Ya estamos a mitad de año y es un buen momento para analizar en qué medida se hicieron realidad las ideas que planteamos a fines de 2016 en el informe Tendencias 2017: La seguridad como rehén. Allí, los investigadores de ESET analizaron el posible futuro de algunos aspectos relacionados a la ciberseguridad y es tiempo de ver si todo lo que suponíamos efectivamente sucedió y dónde estamos parados hoy.
Salud, el objetivo de ataque número uno
“Han pasado unos meses agitados y ocasionalmente dolorosos desde que salió nuestro reporte de Tendencias, especialmente para la comunidad de seguridad de la industria de la salud”, señaló Lysa Myers.
En octubre, la botnet Mirai ejecutó masivos ataques distribuidos de denegación de servicio (DDoS) utilizando dispositivos inseguros conectados a Internet, aprovechando así la extensión de la Internet de las Cosas (IoT). Unos meses después, se descubrió una familia de ransomware llamada WannaCryptor. Se propagó por todo el mundo a una velocidad vertiginosa, explotando vulnerabilidades en el protocolo Server Message Block (SMB).
Los hospitales venían teniendo un panorama complicado en general y este evento no hizo más que alimentar el problema. Además de las computadoras tradicionales en establecimientos médicos de Estados Unidos y el Reino Unido, se vieron afectados dispositivos médicos.
Esto demuestra que la tendencia sigue en pie: a medida que la industria incorpora más y más dispositivos repletos de información confidencial, la seguridad y la privacidad quedan como una preocupación secundaria.
Esfuerzos por una legislación relevante
Si hablamos de privacidad, basta recordar que habíamos mencionado una tendencia creciente en el desarrollo de legislaciones de ciberseguridad, que impulsarían la cooperación entre los sectores público y privado de cada país, así como a nivel internacional. El mejor ejemplo que tenemos es el Reglamento General de Protección de Datos (GDPR), una nueva normativa establecida por la Comisión Europea que tiene como propósito devolver el poder a los ciudadanos sobre la manera en que se procesan y utilizan sus datos personales. Garantiza el derecho al olvido, la oposición a la elaboración de perfiles y la portabilidad de datos.
Lo más interesante es que no aplica solo a empresas basadas en la Unión Europea, ya que todas las que tengan y procesen datos de sus ciudadanos, sea donde sea que operen, deberán cumplir la ley. En China también entró en vigor una ley de ciberseguridad, que prohíbe a los proveedores de servicios en línea la recopilación y venta de información personal de los usuarios. Además, les otorga el derecho de que sus datos sean eliminados.
Así, vemos cómo se sigue globalizando el derecho a la privacidad.
Y ¿qué hay de las vulnerabilidades?
En Android, hasta mayo de 2017 se habían publicado 255 fallos de seguridad, poco menos de la mitad de los registrados durante 2016. Esto nos incita a pensar que este SO cerrará el año con igual o mayor número de vulnerabilidades que el año pasado.
parece que android tendrá igual o mayor cantidad de fallos que en 2016
Respecto a códigos maliciosos, se registran 300 nuevas muestras mensuales y la cantidad de detecciones hasta mayo representaba un 26% del total durante 2016. No obstante, variantes de ransomware móvil como Android/Lockerpin aumentaron un 436,54%, afectando en particular a países asiáticos.
Además, las ocurrencias de malware en la Play Store no dejan de repetirse, como fue el caso de troyanos bancarios o espías que robaban credenciales de Instagram, por lo que el malware móvil parece seguir en expansión.
En cuanto a iOS, hasta mayo se habían reportado 224 fallas de seguridad (63 más que en 2016) y 14% de ellas fueron críticas.
Saliendo del mundo móvil, no podemos dejar de mencionar nuevamente al resonante ataque de WannaCryptor, que infectó a más de 300.000 víctimas en al menos 150 países a través de la explotación de vulnerabilidades que ya habían sido corregidas por Microsoft.
