Evolución del malware en 2013 – Privacidad, Espionaje y Vulnerabilidades

0

Llegamos a la última etapa de nuestro resumen anual de Evolución de Malware en 2013 y tendencias de seguridad. Trataremos temas tales como el factor humano en la seguridad, el espionaje mundial y la pérdida de confianza y privacidad.

7. La necesidad de reforzar el eslabón más débil de la cadena

Muchas de las amenazas actuales son sofisticadas. Esto es especialmente cierto en ataques dirigidos a un público concreto, donde los cibercriminales desarrollan código para vulnerar versiones de aplicaciones vulnerables (zero-day) o sin actualizar, o crean módulos personalizados que les ayuden a consumar el robo de datos a sus víctimas. Sin embargo, normalmente el primer vector de ataque se centra en el factor humano. Se emplea la ingeniería social para engañar a individuos que trabajan en organizaciones objetivo, de tal forma que comprometan la cadena de seguridad de la empresa. La gente es susceptible a esto por varios motivos: el primero es el desconocimiento del peligro; también se dan casos en que se les ofrece “conseguir algo por nada” (gangas y similares). Por último y no menos importante, el hecho de tomar atajos en su trabajo para ahorrar tiempo o pasos, como utilizar la misma contraseña para múltiples plataformas.

El phishing nos costará dinero o pérdida de privacidad, normalmente lo primeroMuchos de los ataques dirigidos de alto nivel, que hemos analizado este año, han empezado por el factor humano. Octubre Rojo, los ataques contra activistas tibetanos o uygures, MiniDuke, NetTraveler o Icefog son ejemplos de uso de técnicas spear-phishing (ataque dirigido) para poner un pie en la organización objetivo. Conforman sus aproximaciones a empleados usando los datos que son capaces de encontrar en la web de la empresa, en foros públicos o “escuchando” lo que los empleados dicen en las redes sociales. Esto les ayuda a generar emails personalizados y que parecen legítimos, pudiendo coger a la gente desprevenida.

Por supuesto, la misma aproximación es adoptada por aquellos detrás de los ataques aleatorios y masivos que se ocultan detrás de la mayoría de actividades cibercriminales: los mensajes tipo phishing enviados en “paquetes” masivos a los consumidores.

La ingeniería social también puede aplicarse a nivel físico. Esta dimensión de la seguridad normalmente no está bien contemplada. Este año se puso de manifiesto en los intentos de instalación de unos switches KVM en los centros de dos bancos británicos. En ambos casos, los criminales se disfrazaron de operarios ingenieros para conseguir acceso físico al centro y poder instalar equipamiento que, después, les permitiría espiar las actividades de red del banco.

El problema también quedó reflejado en un estudio realizado por un investigador de Seguridad Informática: David Jacoby. Llevó a cabo un experimento en Noviembre -en Estocolmo- en el cual demostró lo fácil que era conseguir acceso a los sistemas de negocio de una empresa, valiéndose de la buena voluntad de los empleados. El informe lo tenéis aquí.

Desafortunadamente, la empresas suelen ignorar el facotr humano de la seguridad. Incluso aunque sus equipos de TI estén concienciados, los métodos aplicados no suelen funcionar demasiado bien. No podemos ignorar el factor humano, ya que los equipamientos de seguridad, por modernos que sean, no pueden hacer el trabajo solos. El primer paso es establecer políticas de concienciación y sanción para comportamientos que vulneren la seguridad.

8. Pérdida de privacidad, Lavabit, Silent Circle y el espionaje de la NSA

Ningún informe de seguidad TI de 2013 estaría completo sin hablar de Edward Snowden y las implicaciones mundiales en materia de seguridad de las sucesivas revelaciones efectuadas por él: Prism, XKeyscore y otros programas de seguimiento.

Uno de los primeros efectos visibles del revuelo causado por estos casos fué el cierre del servicio de cifrado de email de Lavabit. Escribimos sobre ello hace unos meses. En dicho artículo comentamos alternativas restantes a dichos servicios. Silent Circle, otro proveedor de este tipo de servicio, decidió suspender su actividad ante la perspectiva de verse obligada a funcionar bajo las presiones de organismos gubernamentales que les solicitaban información.

