En la segunda parte de nuestro resumen de seguridad, volvemos sobre algunos de los eventos claves que tuvieron lugar durante un año bastante ocupado. Si no leíste la primera parte de este resumen, puedes ponerte al día aquí.

(In)seguridad de los datos

Los recientes resultados del Breach Level Index de Gemalto de la primera mitad de 2017, muestran una tendencia preocupante, y sugieren que las brechas de datos se hacen cada vez más penetrantes y el volumen de registros impactados aumenta simultáneamente. Un total de 918 brechas de datos comprometió 1.9 millones de registros de datos alrededor del mundo en la primera mitad de 2017, aumentando en un 164% el número de registros comprometidos, perdidos o robados durante la segunda mitad de 2016. Estados Unidos mantiene una enorme mayoría del total de las brechas de datos.

Es seguro decir que el robo de datos en la agencia de informes de crédito Equifax tomó el centro de la escena en la categoría de brechas de datos independientes durante el año que pasó. El ataque a Equifax, un verdadero relato de infortunios para sus víctimas, junto con la torpeza posterior de la firma para recomponerse tras descubrir el incidente, resaltaron preocupaciones generalizadas sobre el manejo de los datos y la privacidad.

Si bien no fue necesariamente el más grande en cuanto al compromiso de registros, la “madre de todas las brechas” de Equifax en 2017 cobró notoriedad por el tipo de información que fue expuesta. De hecho, las brechas de seguridad pueden ser un hecho triste de la vida digital, pero no todos los días sucede que información tal como los números de seguridad social de uno de cada dos estadounidenses sea robada.

Esto es, si no consideramos a “la madre de todas las filtraciones”, donde la firma de análisis de datos Deep Root Analytics accidentalmente filtró información personal de 198 millones de votantes estadounidenses a mediados de 2017, en la que se considera la mayor filtración individual de registros de votantes en el mundo. Hace  unos pocos días atrás, salió a la luz que los ciudadanos de ese mismo país fueron agasajados con otra filtración de información sensible, esta vez impactando a 123 millones de hogares.  

Mientras tanto, Yahoo, que no es novato a la hora de lanzar esta clase de bombas, admitió en octubre que una de sus dos brechas masivas – la de agosto de 2013 – afectó al total de sus tres billones de usuarios, y no, como anteriormente se había dicho, a un billón de cuentas. Las credenciales de acceso expuestas pueden ser utilizadas para ataques automáticos a gran escala llamados ‘credential stuffing’, en los que los atacantes hacen uso de nombres y contraseñas correspondientes a una cuenta para invadir las otras cuentas de ese mismo usuario, especialmente las bancarias, dada la ya conocida costumbre de los cibernautas por reutilizar sus contraseñas en varias cuentas.

Vulnerabilidades

La importancia de tapar los agujeros de seguridad también tomó fuerza este año, ya que muchos de los peores incidentes podrían haberse prevenido de haberse colocado parches en los sistemas y seguido las prácticas de seguridad apropiadas. Un número de vulnerabilidades estuvo bajo escrutinio durante 2017, pero ninguna tuvo tal impacto como aquellas explotadas por los atacantes que se aprovecharon del grupo de herramientas desarrollado por la NSA y robado y filtrado por Shadow Brokers.

Otra vulnerabilidad fundamental que alcanzó los titulares durante el año – aunque no por haber sido ampliamente explotada – preocupó al protocolo de cifrado WPA2. ‘KRACK’, o Key Reinstallation AtaCK – que desde su descubrimiento en octubre fue emparchada a través de todas las grandes plataformas – permitió que terceros interfirieran en el tráfico de la red, siempre y cuando estuvieran dentro del rango del Wi-Fi de la víctima. Como resultado, las conversaciones privadas podrían no haber sido tan privadas en ciertas circunstancias.

Varias implementaciones de las normas de Bluetooth se enfrentaron con su propio grupo de fallas de un potencial alto impacto que puso a los usuarios de prácticamente todos los sistemas operativos en riesgo. En septiembre salió a la luz que casi cualquier dispositivo con conexión a Bluetooth que no hubiera sido emparchado recientemente podría ser tomado, incluso sin juntarse con el dispositivo del atacante. Y también lo hacen los agujeros de seguridad: las vulnerabilidades reportadas en 2017 más que duplicaron a las reportadas en 2016.

¿Infraestructura crítica en peligro crítico?

El ecosistema de la infraestructura crítica ha sido revelado como una huerta que daba sus frutos, ya que las debilidades fundamentales continuaron saliendo a la luz durante el año. La urgencia de las amenazas que enfrentó la infraestructura clave fue puesta al descubierto una vez más a los pocos días de comenzado 2017, dado que los investigadores concluyeron que un corte de energía que dejó sin luz durante una hora a zonas dentro y fuera de la capital ucraniana, Kiev, el 17 de diciembre de 2016, fue producto de un ciberataque.

Luego, los investigadores de ESET se lanzaron a analizar muestras de malware detectadas por ESET como Win32/Industroyer sólo para concluir que el código malicioso probablemente haya sido usado en el ataque de diciembre de 2016. Cortesía de su naturaleza adaptable – junto con su habilidad para permanecer en el sistema y proveer información válida para ajustar los payloads altamente configurables – el malware puede ser adaptado para ataques contra todo tipo de ambiente, haciéndolo extremadamente peligroso.

El ataque de diciembre de 2016 fue reminiscente de otro ciberataque similar, pero más grande, que provocó un corte de energía el 23 de diciembre de 2015. Aquel ataque dejó sin electricidad durante horas a la mitad de las casas de la región Ivano-Frankivsk, poblada por 1.4 millones de personas, en un ataque pionero de este tipo, que se aprovechó del malware conocido como BlackEnergy.

Robert Lipovský, Senior Malware Researcher de ESET, ha expresado su preocupación de que Ucrania pueda servir como modelo en el que refinar los ataques sobre infraestructura crítica que pueden ser ejecutados en otros lugares del mundo. “El relativamente bajo impacto del apagón de diciembre de 2016 se sitúa en gran contraste respecto del nivel técnico y la sofisticación del malware sospechado detrás de Industroyer”, expresó.

En octubre, el gobierno de Estados Unidos emitió una advertencia pública peculiar, señalando que “desde por lo menos mayo de 2017, los atacantes han apuntado a entidades gubernamentales y a sectores industriales de energía, de agua, de aviación, nuclear y de manufactura crítica, y en algunos casos, han hecho uso de sus capacidades para comprometer las redes de las víctimas”.

En un “ciberataque decisivo” descubierto a comienzos de diciembre, los atacantes utilizaron recientemente un malware llamado Triton para desarticular el sistema de seguridad de una planta industrial en Medio Oriente, que dio como resultado un freno en las operaciones de la facilidad. Aun siendo el primer reporte sobre un sistema de seguridad comprometido en una facilidad de infraestructura crítica, el incidente trajo memorias de Industroyer y Stuxnet.

Mientras tanto, el sector de la salud se mantiene debilitado al estar sus propios sistemas de defensa cibernética afectados. Ha sido desde hace tiempo un objetivo de gran interés, no menos importante dado que guarda una variedad de información personal sensible que generalmente debe ser de fácil y rápido acceso.

La magnitud del caos que puede causar un ciberataque dentro del Sistema de salud, independientemente de si se apunta a ellos o no, fue ejemplificado por el daño que generó WannaCryptor en el Servicio Nacional de Salud del Reino Unido (NHS, por sus siglas en inglés). Se estima que el asalto ha afectado a una de tres organizaciones de NHS en Inglaterra. Como resultado, 19.500 citas médicas fueron canceladas, las computadoras de 600 cirugías clínicas fueron bloqueadas, y cinco hospitales tuvieron que desviar sus ambulancias a otros lugares.

Más adelante se anunció que el NHS recibiría una gran ayuda económica por el valor de £20 millones para impulsar la futura inmunidad frente a incidentes similares. De cierta manera, esto representa una separación de la tendencia a largo plazo en la industria, que en general ha estado incorporando más y más dispositivos, cada uno enlazado con información confidencial y en muchos casos funcionalidades del IoT, mientras que la seguridad y la privacidad, como de costumbre, se habían mantenido en segundo plano.

Desenlace

Ya finalizado el 2017, la frase que expone que 'incluso la mejor seguridad puede ser superada por el rival más débil de la cadena', también aplica para el ciberespacio. Como se ha repetido ya en reiteradas ocasiones – y aún sin aplicar necesariamente a todos los incidentes – el factor humano suele ser el punto débil. Donde en definitiva resultan de ayuda los ataques de alto perfil y las brechas es, entre otras cosas, al resaltar las vulnerabilidades en las formas en que nuestra información personal es manejada. Por otro lado, el actual panorama de amenazas deja al descubierto los riesgos de nuestra confianza en la tecnología, vulnerable, y es un recordatorio de qué tan vital es la ciberseguridad en la convergencia entre nuestro mundo digital y físico.

Por todo lo antedicho, son varias las lecciones que se derivan de los eventos de los últimos 12 meses, mientras un 2018 agitado comienza. A medida que nuevas y más proporciones de nuestras vidas tienen lugar en un mundo en línea – y generalmente con poca precaución de nuestro lado – la urgencia por proteger nuestras vidas digitales es ahora mayor que nunca. Por empezar, necesitamos darnos la oportunidad a nosotros mismos de mantenernos por delante de los criminales, quienes están innovando con gran velocidad, listos para explotar cualquier vulnerabilidad que surja. Sería un descuido de nuestra parte el creer que algo así “no puede pasarme a mí”. En cambio, aprender de los errores cometidos por otros – antes que éstos sean utilizados contra nosotros – será útil en el camino para mantener y mejorar nuestras defensas. De esa manera, reducimos la probabilidad de que la inseguridad cibernética se convierta en un problema recurrente y sin diagnóstico que puede volverse en nuestra contra y perjudique el valor, no sólo de nuestra vida digital, sino también de nuestra existencia física.