En la actualidad, Colombia se encuentra enfrentando una creciente amenaza cibernética proveniente de diversos grupos que buscan aprovechar las vulnerabilidades presentes en la infraestructura nacional y territorial. Estos ataques tienen como objetivo principal obtener beneficios económicos, pero también pretenden afectar la legitimidad y estabilidad del estado. Ante esta situación, es de vital importancia que las entidades y organizaciones adopten medidas sólidas de seguridad digital.

El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) ha emitido un documento en el cual se recomiendan una serie de acciones con el fin de prevenir estos ataques. Entre las recomendaciones destacan la implementación de protocolos de autenticación, como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance), para fortalecer la seguridad de los dominios de correo electrónico. Además, se sugiere establecer políticas rigurosas de gestión de contraseñas y control de acceso a los sistemas y redes, ya que estos elementos suelen ser puntos vulnerables en la infraestructura tecnológica.

Asimismo, se hace hincapié en la importancia de mantener actualizado el inventario de activos de información, lo cual permite tener un panorama claro de los recursos y sistemas tecnológicos que deben ser protegidos. Igualmente, es necesario actualizar regularmente la matriz de riesgos de la entidad, de manera que se puedan identificar y evaluar los posibles riesgos cibernéticos a los que se enfrenta.

Lea el reporte completo aquí

Para mantener un nivel adecuado de seguridad, también se aconseja llevar a cabo análisis de vulnerabilidades en las plataformas expuestas en Internet, a fin de detectar y corregir posibles debilidades en los sistemas. Además, se recomienda actualizar y poner en funcionamiento el Plan de Recuperación ante Desastres (DRP, por sus siglas en inglés), el cual establece los procedimientos y acciones a seguir en caso de un incidente de seguridad.

Es importante destacar que se ha alertado sobre la presencia de nuevos actores de amenazas en América Latina, como el “Royal Ransomware Group”, que utilizan técnicas de ataque conocidas y se aprovechan de las vulnerabilidades presentes en sistemas operativos como Windows y Linux, dispositivos de comunicación y equipos activos. Por lo tanto, se enfatiza en la necesidad de que las entidades y organizaciones adopten una postura de seguridad digital orientada a la prevención, protección y reacción ante incidentes, para estar preparados y responder de manera eficiente a cualquier ataque o intento de intrusión.

Se ha venido detectando que los nuevos actores de amenazas que vienen operando en América Latina, como “Royal Ransomware Group”, utilizan no solo técnicas de ataque conocidas, sino que evolucionan y que permiten explotar vulnerabilidades a sistemas Windows, Linux, dispositivos de comunicación y equipos activos a medida que son publicados en internet. Acorde con lo señalado por CISA en se sabe “que esta variante, que utiliza su propio programa de encriptación de archivos personalizado, evolucionó a partir de iteraciones anteriores que usaban “Zeon” como cargador. Después de obtener acceso a las redes de las víctimas, los actores de Royal desactivan el software antivirus y filtran grandes cantidades de datos antes de finalmente implementar el ransomware y cifrar los sistemas. … En los incidentes observados, los actores de Royal no incluyen montos de rescate ni instrucciones de pago como parte de la nota de rescate inicial. En cambio, la nota, que aparece después del cifrado, requiere que las víctimas interactúen directamente con el actor de la amenaza a través de un.onionURL (accesible a través del navegador Tor ). En el siguiente link se pueden encontrar los IoC relacionados a la temática: https://www.cisa.gov/sites/default/files/2023-03/aa23-061a.stix__0.xml

Se prevé que estos grupos masifiquen sus ataques afectando Infraestructura Critica Cibernética – ICC del país, aprovechándose de las vulnerabilidades y configuraciones incorrectas de los sistemas de control industrial (ICS) y los dispositivos de tecnología operativa (OT) expuestos a Internet.

En caso de detectar algún incidente de seguridad, se recomienda encarecidamente contactar al COLCERT (Equipo de Respuesta a Incidentes de Seguridad Informática de Colombia) para reportarlo y recibir asesoramiento especializado. Esta entidad tiene como objetivo principal coordinar y facilitar la respuesta ante incidentes de seguridad informática a nivel nacional.

Acciones inmediatas

• Implementar el doble factor de autenticación en las cuentas de correo. En el siguiente
link encontrara información sobre la configuración de MFA en Office 365:
https://learn.microsoft.com/es-es/microsoft-365/admin/security-and-compliance/set-upmulti-factor-authentication?view=o365-worldwide
Evitar a toda costa compartir credenciales (usuario/contraseña) de cuentas de correo
corporativas, así mismo evitar utilizar éstas en redes sociales, apertura de servicios en
línea, servicios financieros externos a la entidad, entre otras. En el siguiente link
encontrara una herramienta en línea para crear contraseñas seguras.
https://support.microsoft.com/es-es/topic/use-generador-de-contrase%C3%B1as-paracrear-contrase%C3%B1as-m%C3%A1s-seguras-en-microsoft-edge-e9247e35-684b4114-bb5efdea3e4ae3ff#:~:text=C%C3%B3mo%20funciona%20el%20generador%20de,segura%
20en%20un%20men%C3%BA%20desplegable.

• Actualizar la matriz de riesgos y ajustar los controles para proteger activos vulnerables,
sistemas y aplicaciones legadas.

• Actualizar a su última versión los sistemas de gestión de contenido CMS (Content
Management System) y realizar el afinamiento a la configuración para evitar exponer
información de configuración a través de directorios.

• Validar el despliegue de los agentes de antivirus en computadores y servidores, en la
consola para validar el cubrimiento total de la infraestructura tecnológica de la entidad.

• Establecer y operacionalizar procedimientos detallados para la generación de copias de
seguridad
• Realizar actualización de seguridad a sistemas operativos a computadores, servidores,
equipos activos de red y seguridad informática.

• Realizar un monitoreo a los eventos de seguridad y logs de las plataformas (FW,
IDS/IPS, DA, AV, WAF, Balanceador, BD, SW) para identificar Indicadores de Amenaza
– IoA.

• Implementación protocolo autenticación como SPF, DKIM y DMARC para su dominio
de correo.
Recomendaciones Generales
• Establecer una política de gestión de contraseñas.

• Establecer una política de control de acceso.

• Actualizar el inventario de activos de información incluyendo los de nube.

• Actualizar la matriz de riesgos de la entidad contemplando las infraestructuras onpremises y de nube.

• Realizar análisis de vulnerabilidades plataformas expuestas en internet y realizar planes
de mitigación de éstas.

• Actualizar y operacionalizar el Plan de Recuperación ante Desastres DRP.

• Realizar pruebas de continuidad de la operación, para cada una de las copias de
seguridad generadas.

• Actualizar o implementar soluciones de antivirus para tener mayor visibilidad como
soluciones EDR (Endpoint Detection and Response) para proteger dispositivos y XDR
(Extensive Detection and Response) para proteger redes, aplicaciones y datos

• Implementación de DNSSEC, en su sistema de Dominio, para garantizar la confiabilidad
y credibilidad de éste en la entidad. 

Referencia: https://colcert.gov.co/800/articles-276383_Documento_1.pdf