En la administración de infraestructura en la nube, garantizar un acceso seguro y eficiente a los servidores es una prioridad crítica. La exposición innecesaria de puertos y credenciales puede aumentar la superficie de ataque y poner en riesgo la seguridad de los sistemas. Aquí es donde AWS Session Manager se convierte en una solución indispensable, proporcionando acceso seguro, auditado y sin complicaciones a instancias en Amazon EC2 y servidores on-premises.

¿Qué es AWS Session Manager?

AWS Session Manager es una funcionalidad integrada en AWS Systems Manager que permite acceder a instancias sin necesidad de claves SSH o RDP, eliminando la dependencia de una VPN y reduciendo el riesgo de exposición a ataques.

Al utilizar Session Manager, los administradores pueden conectarse a sus instancias de manera segura sin necesidad de abrir puertos en el firewall, lo que facilita la administración, el cumplimiento normativo y la auditoría de accesos.

Ventajas Claves de AWS Session Manager

Mayor Seguridad

• Cifrado de extremo a extremo: La comunicación entre el usuario y la instancia está cifrada mediante AWS Key Management Service (KMS).

• Eliminación de puertos abiertos: No es necesario exponer las instancias a Internet mediante los puertos SSH (22) o RDP (3389).

• Autenticación basada en IAM: AWS Identity and Access Management (IAM) permite definir roles y permisos granulares para acceder a las sesiones.

• Registro y auditoría completa: Todas las sesiones quedan registradas en AWS CloudTrail, proporcionando visibilidad y trazabilidad del acceso a las instancias.

Simplicidad en la Administración

• Acceso sin claves SSH ni credenciales adicionales: Reduce la necesidad de gestionar archivos de clave privada y usuarios en cada servidor.

• Conectividad desde múltiples interfaces: Se puede iniciar sesión desde la consola de AWS, la CLI o el SDK de AWS.

• Facilidad de implementación: Requiere solo la instalación del agente de AWS Systems Manager y la configuración de permisos en IAM.

Auditoría y Registro de Sesiones

• Registro automático de sesiones en Amazon CloudWatch Logs o Amazon S3: Permite analizar actividad sospechosa y realizar revisiones forenses.

• Supervisión en tiempo real: Facilita el seguimiento del acceso a instancias en entornos críticos.

• Cumplimiento normativo: Ayuda a cumplir con estándares de seguridad como ISO 27001, SOC 2, NIST, HIPAA, entre otros.

Cómo Configurar AWS Session Manager

Configurar AWS Session Manager es sencillo y consta de tres pasos principales:

Paso 1: Habilitar AWS Systems Manager en la instancia

• Instale el agente de AWS Systems Manager en la instancia si no está preinstalado.

• Asegurese de que la instancia tenga un IAM Role con permisos adecuados.

Paso 2: Configurar IAM Policies

• Asigne la política AmazonSSMManagedInstanceCore a la instancia.

• Cree roles personalizados para restringir el acceso si es necesario.

Paso 3: Iniciar una sesión con Session Manager

Desde la consola de AWS:

• Diríjase a AWS Systems Manager > Session Manager.

• Seleccione la instancia y hacer clic en “Iniciar sesión”.

• Use la terminal integrada para ejecutar comandos de manera segura.

Desde la AWS CLI:

Casos de Uso de AWS Session Manager

1. Administración de servidores sin necesidad de VPN

Muchas empresas requieren conectividad segura sin implementar VPNs complejas. Session Manager permite a los administradores acceder a instancias sin necesidad de túneles VPN, reduciendo costos y puntos de fallo.

2. Acceso seguro a entornos restringidos

En organizaciones con estrictos requisitos de seguridad, Session Manager facilita la gestión del acceso sin comprometer la protección de la infraestructura.

3. Cumplimiento de regulaciones de seguridad

Gracias a su capacidad de auditoría y registro detallado de sesiones, Session Manager ayuda a las empresas a cumplir con normativas de seguridad y privacidad.

4. Depuración y mantenimiento remoto

En escenarios donde los equipos necesitan diagnosticar y solucionar problemas en servidores, Session Manager brinda acceso rápido sin riesgo de exposición a ataques externos.

Conclusión

AWS Session Manager revoluciona la forma en que los administradores de sistemas acceden a sus servidores en la nube. Con su enfoque en seguridad, facilidad de uso y auditoría, elimina la necesidad de claves SSH y minimiza los riesgos de exposición.

