{"id":176558,"date":"2024-11-21T11:14:59","date_gmt":"2024-11-21T14:14:59","guid":{"rendered":"https:\/\/nuevoitsitio1.wpenginepowered.com\/ch\/sin-categoria\/cazador-contra-espia-el-informe-pacific-rim-de-sophos-detalla-su-operacion-defensiva-y-de-contraofensiva-frente-a-multiples-ciberdelincuentes\/"},"modified":"2025-11-21T22:07:54","modified_gmt":"2025-11-22T01:07:54","slug":"cazador-contra-espia-el-informe-pacific-rim-de-sophos-detalla-su-operacion-defensiva-y-de-contraofensiva-frente-a-multiples-ciberdelincuentes","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/ch\/seguridad\/cazador-contra-espia-el-informe-pacific-rim-de-sophos-detalla-su-operacion-defensiva-y-de-contraofensiva-frente-a-multiples-ciberdelincuentes\/","title":{"rendered":"Cazador contra esp\u00eda: el informe \\&#8217;Pacific Rim\\&#8217; de Sophos detalla su operaci\u00f3n defensiva y de contraofensiva frente a m\u00faltiples ciberdelincuentes"},"content":{"rendered":"<p><a href=\"https:\/\/www.sophos.com\/en-us\" target=\"_blank\" rel=\"noopener\">Sophos<\/a>, l\u00edder mundial en soluciones de seguridad innovadoras para combatir ciberataques, lanz\u00f3 el informe \u201c<a href=\"https:\/\/www.sophos.com\/pacificrim\" target=\"_blank\" rel=\"noopener\">Pacific Rim<\/a>\u201d, que detalla su operaci\u00f3n de defensa y contraataque a lo largo de los \u00faltimos cinco a\u00f1os frente a varios adversarios de Estados-naci\u00f3n con sede en China que apuntaron a dispositivos perimetrales, incluidos firewalls de Sophos. Los atacantes ejecutaron campa\u00f1as con exploits novedosos y malware personalizado para realizar espionaje, sabotaje y vigilancia cibern\u00e9tica, utilizando t\u00e1cticas, herramientas y procedimientos similares a grupos de Estado chino bien conocidos como\u00a0<a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa24-038a\" target=\"_blank\" rel=\"noopener\">Volt Typhoon,<\/a> APT31 y APT41.<\/p>\n<p>A lo largo del informe &#8220;Pacific Rim&#8221;, Sophos X-Ops, la unidad de inteligencia en ciberseguridad y amenazas de Sophos, trabaj\u00f3 para neutralizar los movimientos de los cibercriminales, mejorando continuamente las defensas y contraofensivas. Tras responder a los ataques iniciales, Sophos observ\u00f3 una escalada en los esfuerzos de los atacantes, quienes desplegaron operadores m\u00e1s experimentados. Esto permiti\u00f3 a Sophos descubrir un vasto ecosistema de adversarios.<\/p>\n<p>Desde 2020, Sophos ha informado sobre campa\u00f1as espec\u00edficas, como\u00a0<a href=\"https:\/\/news.sophos.com\/en-us\/2020\/02\/25\/cloud-snooper\/\" target=\"_blank\" rel=\"noopener\">Cloud Snooper<\/a>\u00a0y\u00a0<a href=\"https:\/\/news.sophos.com\/en-us\/2020\/04\/26\/asnarok\/\" target=\"_blank\" rel=\"noopener\">Asnar\u00f6k<\/a>, y hoy ofrece un an\u00e1lisis general de la investigaci\u00f3n para alertar sobre la\u00a0<a href=\"https:\/\/www.cisa.gov\/topics\/cyber-threats-and-advisories\/nation-state-cyber-actors\/china\" target=\"_blank\" rel=\"noopener\">persistencia de los adversarios chinos<\/a>\u00a0y su enfoque en dispositivos perimetrales, sin soporte y con vulnerabilidades de fin de vida \u00fatil (EOL), a menudo mediante exploits de d\u00eda cero creados para tales dispositivos. Sophos exhorta a las organizaciones a aplicar parches para vulnerabilidades en dispositivos con acceso a internet y migrar los equipos antiguos sin soporte. Los clientes de Sophos Firewall est\u00e1n protegidos a trav\u00e9s de hotfixes r\u00e1pidos que se aplican de forma predeterminada.