Archive

ModSecurity

ModSecurity es un módulo de seguridad para servidores web que proporciona una capa de protección contra ataques comunes y personalizados. En este artículo, explicaremos qué es ModSecurity, cómo funciona, cómo detiene los ataques y por qué es conveniente implantarlo en nuestro sitio web.

¿Qué es ModSecurity?

ModSecurity es un módulo de seguridad para servidores web Apache, Nginx e IIS que actúa como un firewall de aplicaciones web (WAF). Un WAF es un sistema que filtra y bloquea el tráfico malicioso que intenta explotar vulnerabilidades en las aplicaciones web. ModSecurity se puede configurar para detectar y prevenir ataques como inyección SQL, cross-site scripting (XSS), inclusión remota de archivos (RFI), denegación de servicio (DoS), entre otros.

¿Cómo funciona ModSecurity?

ModSecurity funciona mediante el análisis de las peticiones HTTP que llegan al servidor web y las respuestas que se generan desde el mismo. ModSecurity utiliza un conjunto de reglas que definen los patrones de comportamiento anómalo o malicioso que se quieren bloquear. Estas reglas se pueden personalizar según las necesidades de cada sitio web, o se pueden utilizar reglas predefinidas como las del OWASP Core Rule Set (CRS), que cubren los ataques más comunes.

Cuando ModSecurity detecta una petición o una respuesta que coincide con alguna de las reglas, puede realizar diferentes acciones, como:

– Permitir el paso de la petición o la respuesta sin modificarla.
– Denegar el paso de la petición o la respuesta y devolver un código de error al cliente.
– Redirigir la petición o la respuesta a otra URL.
– Modificar la petición o la respuesta para eliminar o añadir algún elemento.
– Registrar el evento en un archivo de log o en una base de datos.

¿Cómo detiene ModSecurity los ataques?

ModSecurity detiene los ataques mediante el bloqueo de las peticiones o las respuestas que contienen elementos sospechosos o malintencionados. Por ejemplo, si una petición contiene una cadena como ‘OR 1=1’, que es típica de una inyección SQL, ModSecurity puede bloquearla y devolver un código de error 403 al cliente, evitando así que el ataque llegue a la base de datos. De esta forma, ModSecurity protege al sitio web de posibles daños o robos de información.

¿Por qué implantar ModSecurity?

Implantar ModSecurity tiene varias ventajas para la seguridad y el rendimiento de nuestro sitio web, tales como:

– Aumenta la protección contra ataques conocidos y desconocidos, ya que ModSecurity puede adaptarse a las nuevas amenazas mediante la actualización o la creación de nuevas reglas.
– Reduce el riesgo de sufrir brechas de seguridad, fugas de datos o pérdida de reputación, ya que ModSecurity evita que los atacantes accedan a información sensible o comprometan el funcionamiento del sitio web.
– Mejora el rendimiento del servidor web, ya que ModSecurity reduce la carga de trabajo al filtrar el tráfico malicioso antes de que llegue a las aplicaciones web.
– Facilita el cumplimiento de normativas y estándares de seguridad, como el PCI DSS, el GDPR o el ISO 27001, ya que ModSecurity ayuda a mantener un nivel adecuado de seguridad en las aplicaciones web.

En conclusión, ModSecurity es un módulo de seguridad para servidores web que ofrece una capa adicional de defensa contra los ataques a las aplicaciones web. Su funcionamiento se basa en el análisis y el filtrado del tráfico HTTP mediante reglas que se pueden personalizar según las necesidades de cada sitio web. Su implantación supone una mejora en la seguridad y el rendimiento del sitio web, así como una mayor facilidad para cumplir con las normativas y los estándares vigentes.

ISPACTIVO tiene la instalación de ModSecurity en todos sus servidores, con el fin de elevar la protección de nuestros clientes.

Alguien está enviando correos usando mi dominio

Mail Spoofing

El Mail Spoofing es cuando un usuario recibe un correo de su propio dominio, pareciendo como si ella/él fueran el propio emisor.

En la mayoría de los casos estos envíos son externos, es decir, se usa como remitente del mensaje la dirección de correo del propio usuario u otro de su mismo dominio (existente o no), sin embargo, esto no significa que el correo se haya generado en su servidor o que se haya violado la seguridad de su correo, simplemente se utiliza algún tipo de programa para simular que el remitente pertenece al mismo dominio que el destinatario y así pasar algunos filtros comunes de correo entrante.