Implementar Session Manager en tu infraestructura AWS no solo mejorará la seguridad y cumplimiento normativo, sino que también optimizará la gestión de accesos y facilitará la administración remota.

---

0 1

Cuando hablamos de inteligencia de fuentes abiertas, OSINT por sus siglas en inglés (Open Source Intelligence), hacemos referencia a un conjunto de técnicas y herramientas utilizadas para la recopilación, análisis y relacionamiento de información pública para transformarla en inteligencia de la información. Estas fuentes son públicas, ejemplo: prensa, radio, televisión, internet e informes de distintos ámbitos que sean accesibles públicamente.

Esta disciplina permite extraer conclusiones importantes para la toma de decisiones. Es aplicable a diferentes entornos tales como la ciberseguridad, gubernamental, industrial y militar, entre otros.

Al hablar de “Inteligencia de Fuentes Abiertas”, Suena un poco complicado, pero en realidad, se trata de usar información que está disponible públicamente para investigar o aprender sobre algo.

Supón que necesitas encontrar información sobre una persona, empresa, entidad, o un tema cualquiera, simplemente usas herramientas y fuentes existentes en internet como: redes sociales, noticias, registros públicos, foros y comunidades en línea, entre otros. Sin embargo, hay información pública que no es muy evidente o sencilla de encontrar. Es por esto que OSINT, cobra especial relevancia, puesto que, aplicando sus técnicas, y herramientas, los resultados de las búsquedas son más efectivas.   

En este post no pretendemos hacer un extenso manual de la aplicabilidad de OSINT, pero si a grandes rasgos mencionar las técnicas y herramientas más utilizadas y que no requieren gran conocimiento técnico en sistemas, para ser aplicadas. Cualquier persona que tenga a la mano un equipo con acceso a internet, un navegador, y muchas ganas de aprender, puede iniciar sus pinitos en OSINT.

Si tu perfil es un poco más avanzado, una buena práctica es instalar una máquina virtual con el sistema operativo de tu preferencia (Linux, OS o Windows), importante que tenga todas las actualizaciones. Luego, instala un navegador, ejemplo: Firefox, Chrome, Brave. Personalmente recomiendo Firefox mozilla por sus complementos.  A continuación, un listado de los complementos recomendados de Firefox y su utilidad.

• Firefox multi-account: Permite separar la navegación web por perfiles en pestañas de navegación diferentes.
• Ublock origin: Bloqueador de publicidad y filtro de contenido web.
• Bulk media downloader: Descargar archivos multimedia de una página web.
• Video download helper: Descarga archivos multimedia.
• Fireshot: Realizar capturas de pantalla en páginas web.
• Nimbus screen capture: Captura de pantalla, incluye editor que permite añadir comentarios y objetos a las capturas realizadas.
• Mjson viewer: Visualizar correctamente resultados de consultas en formato json y xml.
• User-agent switcher: Permite cambiar los agentes de usuario de los navegadores web para acceder a sitios web desarrollados para funcionar solo con algún o algunos navegadores.
• Image search option: Realizar la búsqueda inversa de una imagen seleccionada.
• Copy selected links: Permite copiar la URL a la que enlaza un link encontrado en el navegador web.
• Onetab: Se usa para ahorrar memoria y CPU cuando se tienen abiertas demasiadas pestañas en el navegador web.
• Exif viewer: Extraer metadatos de imágenes publicadas en sitios web.
• The stream detector: Seguimiento de las URL de las listas de reproducción y subtítulos utilizados por las transmisiones de Apple HS, adobe HDS, etc.
• DownThemAll: Ayuda a seleccionar, poner en cola, ordenar y ejecutar descargas más rápido.
• Resurrect pages: Permite la búsqueda de versiones anteriores de páginas que no se encuentran disponibles.
• Singlefile: Guarda una página web completa.

Si prefieres otro navegador como Chrome, también cuenta con complementos como: uBlock Origin, y Bulk media downloader, entre otros.