<\/p>\n<p>\u201c<em>La realidad es que los dispositivos perif\u00e9ricos se han convertido en objetivos muy atractivos para los grupos estatales chinos como Volt Typhoon y otros, que buscan construir redes ORB (Operational Relay Boxes) para ocultar y respaldar su actividad. Esto incluye atacar directamente a una instituci\u00f3n con fines de espionaje, o aprovechar indirectamente cualquier punto d\u00e9bil para ataques posteriores, convirti\u00e9ndose en da\u00f1os colaterales. Incluso las instituciones que no son objetivo est\u00e1n siendo atacadas. Los dispositivos de red dise\u00f1ados para las empresas son objetivos naturales para estos fines: son potentes, est\u00e1n siempre encendidos y tienen conectividad constante<\/em>\u201d, afirma\u00a0<strong>Ross McKerchar, CISO de Sophos.<\/strong> \u201c<em>Cuando un grupo que pretend\u00eda construir una red global de ORBs atac\u00f3 algunos de nuestros dispositivos, respondimos aplicando las mismas t\u00e9cnicas de detecci\u00f3n y respuesta que utilizamos para defender nuestros endpoints y dispositivos de red corporativos.<\/em><\/p>\n<figure id=\"attachment_175453\" aria-describedby=\"caption-attachment-175453\" style=\"width: 1200px\" class=\"wp-caption alignnone\"><img decoding=\"async\" class=\"wp-image-175453\" src=\"https:\/\/nuevoitsitio1.wpenginepowered.com\/ch\/wp-content\/uploads\/sites\/5\/2024\/05\/Ramsomware.webp\" alt=\"width=\" height=\"675\" srcset=\"https:\/\/www.itsitio.com\/ch\/wp-content\/uploads\/sites\/5\/2024\/05\/Ramsomware.webp 740w, https:\/\/www.itsitio.com\/ch\/wp-content\/uploads\/sites\/5\/2024\/05\/Ramsomware-300x169.webp 300w\" sizes=\"(max-width: 740px) 100vw, 740px\" \/><figcaption id=\"caption-attachment-175453\" class=\"wp-caption-text\">&#8220;Esto nos permiti\u00f3 detener m\u00faltiples operaciones y aprovechar un valioso flujo de inteligencia sobre amenazas que aplicamos para proteger a nuestros clientes tanto de futuros ataques generalizados como de operaciones muy selectivas\u201d &#8211; Ross McKerchar.<\/figcaption><\/figure>\n<h2><span style=\"color: #333399;\"><strong>Puntos destacados del informe:<\/strong><\/span><\/h2>\n<ul>\n<li>El 4 de diciembre de 2018, un ordenador con pocos privilegios conectado a una pantalla de proyecci\u00f3n empez\u00f3 a escanear la red de Sophos (aparentemente por su cuenta) en la sede de Cyberoam en India, una empresa que Sophos adquiri\u00f3 en 2014. Sophos encontr\u00f3 en el ordenador un payload (o carga maliciosa) que monitorizaba silenciosamente el tr\u00e1fico especializado entrante de Internet y que conten\u00eda un novedoso tipo de puerta trasera y un complejo rootkit: \u201c<em>Cloud Snooper<\/em>\u201d.<\/li>\n<li>En abril de 2020, despu\u00e9s de que varias instituciones informaran de una interfaz de usuario que apuntaba a un dominio con \u201cSophos\u201d en su nombre, Sophos colabor\u00f3 con las fuerzas de seguridad europeas, que localizaron y confiscaron el servidor que los adversarios utilizaron para desplegar los payloads maliciosos, en lo que Sophos denomin\u00f3 posteriormente Asnar\u00f6k. Sophos neutraliz\u00f3 Asnar\u00f6k, pudiendo atribuirlo a China, tom\u00f3 el control del canal de mando y control (C2) del malware, permitiendo a Sophos neutralizar unas oleadas planificadas de ataques de botnet.<\/li>\n<li>Despu\u00e9s de Asnar\u00f6k, Sophos avanz\u00f3 en sus operaciones de inteligencia creando un programa adicional de rastreo de actores de amenazas centrado en identificar e interrumpir a los adversarios. El fin de estos ciberdelincuentes era explotar los dispositivos de Sophos desplegados en entornos de clientes. El programa se construy\u00f3 utilizando una combinaci\u00f3n de inteligencia de c\u00f3digo abierto, an\u00e1lisis web, monitorizaci\u00f3n de telemetr\u00eda e implantes de kernel dirigidos, desplegados en los dispositivos de investigaci\u00f3n de los atacantes.