Los ciberdelincuentes utilizan cada vez más certificados SSL para difundir malware


Las empresas que no realizan inspecciones SSL adecuadas ahora corren un riesgo mucho mayor de ser violadas o atacadas, según un informe de Menlo Protection.

A pesar de que casi el 52% de los principales un millón de sitios world-wide-web tienen «https» en lugar del tradicional «http» en su URL, Menlo Stability publicó un informe el martes con datos que indican que las empresas que no realizan inspecciones SSL adecuadas están ahora en un nivel mucho más alto riesgo de ser violado o atacado.

Estudios recientes han demostrado que los ciberdelincuentes que construyen sitios de phishing ahora también usan SSL, lo que complica los esfuerzos de las empresas para mantener a sus empleados seguros. La investigación de Menlo Safety reveló que si bien el 96.7% de todas las visitas net iniciadas por los usuarios se realizan a través de https, solo el 57.7% de los enlaces URL en los correos electrónicos resultan ser https, lo que significa que los servidores proxy o firewall net serán ajenos a las amenazas a menos que las empresas activen la inspección SSL.

«Si crees que el pequeño candado verde de https es igual a seguridad, piénsalo de nuevo», dice el informe. «La mala noticia es que los malos también usan encriptación. Muchas personas asumen erróneamente que, siempre y cuando haya un certificado SSL, están a salvo de ataques, pero eso no podría estar más lejos de la verdad. De Reductor a Godlua y muchas otras variantes, ha quedado muy claro que se están secretando nuevos tipos de malware detrás de un símbolo que alguna vez se consideró seguro «.

Según el informe, las empresas han dependido durante mucho tiempo de servidores proxy locales y firewalls de próxima generación para la visibilidad y el regulate del acceso world-wide-web. Pero cuando se trata de descifrar e inspeccionar sesiones SSL, según el informe, «muchas empresas se han retrasado en parte debido a problemas de privacidad y en parte al rendimiento de estos servidores proxy con el descifrado SSL activado. No es raro que el rendimiento normal de estos dispositivos caer por un issue de cinco o más cuando el descifrado SSL está activado «.

VER: Consejos para elegir la mejor VPN para sus necesidades (PDF gratuito) (TechRepublic)

El cambio a https desde http se debe en gran parte a Google, que comenzó a colocar a los sitios world wide web https en una posición más alta en su clasificación como una forma de promover sitios más seguros en 2014. Docenas de navegadores ahora hacen cosas similares en términos de promover enlaces https sobre http , pero en los últimos años se ha abusado de esta práctica gracias a las herramientas ampliamente disponibles para que los creadores de sitios world wide web cifren sus sitios.

De las amenazas en los sitios world wide web https, el 47.1% ejecuta program de servidor susceptible y el 41.5% aparece como un sitio no categorizado, el 66.8% del tráfico que no es del navegador es a través de SSL y, de las amenazas conocidas, el 90.6% de las sesiones https generadas por la máquina son sitios world-wide-web sin clasificar, señala el informe.

En una entrevista, el director de tecnología de Menlo Security, Kowsik Guruswamy, explicó que el descifrado SSL generalmente se realiza mediante dispositivos locales y lo que su empresa ha descubierto es que muchas empresas tienen dos razones principales para no activar el descifrado SSL.

El primero es la privacidad porque la mayoría de las empresas desconfían de buscar en qué enlaces hacen clic sus empleados. Pero para las empresas en industrias reguladas, se ha convertido en un requisito descifrar y analizar todo. La desventaja es que cuando estas empresas activan el descifrado SSL en los dispositivos de components, su rendimiento se cut down en un issue de cinco, si no más.

«Están atrapados en esta roca y en un lugar difícil. Por un lado, las regulaciones dictan que deben tener esta capacidad, especialmente para incidentes. Necesitan evidencia. Por otro lado, necesitan muchos más electrodomésticos de estos proveedores para hacer eso. En nuestra propia nube, estamos viendo un 95% o más del tráfico que se sirve a través de SSL. Tanto bueno como malo «, dijo Guruswamy.

«Para el tráfico iniciado por el usuario en la nube, el 97% de los sitios world wide web están siendo atendidos a través de https. La importancia para la empresa es que si no hacen la inspección SSL, los usuarios no están protegidos en absoluto».

Las cosas han cambiado drásticamente en los últimos meses, ya que casi todos se han mudado de los espacios de trabajo de la oficina. Antes de la pandemia de coronavirus, la mayoría de los empleados regresaban a las oficinas corporativas sin importar si trabajan desde una sucursal. A partir de ahí, todo el tráfico estaría sujeto a las inspecciones que se realicen en la pila de seguridad en la sede corporativa.

Pero ahora, dijo Guruswamy, los clientes de Menlo, que incluyen a muchos de los bancos y compañías de tarjetas de crédito más grandes del mundo, les dicen que su infraestructura VPN se está agotando porque solo planearon que el 1% -5% de sus empleados trabajen de forma remota.

«Pero eso está completamente invertido ahora. Debido a que la VPN se está abrumando, cada vez más compañías dicen básicamente: &#39Mira, no puedes ver YouTube o ver las noticias cuando estás conectado a través de la VPN, tienes que ir directamente&#39. Entonces, una vez que las personas comienzan a ir directamente, no tienen protección alguna y la compañía también pierde visibilidad del tráfico en términos de SSL o no «, agregó Guruswamy.

«Lo que estamos descubriendo es que alrededor del 47% de los sitios world wide web https están ejecutando software package muy viejo y vulnerable basado en las versiones que se informan. Y cuando lo comparamos con los números CVE y todas las vulnerabilidades conocidas en nuestra pila, hay todas estas versiones antiguas de WordPress que se están ejecutando que son vulnerables pero se venden a través de SSL. Eso es un problema «.

En el informe de Menlo, la compañía descubrió que la mayoría de los correos electrónicos contienen 30-40 enlaces y muchas personas generalmente solo hacen clic en uno. Más del 90% de los enlaces en los que las personas hacen clic son https, lo que significa que hay poca protección contra los enlaces de phishing.

En estos días, Guruswamy señaló que la mayor parte del tráfico, tanto bueno como malo, se realiza a través de https, incluidos sitios de phishing, sitios de malware, dominios de estacionamiento, así como sitios de comando y handle que son esencialmente puntos finales infectados que llaman a World wide web.

«En algún momento, tendrás que verlo porque todo, bueno o malo, está llegando a las SS», dijo Guruswamy. «Si no está descifrando, está en un gran problema. Básicamente no tiene forma de saber qué entra o sale de su pink. Está conduciendo a ciegas».

Ver también

Ventana del navegador de Internet que muestra el icono de bloqueo durante la conexión SSL

Marc Bruxelle, Getty Photographs / iStockphoto



Enlace a la noticia primary