Uno de los aspectos importantes cuando estamos buscando a algo o a alguien, es la privacidad. Por lo general, nos gusta estar en el anonimato y que no sea evidente que estamos “stalkeando”. Por esto, la recomendación es utilizar alguna herramienta que nos ayude con ello. Una alternativa es la utilización de proxys públicos o una VPN gratuita. A continuación, se mencionan algunos:

Proxys públicos

• www.proxydb.net
• spy.ru/free-proxy-list/
• hidemy.name/es/proxy-list/

VPNs gratuitas

• NordVPN
• ExpressVPN
• CyberGhost
• Proton VPN
• FastesVPN

Es importante mencionar que antes de elegir una VPN, debes saber que la alianza de los 5/9/14 ojospuede poner en riesgo tu privacidad. Por esto, las 5 anteriores VPN están fuera de dicha alianza. Sin embargo, a continuación, compartimos un enlace donde puedes validarlo.

https://vpnoverview.com/best-vpn/vpn-outside-14-eyes

Al momento de utilizar un proxy o VPN, el primer paso antes de iniciar nuestra búsqueda, es verificar que en efecto no naveguemos por nuestra ip pública. Hacer esta comprobación es muy sencilla. Colocamos en google cual es mi ip e ingresamos y observamos la ip que tenemos. Luego, configuramos la VPN o el proxy y hacemos la misma búsqueda cual es mi ip. En ese punto, debe ser valores distintos, como se muestra a continuación.

Imagen #1. Verificación de IP antes de proxy o VPN

Imagen #2, Verificación de IP después de la utilización de una VPN

Luego de aplicar estas medidas básicas de seguridad, podemos iniciar nuestra búsqueda. En OSINT, dentro de las herramientas más utilizadas, están los buscadores: Google, Bing, y Duck Duck Go, entre otros. Sin embargo, en este post, nos enfocaremos en google.

Hemos seleccionado google por ser la página web más popular del mundo y el motor de búsqueda utilizada a nivel mundial. Para hacer búsquedas inteligentes, se utilizan operadores[1]. A continuación, los más utilizados y su función:

1. Operador “Info”: obtiene información general de la organización de los sitios web objeto de estudio.

Info:womit.com.co

---

[1] Son combinaciones de palabras clave y símbolos que se utilizan en las búsquedas avanzadas para filtrar y refinar los resultados de búsqueda en motores como Google.

Operador info con página web womit.com.co

2. Operador “site:” puede incluir también directorios.

Site:womit.com.co

Operador site con página web womit.com.co

3. “intitle:” Busca una cadena solo en el título de la página.

4. “inurl:” Busca paginas cuya URL tenga cierta cadena.

5. “intext:” Restringe las búsquedas al contenido del documento.

6. “filetype:” o “ext” Busca archivos de determinados tipos o extensión.

Para optimizar aún más las búsquedas, se utilizan comodines[1] a continuación alguno de ellos:

1. “-” excluir algún contenido en el resultado
2. “*” reemplazo una o más palabras.
3. “..” establece un operador de rangos. Ejemplo 2023..2025
4. “|” / “or” “&” / “AND” indican alternativas de búsqueda. Establecen condiciones de búsqueda.

Otra ayuda es el autocompletar en las búsquedas, ejemplo:

---

[1] Son caracteres especiales que se utilizan en las búsquedas para reemplazar uno o más caracteres desconocidos o variables en una palabra o frase.

Otra ayuda que nos proporciona google, es la barra de herramientas, que nos permite optimizar los resultados.

Google Hacking

“Es una técnica que consiste en utilizar operadores de búsqueda avanzada en el motor de búsqueda de Google para encontrar información específica y sensible que, normalmente, no sería accesible de manera directa en los resultados de búsqueda de sitios web”.                                

keepcoding.io

En otras palabras, son trucos para buscar en google. A continuación, se listan algunos.

• Comillas(“”) busca la palabra o grupo de palabras exactas: “las mil y una noches”
• Guion (-) excluye la palabra que acompaña al guion de una búsqueda.
• Tilde (´) busca sinónimos de la palabra que acompaña la tilde.
• Site busca la palabra a consultar en una web específica: google site:unal.edu.co
• Link busca la palabra a consultar en una página especifica: link:google.co
• Dos puntos(..) usa dos puntos específicos para expresar un rango (precio, medida, fecha): olímpicos 1990..2024
• Related paginas similares de una página especifica.
• Define busca la definición de un término: define:hiperventilar

Otra herramienta son las búsquedas avanzadas:

Búsqueda avanzada en google

Pues bien, en este punto, cuentas con varias herramientas que te pueden ayudar a conseguir información más allá de lo obvio en la web. Te recomiendo que hagas una pequeña investigación sobre ti mismo a ver qué tanta información tiene google acerca de ti.

