con nosotros hoy mismo para hablar de tus necesidades específicas y saber cómo podemos ayudarte a protegerte de las inminentes amenazas.

Una reciente campaña masiva de phishing puso al descubierto una vulnerabilidad crítica en Proofpoint, uno de los principales proveedores de seguridad de correo electrónico basada en la nube.

El incidente plantea importantes cuestiones sobre los ataques a la cadena de suministro, la eficacia de la seguridad del correo electrónico y la necesidad de una defensa en capas contra los ataques.

Lo que ocurrió

Los hackers encontraron un exploit en organizaciones que utilizan Office 365 y Proofpoint. El exploit permitió a los hackers enviar correos electrónicos autenticados con firmas digitales idénticas a los correos electrónicos enviados por esas organizaciones. La lista de organizaciones explotadas incluye Disney, Coca-Cola, IBM, Nike, Best Buy y muchas otras.

Utilizando este exploit, los hackers enviaron durante al menos siete meses una media estimada de 3 millones de correos electrónicos al día, con picos que alcanzaron los 14 millones de correos electrónicos diarios. Es decir, entre 500 y 1.000 millones de correos electrónicos de phishing perfectamente falsificados.

Desconocemos el número de tarjetas de crédito, credenciales, identidades y demás información robada por los hackers. Sin embargo, algunos ataques se aprovecharon de los servicios vendidos por las empresas que falsificaban, enviando a los clientes a páginas de compra con cargos recurrentes en sus tarjetas de crédito.

Importancia

Los correos electrónicos autenticados enviados a través de Office 365 y Proofpoint son idénticos a los correos electrónicos enviados por las empresas auténticas, y los clientes no pueden notar la diferencia. Sin embargo, los ataques de phishing suelen embaucar a los clientes sin recurrir a falsificaciones de alta calidad, por lo que el mayor problema es otro.

Estos correos electrónicos tienen tasas de entregabilidad y de envío muy elevadas. Todos los proveedores de correo electrónico y filtros de spam admiten millones de correos electrónicos por minuto de esas organizaciones, y no entran en la carpeta de spam. Esto, unido a su autenticidad, crea potentes ataques de phishing.

Además, muchas organizaciones etiquetan los correos electrónicos externos para alertar a los empleados de posibles intentos de phishing. Estos correos autenticados eludirán estas advertencias, ya que son idénticos a los enviados por la organización. Esto hace que sea muy probable que los empleados sean presa de un ataque de phishing dirigido.

Ataques a la cadena de suministro y servicios en la nube

Los ataques a la cadena de suministro son motivo de gran preocupación, ya que exponen a las organizaciones a amenazas que desconocen y a las que no pueden hacer frente. Los ataques a la cadena de suministro también tienen un potencial aterrador, ya que los piratas informáticos pueden explotar las vulnerabilidades de cualquier organización que recurra a ese proveedor.

El problema de la cadena de suministro aumenta exponencialmente en los servicios basados en la nube. Los piratas informáticos pueden explotar las vulnerabilidades de la cadena de suministro en la nube sin acceder a la red corporativa ni hacer saltar las alarmas. Como demostró este ataque, muchas grandes organizaciones fueron víctimas de un ataque a gran escala del que no tenían conocimiento.

Seguridad del correo electrónico

La seguridad del correo electrónico es casi un oxímoron, y este ataque es otra prueba de nuestra incapacidad para protegerlo. Autenticar y firmar los correos electrónicos con DKIM, SPF y DMARC es beneficioso y valioso, pero es un esfuerzo que no puede evitar ni siquiera los simples ataques de phishing. Mejora las cosas, pero dista mucho de ser perfecto.

Las organizaciones deben aceptar que el correo electrónico es inseguro, que muchos empleados y clientes son presa del phishing y, en consecuencia, que se producen ataques de phishing con éxito de forma regular.

Debemos hacer esfuerzos razonables para proteger el perímetro. Es significativo porque reduce el número de ataques. Sin embargo, no se puede evitar que los intrusos lo penetren y accedan a la red corporativa. Por lo tanto, el aumento de las inversiones en la protección del perímetro tiene rendimientos decrecientes, especialmente los ineficaces como la seguridad del correo electrónico.

Enfoque por capas con defensas centradas en los datos

Dada nuestra limitada capacidad para proteger la red corporativa, debemos aplicar un enfoque de seguridad por capas con defensas centradas en los datos que impidan una violación de los datos cuando un hacker inevitablemente penetre en el perímetro.

Comprendiendo cómo se produce una violación de datos y aplicando una estrategia de seguridad adecuada, las organizaciones pueden reducir significativamente el riesgo de ser víctimas de ataques.

Core Audit es un componente fundamental en la batalla contra las brechas de datos, ya que proporciona la visibilidad y el control necesarios para proteger a su organización contra los ataques y las amenazas emergentes. Póngase en contacto con nosotros para obtener más información, analizar el entorno único de su organización y comprender sus necesidades de seguridad. Permitinos ayudarte a tener éxito.

Comienza el ataque

El sonido de un nuevo correo electrónico parpadeó en la pantalla de Cora. Era otra alerta de Core Audit, y no era la primera del día. Pero tomó un vistazo rápido a las SQL y la adrenalina la despertó. Sintió como si le hubieran inyectado cafeína directamente en el cerebro. Esto no es un falso positivo, es un ataque. Alguien está ejecutando con éxito un ataque de inyección SQL a través de la aplicación y en la base de datos.

Cora Blue es un DBA en el equipo de seguridad y entendió exactamente lo que estaba pasando. Esa es la primera etapa del ataque, ya que el intruso está intentando determinar si la aplicación es vulnerable y reunir información sobre el tipo de base de datos y las tablas que contiene. Hasta ahora, es probable que sólo sea un script recopilando información, pero dependiendo de lo bueno que sea este atacante, pronto se convertirá en una brecha de datos. Podría llevar días, a veces horas, pero en el peor de los casos, pueden pasar unos minutos antes de que empiecen a filtrar datos: no hay tiempo que perder.

Deteniendo la brecha

Cora sabe lo que tiene que hacer. Aunque desconectar la aplicación probablemente sea suficiente en este caso, la política exige cerrar tanto la aplicación como la base de datos. Como miembro senior del equipo de seguridad, tiene los permisos necesarios para hacerlo. Más vale prevenir que curar, y unos minutos más tarde, todo está fuera de línea. Mientras los sistemas se desconectan, envía un mensaje al grupo de notificación. Eso llegará al equipo de respuesta y a todos los que necesiten saberlo.

Cuando se reunió el equipo, Cora pudo echar un vistazo a la información forense de la auditoría central. Parece que los hackers todavía estaban en la fase de descubrimiento, y no se llevaron nada. Encontró el servidor de aplicaciones del que procedía el ataque y la hora, y a partir de los SQL, incluso pudo adivinar el área comprometida de la aplicación: la primera parte del SQL es el código original con la tabla y las columnas de la consulta original.

Ahora que todo el equipo está en una reunión de Zoom hay dos objetivos inmediatos. Conseguir que la aplicación y la base de datos vuelvan a estar en línea de forma segura es importante, ya que el servicio de asistencia probablemente ya esté recibiendo llamadas (menos mal que formaban parte de la cadena de notificación). Pero lo más apremiante es cómo entraron en la red, si siguen dentro y qué más hay que hacer de inmediato para detener este ataque en seco.

El pequeño equipo de respuesta incluye a Cora Blue, que identificó el suceso y es también la experta en bases de datos del equipo. Brandon Reese, el administrador de sistemas sabelotodo. Randall Shield, que controla la red. Y Audrey Cortez, que representa a la alta dirección.

¿Qué fue lo que pasó?

Cora explica rápidamente lo sucedido: un ataque de inyección SQL afectó a la base de datos a través del servidor de aplicaciones CBR002 a partir de las 14:35, pero el servidor de aplicaciones y la base de datos se cerraron antes de que se tomara algo. Audrey la felicita por su diligencia y rápida respuesta. No es la primera vez que el equipo se reúne y todos saben que Audrey puede hablar un rato. Pero también saben que no le importa que la interrumpan, sobre todo cuando el tiempo es oro, y antes de que pueda continuar, Brandon la interrumpe de manera cortés compartiendo su pantalla en la que muestra un grep de los registros de Apache.

Los registros muestran claramente el rápido disparo de las peticiones HTTP que causaron la inyección SQL y la IP que las envió. Parece que el ataque provino del rango de IP de la VPN. Mientras Brandon continuaba en Core Audit para ver las pantallas forenses de auditoría de aplicaciones, Randall, el administrador de red, encontró la asignación de IP DHCP que mostraba que el ataque procedía del ordenador personal de Holly Ackerman, la asistente administrativa de uno de los vicepresidentes.

Unos segundos más tarde, Brandon también encontró el ataque en el análisis forense de Core Audit, confirmando que se trataba del inicio de sesión de Holly en la aplicación. Aunque nadie del equipo conoce bien a Holly, no parece tener muchos conocimientos informáticos y probablemente nunca haya oído el término SQL Injection. Alguien debió apoderarse de su ordenador personal y utilizarlo para lanzar el ataque.

Se neutraliza la amenaza

En cualquier caso, el equipo desactiva la cuenta de Holly y la desconecta de la VPN. El equipo de asistencia técnica la llamará para explicárselo, el equipo de seguridad empezará más tarde a investigar su ordenador y el equipo de Windows acabará ayudándola a reinstalarlo. Brandon envía un breve correo electrónico de actualización al grupo de notificación de infracciones que pondrá todo en marcha.

El equipo cree que en este punto el ataque está prácticamente contenido. Necesitan ver si el usuario de Holly se utilizó en algún otro lugar, poner la base de datos en línea, encontrar el problema en la aplicación y averiguar cómo ponerla en línea de forma segura. También tienen que investigar la PC de Holly para averiguar cómo entró alguien, aunque probablemente sólo hizo clic en el correo electrónico equivocado.

El día no ha terminado, pero parece que han evitado lo peor.

¿Cómo lo lograron?

Repasemos algunos de los puntos clave que hicieron de esta historia un éxito para el equipo de seguridad.

En primer lugar, a pesar de una brecha del perímetro que probablemente era inevitable, contaban con una solución IDS de base de datos que reconoció el acceso anómalo a los datos y envió una alerta. Sin esa alerta, esta historia habría sido muy diferente. Pasarían meses antes de que se enteraran del ataque, y probablemente sólo como resultado de una notificación de las fuerzas de seguridad. El equipo de respuesta estaría entonces analizando una violación de datos de meses de duración, tratando de determinar cuántos sistemas se vieron comprometidos y a quién debían notificar que sus datos habían sido robados.

En segundo lugar, Cora Blue, una DBA con conocimientos y formación en ciberseguridad, recibió la alerta. Sabía qué buscar y reconoció el ataque. También disponía de información forense sobre la actividad de la base de datos que le permitía actuar de inmediato. Sin una solución como Core Audit, no hay información forense sobre cada SQL ni forma de determinar lo que ocurrió en la base de datos.

También había políticas sencillas que indicaban a Cora cómo responder, y ella tenía los permisos necesarios para actuar y detener el ataque en seco.

El equipo se reunió rápidamente, era lo suficientemente pequeño como para operar con eficacia y contaba con personas bien informadas con acceso a todos los sistemas. El equipo se había reunido muchas veces y tenía una buena relación de trabajo. Tampoco era la primera vez que intentaban responder a un ataque, ya que todos sabían exactamente qué hacer.

Todo puede salir bien cuando se reciben las alertas, se dispone de información de apoyo y se cuenta con personas con talento y formación que saben lo que tienen que hacer.