From 06866eb559471d532f69ab9649182c1a5cd29bf8 Mon Sep 17 00:00:00 2001 From: hobscheid18 Date: Fri, 31 Jan 2025 16:54:29 -0500 Subject: [PATCH] =?UTF-8?q?Update=20Learning=20Path=202=20Modules=20?= =?UTF-8?q?=E2=80=9Cmodule-4=E2=80=9D?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- content/learning-path/2/module-4.ar.md | 13 +-- content/learning-path/2/module-4.en.md | 13 +-- content/learning-path/2/module-4.es.md | 107 +++++++++++++------------ content/learning-path/2/module-4.fr.md | 10 +-- 4 files changed, 74 insertions(+), 69 deletions(-) diff --git a/content/learning-path/2/module-4.ar.md b/content/learning-path/2/module-4.ar.md index 38f7fbff7..30e6a6e8d 100644 --- a/content/learning-path/2/module-4.ar.md +++ b/content/learning-path/2/module-4.ar.md @@ -1,9 +1,10 @@ -+++ -style = "module" -weight = 4 -title = "الخطوات الأولية والفحوصات للكشف عن البرمجيات الضارة" -description = "وجد جهاز ذو حالة أمنية غير معروفة ويريد المالك فحص إمكانية الإصابة أو الاختراق السابق." -+++ +--- +style: module +title: الخطوات الأولية والفحوصات للكشف عن البرمجيات الضارة +description: وجد جهاز ذو حالة أمنية غير معروفة ويريد المالك فحص إمكانية الإصابة + أو الاختراق السابق. +weight: 4 +--- ## حالة استخدام يوجد جهاز ذو حالة أمنية غير معروفة ويريد المالك فحص إمكانية الإصابة أو الاختراق السابق. ربما تم تسليمك هذا الجهاز بشكل فعلي أو ربما ستدعم العميل عن بُعد. استخدم أدوات فحص مختلفة جاهزة أو مضمّنة تخص الطرف الأول بالإضافة إلى فحوصات السلامة لتحديد مؤشرات الاختراق وتحليلها والبحث عنها لتحديد خرق أو برمجية ضارة مشبوهة معينة. diff --git a/content/learning-path/2/module-4.en.md b/content/learning-path/2/module-4.en.md index 611df58a9..608c3cd62 100644 --- a/content/learning-path/2/module-4.en.md +++ b/content/learning-path/2/module-4.en.md @@ -1,9 +1,10 @@ -+++ -style = "module" -weight = 4 -title = "Initial steps and checks for detecting malware" -description = "This subtopic looks at the ways in which we can conduct initial triage and check for malware when we are handed a potentially infected device" -+++ +--- +style: module +title: Initial steps and checks for detecting malware +description: This subtopic looks at the ways in which we can conduct initial + triage and check for malware when we are handed a potentially infected device +weight: 4 +--- ## Use Case diff --git a/content/learning-path/2/module-4.es.md b/content/learning-path/2/module-4.es.md index f4efed695..56b0903b2 100644 --- a/content/learning-path/2/module-4.es.md +++ b/content/learning-path/2/module-4.es.md @@ -1,18 +1,18 @@ -+++ -style = "module" -weight = 4 -title = "Pasos iniciales y comprobaciones para detectar malware" -+++ +--- +style: module +title: Pasos iniciales y comprobaciones para detectar malware +weight: 4 +--- -## Caso de Uso +## Estudio de caso -Hay un dispositivo cuyo estado de seguridad se desconoce y el propietario quiere investigar la posibilidad de infección o compromiso previo. Tal vez te entregaron este dispositivo físicamente, o tal vez darás soporte al cliente de forma remota. Utilizar diferentes herramientas de escaneo propias listas para usar o integradas, así como controles de integridad para identificar, analizar y buscar Indicadores de Compromiso (IoC) con el fin de detectar una brecha o un determinado malware sospechoso. +Hay un dispositivo cuyo estado de seguridad se desconoce y el propietario quiere investigar la posibilidad de infección o vulneración previa. Quizá le entregaron este dispositivo de manera presencial, o dará apoyo al cliente de forma remota. Use diferentes herramientas de escaneo propias listas para usar o integradas, así como comprobaciones de integridad para identificar, analizar y buscar Indicadores de Compromiso (IoC) con el fin de detectar una vulneración o un determinado malware sospechoso. ## Objetivos -Después de completar este subtema, el profesional debe ser capaz de realizar lo siguiente: +Después de completar este módulo, el profesional debe ser capaz de: -- Utiliza herramientas populares de detección de malware, como antivirus o las herramientas integradas en tu sistema operativo, para ayudarte en tu análisis. +- Utilizar herramientas populares de detección de malware, como antivirus o las integradas en su sistema operativo, para ayudarle en su análisis. - Comprender algunas protecciones antimalware básicas dentro de los sistemas operativos modernos y cómo verificar si se están ejecutando o si han sido deshabilitadas. --- @@ -20,9 +20,9 @@ Después de completar este subtema, el profesional debe ser capaz de realizar lo ### Antimalware listo para usar (todas las plataformas) -El método menos trabajoso para detectar malware conocido es simplemente utilizar un escáner de malware para examinar el sistema en vivo del dispositivo del cliente. Ten en cuenta que la calidad de los productos antivirus puede variar ampliamente, pero la mayoría de los productos detectan la mayoría del malware conocido. A continuación, se muestran enlaces a algunos escáneres de malware comunes para sistemas operativos de escritorio: +El método menos trabajoso para detectar malware conocido es simplemente utilizar un escáner de malware para examinar en vivo el sistema del dispositivo del cliente. Tenga en cuenta que la calidad de los productos antivirus puede variar ampliamente, pero la mayor parte de los productos detectan la mayoría del malware conocido. A continuación, encontrará varios enlaces a algunos escáneres de malware comunes para sistemas operativos de escritorio: -- 🧰 Windows: [Microsoft Defender](https://apps.microsoft.com/store/detail/microsoft-defender/9P6PMZTM93LR) es gratuito y está integrado en Windows. Se pueden utilizar varias herramientas comerciales AV, cada una con sus ventajas y desventajas. Aquí sugeriremos [MalwareBytes](https://www.malwarebytes.com/). Toma en cuenta también [AdwCleaner](https://support.malwarebytes.com/hc/en-us/articles/360038523194) de MalwareBytes para eliminar Adware y Programas Potencialmente no Deseados[^1]. +- 🧰 Windows: [Microsoft Defender](https://apps.microsoft.com/store/detail/microsoft-defender/9P6PMZTM93LR) es