Otra historia que tiene implicaciones sobre la privacidad es el sabotaje de la NSA sobre el algortimo criptográfico de curva elíptica, lanzado a través de su sistema NIST. Aparentemente, la NSA introdujo una backdoor o puerta trasera en la Dual EC DRBG (Dual Elliptic Curve Deterministic Random Bit Generation). Dicha backdoor, supuestamente les permite desarrollar ataques de forma sencilla contra un protocolo particular de cifrado, rompiendo las supuestamente “seguras” comunicaciones. RSA, uno de los mayores proveedores mundiales de cifrado a nivel mundial, informó de que su algoritmo predeterminado estaba afectado y recomendó a sus clientes modificarlo por otro. El algoritmo en cuestión fué adoptado por el NIST en 2006, estando disponible y en uso a escala mundial desde 2004.

Hushmail es una de las alternativas de email cifrado que aún sobreviven tras el cataclismo NSAResulta interesante, por otro lado, que una de las cuestiones más discutidas este año haya tenido que ver con la industria del Antivirus. En Septiembre, Belgacom, una empresa de telecomunicaciones belga, anunció que había sido víctima de “hacking”. Durante una investigación rutinaria, el equipo de Belgacom indentificó un virus desconocido en varios servidores y PCs de sus empleados. Después, las especulaciones sobre el origen del ataque fueron apuntando con mas fuerza hacia la NSA y su homólogo británico: GCHQ, Aunque las muestras del malware no han estado disponibles para la industria de la seguridad, detalles posteriores aparecidos sugieren que el ataque se produjo a través de páginas de LinkedIn “envenenadas” y cargadas con ataques MiTM (man in the middle) con enlaces que apuntaban a servidores CNE (computer network exploitation)

Los laboratorios Kaspersky ya han alertado de la disponibilidad en la red de varias herramientas “legales” de espionaje, como las proporcionadas por Hacking Team. Es vital que este tipo de herramientas no caigan en las manos equivocadas, y es por lo que las compañías de seguridad no pueden hacer excepciones cuando se trata de informar y detectar malware. En realidad, es altamente improbable que un gobierno competente y fiable pueda llegar a pedir a un laboratorio de antivirus que haga la “vista gorda” con un determinado malware. Es bastante fácil, además, que el malware caiga en manos poco apropiadas y se vuelva en contra de sus propios creadores.

9. Vulnerabilidades y ataques Zero-Day

Los ciberciminales han continuado realizando un amplio uso de vulnerabilidades presentes en software legítimo para lanzar sus ataques de malware. Hacen esto a través de los exploits -fragmentos de código diseñados para utilizar una vulnerabilidad en un programa y así poder instalar malware en el equipo afectado, sin necesidad de interacción por parte del usuario. Este código de exploit puede ir incrustado en un email especialmente modificado (adjunto) o puede lanzarse contra una vulnerabilidad en el funcionamiento del navegador. El exploit actúa como lanzadera para el malware que el delincuente persigue instalar.

Sin embargo, en muchos casos se utilizan, incluso, vulnerabilidades para las que ya hay un parche lanzado. Esto es especialmente cierto con muchas de las vulnerabilidades encontradas este 2013 -incluyendo Octubre Rojo, MiniDuke, TeamSpy y NetTraveler-. También ocurre en gran cantidad de ataques más desapercibidos, pero que suceden a diario y persiguen un amplio espectro de víctimas.

Los cibercriminales enfocan su atención en aplicaciones que son de uso común, y que tienen cierta inercia a quedarse desfasadas en los PC de las víctimas -ofreciendo una larga ventana de oportunidad para conseguir sus objetivos-. En 2013, las vulnerabilidades de Java han supuesto el 90,52% de todos los ataques, mientras Adobe Reader cuenta el 2,01%. Esto es parte de una moda creciente y no supone ninguna novedad. Java no solo está presente en muchísimos ordenadores (unos 3 Billones, según Oracle) sino que además sus actualizaciones no se instalan automáticamente. Es por eso que recomendamos tener especial cuidado con Java e incluso, si no precisamos de él, desisntalarlo.

