En la pasada edición del Foro de Periodistas organizado por ESET, presentamos la conferencia titulada “Cibercrimen a la orden del día: los ataques más comunes”, donde mostramos cinco ataques utilizados con más frecuencia; algunos de ellos son de reciente aparición, mientras que otros son viejos conocidos pero con nuevas características.

En esta publicación revisaremos las pricipales características de estos ataques y las razones por las cuales han comenzado a ser utilizados con mayor frecuencia por los por atacantes; quienes buscan obtener diferentes tipos de beneficios a costa de los recursos e información de los usuarios.

Ataques de phishing

Si bien se trata de un ataque conocido y utilizado desde hace años, las recientes campañas de propagación muestran nuevas características. Por ejemplo, ahora los sitios web de phishing utilizan certificados de seguridad.

De acuerdo con el Antiphishing Working Group, durante el segundo trimestre de 2018, alrededor del 35% de los ataques de phishing registrados se alojaron en sitios web con el protocolo HTTPS, cifra que significa un importante incremento en comparación con el casi 5% de los casos de sitios falsificados con certificados SSL, reportados hacia finales de 2016.

Una de las posibles razones de este incremento se debe a los recientes cambios registrados en los navegadores web. Google Chrome, por ejemplo, desde julio de este año comenzó a identificar los sitios web que utilizan HTTP como "No seguros". Por otra parte, la iniciativa de algunas autoridades certificadoras para emitir certificados de manera gratuita permitió que más sitios puedan contar con certificados de seguridad, incluidos los sitios fraudulentos.

Vale la pena mencionar que las campañas de phishing han comenzado a utilizar vías alternas de propagación al “tradicional” correo electrónico, como por ejemplo, las aplicaciones de mensajería; en un intento de llegar a más potenciales víctimas. Al mismo tiempo, estas campañas maliciosos también incluyen características de ataques homográficos, lo que añade más dificultades a los usuarios para la identificación de los sitios web apócrifos.

Por lo tanto, las prácticas de seguridad que solían ser recomendadas con relación al phising, continúan siendo válidas, aunque ya no suficientes, debido a las nuevas características de los ataques de este tipo. Ahora no basta con verificar la URL, el candado de seguridad o el uso de HTTPS, convendría también revisar el nombre común del sitio en los certificados de seguridad, para compararlo con el dominio del sitio en cuestión.

Criptojacking

Se trata de una amenaza que comenzamos a identificar a principios de agosto de 2017 y que tiene como principio el secuestro de la capacidad de procesamiento de un equipo ajeno para ganar dinero mediante la minería de criptomonedas. Una de las formas de infectar los dispositivos es a través de scripts que se ejecutan en el navegador de los usuarios. En otras palabras, basta con que el usuario visite un sitio web que contenga el código para que su procesador sea utilizado para minar alguna criptodivisa. El criptojacking comenzó a tener una gran actividad hacia finales del año pasado, siendo la amenaza más detectada por la telemetría de ESET a nivel mundial entre diciembre de 2017 y junio de 2018.

En lo que va de 2018, en la región latinoamericana, casi la mitad de las detecciones de JS/CoinMiner (firma utilizada por las soluciones de ESET) se concentra en dos países: Perú (30,72%) y México (17,41%), seguidos por Ecuador (8,89%), Brasil (7,73%) y Argentina (7,08%).

Las soluciones de ESET identifican esta amenaza como una PUA (de las siglas Potentially Unwanted Application); es decir, como una aplicación potencialmente no deseada, y no como malware, ya que la minería es en sí misma una actividad legítima. La ilegalidad del criptojacking se da cuando los recursos de procesamiento del usuario son utilizados sin su consentimiento y sin su conocimiento.

Malware

Los códigos maliciosos continúan siendo una de las principales amenazas, al tiempo que también son utilizados para llevar a cabo ataques. Además, de acuerdo con el ESET Security Report 2018, las infecciones por malware se presentan como la principal causa de incidentes de seguridad en las empresas latinoamericanas.

Los Laboratorios de Investigación de ESET reciben diariamente más de 300,000 muestras únicas de malware, lo que muestra un panorama del problema, sobre todo si consideramos que se desarrollan amenazas de este estilo para prácticamente todos los sistemas operativos utilizados de la actualidad.