gratuito y está integrado en Windows. Se pueden utilizar varias herramientas comerciales AV, cada una con sus ventajas y desventajas. Aquí sugeriremos [MalwareBytes](https://www.malwarebytes.com/). Tenga en cuenta también [AdwCleaner](https://support.malwarebytes.com/hc/en-us/articles/360038523194) de MalwareBytes para eliminar Adware y Programas Potencialmente no Deseados[^1]. - 🧰 MacOS: Del mismo modo recomendamos utilizar [Malwarebytes](https://www.malwarebytes.com/mac). [Avast Free Antivirus](https://www.avast.com/en-us/free-antivirus-download) también es una opción gratuita. - 🧰 Linux: [ClamAV](https://www.clamav.net/) es un antivirus de código abierto para Linux. También está disponible para otras plataformas. - 🧰 Android: Varios proveedores, como [LookOut](https://www.lookout.com/) ofrecen antivirus para Android gratuitos o de pago y protecciones adicionales de seguridad móvil. ClamAV se implementa en Android en la [Hypatia](https://f-droid.org/en/packages/us.spotco.malwarescanner/) app vía [F-Droid](https://f-droid.org/en/). @@ -34,86 +34,89 @@ El método menos trabajoso para detectar malware conocido es simplemente utiliza ### Consejos y habilidades para utilizar antivirus listos para usar para detectar Malware -Uno de los primeros pasos que puedes tomar al buscar malware es instalar un programa antivirus y permitir que realice un escaneo en el sistema. Después de que el escaneo esté completo, la mayoría de los programas generarán algún tipo de registro que proporciona información adicional sobre los resultados del escaneo, y recomendamos revisarlo. Si los programas antivirus detectan un archivo potencialmente sospechoso, pueden "ponerlo en cuarentena", lo que significa que el archivo será bloqueado del resto del sistema operativo para que no pueda abrirse accidentalmente o causar más estragos. Si deseas realizar un análisis adicional de ese archivo, es posible que necesites sacarlo de la cuarentena; consulta la documentación de tu programa antivirus sobre este tema. +Uno de los primeros pasos al buscar malware es instalar un programa antivirus y permitir que realice un escaneo en el sistema. Después de que el escaneo se haya completado, la mayoría de los programas generarán algún tipo de registro con información adicional sobre los resultados, los que recomendamos revisar. Si los programas antivirus detectan un archivo potencialmente sospechoso, pueden “ponerlo en cuarentena”, lo que significa que el archivo será bloqueado del resto del sistema operativo para que no pueda abrirse accidentalmente o causar más estragos. Si desea realizar un análisis adicional de ese archivo, es posible que necesite sacarlo de la cuarentena; consulte la documentación de su programa antivirus sobre este tema. -Debe tenerse en cuenta que el malware moderno no siempre implica archivos maliciosos. En su lugar, puede implicar scripts legítimos que realizan tareas maliciosas que se hacen persistentes de alguna manera. Las aplicaciones antivirus escanearán dichas tareas, por lo tanto, en los registros que proporcionen, ten en cuenta que no solo esperes "archivos". +Debe tenerse en cuenta que el malware moderno no siempre contiene archivos maliciosos. En su lugar, puede que contenga scripts legítimos que realizan tareas maliciosas que, de alguna manera, se vuelven persistentes. Las aplicaciones antivirus escanearán dichas tareas, por lo tanto, en los registros que proporcionen, no solo habrá “archivos”. -Debes ser consciente de las limitaciones de los programas antivirus y por qué no son una cura total para el malware. Los diferentes programas antivirus utilizan diferentes motores de detección. Algunos motores detectarán algunos tipos de virus y otros malware, pero ningún motor es 100% efectivo. +Debe ser consciente de las limitaciones de los programas antivirus y por qué no constituyen una solución total para el malware. Los diferentes programas antivirus utilizan distintos motores de detección. Algunos de estos motores detectarán algunos tipos de virus y otros malware, pero ningún motor es cien por ciento efectivo. -Por esta razón, en caso de que tengas una muestra, puede que prefieras subir archivos potencialmente sospechosos a VirusTotal, que verifica el archivo utilizando una serie de motores disponibles comercialmente y proporciona otra información que puede ayudarte a determinar si un archivo es malicioso. Ten en cuenta que si envías un archivo a VirusTotal, permanecerá en el sitio web y podrá ser descargado (y buscado) por cualquier persona con una cuenta de pago en el sitio. Por lo tanto, si estás tratando con archivos que contienen información potencialmente sensible o no deseas que se haga público el hecho de que este archivo está siendo analizado, es mejor generar un _hash_ del archivo[^2] y buscarlo en VirusTotal en su lugar. Finalmente, recuerda que VirusTotal solo utiliza motores estáticos y, por lo tanto, su detección puede ser menos efectiva que la de un antivirus que se ejecuta en un sistema en vivo. Revisa el [Subtema 8](/es/learning-path/2/module-8/) sobre **Detección basada en muestras** para obtener más información sobre esta habilidad. Para obtener más información sobre las habilidades de VirusTotal, completa la actividad en el [Capítulo 7 de la Guía de Campo para Respuesta a Incidentes para la Sociedad Civil y Medios](https://internews.org/wp-content/uploads/2024/12/Field-Guide-to-Incident-Response-for-Civil-Society-and-Media-Chapter-7-ES.pdf). +Por esta razón, si tiene una muestra, puede ser que prefiera subir archivos potencialmente sospechosos a VirusTotal. Este programa verifica el archivo utilizando una serie de motores disponibles comercialmente y proporciona información adicional que puede ayudarle a determinar si un archivo es malicioso. Tenga en cuenta que si envía un archivo a VirusTotal, este permanecerá en el sitio web y podrá ser descargado (y rastreado) por cualquier persona con una cuenta de pago. Por lo tanto, si usted está manipulando archivos que contienen