La campaña logró su alcance porque muchos usuarios no aplicaron los parches que los hubieran protegido de los infames exploits EternalBlue y DoublePulsar. Estos fueron supuestamente desarrollados por la NSA y filtrados por el grupo Shadow Brokers en abril de 2017. Sin embargo, es probable que el uso de estos kits de exploits continúe potenciando las campañas de malware y los ciberataques en general en el futuro próximo.
“Shadow Brokers prometió lanzar más exploits 0-Day y herramientas de hacking, no solamente para sistemas operativos sino también para navegadores, routers y smartphones. El grupo promueve ahora una suscripción paga para quienes quieran recibir acceso exclusivo a futuros lanzamientos y filtraciones”, señaló el investigador de ESET Lucas Paus.
Infraestructura crítica
Los ataques a la infraestructura crítica continuaron llegando a los titulares e interrumpiendo la cotidianeidad de ciertos procesos. En los últimos seis meses quedó claro que este ecosistema tiene debilidades fundamentales, con sistemas y protocolos que se desarrollaron hace décadas, sin pensar en la seguridad ni en conectar estos procesos a Internet.
Tal como anticiparon los investigadores de ESET, los cibercriminales continuaron haciendo pruebas para sondear la infraestructura crítica y determinar cómo atacarla a través de Internet. Los recientes hallazgos sobre Industroyer, el primer malware descubierto que fue diseñado específicamente para atacar redes eléctricas, demostraron cómo el malware puede causar cortes de suministros. La tendencia a reajustar amenazas como estas para usarlas contra otros tipos de infraestructuras críticas (como transporte, gas o agua) seguirá en pie.
Este tema será el eje de la presentación de ESET en Black Hat 2017, especialmente debido a que ahora los estados deberán enfrentar las debilidades en estas estructuras y las implicancias de potenciales ataques.
Industroyer tuvo un alcance muy limitado, por lo que muchos investigadores lo vieron como una prueba a gran escala. Independientemente de las intenciones de los atacantes, el mensaje principal debe ser que esto es un llamado de atención para todos los responsables de la seguridad de infraestructuras críticas en todo el mundo.
DiskCoder.C demostró que una infección puede provenir, aunque involuntariamente, de un socio comercial
La infraestructura crítica no se limita a objetivos físicos como las redes eléctricas. En la era digital incluirá cada vez más "sistemas de ingeniería", como las cadenas de suministro y el propio Internet. El reciente brote del malware de DiskCoder.C (también conocido como ExPetr, PetrWrap, Petya o NotPetya) demuestra aún más la interconexión de estos problemas, ya que, enmascarado como un típico ataque de ransomware, tenía como verdadero objetivo perjudicar a las empresas ucranianas a y toda la economía del país.
DiskCoder.C también llegó a sistemas globales, a través de empresas interconectadas con socios ucranianos que ya habían sufrido la infección primaria. Si bien esto podría considerarse un daño colateral, ocasionó que se paralizaran sistemas en compañías como Maersk o TNT Express, ambas muy importantes en logística global (y cadenas de suministro). Por lo tanto, el ataque local a las empresas ucranianas logró dañar líneas de envíos a nivel mundial, e incluso cerró terminales portuarias en Europa Occidental y los EE.UU.
Esto significa que la infraestructura de transporte global -que es un componente crucial del comercio mundial- sufrió un golpe y oyó la advertencia. También demuestra la escala y el impacto crítico que los ataques como estos pueden tener.
La seguridad a menudo es dejada de lado en las cadenas de suministro. Es un área subestimada: los expertos han estado pidiendo desde hace tiempo un enfoque holístico, mientras que las organizaciones a menudo se centran en asegurar sus propiedades. El brote de DiskCoder.C muestra claramente que las infecciones de malware pueden provenir, aunque involuntariamente, de un socio comercial.
"La capacidad técnica demostrada por Industroyer, junto con la escala del reciente brote de DiskCoder.C, demuestran que los ataques dirigidos a objetivos de alto valor en un estado nacional representan una gran amenaza para la estabilidad tanto de los ciudadanos como de las empresas. La mitigación de estas amenazas requiere tratar todos los objetivos con alto potencial de daño", comentó Robert Lipovský, Investigador de Malware Senior de ESET.
