Kaspersky Security Bulletin. Boletín de seguridad Desarrollo de las amenazas informáticas en 2011

1. Kaspersky Security Bulletin. Boletín de seguridad Desarrollo de las amenazas informáticas en 2011
2. Kaspersky Security Bulletin. Estadísticas 2011
3. Kaspersky Security Bulletin. Spam en 2011

Los Top 10 del 2011: Un año “explosivo” en seguridad

Con el año 2011 a punto de concluir, parece sensato sentarse y darle una mirada a lo que ha sucedido en estos últimos 12 meses en el ámbito de la seguridad informática. Si tuviéramos que resumir el año en una sola palabra, esa sería “explosivo”. La multitud de incidentes, historias, hechos, nuevas tendencias y actores intrigantes es tan amplia que pone difícil la elección de las Top 10 historias de incidentes del 2011. Mi propósito con esta lista es recordar las historias que también marcaron las tendencias más importantes o la aparición de nuevos e importantes actores en el escenario de la seguridad informática. Al leer estas historias, podremos tener una idea de lo que probablemente sucederá en 2012.

1. El surgimiento del “hacktivismo”

Es difícil imaginar que quien lea esta lista no haya oído hablar de Anonymous, LulzSec, y quizás TeaMpOisoN. Durante 2011, estos grupos, junto a otros, estuvieron activamente involucrados en varias operaciones dirigidas contra las autoridades, bancos, gobiernos, compañías de seguridad y los principales fabricantes de software. Estos grupos, que algunas veces trabajaron de forma conjunta y otras se enfrentaron entre sí, surgieron como actores estelares en 2011, con incidentes como la penetración en redes de las Naciones Unidas, la compañía de seguridad de la información Stratfor, IRC Federal (contratista del FBI), Man Tech (contratista del Pentágono), y la CIA. Curiosamente, algunos de estos incidentes, como el relacionado con Stratfor, dejaron al descubierto importantes problemas de seguridad, como el almacenamiento de números CVV en formato codificado, o contraseñas de los administradores extremadamente débiles.

En general, el surgimiento del hacktivismo fue una de las más importantes tendencias en 2011, y sin duda seguirá siéndolo en 2012 con incidentes similares.

2. El ataque contra HBGary Federal

Aunque guarda relación con el primer incidente de la lista, me gustaría señalarlo como una historia separada. En enero de 2011, hackers del colectivo Anonymous penetraron en el servidor de Internet de HBGary Federal (hbgaryfederal.com) por medio de un ataque de inyección SQL. Los hackers lograron extraer varios hashes MD5 para contraseñas que pertenecían al gerente general de la compañía, Aaron Barr, y al gerente de operaciones, Ted Vera. Por desgracia, los dos usaban contraseñas muy simples: seis letras minúsculas y dos números. Estas contraseñas les permitieron a los atacantes acceder a los documentos de investigación de la compañía y a decenas de miles de mensajes de correo guardados en Google Apps. Creo que esta historia es relevante porque demuestra una situación interesante: el uso de contraseñas débiles junto a sistemas de software caducos, más el uso de la nube, puede convertirse en una pesadilla para la seguridad informática. Si ambos gerentes hubieran usado contraseñas sólidas, quizás no habría pasado nada en absoluto. O, si la autenticación multifactor hubiese estado activada en Google Apps, los atacantes no habrían podido penetrar la cuenta de superusuario y copiar todos los mensajes de correo de la compañía. Cabe señalar que incluso si se hubiesen tomado medidas de seguridad más consistentes, no podemos descartar la posibilidad de que algún hacker persistente hubiese encontrado otra forma de penetración. La persistencia y la determinación, junto a disponer de abundante tiempo, les da a los hackers una tremenda fuerza.

3. La avanzada amenaza persistente (APT)

Aunque muchos expertos en seguridad menosprecian este término, ha logrado posicionarse en los medios de comunicación y ha saltado a la fama gracias a incidentes como el ataque a RSA y los incidentes que ganaron titulares, como las operaciones Night Dragon, Lurid y Shady Rat. Curiosamente, muchas de estas operaciones no eran muy avanzadas. Por otra parte, hubo muchos casos en los que se usaron exploits día-cero, como el del ataque a RSA. En este caso, los atacantes se aprovecharon de la vulnerabilidad CVE-2011-0609 en Adobe Flash Player para ejecutar códigos maliciosos en el equipo atacado. Otro interesante día-cero fue CVE-2011-2462, una vulnerabilidad en Adobe Reader que se usó en ataques dirigidos contra Man Tech, un contratista del Pentágono. Varios elementos resaltan en estos ataques: en muchos casos se usaron vulnerabilidades día-cero en software de Adobe; muchos de estos ataques estaban dirigidos contra objetivos en los Estados Unidos, principalmente compañías que trabajan con el gobierno o el ejército de los Estados Unidos; el ataque Lurid fue interesante porque estaba dirigido principalmente contra países de Europa del este, como Rusia o la Unión de estados independientes (CIS). Estos ataques confirman el surgimiento de poderosos actores nación-estado y el establecimiento del ciberespionaje como práctica común. Además, muchos de estos ataques parecían estar interconectados con importantes ramificaciones en todo el mundo. Por ejemplo, el ataque contra RSA fue notable porque los atacantes robaron la base de datos de los tokens de SecurID, que luego se usó en otro ataque importante.

4. Los incidentes Comodo y DigiNotar

El 15 de marzo de 2011, se lanzó un ataque contra una de las compañías afiliadas a Comodo, conocida por su software de seguridad y sus certificados digitales SSL. El atacante enseguida usó la infraestructura disponible para generar falsos certificados digitales para sitios web como mail.google.com, login.yahoo.com, addons.mozilla.com y login.skype.com. En el análisis del incidente, Comodo logró identificar al atacante que operaba desde la dirección IP 212.95.136.18, en Teherán, Irán. Pero por el tamaño, no fue nada comparado con el ataque contra DigiNotar. El 17 de junio de 2011, unos hackers comenzaron a hurgar en los servidores de DigiNotar, y en los siguientes cinco días, lograron acceder a su infraestructura y generar más de 300 certificados falsos. El hacker dejó un mensaje en forma de certificado digital en persa: “¡Gran hacker, decodificaré toda la codificación, te romperé la cabeza!” Días después los certificados falsos se usaron en un ataque hombre-en-el-medio contra 100.000 usuarios de Gmail en Irán, fortaleciéndose el vínculo con Irán. Los ataques contra Comodo y DigiNotar hicieron notar que ya se ha perdido la confianza en las autoridades de certificación (CA). En el futuro pueden darse más casos similares. Además, es probable que aparezcan más programas maliciosos con firmas digitales.

5. Duqu

En junio del 2010, el investigador Sergey Ulasen de la compañía bielorrusa VirusBlokada descubrió un intrigante programa malicioso que aparentemente usaba certificados robados para firmar sus controladores y un exploit día-cero que usaba archivos .Ink para replicarse en una típica forma de Autorun. Este programa malicioso se hizo mundialmente famoso con el nombre de Stuxnet, un gusano que contenía una carga maliciosa muy especial dirigida directamente contra el programa nuclear iraní. Stuxnet secuestró los PLCs Siemens en la planta iraní Natanz y los reprogramó de forma muy específica, indicando un solo objetivo: el sabotaje al proceso de enriquecimiento de uranio en la planta de Natanz. Por aquel entonces, cuando vi el código que reprogramaba los PLCs responsables del control de las centrífugas de 64.000 rpm, pensé que era imposible escribir algo semejante sin haber tenido acceso a los esquemas originales y al código fuente. Pero ¿cómo pudieron los atacantes obtener algo tan sensible como el código personalizado que controla esa instalación de mil millones de dólares?

Una posible respuesta la da el troyano Duqu. Creado por la misma gente responsable de Stuxnet, Duqu fue descubierto en agosto del 2011 por el laboratorio húngaro de investigaciones CrySyS. En un principio, no se sabía cómo Duqu infectaba sus objetivos. Después, se descubrieron documentos maliciosos de Microsoft Word que explotaban la vulnerabilidad CVE-2011-3402 que servían como medio de penetración de Duqu. El propósito de Duqu es bastante diferente del de Stuxnet. Este troyano es en realidad un sofisticado toolkit de ataque que puede usarse para penetrar un sistema y sistemáticamente drenar información del mismo. Se pueden cargar nuevos módulos y ejecutarlos al instante, sin necesidad de una huella del sistema de archivos. Su arquitectura altamente modular, junto al reducido número de víctimas en todo el mundo, hicieron imposible la detección de Duqu por muchos años. El primer rastro de actividad relacionada con Duqu que pudimos detectar data de agosto de 2007. En todos los incidentes que hemos analizado los atacantes usaron una infraestructura de servidores hackeados para mover la información (a veces cientos de megabytes) desde los ordenadores de las víctimas.

Duqu y Stuxnet representan la vanguardia en la ciberguerra y son clara señal de que estamos ingresando en una era de ciberguerra fría, en la que las superpotencias luchan entre sí sin las limitaciones de la guerra convencional.

6. El ataque a Sony PlayStation Network

El 19 de abril de 2011, Sony se enteró de que su PlayStation Network (PSN) había sufrido un ataque. Al principio, la compañía no quiso explicar lo sucedido y afirmaba que el servicio, que se suspendió el 20 de abril, sería restaurado en pocos días. No fue sino hasta el 26 de abril que la compañía reconoció el robo de información personal, que potencialmente incluía los números de las tarjetas de crédito de sus usuarios. Tres días después, aparecieron informes que indicaban que 2,2 millones de números de tarjetas de crédito estaban en venta en foros de hackers. Hasta el 1œ de mayo el PSN estuvo suspendido, por lo que muchos de sus usuarios no sólo sufrieron el robo de sus tarjetas de crédito, sino que tampoco pudieron jugar a los juegos por los que habían pagado. En octubre del 2011, el PSN acaparaba de nuevo los titulares con 93.000 cuentas comprometidas que Sony tendría que suspender para prevenir usos maliciosos. El ataque a Sony PSN fue un incidente notable en 2011 porque señaló, entre otras cosas, que en la era de la nube, la Información personalmente identificable está convenientemente disponible en un lugar, se puede acceder a ella a través de rápidos enlaces de Internet, y puede ser fácilmente robada en caso de una mala configuración o por fallas de seguridad. En 2011, 77 millones de nombres de usuario y 2,2 millones de tarjetas de crédito se llegó considerar como un “botín” normal en la era de la nube.

7. Lucha contra la ciberdelincuencia y desmantelamiento de redes zombi

Aunque los atacantes en el incidente de PSN no se han identificado todavía, 2011 fue definitivamente un mal año para los numerosos ciberdelincuentes que fueron atrapados y arrestados por las autoridades de varios países. El arresto de la pandilla ZeuS, el desmembramiento de la banda DNSChanger, y el desmantelamiento de las redes zombi Rustock, Coreflood y Kelihos/Hilux son sólo unos ejemplos. Esto señala el surgimiento de una tendencia: la neutralización de una banda de ciberdelincuentes tiene un efecto importante en la lucha contra el crimen en todo el mundo y es un claro mensaje a las pandillas que aún quedan de que ya no están en un negocio libre de riesgos. Un caso particular que deseo mencionar es la clausura de Kelihos, realizada por Kaspersky Lab en colaboración con la Unidad de delitos digitales de Microsoft. En este caso, Kaspersky Lab inició una operación de drenaje de la red zombi que contaba con decenas de miles de usuarios infectados por día. Y es aquí donde comienza el gran debate: conociendo el proceso de actualización del robot, Kaspersky Lab o una autoridad competente podría eficazmente enviar un programa a todos los usuarios infectados, notificándoles al respecto en el proceso o incluso limpiando sus máquinas de forma automática. En un sondeo realizado en el sitio web de Securelist, un aplastante 83% votó que Kaspersky debió “enviar una herramienta de limpieza que elimine las infecciones”, a pesar de que esto es ilegal en la mayoría de los países. Por razones obvias, no lo hemos hecho, pero esto revela las grandes limitaciones del actual sistema legal cuando se trata de luchar contra la ciberdelincuencia de una manera efectiva.

8. El surgimiento de programas maliciosos para Android

En agosto de 2010, detectamos el primer troyano para la plataforma Android: Troyan-SMS.AndroidOS.FakePlayer.a, que se camuflaba como una aplicación de media player. En menos de un año, los programas maliciosos para Android se expandieron con rapidez y se convirtieron en la categoría más popular de programas maliciosos para dispositivos móviles. Esta tendencia se evidenció en el tercer trimestre de 2011, cuando descubrimos más del 40% de todos los programas maliciosos para dispositivos móviles de 2011. Finalmente, llegamos a la masa crítica en noviembre del 2011 cuando descubrimos más de 1.000 muestras maliciosas para Android, ¡casi tantas como los programas maliciosos para dispositivos móviles descubiertos en los últimos seis años! La gran popularidad de los programas maliciosos para Android puede deberse a varios factores, principalmente al explosivo crecimiento de la plataforma Android. En segundo lugar, la documentación disponible libremente sobre la plataforma Android facilita la creación de programas maliciosos. Por último, hay muchos que culpan a Google Market por su débil proceso de filtrado, lo que ayuda a que los ciberdelincuentes puedan cargar sus programas maliciosos. Mientras que para iPhone existen sólo dos programas maliciosos conocidos, estamos llegando a los 2.000 troyanos para Android en nuestra colección.

9. El incidente CarrierIQ

CarrierIQ es una pequeña compañía privada fundada en 2005, con sede en Mopuntain View, California. Según su sitio web, el software de CarrierIQ está instalado en más de 140 millones de dispositivos en todo el mundo. Aunque el objetivo declarado de CarrierIQ es recopilar información de “diagnóstico” desde terminales móviles, el investigador en seguridad informática Trevor Eckhart ha demostrado que la amplitud de la información que CarrierIQ recopila va más allá del simple propósito declarado de “diagnóstico”, e incluye keylogging y el monitoreo de URLs abiertas en un dispositivo móvil. CarrierIQ está construido dentro de una arquitectura típica de Comando y Control en la que los administradores de sistemas pueden establecer el tipo de información que se recopila desde los teléfonos, y qué información se envía a “casa”. Aunque es obvio que CarrierIQ recopila mucha información desde tu teléfono móvil, no significa necesariamente que sea algo malo, o eso es lo que nos dicen sus creadores o compañías como HTC que apoyan su uso. Al ser una compañía estadounidense, CarrierIQ podría verse obligada a revelar gran parte de la información que recopila ante una autoridad competente de los Estados Unidos por orden judicial. Este artificio legal podría efectivamente convertirla en un espía del gobierno y en una herramienta de monitoreo. Sea o no el caso, muchos usuarios han decidido que es mejor eliminar CarrierIQ de sus teléfonos. Por desgracia, no es un proceso simple y es diferente para iPhone, Android y BlackBerry. En el caso de Android, es posible que tengas que resetear tu teléfono para eliminarlo. Como otra opción, muchos usuarios han decidido flashear el firmware personalizado de Android, como Cyanogenmoid.

El incidente de CarrierIQ muestra que desconocemos por completo y con exactitud qué programas se están ejecutando en nuestros dispositivos móviles, o qué nivel de control tiene el operador móvil sobre tu hardware.

10. Programas maliciosos para MacOS

Aunque me doy cuenta de que me convierto en blanco de críticas por el solo hecho de mencionar los programas maliciosos para Mac OS X, creo que se trata un incidente importante de 2011 que no debemos pasar por alto. Los productos llamados MacDefender, MacSecurity, MacProtector o MacGuard, que son falsos programas antivirus para Mac OS, aparecieron en mayo de 2011 y ganaron popularidad con rapidez. Estos programas que se distribuyen a través de técnicas black-hat SEO en búsquedas de Google, se basan en la ingeniería social para lograr que el usuario los descargue, instale y después pague por la versión “completa”. La mayoría de los que deciden pagar 40 USD por esta supuesta versión completa, pronto se dan cuenta de que en realidad pagaron 140 USD, y algunas veces mucho más. El paso de las amenazas para PCs (los falsos programas antivirus son una de las categorías más populares de programas maliciosos para PCs) a las amenazas para Mac fue una notable tendencia en 2011. Además de los falsos programas antivirus para MacOS, la familia de troyanos DNSChanger merece también una especial mención. Estos pequeños troyanos, que se detectaron originalmente en 2007, infectan el sistema de una manera simple y directa cambiando la configuración DNS para que responda a los servidores DNS de los ciberdelincuentes, antes de autodesinstalarse. Entonces, es posible infectarse con un DNSChanger, que cambia la configuración DNS y pensar que no hay problema porque en realidad no hay ningún programa malicioso instalado en tu equipo. Sin embargo, lo que sucede es que los ciberdelincuentes abusan de la comunicación DNS para llevarte a sitios web fraudulentos, inducirte a activar botones y lanzar ataques hombre-en-el-medio. Por suerte, en noviembre de 2011, el FBI arrestó a seis estonios componentes de la pandilla responsable del DNSChanger. Según información del FBI, en los últimos cuatro años infectaron más de cuatro millones de equipos en más de 100 países y generaron unos 14 millones de dólares en lucro ilícito. Estos incidentes muestran que los programas maliciosos para Mac OS son tan reales como los programas para PCs, y que las modernas prácticas de seguridad no son suficientes ante técnicas de ingeniería social cuidadosamente elaboradas. No cabe duda de que en el futuro ambas plataformas seguirán sufriendo abusos.

En resumen, estas diez historias son sólo un pequeño lunar en la galaxia de incidentes en 2011. La razón por la que los elegí fue porque señalan a los principales actores de 2011 que sin duda seguirán siéndolo en el espectáculo de la ciberseguridad este año. Estos actores son los grupos hacktivistas, las compañías de seguridad, la avanzada amenaza persistente en forma de superpotencias luchando entre sí en el ciberespionaje, los principales desarrolladores de software y juegos, como Adobe, Microsoft, Oracle y Sony, las autoridades competentes, los ciberdelincuentes tradicionales, Google (a través del sistema operativo Android) y Apple (gracias a su plataforma Mac OS X). Las relaciones entre estos actores pueden ser complicadas, dramáticas, con muchos matices supersecretos, y tan misteriosas y oscuras como una película de misterio. Una cosa es segura: estas mismas estrellas estarán presentes en el espectáculo en 2012.

Pronóstico: los delitos informáticos en 2012

ARMAMENTO CIBERNÉTICO

En 2011 casi todos los grandes países del mundo mostraron su disposición de crear y usar armamento cibernético. La histeria masiva que empezó en 2010 debido al descubrimiento del gusano Stuxnet hizo que algunos países declararan que considerarían los ataques con armamento cibernético como si fuesen conflictos bélicos reales. Pero al mismo tiempo, se olvidan de ciertas importantes peculiaridades de este tipo de amenaza.

Stuxnet fue un fenómeno único, un programa “exclusivo”, cuyo uso fue necesario en un lugar y tiempo concretos. Y al mismo tiempo, la posibilidad de solucionar el problema por las armas estaba prácticamente excluida. En el futuro los especímenes de arma cibernética como Stuxnet seguirán siendo ejemplares aislados, y su aparición dependerá sólo de las relaciones entre países concretos.

Para crear armas cibernéticas se necesitan dos partes: el país que las encarga (o crea) y el país víctima potencial. Estos problemas han alcanzado tal nivel que es necesario resolverlos, pero excluyendo la vía militar. El análisis de este tipo de conflictos permite sacar determinadas conclusiones y pronosticar incidentes similares en el futuro.

La anterior afirmación es correcta si se la aplica a armas cibernéticas similares a Stuxnet, es decir, de sabotaje. Pero probablemente se usen con más frecuencia armas cibernéticas más simples: “bombas de tiempo”, “bombas lógicas” y de otros tipos destinadas a destruir datos en un momento dado. Este software se puede desarrollar de forma constante, y se lo puede usar de una forma permanente y planificada. Es más, para crear este tipo de amenazas los militares, órganos de seguridad y servicios secretos pueden recurrir a los servicios de outsourcers, compañías privadas a las que no se les informa sobre quién es el cliente que hace el pedido.

EN GENERAL, LOS CONFLICTOS CIBERNÉTICOS DE 2012 SE DESARROLLARÁN ALREDEDOR DE LOS EJES TRADICIONALES DE CONFLICTO: EEUU/ISRAEL – IRÁN, EEUU/EUROPA OCCIDENTAL – CHINA.

ATAQUES MASIVOS CONTRA BLANCOS DETERMINADOS

El desarrollo de la situación de 2011, cuando aparecieron nuevos participantes entre los creadores de programas maliciosos y de nuevos ataques cibernéticos, producirá en 2012 un gran crecimiento de la cantidad de este tipo de amenazas y la cantidad de incidentes públicos registrados.

Estos ataques se detectarán con mucha más efectividad que antes, y de esta forma la cantidad de amenazas conocidas será mayor. Alrededor de los problemas de detección y rechazo de ataques ya ha surgido una rama aparte de la industria de seguridad y las grandes compañías que son víctimas de ataques regulares usan los servicios de pequeñas compañías privadas para investigar estos incidentes. La creciente competencia en la prestación de servicios de seguridad hará que la información sobre los incidentes detectados llegue a un público más amplio.

El crecimiento del nivel de protección y de la cantidad de “protectores” obligará a los atacantes a hacer muchos cambios en los métodos de lanzamiento de ataques.
En el presente muchos de los grupos que organizan ataques contra blancos específicos con frecuencia no se esfuerzan en crear programas maliciosos especializados y usan programas ya existentes que ni siquiera les pertenecen. Un claro ejemplo es el programa troyano PoisonIvy, creado en Suecia, pero que se convirtió en el instrumento preferido de los hackers chinos. El troyano Duqu es todo lo contrario: se lo modifica para adaptarse a cada blanco en concreto y usa servidores dedicados de administración.

El método de ataque tradicional (mediante documentos adjuntos que contienen exploits y vulnerabilidades) poco a poco perderá su efectividad. Se empezará a hacer con más frecuencia ataques mediante el navegador. Por supuesto, la efectividad de estos métodos dependerá también de la cantidad de vulnerabilidades descubiertas en los programas populares: navegadores, aplicaciones de oficina y sistemas de multimedia.

Se expandirá el espectro de compañías y sectores de la economía que sufrirán ataques. En este momento el principal flujo de incidentes está relacionado con las compañías y estructuras estatales que se dedican al diseño de armamento, las estructuras financieras, los institutos científicos y las compañías de investigación. En 2012 estarán en la zona de riesgo elevado las compañías de extracción, las energéticas, las de transporte, las compañías que producen alimentos, las farmacéuticas, los grandes servicios de Internet y las compañías dedicadas a la seguridad informática. Tendrá lugar una expansión sustancial de la geografía de los blancos: además de los países de Europa Occidental y EE.UU., que hoy por hoy son las principales zonas de ataque, se incluirá a los países de Europa Oriental, Próximo Oriente y el Sureste Asiático.

AMENAZAS MÓVILES

Android

Crecerá aún más la atención de los creadores de virus móviles para la plataforma Android. En 2012 todos sus esfuerzos se centrarán en la creación de programas maliciosos específicos para esta plataforma. Tomando en cuenta la tendencia vigente en el segundo semestre, cuando los programas maliciosos para Android dominaron sobre las demás plataformas móviles, no hay fundamento para suponer que en el futuro inmediato los escritores de virus móviles se concentren en otro SO móvil.

Crecimiento de la cantidad de ataques que usan vulnerabilidades. En 2012 los delincuentes cibernéticos usarán activamente diferentes exploits para propagar programas maliciosos y también programas que contienen exploits que permiten aumentar los privilegios y tomar el control total del sistema operativo. En 2011 casi la totalidad de los ataques con exploits tenían como objetivo el incremento de privilegios en el sistema operativo. Sin embargo en 2012 lo más probable es que seamos testigos de los primeros ataques que usen exploits para infectar el sistema operativo. En otras palabras, aparecerán los primeros ataques drive-by-download.

Crecimiento del número de incidentes con programas maliciosos en las tiendas oficiales de aplicaciones, sobre todo en Android Market. Tomando en cuenta que la política de verificación de nuevas aplicaciones de Google no ha sufrido grandes cambios después del descubrimiento de numerosos programas maliciosos en Android Market, es poco probable que los creadores de virus dejen de subir software malicioso a las fuentes oficiales.

Es extremadamente alta la posibilidad de que aparezcan los primeros gusanos masivos para Android, que se propagarán mediante mensajes SMS, enviando enlaces a su fichero ubicado en alguna tienda de aplicaciones. Es posible que también aparezcan las primeras botnets móviles en esta plataforma.

En 2011 algunos grupos de creadores de virus organizaron la producción prácticamente masiva de programas maliciosos móviles y en 2012 esta tendencia seguirá creciendo. Es decir, lo más probable es que pronto nos las tengamos que ver con una completa industria de programas maliciosos móviles.

Otras plataformas

Symbian. Esta plataforma, que durante largo tiempo fue la más popular entre los usuarios y los escritores de virus, está cediendo sus posiciones tanto en el mercado de SO móviles como entre los delincuentes cibernéticos. Por esta razón, no creemos que haya un crecimiento significativo de programas maliciosos para esta plataforma.

J2ME. Seguirá apareciendo una gran cantidad de programas maliciosos (troyanos SMS para ser más exactos) para Java 2 Micro Edition. Sin embargo su cantidad seguirá estando al nivel actual, o incluso puede llegar a reducirse.

Windows Mobile. Esta plataforma nunca fue muy popular entre los creadores de virus, y el año 2011 no fue una excepción. No nos sorprenderá si en 2012 la cantidad de programas maliciosos para esta plataforma se pueden contar con los dedos de una mano.

Windows Phone 7. Es probable que aparezcan los primeros programas maliciosos “proof-of-concept” para esta plataforma.

iOS. Desde que en 2009 apareciesen dos programas maliciosos para dispositivos hackeados bajo iOS, es poco lo que ha cambiado. Y en 2012 tampoco hay que esperar grandes cambios. Por supuesto, si Apple no modifica su política de distribución de software.

Lo más probable es que en 2012 una buena cantidad de los programas maliciosos que aparezcan para SO diferentes de Android se use para hacer ataques específicos. Un buen ejemplo de estos ataques son los lanzados mediante ZitMo y SpitMo (Zeus- y SpyEye-in-the-Mobile)

El espionaje móvil – el robo de datos de los teléfonos móviles y el seguimiento de las personas mediante su teléfono móvil y servicios de geolocalización- se convertirá en un fenómeno ampliamente difundido, saliendo de los límites del uso común que los órganos del estado y algunas compañías de detectives hacen de estas tecnologías.

ATAQUES CONTRA LA BANCA ONLINE

Los ataques contra los sistemas de banca online serán una de las principales (y quizá la más importante) formas en que los usuarios comunes y corrientes perderán su dinero. La cantidad de delitos similares está creciendo a grandes pasos, a pesar de todas las medidas técnicas tomadas por los bancos.

La cantidad de incidentes relacionados con el acceso no sancionado a los sistemas de banca online en los países asiáticos crecerá más rápido que en las demás regiones. La razón será el impetuoso desarrollo de estos servicios en el Sudeste de Asia y China, y la presencia en la región de muchos grupos de ciberdelincuencia organizada que hasta ahora se han especializado en otros tipos de ataques, en primer lugar, contra los usuarios de los juegos online. Además de los juegos online, hasta ahora los delincuentes cibernéticos asiáticos ha sido famosos por los ataques phishing contra los usuarios de los bancos europeos y estadounidenses. Ahora, con el aumento del número de los servicios de pagos electrónicos locales y de los servicios bancarios, debido al crecimiento del nivel de vida en esta región, los ataques contra los bancos locales y usuarios locales mediante el phishing adaptado a la necesidades locales y los programas troyanos especializados crecerán con rapidez.

Lo más probable es que este tipo de ataques esté dirigido no solo contra los usuarios de ordenadores personales, sino también contra los usuarios de teléfonos móviles. Además de los países del Sudeste de Asia y China, puede que haya ataques contra los sistemas de pagos móviles en los países de África Oriental.

LA VIDA PRIVADA DE LOS USUARIOS

Los problemas vinculados a la protección de los datos de los usuarios, su vida e información privadas poco a poco se están convirtiendo en un importante asunto de seguridad informática. Los incidentes de 2011 con la fuga de datos de los usuarios rusos de sitios de operadores de telefonía móvil y sistemas de comercio electrónico, la historia del software móvil de la compañía CarrierIQ o el almacenamiento de datos de geolocación en iPad/iPhone, la fuga de datos de decenas de millones de clientes de diferentes sistemas en Corea del Sur, el hackeo de Sony Play Sony Network, son solo los sucesos más sensacionales del año pasado. A pesar de las diferencias en las causas de los incidentes sucedidos, el volumen y el contenido de datos, todos son eslabones de la misma cadena. Cada vez más compañías de todo el mundo tratan de obtener la mayor cantidad de información sobre sus clientes.

Por desgracia, esta aspiración no está sustentada por una cantidad suficiente de medidas de protección de la información recopilada. El desarrollo de las tecnologías “en la nube” también pone su granito de arena en las potenciales fugas de datos: los delincuentes tienen un objetivo adicional de ataques, los data-centres donde se guardan los datos de diferentes compañías. Las fugas de los servicios “en la nube” pueden dar un golpe muy fuerte contra la tecnología en sí y la idea del almacenamiento “en la nube”, que en gran parte se fundamentan precisamente en la confianza de los usuarios.

En lo que atañe a los sistemas que recopilan los datos de los usuarios, similares a CarrierIQ, en 2012 se descubrirán otros ejemplos de su uso. Los proveedores de telefonía móvil, los fabricantes de software y los servicios de Internet no tienen la intención de renunciar al lucro adicional que representa el poseer los datos de los usuarios.

HACKTIVISMO

El hacktivismo, o los ataques de hackers que tienen como objetivo expresar una protesta contra cualquier cosa, están experimentando un renacimiento y pasando a un nuevo nivel de desarrollo. En 2012 continuarán las intrusiones y ataques contra diferentes estructuras estatales y comerciales en todo el mundo, a pesar de que para evitarlas se recurra a los órganos de seguridad, con los consecuentes arrestos de hacktivistas.

Con cada vez más frecuencia las manifestaciones de los hacktivistas tendrán carácter político y esta será la principal diferencia con los ataques de 2011, que en su mayoría estuvieron dirigidos a las corporaciones o sólo por diversión.

Sin embargo, el hacktivismo también se puede usar para disimular otros ataques, como forma de distraer la atención, dejar huellas falsas o como forma “segura” de irrumpir en el blanco. En 2011, en una serie de ataques de hacktivistas más de una vez ocurrió una fuga de información muy seria, tanto comercial como contra los intereses nacionales y que, sin lugar a duda, es el objetivo y blanco de los ataques de red clásicos. En estos casos los hacktivistas prestaron una gran ayuda (quizá sin quererlo) a otros grupos que usaron los métodos de ataque y la información robada con propósitos completamente distintos y para llevar a cabo otros ataques.