información potencialmente sensible o no desea que se haga público que lo está analizando, es mejor generar un hash del archivo2 y buscarlo en VirusTotal. Finalmente, recuerde que VirusTotal solo utiliza motores estáticos y, por lo tanto, su detección puede ser menos efectiva que la de un antivirus que se ejecuta en un sistema en vivo. Para obtener más información sobre esta habilidad, revise el [Módulo 8](/es/learning-path/2/module-8/) sobre Detección basada en muestras. Para obtener más información sobre las habilidades de VirusTotal, complete la actividad en el [Capítulo 7 de la Guía de Campo para Respuesta a Incidentes para la Sociedad Civil y Medios](https://internews.org/wp-content/uploads/2024/12/Field-Guide-to-Incident-Response-for-Civil-Society-and-Media-Chapter-7-ES.pdf). -Si bien los motores antivirus modernos intentan buscar comportamientos similares al malware y bloquear ejecutables que cumplan con este criterio, esas pruebas son todavía relativamente rudimentarias. Los antivirus principalmente reconocen malware basándose en los IoCs que se les han proporcionado; por lo tanto, rara vez detectan malware nuevo o menos conocido. +Si bien los motores antivirus modernos intentan buscar comportamientos similares al malware y bloquear ejecutables que cumplan con este criterio, esas pruebas son todavía relativamente rudimentarias. Los antivirus principalmente reconocen malware basándose en los IoCs que se les proporcionan; por lo tanto, rara vez detectan malware nuevo o menos conocido. -Además, los atacantes suelen probar su malware con programas antivirus conocidos y modificarlo para que no sea fácilmente detectado, por ejemplo, mediante ofuscación, codificación, compresión y encriptación. Algunos malware intentarán desactivar los programas antivirus o agregarse a una lista de excepciones para no ser escaneados. Otro malware puede engañar a los usuarios para que los desactiven. Por esta razón, recomendamos instalar un nuevo programa antivirus en un sistema potencialmente comprometido y ejecutar un escaneo con él. Puedes desinstalar el programa después. +Asimismo, los atacantes suelen probar su malware con programas antivirus conocidos y modificarlo para que no se pueda detectar fácilmente, por ejemplo, mediante ofuscación, codificación, compresión o encriptación. Algunos malware intentarán desactivar los programas antivirus o agregarse a una lista de excepciones para no ser escaneados. Otro tipo de malware puede engañar a los usuarios para que los desactiven. Por esta razón, recomendamos instalar un nuevo programa antivirus en un sistema potencialmente vulnerable y ejecutar un escaneo. Al terminar, puede desinstalar el programa. -Cuando encuentres malware o adware en la computadora de alguien, incluidos los casos en que se trate de malware o adware genérico, es útil trabajar con el propietario del dispositivo para entender cómo el malware pudo haber sido instalado en el dispositivo (descrito en el [Subtema 10](/es/learning-path/2/module-10/)) y luego eliminar la infección (descrito en el [Subtema 11](/es/learning-path/2/module-11/)). Comprender cómo se instaló el malware puede señalar la falta de controles, conciencia sobre comportamientos riesgosos o incluso cuestiones de cadena de suministro (por ejemplo, dispositivos enviados preinstalados con programas potencialmente no deseados) que deben discutirse y abordarse. +Cuando encuentre malware o adware en la computadora de alguna persona, incluidos los casos de malware o adware genérico, se recomienda trabajar con el propietario del dispositivo para entender cómo el malware se pudo instalar en el dispositivo + (descrito en el [Módulo 10](/es/learning-path/2/module-10/)) y luego eliminar la infección (descrito en el [Módulo 11](/es/learning-path/2/module-11/)). Saber cómo se instaló el malware puede llevarle a descubrir una la falta de controles, a detectar comportamientos riesgosos o incluso cuestiones relativas a la cadena de suministro (por ejemplo, dispositivos enviados preinstalados con programas potencialmente no deseados) que deben abordarse. -### Triage/Listas de Verificación para verificar si faltan protecciones +### Triage/Listas de Verificación para comprobar si faltan protecciones -Todos los sistemas operativos modernos utilizan alguna forma de protección integrada o los llamados "jardines vallados" (como tiendas de aplicaciones o _Smart Screen_) que restringen a los usuarios ejecutar archivos que el sistema operativo considera seguros. Al verificar si estas protecciones se han desactivado, eliminado o puesto en estado de error, obtendrás una valiosa indicación de triage de que es posible que se hayan producido mayores compromisos. Si alguna de esas protecciones no está funcionando, no necesariamente significa que hayan sido desactivadas por malware; un usuario podría haberlas desactivado manualmente para ejecutar cierto software o podrían haber sido objetivo de un ataque de ingeniería social que los convenció de desactivar algunas de esas características. Si vuelves a habilitar esas protecciones, es probable que detengas la ejecución de una gran cantidad de malware o restrinjas el daño que puede causar a un sistema. +Todos los sistemas operativos modernos utilizan alguna forma de protección integrada o los llamados “jardines vallados” (como tiendas de aplicaciones o Smart Screen) que impiden a los usuarios ejecutar archivos que el sistema operativo considera seguros. Al verificar si estas protecciones se han desactivado, eliminado o catalogadas como error, obtendrá una valiosa indicación de que es posible que se hayan producido mayores vulneraciones. Si alguna de esas protecciones no está funcionando, no necesariamente significa que hayan sido desactivadas por malware; un usuario podría haberlas desactivado manualmente para ejecutar cierto software o podrían haber sido objetivo de un ataque de ingeniería social que los convenció de desactivar algunas de esas características. Si vuelve a habilitar esas protecciones, es probable que detenga la ejecución de una gran cantidad de malware o restrinja el daño que puede causar a un sistema. -Una cosa que puedes hacer en todos los sistemas es verificar todos los navegadores web que están instalados y ver si tienen alguna nueva extensión que no reconozcas. Si tienen dichas extensiones, realiza una búsqueda en la web para ver qué hacen, si podrían ser potencialmente maliciosas y, si son potencialmente maliciosas, qué tipo de malware podría haberlas instalado.