Archive

ModSecurity

ModSecurity es un módulo de seguridad para servidores web que proporciona una capa de protección contra ataques comunes y personalizados. En este artículo, explicaremos qué es ModSecurity, cómo funciona, cómo detiene los ataques y por qué es conveniente implantarlo en nuestro sitio web.

¿Qué es ModSecurity?

ModSecurity es un módulo de seguridad para servidores web Apache, Nginx e IIS que actúa como un firewall de aplicaciones web (WAF). Un WAF es un sistema que filtra y bloquea el tráfico malicioso que intenta explotar vulnerabilidades en las aplicaciones web. ModSecurity se puede configurar para detectar y prevenir ataques como inyección SQL, cross-site scripting (XSS), inclusión remota de archivos (RFI), denegación de servicio (DoS), entre otros.

¿Cómo funciona ModSecurity?

ModSecurity funciona mediante el análisis de las peticiones HTTP que llegan al servidor web y las respuestas que se generan desde el mismo. ModSecurity utiliza un conjunto de reglas que definen los patrones de comportamiento anómalo o malicioso que se quieren bloquear. Estas reglas se pueden personalizar según las necesidades de cada sitio web, o se pueden utilizar reglas predefinidas como las del OWASP Core Rule Set (CRS), que cubren los ataques más comunes.

Cuando ModSecurity detecta una petición o una respuesta que coincide con alguna de las reglas, puede realizar diferentes acciones, como:

– Permitir el paso de la petición o la respuesta sin modificarla.
– Denegar el paso de la petición o la respuesta y devolver un código de error al cliente.
– Redirigir la petición o la respuesta a otra URL.
– Modificar la petición o la respuesta para eliminar o añadir algún elemento.
– Registrar el evento en un archivo de log o en una base de datos.

¿Cómo detiene ModSecurity los ataques?

ModSecurity detiene los ataques mediante el bloqueo de las peticiones o las respuestas que contienen elementos sospechosos o malintencionados. Por ejemplo, si una petición contiene una cadena como ‘OR 1=1’, que es típica de una inyección SQL, ModSecurity puede bloquearla y devolver un código de error 403 al cliente, evitando así que el ataque llegue a la base de datos. De esta forma, ModSecurity protege al sitio web de posibles daños o robos de información.

¿Por qué implantar ModSecurity?

Implantar ModSecurity tiene varias ventajas para la seguridad y el rendimiento de nuestro sitio web, tales como:

– Aumenta la protección contra ataques conocidos y desconocidos, ya que ModSecurity puede adaptarse a las nuevas amenazas mediante la actualización o la creación de nuevas reglas.
– Reduce el riesgo de sufrir brechas de seguridad, fugas de datos o pérdida de reputación, ya que ModSecurity evita que los atacantes accedan a información sensible o comprometan el funcionamiento del sitio web.
– Mejora el rendimiento del servidor web, ya que ModSecurity reduce la carga de trabajo al filtrar el tráfico malicioso antes de que llegue a las aplicaciones web.
– Facilita el cumplimiento de normativas y estándares de seguridad, como el PCI DSS, el GDPR o el ISO 27001, ya que ModSecurity ayuda a mantener un nivel adecuado de seguridad en las aplicaciones web.

En conclusión, ModSecurity es un módulo de seguridad para servidores web que ofrece una capa adicional de defensa contra los ataques a las aplicaciones web. Su funcionamiento se basa en el análisis y el filtrado del tráfico HTTP mediante reglas que se pueden personalizar según las necesidades de cada sitio web. Su implantación supone una mejora en la seguridad y el rendimiento del sitio web, así como una mayor facilidad para cumplir con las normativas y los estándares vigentes.

ISPACTIVO tiene la instalación de ModSecurity en todos sus servidores, con el fin de elevar la protección de nuestros clientes.

Alguien está enviando correos usando mi dominio

Mail Spoofing

El Mail Spoofing es cuando un usuario recibe un correo de su propio dominio, pareciendo como si ella/él fueran el propio emisor.

