Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin 2012. Desarrollo de las amenazas informáticas en 2012

Índice

  1. Kaspersky Security Bulletin 2012. Desarrollo de las amenazas informáticas en 2012
  2. Kaspersky Security Bulletin 2012. Estadística general de 2012

Este informe es la continuación de la serie de informes analíticos anuales de Kaspersky Lab. En él se analizan los principales problemas que afectan a los usuarios particulares y corporativos, relacionados con los programas maliciosos, potencialmente indeseables y de estafas, como también del spam, phishing y los diferentes tipos de actividad de los hackers.

Este informe ha sido escrito por los expertos del Global Research&Analisys Team (GReAT) en colaboración con las subdivisiones Content&Cloud Technology Research y Anti-Malware Research de Kaspersky Lab.

Las 10 historias de seguridad que perfilaron 2012

A fines del año pasado publicamos el artículo ‘The Top 10 Security Stories of 2011‘ que resumía el año 2011 en una sola palabra: ‘explosivo’.  En ese momento, el mayor desafío era cómo resumir todos los incidentes, casos, hechos, nuevas tendencias y actores intrigantes en sólo 10 historias.

En base a los acontecimientos y a los actores que definieron las principales historias de seguridad de 2011, hicimos algunas predicciones para 2012:

  • El progresivo aumento de grupos hacktivistas.
  • El crecimiento de los incidentes APT (Advanced Persistent Threat).
  • El surgimiento de la ciberguerra y de más estados-naciones que buscan imponerse mediante campañas de ciberespionaje.
  • Ataques contra desarrolladores de software y juegos, como Adobe, Microsoft, Oracle y Sony.
  • Acciones más decididas de las autoridades policiales y jurídicas contra los ciberdelincuentes tradicionales.
  • Una explosión de las amenazas contra Android.
  • Ataques contra la plataforma Mac OS X.

¿Cuán acertadas fueron nuestras predicciones?  Demos una mirada a los 10 principales incidentes de seguridad que perfilaron 2012:

1. Flashback ataca a Mac OS X

Aunque el troyano para Mac OS X Flashback/Flashfake apareció a fines de 2011, no fue sino hasta abril de 2012 que ganó mucha popularidad. Y cuando decimos mucha popularidad, realmente queremos decir eso.  Basándonos en nuestras estadísticas, estimamos que Flashback infectó más de 700.000 Macs, la mayor infección conocida de Mac OS X hasta ahora.  ¿Cómo pudo suceder esto?  Dos factores principales: una vulnerabilidad Java (CVE-2012-0507) y la sensación generalizada de apatía entre los usuarios de Mac cuando se trata de su seguridad.

Flashback sigue manteniendo su relevancia porque fue capaz de rebatir el mito de invulnerabilidad que caracterizaba a Mac y porque confirmó que los estallidos masivos en realidad pueden afectar no sólo a las plataformas Windows. En 2011 habíamos predicho que veríamos más ataques de programas maliciosos contra Mac, pero no imaginamos que sería tan dramático.

2. Flame y Gauss: campañas de ciberespionaje gubernamental

A mediados de abril de este año, una serie de ciberataques destruyeron sistemas informáticos de varias plataformas petroleras en el Medio Oriente. Nunca se detectó el programa malicioso responsable de estos ataques, llamado ‘Wiper’, aunque varias pistas indicaban su cercanía con Duqu y Stuxnet. Durante la investigación, nos topamos con una enorme campaña de ciberespionaje que ahora se conoce con el nombre de Flame (ver Flame: Preguntas y respuestas).

Podría decirse que Flame es uno de los programas maliciosos más sofisticados que se han creado. Cuando está instalado por completo en un sistema, posee más de 20 MB de módulos que ejecutan una amplia gama de funciones como intercepción de audio, análisis de dispositivos bluetooth, robo de documentos y capturas de pantalla del ordenador infectado.  La parte más impresionante fue el uso de falsos certificados de Microsoft para realizar un ataque hombre-en-medio contra Windows Updates que le permitía infectar en un abrir y cerrar sistemas Windows 7 completamente parchados. La complejidad de esta operación no dejaba duda alguna sobre su naturaleza gubernamental. En realidad, los investigadores descubrieron una fuerte conexión con Stuxnet, lo que indica que los desarrolladores de Flame trabajaban en conjunto con los de Stuxnet, quizás como parte de una misma operación.

