El 2020 de Latinoamérica en cifras
Sin duda, el impacto del COVID-19 en todo el mundo y nuestra región, se ha sentido en todos los aspectos de la vida, incluyendo la vida digital. Muchas compañías simplemente no estaban preparadas para brindar acceso remoto a sus empleados. Lamentablemente, esta situación ha forzado que esas compañías usen protocolos de comunicación inseguros o mal configurados que brindan acceso remoto tanto a sus empleados remotos, como a las personas malintencionadas. Esto se ve claramente reflejado en las estadísticas de los ataques registrados a sistemas de control remoto, como por ejemplo el “escritorio remoto”, conocido también en inglés como RDP (remote desktop protocol).
Detecciones de ataques de “escritorio remoto” en Latinoamérica
Es evidente el incremento exponencial de estos ataques desde que se introdujo el confinamiento y el teletrabajo en la región. ¿Cuál es el objetivo de estos ataques? En realidad, en la mayoría de los casos, el asunto termina en un ataque de Ransomware. Pero, ¿qué nos dicen las estadísticas? ¿Han habido más ataques de Ransomware este año en comparación con el anterior? Pues, las estadísticas muestran lo contrario:
Detecciones de Ransomware en Latinoamérica
Entonces, ¿cuál es la situación? ¿Por qué todos siguen hablando de Ransomware si es que el número de los incidentes de Ransomware está disminuyendo en Latinoamérica? Y es que, en realidad, estamos viviendo una transformación: de los ataques volumétricos de ransomware, donde las víctimas eran elegidas al azar, a una realidad donde los objetivos de los ataques son seleccionados cuidadosamente. Ya no se trata de infectar al mayor número de personas, pues basta con apuntar el ataque a una sola empresa, pero bien elegida, para luego exigir un rescate de varios millones de dólares. Es esto lo que ha estado pasando este año alrededor del mundo y, específicamente, en nuestra región. Para más información sobre el fenómeno del Ransomware dirigido, le invitamos a revisar nuestro artículo aquí.
¿Cómo se puede comprobar que es realmente esta transición lo que estamos viviendo? ¿Hay alguna prueba de métricas? Sí, al tratarse de ataques de ransomware dirigido, la red del grupo cibercriminal utiliza varias herramientas. Entre esas se encuentran las herramientas de reconocimiento de red y de movimiento lateral. Algunos ejemplos de esto son el Psexec, Mimikatz, diferentes herramientas e infraestructuras de powershell. Si revisamos las detecciones de estas herramientas y las comparamos con el gráfico de las detecciones de los ataques a “escritorios remotos”, podemos ver claramente el tipo de trabajo que realizan los atacantes una vez que obtuvieron acceso a la red de la víctima.
Detecciones de diferentes herramientas de reconocimiento de red, de movimiento lateral y “red team” en general
Hablando en términos generales, este tipo de amenaza es la que más ha impactado la región en 2020. En los próximos días publicaremos un artículo sobre el análisis de las amenazas financieras. Es decir, campañas cibernéticas que atacan a bancos, instituciones financieras y a sus clientes. En ese reporte podrá encontrar información adicional sobre otros ataques relevantes en Latinoamérica.
Ahora bien, revisemos nuestros pronósticos para el 2020 que hicimos hace un año y veamos si es que se han cumplido o no.
- Desinformación y manipulación a través de las redes sociales – sí. Hemos visto la realización de este pronóstico, especialmente durante las primeras semanas de confinamiento por el COVID-19.
- Infecciones a proveedores regionales en ataques del tipo cadena de suministro – parcialmente. Claramente, no se puede decir que el software producido por las compañías de desarrollo local haya sido utilizado en ataques de cadenas de suministro, pero a nivel más general, hemos visto el abuso de accesos de terceros que dan soporte técnico, incluyendo el desarrollo de código, para acceder a las redes de sus clientes.
- Ataques a Windows 7 por la falta de actualizaciones – sí. No hace falta decir mucho aquí. Mientras Windows 7 u otros sistemas operativos desactualizados continúen en uso, habrá oportunidades de ataques.
- Robo de credenciales relacionados con los sistemas de entretenimiento – sí. Es algo de todos los días, pues los criminales roban a través de phishing y malware las credenciales de las plataformas de streaming.
- Estafas relacionadas con el bitcoin – sí. Un gran ejemplo de esto es el famoso “hack” de Twitter que cubrimos ampliamente hace unos meses.
- Incremento de ataques a instituciones financieras – sí. Esto se ha hecho evidente con diferentes tipos de ataques a PoS y ATMs. En nuestro próximo artículo hablaremos más de este tema.
- Ransomware dirigido – sí.
- Expansión de SIM swapping – parcialmente. Los ataques de SIM swap siguen en Brasil, pero sin expandirse a otros países de América Latina debido a realidades locales. Dado a la reacción de las operadoras de telefonía, donde algunas adoptaron protecciones y métodos mejores de autenticación interna, la cantidad de ataques ha disminuido. Los criminales siguen enfocándose en blancos más específicos; o sea, los ataques ya no son masivos, cambiaron a ataques dirigidos. Es importante notar que los problemas de seguridad en la red telefónica continúan: su utilización aún es insegura para los procesos de autenticación, mientras que otras técnicas de ataques siguen siendo efectivas, como la explotación de los fallos del SS7, que pasa en muchos países.
- Exportación humanitaria de los ataques – no. Con el brote de COVID-19, todos nos hemos quedado donde estábamos. Las medidas impuestas por las autoridades locales han impedido un tránsito libre entre los países y, hasta a veces, ciudades dentro de la misma provincia. Esto ha impedido que las personas se trasladen libremente.
- Nuevas legislaciones al estilo de GDPR – sí. Por ejemplo, en Brasil la LGPD (Ley General de Protección de Datos) fue aprobada, forzando a las empresas a adaptarse y administrar, de forma más segura, los datos de los clientes. La adopción de tales leyes ha resultado en un aumento de ataques de fuga de datos, donde los criminales roban bases de datos corporativos y extorsionan a sus víctimas amenazandolas con la publicación en línea de estos datos, bien al estilo de los ataques de ransomware que hemos visto este año. Leyes similares son muy bienvenidas. Muchos países las están adoptando, pero es necesario que las corporaciones estén preparadas.
Lamentablemente, casi todos nuestros pronósticos han sido bastante acertados y se han cumplido. Lo decimos porque esto representa un nuevo reto para todas las empresas y usuarios de la región. Y ahora, ¿qué podemos decir sobre el próximo año? ¿Será mejor o peor en relación de ciberataques?
Nuestros pronósticos para la región en 2021
A continuación, les presentamos nuestros pronósticos, sin orden particular.
- Aparición de Ransomware dirigido desarrollado en la región – las familias del Ransomware dirigido, utilizado en ataques realizados en la región, provienen de otras regiones. Es decir, su desarrollo y soporte no es regional. Hemos visto que, por lo general, los cibercriminales latinoamericanos copian las técnicas de los criminales cibernéticos de Europa Oriental. Es razonable creer que puede haber entonces un desarrollo local que maneje esquemas parecidos a los grupos infames como Egregor, Ragnar Locker, Netwalker, Sodinokibi, y otros.
- Aumento y diversificación de ataques dirigidos a sistemas financieros por grupos cibercriminales locales. Lo que más nos preocupa es que en el mercado habrá más ofertas de contratistas para diseñar y lanzar ataques. Es decir, una especie de tercerización de servicios cibercriminales para atacar los bancos y otras instituciones financieras. Podría suceder al estilo de “hire a hacker”.
- Desarrollo consistente de programas de código malicioso RAT para Android. Con la transición de la banca hacia los dispositivos móviles, los mismos grupos cibercriminales que están a cargo de atacar los activos financieros de escritorio, van a estar diversificando sus campañas produciendo código malicioso también para los móviles. Esto les permitirá incrementar sus ganancias con un esfuerzo relativamente menor, en comparación a los ataques tradicionales similares.
- Más familias de troyanos brasileños van a expandir sus operaciones globalmente, siguiendo el ejemplo de Tétrade, Bizarro, Lampion. Es posible que, incluso, algunas familias operen bajo una especie de caparazón que permita alcanzar una mayor agilidad para los cibercriminales.
- Ataques a sistemas de punto de ventas – PoS – y comercialización de los mismos con el fin de masificarlos a través de los esquemas MaaS.
- Ataques de account-takeover en WhatsApp. Hoy lo hacen usando ingeniería social, pidiendo el OTP recibido por SMS, para solicitar dinero a los contactos de la víctima, pero en un futuro cercano esto será aún más atractivo para los defraudadores por el WhatsApp Pay.
- Ataques coordinados a negocios y entidades públicas con el fin de exfiltración de información y su posterior publicación en las redes sociales. En la región se ha creado un marco de circunstancias que ha permitido que estos ataques existan. No obstante, su alcance será todavía mayor. La información exfiltrada no necesariamente se publicará de inmediato, sino que se guardará hasta su momento oportuno según las agitaciones sociales en cada país dado. También será comercializada para el mejor postor con diferentes fines.
- Los actores de amenazas aprovechan la tendencia al teletrabajo y al aprendizaje remoto para centrar sus ataques en obtener información privada de pacientes (Personally Identifiable Information, por sus siglas en inglés) y a su vez comprometer objetivos como escuelas, universidades, y ahora también plataformas de aprendizaje virtual. El incremento en el uso de estas tecnologías debido a la pandemia, y el valor que posee esta información (tanto para sus dueños cómo en mercados ilegales) causará un auge marcado en ataques a estos sectores.
- Si bien la existencia de seguros contra ataques informáticos existe hace tiempo y en otras regiones del mundo es ya moneda corriente, recién en el 2021 veremos que la cantidad de ataques y filtraciones de datos forzarán a las empresas latinoamericanas a considerar dedicar parte de su presupuesto a un “ciberseguro”.
- Utilización de técnicas relacionadas a la inteligencia artificial para orquestar campañas de desinformación o propagación de códigos maliciosos. Hoy en día, la IA es utilizada para proteger a los usuarios a través de disciplinas como “machine learning”. Sin embargo, en el 2021 serán los cibercriminales los que empezarán a ver el valor de utilizar frameworks y motores de aprendizaje automático para hacer la detección de sus campañas maliciosas aún más complicada.
Estas no serán las únicas tendencias que pasen el próximo año. Por ejemplo, habrá abuso agresivo de la privacidad de los usuarios en diferentes formas con y sin su consentimiento. Lo que sí se puede decir es que vivimos tiempos verdaderamente únicos, que cada año elevan más el nivel de las amenazas por su diversificación y complejidad.
América Latina en 2020: ataques cibernéticos, sus consecuencias y lo que se avecina