<\/li>\n<li>A continuaci\u00f3n, los atacantes aumentaron su nivel de insistencia, mejorando sus t\u00e1cticas y desplegando malware cada vez m\u00e1s sigiloso. Sin embargo, gracias a su programa de rastreo de actores de amenazas y a sus capacidades mejoradas de recopilaci\u00f3n de telemetr\u00eda, Sophos pudo adelantarse a varios ataques y obtener una copia de un bootkit UEFI y de exploits personalizados antes de que pudieran desplegarse ampliamente.<\/li>\n<li>Unos\u00a0meses m\u00e1s tarde, Sophos rastre\u00f3 algunos de los ataques hasta un ciberadversario, que ha demostrado tener v\u00ednculos con China y con el Instituto de Investigaci\u00f3n Double Helix de Sichuan Silence Information Technology, en la regi\u00f3n de Chengdu del pa\u00eds.<\/li>\n<li>En marzo de 2022, un investigador de seguridad an\u00f3nimo inform\u00f3 a Sophos de una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo zero-day, denominada CVE-2022-1040, como parte del programa de recompensas por fallos de la empresa. Una investigaci\u00f3n posterior revel\u00f3 que esta CVE ya estaba siendo explotada en m\u00faltiples operaciones, y que Sophos pudo evitar que afectara a los clientes. Despu\u00e9s de un an\u00e1lisis m\u00e1s profundo, Sophos determin\u00f3 que la persona que inform\u00f3 del exploit podr\u00eda haber tenido una conexi\u00f3n con los adversarios. Era la segunda vez que Sophos recib\u00eda un \u201cchivatazo\u201d sospechosamente oportuno sobre una vulnerabilidad antes de que se utilizara de forma maliciosa.<\/li>\n<\/ul>\n<h2><span style=\"color: #333399;\"><strong>Consejos para los equipos de seguridad<\/strong><\/span><\/h2>\n<p>Las organizaciones deben tener en cuenta que todos los dispositivos conectados a Internet son objetivos principales para los adversarios de los estados-naci\u00f3n, especialmente los dispositivos en infraestructuras cr\u00edticas. <a href=\"https:\/\/www.itsitio.com\/ch\/dispositivos\/sophos-dispositivos-firewall-escritorio-xgs\/\">Sophos<\/a> anima a las instituciones a tomar las siguientes medidas para reforzar su seguridad:<\/p>\n<ul>\n<li>Reducir al m\u00ednimo los servicios y dispositivos conectados a Internet siempre que sea posible.<\/li>\n<li>Priorizar la aplicaci\u00f3n de parches con urgencia para los dispositivos conectados a Internet y su posterior supervisi\u00f3n.<\/li>\n<li>Habilitar actualizaciones para dispositivos edge y aplicarlas autom\u00e1ticamente.<\/li>\n<li>Colaborar con las fuerzas de seguridad, los partners p\u00fablico-privados y el gobierno para compartir y actuar sobre los IoC relevantes.<\/li>\n<li>Crear un plan para abordar el modo en el que la organizaci\u00f3n se ocupa de los dispositivos EOL.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Sophos, l&iacute;der mundial en soluciones de seguridad innovadoras para combatir ciberataques, lanz&oacute; el informe &ldquo;Pacific Rim&rdquo;, que detalla su operaci&oacute;n de defensa y contraataque a lo largo de los &uacute;ltimos cinco a&ntilde;os frente a varios adversarios de Estados-naci&oacute;n con sede en China que apuntaron a dispositivos perimetrales, incluidos firewalls de Sophos. Los atacantes ejecutaron campa&ntilde;as con exploits novedosos y malware personalizado para realizar espionaje, sabotaje y vigilancia cibern&eacute;tica, utilizando t&aacute;cticas, herramientas y procedimientos similares a grupos de Estado chino bien conocidos como&nbsp;Volt Typhoon, APT31 y APT41. A lo largo del informe &ldquo;Pacific Rim&rdquo;, Sophos X-Ops, la unidad de inteligencia en ciberseguridad y amenazas de Sophos, trabaj&oacute; para