#EnPortada
Son invisibles , pero los ataques cibernéticos suceden todos los días, a todas horas. Por lo general, solo las vulneraciones de gran escala se hacen públicas. Sin embargo, vivimos en un entorno plagado de riesgos cibernéticos.
Ante el crecimiento de la actividad cibercriminal , la industria de la seguridad informática dedica mucho tiempo y amplios recursos a estudiar los grupos dedicados a la explotación de códigos maliciosos , investigando los orígenes, las relaciones, las variantes y los objetivos de sus ataques.
La situación es difícil de controlar porque, al navegar por internet , las personas y empresas se encuentran en un estado vulnerable. El riesgo es constante, aun cuando no sean conscientes de ello.
Por ello es que las compañías de ciberseguridad luchan constantemente por encontrar un balance para lograr un “estado de alerta moderado” que lleve a las empresas y a los individuos a tomar medidas prácticas y efectivas antes, durante y después de un ataque.
Para coordinar esto y ofrecer un panorama global de qué ocurre en materia de ciberseguridad, diversas empresas se reúnen en cumbres internacionales en donde se comparten investigaciones y se concertan colaboraciones para reforzar “ el frente ” que ayude a mitigar el constante avance de los atacantes digitales.
Recientemente, Tech Bit viajó a la Cumbre de Analistas de Seguridad (SAS) 2019, organizada por Kaspersky Lab en Singapur , para conocer los alcances de los cibercriminales . Ahí se identificó que las próximas amenazas se centrarán en: 1. Redes de espionaje internacional ; 2. Hackeo de internet de las cosas y casas conectadas; y 3. En las cadenas de suministro de diferentes industrias.
Redes de espionaje internacional
En el SAS , los expertos de Kaspersky Lab mostraron sus descubrimientos en infraestructura de ciberespionaje técnicamente sofisticadas que han estado activas desde 2013. Aunque son una amenaza muy grande, señalan que todavía no se han demostrado asociaciones aparentes con grupos cibercriminales conocidos.
Uno de los ejemplos más complejos se llama “ TajMahal ”. Cuenta con cerca de 80 módulos maliciosos e incluye funciones nunca antes vistas en amenazas persistentes avanzadas (APT).
TajMahal
fue descubierta a finales de 2018 . Sin embargo Kaspersky Lab muestra que la plataforma ha sido desarrollada y utilizada durante, al menos, los últimos cinco años. Su nombre proviene del alias del archivo utilizado para extraer los datos robados.
Después de una infección, el malware genera una puerta trasera (backdoor) y conecta al equipo infectado con los servidores que lo controlan. Así se da paso a un sistema de control de archivos virtuales que consta de alrededor de 80 módulos que incluyen cargadores, orquestadores, comunicadores de comando y control, grabadores de audio, registradores de teclado, capturadores de pantalla y de cámara web, así como documentos y herramientas para robar claves de criptografía.
TajMahal
también puede robar las cookies del navegador , recopilar una lista de respaldo para dispositivos móviles de Apple , robar datos de un CD grabado por la víctima, y documentos que estén en cola en una impresora. Además, el malware puede solicitar el robo de un archivo en particular como: vistos anteriormente, de una memoria USB (información que será extraída la próxima vez que la memoria USB se conecte al equipo).
Hasta ahora, solo se ha detectado como víctima a una entidad diplomática de Asia Central con base en el extranjero, que fue infectada en 2014. Alexey Shulmin, principal analista de malware en Kaspersky Lab , comentó que la infraestructura de TajMahal es un hallazgo muy interesante e intrigante. “La sofisticada técnica presenta una funcionalidad que no habíamos visto antes en los actores avanzados de amenazas. Aún quedan varias preguntas por resolver. Por ejemplo, parece poco probable que se haya hecho la inversión para una sola víctima. Esto sugiere que existen otras víctimas sin identificar, o versiones adicionales del malware en acción o posiblemente ambas cosas”.
Sin embargo, el representante de Kaspersky Lab indicó que los productos de la empresa ya son capaces de detectar y bloquear esta amenaza.
Internet de las cosas y casa conectada
Ganan cada vez más popularidad. Sin embargo, los dispositivos inteligentes que empiezan a estar presentes en más hogares para controlar desde focos hasta cerraduras no siempre gozan de la mejor seguridad, al grado que son susceptibles de ser explotados para crear redes maliciosas que ya han sido usadas en el pasado para causar interrupciones de red a nivel global.
Según Vladislav Iliushin , vocero de Avast e Investigador de Amenazas Cibernéticas , “un usuario promedio de dispositivos inteligentes no tiene los conocimientos técnicos para proteger sus dispositivos pues, por lo general, no adquiere productos de un mismo fabricante; además de que pueden ser configurados de manera muy diferente. Lo anterior, aunado a la búsqueda de precios bajos por parte de los consumidores, es una mala combinación y nos convierte en potenciales víctimas de un ataque remoto”.
Actualmente existen herramientas públicas que pueden ser usadas para escanear nuestras redes Wi-Fi en busca de dispositivos vulnerables, pero esas mismas herramientas pueden darle a los atacantes nuestra información y, en algunos casos, hasta nuestra ubicación geográfica, advirtió el experto.
Al explicar los alcances de la nueva generación del malware “Torii” para Internet de las Cosas ( IoT, por sus siglas en inglés) y para crear botnets, Iliushin hizo una demostración práctica recreando una Casa Conectada en la que, a partir de una cámara de seguridad vulnerada, se tuvo acceso remoto a bocinas inteligentes que podían enviar comandos de voz a un asistente digital que en turno podía quitar el seguro a una cerradura electrónica.
De acuerdo con un “ Reporte de Casa Conectada ” de la misma empresa Avast, un 39% de hogares con dispositivos conectados tienen por lo menos uno que es vulnerable, lo que podría dar paso a una intrusión como la recién descrita. El elemento humano también juega un papel importante, pues de los hogares potencialmente vulnerables, el 69% lo es debido a lo débil de sus contraseñas o a que ni siquiera han sido cambiadas y tienen los valores predeterminados. También es recomendable que se revisen constantemente las actualizaciones que el fabricante provee, pues estas se generan para solucionar los problemas de seguridad que se van descubriendo en esos aparatos.
Cadenas de Suministro
Al eslabón de muchas industrias en donde se originan las materias primas o componentes se le conoce como Cadena de Suministro (Supply Chain, en inglés). En informática, esta incluye componentes de hardware que, aunque son susceptibles de vulneraciones , sus ataques resultan limitados por lo costosos que resultan.
Para explicar esto a nivel general, tomando por ejemplo el caso de las tarjetas microSD, la probabilidad de encontrar componentes falsificados es considerable, aunque el resultado no implica riesgos en términos de hackeo sino en pérdidas monetarias.
Sin embargo, cuando se trata de componentes con controladores o circuitos escondidos, se abre la posibilidad de llevar a cabo ataques "man-in-the-middle" (del tipo en que el atacante se posiciona en medio de la víctima y del hardware ) y que, desafortunadamente sí conllevan riesgo de robo de información , por ejemplo.
En otros casos los atacantes lograron filtrar las Cadenas de Suministro por vulneraciones en el software instalado por el mismo fabricante. Ejemplos de esto son las redes “Botnet” en Android llamadas “ Chamois”. Aunque Google monitorea lo que está disponible en su tienda de aplicaciones Google Play, estos softwares maliciosos lograban vencer los candados de seguridad e instalarse disfrazándose de “soluciones de pagos móviles”. El resultado era que los dispositivos Android infectados eran comprometidos y daban acceso a una red de actividades fraudulentas como cargos de servicios SMS premium o, bien, contribuyendo a tráfico ilegal de anuncios. Actualmente, Google afirma tener controlada a esta Botnet en su tienda Google Play.
Otro caso sonado de este tipo de ataques implicó a la empresa asiática ASUS que, a inicios de este año, fue vulnerada en su cadena de suministro a través de su aplicación de actualización Live Update (que se distribuye a todas las computadoras de esa marca). El malware proporcionaba un acceso tipo backdoor y era usado en ataques tipo APT (Advanced Persistent Threat, Amenaza Persistente Avanzada), una amenaza que usualmente es dirigida a objetivos muy específicos.
De acuerdo con el equipo de Kaspersky Lab , en el proyecto ShadowHammer, se crearon 230 tipos de este malware, dirigidos a 400 máquinas objetivo. A partir de este ataque a las cadenas de suministro, tres empresas más en Asia fueron comprometidas después del caso de ASUS lo cual, aseguran las investigaciones de Kaspersky Lab , hace pensar que será una tendencia creciente en el futuro, no solo en la industria tecnológica si no en el sector primario (agricultura, ganadería, minería...).
¿Cómo protegerse?
Tanto a nivel personal como corporativo, el conocimiento y la planeación son la base para salir bien librados de un ataque. Aunque es necesario instalar soluciones de seguridad, la prevención, la educación y la cultura digital son primordiales para no convertirnos en víctimas.Las empresas deben incluir en sus presupuestos partidas para la prevención de ataques y mantener políticas de respaldo de información y acceso a redes privadas. Para los individuos, es muy importante siempre “poner en duda” lo que no tenga un origen absolutamente cierto, y mantener actualizado el software que se use, tanto en la computadora como en los teléfonos , lo mismo que el hardware, con las actualizaciones de firmware que los fabricantes crean. Y estar conscientes de que los ataques tipo phishing siguen siendo usados porque aún son eficientes.
Otros riesgos latentes
Uno de los casos que se destacó en el SAS fue el malware denominado " spouseware/stalkerware ", que se instala en los teléfonos celulares de las parejas, casi siempre sin el consentimiento o conocimiento de las víctimas, con el objetivo de espiarles. En el contexto actual de los fallos en la privacidad de grandes empresas, se propone ajustar las leyes existentes para evitar que estas aplicaciones lleguen a las tiendas de apps.
Otro ejemplo es el marketplace "Genesis ", en el que sigue floreciendo la venta de datos de tarjetas de crédito robadas pero que, además, ahora incluye el robo y tráfico de identidades digitales obtenidas a partir de información robada de los perfiles digitales que todos generamos en internet, y extraídas con la ayuda de Inteligencia Artificial.
Y, en el extremo de este tema, destacan la creación Dreambot, una plataforma de "Crimen como Servicio" (CaaS, por sus siglas en inglés) que opera una red del tipo Botnet desde 2015. Esta proporciona acceso vía un tablero de control para generar ataques que pueden ser dirigidos a países específicos o que ofrecen diversas categorías según el tipo de ataque. Todo esto se da bajo un modelo de suscripción que genera ganancias tanto para el operador de la red como para quien lanza el ataque.