2016 fue un año un tanto agridulce en lo relativo a noticias de seguridad: hubo buenas noticias y logros para quienes trabajan por tener sistemas más seguros, a pesar de que algunos incidentes fueron tan impactantes que se apoderaron de la escena. Con cibercriminales cada vez más sofisticados y ataques cada vez más dirigidos, el año no ha sido fácil, tal como estos notables incidentes de seguridad de los últimos 12 meses revelan.

1. Ataque DDoS a Dyn

En octubre, potentes ataques DDoS interrumpieron una gran cantidad de sitios web, incluyendo a algunos de la talla de Twitter, Netflix, PayPal, Pinterest y PlayStation Network, entre muchos otros.

El ataque fue asombroso por su tamaño, en un punto midiendo cerca de 1 Tbit/s
El grupo detrás del ataque logró comprometer miles de dispositivos conectados a la Internet de las Cosas (IoT); inicialmente se creyó que eran 100 mil, pero luego los investigadores hablaron de cerca de 20 mil. Los atacantes los transformaron en una botnet e inundaron de tráfico al proveedor de alojamiento DNS Dyn (recientemente adquirido por Oracle).

El ataque fue asombroso por su tamaño, llegando en un punto a un terabit por segundo (1 tbit/s). Y dado que Gartner predice que habrá 20,8 billones de dispositivos "conectados" hablando entre sí para 2020, puedes estar seguro de que este tipo de ataque es solo el comienzo.

2. Los clientes de Tesco Bank perdieron dinero real

tesco-bank-breach
Aproximadamente 40.000 cuentas de Tesco Bank fueron comprometidas en un ciberataque a principios de noviembre. La técnica usada no fue muy significativa; lo impactante fue que miles de clientes perdieron dinero físico que habían depositado en sus cuentas, algo raro en la era del cibercrimen, donde la mayoría del daño involucra datos y es imperceptible para algunas víctimas. El banco reportó que a cerca de 9 mil clientes les robaron montos que rondan las 600 libras (aproximadamente 763 dólares), y prometió restituirlos en el transcurso de 24 horas hábiles.

La naturaleza del ataque no está clara: algunos sugieren que se comprometió el sistema de un minorista y otros apuntan a actividad cibercriminal. Un cliente dijo que se había extraído dinero de su cuenta en cuatro transacciones distintas, provenientes todas de Río de Janeiro, Brasil.

3. LinkedIn, Tumblr y Myspace sin respiro

tumblr-security-incident

En junio, un cibercriminal bajo el apodo "Peace" se hizo conocido por haber publicado datos de millones de usuarios de LinkedIn, Tumblr y Myspace; más de medio billón de contraseñas estaban disponibles en línea.

La tienda en la Dark Web de Peace estaba repleta de mercancía. Según Wired, incluye 167 millones de cuentas de usuarios de LinkedIn, 360 millones de MySpace, 68 millones de Tumblr, 100 millones de la red social rusa VK.com y 71 millones de Twitter, sumando más de 800 millones de cuentas y creciendo. Entre los afectados hubo figuras conocidas como el CEO de Facebook Mark Zuckerberg, los cantantes Katy Perry y Drake y el cofundador de Twitter Biz Stone, entre otros.

Cómo Peace logró (si es que lo hizo solo) hacerse de tal conjunto de datos sigue siendo un misterio. Algunos sugieren que esta información data de 2012 y la severidad del caso se magnificó porque los usuarios reutilizan sus contraseñas.

4. Yahoo! sufre una masiva brecha

En septiembre, el motor de búsqueda, proveedor de email y otrora rival de Google Yahoo! fue víctima de lo que luego se describió como "la brecha más grande en la historia".

La compañía tuvo que admitir que a cerca de 500 millones de clientes les podrían haber robado sus datos, incluyendo información sensible como nombres, direcciones de correo electrónico, números de teléfono y contraseñas con hash. El tamaño y el impacto del ataque fue significativo, aunque es notable también que se apuntaba a un actor patrocinado por un Estado como responsable del mismo.

Este no era el primer momento vergonzoso para Yahoo! en lo que concierne a ciberseguridad, ya que también había sido atacada en 2014; pero lo que es particularmente intrigante es que probablemente la compañía sabía sobre el tema desde agosto, dos meses antes de que se reportara el incidente.

5. Yahoo! sufre otra masiva brecha

security-incidents-yahoo

En esta industria nunca debemos pensar que lo peor ya pasó. Cuando creíamos que Yahoo! había sufrido la brecha más grande de la historia, los días 14 y 15 de diciembre nos encontramos con la noticia de un incidente sin precedentes. La misma compañía anunció esta vez que cerca mil millones de cuentas de usuarios podrían haber sido comprometidas; lo más devastador fue que no guardaba relación con el incidente relacionado a la brecha anterior, de 2014.

Bob Lord, jefe de seguridad de la información en Yahoo!, dijo que este otro incidente ocurrió en agosto de 2013. La información robada incluye nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y contraseñas con hash.

Para comprender la dimensión del caso y ponerlo en perspectiva, no dejes de leer el artículo de Mark James analizando los daños y sus implicaciones.

6. Píxeles infectados en publicidades que parecen inofensivas

Los investigadores de ESET descubrieron un exploit kit llamado Stegano propagándose a través de publicidades maliciosas en populares sitios de noticias, que tienen millones de visitantes cada día. Por lo menos desde principios de octubre de 2016, los atacantes habían estado apuntando a usuarios de Internet Explorer y escaneando sus computadoras en busca de vulnerabilidades en Flash Player para explotarlas.

Los ataques entran en la categoría del malvertising, debido a que el código malicioso se distribuye a través de banners publicitarios maliciosos. Sin que sea necesaria la interacción del usuario, el script inicial reporta información sobre el equipo de la víctima al servidor remoto del atacante. Según se catalogue como vulnerable o no, se le presenta ya sea una imagen “limpia” o su casi imperceptible gemelo malvado.

7. Ola de ataques contra la industria energética ucraniana

En enero, y tras reportar sobre los apagones energéticos de diciembre, el equipo de investigadores de ESET descubrió una nueva ola de ataques a empresas de distribución de electricidad en Ucrania. Se basaba en correos de phishing dirigido con archivos adjuntos maliciosos, que instaban a las víctimas a habilitar las macros.

Probablemente se trate del primer caso en que un ataque de malware haya provocado un corte de energía eléctrica a gran escala. Hubo mucho debate en cuanto a si el malware realmente causó el corte de luz o si solo “lo hizo posible”, aunque para Robert Lipovsky y Anton Cherepanov, en el plano superior en realidad no importa. De hecho, esa es la esencia de los backdoors: concederles a los atacantes el acceso remoto a un sistema infectado.

8. Cibercriminales apuntan a routers con contraseñas por defecto

home routers

En octubre, alertamos sobre ataques que apuntan a routers de Brasil, aunque podrían ser localizados a cualquier otro país; si bien estaban ocurriendo desde 2012, los riesgos que conllevan están aumentando drásticamente a medida que el número de equipos conectados se dispara.

La técnica consiste en aprovechar el fácil acceso que brindan los usuarios al dejar las credenciales por defecto en sus routers, o bien en explotar vulnerabilidades en su firmware. Los objetivos principales son cambiar la configuración del DNS, permitir el acceso de administración remota con IP pública y establecer una contraseña predefinida para otorgarse un fácil acceso en otra ocasión.

Con acceso permitido al router, los atacantes pueden iniciar sesión y verificar la red en busca de otros dispositivos conectados, como Smart TVs, sistemas de control hogareño y heladeras inteligentes.

9. Filtran información de empleados del Departamento de Justicia de EE. UU.

En febrero, cibercriminales supuestamente enojados con los Estados Unidos por sus vínculos con Israel comprometieron la base de datos del Departamento de Justicia del país norteamericano.

El ataque demostró que las agencias gubernamentales pueden sufrir los mismos incidentes que las compañías
CNN reportó que los atacantes publicaron datos de 10 mil empleados del Departamento de Seguridad Nacional un día, y luego datos de 20 mil empleados del FBI al día siguiente. La información robada y filtrada incluye nombres, cargos, números de teléfono y direcciones de correo electrónico, aunque la entidad cree que no se obtuvo otra información sensible como números de seguridad social.

El método de ataque aún se desconoce, pero lo importante es que demostró que las agencias gubernamentales pueden sufrir los mismos inpcidentes que las comañías y ser víctimas de los cibercriminales. Los atacantes, aparentemente publicando desde la cuenta de Twitter @DotGovs, afirmaron que al Departamento de Justicia le tomó una semana darse cuenta de que sus sistemas habían sido comprometidos.

10. Votantes filipinos, blancos de Anonymous

Quizá no llegó a las primeras planas en Occidente, pero en abril tuvo lugar uno de los ciberataques más feroces del año.

Un acceso no autorizado a la base de datos de la Comisión Filipina de Elecciones (COMELEC) resultó en la pérdida de información personal de todos y cada uno de los votantes en Filipinas, lo que equivale a 55 millones de personas aproximadamente. La información, supuestamente filtrada por Anonymous Philippines, fue puesta a disposición online por Lulzsec Pilipinas.

Las acciones de Anonymous fueron un supuesto esfuerzo para hacer que COMELEC active y mejore las funciones de seguridad en las máquinas de conteo de votos antes de las elecciones nacionales del 9 de mayo. Esto llega en un momento interesante, en el que aquí, en Latinoamérica, seguimos discutiendo si el voto electrónico es seguro o no; a la vez, nos demuestra que en política influyen más fuerzas de las que se ven a simple vista.

Y a ti, ¿cuál te pareció el incidente más resonante de 2016?

[socialpoll id="2410060" path="/polls/2410060" fif="false" width="450"]