neutralizar los movimientos de los cibercriminales, mejorando continuamente las defensas y contraofensivas. Tras responder a los ataques iniciales, Sophos observ&oacute; una escalada en los esfuerzos de los atacantes, quienes desplegaron operadores m&aacute;s experimentados. Esto permiti&oacute; a Sophos descubrir un vasto ecosistema de adversarios. Desde 2020, Sophos ha informado sobre campa&ntilde;as espec&iacute;ficas, como&nbsp;Cloud Snooper&nbsp;y&nbsp;Asnar&ouml;k, y hoy ofrece un an&aacute;lisis general de la investigaci&oacute;n para alertar sobre la&nbsp;persistencia de los adversarios chinos&nbsp;y su enfoque en dispositivos perimetrales, sin soporte y con vulnerabilidades de fin de vida &uacute;til (EOL), a menudo mediante exploits de d&iacute;a cero creados para tales dispositivos. Sophos exhorta a las organizaciones a aplicar parches para vulnerabilidades en dispositivos con acceso a internet y migrar los equipos antiguos sin soporte. Los clientes de Sophos Firewall est&aacute;n protegidos a trav&eacute;s de hotfixes r&aacute;pidos que se aplican de forma predeterminada. &ldquo;La realidad es que los dispositivos perif&eacute;ricos se han convertido en objetivos muy atractivos para los grupos estatales chinos como Volt Typhoon y otros, que buscan construir redes ORB (Operational Relay Boxes) para ocultar y respaldar su actividad. Esto incluye atacar directamente a una instituci&oacute;n con fines de espionaje, o aprovechar indirectamente cualquier punto d&eacute;bil para ataques posteriores, convirti&eacute;ndose en da&ntilde;os colaterales. Incluso las instituciones que no son objetivo est&aacute;n siendo atacadas. Los dispositivos de red dise&ntilde;ados para las empresas son objetivos naturales para estos fines: son potentes, est&aacute;n siempre encendidos y tienen conectividad constante&rdquo;, afirma&nbsp;Ross McKerchar, CISO de Sophos. &ldquo;Cuando un grupo que pretend&iacute;a construir una red global de ORBs atac&oacute; algunos de nuestros dispositivos, respondimos aplicando las mismas t&eacute;cnicas de detecci&oacute;n y respuesta que utilizamos para defender nuestros endpoints y dispositivos de red corporativos. Puntos destacados del informe: El 4 de diciembre de 2018, un ordenador con pocos privilegios conectado a una pantalla de proyecci&oacute;n empez&oacute; a escanear la red de Sophos (aparentemente por su cuenta) en la sede de Cyberoam en India, una empresa que Sophos adquiri&oacute; en 2014. Sophos encontr&oacute; en el ordenador un payload (o carga maliciosa) que monitorizaba silenciosamente el tr&aacute;fico especializado entrante de Internet y que conten&iacute;a un novedoso tipo de puerta trasera y un complejo rootkit: &ldquo;Cloud Snooper&rdquo;. En abril de 2020, despu&eacute;s de que varias instituciones informaran de una interfaz de usuario que apuntaba a un dominio con &ldquo;Sophos&rdquo; en su nombre, Sophos colabor&oacute; con las fuerzas de seguridad europeas, que localizaron y confiscaron el servidor que los adversarios utilizaron para desplegar los payloads maliciosos, en lo que Sophos denomin&oacute; posteriormente Asnar&ouml;k. Sophos neutraliz&oacute; Asnar&ouml;k, pudiendo atribuirlo a China, tom&oacute; el control del canal de mando y control (C2) del malware, permitiendo a Sophos neutralizar unas oleadas planificadas de ataques de botnet. Despu&eacute;s de Asnar&ouml;k, Sophos avanz&oacute; en sus operaciones de inteligencia creando un programa adicional de rastreo de actores de amenazas centrado en identificar e interrumpir a los adversarios. El fin de estos ciberdelincuentes era explotar los dispositivos de Sophos desplegados en entornos de clientes. El programa se construy&oacute; utilizando una combinaci&oacute;n de inteligencia de c&oacute;digo abierto, an&aacute;lisis web, monitorizaci&oacute;n de telemetr&iacute;a e implantes de kernel dirigidos, desplegados en los dispositivos de investigaci&oacute;n de los atacantes. A continuaci&oacute;n, los atacantes aumentaron su nivel de insistencia, mejorando sus t&aacute;cticas y desplegando malware cada vez m&aacute;s sigiloso. Sin embargo, gracias a su programa de rastreo de actores de amenazas y a sus capacidades mejoradas de recopilaci&oacute;n de telemetr&iacute;a, Sophos pudo adelantarse a varios ataques y obtener una copia de un bootkit UEFI y de exploits personalizados antes de que pudieran desplegarse ampliamente. Unos&nbsp;meses m&aacute;s tarde, Sophos rastre&oacute; algunos de los ataques hasta un ciberadversario, que ha demostrado tener v&iacute;nculos con China y con el Instituto de Investigaci&oacute;n Double Helix de Sichuan Silence Information Technology, en la regi&oacute;n de Chengdu del pa&iacute;s. En marzo de 2022, un investigador de seguridad an&oacute;nimo inform&oacute; a Sophos de una vulnerabilidad de ejecuci&oacute;n remota de c&oacute;digo zero-day, denominada CVE-2022-1040, como parte del programa de recompensas por fallos de la empresa. Una investigaci&oacute;n posterior revel&oacute; que esta CVE ya estaba siendo explotada en m&uacute;ltiples operaciones, y que Sophos pudo evitar que afectara a los clientes. Despu&eacute;s de un an&aacute;lisis m&aacute;s profundo, Sophos determin&oacute; que la persona que inform&oacute; del exploit podr&iacute;a haber tenido una conexi&oacute;n con los adversarios. Era la segunda vez que Sophos recib&iacute;a un &ldquo;chivatazo&rdquo; sospechosamente oportuno sobre una vulnerabilidad antes de que se utilizara de forma maliciosa. Consejos para los equipos de seguridad Las organizaciones deben tener en cuenta que todos los dispositivos conectados a Internet son objetivos principales para los adversarios de los estados-naci&oacute;n, especialmente los dispositivos en infraestructuras cr&iacute;ticas. Sophos anima a las instituciones a tomar las siguientes medidas para reforzar su seguridad: Reducir al m&iacute;nimo los servicios y dispositivos conectados a Internet siempre que sea posible. Priorizar la aplicaci&oacute;n de parches con urgencia para los dispositivos conectados a Internet y su posterior supervisi&oacute;n. Habilitar actualizaciones para dispositivos edge y aplicarlas autom&aacute;ticamente. Colaborar con las fuerzas de seguridad, los partners p&uacute;blico-privados y el gobierno para compartir y actuar sobre los IoC relevantes. Crear un plan para abordar el modo en el que la organizaci&oacute;n se ocupa de los dispositivos EOL.<\/p>\n","protected":false},"author":229,"featured_media":176288,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[34],"tags":[54],"class_list":["post-176558","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-sophos"],"_links":{"self":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts\/176558","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/users\/229"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/comments?post=176558"}],"version-history":[{"count":0,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts\/176558\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/media\/176288"}],"wp:attachment":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/media?parent=176558"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/categories?post=176558"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/tags?post=176558"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}