Adobe Reader continúa siendo una aplicación muy vulnerada por atacantes, aunque el volumen de ataques recibidos se ha reducido considerablemente en los últimos 12 meses, como resultado de las rutinas de parcheo de Adobe, ahora más frecuentes y eficaces.

Distribución de las vulnerabilidades aprovechadas por los ciber delincuentes en 2013Para reducir “la superficie de ataque”, los negocios deben asegurarse de que sus sistemas cuentan con las últimas versiones en todo su software corporativo, aplicar actualizaciones de seguridad tan pronto están disponibles y eliminar software en desuso. Por suesto, esto se aplica también a escala más pequeña en los hogares.

Por último, conviene no olvidar que debemos contar con una solución antimalware eficiente y un scanner de vulnerabilidades que sea capaz de indicarnos aquellas aplicaciones de están desfasadas en su versión (como Secunia PSI) y contar con una correcta implementación de Copias de Seguridad.

10. Los altibajos de las “criptomonedas”. Como los Bitcoin dominan el panorama.

En 2009, un chico llamado Satoshi Nakamoto publicó un documento que revolucionaría el mundo de las monedas electrónicas. Llamado “Bitcoin: A peer to peer electronic cash system“, el informe definía los fundamentos para uso de un sistema financiero distribuído y descentralizado, sin comisiones por transacción. El sistema Bitcoin fué implementado y la gente comenzó a usarlo. ¿Quá clase de gente? Al principio, principalmente matemáticos y gente del sector. Pronto, sin embargo, se les unieron otros individuos pertenecientes a grupos delictivos o terroristas.

Volviendo a Enero de 2013, el precio del Bitcoin estaba en 13 $. Como seguía creciendo el número de servicios que adoptaron Bitcoin como método de pago admitido, también continuó creciendo su valor de cambio. El 9 de Abril de 2013 alcanzó los 260 $ (precio medio de 214 $) antes de derrumbarse por completo, pues al día siguiente las entidades ricas en Bitcoins empezaron a intercambiar estos activos por dinero real.

 

Evolución del cambio a Bitcoins en los últimos tiempos

En Noviembre de 2013, el Bitcoin empezó a coger fuerza de nuevo, sobrepasando la marca de 400 $, llegando a 450 e incluso más.

¿Por qué es tan popular esta moneda? Lo primero de todo, provee un método anónimo y seguro de pagar por un bien. Enmarcados en la ola de espionaje de este año, es quizá poco sorprendente que la gente busque alternativas seguras de pago. Segundo, es evidente que para los cibercriminales supone un exitoso método de blanqueo de capitales y evasión de las leyes.

En Mayo, escribimos sobre un incidente ocurrido en Brasil, donde los delincuentes trataron de hacerse pasar por casas de intercambio de Bitcoins. También aparecieron las Botnet dedicadas a la minería de Bitcoins, además del malware diseñado para robar carteras de Bitcoin.

El Viernes 25 de Octubre, durante una operación conjunta entre el FBI y la DEA, la famosa red Silk Road fué descabezada. Dicha red había generado unos ingresos de 9,5 millones de dólares desde 2011, funcionando bajo el paraguas de la Red Tor Onion, siendo intervanidos por la policía más de 140000 Bitcoins, al cambio actual menos de 60000 €. Podéis encontrar más detalles de sus actividades delictivas aquí.

Aunque es evidente que los cibercriminales han encontrado paraísos seguros en las Bitcoins, también hay otros usuarios que no tienen malas intenciones. Como Bitcoin continúa creciendo en popularidad, será interesante observar si algún gobierno decide tomar cartas en el asunto para impedir el uso ilegítimo.

Si poseéis Bitcoins, vuestro mayor problema es mantenerlos a salvo. Podéis encontrar algunos consejos en nuestra guía para Mantener Bitcoins Seguros.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR