América Latina en tiempos de pandemia: análisis del 2021 y nuestros pronósticos para el 2022

La pandemia no ha afectado a todos los países de la misma manera ni en las mismas escalas. La verdad es que de país a país las medidas de seguridad han variado. Mientras que algunos países recién están abriendo sus fronteras, otros lo hicieron hace algunos meses. Esto se debe a muchos factores, incluyendo la disponibilidad de las vacunas, su aceptación por parte de la población y otras causas.

No obstante, una vida remota ha obligado a tener accesos a distancia disponibles desde el Internet. Los empleados y usuarios remotos en general los usan para trabajar, pues los cibercriminales también los usan pero para obtener el acceso inicial a las redes de las víctimas y luego cometer otro tipo de delitos, dependiendo de su motivación.

La telemetría de Kaspersky confirma la relación directa que existe entre el confinamiento y el número de los ataques a los sistemas remotos.

Nuestras estadísticas confirman que a medida que el confinamiento ha sido levantado, el número de ataques a los nodos de accesos remotos ha ido bajando. Esto puede estar relacionado con que los administradores de red han deshabilitado un buen número de esos servidores expuestos al Internet. Si lo han hecho, de seguro es porque muchos de los empleados ya están trabajando desde las oficinas y también porque ha habido suficiente tiempo para implementar métodos de autenticación y conectividad más seguros. En específico, los servicios de VPNs empresariales, en lugar de los servicios de protocolos tradicionales conectados al Internet que son fáciles de descubrir y aprovechar.

Si comparamos los primeros 10 meses del 2020 vs los primeros 10 meses (de enero a octubre) del 2021, podemos constatar que el año anterior fue más intenso en términos de los ataques a los puntos de acceso remoto accesibles desde el Internet:

Ahora bien, un punto remoto aprovechado exitosamente por el atacante le brinda un sinnúmero de oportunidades. Para esto, los atacantes aprovechan las herramientas de código abierto, las herramientas limpias de los administradores de red y las herramientas comerciales para los pentesters. Estas herramientas en conjunto se pueden denominar como las herramientas de “Red Teaming”. Las mismas se utilizan tanto en los quehaceres diarios, como en los trabajos legítimos de un contratista de seguridad, y claro está, por los mismos cibercriminales. Y esto es precisamente lo que confirman nuestros datos de la telemetría:

Es impresionante notar que el uso de las herramientas del “Red Teaming” ha crecido. Esto también indica que, probablemente, a pesar de que el número de ataques en contra de los puntos de acceso remoto va en bajada, el porcentaje de ataques exitosos ha crecido. En otras palabras, vemos menos ataques pero es porque estos son más estratégicos. Y vale la pena recordar que con un ataque exitoso, el atacante ya queda adentro y es donde comienza a usar las herramientas del “Red Teaming” para evadir las detecciones, obtener las credenciales de mayor privilegio, hacer un reconocimiento de red seguido por un movimiento lateral, finalizando con la recolección de los artefactos y su exfiltración. Pues, el mismo esquema lo han utilizado los operadores de Ransomware dirigido. En excepción que, después de la exfiltración, existe un paso más y es el cifrado de los datos de la víctima dejando muchas veces los sistemas inservibles o inoperables.

De acuerdo a nuestras estadísticas basadas en los trabajos de respuesta a incidentes, los atacantes en el 2020 han utilizado las siguientes herramientas:

Ejecución: Cobalt Strike, CSript, Impacket, PowerShell y PsExec
Evadir la protección: ProcessHacker y Power Tool
Obtención de credenciales: fgdump, Mimikatz, Power Tool y ProcDump
Reconocimiento de red: AdFind, Advanced IP Scanner, Masscan, NBTScan y NetScan
Movimiento lateral: Cobalt Strike, Impacket y PsExec
Recolección de artefactos: WINrar
Comunicación con el C2C: Putty, RDP y TeamViewer

Adicionalmente, los atacantes están incrementando el uso de herramientas conocidas como Living of the Land (LOLBins) con el fin de navegar debajo del radar sin ser detectados. Estas herramientas son, por lo regular, parte de los sistemas operativos o fueron creadas originalmente para alguna función en específico, pero los cibercriminales han encontrado que al utilizar estas herramientas, muchas veces no son detectadas como actividad maliciosa.

De acuerdo con nuestras estadísticas del area Managed Detection and Response Analyst (MDR), algunas de las herramientas LOLBins más utilizadas por los atacantes en incidentes críticos son:

• 3% PowerShell
• 1% Rundll32.exe
• 2% Te.exe, PSExec.exe, Certutil.exe, Reg,exe, wscript.exe

Otras herramientas observadas en diferentes incidentes son:

• exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe , powerpnt.exe, dllhost.exe, regsvr32.exe, winword.exe, and shell32.exe

Ahora, repasemos nuestros pronósticos para el 2021 que publicamos el año pasado y veamos si es que se han cumplido o no:

1. Aparición de Ransomware dirigido desarrollado en la región – las familias del Ransomware dirigido, utilizado en ataques realizados en la región, provienen de otras partes del mundo. Es decir, su desarrollo y soporte no es regional. Hemos visto que, por lo general, los cibercriminales latinoamericanos copian las técnicas de los cibercriminales de Europa Oriental. Es razonable creer que puede haber entonces un desarrollo local que maneje esquemas parecidos a los grupos infames como Egregor, Ragnar Locker, Netwalker, Sodinokibi, y otros.

   No de todo, al menos por ahora. Y lo decimos porque aunque hemos visto algunos ataques sazonados con el sabor local, estos se han basado en los proyectos de código abierto publicados en el Github. Pues, los criminales tomaron el código disponible públicamente y luego lo usaron en sus ataques. De modo que no se puede decir que esto sea 100% local.

2. Aumento y diversificación de ataques dirigidos a sistemas financieros por grupos cibercriminales locales. Lo que más nos preocupa es que en el mercado habrá más ofertas de contratistas para diseñar y lanzar ataques. Es decir, una especie de tercerización de servicios cibercriminales para atacar a los bancos y otras instituciones financieras. Podría suceder al estilo de “hire a hacker”.

   Sí. Durante todo el año hemos sido testigos de los ataques al sistema financiero regional con el uso de recursos humanos de diferentes partes del mundo. Entre los métodos más populares en el año que va en curso está la extorsión, ya sea por medio del robo de información e intimidación a través de las redes sociales con la publicación de screenshots o por medio de ransomware. En todo caso, dichos ataques tienen características locales e internacionales; es decir, una cooperación profesional al estilo de contratista donde los roles y las ganancias se reparten.

3. Desarrollo consistente de programas de código malicioso RAT para Android. Con la transición de la banca hacia los dispositivos móviles, los mismos grupos cibercriminales que están a cargo de atacar los activos financieros de escritorio, van a estar diversificando sus campañas produciendo código malicioso también para los móviles. Esto les permitirá incrementar sus ganancias con un esfuerzo relativamente menor, en comparación a los ataques tradicionales similares.

   Sí. Se puede decir con toda seguridad que el 2021 es un año de troyanos móviles atacando Android. Tan solo en lo que va del año, hemos visto varias familias desarrolladas localmente y activamente atacando la banca local y la banca internacional. Y aquí hablamos de por lo menos las siguientes familias: Basbanke, el mejorado BRata, TWMobo, SMisor y AitaRAT.

4. Más familias de troyanos brasileños van a expandir sus operaciones globalmente, siguiendo el ejemplo de Tétrade, Bizarro, Lampion. Es posible que, incluso, algunas familias operen bajo una especie de caparazón que permita alcanzar una mayor agilidad para los cibercriminales.

   Sí, definitivamente. Y ya no se trata de solamente troyanos bancarios tradicionalmente desarrollados para atacar los escritorios, sino los troyanos bancarios para Android. Algunos de esos están mencionados en el punto anterior. Tan solo un ejemplo es que el AitaRAT es desarrollado en Brasil pero ataca exclusivamente a las víctimas de los bancos de Italia. Esta es una tendencia claramente visible.

5. Ataques a sistemas de punto de ventas – PoS – y comercialización de los mismos con el fin de masificarlos a través de los esquemas MaaS.

   Sí, y este es otro problema. Algunos grupos veteranos del crimen cibernético ya lo están haciendo. Lo comercializan publicitando, tanto a través de sus portales escondidos detrás del Cloudflare, como Telegram. Aunque la pandemia ha limitado nuestra movilidad y habilidad de pagar fuera de línea, es evidente que, con el levantamiento de las restricciones de confinamiento, esta tendencia solamente se hará más visible.

6. Ataques de account-takeover en WhatsApp. Hoy, estos ataques se realizan a través de la ingeniería social, pidiendo el OTP recibido por SMS, para solicitar dinero a los contactos de la víctima. Sin embargo, en un futuro cercano, este tipo de ataques serán aún más atractivos para los defraudadores debido a la disponibilidad de WhatsApp Pay.

   Parcialmente sí. Se debe mencionar que el WhatsApp Pay no es todavía un medio de pago masivamente disponible para el público en general. Y en aquellos países donde sí lo está, los criminales todavía no han logrado tomar ventaja debido a su diseño que, incluso, en caso de un secuestro de la línea de WhatsApp de la víctima, el atacante no logra el acceso deseado a los fondos de la víctima. Lo que sí está muy en auge es el secuestro de las líneas de WhatsApp y también, por consecuencia, de Facebook y de Instagram. Hemos visto cómo algunas de las cuentas empresariales, al estar secuestradas, generaron daño a la imagen de las empresas así como también sufrieron grandes pérdidas en perjuicios financieros.

7. Ataques coordinados a negocios y entidades públicas con el fin de exfiltración de información y su posterior publicación en las redes sociales. En la región se ha creado un marco de circunstancias que ha permitido que estos ataques existan. No obstante, su alcance será todavía mayor. La información exfiltrada no necesariamente se publicará de inmediato, sino que se guardará hasta su momento oportuno según las agitaciones sociales en cada país dado. También será comercializada para el mejor postor con diferentes fines.

   Sí. Es más, hemos visto como luego la información es comercializada a través de los foros internacionales del crimen cibernético. Al parecer, los atacantes se han dado cuenta de que les resulta más rentable trabajar para el mejor postor, el cual podría ser un partido político de oposición o, simplemente, trabajar para sí mismos, ya que al robar los datos, los publican en los foros, donde cualquiera los puede comprar. Entre esos potenciales clientes puede estar cualquier fuerza.

8. Los actores de amenazas aprovechan la tendencia del teletrabajo y el aprendizaje remoto para centrar sus ataques en obtener información privada de pacientes (Personally Identifiable Information, por sus siglas en inglés) y, a su vez, comprometer objetivos, como escuelas, universidades, y ahora también plataformas de aprendizaje virtual. El incremento en el uso de estas tecnologías debido a la pandemia, y el valor que posee esta información (tanto para sus dueños cómo en mercados ilegales) causará un auge marcado en ataques a estos sectores.

   No. No hemos visto un incremento notorio de estos ataques. Aunque entre los objetivos de los atacantes sí figuran los datos personales de las personas, no existe una tendencia clara en cuanto a este aspecto.

9. Si bien la existencia de seguros contra ataques informáticos existe hace tiempo y en otras regiones del mundo es ya moneda corriente, recién en el 2021 veremos que la cantidad de ataques y filtraciones de datos forzarán a las empresas latinoamericanas a considerar dedicar parte de su presupuesto a un “ciberseguro”.

   Sí. Esto se ha cumplido especialmente debido a los ataques de renombre de Ransomware. Se ha visto caer a toda clase de empresas y en toda clase de países. Lo que ha sucedido entonces es que algunas compañías comenzaron a buscar los tales ciberseguros. Además, algunos de los fabricantes de productos de seguridad han comenzado a ofrecer, como parte de un ciberseguro,  servicios de respuestas de incidente complementarias en caso de un ciberataque exitoso.

10. Utilización de técnicas relacionadas a la inteligencia artificial para orquestar campañas de desinformación o propagación de códigos maliciosos. Hoy en día, la IA es utilizada para proteger a los usuarios a través de disciplinas como “machine learning”. Sin embargo, en el 2021 serán los cibercriminales los que empezarán a ver el valor de utilizar frameworks y motores de aprendizaje automático para hacer la detección de sus campañas maliciosas aún más complicada.

    Parcialmente sí. Hemos visto cómo algunos actores locales, al filtrar los datos de las instituciones financieras y entidades gubernamentales, orquestaron campañas de quejas a través de las redes sociales para causar un sentimiento de descontento en la sociedad tratando de crear caos o, si no, un aire de inestabilidad. Dichas técnicas fueron utilizadas para ejercer presión sobre las víctimas con el fin de obtener el pago a cambio de no publicar la información robada y dejar de seguir dañando la imagen de la institución afectada.

Ahora, ¿qué podemos decir sobre nuestros pronósticos para el año siguiente?  ¿Se mantendrán las tendencias actuales o habrá cambios en el panorama de las amenazas en la región? A continuación, nuestros pronósticos para América Latina en el 2022:

1. La consolidación del desarrollo de troyanos bancarios y troyanos de acceso remoto (RATs) para Android. Con el crecimiento y la madurez de la banca móvil, es altamente probable que los grupos cibercriminales que tradicionalmente atacan a los sistemas basados en Microsoft Windows, amplíen su portafolio para incluir implantes móviles. En general, dichos troyanos y RATs serán más sofisticados en cuanto a la madurez del código y también más diversificados en cuanto a sus objetivos.
2. Los InfoStealers se abrirán un nicho en el mercado cibercriminal de la región. Debido al bajo costo de licenciamiento y amplia disponibilidad de versiones crackeadas, así como la facilidad de uso y la eficacia para recopilar y exfiltrar datos sensibles de sus víctimas, los troyanos infostealers se convertirán en una de las herramientas de ataque preferidas a nivel regional. Los cibercriminales buscan un balance entre sus esfuerzos y ganancias y los infostealers suplirán esta necesidad. Veremos un auge en su uso sin importar las motivaciones finales, ya sean financieras o para la recopilación de información inicial antes de lanzar ataques más complejos.
3. El Ransomware dirigido será aún más selectivo. La cultura de la región impide que los criminales persuadan a sus víctimas a que paguen por recuperar sus datos cifrados. Por esta razón, este tipo de operaciones no resulta atractiva para los afiliados de Ransomware ya que su objetivo final es hacer que la víctima pague. Al enfrentar esta situación, los afiliados serán más selectivos, centrándose en potenciales víctimas que puedan enfrentar fuertes multas si se llegase a filtrar información personal de sus clientes.
4. La comercialización exportada de activos. Los cibercriminales, con raíces en Latinoamérica, han aprendido que el mayor provecho que le pueden sacar a los datos robados es vendiendo la información de sus víctimas en las plataformas internacionales donde otros criminales la puedan comprar. Po lo tanto, algunos criminales locales se especializarán en comprometer las redes de sus víctimas, exfiltrar la información sensible y ponerla directamente a la venta en el mercado clandestino, ya sea en inglés u otro idioma.
5. Exploración y explotación del mercado PoS. Al retomar las actividades habituales previo a la pandemia, el uso de los puntos de pago y PoS aumentará. Este es un mercado creciente ya que existen varios fabricantes que ofrecen este tipo de tecnologías a los negocios en general. No obstante, aunque las tecnologías pueden variar, lo que los PoS tienen en común es que son dispositivos con poca seguridad contra los programas de código malicioso y es ahí donde los criminales continuarán apostando. Adicionalmente, los atacantes seguirán buscando oportunidades para explotar los pagos electrónicos realizados desde el celular a través de plataformas digitales.
6. Intensificación de web skimmers extranjeros en la región. A lo largo de la pandemia, los consumidores de la región se han acostumbrado a realizar compras en Internet, incluyendo víveres y otros artículos de primera necesidad. Varios sitios de comercio electrónico que ofrecen ropa, bebidas, dispositivos electrónicos y otros artículos, serán comprometidos desde el exterior para integrar código malicioso al estilo de Web skimmers (Magecart) con el objetivo de robar los datos de pago de los clientes. Este será un reto para los administradores Web de la región ya que detectar dichas amenazas exige conocer cómo funcionan los códigos maliciosos y saber sus técnicas de ofuscación.
7. Ataques dirigidos avanzados, principalmente desde el exterior, con el fin de obtener información de terceros y países aliados. Al observar la polarización que existe actualmente a nivel mundial, anticipamos que habrá ataques estilo APT que se dirigirán a las infraestructuras críticas de varios países, aliados del mundo occidental. Dichas agresiones tendrán el objetivo de exfiltrar información de interés para los atacantes, así como para los rivales de países aliados a Latinoamérica.
8. Fábricas de trolls en redes sociales. Pronosticamos una especie de legitimación en el uso de cuentas tipo trolls o zombie por parte de diferentes actores políticos en el poder y aquellos que buscan llegar al poder. Dicho uso se intensificará durante periodos de elecciones y momentos críticos que atraviesen las sociedades, como conmociones nacionales por sucesos de grandes proporciones.
9. Estafas con las criptodivisas. Con el aumento de la pobreza y la devaluación de las monedas nacionales, más personas buscarán formas de sobrevivir o de asegurar sus fondos en criptodivisas. Lamentablemente, al no ser expertos en el tema y por cultura, querrán apoyarse en personas y compañías en Internet que les ofrezcan invertir de una manera fácil. Sin embargo, esas compañías captarán los fondos y dejarán a muchos con las manos vacías; si no al comienzo, entonces después de un tiempo de haber pagado las comisiones por las supuestas ganancias.
10. Ataques por medio de códigos QR. En 2021, se identificaron varios ataques por medio de códigos QR, los cuales son cada vez más comunes por sus diferentes usos, entre estos: para publicidad en espacios de transporte público, menús en restaurantes, acceso a promociones o para ubicar tiendas en centros comerciales. Este método de ataque combina la ingeniería social con la facilidad que esta tecnología ofrece a los usuarios para que, desde sus dispositivos móviles, puedan acceder de forma inmediata a sitios web. Sin embargo, en algunos casos, estos pueden contener código malicioso que se descarga e instala en los dispositivos de los usuarios o hasta pueden redireccionar a sitios de phishing donde los cibercriminales roban las credenciales de acceso a diferentes servicios.