Seguridad cibernética, fraudes y estafas
¿Qué pueden hacer las cooperativas de ahorro y crédito para protegerse contra los ataques de ransomware?
Para protegerse contra los ataques de ransomware, las cooperativas de ahorro y crédito deben:
- Actualizar el software y los sistemas operativos con los últimos parches. Verificar que todas las redes y las terminales estén parcheadas y se actualicen con regularidad. Considerar la posibilidad de actualizar automáticamente los sistemas cuando sea posible.
- Nunca hacer clic en enlaces o abrir archivos adjuntos de emails no solicitados.
- Seguir prácticas seguras al navegar por Internet. Lea los buenos hábitos de seguridad de la CISA para obtener información adicional.
- Reemplazar los equipos que funcionan con sistemas operativos antiguos que no tienen soporte. Las aplicaciones y los sistemas operativos desactualizados son el blanco de la mayoría de los ataques. En los casos poco frecuentes en que sea imposible el desmantelamiento inmediato de los sistemas heredados, aislar esos sistemas de las redes básicas y de los sistemas y datos que sean confidenciales y cruciales.
- Verificar que los distribuidores y los proveedores de servicios de terceros que estén conectados a sus redes o que posean sus datos hayan implementado las prácticas de seguridad adecuadas.
- Asegurarse de que tiene copias de respaldo completas, probadas y actualizadas de todos los sistemas y datos críticos. Consérvelas en un dispositivo separado y almacénelas fuera de línea.
Recursos adicionales
- Conferencia de Supervisores de Bancos Estatales - Herramienta de autoevaluación de ransomware (R-SAT)
- Libro blanco del Centro para la Seguridad en Internet - Manual de seguridad - Ransomware
- Servicio de Seguridad Central de la Agencia de Seguridad Nacional - Página de seguridad cibernética
- Instituto Nacional de Estándares de Tecnología - Marco de seguridad cibernética
- Agencia de Seguridad de Infraestructura y Ciberseguridad - Página de ransomware
- Agencia de Seguridad de Infraestructura y Ciberseguridad - Guía de ransomware
- Treasury Department - Consejo sobre las posibles sanciones por los riesgos de facilitar pagos de ransomware (Inglés)
Gestión de riesgos en la cadena de suministro
¿Qué es la gestión de riesgos en la cadena de suministro (SCRM) de la tecnología de la información y las comunicaciones (ICT)?
La tecnología de la información y las comunicaciones (ICT) es integral para las operaciones diarias y la funcionalidad de la infraestructura crítica de los EE. UU. Si se aprovechan de las vulnerabilidades en la cadena de suministro de la ICT, esto representa un riesgo para toda la institución. Las instituciones deben tener en cuenta no solo el riesgo asociado con terceros, sino toda la cadena de suministro de la tecnología de la información y las comunicaciones. Esto incluye al hardware, el software y todos los servicios gestionados por terceros proveedores, suministradores, proveedores de servicios y contratistas.
Las vulnerabilidades pueden introducirse en cualquier fase del ciclo de vida del producto: diseño, desarrollo y producción, distribución, adquisición e implementación, mantenimiento y eliminación. Estas vulnerabilidades pueden incluir la incorporación de software, hardware y componentes falsos maliciosos; diseños de productos defectuosos; y procesos de fabricación y procedimientos de mantenimiento deficientes.
Los expertos en seguridad cibernética1 han pronosticado que los ataques a la cadena de suministro de software se extenderán cada vez más, debido a que muchos de los canales de desarrollo y distribución de software carecen de las protecciones cibernéticas adecuadas en los procesos. Otras vías de ataques cibernéticos se están volviendo menos óptimas a medida que los propietarios de los sistemas mejoran la seguridad cibernética general de sus redes, componentes y computadoras.
Cerrar y volver arriba¿Cómo puedo desarrollar una práctica efectiva para la gestión de riesgos en la cadena de suministro de la ICT?
Los La Agencia de Seguridad de Infraestructura y Ciberseguridad ha desarrollado los siguientes pasos esenciales para crear una práctica eficaz de gestión de riesgos en la cadena de suministro (SCRM):
- Identificar a las personas: armar un equipo con representantes de varios roles y funciones de la compañía (por ejemplo, seguridad cibernética, tecnología de la información, seguridad física, compras/adquisiciones, legales, logística, comercialización y desarrollo de productos). Asegurarse de que el personal de todos los niveles esté bien capacitado en los procedimientos de seguridad de su rol o función.
- Gestionar la seguridad y el cumplimiento: documentar el conjunto de políticas y procedimientos que abordan la seguridad, la integridad, la adaptación y la calidad. Asegurarse de que se basan en los estándares de la industria y en las mejores prácticas sobre cómo llevar a cabo la SCRM, como las del Instituto Nacional de Estándares de Tecnología (NIST).
- Evaluar los componentes: armar una lista de los componentes de la ICT (por ejemplo, hardware, software y servicios) que su organización adquiere para habilitar su negocio. Conozca cuáles son los sistemas internos en los que se basa la información o las funciones críticas y cuáles son los sistemas con capacidad de acceso remoto que deben ser protegidos para prevenir el acceso no autorizado.