[^3] +Una cosa que puede hacer en todos los sistemas es verificar los navegadores web que están instalados y ver si tienen alguna nueva extensión que usted noreconozcas. Si tienen dichas extensiones, realice una búsqueda en la web para ver qué hacen, si podrían ser potencialmente maliciosas y, si lo son , qué tipo de malware podría haberlas instalado +[^3] Para todos los dispositivos, recomendamos consultar [esta lista de verificación rápida de triage](https://pts-project.org/guides/g6/#identifying-compromised-devices). #### Windows -Revisa el [Centro de Seguridad Windows Defender](https://learn.microsoft.com/en-us/windows/security/operating-system-security/system-security/windows-defender-security-center/windows-defender-security-center) (o echa un vistazo rápido en Windows Security/Security), que te permite echar un vistazo rápido a varios ajustes de seguridad de Windows, incluyendo si Windows Defender está actualmente en ejecución. Ten en cuenta que las funciones antivirus de Windows Defender podrían desactivarse automáticamente si instalas un antivirus de terceros. Este es un comportamiento esperado. En cualquier caso, un programa malicioso puede haber logrado agregarse a una lista de excepciones (lista de permitidos) instruyendo a la herramienta antimalware que no lo verifique. Puedes verificar que no haya excepciones no deseadas en Windows Defender siguiendo [estas instrucciones](https://support.microsoft.com/en-us/windows/add-an-exclusion-to-windows-security-811816c0-4dfd-af4a-47e4-c301afe13b26#ID0EBF=Windows_11) y otros productos antimalware de terceros pueden ofrecer la misma funcionalidad. El panel de configuración te permitirá verificar el estado de varias otras protecciones integradas, como Protección basada en Reputación, Aislamiento Central, y Arranque Seguro, entre otros. +Revise el [Centro de Seguridad Windows Defender](https://learn.microsoft.com/en-us/windows/security/operating-system-security/system-security/windows-defender-security-center/windows-defender-security-center) (o eche un vistazo rápido en Windows Security/Security), donde encontrará varios ajustes de seguridad de Windows, incluyendo si Windows Defender está actualmente en ejecución. Tenga en cuenta que las funciones antivirus de Windows Defender podrían desactivarse automáticamente si instala un antivirus de terceros. Este es un comportamiento predecible. En cualquier caso, un programa malicioso puede haber logrado agregarse a una lista de excepciones (lista de permitidos) instruyendo a la herramienta antimalware que no lo verifique. Puede verificar que no haya excepciones no deseadas en Windows Defender siguiendo [estas instrucciones](https://support.microsoft.com/en-us/windows/add-an-exclusion-to-windows-security-811816c0-4dfd-af4a-47e4-c301afe13b26#ID0EBF=Windows_11). Otros productos antimalware de terceros pueden ofrecer la misma funcionalidad. El panel de configuración te permitirá verificar el estado de varias otras protecciones integradas, como Protección basada en Reputación, Aislamiento Central, y Arranque Seguro, entre otros. -Windows utiliza Smart App Control (anteriormente llamado SmartScreen antes de Windows 11, que ahora es la versión basada en web del producto integrado en el navegador Edge) como un mecanismo para verificar la reputación de los ejecutables antes de ejecutarlos. Revisa [Smart App Control (Win 11) en Windows en Configuración de Seguridad](https://support.microsoft.com/en-au/topic/what-is-smart-app-control-285ea03d-fa88-4d56-882e-6698afdb7003) para ver si ha sido desactivado. Busca la configuración de Smart Screen en versiones anteriores de Windows. +Windows utiliza Smart App Control (llamado SmartScreen antes de Windows 11, que ahora es la versión basada en web del producto integrado en el navegador Edge) como un mecanismo para verificar la reputación de los ejecutables antes de usarlos. Revise [Smart App Control (Win 11) en Windows en Configuración de Seguridad](https://support.microsoft.com/en-au/topic/what-is-smart-app-control-285ea03d-fa88-4d56-882e-6698afdb7003) para ver si ha sido desactivado. Busca la configuración de Smart Screen en versiones anteriores de Windows. #### Mac OS -- macOS tiene varios mecanismos cuyo objetivo es detener la ejecución de malware. Aun así, un autor malintencionado podría encontrar formas de evitarlos. Lee [sobre las diferentes protecciones](https://support.apple.com/guide/security/protecting-against-malware-sec469d47bd8/web) que existen en macOS. Esta [guía avanzada](https://redcanary.com/blog/gatekeeper/) proporciona una visión detallada de las protecciones de macOS y de las bases de datos que utilizan. Los usuarios avanzados podrían revisar esas bases de datos para detectar actividad inusual, aunque se trata de un trabajo forense en profundidad que va más allá del alcance de esta ruta de aprendizaje. -- Uno de los mecanismos antimalware más importantes en macOS se llama Gatekeeper. Todos los sistemas macOS deben tener Gatekeeper habilitado, especialmente para dispositivos que ejecutan datos sensibles. [Sin embargo, ha habido casos en los que el malware deshabilitó las protecciones Gatekeeper](https://www.zdnet.com/article/macos-malware-disables-gatekeeper-to-deploy-malicious-payloads/) para poder ejecutar más códigos maliciosos en sistemas macOS. Los usuarios pueden haber sido objetivo de ataques de ingeniería social que los persuadieron a desactivar esta función. Puedes ejecutar "spctl --status" en la Terminal de macOS para ver si Gatekeeper, su medida estándar contra malware, está habilitada o deshabilitada.[^4] Si Gatekeeper está deshabilitado, asegúrate de activarlo (esto detendrá la ejecución de la mayoría del malware) e investiga, tal vez [verificando el historial de la línea de comandos](https://www.macworld.com/article/351872/how-to-look-at-your-command-history-list-in-macoss-terminal.html), cómo pudo haber sucedido esto. +- macOS tiene varios mecanismos cuyo objetivo es detener la ejecución de malware. Aun así, un atacante malintencionado podría encontrar formas de evitarlos. Lea [sobre las diferentes protecciones](https://support.apple.com/guide/security/protecting-against-malware-sec469d47bd8/web) que existen en macOS. Esta [guía avanzada](https://redcanary.com/blog/gatekeeper/) proporciona una visión detallada de las protecciones de macOS y de las bases de datos que utilizan. Los usuarios avanzados podrían revisar esas bases de datos para detectar actividad inusual, aunque se trata de un trabajo forense en profundidad que va más allá del alcance de esta ruta de aprendizaje. +- Uno de los mecanismos antimalware más importantes en macOS se llama Gatekeeper. Todos los sistemas macOS deben tener Gatekeeper habilitado, especialmente para dispositivos que ejecutan datos confidenciales. [Sin embargo, ha habido casos en los que el malware deshabilitó las protecciones Gatekeeper](https://www.zdnet.com/article/macos-malware-disables-gatekeeper-to-deploy-malicious-payloads/) para poder ejecutar más códigos maliciosos en sistemas macOS. Los usuarios pueden haber sido objetivo de ataques de ingeniería social que los persuadieron de desactivar esta función. Puede ejecutar “spctl –status” en la Terminal de macOS para ver si Gatekeeper, su medida estándar contra malware, está habilitada o deshabilitada.[^4] Si Gatekeeper está deshabilitado, asegúrese de activarlo (esto detendrá la ejecución de la mayoría del malware) e investigue, tal vez [verificando el historial de la línea de comandos](https://www.macworld.com/article/351872/how-to-look-at-your-command-history-list-in-macoss-terminal.html), cómo pudo haber sucedido esto. #### iOS -- iOS admite la carga de perfiles personalizados. Por lo general, se usan para conectarse a redes corporativas o universitarias, pero un atacante podría usarlos para interceptar tu tráfico. Ve a la configuración de tu dispositivo iOS y [verifica](https://support.apple.com/guide/iphone/install-or-remove-configuration-profiles-iph6c493b19/ios) si se ha instalado algún perfil. Si algún perfil parece sospechoso y el usuario no recuerda haberlo instalado, podría ser un indicio de actividad maliciosa. En este caso, es bueno documentar todo lo que puedas encontrar sobre este perfil, tomar capturas de pantalla y luego eliminarlo. -- iOS también tiene Atajos, que normalmente se utilizan para automatizar determinadas funciones del dispositivo, como comprimir imágenes o convertir texto. La aplicación suele ser bastante buena para describir lo que hacen los atajos en un lenguaje sencillo ([aunque algunos atajos te permiten ejecutar JavaScript personalizado](https://support.apple.com/guide/shortcuts/advanced-shortcuts-settings-apdfeb05586f/ios)). Al igual que con los perfiles, si ves algún atajo que parezca sospechoso (ten en cuenta que cada versión de iOS podría instalar algunos nuevos, por lo que es mejor informarse sobre ellos también), documentarlos a través de capturas de pantalla y luego elimínalos. En general, es increíblemente difícil que el malware instale perfiles o atajos personalizados; es mucho más fácil para un atacante cargarlos a través de la ingeniería social o teniendo acceso breve a un dispositivo desbloqueado. -- Considera la seguridad de la cuenta de iCloud de los usuarios, ya que el compromiso de esta cuenta puede dar acceso a datos significativos del dispositivo iOS. Realiza una revisión de la seguridad de la cuenta de Apple ID y realiza cambios: por ejemplo cambios de contraseña, autenticación en dos factores (2FA), eliminación de acceso de aplicaciones y cierre de sesión en dispositivos si es necesario. El Safety Check de Apple contiene una [función de revisión](https://support.apple.com/guide/personal-safety/how-safety-check-works-ips2aad835e1/web) que podría ayudarte con esto. -- En ocasiones, los atacantes envían mensajes de texto o iMessages con enlaces maliciosos a personas objetivo. Si se hace clic, este enlace podría contener un malware o una carga útil de ingeniería social. Es una buena idea revisar los iMessages y mensajes de texto recientes para ver si alguno contiene enlaces sospechosos u otro contenido. -- Para obtener más información sobre los conceptos básicos de triage de iOS, revisa el [capítulo 12 de la guía de campo](https://internews.org/resource/field-guide-to-incident-response-for-civil-society-and-media/). -- Algunos atacantes intentan agregar un nuevo dispositivo que controlan en la lista de dispositivos enlazados en el mensajero de una persona objetivo, como WhatsApp o Signal. De esa manera, todos los mensajes que la persona objetivo enviaría y recibiría también se copiarían en el dispositivo del atacante. Este ataque generalmente es causado por un atacante que tiene acceso físico directo en lugar de malware, pero verificando dispositivos enlazados no reconocidos en [WhatsApp](https://faq.whatsapp.com/378279804439436?helpref=faq_content), [Signal](https://support.signal.org/hc/en-us/articles/360007320551-Linked-Devices), [Telegram](https://telegram.org/blog/sessions-and-2-step-verification), y otras mensajerías también deberían ser una parte clave del proceso de triage. +- iOS admite la carga de perfiles personalizados. Por lo general, se usan para conectarse a redes corporativas o universitarias, pero un atacante podría usarlos para interceptar su tráfico. Vaya a la configuración de su dispositivo iOS y [verifique](https://support.apple.com/guide/iphone/install-or-remove-configuration-profiles-iph6c493b19/ios) si se ha instalado algún perfil. Si unalgúnl pareciera sospechoso y el usuario no recuerda haberlo instalado, esto podría ser un indicio de actividad maliciosa. En este caso, es bueno documentar todo lo que pueda encontrar sobre este perfil, tomar capturas de pantalla y luego eliminarlo. +- iOS también tiene Atajos, que normalmente se utilizan para automatizar determinadas funciones del dispositivo, como comprimir imágenes o convertir texto. La aplicación suele ser bastante buena para describir lo que hacen los atajos en un lenguaje sencillo ([aunque algunos atajos te permiten ejecutar JavaScript personalizado](https://support.apple.com/guide/shortcuts/advanced-shortcuts-settings-apdfeb05586f/ios)). Al igual que con los perfiles, si ve algún atajo que parezca sospechoso documéntelo a través de capturas de pantalla y luego elimínelo. Tenga en cuenta que cada versión de iOS podría instalar algunos atajos nuevos, por lo que es mejor informarse sobre estos también, usar capturas de pantalla para documentarlos y luego eliminarlos. En general, es increíblemente difícil que el malware instale perfiles o atajos personalizados; es mucho más fácil para un atacante cargarlos a través de la ingeniería social o teniendo acceso breve a un dispositivo desbloqueado. +- Considere la seguridad de la cuenta de iCloud de los usuarios, ya que lal vulneración de esta cuenta puede dar acceso a datos significativos del dispositivo iOS. Realice una revisión de la seguridad de la cuenta de Apple ID y haga cambios: por ejemplo cambios de contraseña, autenticación en dos factores (2FA), eliminación de acceso de aplicaciones y cierre de sesión en dispositivos, si es necesario. El Safety Check de Apple contiene una [función de revisión](https://support.apple.com/guide/personal-safety/how-safety-check-works-ips2aad835e1/web) que podría ayudarte con esto. +- En ocasiones, los atacantes envían mensajes de texto o iMessages con enlaces maliciosos a personas a las que buscan atacar. Si se hace clic en los enlaces, estos podrían contener un malware o una carga útil de ingeniería social. Es una buena idea revisar los iMessages y mensajes de texto recientes para ver si alguno contiene enlaces sospechosos u otro contenido malicioso. +- Para obtener más información sobre los conceptos básicos de triaje de iOS, revise el [capítulo 12 de la guía de campo](https://internews.org/resource/field-guide-to-incident-response-for-civil-society-and-media/). +- Algunos atacantes intentan agregar un nuevo dispositivo que controlan en la lista de dispositivos enlazados en el mensajero de una persona objetivo, como WhatsApp o Signal. De esa manera, todos los mensajes que la persona enviaría y recibiría también se copiarían en el dispositivo del atacante. Este ataque generalmente es causado por una persona que tiene acceso físico directo en lugar de malware. Verificar dispositivos enlazados no reconocidos en [WhatsApp](https://faq.whatsapp.com/378279804439436?helpref=faq_content), [Signal](https://support.signal.org/hc/en-us/articles/360007320551-Linked-Devices), [Telegram](https://telegram.org/blog/sessions-and-2-step-verification), y otras mensajerías también deberían ser una parte clave del proceso de triaje. #### Android -- Para Android, revisa el [capítulo 8 de la guía de campo](https://internews.org/wp-content/uploads/2024/12/Field-Guide-to-Incident-Response-for-Civil-Society-and-Media-Chapter-8-ES.pdf), que muestra cómo puedes hacer un triage de aplicaciones potencialmente sospechosas observando los diversos permisos (como acceso a tus fotos, cámara o micrófono) que están solicitando. -- Revisa las aplicaciones que tienen un control adicional sobre el dispositivo al revisar las aplicaciones relacionadas y habilitadas bajo Aplicaciones de Administrador del Dispositivo en la configuración de Android. El usuario debería saber qué aplicaciones se les ha otorgado estos privilegios, normalmente son aplicaciones corporativas o aplicaciones oficiales de prevención de robo de dispositivos que permiten el borrado remoto. En caso de que se hayan otorgado permisos de administrador a aplicaciones no reconocidas, desactívalas e investiga más a fondo. -- Instalación desde Fuentes Desconocidas es otro permiso de Android que puede otorgarse a una aplicación para permitirle instalar otras aplicaciones. Esto elude el "jardín vallado" de protección de las tiendas de aplicaciones oficiales como Google Play Store o Galaxy Store. En algunos casos esto puede ser deseable, como en el caso de la tienda de aplicaciones de código abierto F-Droid. Sin embargo, si descubres que se ha otorgado este permiso a Bluetooth, un navegador, un mensajero instantáneo, una aplicación de archivos o una aplicación de envío/transmisión, esto indica que el propietario del dispositivo ha instalado aplicaciones desde fuentes de aplicaciones no seguras y se requerirán investigaciones adicionales. -- En ocasiones, los atacantes envían mensajes de texto con enlaces maliciosos a personas objetivo. Si se hace clic, este enlace podría contener un malware o una carga útil de ingeniería social. Es una buena idea revisar los mensajes de texto recientes para ver si alguno contiene enlaces sospechosos u otro contenido. -- Verifica la Información de la Aplicación si es posible desinstalar la aplicación. Si no es así, se trata de una aplicación preinstalada. Esto además podría ser un problema (algunos teléfonos más baratos tienen malware preinstalado), pero excluye la determinación de un objetivo y también es mucho menos probable en teléfonos más caros. -- [Verifica](https://support.google.com/android/answer/2812853?hl=en) si Google Play Protect está activado. -- Algunos atacantes intentan agregar un nuevo dispositivo que controlan en la lista de dispositivos enlazados en el mensajero de una persona objetivo, como WhatsApp o Signal. De esa manera, todos los mensajes que la persona objetivo enviaría y recibiría también se copiarían en el dispositivo del atacante. Este ataque generalmente es causado por un atacante que tiene acceso físico directo en lugar de malware, pero verificando dispositivos enlazados no reconocidos en [WhatsApp](https://faq.whatsapp.com/378279804439436?helpref=faq_content), [Signal](https://support.signal.org/hc/en-us/articles/360007320551-Linked-Devices), [Telegram](https://telegram.org/blog/sessions-and-2-step-verification), y otras mensajerías también deberían ser una parte clave del proceso de triage. +- Para Android, revise el [capítulo 8 de la guía de campo](https://internews.org/wp-content/uploads/2024/12/Field-Guide-to-Incident-Response-for-Civil-Society-and-Media-Chapter-8-ES.pdf), que muestra cómo puede hacer un triaje de aplicaciones potencialmente sospechosas observando los diversos permisos (como acceso a fotos, cámara o micrófono) que están solicitando. +- Revise las aplicaciones que tienen un control adicional sobre el dispositivo y las aplicaciones relacionadas y habilitadas bajo Aplicaciones de Administrador del Dispositivo en la configuración de Android. El usuario debería saber a qué aplicaciones se les ha otorgado estos privilegios. Normalmente son aplicaciones corporativas u oficiales de prevención de robo de dispositivos que permiten el que se puedan borrar de forma remota. En caso de que se hayan otorgado permisos de administrador a aplicaciones no reconocidas, desactívelas y realice una investigación más a fondo. +- Instalación desde Fuentes Desconocidas es otro permiso de Android que puede otorgarse a una aplicación para permitirle instalar otras aplicaciones. Esto elude el “jardín vallado” de protección de las tiendas de aplicaciones oficiales como Google Play Store o Galaxy Store. En algunos instancias esto puede ser deseable, como en el caso de la tienda de aplicaciones de código abierto F-Droid. Sin embargo, si usted descubre que se ha otorgado este permiso a Bluetooth, un navegador, un mensajero instantáneo, una aplicación de archivos o una aplicación de envío/transmisión, esto indica que el propietario del dispositivo ha instalado aplicaciones desde fuentes de aplicaciones no seguras y se requerirá de una investigación adicional. +- En ocasiones, los atacantes envían mensajes de texto con enlaces maliciosos a personas a las que quieren impactar. Si se hace clic en alguno de esos enlaces, el mismo podría contener un malware o una carga útil de ingeniería social. Es buena idea revisar los mensajes de texto recientes para ver si alguno contiene enlaces sospechosos u otro contenido malicioso +- Verifique la Información de la Aplicación si es posible desinstalar la aplicación. Si no es así, se trata de una aplicación preinstalada. Esto además podría ser un problema (algunos teléfonos más baratos tienen malware preinstalado), pero excluye la determinación de un objetivo y también es mucho menos probable en teléfonos más caros. +- [Verifique](https://support.google.com/android/answer/2812853?hl=en) si Google Play Protect está activado. +- Algunos atacantes intentan agregar un nuevo dispositivo que controlan en la lista de dispositivos enlazados en el mensajero de una persona objetivo, como WhatsApp o Signal. De esa manera, todos los mensajes que la persona objetivo enviaría y recibiría también se copiarían en el dispositivo del atacante. Este ataque generalmente es causado por una persona que tiene acceso físico directo en lugar de malware, pero que verificar dispositivos enlazados no reconocidos en [WhatsApp](https://faq.whatsapp.com/378279804439436?helpref=faq_content), [Signal](https://support.signal.org/hc/en-us/articles/360007320551-Linked-Devices), [Telegram](https://telegram.org/blog/sessions-and-2-step-verification), y otras aplicaciones de mensajería instantánea también deberían ser una parte clave del proceso de triaje. -Vale la pena señalar que las configuraciones de seguridad varían entre las diferentes versiones de iOS y Android. Las versiones más recientes de iOS, por ejemplo, requieren que los perfiles estén firmados digitalmente, lo que debería dificultar que los atacantes los aprovechen. De manera similar, muchas actualizaciones de software cambian la forma en que los sistemas lidian con los permisos o las notificaciones. Una buena regla general es que las versiones sucesivas de iOS y Android tienden a tener requisitos de seguridad más estrictos en lo que respecta a automatizaciones, aplicaciones y permisos. +Vale la pena señalar que las configuraciones de seguridad varían entre las diferentes versiones de iOS y Android. Las versiones más recientes de iOS, por ejemplo, requieren que los perfiles estén firmados digitalmente, lo que debería dificultar que los atacantes los aprovechen. De manera similar, muchas actualizaciones de software cambian la forma en que los sistemas gestionan los permisos o las notificaciones. Una buena práctica general es que las versiones sucesivas de iOS y Android tienen requisitos de seguridad más estrictos en lo que respecta a automatizaciones, aplicaciones y permisos. ## Práctica ### Windows y macOS -1. Ventanas: revisa a través del Centro de seguridad de Windows Defender. ¿Notas algo sospechoso? -2. Mac OS: usa la línea de comando para verificar si _Gatekeeper_ está habilitado. +1. Windows: revise el sistema a través del Centro de seguridad de Windows Defender. ¿Nota algo sospechoso? +2. Mac OS: use la línea de comando para verificar si Gatekeeper está habilitado. ### Android e iOS -1. Revisa varias de tus aplicaciones y busca qué permisos tienen. ¿Hay alguna aplicación que no reconoces o alguna que solicita demasiados permisos? En Android: ¿Alguna de esas aplicaciones que no reconoces está preinstalada? -2. Sólo iOS: revisa tu dispositivo en busca de atajos y perfiles instalados que no reconoces -3. Utiliza un motor de búsqueda para encontrar el texto completo de un mensaje de texto que hayas recibido y que pueda parecer extraño o sospechoso. Si no tienes mensajes de texto extraños o sospechosos, busca un mensaje estándar de tu operador de red. ¿Cuánta información puedes encontrar en línea sobre el número que envió este mensaje y sobre el mensaje en sí? +1. Revise varias de sus aplicaciones y busque qué permisos tienen. ¿Hay alguna aplicación que no reconoce o alguna que solicita demasiados permisos? En