Los expertos de Kaspersky Lab repasan las principales noticias de seguridad tecnológica de 2013 y presentan las tendencias de 2014. Para los especialistas, 2011 iba a ser un año explosivo, 2012 sería revelador y en 2013 habría que tener los ojos bien abiertos y así ha sido. De hecho, algunos de los incidentes en seguridad TI de 2013 tuvieron mucha repercusión y plantearon nuevos interrogantes sobre la forma en la que hoy en día usamos Internet y el tipo de riesgos a los que nos enfrentamos.
Durante el año pasado continuaron las campañas de ataques avanzados a gran escala, como Octubre Rojo o NetTraveler pero se han adoptado nuevas técnicas, como los ataques watering-hole y los ataques tipo zero-day. Además, se han hecho fuertes los cibermercenarios, especializados en grupos APT ”en alquiler” dedicados a operaciones fugaces.
La violación de la privacidad con casos como Lavabit, Silent Circle, NSA han derivado en la pérdida de confianza de los usuarios, independientemente del dispositivo desde el que se conecten, ya que los programas maliciosos móviles y la (in)seguridad en tiendas de apps también han sido grandes protagonistas de 2013.
Asimismo, mientras los ciberdelincuentes diseñaban nuevos métodos para robar dinero real o virtual (Bitcoins), los programas extorsionadores (ransomware) tuvieron una presencia estelar. Por supuesto, todos están a la expectativa de las repercusiones que estos casos tendrán en 2014.
Para este año, los expertos en seguridad informática sostienen que será el que se recuperará la confianza. La privacidad será un tema candente, con grandes altibajos. El cifrado volverá a estar de moda y aparecerán innumerables servicios que garantizarán la seguridad de los contenidos de sus usuarios. La nube, tan importante años anteriores, va cayendo en el olvido debido a que los usuarios han perdido la confianza y los países comienzan a tomarse más en serio las cuestiones de privacidad.
Asimismo, en 2104, los mercados financieros sentirán la onda expansiva del Bitcoin, que está recibiendo grandes cantidades de dinero desde China y desde todo el mundo. Quizás Bitcoin llegue a cotizarse en 10.000 dólares, pero también puede que estalle y los usuarios comiencen a buscar otras alternativas más seguras.
Así han sido los casos de seguridad TI más relevantes en 2013:
Violación de la privacidad: Lavabit, Silent Circle, NSA y la pérdida de confianza
Ningún resumen sobre seguridad informática de este año estaría completo si no se menciona a Edward Snowden y las profundas consecuencias sobre la privacidad que siguieron a la revelación de los casos Prism, XKeyscore y Tempora, y de otros programas de vigilancia.
Quizás uno de los primeros efectos visibles fue el cierre del servicio de correo codificado Lavabit. Silent Circle, otro servicio de correo codificado, también dejó de prestar este servicio, lo que ha dejado muy pocas opciones para una correspondencia de correo privada y segura. La razón por la que estos dos servicios dejaron de funcionar se debe a su incapacidad de ofrecer sus servicios bajo la presión de la ley conocida como Law Enforcement y de otras agencias gubernamentales.
Otra historia con consecuencias sobre la privacidad es el sabotaje realizado por la NSA a la curva elíptica de algoritmos codificadores hecha pública mediante NIST. Al parecer, la NSA introdujo un tipo de troyano “backdoor” en el algoritmo Dual Elliptic Curve Deterministic Random Bit Generation (o Dual EC DRBG). Este troyano supuestamente permite que ciertas partes lancen sencillos ataques contra un determinado protocolo de codificación, violando comunicaciones aparentemente seguras. RSA, uno de los principales proveedores de codificación del mundo notó que este algoritmo aparecía por defecto en su paquete de codificación y procedió a recomendar a sus usuarios que lo abandonaran. El algoritmo en cuestión estaba disponible y fue muy usado desde al menos 2004, y NIST lo adoptó en 2006.
Curiosamente, uno de los incidentes más debatidos tiene consecuencias directas para la industria antivirus. En septiembre, Belgacom, un operador de telecomunicaciones belga, anunció que había sido atacado. Durante una investigación rutinaria, los técnicos de Belgacom identificaron un virus desconocido en varios servidores y estaciones de trabajo de la compañía. Después se especuló sobre el virus y el ataque, y todas las pistas conducían a la GCHQ y la NSA. Aunque la industria antivirus no tuvo acceso a algunos de los programas maliciosos, aparecieron otras pistas que indicaban que el ataque se produjo a través de páginas de LinkedIn “envenenadas” mediante técnicas man-in-the-middle, con enlaces que conducían a servidores CNE (explotación de redes informáticas).
Todas estas historias de vigilancia también han planteado interrogantes sobre el nivel de cooperación entre compañías de seguridad y gobiernos. La EFF, junto a otros grupos, publicó una carta el 25 de octubre, en la que les hacían a las compañías de seguridad una serie de preguntas sobre la detección y neutralización de los programas maliciosos patrocinados por gobiernos.
Kaspersky Lab tiene una muy sencilla y clara política en relación a la detección de programas maliciosos: detectan y remedian cualquier ataque de programas maliciosos, cualquiera sea su origen o propósito. No existen programas maliciosos “buenos” o “malos”. El equipo de investigadores ha participado activamente en el descubrimiento y publicación de varios ataques de programas maliciosos relacionados con gobiernos.
En 2012 publicó una profunda investigación sobre Flame y Gauss, dos de las más grandes operaciones de vigilancia masiva patrocinada por gobiernos que se han conocido hasta el día de hoy. También han publicado advertencias sobre los riesgos de las herramientas “legales” de vigilancia, como HackingTeam’s DaVinci y Gamma’s FinFisher. Es imperativo que estas herramientas de vigilancia no caigan en las manos equivocadas, y es por eso que la industria de la seguridad informática no puede hacer excepciones cuando se trata de detectar programas maliciosos.
Cibermercenarios: una nueva tendencia emergente
A priori, Icefog parecía ser un ataque dirigido como cualquier otro. Sin embargo, hay algunas diferencias importantes con los que se habían descubierto anteriormente. En primero lugar, Icefog es parte de una tendencia emergente: pequeños grupos de cibermercenarios que lanzan pequeños ataques relámpago. Segundo, los atacantes atacan en concreto la cadena de abastecimiento; entre sus potenciales víctimas se encuentran organismos gubernamentales, contratistas militares, grupos marítimos y astilleros, operadores de telecomunicaciones, operadores de satélites, compañías industriales y de alta tecnología, y medios de comunicación. Tercero, sus campañas se basan en herramientas de espionaje para Windows y Mac OSX diseñadas por encargo, capaces de controlar directamente los equipos penetrados; además de Icefog, hemos notado que usan (troyanos) puerta trasera y otras herramientas maliciosas para movimientos laterales dentro de las organizaciones atacadas y para extraer datos.
Estos cibermercenarios son como ‘pistoleros a sueldo’ que lanzan ataques por encargo con herramientas de tecnología de punta diseñadas según el pedido. Kaspersky Lab prevé que irán apareciendo otros grupos similares a medida que vaya surgiendo el mercado clandestino de servicios “APT”.
Programas maliciosos móviles y la (in)seguridad en tiendas de apps
El crecimiento explosivo de programas maliciosos para dispositivos móviles que comenzó en 2011 ha continuado este año. Existen ahora más de 148.427 modificaciones en los programas maliciosos móviles de 777 familias. La gran mayoría de ellos, como sucedió en años anteriores, son para Android, con un 98.09% del total de los programas maliciosos móviles. Esto no es sorprendente, ya que esta plataforma cumple todos los requisitos que les interesa a los ciberdelincuentes: es muy popular, es fácil de desarrollar aplicaciones para ella, y sus usuarios pueden descargar programas (incluyendo maliciosos) desde cualquier fuente que elijan. Este último factor es importante, ya que los ciberdelincuentes pueden explotar el hecho de que los usuarios de Android puedan descargar aplicaciones desde Google Play, desde otras tiendas, o desde otros sitios web. Asimismo, permite que los ciberdelincuentes creen sus propios sitios fraudulentos camuflados como tiendas legítimas. Por esta razón, es improbable que veamos una disminución en el desarrollo de aplicaciones maliciosas para Android.
Los programas maliciosos para dispositivos móviles son un reflejo de los programas maliciosos que suelen infectar a ordenadores de escritorio y portátiles y cada vez son más complejos: troyanos, (troyanos) puerta trasera y troyanos espía. La única excepción son los troyanos para SMS, que constituye una categoría exclusiva entre los smartphones.
Nuevas campañas de ciberespionaje
Son muchas las campañas de ciberespionaje que afectaban a grandes empresas y gobiernos descubiertas en 2013. Inaugurábamos el año con Octubre Rojo, una campaña de ciberespionaje que se ha cobrado miles de víctimas en todo el mundo, entre entidades gubernamentales y diplomáticas, instituciones de investigación, centros de energía convencional y atómica, y organizaciones aeroespaciales. En febrero también se descubrió MiniDuke, que está diseñado para robar datos de agencias gubernamentales e institutos de investigación. Pero la lista ha sido larga: TeamSpy, Winnti o Icefog son otros ejemplos.
Reforzar el eslabón más débil en la cadena de seguridad: el humano
Muchas de las amenazas que circulan hoy en día tienen un alto grado de sofisticación. Esto es especialmente válido en el caso de los ataques dirigidos, en los que los ciberdelincuentes desarrollan exploits contra vulnerabilidades no parcheadas en aplicaciones, o crean módulos a pedido para robar datos de sus víctimas. Sin embargo, la primera vulnerabilidad que suelen explotar los atacantes es la vulnerabilidad humana, pues mediante técnicas de ingeniería social inducen a los empleados de una organización a que cometan actos que ponen en riesgo la seguridad informática corporativa. Hay varias razones por las que la gente es vulnerable a estas técnicas engañosas. A veces, sencillamente no se dan cuenta del peligro. Otras, muerden el anzuelo de “ganar algo a cambio de nada”. En otros casos, con el fin de evitarse molestias, cometen errores básicos, como usar la misma contraseña para todo.
Por desgracia, las compañías suelen ignorar la dimensión humana de la seguridad informática. A pesar de que se reconoce la necesidad de que el personal sea consciente de estos temas, los métodos que se usan suelen ser ineficaces.
Los vaivenes de las monedas virtuales: cómo Bitcoin se impone en el mundo
No quedan dudas de que Bitcoin es muy popular entre los ciberdelincuentes que siempre buscan la forma de evadir la ley. En mayo se detectó un grupo de ciberdelincuentes brasileños que se hacían pasar por casas de cambio de Bitcoin. También aparecieron redes zombi mineras y programas maliciosos diseñados para robar esta moneda virtual.
El 25 de octubre, una operación conjunta entre el FBI y la DEA logró clausurar el famoso sitio Silk Road, “un sitio web escondido que permitía a sus usuarios comprar y vender drogas ilegales y otros artículos y servicios ilegítimos de forma anónima y lejos del alcance de las autoridades”, según se lee en la nota de prensa emitida por la fiscalía de EE.UU. El sitio operaba con Bitcoins, lo que facilitaba el anonimato de los vendedores y compradores. El FBI y la DEA confiscaron a “Dread Pirate Roberts”, el operador de Silk Road, unos 140.000 Bitcoins (con un valor aproximado de 56 millones de dólares, al tipo de cambio de la fecha). Fundada en 2011, Silk Road operaba a través de la red TOR Onion y obtuvo más de 9,5 millones de Bitcoins en ingresos por ventas.
Aunque no queda claro si los ciberdelincuentes han encontrado un santuario en los Bitcoins, hay muchos otros usuarios que los usan sin intenciones maliciosas. A medida que Bitcoin vaya ganando popularidad, será interesante ver si algún gobierno interviene para evitar su uso ilícito.