Ocho nuevas "armas" tecnológicas que usaron los ciberdelincuentes en 2014
Diciembre es el mes habitual de los balances, y en materia de la seguridad informática, en 2014 hubo ocho herramientas a las cuales recurrieron los ciberdelincuentes
El equipo de análisis e investigación global de la empresa Kaspersky Lab elaboró esta lista de las principales tendencias emergentes en la industria de la seguridad en Internet durante el 2014.
Amenazas persistentes avanzadasLos grupos de APT (amenazas persistentes avanzadas) no se ralentizaron durante este año. Los investigadores de Kaspersky Lab publicaron una investigación sobre al menos seis grupos diferentes de ataque.
En febrero hubo una campaña en español llamada “Careto” que llevaba activa desde al menos hacía siete años.
Careto (también conocida como “Mask”, la “máscara” en español) estaba basado en un kit de malware de multiplataforma muy fácil de modificar, diseñado para robar información sensible a agencias del gobierno, embajadas, compañías energéticas, instituciones de investigación, empresas privadas y activistas de 31 países alrededor del mundo.
También hubo una campaña versátil llamada Epic Turla que surgió en marzo, dirigida a víctimas que tenían una serie de "exploits" de día cero en Adobe Acrobat, Windows XP y el servidor de Microsoft 2003, así como también los ataques “watering hole” dirigidos a vulnerabilidades en Java, Adobe Flash e Internet Explorer.
En junio hubo otro grupo de ataques como parte de la denominada campaña “Luuuk” que se hizo con medio millón de euros en una semana tras haber atacado a clientes de un gran banco europeo.
En junio, surgió una nueva versión de la campaña “MiniDuke” llamada “CosmicDuke”. Ésta se dirigía a gobiernos, agencias diplomáticas, compañías energéticas, grupos militares y operadores de telefonía.
Curiosamente la campaña también atacó a grupos criminales involucrados en el tráfico de sustancias ilegales como esteroides y hormonas del crecimiento.
A finales de julio, Kaspersky Lab informó de la existencia de un grupo de ataque llamado Crouching Yeti que buscaba apoderarse de documentos protegidos por los derechos de propiedad intelectual e información sensible.
Sus objetivos estaban en Siria, Turquía, Arabia Saudita, Líbano, Palestina, los Emiratos Árabes Unidos, Israel, Marruecos, Francia y los Estados Unidos y operaban desde direcciones IP bloqueadas en Siria, Rusia, Líbano, Estados Unidos y Brasil.
En noviembre se informó sobre otra campaña clave llamada DarkHotel. En ella, los atacantes infectaron redes de hoteles en la región de Asia-Pacífico para instalar el malware en las máquinas de ejecutivos que viajaban alrededor del mundo.
Grandes vulnerabilidades y el Internet de las cosasLos investigadores de Kaspersky Lab observaron una convergencia inquietante de bugs que podían afectar a casi a todo aquel que estuviera conectado así como a los dispositivos del denominado “Internet de las cosas”, que son más comunes en nuestro día a día que una computadora tradicional.
Los bugs extendidos como Heartbleed y Shellshock (también conocido como Bash), existieron durante mucho tiempo en un número desconocido de sistemas. Su impacto total es y seguirá siendo desconocido.
Mientras el uso de dispositivos futuristas como los electrodomésticos conectados y termostatos con dirección IP, sigue siendo relativamente bajo, las casas modernas tienen muchos aparatos conectados, como el Smart TV, routers, dispositivos móviles, computadoras tradicionales y consolas.
Estos dispositivos contienen vulnerabilidades al igual que cualquier otro sistema operativo, software o aplicación.
Estas vulnerabilidades, como Heartbleed y Bash, podrían quedarse en un dispositivo durante años sin que el usuario se dé cuenta.
El problema es que estos dispositivos son más difíciles de actualizar que las computadoras tradicionales y plataformas de software.
El malware móvil continúa en crecimientoDel 2004 al 2013, Kaspersky Lab analizó unas 200.000 muestras de malware para dispositivos móviles. Y solo durante este año analizó 295.539 muestras.
La mayoría de las amenazas de móviles son diseñadas para robar datos bancarios y dinero.
Sin embargo, durante el 2014, los investigadores se dieron cuenta de que también aparecieron los ransomware móviles y los malware de antivirus falsos.
Además, el sistema operativo de móvil iOS fue el objetivo del malware WireLurker que, según dicen, es la primera muestra de malware capaz de atacar dispositivos iOS que no están “jailbreakeados”.
Tanto si estaba bloqueando el acceso a los dispositivos del usuario como codificado todos los archivos de una máquina infectada, el ransomware tuvo “un gran año”, según el informe.
Aparecieron muchos tipos de malware como CryptoLocker, CoinVault, ZeroLocker que intentaron que los usuarios pagaran dinero (típico bitcoin) para que sus computadoras pudieran volver a funcionar.
Robo de datos de los cajeros de automáticosLos mecanismos y los malware están diseñados para robar dinero o información sensible del consumidor en los cajeros automáticos, pero los “skimmers” (dispositivos que roban en los cajeros automáticos) tuvieron éxito en 2014.
Un ejemplo muy sofisticado de malware es el “Tyupkin”. Los criminales en Asia, Europa y Latinoamérica consiguieron acceso físico a los cajeros automáticos y después descargaron el Tyupkin en los cajeros con un CD.
Con este acto, las máquinas infectadas se reiniciaron y quedaron bajo el control de los atacantes.
A partir de ahí, los criminales encargados de la operación enviaron mulas para introducir códigos a en los cajeros y sacar dinero, pero solo un cierto número de veces, para prevenir que el fraude fuera descubierto.
“Los ataques de cajeros automáticos son la evolución de los ‘skimmers’ físicos para capturar datos de tarjetas utilizadas en los cajeros que han sido corrompidos. Desafortunadamente, muchos cajeros automáticos tienen en sus sistemas operativos debilidades de seguridad conocidas. Esto hace que la seguridad física sea más importante; podríamos exigir a los bancos la verificación de seguridad física de sus cajeros automáticos”, advierte el informe.
Todos los bugs de día cero son para XPMicrosoft no proporciona soporte para Windows XP desde este año. Esto significa que en los parches mensuales de la empresa que se publican en el boletín de los martes, ya no existe ninguna solución para los bugs de Windows XP.
En otras palabras, cada vulnerabilidad de Windows XP a partir del 8 de abril de 2014 hasta el fin del mundo, será de día cero.
Más allá del consumidor, los dispositivos tales como los cajeros automáticos, sistemas de infraestructura crítica, dispositivos médicos y hasta ordenadores de muchos bancos y centros sanitarios siguen funcionando con XP, manejando información y operaciones altamente sensibles al mismo tiempo.
Por eso, aunque XP haya perdido soporte, parece que seguirá siendo un objetivo muy popular.
La red de TorEste servicio anónimo de navegación fue uno de los temas principales durante este año. Los investigadores informaron de que el uso de Tor fue muy alto durante este año, en gran parte, por las revelaciones de Edward Snowden sobre la vigilancia por parte de la NSA (Agencia de Seguridad Nacional estadounidense).
Pero Tor fue el hervidero para la actividad criminal. Los llamados “servicios escondidos” son servidores que también pueden operar con Tor.
Estos servicios ofrecen mercado para todo tipo de bienes y servicios ilegales. De hecho, si sueña con tener algo, es probable que lo pueda conseguir navegando en algún mercado clandestino de Tor.
Software moralmente dudosoEn el software no se diferencian programas buenos de malos. Siempre existe el riesgo de que el software desarrollado para propósitos legítimos sea mal utilizado por cibercriminales.
En febrero, en el Kaspersky Security Analyst Summit 2014 se resaltó cómo las implementaciones inapropiadas de tecnologías antirrobo que residen en el firmware de portátiles y de algunas computadoras, podrían volverse un arma poderosa en manos de cibercriminales”.
Sin embargo, está el otro lado de la moneda: un software “legal” que tiene un comportamiento de ética dudosa.
Un ejemplo de esto es el “Sistema de Control Remoto” (RCS), desarrollado por una compañía italiana llamada Hacking Team. El RCS y las plataformas como ésta, son técnicamente legales, pero los regímenes despóticos utilizan estas herramientas para espiar a opositores y grupos de derechos civiles dentro y fuera de sus fronteras.
Privacidad vs. seguridadEste año será recordado la fuga de fotos de iCloud de celebridades a principios de año: ninguna foto se hubiera fugado si las cuentas de iCloud hubieran estado protegidas con contraseñas fuertes.
Además si Apple hubiera ofrecido la verificación en dos pasos, y si las víctimas de esta violación hubieran implementado esta protección, no hubiera habido ninguna fuga de fotos.
Sin embargo, la implementación de una contraseña fuerte o de la verificación en dos pasos, deja la seguridad en manos de quien no se puede confiar: el consumidor.