Si consideras que tu cuenta de correo ha sido comprometida, por favor cambia la contraseña por una más fuerte y si continuas recibiendo correos enviados en tu nombre que no has enviado tú, por favor copia los encabezados de uno de esos correos en un Ticket para nuestro equipo de soporte técnico. Nosotros podremos verificar y asegurarnos que dicho correo no provenga de ninguna de tus cuentas y tomar las medidas necesarias.

Con los encabezados que envíes será suficiente para identificar el servidor responsable del envío de correos no autorizados,

Si has recibido un correo similar al ejemplo, tranquilo tu dispositivo no ha sido “hackeado”. Se trata de un intento de estafa, que se basa en la ingeniera social para intentar engañar a la víctima y que realice un pago económico bajo el pretexto de no difundir supuesto material comprometido suyo.

¿Cómo se realizan estas campañas?

Se trata de una modalidad conocida como Spoofing que consiste en suplantar el servidor y hacer parecer que el dominio es de una dirección de confianza. Para lograrlo los cibercriminales se “conectan con servidores de correo,  que permiten reenviar mensajes utilizando un alias diferente, que en este caso sería la cuenta de la persona”.

El Protocolo Simple de Transferencia de Correo (SMTP) no fue diseñado para autenticar a los remitentes ni verificar la integridad de los mensajes recibidos. Por lo tanto, es fácil alterar o suplantar el origen de un correo electrónico”.

Ejemplo de email enviado

A continuación adjuntamos un ejemplo de los que suelen enviar los atacantes, indicando que nos han hackeado y nos solicitan el pago mediante bitcóin para no difundir este contenido supuestamente sensible.

Spoofing mail

 

Recomendaciones para evitar ser víctima de estos fraudes:

  1. No abra correos de usuarios desconocidos o que no hayas solicitado, eliminarlos directamente.
  2. No conteste en ningún caso a estos correos, ni envíe información personal.
  3. Tenga siempre actualizado el sistema operativo y el antivirus.
  4. Utilice contraseñas seguras y distintas para servicios diferentes. Utilizar un gestor de contraseñas le facilitará esta tarea.
  5. Utilizar el doble factor de autenticación siempre y cuando esté disponible en el servicio utilizado.

Redirect Hack – Redireccionamiento de WordPress a otro sitio

Recientemente notamos que muchos sitios web de WordPress son redirigidos a dominios maliciosos. Los atacantes logran esto por diversos medios y fuentes de infección.

Tales ataques de redireccionamiento pirateados de WordPress son bastante comunes cuando el malware redirige a los visitantes de un sitio web en particular a sitios web no deseados, páginas de phishing o dominios controlados por piratas informáticos.

¿Por qué los sitios de WordPress son Hackeados?

Hay muchas razones por las que los sitios de WordPress son pirateados, estos son los factores más comunes.

  1. Contraseñas inseguras

Esta es una de las causas más frecuentes de piratería informática. La contraseña más utilizada en el mundo es «password». Las contraseñas seguras son necesarias no sólo para su cuenta de administrador de WordPress, sino para todos sus usuarios y todos los aspectos de su sitio, incluyendo FTP y hosting.

  1. Software Obsoleto

Los plugins y temas, así como el propio WordPress, están sujetos a actualizaciones que deben aplicarse a su sitio. Si no lo hace su sitio será vulnerable.

  1. Código Inseguro

Los plugins y temas que no son de fuentes acreditadas pueden introducir vulnerabilidades en su sitio. Si necesita temas o plugins de WordPress gratuitos, instálelos desde el directorio de temas oficial de WordPress.

Cuando compra temas y plugins, asegúrese de comprobar la reputación del proveedor y obtener recomendaciones de personas y fuentes en las que confía. Nunca instale plugins de poca o dudosa reputación.

Eliminación del Malware

El primer paso para eliminar el malware es encontrarlo. Los atacantes podrían haber utilizado varias áreas para infectar, e identificarlas es la mitad del trabajo realizado para eliminarlo. Para encontrar el malware, puede usar un escáner de malware o simplemente hacerlo manualmente.

  1. Use un escáner de malware

Un escáner de malware, sin duda, es un método más optimizado y fácil de detección de piratería. De hecho, el escáner de malware de Astra también permite la eliminación de malware con un solo clic en los resultados del análisis.

Pero, si no desea que el escáner lo ayude, también puede tomar el largo camino de la detección manual de malware. Así es como puedes hacer eso.

  1. Consulte con herramientas de diagnóstico

Además, la página de diagnóstico de Google es una herramienta que puede ayudarlo a determinar exactamente qué parte de su sitio web contiene la infección. También indicará la cantidad de archivos / directorios que están infectados.