Si este tema te apasiona, sigue investigando y empapándote de OSINT, tiene muchas herramientas y técnicas que pueden ser de mucha utilidad.

Si te gusto este post, ¡déjanos tus comentarios!

Por: Arianis Livingston M.

0 2

¿Qué es Malware as a Service? Básicamente es la prestación de servicios de venta o alquiler de herramientas y conocimientos que realiza un cibercriminal a cualquier persona que lo requiera, lo que hace que los ataques se masifiquen cada vez más, pues ya deja de ser un asunto exclusivo de personas con amplios conocimientos informáticos a ser algo común como alquilar una. Este modelo de delincuencia, hace que, por ejemplo, los ataques de insiders se puedan realizar más fácilmente.

Un poco de historia.

Botnet Zeus Se cree que uno de los primeros MaaS fue la botnet Zeus. Esta botnet estaba constituida por
computadores con sistema operativo Windows, que previamente habían sido infectados con el malware. En Estados Unidos en el año 2009, llegó a infectar aproximadamente más de tres millones de ordenadores.

Botnet Mirai.

Esta botnet inicialmente fue creada por Paras Jha, quien siendo estudiante lanzó algunos ataques de DDoS a la Universidad de Rutgers para ofrecer sus servicios y mitigar las brechas encontradas por él mismo. Así mismo, la usó para ganar dinero a través de los usuarios del juego Minecraft, lanzando ataques a los servidores de los demás jugadores. Luego de que su desarrollador publicara el código fuente, fue aprovechada por otros cibercriminales para realizar ataques de DDoS, haciendo uso de las vulnerabilidades en los dispositivos IoT (como credenciales de acceso predeterminadas sin cambiar a DVR y cámaras de CCTV). En el 2016, fue lanzado un ataque DDoS masivo a través de este software malicioso, que dejó sin internet la costa este de los Estados Unidos. Mirai es capaz de lanzar inundaciones GRE IP, GRE ETH, SYN, ACK STOMP DNS Y UDP.

16Shop.

Este es un kit de ataques del tipo phishing, con el cual se puede robar gran cantidad de información de
identificación personal (PII) como credenciales de inicio de sesión, correos electrónicos, tarjetas de crédito bots o clics de cuentas Paypal, Amazon, American Xpress y Apple. Este MaaS es bastante completo y ofrece una interfaz gráfica para el usuario, la cual está hecha de forma muy profesional, lo que permite que la experiencia de los compradores del kit sea fácil y puedan implementar sus campañas sin la comprensión técnica de lo que se necesita para lanzar un ataque de este tipo; también pueden tener actualizaciones en tiempo real de los datos recopilados a través del malware.

Imagen 4. Idiomas disponibles para los avisos. Fuente: https://www.zerofox.com/blog/16shop-adds-paypal-american-express-to-their-catalog/

Ventajas del MaaS.

• El ciberdelincuente o empresa creadora del software malicioso no solo tiene ganancias por el alquiler/venta del malware, sino que también saca ventaja cuando la víctima paga el rescate exigido en un ataque, por ejemplo, de ransomware.
• Reduce la posibilidad de que el autor del malware sea descubierto.
• Especialización de los cibercriminales. Estos se dedican a crear nuevos vectores de infección y las personas que compran o alquilan el malware, son las encargadas de su propagación, quitándole así una carga a los creadores.
• El cliente no necesita grandes infraestructuras ni conocimientos técnicos para lanzar un ataque.
• Se puede comprar malware de acuerdo a las necesidades, en el servicio se incluyen actualizaciones,
  personalización y soporte técnico (como cualquier software legal).
  

¿Cuáles pueden ser los síntomas de que usted ha sido víctima de un malware?

1. Sus dispositivos empiezan a ralentizarse (ponerse lentos).

2. Hay presencia de comportamientos anómalos (por ejemplo: tomar fotos sin que usted haya activado la cámara).

3. Salen muchos anuncios de la nada.

4. Llenado de la capacidad del espacio de almacenamiento.

5. Alto consumo de energía eléctrica (caso de mineros de bitcoins).

6. Mensajes frecuentes que muestran errores.

7. Fallas del sistema operativo. Velocidad de navegación visiblemente reducida.

Recomendaciones para prevenir un ataque por malware.