- Conocer la cadena de suministro y los proveedores: identificar a sus proveedores y sus fuentes, cuando sea posible. En el mundo actual, en el que se recurre cada vez más a la tercerización, es importante concebir a los proveedores iniciales como parte del gran ecosistema de la cadena de suministro.
- Verificar la seguridad de los terceros: controle que sus proveedores mantengan una cultura de seguridad adecuada y un programa de SCRM para abordar apropiadamente los riesgos que conciernen a su organización. Establezca los protocolos que su organización utilizará para evaluar las prácticas de la cadena de suministro de sus proveedores.
- Evaluar su programa de SCRM: determinar la frecuencia con la que revisará su programa de SCRM, incorporar los comentarios y hacer cambios en su programa de gestión de riesgos.
¿Cuáles son los riesgos asociados con el uso de un proveedor de servicios gestionados (MSP)?
Según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI, los agentes de amenazas persistentes y avanzadas (APT) intentan activamente infiltrarse en las redes de los proveedores de servicios de tecnología de la información (IT).2 Para asegurarse de que los proveedores de servicios de IT dispongan de los controles de seguridad apropiados, las cooperativas de ahorro y crédito deben llevar a cabo la diligencia debida y la vigilancia permanente.
La cantidad de cooperativas de ahorro y crédito que utilizan proveedores de servicios de IT, como los proveedores de servicios gestionados (MSP) y los proveedores de servicios en la nube (CSP), ha aumentado drásticamente en los últimos años, debido a que los proveedores de servicios de IT les permiten a las cooperativas de ahorro y crédito ampliar y respaldar entornos de red de una manera más rentable. Al prestar servicios a una gran cantidad de clientes, los proveedores de servicios de IT pueden lograr economías de escala importantes. Sin embargo, la tercerización de los procesos o las funciones no elimina la responsabilidad de las cooperativas de ahorro y crédito en cuanto a la seguridad y solidez de esos procesos y funciones.
Las cooperativas de ahorro y crédito deben saber que la decisión de centralizar la información con un proveedor de servicios de IT puede poner en riesgo la confidencialidad e integridad de su información. Por ejemplo, los proveedores de servicios de IT suelen tener acceso directo e ilimitado a las redes de las cooperativas de ahorro y crédito, y pueden almacenar los datos de los miembros en su propia infraestructura interna. Por lo tanto, si una parte de la red del proveedor de servicios de IT está en riesgo, puede tener un efecto dominó, afectando a varias cooperativas de ahorro y crédito e introduciendo un riesgo sistémico.
Cerrar y volver arribaCómo mitigar el riesgo del uso de un proveedor de servicios gestionados
Para proteger sus activos de infraestructura y aumentar la probabilidad de interrumpir con éxito la actividad de las APT, se anima a los clientes de los MSP a implementar una estrategia de defensa a fondo. Para tal fin, la CISA recomienda a los clientes de los MSP que tengan en cuenta las siguientes medidas de mitigación.3
- Gestionar los riesgos en la cadena de suministro : los clientes de MSP que no llevan a cabo la mayor parte de su propia defensa de la red deben trabajar con su MSP para determinar lo que pueden esperar en términos de seguridad. Además de comprender el riesgo en la cadena de suministro asociado con su MSP, los clientes también deben considerar un lenguaje contractual que respalde las necesidades y los requisitos del cliente en materia de seguridad tanto virtual como física, incluida la gestión de riesgos en la cadena de suministro.
- Arquitectura: restringir el acceso a las redes y a los sistemas es fundamental para contener el movimiento de un agente de APT. A continuación encontrará elementos clave que las organizaciones deben implementar y auditar periódicamente para asegurarse de que la arquitectura física y lógica de su entorno de red limite la visibilidad y el acceso de un agente de APT.
- Recomendaciones para la conexión a la red privada virtual
- Utilizar una red privada virtual (VPN) particular para la conexión con el MSP.
- Interrumpir la VPN dentro de una zona desmilitarizada (DMZ).
- Restringir el tráfico de la VPN hacia y desde el MSP.
- Actualizar los certificados de autenticación de la VPN anualmente.
- Asegurarse de que las conexiones VPN se registren, se gestionen de forma centralizada y se revisen.
- Recomendaciones para la arquitectura de redes
- Asegurarse de que las redes con acceso a Internet residan en sistemas físicos separados.
- Separar las redes internas por función, ubicación y perfil de riesgo. Las redes internas deben segmentarse por función, ubicación y/o grupo de trabajo empresarial.
- Usar cortafuegos para proteger a los servidores y las redes de alto riesgo designadas.
- Configurar y habilitar las redes de áreas locales virtuales (VLAN) como privadas. Habilitar las VLAN privadas y agruparlas según la función del sistema o el grupo de trabajo del usuario.
- Implementar cortafuegos de host.
- Recomendaciones para la restricción del servicio de red
- Permitir solo los servicios de red autorizados procedentes de la red interna.
- Asegurarse de que las consultas internas y externas del sistema de nombres de dominio (DNS) sean realizadas por servidores dedicados.
- Restringir el acceso para compartir los archivos públicos no autorizados.
- Desactivar o bloquear todos los servicios de red que no sean necesarios en el límite de la red.
- Recomendaciones para la conexión a la red privada virtual
- Autenticación, autorización y contabilización: las credenciales de cuentas comprometidas siguen siendo la forma principal que usan los agentes de amenazas para infiltrarse en los entornos de red. Dado que las cuentas de los MSP por lo general suelen requerir un acceso elevado, las cuentas que las organizaciones crean para los MSP aumentan el riesgo de que se comprometan las credenciales. Por lo tanto, es importante que las organizaciones cumplan con mejores prácticas para la gestión de contraseñas y permisos, ya que esto puede limitar de forma considerable la capacidad de un agente de amenazas para acceder y moverse lateralmente a través de una red. A continuación se proporcionan los elementos clave que las organizaciones deben implementar y auditar de manera sistemática para asegurarse de mitigar estos riesgos.
- Recomendaciones para la configuración de las cuentas
- Asegurarse de que las cuentas de los MSP no se asignen a grupos de administradores.
- Restringir las cuentas de los MSP solo a los sistemas que ellos administran.
- Asegurarse de que las contraseñas de las cuentas de los MSP cumplan con las políticas de la organización.
- Utilizar cuentas de servicio para los agentes y servicios de los MSP.
- Restringir las cuentas de los MSP por hora y/o fecha.
- Usar una arquitectura de red que incluya la organización por niveles de las cuentas.
- Recomendaciones para la configuración de los registros
- Habilitar el inicio de sesión en todos los sistemas y dispositivos de la red y enviar los registros a una ubicación central
- Asegurarse de que los servidores de registro centrales residan en un enclave separado de otros servidores y estaciones de trabajo.
- Configurar los registros locales para que almacenen no menos de siete días de datos de registro.
- Configurar los registros centrales para que almacenen no menos de un año de datos de registro.
- Instalar y configurar correctamente un dispositivo de gestión de información y eventos de seguridad (SIEM).
- Habilitar el registro de PowerShell.
- Establecer e implementar un proceso de revisión de registros.
- Recomendaciones para la configuración de las cuentas
- Controles operativos: la construcción de una arquitectura sólida que esté respaldada por fuertes controles técnicos es solo el primer paso para proteger un entorno de red. También es clave que las organizaciones controlen continuamente sus sistemas, actualicen las configuraciones para reflejar los cambios en su entorno de red y mantengan relaciones con los MSP. A continuación se enumeran los controles operativos fundamentales que las organizaciones deben incorporar para protegerse contra las amenazas.
- Recomendaciones para los controles operativos
- Crear un punto de referencia para el comportamiento del sistema y de la red.
- Revisar las configuraciones de los dispositivos de red cada seis meses.
- Revisar los objetos de la política de grupo (GPO) del entorno de red cada seis meses.
- Supervisar e investigar continuamente las alertas de los dispositivos de SIEM.
- Revisar periódicamente los umbrales de alerta de SIEM.
- Revisar los grupos de cuentas privilegiadas semanalmente.
- Desactivar o eliminar las cuentas inactivas.
- Actualizar el software y los sistemas operativos con regularidad.
- Recomendaciones para los controles operativos
Referencias adicionales
Las cooperativas de ahorro y crédito también deben remitirse a la orientación de la NCUA, el Instituto Nacional de Estándares de Tecnología (NIST) y otras referencias que se enumeran a continuación para informarse sobre la gestión de riesgos en la cadena de suministro de la tecnología de la información y las comunicaciones.
- Evaluación de las relaciones con terceros de la NCUA
- Tercerización de servicios tecnológicos de la FFIEC
- Las APT dirigidas a los clientes de los proveedores de servicios de IT de la CISA
- La gestión de riesgos en la cadena de suministro de la ICT de la CISA
- Amenazas en la cadena de suministro del ODNI
- La gestión de riesgos en la cadena de suministro cibernético del NIST
- Publicaciones relacionadas con la computación en la nube del NIST
- Centro Canadiense de Seguridad Cibernética Mejores prácticas de seguridad cibernética: contratación de proveedores de servicios gestionados
Acotaciones
[1] ODNI https://www.dni.gov/files/NCSC/documents/supplychain/20190327-Software-Supply-Chain-Attacks02.pdf
[2]CISA, Las APT dirigidas a los proveedores de servicios de IT, https://us-cert.cisa.gov/APTs-Targeting-IT-Service-Provider-Customers#:~:text=CISA%20encourages%20customers%20of%20MSPs%20and%20CSPs%20to,to%20help%20formulate%20and%20build%20their%20defense-in-depth%20strategy.
[3] CISA, La actividad de las amenazas persistentes y avanzadas se aprovecha de los proveedores de servicios gestionados, https://us-cert.cisa.gov/ncas/alerts/TA18-276B