La industria de videojuegos como blanco y la necesidad de tomar consciencia de una vez por todas
A la par de la diversificación e integración entre consolas, la información, los recursos y perfiles de los gamers son cada vez más valiosos.
De hecho, Microsoft presentó una queja ante el Tribunal Federal de los Estados Unidos declarando que iGSKY, un servicio chino de juegos, está "involucrado en el tráfico internacional de credenciales de Microsoft ("MSA") robadas, junto con monedas de juegos virtuales para la consola Xbox obtenidas fraudulentamente”.
Los juegos y las amenazas informáticas están acercándose tanto que 2017 ha registrado incluso un caso inusual de ransomware: en lugar de exigir el pago de un rescate financiero para recuperar los archivos cifrados, Rensenware requería a la víctima obtener una puntuación alta en el nivel "lunático" en un juego de PC japonés.
Tras quedar expuesto en Twitter, el creador de Rensenware se disculpó y emitió una herramienta de descifrado.
Pero los videojuegos no son el único escenario atractivo de ataque para el ransomware, ya que su continua expansión a los distintos tipos de dispositivos conectados es evidente. En su sección dedicada al Ransomware de las Cosas (RoT), y repasando los ataques a automóviles conectados, Stephen Cobb dijo: “No requiere mucha imaginación saber cuál será el siguiente paso. ‘¿Quieres que el sistema de calefacción vuelva a funcionar? ¿Quieres que tu auto arranque? ¡Entonces paga!’”.
Y aunque la expansión de la tecnología conectada va habilitando cada vez más escenarios de complejos ciberataques, son los ataques más antiguos y sencillos, que se valen principalmente de la ingeniería social, los que siguen logrando su cometido una y otra vez.
Engaños que prometen vuelos gratuitos o descuentos, amenazas ocultas en supuestas aplicaciones móviles y complementos maliciosos son apenas algunos ejemplos de campañas que siguen robando información de usuarios desprevenidos para obtener algún tipo de ganancia económica.
“Las técnicas utilizadas por los atacantes siguen siendo las mismas: un correo electrónico o un mensaje en redes sociales lo suficientemente atractivo para llamar la atención de usuarios desprevenidos”, opinó Camilo Gutiérrez, Head of Awareness and Research de ESET para Latinoamérica.
Mientras tanto, en la industria antivirus…
Las soluciones de larga historia y reputación, es decir, cualquiera que tenga una larga trayectoria en detección de malware efectiva, siguen siendo mal representadas como puramente reactivas. Mientras tanto, se las compara con el "aprendizaje automático", que se anuncia como el ingrediente mágico súper efectivo único para los productos de “próxima generación” (“next-gen”).
Sin embargo, David Harley, Senior Research Fellow de ESET, afirma que la exposición a evaluaciones verdaderamente independientes, en vez de a auto-evaluaciones con muestras de dudosa validez y procedencia misteriosa, le ha sacado algo de brillo al polvo de hadas. Incluso se llegó al punto de que una empresa promoviera la absurda noción de que los testers solo usan malware conocido, lo cual de alguna manera deja en desventaja a los productos que afirman ser capaces de detectar malware desconocido.
Según Harley, estamos en un mundo de evaluación de productos que se guía por la post-verdad, donde los fabricantes nuevos en el mercado están tratando de manipular a las pruebas y a los testers en formas que son tan ‘nuevas’ como la ‘nueva’ tecnología de polvo de hadas.
En conclusión, vemos cómo las predicciones que los investigadores de ESET habían trazado para este año se van cumpliendo y siguen apareciendo pruebas de que aún falta fortalecer a las industrias para que puedan hacer frente al escenario actual de cibercrimen. De lo contrario, los atacantes seguirán encontrando nuevas formas de desplegar y ocultar sus campañas maliciosas en los lugares más impensados –como la sección de comentarios del Instagram de una celebridad pop.
No te pierdas este video en el que tres investigadores de ESET Latinoamérica discuten todos estos temas, en un nuevo episodio del ciclo Desde el Laboratorio de ESET.