Información de feeds
CSIRT Américas es una red de Equipos de Respuesta ante Incidentes Cibernéticos (CSIRTs) gubernamentales de los Estados Miembros de la Organización de los Estados Americanos (OEA). Constituido por 22 países miembros, 52 CSIRTs y 479 especialistas, dedica todos sus esfuerzos a mejorar la ciberseguridad en la región promoviendo la colaboración entre diferentes sectores para manejar amenazas cibernéticas de forma eficiente. Ofrece una serie de servicios tanto técnicos como de desarrollo profesional, análisis de vulnerabilidades, asesoramiento estratégico, capacitación y acceso a información sobre amenazas cibernéticas en tiempo real. CSIRT Córdoba es miembro de CSIRT Américas.
CSIRT Córdoba es una iniciativa interinstitucional promovida por el Gobierno de Córdoba, la UNC, el Centro de Computación de Alto Desempeño de la UNC, la CIIECCA, el Córdoba Technology Cluster y el IDC LAC en representación de las Organizaciones No Gubernamentales.
CSIRT Américas pone a disposición de sus miembros el servicio de feeds.
¿Qué son los feeds?
Son flujos de datos que contienen información sobre amenazas cibernéticas que podrían afectar la seguridad de ciudadanos, organizaciones e infraestructuras críticas de un país. Brindan información sobre modalidades, atacantes, motivos e indicadores de compromiso, que sirve para la toma de decisiones en busca de prevenir, detectar y mitigar incidentes de ciberseguridad. Esta información puede incluir direcciones IP, dominios, tecnologías, puertos, hashes de archivos maliciosos, geolocalización entre otros.
¿Qué información reciben las instituciones?
En los entornos organizacionales, estatales, universitarios, empresariales, etc., el estudio, la formación, la investigación y el desarrollo dependen fuertemente del uso de las tecnologías de la información y las comunicaciones (TICs). La consecuencia directa y no deseada es tener que enfrentar riesgos de ciberseguridad y por ello este cuerpo de conocimiento pasa a ser una prioridad para las organizaciones. Por este motivo, CSIRT UNC, con la colaboración de CSIRT Córdoba (miembro de CSIRT Américas), ha asumido la tarea de concientizar y promover conductas para minimizar riesgos ante amenazas en el ciberespacio y al mismo tiempo, distribuir información curada sobre filtraciones y vulnerabilidades del ámbito institucional obtenidas de los feeds distribuidos por CSIRT Américas.
CSIRT UNC realiza una selección de la información disponible en los feeds, procesándola según criterios específicos para ofrecer datos relevantes que proporcionen una imagen de la exposición lo más completa, clara y representativa posible de la realidad al momento del análisis. Esto invita a tomar decisiones y llevar a cabo acciones para cerrar el círculo virtuoso que refuerza continuamente la ciberseguridad en las instituciones.
¿Cómo interpretar la información de un feed?
Por ejemplo, el feed cuyo proveedor es IntelX, proporciona información de leaks de credenciales de usuarios relacionados a correos gubernamentales (.gov.ar, .gob.ar) y educativos (.edu.ar), basado en la API de identity del proveedor. Se toman en cuenta las publicaciones de hasta 30 días de antigüedad. Se actualizan cada vez que se detecta una nueva publicación. Es en tiempo real de forma continua.
A continuación se presentan los campos que podrá encontrar en la estructura del feed que recibe de la plataforma de CSIRT Américas.
| Campo | Descripción | Ejemplos |
|---|---|---|
| CSIRTAmericas Observation time | Fecha y hora en la que CSIRT Américas realizó la búsqueda en IntelX. | 2021-04-28T16:35:45+00:00 |
| IntelX add date | Fecha y hora en la que IntelX publicó los datos. | 2021-04-28T16:35:45+00:00 |
| Account | Nombre de usuario expuesto. | juan@example.com |
| Password | Password expuesta ofuscada. | 12**78 |
| Password Type | Tipo de password expuesta. | SHA1 o Plaintext. |
| FQDN | Nombre de dominio completo (Fully Qualified Domain Name). | website.tld |
| Leak Source | Nombre descriptivo del archivo donde se encontró la información expuesta. | DB_MailPass_p.txt [Part 36 of 47] |
| Occurrences | El número de veces que el par usuario/contraseña ha sido visto por CSIRT Américas. | 0 (cuando es un leak nuevo) 1 (cuando ya se detectó una vez) |
| Last Seen | Última vez que el par usuario/contraseña ha sido visto por CSIRT Américas. | 2021-04-28T16:35:45+00:00 |
| TLP | Nivel de sensibilidad con el que la información debe ser manejada según el protocolo TLP (Traffic Light Protocol). | RED, AMBER, AMBER+STRICT, GREEN, CLEAR |
| Taxonomy | Clasificación según la Taxonomía de CSIRT Américas. | infoleak |
| Provider | Proveedor de la información en que está basado este feed. | IntelX |
La información provista consta de pares de cuentas y contraseñas potencialmente filtradas. Cabe aclarar que esto no asegura que la contraseña expuesta sea aquella que da acceso al correo o que el correo siquiera exista.
Existe la posibilidad de que dicha cuenta haya sido utilizada como correo de registro en otros sitios, también pueden existir casos en los que, por errores de tipeo u otros, se hayan introducido cuentas que no existen.
Por otro lado, en muchos casos se desconoce el sitio del cual se ha filtrado y dada la mala práctica habitual de usar una misma contraseña en múltiples sitios, existe la posibilidad de que el par usuario/contraseña filtrado coincida con los necesarios para acceder al correo. Por este motivo se sugiere que se informe al propietario sobre la existencia de la filtración a los efectos de que la contraseña sea actualizada.
¿Cómo acceder a feeds referidos a mi organización?
Si su institución educativa, empresa u organización gubernamental tiene interés en recibir información de feeds asociada a su dominio registrado, puede ponerse en contacto con nosotros y nos comunicaremos para iniciar el procedimiento de validación para que pueda acceder a información de feeds.