Para poner otro ejemplo, los laboratorios de ESET identifican mensualmente, en promedio, alrededor de 300 muestras de malware para Android. Además, han comenzado a aparecer muestras de malware especialmente diseñadas para afectar a los dispositivos de la denominada Internet de la Cosas; que luego de ser comprometidos son utilizados para llevar a cabo otros ataques.

Aunado a lo anterior, han aparecido otras amenazas que operan bajo el principio del ransomware, pero lejos de secuestrar la información o los sistemas operativos (como lo veníamos observando), los códigos maliciosos ahora podrían secuestrar los propios dispositivos, en algo que se ha llamado Ransomware de las Cosas (RoT, por sus siglas en inglés).

Ciberextorsiones

Durante 2018 aparecieron diversas estafas circulando a través del correo que se enfocaban en engañar a los usuarios a partir de la supuesta obtención de información que los comprometía. En varias de estas campañas existía algún elemento en particular, como un dato específico, que hacía creer al usuario que podría no tratarse de un engaño.

Un ejemplo es la campaña en la cual los cibercriminales enviaban un correo electrónico con la contraseña de los usuarios como parte del asunto del mensaje, en un intento por demostrar que tenían sus datos personales y que la extorsión que detallaban en el texto del correo era real. Se estima que esta campaña en particular logró recaudar cerca de medio millón de dólares.

Otro ejemplo de este tipo de estafas tenía la particularidad de que el correo electrónico llegaba al usuario desde su propia cuenta, lo que hacía suponer que el atacante tenía acceso a la cuenta de la potencial víctima. A través de un mensaje intimidatorio, el atacante hacía creer al usuario que poseía su información, por lo que solicitaba un pago (en Bitcoins) para “no revelar” los datos que supuestamente tenía en su poder.

Recientemente, se han identificado más campañas con el mismo modo de operación, y aunque parezca difícil de creer, continúan siendo efectivas para los atacantes.

Explotación de vulnerabilidades

Finalmente, el último tipo ataque considerado en esta presentación se relaciona con la explotación de vulnerabilidades, un método comúnmente utilizado por atacantes, con algunos datos interesantes de revisar, como los que se presentan a continuación.

Hacia finales de 2017 destacábamos que se trataba del año con el mayor número de vulnerabilidades reportadas (14,714 para ser precisos), superando por mucho los registros de años anteriores, sin embargo, en lo que va de 2018 esta cifra ha sido superada. De acuerdo con datos de CVE Details, a pesar de que aún no concluye el año, ya se han registrado más 15,300 vulnerabilidades.

En este contexto, la explotación de algunas vulnerabilidades también se encuentra al alza. Por poner un ejemplo, la detección de EternalBlue (identificado por las soluciones de ESET como Win32/Exploit.Equation.EternalBlue), un exploit utilizado durante la propagación de WannaCry, ha venido en aumento.

Si comparan las detecciones de este exploit durante mayo de 2017 con las de julio de 2018 (periodo con mayor actividad), hubo un incremento de casi 600%, en donde diversas familias de ramsomware y otros tipos de malware intentan aprovecharse de las vulnerabilidades en los sistemas desactualizados.

Nuevos ataques y nuevas características en ataques conocidos

Después de revisar algunas de las características y datos de los ataques que se han identificado con frecuencia en los últimos meses, es importante aclarar dos puntos. En primer lugar, se trata únicamente de un número reducido de ataques dentro de una amplia gama identificada durante 2018.

La segunda cuestión a considerar, es que, en ninguno de los casos han sido utilizados como sinónimos los términos “amenaza” y “ataque”. Sin embargo, en algunos de los puntos revisados en esta publicación es posible identificar que pueden jugar ambos roles, tanto el de amenaza como el de ataque. Por esta razón, consideramos las definiciones incluidas en el estándar ISO/IEC 27000:2014.

De acuerdo con el estándar, un ataque es el “intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado a un activo”, mientras que una amenaza se define como la “causa potencial de un incidente no deseado, que puede resultar en un daño a un sistema u organización”. En este sentido, los elementos antes expuestos pueden ser catalogados como amenazas, pero también podrían ser utilizados como una forma de ataque.

Finalmente, es importante destacar la manera en la que evolucionan las amenazas informáticas y los diversos ataques que buscan comprometer los activos, por lo que, desde la perspectiva de seguridad, resulta indispensable el uso de la tecnología de protección, la aplicación de buenas prácticas y la tarea constante de estar informado sobre lo que acontece en el ámbito de la ciberseguridad.