Si bien diciembre es el mes de las predicciones en materia de seguridad, es también un mes ideal para repasar lo que sucedió en el 2014. Y eso es justo lo que el equipo de Investigación Global y Análisis de Kaspersky Lab (GReAT) ha venido haciendo, y que en esta oportunidad hemos listado como las de diez tendencias emergentes en la industria de la seguridad digital.
Un Grupo de Amenazas Avanzadas y Persistentes
Los grupos APT disminuyeron, ciertamente, en el 2014. Los investigadores de Kaspersky Lab publicaron su propia investigación atinente a seis grupos de ataque. Uno de ellos: la campaña hispana “Careto” que ocurrió en febrero y que había estado activa previamente durante unos siete años. Careto (AKA la máscara) consistió en un kit de malware multiplataforma (de fácil modificación) diseñado para robar información sensible proveniente de organismos gubernamentales, embajadas, empresas de energía, instituciones de investigación, empresas de capital privado y activistas de 31 países de todo el mundo.
También “Epic Turla”, una campaña que surgió en marzo, cuyo accionar consistió en atacar a usuarios a partir de una serie de vulnerabilidades Zero Day en Adobe Acrobat, Windows XP y Microsoft Server 2003, así como con ataques “watering hole” orientados a Java , Adobe flash e Internet Explorer .
https://vine.co/v/OrlF5BPb3h3
En junio, un grupo llevó a cabo la campaña “Luuuk” a través de la cual robaron medio millón de euros en tal solo una semana y cuya víctima fue un banco importante de Europa. Kaspersky Lab no pudo obtener muestras de malware de dicho ataque; sin embargo, se presume que el malware robó nombres de usuario, contraseñas y códigos de acceso “one-time”, los cuales fueron utilizados con el objetivo de conocer los saldos de cuentas bancarias de las víctimas y realizar transacciones de forma automática.
Más tarde, en ese mismo mes, surgió una nueva versión de la campaña “MiniDuke”. Se llamó “CosmicDuke” y tuvo como blanco los gobiernos, agencias diplomáticas, empresas de energía, grupos militares y operadores de telecomunicaciones. Curiosamente la campaña también apuntaba a grupos criminales que traficaban sustancias ilegales, como esteroides y hormonas de crecimiento.
#Kaspersky launches a project that chronicles all of the #ATPs the company has investigated https://t.co/9gj6AiRVoo pic.twitter.com/HHbRUDVC0o
— Kaspersky Business (@KasperskyLabB2B) December 11, 2014
Kaspersky Lab informó a finales de julio la existencia de un grupo de ataque denominado “Crouching Yeti”. ¿Su objetivo? El hurto de la propiedad intelectual e información sensible de países como Siria, Turquía, Arabia Saudita, Líbano, Palestina, los Emiratos Árabes Unidos, Israel, Marruecos, Francia y Estados Unidos, así como el bloque de la IP en Siria, Rusia, Líbano, los Estados Unidos y Brasil.
Otra campaña clave: DarkHotel. Se llevó a cabo en noviembre y sus atacantes infectaron las redes de hoteles lujosos ubicados en Asia y el Pacífico con el fin de instalar malware en las computadoras de empleados ejecutivos que viajaban por el mundo.
Vulnerabilidades Importantes y el Internet de las Cosas
Los investigadores de Kaspersky Lab encontraron una afinidad inquietante entre bugs que afectan a casi todo el mundo conectado a Internet y la hiper-adopción de la llamada “Internet de las cosas”, más cerca de nuestras vidas de lo que pensamos. Se trata de bugs generalizados como Heartbleed y Shellshock (AKA Bash) en un número desconocido de sistemas durante largos períodos de tiempo. Sus consecuencias son, y probablemente seguirán siendo, desconocidas.
#KLReport : Los hogares de hoy son sorprendentemente vulnerables a la piratería
Si bien las tasas de adopción de dispositivos en apariencia futuristas (como por ejemplo electrodomésticos conectados y termostatos habilitados para IP) son todavía relativamente bajas, los hogares modernos cuentan con dispositivos conectados, como televisores inteligentes, routers, dispositivos móviles, ordenadores tradicionales y consolas de videojuegos. Dichos equipos contienen vulnerabilidades como Heartbleed y Bash que podrían permanecer en ellos por años sin que el usuario se dé cuenta.
Esto ocurre dado que los dispositivos son a menudo más difíciles de actualizar que los ordenadores tradicionales y plataformas de software. Así como lo anunció David Jacoby de Kaspersky Lab a principios de este año, los hogares modernos son vulnerables a la piratería.
A fascinating story how @JacobyDavid hacked his smart home https://t.co/ckTyeMVLUp pic.twitter.com/q4LiqsBnA4
— Eugene Kaspersky (@e_kaspersky) September 25, 2014
El Malware para Dispositivos Móviles Crece
Desde 2004 hasta el 2013, Kaspersky Lab analizó unas 200.000 muestras de malware móvil. Y durante este año lo hizo con 295.539 muestras. La mayoría de ellas están diseñadas para robar credenciales bancarias y, en última instancia, dinero. Sin embargo, en 2014 nuestros investigadores se percataron del surgimiento del ransomware móvil, así como de falsos antivirus. Por otra parte, el sistema operativo móvil iOS de Apple fue atacado por un programa malicioso: WireLurker que vendría a ser la primera amenaza capaz de atacar dispositivos iOS sin jailbreak.
Hablando de Ransomware…
Así haya bloqueado el acceso a dispositivos de usuarios finales o cifrado todos los archivos de una máquina infectada, el ransomware tuvo un gran año. Hablamos de CryptoLocker, CoinVault y ZeroLocker, así como de otros malware que trataron de hacer que las personas pagaran dinero, mayormente bitcoins, a cambio de que sus equipos funcionaran de nuevo. Algunos expertos consideran que el ransomware tiene un futuro prometedor; sin embargo, hay formas de combatirlo: “Las operaciones de ransomware dependen de los pagos hechos por sus víctimas” explica el equipo de expertos de Kaspersky. “¡No lo hagas! En su lugar, haz una copia de seguridad de tus datos. Así, si alguna vez caes en las redes de un programa de ransomware (o de algún problema de hardware que bloquee el acceso a tus propios archivos) que no perderás tu información”.
Skimming de Cajeros Automáticos
Se trata de un mecanismo diseñado para robar dinero e información financiera de usuarios de cajeros automáticos. A los malhechores que usan esta técnicas se les conoce como “skimmers”, y en el 2014 tuvieron –sin duda- un gran año. Un ejemplo de ello fue “Tyupkin“. Criminales en Asia, Europa y América Latina obtuvieron acceso físico a los cajeros automáticos e introdujeron un malware en ellos a través de un CD. Luego las máquinas infectadas se reiniciaron y cayeron bajo el control de los atacantes. Una vez que se hicieron con el control de los cajeros, los criminales contrataron “mulas” para introducir códigos únicos en los cajeros y tomar el efectivo sólo en horarios clave para evitar ser reconocidos.
Can ATMs get #malware infection & give away cash? Yes, here is a real case: https://t.co/xOzKZ0h3kz pic.twitter.com/4hb8NrbhYE
— Eugene Kaspersky (@e_kaspersky) October 7, 2014
“Los ataques directos a cajeros automáticos que comenzaron a aparecer en los últimos años son una evolución de los ataques con skimmers físicos, utilizados para capturar datos de las tarjetas de los usuarios. Por desgracia, muchos cajeros automáticos funcionan con sistemas operativos viejos que poseen fallas de seguridad sin arreglo. Esto hace que la seguridad física sea una materia aún más importante. Por ello, les pedimos a todos los bancos que verifiquen regularmente la seguridad de sus cajeros automáticos”.
Cada bug en XP es una vulnerabilidad Zero Day
Microsoft ya no ofrece soporte técnico para Windows XP. Esto significa que el primer martes de cada mes, día en que la compañía presenta los nuevos parches para sus productos, ya no hay (y no habrá nunca mpas) correcciones para los errores presentes en en este SO. En otras palabras, todas las vulnerabilidades de Windows XP descubiertas desde el 08 de abril de 2014, hasta el fin de los tiempos serán vulnerabilidades Zero Day. El problema aquí es que XP, a pesar de su antigüedad, está presente en el 14 por ciento de las computadoras de escritorio del mundo.
#ReporteKL: todas las vulnerabilidades de Windows XP descubiertas desde el 08 de abril de 2014 hasta hoy son vulnerabilidades Zero Day
Tweet
No sólo eso. La mayoría de los cajeros automáticos, sistemas de infraestructura crítica, dispositivos médicos e incluso las computadoras de muchos bancos y consultorios siguen funcionando con este sistema operativo y manejan datos y realizan operaciones altamente sensibles. Por lo tanto, lo más probable es que esta plataforma siga siendo un objetivo primario en los ataques de los criminales.
La Red TOR
El servicio de navegación anónima TOR (The Onion Router) saltó definitivamente a la fama en el 2014. Los investigadores de Kaspersky Lab aseguran que el uso de Tor se disparó este año, en gran parte debido a las denuncias de Edward Snowden sobre las prácticas de espionaje de la NSA. Desafortunadamente, la red Tor es también un caldo de cultivo para la actividad delictiva. En Tor es muy común encontrar también distintos “servicios ocultos”, que funcionan como mercados negros para la compra y venta de todo tipo de bienes y servicios ilegales: pornografía infantil, armas, drogas y más.
http://instagram.com/p/wgxMB1P0AF/
Software Moralmente Ambiguo
“Desafortunadamente, los softwares no está divididos claramente entre programas ‘buenos’ y ‘malos'”, explican los investigadores de Kaspersky Lab. “Siempre existe el riesgo de que un software desarrollado para fines legítimos sea utilizado por los cibercriminales con fines delictivos. De hecho, en la Cumbre de Analistas Seguridad de Kaspersky Lab de 2014, mostramos cómo la utilización de tecnologías anti-robo podría convertirse en un arma poderosa en manos de los cibercriminales”.
Yo mismo escribí un artículo sobre la misteriosa puerta trasera de Computrace, revelada en la conferencia de seguridad Black Hat de este año. Esto sirve para demostrar un fenómeno interesante: las personas con malas intenciones pueden explotar el software legítimo para llevar a cabo sus propósitos.
Sin embargo, existe otra cara en esta moneda: los softwares “legales” que realizan acciones éticamente cuestionables. Un ejemplo de este software es el “Sistema de Control Remoto” (RCS), desarrollado por la empresa italiana llamada “Hacking Team”. El RCS y otras herramientas similares son técnicamente legales, pero los regímenes despóticos utilizan este tipo de programas para espiar a los ciudadanos disidentes y los grupos militantes de derechos civiles, adentro y afuera de las fronteras del país.
En este sentido, los investigadores de Kaspersky Lab se destacan por su política de detectar y remediar cualquier ataque de malware, independientemente de su origen o destino.
Privacidad vs Seguridad
Continuamente buscamos satisfacer nuestra necesidad de privacidad, pero generalmente fallamos a la hora de conseguirla, en parte, porque no queremos lidiar con las exigencias de seguridad. El escándalo del robo de fotos comprometedoras de las celebridades en iCloud es un gran ejemplo de esto: estas fotos no se hubieran filtrado si las cuentas de iCloud de los famosos hubieran estado protegidas con contraseñas únicas y fuertes.
De hecho, si las víctimas de este ataque hubieran utilizado el sistema de autenticación de dos factores de Apple, el robo de las fotos no hubiera sido posible. El problema aquí es que la implementación de estas medidas de seguridad depende de un agente poco confiable: el usuario.
http://instagram.com/p/vRJXxkP0Dm/
Lo cierto es que culpar a los usuarios por las fallas de seguridad es inapropiado. En definitiva, son las empresas de tecnología que ofrecen los servicios en línea las que deben construir la seguridad desde adentro. Por esta razón, los anuncios de Apple y de Google sobre la implementación de una encriptación total en sus dispositivos móviles, así como la creación de “Dígitos”, el nuevo servicio de autenticación de Twitter, son pasos prometedores en pos de mejorar la seguridad de los usuarios.
Las Autoridades Aprendieron a Atrapar a los Cibercriminales
Por último, pero no menos importante, en 2014 las fuerzas de seguridad, a pesar de haber sufrido una mala prensa por sus prácticas de espionaje, tuvieron que realizar trabajos increíblemente difíciles.
Kaspersky Lab to provide its products, intelligence & ongoing support to INTERPOL and its 190 members http://t.co/Y8fbL1eqzu
— Eugene Kaspersky (@e_kaspersky) September 30, 2014
A mediados de este año, una coalición de fuerzas policiales de todo el mundo neutralizó la botnet “GameOver Zeus”, que, hasta ese momento, había sido uno de los más grandes kits crimewave del mercado. Los delincuentes utilizaban GameOver Zeus no sólo para robar credenciales bancarias, sino también como una plataforma de distribución del infame ransomware CriptoLocker.
Kaspersky Lab también contribuyó a las fuerzas de seguridad con la neutralización del troyano “Shylock”, que desplegaba ataques man-in-the-browser para robar credenciales de acceso a las cuentas bancarias online de miles de usuarios. Más recientemente, la “Operación Onymous” dio como resultado el derribo de los mercados negros que funcionaban en la red TOR.
Traducido por: Maximiliano De Benedetto y Guillermo Vidal Quinteiro