En la mayoría de los casos estos envíos son externos, es decir, se usa como remitente del mensaje la dirección de correo del propio usuario u otro de su mismo dominio (existente o no), sin embargo, esto no significa que el correo se haya generado en su servidor o que se haya violado la seguridad de su correo, simplemente se utiliza algún tipo de programa para simular que el remitente pertenece al mismo dominio que el destinatario y así pasar algunos filtros comunes de correo entrante.

Si consideras que tu cuenta de correo ha sido comprometida, por favor cambia la contraseña por una más fuerte y si continuas recibiendo correos enviados en tu nombre que no has enviado tú, por favor copia los encabezados de uno de esos correos en un Ticket para nuestro equipo de soporte técnico. Nosotros podremos verificar y asegurarnos que dicho correo no provenga de ninguna de tus cuentas y tomar las medidas necesarias.

Con los encabezados que envíes será suficiente para identificar el servidor responsable del envío de correos no autorizados,

Si has recibido un correo similar al ejemplo, tranquilo tu dispositivo no ha sido “hackeado”. Se trata de un intento de estafa, que se basa en la ingeniera social para intentar engañar a la víctima y que realice un pago económico bajo el pretexto de no difundir supuesto material comprometido suyo.

¿Cómo se realizan estas campañas?

Se trata de una modalidad conocida como Spoofing que consiste en suplantar el servidor y hacer parecer que el dominio es de una dirección de confianza. Para lograrlo los cibercriminales se “conectan con servidores de correo,  que permiten reenviar mensajes utilizando un alias diferente, que en este caso sería la cuenta de la persona”.

El Protocolo Simple de Transferencia de Correo (SMTP) no fue diseñado para autenticar a los remitentes ni verificar la integridad de los mensajes recibidos. Por lo tanto, es fácil alterar o suplantar el origen de un correo electrónico”.

Ejemplo de email enviado

A continuación adjuntamos un ejemplo de los que suelen enviar los atacantes, indicando que nos han hackeado y nos solicitan el pago mediante bitcóin para no difundir este contenido supuestamente sensible.

Spoofing mail

 

Recomendaciones para evitar ser víctima de estos fraudes:

  1. No abra correos de usuarios desconocidos o que no hayas solicitado, eliminarlos directamente.
  2. No conteste en ningún caso a estos correos, ni envíe información personal.
  3. Tenga siempre actualizado el sistema operativo y el antivirus.
  4. Utilice contraseñas seguras y distintas para servicios diferentes. Utilizar un gestor de contraseñas le facilitará esta tarea.
  5. Utilizar el doble factor de autenticación siempre y cuando esté disponible en el servicio utilizado.

Las principales amenazas en ciberseguridad 2020

Durante este último e insólito 2020, los ataques más frecuentes han sido los siguientes:

1º Ransomware; A través del cual se pretende cifrar la información para pedir luego un rescate. El medio más frecuente ha sido el phishing, suplantando la identidad de diferentes instituciones como; OMS, Ministerio de trabajo, Servicio Público de Empleo(..)

La última versión es que primero exfiltran la información antes de cifrarla pidiendo un rescate a la empresa amenazando con publicarla sino lo realizan.

2º Robo de credenciales; El modo de proceder también ha sido el phishing, así obtienen las credenciales de los usuarios y acceden a sus cuentas bancarias y servicios en la nube. Por ejemplo, el robo de credenciales de Microsoft 365 les permite configurar palabras clave que se reenvían a una cuenta de correo con la finalidad de preparar un fraude al CEO.

3º Ataques a escritorios remotos; Debido a la situación actual de pandemia y la necesidad del teletrabajo, muchas empresas publicaron los escritorios remotos de los empleados en Internet, sin una seguridad adicional como puede ser una VPN.

4º Fraudes al CEO; la situación de teletrabajo ha hecho que exista un mayor aislamiento del personal, con lo cual han aumentado los casos de suplantación del Director General.