Android: ¿Alguna de esas aplicaciones que no reconoce está preinstalada? +2. Sólo iOS: revise su dispositivo en busca de atajos y perfiles instalados que no reconozca. +3. Use un motor de búsqueda para encontrar el texto completo de un mensaje que haya recibido y que pueda parecer extraño o sospechoso. Si no tiene mensajes de texto extraños o sospechosos, busque un mensaje estándar de su operador de red. ¿Cuánta información puede encontrar en línea sobre el número que envió este mensaje y sobre el mensaje en sí mismo? + ## Verificación de habilidades ### Android e iOS -1. Android: Lee toda la [Documentación de Android sobre permisos](https://developer.android.com/guide/topics/permissions/overview). No es necesario que entiendas el código fuente, el objetivo es simplemente obtener una comprensión general sobre cómo funcionan los permisos. - Piensa en qué podría hacer una aplicación maliciosa y qué datos podría extraer con los permisos descritos en la especificación de Android, y también en qué medidas toma el sistema operativo para minimizar el riesgo de que las aplicaciones abusen de los permisos. Elabora una lista de cinco a diez acciones que una aplicación maliciosa con amplios permisos del sistema podría realizar, y anota dos o tres situaciones indeseables que las prácticas recomendadas de permisos de aplicaciones podrían mitigar. - Si estás trabajando con un colega o mentor, discute la lista que compilaste con ellos y pídeles que verifiquen si has entendido correctamente los permisos de la aplicación, cómo podrían abusar de estos permisos y las mitigaciones de Android que evitan que esto suceda. -2. iOS: Lee toda la descripción del [Modo de Bloqueo de iOS](https://support.apple.com/en-us/HT212650), una configuración especial para personas en alto riesgo de ataques dirigidos, especialmente a través de spyware mercenario. Lista algunas respuestas a las siguientes preguntas. Ten en cuenta que no hay respuestas exactamente correctas o incorrectas a esas preguntas, ya que el Modo de Bloqueo, al igual que otros mecanismos de seguridad, busca un equilibrio entre seguridad y usabilidad. Algunas de esas preguntas requieren un conocimiento más profundo de ataques previos contra iOS (animamos a los aprendices a estudiar el tema "jailbreak" ) y podrían requerir una pequeña investigación adicional. - 1. ¿Por qué el Modo de Bloqueo bloquea la mayoría de los archivos adjuntos en Apple Messages? ¿Por qué no los bloquea en aplicaciones como WhatsApp? - 2. ¿Se te ocurre alguna razón por la cual el Modo de Bloqueo restringe ciertas funciones de navegación web? - 3. El Modo de Bloqueo, una vez habilitado, no permite la instalación de perfiles personalizados. ¿Por qué crees que los perfiles que se instalaron antes de que el usuario activara el Modo de Bloqueo todavía están permitidos para operar? +1. Android: Lea toda la [Documentación de Android sobre permisos](https://developer.android.com/guide/topics/permissions/overview). No es necesario que entienda el código fuente, el objetivo es simplemente tener un conocimiento general sobre cómo funcionan los permisos. + Piense sobre qué podría hacer una aplicación maliciosa y qué datos podría extraer con los permisos descritos en la especificación de Android. Asimismo, reflexione sobre qué medidas adopta el sistema operativo para minimizar el riesgo de que las aplicaciones abusen de los permisos. Elabore una lista de cinco a diez acciones que una aplicación maliciosa con amplios permisos del sistema podría realizar, y anote dos o tres situaciones indeseables que las prácticas recomendadas de permisos de aplicaciones podrían mitigar. + Si está trabajando con un colega o mentor/a, comparta la lista que compiló y pídales que verifiquen si has entendido correctamente los permisos de la aplicación, cómo alguien podrían abusar de estos permisos y las mitigaciones que puede llevar a cabo Android para evitar que esto suceda. +2. iOS: Lea toda la descripción del [Modo de Bloqueo de iOS](https://support.apple.com/en-us/HT212650), una configuración especial para personas en alto riesgo de ataques dirigidos, especialmente a través de spyware mercenario. Enumere algunas respuestas a las preguntas que verá más abajo. Tenga en cuenta que no hay respuestas correctas o incorrectas a esas preguntas, ya que el Modo de Bloqueo, al igual que otros mecanismos de seguridad, lo que buscan es un equilibrio entre seguridad y funcionalidad. Algunas de esas preguntas requieren un conocimiento más profundo de ataques previos contra iOS y podrían requerir una pequeña investigación adicional. Animamos a los estudiantes a leer sobre el tema de jailbreak. + 1. ¿Por qué el Modo de Bloqueo restringe la mayoría de los archivos adjuntos en Apple Messages? ¿Por qué no los bloquea en aplicaciones como WhatsApp? + 2. ¿Se le ocurre alguna razón por la cual el Modo de Bloqueo restringe ciertas funciones de navegación web? + 3. El Modo de Bloqueo, una vez habilitado, no permite la instalación de perfiles personalizados. ¿Por qué cree usted que los perfiles que se instalaron antes de que el usuario activara el Modo de Bloqueo todavía pueden operar? -Si estás trabajando con un compañero o mentor, discute tus respuestas a las preguntas anteriores con ellos y pídeles que verifiquen si has entendido correctamente el Modo de Bloqueo. +Si está trabajando con un compañero/a o mentor/a, discutan juntos sus respuestas a las preguntas anteriores y pídales que verifiquen si ha entendido correctamente el Modo de Bloqueo. ## Recursos Educativos diff --git a/content/learning-path/2/module-4.fr.md b/content/learning-path/2/module-4.fr.md index 7c828c044..579ba8039 100644 --- a/content/learning-path/2/module-4.fr.md +++ b/content/learning-path/2/module-4.fr.md @@ -1,8 +1,8 @@ -+++ -style = "module" -weight = 4 -title = "Étapes initiales et vérifications de la détection des logiciels malveillants" -+++ +--- +style: module +title: Étapes initiales et vérifications de la détection des logiciels malveillants +weight: 4 +--- ### Cas d'utilisation