  1. Escanear archivos principales

Los archivos principales de WordPress determinan la apariencia y las funcionalidades del software de WordPress. Identificar los cambios en los archivos principales también lo ayudará a identificar el ataque. Cualquier cambio desconocido en los archivos puede indicar el origen del ataque. Algunas de las posibles áreas de infección son index.php, index.html, archivos de tema, etc.

Estrategias de protección

  1. Bloquee su WordPress Admin

Bloquear su área y login de WordPress admin es una buena manera de fortalecer su seguridad. Dos buenas maneras de hacerlo es primero cambiando la URL de inicio de sesión predeterminada de wp-admin y limitando los intentos de inicio de sesión.

  1. Limitar los intentos de Inicio de Sesión

Poner un límite en su lugar también puede ser muy eficaz. El plugin gratuito de Cerber Limit Login Attempts es una excelente forma de configurar fácilmente , los intentos de inicio de sesión, las duraciones de bloqueo y las listas blancas y negras de IP.

  1. Cambiar su URL de Acceso de WordPress

Por defecto, la URL de inicio de sesión de su sitio WordPress es domain.com/wp-admin. Uno de los problemas con esto es que todos los bots, hackers y secuencias de comando que existen también lo saben. Al cambiar la URL, puede hacerse menos de un objetivo y protegerse mejor de los ataques de fuerza bruta

Use Plugins de Seguridad WordPress.

Existen numerosas maneras de reforzar la seguridad WordPress. El uso de contraseñas inteligentes, mantener actualizados el núcleo y plugins, y elegir un hosting seguro para su WordPress, son sólo unas de tantas cosas que mantendrán a su sitio WordPress activo y funcionando con seguridad.

Las principales amenazas en ciberseguridad 2020

Durante este último e insólito 2020, los ataques más frecuentes han sido los siguientes:

1º Ransomware; A través del cual se pretende cifrar la información para pedir luego un rescate. El medio más frecuente ha sido el phishing, suplantando la identidad de diferentes instituciones como; OMS, Ministerio de trabajo, Servicio Público de Empleo(..)

La última versión es que primero exfiltran la información antes de cifrarla pidiendo un rescate a la empresa amenazando con publicarla sino lo realizan.

2º Robo de credenciales; El modo de proceder también ha sido el phishing, así obtienen las credenciales de los usuarios y acceden a sus cuentas bancarias y servicios en la nube. Por ejemplo, el robo de credenciales de Microsoft 365 les permite configurar palabras clave que se reenvían a una cuenta de correo con la finalidad de preparar un fraude al CEO.

3º Ataques a escritorios remotos; Debido a la situación actual de pandemia y la necesidad del teletrabajo, muchas empresas publicaron los escritorios remotos de los empleados en Internet, sin una seguridad adicional como puede ser una VPN.

4º Fraudes al CEO; la situación de teletrabajo ha hecho que exista un mayor aislamiento del personal, con lo cual han aumentado los casos de suplantación del Director General.

Implantar política de Acceso Remoto Seguro

Acceso Remoto Seguro

  • El Centro Criptológico Nacional publica un “Abstract” con medidas de seguridad para este tipo de accesos.
  • El documento presenta dos soluciones en función de las capacidades de la organización que debe implementarlo: solución basada en la nube o en sistemas locales.

La implementación de una solución de acceso remoto es un reto desde el punto de vista de la seguridad y la gestión para cualquier organización. Así lo reconoce el “Abstract” publicado por la Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, que lleva por título: “Medidas de seguridad para Acceso Remoto”.

El documento recoge dos soluciones para la implementación de un sistema de acceso remoto seguro en función de las capacidades de la organización. De un lado, la solución basada en la nube que permite un despliegue rápido de una solución de acceso remoto seguro, aunque no se disponga de una gran capacidad dentro de la Organización.

De otra, una solución basada en sistemas locales, on-premise, en la que se extienden los límites de la organización más allá de sus instalaciones. En este caso, se despliegan portátiles configurados y bastionados para que puedan utilizar Internet como medio de acceso para acceder de forma segura a los servicios corporativos.

Correos electrónicos, salas de reuniones virtuales, conexiones con proveedores o procedimientos de actuación de las personas o equipos con acceso remoto son algunos de los puntos recogidos en el Abstract publicado por el CCN-CERT.

Por último, el documento aporta una serie de recomendaciones genéricas para el acceso remoto y dos anexos con todos los detalles de cada una de las soluciones planteadas.

Fuente: CCN-CERT (10/03/2020)

Medidas de seguridad para Acceso Remoto