Cabecera Home
Revista Segurilatam Edición impresa
Síguenos:
Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Daniel Junqueira, Ingeniero de Ventas de Netskope para Latinoamérica

El ‘ransomware’ Locky impacta de lleno en los servicios CRM Cloud

Los servicios de Gestión de Relaciones con los Clientes (CRM, por sus siglas en inglés) en la nube ofrecen un rico entorno de colaboración para que los equipos distribuidos compartan archivos procesados con usuarios internos y socios externos.

Por ello, este tipo de servicios son comúnmente utilizados para almacenar la información más crítica de los clientes y compartir datos con los usuarios corporativos a través de la web y aplicaciones de ecosistemas nativos.

Ahora bien, aunque es cierto que este valioso medio colaborativo proporciona una eficiente plataforma para el desarrollo de CRM, también lo es su ascenso como hábitat propicio para la propagación de ataques. Netskope Threat Research Labs ha comprobado cómo el vector CRM Cloud está siendo utilizado para difundir el ransomware Locky a través de la función DDE de Microsoft Office.

Ciertamente, el desarrollo de los servicios cloud interconectados está abriendo nuevas rutas para que los archivos maliciosos alcancen los servicios CRM Cloud. Lo peor es que, una vez dentro, el malware puede llegar a los desprevenidos usuarios a través de flujos de trabajo CRM implícitos y/o por medio de funciones de colaboración.

Archivos maliciosos

La entrega de malware desde los servicios de CRM en la nube comienza generalmente con la carga de archivos maliciosos en el servicio CRM Cloud. Así, por ejemplo, un usuario que utilice un dispositivo no administrado e inseguro podría subir archivos al CRM corporativo. Dado que muchas empresas brindan a sus proveedores y socios acceso a sus servicios CRM para incorporar documentos como facturas u órdenes de compra, este paso sería sencillo. Además, los archivos insertados llevan implícito un alto nivel de confianza y suelen ser de carácter urgente. Por lo tanto, la empresa no tiene control alguno sobre el dispositivo asociado y, lo más importante y peligroso, tampoco sobre los archivos que se cargan desde ellos y que, a menudo, pasan como flujos de trabajo automatizados.

Una vez que los archivos ingresan en la secuencia de colaboración y son compartidos en los servicios de CRM en la nube, ya se consideran documentos revisados. Tras ello, cualquier miembro del departamento de ventas u otro usuario involucrado en el proceso de relación con el cliente podría abrir los archivos considerando que son seguros. Si a esta puesta en escena se le acompaña de nombres de archivos recurrentes como Factura*.doc o Pedido*.doc, el escenario está preparado para una infección.

Ataques DDE

El protocolo de Intercambio Dinámico de Datos (DDE, por sus siglas en inglés) es uno de los métodos proporcionados por Microsoft para permitir que dos aplicaciones en ejecución compartan los mismos datos. Los atacantes recurren al DDE para lanzar scripts maliciosos como PowerShell desde la línea de comandos. Esto se logra insertando un enlace en el campo del DDE para descargar y ejecutar la carga maliciosa. Aunque esta técnica de explotación no necesita macros para habilitar la ejecución de código malicioso, sí requiere la participación del usuario. Para engañarle, los piratas utilizan ingeniosos trucos de ingeniería social.

Nuevo desafío

El ransomware Locky, que se sirve de diferentes técnicas de ataque para evadir las soluciones de seguridad tradicionales, continúa de actualidad. El uso de la metodología de ataque DDE que no requiere macros es una técnica recientemente utilizada para permanecer indetectable. La popularidad y el rápido crecimiento del uso de servicios de CRM en la nube, junto a la confianza implícita de los usuarios sobre los archivos que se incluyen en dichos servicios, están propiciando un aumento de la superficie de ataque del malware. Esto plantea un nuevo desafío para las TI empresariales y las organizaciones de seguridad.

Implementando una solución de seguridad diseñada para el cloud y de múltiples capas de protección como Netskope Threat Protection, las empresas pueden identificar estas amenazas en cualquier servicio y remediar antes de que sea demasiado tarde.

Volver

Recibe GRATIS noticias en tu e-mail

¿Quieres estar informado? Ya puedes suscribirte de forma gratuita a nuestra newsletter