La mejor protección es conocer que todos (tanto empresas como personas) son vulnerables de ser atacados por un cibercriminal. Hay que recordar que el objetivo de ellos, es la obtención de datos sensibles. Pero también hay otras medidas adicionales que se pueden tomar:

• Gestión de actualizaciones en los dispositivos: Se debe realizar una búsqueda constante de actualizaciones en los dispositivos que se manejan, sean estos computadores, teléfonos inteligentes, tabletas, Smart TV y cualquiera que necesite de aplicación de parches.

• Contar con un antivirus y/o antimalware: Este es el consejo que se da de manera generalizada, ya que este tipo de aplicaciones sirven como un escudo protector contra algunos tipos de malware. Es importante tener en cuenta que cada que los fabricantes lanzan actualizaciones, estas incluyen nuevos tipos de software malicioso que han sido descubiertos y sus respectivas firmas, lo que puede disminuir el impacto de un ataque cibercriminal.

• Cambiar los datos de acceso a dispositivos como enrutadores, switches, cámaras, drones, entre otros: Esta recomendación aplica más a entornos empresariales, cabe aclarar, que en los hogares también cuentan con enrutadores, lo cuales proporcionan la conexión a internet. Para prevenir ser víctima de un ataque a la ciberseguridad, cambie los usuarios y contraseñas de administradores que vienen por defecto en el dispositivo.

• Uso de contraseñas seguras: una gran parte de las infecciones se dan porque las contraseñas son débiles, nunca se han cambiado desde su creación, son compartidas con otras personas (esto es como la identificación personal, ¿usted se la prestaría a otra persona?).

• Evitar tener habilitado Universal Plug and Play (UPnP) en los enrutadores y otros dispositivos, a menos que sea absolutamente necesario.

• Cerrar puertos que no son necesarios para el funcionamiento básico del dispositivo.

Bibliografía

Albert Sweigart. Hacking Secret Ciphers with Python. 2013. ISBN 978-1482614374. 1st Edition. CC Attribution, Noncommercial, Share Alike

Malware como servicio (MAAS), todo lo que debes saber. Recuperado de: https://ciberseguridad.com/amenzas/malware/malware-como-servicio-maas/#:~:text=Malware%20as%20a%20Service%20(MaaS,conocimiento%20técnico%20o%20experiencia%20requerida. Consultado: marzo 21 de 2022.

Billy Fink. Hackers for Hire: The Continued Rise of Malware-as-a-Service. Julio 31 de 2018. Recuperado de: https://www.humansecurity.com/learn/blog/hackers-for-hire-the-continued-rise-of-malware-as-a-service. Consultado: abril 14 de 2022.

Brien Posey. Malware is taking on a new shape: Malware as a Service. Mayo 11 de 2020. Recuperado de: https://www.itprotoday.com/cloud-security/malware-taking-new-shape-malware-service. Consultado: marzo 16 de 2022.

Josh Fruhlinger. The Mirai botnet explained: How teen scammers and CCTV cameras almost brought down the internet. Marzo 9 de 2018. Recuperado de: https://www.imperva.com/blog/malware-analysis-mirai-ddos-botnet/?redirect=Incapsula. Consultado: abril 15 de 2022.

Ben, Igal, Dima. Breaking down Mirai. An IoT DDoS Botnet Analysis. Octubre 26 de 2016. Recuperado de: https://www.imperva.com/blog/malware-analysis-mirai-ddos-botnet/?redirect=Incapsula. Consultado: abril 15 de 2022.

Pablo Rodriguez Canfranc. Malware-as-a-Service, el ciberdelito al alcance de cualquiera. Marzo 15 de 2021. Recuperado de: https://telos.fundaciontelefonica.com/la-cofa/malware-as-a-service-el-ciberdelito-al-alcance-de-cualquiera/. Consultado: marzo 3 de 2022.

ZeroFox Research. 16Shop adds Paypal, American Express to their catalog. Enero 21 de 2020. Recuperado de: https://www.zerofox.com/blog/16shop-adds-paypal-american-express-to-their-catalog/. Consultado: marzo 3 de 2022. Secretaría Nacional de Tecnologías de la Información y Comunicación. Gobierno de Paraguay. Boletín de alerta No. 2016-13. 31 de octubre de 2016. Recuperado de: https://www.cert.gov.py/application/files/1814/7801/3058/Boletin_20161031_Botnet_Mirai.pdf. Consultado abril 15 de 2022.

0 3