Flame es importante porque demostró que durante años pueden existir programas maliciosos altamente complejos sin que se los detecte. Se calcula que el proyecto Flame tenía, por lo menos, unos cinco años de vigencia.  Asimismo, redefinió por completo la idea de los ‘día-cero’ a través de su técnica de propagación hombre-en-medio ‘God mode’.

Por supuesto, cuando se descubrió Flame todo el mundo se preguntaba cuántas campañas como esta podrían montarse.  Y no pasó mucho tiempo antes de que aparecieran.  El descubrimiento de Gauss (Gauss: Troyano bancario se utiliza en el espionaje cibernético gubernamental), otro troyano altamente sofisticado que se propagó ampliamente en el Medio Oriente, añadió una nueva dimensión a las cibercampañas gubernamentales. Gauss es significativo por varias razones, algunas de las cuales siguen siendo un misterio.  Uno de estos misterios es el uso de una fuente personalizada llamada ‘Palida Narrow’ o de su contenido codificado que ataca a los ordenadores desconectados de Internet. Además se trata del primer troyano bancario con respaldo gubernamental que tiene la habilidad de secuestrar los datos de las cuentas bancarias online de sus víctimas, particularmente en Líbano.

Flame y Gauss inyectaron una nueva dimensión en el escenario bélico del Medio Oriente: la ciberguerra. Al parecer, las actuales tensiones geopolíticas tienen un fuerte componente cibernético que quizás sea mucho mayor de lo que podemos imaginarnos.

3. La explosión de amenazas contra Android

Durante 2011, Vimos una explosión en la cantidad de amenazas maliciosas contra la plataforma Android. Habíamos previsto que la cantidad de amenazas contra Android seguiría aumentando de forma alarmante.  El siguiente gráfico despeja todas las dudas al respecto:

Crecimiento del malware para Android
Cantidad de muestras en nuestra colección

La cantidad de muestras que recibimos sigue en aumento y alcanzó su pico en junio de 2012, cuando identificamos casi 7.000 programas maliciosos para Android. En general, en este año hemos identificado más de 35.000 programas maliciosos para Android, seis veces más que en 2011, y ?cinco veces más que todas las muestras maliciosas para Android que hemos recibido desde 2005!

La razón de este gigantesco crecimiento tiene dos factores: el económico y la plataforma. En primer lugar, la plataforma Android ha ganado inmensa popularidad, llegando a ser la más común para nuevos smartphones, con más del 70% de participación en el mercado, la naturaleza abierta de este sistema, la facilidad con la que se pueden crear aplicaciones y la amplia variedad de mercados (no oficiales) de aplicaciones han ensombrecido las medidas de seguridad de la plataforma Android.

Mirando en perspectiva, no queda duda de que esta tendencia continuará, tal como sucedió con los programas maliciosos para Windows hace muchos años. Por lo tanto, prevemos que 2013 estará lleno de ataques dirigidos contra los usuarios de Android, de ataques día-cero, y de fugas de información.

4. Fugas de contraseñas de LinkedIn, Last.fm, Dropbox y Gamigo

El 5 de junio de 2012, LinkedIn, una de las mayores redes sociales para usuarios profesionales, sufrió ataques de atacantes desconocidos lo que ocasionó que los hashes de contraseñas de más de 6,4 millones de usuarios  se filtraran en Internet. Gracias a las rápidas tarjetas GPU, los expertos en seguridad cibernética recuperaron el 85% de las contraseñas originales. Esto fue posible gracias a varios factores. En primer lugar, LinkedIn guardaba las contraseñas como hashes SHA1. Las modernas tarjetas GPU, mejores que las muy populares MD5, pueden descifrar hashes SHA1 a velocidades impresionantes. Por ejemplo, una Radeon 7970 de 400 $ puede verificar hasta dos mil millones de contraseñas /hashes SHA1 por segundo. Esto, junto a los modernos ataques criptográficos, como el uso de cadenas Markov para optimizar la búsqueda forzada o los ataques camuflados, enseñó a los desarrolladores cibernéticos nuevas lecciones sobre el almacenamiento de contraseñas codificadas.

