Skip to content

Panda Security lanza el Servicio de Alerta de Ataques Dirigidos para entidades financieras y negocios online

Publicado por Sergio Hernando el 10 septiembre 2007

Las tendencias en robo de credenciales (phishing) y ataques han cambiado radicalmente en los últimos tiempos. Del escenario de correo phishing, teléfonos ardiendo, cierre del sitio y todos respiramos tranquilos hemos pasado al escenario de los ataques silenciosos, en el que los troyanos no levantan apenas señales de alarma, y en el que es absolutamente imprescindible que los servicios 24x7 en los que confiemos descansen lo mismo que los atacantes, es decir, nada. No podemos permitir despistarnos ni un sólo segundo.

Este cambio de escenario conlleva que necesariamente, los servicios de seguridad que las empresas ofertan al mercado deban transformarse igualmente, ya que de lo contrario, serán completamente inservibles. En este contexto, la información que probablemente más puede interesar a una entidad afectada es conocer el comportamiento de los troyanos que se diseñen para robar credenciales de sus clientes, como primer disparador de las medidas de contención, que son muchas y variadas, pero que siempre requieren de un primer pistoletazo de salida para ser activadas.

Panda Security, que lleva ya bastante tiempo diversificando su actividad empresarial, ha presentado un servicio que a buen seguro más de un cliente potencial agradecerá: El Servicio de Alerta de Ataques Dirigidos, especialmente enfocado, según la nota de prensa del fabricante antivirus, a entidades financieras y negocios online.

panda malware radar

La idea es bien sencilla: ¿qué sucede cuando recibes muchas muestras de malware al día y las sometes sistemáticamente a análisis forense? Pues que tienes material suficiente para poder emitir un servicio de alertas con la información que emane de esos análisis (URLs maliciosas, botnets de control, FTPs con datos, correos receptores de credenciales, etc.)

¿Y qué sucede cuando ese malware está casi exclusivamente al robo de credenciales bancarias y de negocios online? Que le pones en bandeja a este tipo de clientes un servicio verdaderamente útil para abordar la prevención de delitos tecnológicos.

Cito textualmente la nota de prensa:

El funcionamiento del Servicio de Alerta de Ataques Dirigidos es el siguiente: se analizan, de forma manual y/o automática todos los ejemplares que se reciben en PandaLabs, observando si pueden ser sospechosos de afectar a una entidad financiera o negocio online. En caso de encontrar alguno, un ingeniero del laboratorio analiza su funcionamiento.

Si se observa que, finalmente, ese ejemplar puede convertirse en un riesgo real se procede a su análisis completo. Al cliente se le entrega un Informe Forense que detalla la identificación del ejemplar, sus técnicas de monitorización, los métodos de captura de datos confidenciales e identidad, los sistemas que emplea para el robo de información, los sitios donde guarda los datos robados, la detección, observaciones de la investigación como país de procedencia, URLs que monitoriza, métodos de infección del sistema host, pantallas visuales que presenta, etc.

El Informe Forense realizado por PandaLabs incluye todas las características relevantes de cada ataque: malware implicado, entidad bajo ataque, cadenas detectadas dentro del código, datos técnicos, efectos y consecuencias, modos de actuar, víctimas potenciales, síntomas visibles, etc. De este modo, la empresa podrá protegerse a sí misma y a sus clientes de la manera más adecuada.

El servicio de Alerta de Ataques Dirigidos se comercializa tanto en forma de suscripción anual como mediante packs de informes. No sé si se ofrecen demos a los posibles clientes interesados, pero para eso está el departamento de atención al cliente, en el que os podéis informar sobre el servicio.

Una buena idea que no creo les cueste mucho rentabilizar, porque clientes interesados no van a faltar, no sólo a nivel nacional, sino internacional. En lo que a mí respecta, lo único que puedo decir es que he visto algún informe forense de malware de los ingenieros de Panda, y los veo concisos, completos y adecuados, con lo cual los recomiendo.

Sobre el servicio de alertas no he tenido acceso a él, pero intuyo que se basará en la distribución de los informes mediante correo electrónico. Si alguien de Panda lee esto y quiere que amplíe información, que me contacte y me haga llegar una muestra de alerta :)

Un saludo,

Be Sociable, Share!

Categoría/s → Forensics

4 comentarios
  1. 11 septiembre 2007

    Precisamente si hay alguien de Panda que lee tu blog regularmente :)

    En cuanto al servicio de alerta, es algo que lleva en marcha desde principios de año con unos cuantos bancos nacionales e internacionales, pero no lo hemos publicitado masivamente hasta ahora.

    Desafortunadamente los informes son confidenciales y no se pueden postear, pero un ejemplo de información que aportamos acerca de troyanos bancarios la puedes encontrar en mi blog:
    http://research.pandasecurity.com/archive/eCrime-2007-Congress.aspx

    De todas formas si tienes interés en el tema contacta conmigo y te enseño algunas cosas más en detalle.

  2. 12 septiembre 2007
    jcbarreto permalink

    Hola… a Sergio y Pedro. No me conocéis, pero yo sí a vosotros, al menos de leer vuestros blogs :-)

    Me alegro que Panda ofrezca tales servicios; desde luego “la sociedad y las empresas” os necesitan :-)

    Aprovecho esta entrada en el blog para sugerir (o preguntar si ya estáis en ello ;-) ) nuevos servicios que una compañía como Panda puede ofrecer, ya sea dirigido a empresas y/o usuarios finales, no lo tengo claro:

    (a) Detección de EXPLOITS en la web. En la línea del producto LinkScannner de http://www.explabs.com. No dejéis que se os adelanten mucho otras compañías.

    Un detalle está en… el *nombre adecuado* que se asigne al producto o servicio.

    Ej, si bien útil, difícilmente a los “usuarios medios” (trademark :-) les llamaría la atención un producto que se llamase “Panda Anti-exploit” al lado del producto “Anti-virus” de toda la vida, o como nueva feature de éste último.

    Así que, a devanarse los sesos, señores de marketing, no sólo los tecnólogos, que ya tienen con los Mpack, Icepacks, IFRAMES y megalistado de CVE’s *

    Ej: LinkScanner detecta que el sitio web:
    www dot johnhsawyer dot com (que pareciera ser un sitio web/weblog como el de SAHW, pero en ingles…!) lanza un EXPLOIT [sólo la *primera* vez que se visita]

    Porlo visto lanza aleatoriamente (más bien, premeditadamente) distintos EXPLOITS / downloader de kits, en función del navegador o de la hora o de un randomizer. Uno de ellos es el “Q406 rollup” que me gustaría saber qué contiene. Evidentemente (para nosotros, nolos “usuarios medios”) esto explota si no se está parcheado (ej: MDAC / MS06-00X, etc)

    (b) Inteligencia colectiva basada en “whitelists + graylists + blacklists”. En la línea del producto de http://www.prevx.com . el nombre de inteligencia colectiva lopongo por un whitepaper de Pedro Bustamente en Panda Research que leí -a medias- recientemente.

    Sinceramente, creo que esta línea es, a fecha de hoy, *fundamental* para combatir el malware como tal. Antivirus de sólo “listas negras” … is not enogh; vosotros lo sabéis mejor que la gran mayoría (;-)

    (c) Se me ocurren otros “servicios”, pero eso es para después.

    Un abrazo y gracias por compartir en la web (conocimientos ;-)

    (malware != exploit)

  3. 13 septiembre 2007

    Pedro,

    Creo que nos leemos mutuamente entonces :)

    Si quieres pasarme algún material de estudio, siéntete libre de hacerlo en la dirección sergio EN-EL-DOMINIO sahw.com

    Indícame si es material público y distribuíble, o si por el contrario está sujeto a confidencialidad, para tratarlo adecuadamente :)

    jcbarreto,

    Buenas sugerencias, estoy seguro de que Pedro tomará nota y trasladará a quien corresponda las sugerencias.

    Un saludo a ambos :)

Trackbacks & Pingbacks

  1. trendnewhot

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS