Tipo de notificaciones

Notificación que alerta sobre errores en la configuración DKIM. Puede tratarse de una detección de un fallo en dicha configuración o también de la ausencia de la misma.

DKIM (Domain Keys Identified Mail) es una técnica utilizada para la autenticación de correo electrónico que permite al receptor ver que un email fue enviado y autorizado por el dueño de ese dominio. Se trata de un encabezado que se añade al mensaje (DKIM-Signature), asegurando el cifrado y añadiendo una firma digital al correo.

Notificación que alerta sobre errores en la configuración DMARC. Puede tratarse de una detección de un fallo en dicha configuración o también de la ausencia de la misma.

DMARC (Autenticación de mensajes, informes y conformidad basada en dominios, del inglés Domain-based Message Authentication, Reporting & Conformance) es una técnica de autenticación de correos electrónicos. Con DMARC, un dueño de un dominio publica un registro DMARC y ganará percepción y control sobre el correo electrónico enviado en su nombre. Puede usar DMARC para proteger sus dominios contra el abuso en phishing o ataques de redireccionamiento

Notificación que alerta sobre errores en la configuración de certificados SSL/TLS que no cumple con las recomendaciones para asegurar la seguridad de la comunicación. Esta alerta puede generarse tanto por detectar que no se cumplen los estándares actuales de seguridad, como por no utilizar cifrado.

El protocolo TLS (Transport Layer Security) es una versión actualizada y más segura de SSL. Aunque generalmente se habla de certificados SSL, al comprar o utilizar utilizar un certificado moderno, lo normal es que se traten de certificados TLS, que habilitan cifrados como ECC, RSA o DSA.

Ambos permiten la confianza con sitios web, ya que los datos se comparten de manera privada y segura utilizando métodos criptográficos.

Notificación que alerta que algún dispositivo perteneciente a una organización establece conexión con un panel de comando y control de una botnet, hecho que demuestra una probable infección.

Una botnet, es un grupo de equipos infectados y controlados por un atacante de forma remota. Los equipos que forman parte de una botnet son llamados “bots” o “zombies” y son controlados tras sufrir una infección de malware. El objetivo de un atacante que crea y controla una botnet es lograr el mayor número de integrantes en la misma, para utilizarlos posteriormente en otros tipos de ataque, por ejemplo, de denegación de servicio, distribución de campañas de phishing, etc.

Notificación que alerta sobre alguna vulnerabilidad detectada en el software de un servicio expuesto.

Una vulnerabilidad es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de esta, por lo que es necesario encontrarlas y remediarlas lo antes posible. Estos «agujeros» pueden tener distintos orígenes, por ejemplo: fallos de diseño o errores de configuración.

Por tanto, la existencia y no corrección de una vulnerabilidad en los sistemas los compromete y expone tanto a intrusiones por parte de atacantes externos como a la acción de malwares.

Notificación que alerta de la existencia un servicio FTP expuesto.

FTP es el acrónimo de «Protocolo de Transferencia de Ficheros» (en inglés, File Transfer Protocol). FTP es un protocolo que se utiliza para transferir todo tipo de archivos entre equipos conectados a una red, por ejemplo, Internet.

Las cuentas de FTP son el medio estándar para gestionar el contenido alojado en un servidor web: enviar archivos, descargarlos, crear directorios, borrar ficheros, etc. Cada cuenta FTP se identifica por su nombre de usuario y se valida utilizando una contraseña. Asimismo, cada cuenta de FTP está asociada a un directorio que se comporta como su raíz: el usuario que conecta por FTP puede acceder a los ficheros creados en directorios y subdirectorios a partir de su raíz, pero no más más atrás.

Dado que originalmente no se diseñó como protocolo de transferencia seguro, presenta muchas vulnerabilidades que aprovechan los atacantes.

Notificación que alerta de la existencia un servicio RDP expuesto.

Remote Desktop Protocol (RDP) es un protocolo propietario desarrollado por Microsoft que permite la comunicación para ejecución de una aplicación entre un terminal y un servidor Windows (recibiendo la información dada por el usuario en el terminal mediante el ratón o el teclado).

Este servicio utiliza por defecto el puerto TCP 3389 en el servidor para recibir las peticiones. Se utiliza frecuentemente para el acceso remoto en la administración de equipos, pero también es cada vez más utilizado en la gestión de servicios de terminal o clientes ligeros.

Notificación que alerta de que un dispositivo con el servicio SMB está expuesto públicamente y sin autenticación.

Server Message Block (SMB) es un protocolo de red que permite compartir archivos, impresoras, etcétera, entre nodos de una red de computadoras que usan el sistema operativo Microsoft Windows. Este protocolo pertenece a la capa de aplicación en el modelo TCP/IP.

Se trata de un protocolo que corre habitualmente en el puerto 445/tcp. Este servicio no utiliza cifrado y tiene la posibilidad de revelar información sensible o proporcionar sin saberlo acceso remoto al sistema si está configurado incorrectamente. Además, se trata de un protocolo con numerosas vulnerabilidades conocidas.

Notificación que alerta de un dispositivo con el servicio telnet expuesto públicamente.

Telnet es un protocolo de red, utilizado en Internet para acceder remotamente a una máquina o servidor. Permite acceder a la línea de comandos del servidor, para realizar cualquier tipo de administración del sistema.

Telnet no está considerado un protocolo seguro. Cuando nos conectamos por telnet con un servidor tenemos que enviar nuestro nombre de usuario y contraseña. Estos datos críticos se envían por medio de texto plano, sin ningún tipo de encriptación, por lo que cualquiera podría leerlos si está "escuchando" nuestras comunicaciones.

Notificación que alerta de un dispositivo con el servicio SSH expuesto.

SSH o Secure Shell, es un protocolo de administración remota que le permite a los usuarios controlar y modificar sus servidores remotos a través de Internet a través de un mecanismo de autenticación. Utiliza, por defecto, el puerto 22.

Proporciona un mecanismo para autenticar un usuario remoto, transferir entradas desde el cliente al host y retransmitir la salida de vuelta al cliente. El servicio se creó como un reemplazo seguro para el Telnet sin cifrar y utiliza técnicas criptográficas para garantizar que todas las comunicaciones hacia y desde el servidor remoto sucedan de manera encriptada.

Pese a que SSH se creó para reemplazar con mayor seguridad a Telnet, una mala configuración y ciertas vulnerabilidades asociadas al protocolo pueden hacer arriesgada la exposición en Internet de este servicio, sobre todo cuando la autenticación no se implementa de manera correcta o con claves fuertes.

Notificación que alerta de un dispositivo con el servicio VNC expuesto.

VNC son las siglas en inglés de Virtual Network Computing (Computación Virtual en Red). Es un programa de software libre basado en una estructura cliente-servidor que permite observar las acciones del ordenador servidor remotamente a través de un ordenador cliente. VNC no impone restricciones en el sistema operativo del ordenador servidor con respecto al del cliente: es posible compartir la pantalla de una máquina con cualquier sistema operativo que admita VNC conectándose desde otro ordenador o dispositivo que disponga de un cliente VNC portado. Un servicio VNC expuesto puede ser el vector de entrada para comprometer la seguridad de una infraestructura.

Notificación que alerta de un dispositivo con el servicio Teamviewer expuesto.

TeamViewer es un software informático “privado” de fácil acceso, que permite conectarse remotamente a otro equipo. Entre sus funciones están: compartir y controlar escritorios, reuniones en línea, videoconferencias y transferencia de archivos entre ordenadores. Utiliza de manera predeterminada el puerto 5938 para sus comunicaciones.

Las sesiones de TeamViewer están codificadas mediante infraestructura de clave pública RSA (1024-bit) y AES (256-bit). En la configuración predeterminada, el programa usa uno de los servidores de TeamViewer.com para conectar el equipo local y el remoto. Sin embargo, en el 70% de los casos, después del protocolo de enlace se establece una conexión directa a través de UDP o TCP.

Como otras herramientas de acceso remoto, su acceso por parte de atacantes puede implicar graves riesgos a la seguridad.

Notificación que alerta sobre una BBDD MySQL expuesta.

MySQL es un sistema para la gestión de base de datos con más de seis millones de instalaciones en el mundo, y que por lo tanto es el más extendido dentro de las aplicaciones relacionadas. MySQL funciona como software libre dentro del esquema de licencias GNU GPL. Es muy utilizado en aplicaciones web como WordPress, PhpBB, MediaWikio Drupal.

La exposición de una BBDD en Internet puede permitir a un atacante el acceso a datos sensibles de una organización.

Notificación que alerta sobre una BBDD MongoDB expuesta.

MongoDB es un sistema de base de datos NoSQL, orientado a documentos y de código abierto. En lugar de guardar los datos en tablas, tal y como se hace en las bases de datos relacionales, MongoDB guarda estructuras de datos BSON (una especificación similar a JSON) con un esquema dinámico, haciendo que la integración de los datos en ciertas aplicaciones sea más fácil y rápida.

La exposición de una BBDD en Internet puede permitir a un atacante el acceso a datos sensibles de una organización.

Notificación que alerta de un sitio web que ha sido comprometido y desconfigurado.

Un defacement es un ataque a un sitio web que cambia la apariencia visual de una página web. Normalmente son producido por ciberdelincuentes que obtuvieron algún tipo de acceso a ella, bien por algún error de programación de la página, por algún fallo en el propio servidor o por una mala administración de éste.