Cuando DropBox anunció que había sufrido un ataque  y que se habían filtrado datos de las cuentas de sus usuarios, fue una confirmación más de que los hackers estaban en busca de valiosa información (especialmente los datos de los usuarios) en conocidos servicios web.  En 2012, verificamos similares ataques contra Last.fm y Gamigo, que provocaron la fuga de más de 8 millones de contraseñas.

Para tener una idea de la gravedad de este problema, en la conferencia InfoSecSouthwest 2012, Korelogic publicó un documento que contenía 146 millones de hashes de contraseñas, y que se elaboró a partir de varios incidentes de violación de seguridad. De estas, 122 millones ya estaban descodificadas.

Estos ataques muestran que en la edad de la ‘nube’, cuando la información sobre millones de cuentas se encuentra disponible en un servidor, y con veloces enlaces en Internet, el concepto de fuga de información adquiere nuevas dimensiones. El año pasado las exploramos durante el ataque contra Sony Playstation Network; no fue una sorpresa que estos ataques y fugas masivas de información continuaran en 2012.

5. El robo de certificados de Adobe y la omnipresente APT

Durante 2011, fuimos testigos de ataques de alto perfil contra las autoridades de certificación. En junio, DigiNotar, una compañía holandesa, tuvo que cerrar debido a ataques de hackers, y en marzo lograron engañar a una filial de Comodo para que emitiera certificados digitales. El descubrimiento de Duqu en septiembre de 2011 también estuvo relacionado con un ataque a Certificate Authority.

El 27 de septiembre de 2012, Adobe anunciaba el descubrimiento de dos programas maliciosos que estaban firmados con un certificado legítimo de Adobe. Los certificados de Adobe estaban guardados bajo medidas de seguridad en un HSM, un dispositivo criptográfico especial de seguridad. Sin embargo, las hackers se las ingeniaron para infectar un servidor que era capaz de realizar peticiones de firmas de códigos.

Este descubrimiento pertenece a la misma cadena de ataques sofisticados y extremadamente dirigidos, conocidos como APT.

El hecho de que una compañía de alto perfil como Adobe se viera comprometida de esta manera redefine los límites y las posibilidades de estos hackers de alto nivel.

6. El cierre de DNSChanger

Cuando se arrestó a los responsables del programa malicioso DNSChanger en noviembre de 2011 bajo la operación ‘Ghost Click‘, la infraestructura de este programa ladrón de identidades quedó en manos del FBI.

El FBI accedió a mantener los servidores activos hasta el 9 de julio de 2012, de manera que las víctimas tuvieran tiempo de desinfectar sus sistemas. Marcada por los más nefastos presagios, la fecha pasó sin mayores problemas. Esto no hubiese sido posible sin el tiempo y los recursos que el FBI invirtió en el proyecto, junto a otras agencias policiales, compañías privadas y gobiernos de todo el mundo. Se trató de una acción a gran escala que demostró que el éxito en la lucha contra la ciberdelincuencia puede ser posible gracias a una abierta cooperación e intercambio de información. (?Llegó el fin del troyano DNSChanger?)

7. El incidente Ma(h)di

Entre fines de 2011 y el primer semestre de 2012 se desarrolló una campaña para infiltrarse en los sistemas informáticos del Medio Oriente, atacando a usuarios individuales en Irán, Israel, Afganistán, y otros países en el mundo. Junto a nuestro socio Seculert, hemos estado investigando meticulosamente esta operación (La campaña Madi. Parte I) y la hemos bautizado con el nombre de “Madi”, en base a ciertos strings y handles que usan los atacantes.

Aunque Madi no era muy sofisticada, logró infectar muchos sistemas en todo el mundo a través de la ingeniería social y las tácticas de rescritura conocidas como Right-to-Left.  La campaña de Madi introdujo otra dimensión más en las operaciones de ciberespionaje en el Medio Oriente, y demostró algo muy importante: que operaciones de bajo coste, en contraste con los programas maliciosos promovidos por gobiernos con elevados presupuestos, pueden tener bastante éxito.

8. Los días-cero de Java

Tras las repercusiones del incidente de Flashback que hemos mencionado, Apple dio un valiente paso y decidió desactivar Java en los millones de Mac OS X de sus usuarios. Vale la pena señalar que aunque existía un parche para la vulnerabilidad que Flashback estaba explotando desde febrero, los Usuarios de Apple se vieron expuestos durante algunos meses debido a la tardanza de Apple para publicar el respectivo parche. La situación era distinta para Mac OS X porque mientras que Oracle proporcionaba los parches a Windows, para Mac OS X era la propia Apple que los emitía.

Por si no fuese suficiente, en agosto de 2012 se detectó una vulnerabilidad día-cero para Java que circulaba masivamente en la red (CVE-2012-4681). Este exploit estaba incorporado en el ampliamente popular paquete de exploits BlackHole y se convirtió muy rápido en el más efectivo del paquete, siendo responsable de millones de infecciones en todo el mundo.

Durante el segundo trimestre de 2012, efectuamos el análisis de software vulnerable instalado en ordenadores, y encontramos que más del 30% tenía instalada una versión vulnerable de Java. Era sin duda alguna el software vulnerable más popular instalado en ordenadores.

9. Shamoon

A mediados de agosto, se descubrió un programa malicioso muy destructivo que se usó en los ataques lanzados contra Saudi Aramco, una de las corporaciones petroleras más grandes del mundo. Según los informes, este programa malicioso destruyó por completo más de 30.000 ordenadores.

Analizamos este programa malicioso (Shamoon el limpiador: Más detalles-Parte II) y encontramos que contenía incorporado un interruptor para activar el proceso destructivo el 15 de agosto, 8:08 UTC. Más tarde, se informó sobre otro ataque de este mismo programa malicioso contra otra compañía petrolera en el Medio Oriente.

Shamoon es importante porque planteó la idea usada en el programa malicioso Wiper que consiste en una carga destructiva cuyo propósito es infectar masivamente las operaciones de una compañía. Tal como sucedió con Wiper, se desconocen muchos detalles, como la forma en que el programa malicioso llegó a infectar los sistemas, y quién estaba detrás del ataque.

10. Módems DSL, prohibición de Huawei y ataques contra hardware

En octubre de 2012, el investigador de Kaspersky Fabio Assolini publicó La historia de los mil y un módems con los detalles de un ataque que había estado ocurriendo en Brasil desde 2011 mediante una vulnerabilidad en firmware, dos scripts maliciosos y 40 servidores DNS maliciosos.  Esta operación afectó a seis fabricantes de hardware y provocó que millones de usuarios brasileños de Internet fueran víctimas de un ataque silencioso y constante contra los módems DSL.

En marzo de 2012, el equipo brasileño CERT confirmó que más de 4,5 millones de módems quedaron infectados debido al ataque y que los ciberdelincuentes los estaban abusando para todo tipo de actividades fraudulentas.

En la conferencia T2 en Finlandia, el investigador de seguridad Felix ‘FX’ Lindner de Recurity Labs GmbH discutió las medidas de seguridad y las vulnerabilidades descubiertas en la familia Huawei de routers. Esto ocurrió tras la decisión del gobierno norteamericano de investigar a Huawei por riesgos de espionaje.

El caso de Huawei y el de los routers DSL en Brasil no son incidentes aislados, porque señalan que los routers, como hardware, representan el mismo riesgo de seguridad, o mayor, que el software viejo y olvidado que nunca se actualiza, y que la defensa se ha vuelto más compleja y difícil que nunca antes, y en algunos casos, incluso imposible.

Conclusiones: Desde lo explosivo hasta lo revelador

A medida que nos acercamos a 2013, nos preguntamos acerca de lo que viene. Como hemos podido ver en estas 10 historias, acertamos con muchas de nuestras predicciones.

A pesar del arresto de LulzSec’s Xavier Monsegur y de muchos e importantes hackers de ‘Anonymus’, los hacktivistas continuaron con sus actividades.  Las campañas de ciberguerra /ciberespionaje alcanzaron nuevas dimensiones con el descubrimiento de Flame y Gauss. Las operaciones APT siguieron dominando los titulares de prensa, con ataques día-cero y otros astutos métodos empleados para atacar a víctimas de alto perfil. Los usuarios de Mac OS X sufrieron el duro golpe de Flashback, la mayor epidemia para Mac OS X conocida hasta ahora, mientras que las grandes compañías se enfrentaron a programas maliciosos destructivos que inutilizaron decenas de miles de PCs.

Los poderosos actores de 2011 siguieron siendo los mismos: grupos de hacktivistas, compañías de seguridad informática, gobiernos en luchas de ciberespionaje, grandes desarrolladores de software y juegos como Adobe, Microsoft, Oracle y Sony, autoridades policiales y jurídicas y ciberdelincuentes tradicionales, Google, a través de su plataforma Android, y Apple, gracias a su plataforma Mac OS X.

Habíamos calificado a 2011 como ‘explosivo’ y creemos que los incidentes de 2012 nos dejaron pasmados. Hemos comprendido las nuevas dimensiones de las amenazas que ya existen a la vez que se están incubando los nuevos ataques.

Pronóstico sobre la ciberseguridad en 2013

El fin del año suele ser un tiempo de reflexión para hacer un balance de nuestras vidas y mirar hacia el futuro.  Por ello te ofrecemos nuestro pronóstico para el año que viene, considerando algunos temas que creemos dominarán el escenario de la ciberseguridad en 2013. Por supuesto, el futuro está enraizado en el presente, por lo que nuestra retrospectiva de ciberseguridad, que subraya las principales tendencias en 2012, sería un buen punto de partida.

1. Ataques dirigidos y ciberespionaje

Si bien el escenario de las ciberamenazas está dominado por ataques especulativos y aleatorios, diseñados para robar la información personal de sus desafortunadas víctimas, los ataques dirigidos se han convertido en una característica constante durante los dos últimos años.  Estos ataques están diseñados específicamente para penetrar en una determinada organización y recopilar información crítica que tenga valor monetario en el ‘mercado negro”.   Los ataques dirigidos suelen ser muy sofisticados.  Pero muchos ataques comienzan ‘hackeando al humano’, es decir, utilizando ardides que lo induzcan a revelar información que pueda ser útil para acceder a recursos corporativos.  El enorme volumen de información que se comparte de forma virtual y el creciente uso de las redes sociales en el ámbito empresarial han contribuido a la consolidación de estos ataques, y el personal en contacto con el público (como el de ventas o marketing) puede ser particularmente vulnerable.  Prevemos que el crecimiento del ciberespionaje continuará en 2013 y más allá.  Resulta fácil leer los titulares en la prensa virtual y creer que los ataques dirigidos son un problema sólo para las grandes corporaciones, en especial aquellas que tienen sistemas de ‘infraestructura crítica’ en un país.  Sin embargo, cualquier organización puede convertirse en víctima.  Todas las organizaciones poseen información valiosa para los ciberdelincuentes, que pueden usar esas organizaciones como ‘puente’ para llegar a otras compañías.

2. La progresiva marcha del ‘hacktivismo’

El robo de dinero, ya sea accediendo directamente a cuentas bancarias o robando información confidencial, no es el único motivo de los ataques.  A veces, el objetivo de un ataque puede ser plantear una cuestión política o social.  En este año se evidenció un flujo constante de este tipo de ataques, entre los cuales estuvieron los ataques DDoS de Anonymous contra sitios gubernamentales en Polonia en represalia por el anuncio del gobierno de ese país de apoyar el acuerdo comercial antifraude ACTA, el hackeo del sitio oficial de la F1 en protesta contra el tratamiento a los manifestante antigubernamentales en Bahréin, el hackeo de varias compañías petroleras en protesta contra las perforaciones en el Ártico, el ataque contra Saudi Aramco, y el ataque contra el sitio francés Euromillions en protesta contra los juegos de azar.  La creciente dependencia de Internet de la sociedad, convierte a toda clase de organizaciones en potencialmente vulnerables a este tipo de ataques, por lo que el ‘hacktivismo’ parece que va a continuar en 2013 y después.

3. Ciberataques apadrinados por gobiernos

Stuxnet fue el pionero en el uso de programas maliciosos altamente sofisticados en ataques dirigidos contra importantes instalaciones industriales.  Aunque estos ataques no son algo común, ahora queda claro que lo de Stuxnet no fue un incidente aislado.  Estamos en el umbral de una era de ‘ciberguerra fría’, en la que las naciones poseen la habilidad de librar batallas sin las limitaciones de la guerra convencional en el mundo real.  Es posible que más países desarrollen sus ciberarmas, diseñadas para robar información o sabotear sistemas, sobre todo porque el acceso a su diseño es mucho más factible que al de las armas convencionales.  También es posible que veamos ataques similares que no respondan a gobiernos, con el enorme riesgo de ‘daños colaterales’ que vayan más allá de las supuestas víctimas del ataque.  Entre los blancos de estos ciberataques podrían estar plantas generadoras de electricidad y de control de transporte, sistemas financieros y de telecomunicaciones, y otras infraestructuras críticas.

4. El uso de herramientas de vigilancia legales

En los últimos años, el ciberdelito ha alcanzado niveles de desarrollo cada vez más sofisticados, lo que no sólo ha creado nuevos desafíos para los investigadores antivirus, sino también para las autoridades policiales y judiciales en todo el mundo.  Sus esfuerzos para mantenerse al ritmo de las avanzadas tecnologías en manos de los ciberdelincuentes los están llevando por caminos que tienen claras implicaciones legales.  Es el caso, por ejemplo, de qué se hará con los ordenadores infectados después de que las autoridades desbaratan una red zombi, como sucedió con la operación Ghost Click del FBI que tratamos en este artículo.

Pero también incluye el uso de la tecnología para monitorear las actividades de los sospechosos de actividades delictivas.  Este no es un tema reciente; recordemos la controversia surgida sobre “Magic Lantern” y el ‘Bundestrojan‘.  Hace poco hubo un debate sobre los informes de que una compañía británica ofrecía el software de monitoreo ‘Finfisher’ al anterior gobierno egipcio y de que el gobierno indio solicitó a algunas compañías, como Apple, Nokia y YIM, el acceso secreto a dispositivos móviles.  Obviamente, el uso de herramientas de vigilancia legales tiene mayores consecuencias para la privacidad y las libertades civiles.  Y en la medida en que las autoridades policiales y judiciales, y los gobiernos, traten de estar un paso por delante de los ciberdelincuentes, es posible que continúe el uso de estas herramientas, y el consiguiente debate.

5. Nublado con posibles programas maliciosos

Queda claro que el uso de los servicios en la nube crecerá en los próximos años.  Existen dos factores claves que inciden en el desarrollo de estos servicios.  El primero es el coste.  Las economías de escala que pueden lograrse almacenando datos o alojando aplicaciones en la nube pueden resultar en significativos ahorros para cualquier compañía.  El segundo es la flexibilidad.  Se puede acceder a la información en cualquier momento, desde cualquier parte y desde cualquier dispositivo, como laptops, tabletas y smartphones.  Pero, a medida que se incremente el uso de la nube, también aumentarán las amenazas lanzadas contra la seguridad en la nube.  Primero, los centros de datos de los proveedores de servicios en la nube son un blanco atractivo para los ciberdelincuentes.  ‘La nube’ puede sonar como un concepto suave y cómodo, pero no olvidemos que estamos hablando sobre información guardada en servidores reales en el mundo físico, y visto desde la perspectiva de los ciberdelincuentes, ofrecen una potencial posibilidad de vulneración.  Los ciberdelincuentes podrían robar la gran cantidad de información personal acumulada en un solo lugar, de un solo golpe, si el ataque lanzado contra el proveedor tiene éxito.  Segundo, es posible que los ciberdelincuentes recurran con más frecuencia a los servicios en nube para alojar y propagar sus programas maliciosos, por lo general mediante cuentas robadas.  Tercero, recordemos que a la información guardada en la nube se accede desde un dispositivo en el mundo material.  Entonces, si un ciberdelincuente es capaz de infectar este dispositivo, podrá acceder a la información, donde sea que se ésta se encuentre.  El amplio uso de dispositivos móviles, con sus grandes ventajas para el entorno empresarial, aumenta el riesgo de que se acceda a la información en la nube desde dispositivos no tan seguros como los tradicionales ordenadores de escritorio.

Y el riesgo aumenta aun más cuando se usa el mismo dispositivo para propósitos personales y empresariales.

6. ¿Y dónde quedó mi privacidad?

La erosión, o pérdida, de la privacidad se ha convertido en un tema de apasionado debate en el ámbito de la ciberseguridad.  Internet impregna nuestras vidas y mucha gente realiza sus transacciones bancarias, sus compras y sus contactos sociales de forma virtual.  Cada vez que abrimos una cuenta online, tenemos que revelar nuestros datos personales, y las compañías en todo el mundo recopilan activamente información sobre sus clientes.  Las amenazas a la privacidad tienen dos formas.  Primero, la información personal queda en peligro cuando nuestros proveedores de bienes y servicios están infectados.  No hay semana que pase sin que sepamos de alguna compañía que ha caído víctima de ciberdelincuentes comprometiendo la información personal de sus clientes.  Por supuesto, el progresivo desarrollo de los servicios en nube sólo aumentará este problema.  Segundo, las compañías agregan y usan la información sobre sus clientes con fines publicitarios y promocionales, a veces sin informarnos al respecto, y no siempre queda claro cómo quitar nuestros datos de estos procesos.  El valor de la información personal, para los ciberdelincuentes y para las empresas legítimas, no cesará de aumentar en el futuro, y con ello aumentarán también las amenazas contra nuestra privacidad.

7. ¿En quién podemos confiar?

Si alguien llama a la puerta y nos pide que le dejemos entrar, muy probablemente se lo negaríamos si no nos muestra antes una identificación válida.  Pero, ¿y si lo hacen?  ¿Qué pasa si tienen una identificación auténtica, de una organización legítima?  Esto socavaría el proceso de confianza al que nos aferramos para mantenernos a salvo de los estafadores en el mundo real.  Lo mismo ocurre en el mundo virtual.  Todos estamos predispuestos a confiar en sitios web que posean un certificado de seguridad otorgado por una genuina autoridad de certificación (Certificate Authority, o CA por sus siglas en inglés), o en una aplicación con una firma digital válida.  Por desgracia, no sólo los ciberdelincuentes han logrado otorgar certificados falsos a sus programas maliciosos, usando los así llamados certificados autofirmados, sino que también se las ingeniaron para vulnerar los sistemas de diferentes autoridades de certificación, robar certificados y firmar su código en ellos. Se prevé que el uso de certificados falsificados y robados continúe en el futuro.  El problema puede verse agravado a medida que avanza su desarrollo.  En los últimos años, los fabricantes de soluciones de seguridad han añadido a su arsenal listas seguras, o listas de admitidos, que comprueban no solo si el código es malicioso, sino también que sea ‘bueno’.  Pero si las aplicaciones fraudulentas logran infiltrarse en una lista segura, podrían burlar el radar de las soluciones de seguridad y pasar desapercibidas.  Esto puede suceder de varias formas.  Los programas maliciosos pueden firmarse con un certificado robado:  si la lista segura de una aplicación confía automáticamente en el software firmado por una determinada organización, entonces también confiará en los programas infectados.  O los ciberdelincuentes (o un infiltrado en la compañía) pueden acceder al directorio o base de datos que contenga la lista segura y añadir sus programas maliciosos.  Un infiltrado confiable, ya sea en el mundo real o en el digital, siempre está en el lugar adecuado para socavar la seguridad.

8. Ciberextorsión

Este año hemos sido testigos del aumento en la cantidad de troyanos ransomware diseñados para codificar los datos del usuario en el disco o bloquearle el acceso al sistema, y exigir dinero a sus víctimas a cambio de desbloquearles su información o sistema.  Hasta hace poco, este tipo de ciberdelito se concentraba sobre todo en Rusia y en otros países de la ex URSS.  Pero ahora es todo un fenómeno mundial, a veces con métodos que apenas difieren entre sí.  Por ejemplo, en Rusia, los troyanos que bloquean al usuario el acceso a su sistema, le anuncian que detectaron software sin licencia instalado en su equipo, exigiéndole un pago para desinfectarlo.  En Europa, donde el software pirata no es muy común, esta estrategia no funciona.  En vez de ella se usan mensajes pop supuestamente pertenecientes a las autoridades policiales o judiciales que afirman haber encontrado en el ordenador del usuario pornografía infantil u otros contenidos ilegales, y  también le exigen el pago de una multa.  Estos ataques son fáciles de elaborar y, como sucede con los ataques phishing, parece que nunca faltan víctimas potenciales.  En consecuencia, es posible que en el futuro sigan creciendo.

9. Programas maliciosos para Mac OS

A pesar de ciertas percepciones muy arraigadas, los Macs no son inmunes a los programas maliciosos.  Por supuesto, cuando se compara con el torrente de programas maliciosos diseñados para Windows, el volumen de aquellos diseñados para Mac parece pequeño.  Sin embargo, la cantidad de estos ha estado creciendo constantemente durante los dos últimos años, y sería ingenuo que un usuario de Mac creyera que no es posible que sea víctima de la ciberdelincuencia.  No sólo los ataques generalizados, como los 700.000 de la red zombi Flashfake, representan una amenaza, sino que también hemos visto ataques dirigidos contra determinados grupos o individuos usuarios de Mac.  La amenaza contra Mac es real y es previsible que siga creciendo.

10. Programas maliciosos para dispositivos móviles

Los programas maliciosos para dispositivos móviles han tenido un auge impresionante en los últimos 18 años.  La mayor parte, más del 90%, se la llevan aquellos diseñados para los dispositivos con plataforma Android.  Este sistema operativo es irresistible para los ciberdelincuentes por su amplio uso, la facilidad de desarrollo, y porque los usuarios del sistema pueden descargar programas (incluso los maliciosos) desde donde deseen.  Por esta razón, es muy improbable que disminuya el desarrollo de aplicaciones maliciosas para Android.  Hasta el momento, la mayoría de los programas maliciosos está diseñada para acceder al dispositivo.  En el futuro, es posible que veamos el uso de vulnerabilidades dirigidas contra el sistema operativo, y por lo tanto, el desarrollo de ‘descargas al paso’.  También es muy probable que aparezca el primer gusano masivo para Android, capaz de autopropagarse mediante mensajes de texto y de enviar enlaces a él mismo desde alguna tienda virtual de aplicaciones.  Asimismo, es posible que veamos más redes zombi conformadas por dispositivos móviles, como la creada con el backdoor RootSmart en el primer trimestre de 2012. En cambio, iOS es un sistema de archivos cerrado, restringido, que sólo permite descargas y uso de aplicaciones desde una sola fuente, como App Store.  Esto significa un menor riesgo de seguridad: para propagar el código, los posibles autores de programas maliciosos tendrían que encontrar la forma de infiltrar un código en la tienda App Store.  La aparición, a principios de este año, de la aplicación ‘Find and Call’ ha demostrado que es posible que aplicaciones indeseables se filtren en la red.  Pero al menos por el momento, Android seguirá siendo el blanco principal de los ciberdelincuentes.  La importancia de la aplicación ‘Find and Call’ radica en el tema de la privacidad, la fuga de información y el potencial daño a la reputación de una persona: esta aplicación está diseñada para subir el directorio telefónico de un usuario a un servidor remoto para usarlo en el envío de SMS spam.

11.  Vulnerabilidades y exploits

Uno de los principales métodos que usan los ciberdelincuentes para instalar sus programas maliciosos en el ordenador de la víctima consiste en explotar vulnerabilidades en las aplicaciones que no se han reparado.  Este método se basa en la existencia de vulnerabilidades y en la dejadez de los usuarios, individuales o corporativos, para parchar sus aplicaciones.  Las vulnerabilidades en Java representan más del 50% de los ataques, mientras que las de Adobe Reader, un 25%.  Esto no debe sorprendernos ya que los ciberdelincuentes suelen concentrar su atención en aplicaciones populares y que permanezcan sin parches por largo tiempo, lo que les da una ventana de oportunidad suficientemente amplia para alcanzar sus objetivos.  Java no sólo está instalada en millones de ordenadores (1,1 mil millones, según Oracle), sino que sus actualizaciones no se instalan automáticamente, sino mediante petición del usuario.  Por esta razón, los ciberdelincuentes seguirán explotando Java el próximo año.  Es probable que los ciberdelincuentes sigan usando Adobe Reader, pero quizás con menos intensidad ya que las últimas versiones traen incorporado un mecanismo de actualizaciones automáticas.

Kaspersky Security Bulletin 2012. Desarrollo de las amenazas informáticas en 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada