Kaspersky Security Bulletin 2013. Boletín de seguridad Desarrollo de las amenazas informáticas

Una vez más nos toca hacer nuestra habitual retrospectiva de los principales sucesos que han definido el paisaje de amenazas en este año.   Comencemos con una mirada a las cosas que a principios de año pensábamos que lo definirían, en base a las tendencias que observamos el año pasado.

• Ataques dirigidos y ciberespionaje.
• El avance del ‘hacktivismo’.
• Ciberataques patrocinados por gobiernos.
• Uso legal de herramientas de vigilancia.
• Nublado con posibilidades de programas maliciosos.
• Vulnerabilidades y exploits.
• Ciberextorsión.
• ¿En quién confiar?
• Programas maliciosos para Mac OS.
• Programas maliciosos para dispositivos móviles.
• Oye, ¿¡qué pasó con mi privacidad!?

Ahora nos concentraremos en los sucesos principales en este año, y podremos constatar la certeza de nuestras predicciones.

Los casos más relevantes en 2013

Esta es nuestra lista resumida de los casos de seguridad más relevantes en 2013.

1. Nuevas “viejas” campañas de ciberespionaje”

En cualquier retrospectiva de los casos más relevantes del año, lo normal es encontrarse con incidentes que ocurrieron… en este año.  Pero no sucede así en el caso de los ataques dirigidos.  A menudo, las raíces de un ataque se adentran en el pasado a partir del punto en que se lo detectó, analizó y reportó.  Un ejemplo de ello es Stuxnet, que cuanto más lo analizamos más atrás en el tiempo queda su fecha de origen.  Y lo mismo sucede con las principales campañas de ciberespionaje que hemos visto en este año.

Red October  es una campaña de ciberespionaje que se ha cobrado miles de víctimas en todo el mundo, entre entidades gubernamentales y diplomáticas, instituciones de investigación, centros de energía convencional y atómica, y organizaciones aeroespaciales.  Este programa malicioso es muy sofisticado e incluye, entre otras cosas, un ‘modo de restauración’ que le permite reinfectar los equipos penetrados.  Su código es altamente modular, lo que permite a los atacantes alterar con toda facilidad el código de cada uno de sus blancos específicos.  Curiosamente, Red October no sólo recopilaba información desde los puntos finales tradicionales, sino también desde dispositivos conectados a las redes de las víctimas, lo que evidencia un claro reconocimiento de parte de los ciberdelincuentes de que los dispositivos móviles son un componente esencial del ambiente empresarial y que portan valiosa información.  En enero publicamos los resultados de nuestro análisis, pero queda claro que la campaña data de 2008.

Mapa de las víctimas de Red October

En febrero publicamos nuestro análisis de MiniDuke, que está diseñado para robar datos de agencias gubernamentales e institutos de investigación.  Nuestro análisis reveló que entre sus víctimas se encontraban 59 organizaciones prominentes en 23 países, como Ucrania, Bélgica, Portugal, Rumania, República Checa, Irlanda, Hungría y EE.UU., y otros.  Como muchos ataques dirigidos, MiniDuke combinaba tácticas de la ‘vieja escuela’ de ingeniería social con técnicas sofisticadas.  Por ejemplo, MiniDuke incluía el primer exploit capaz de burlar la caja de arena de Adobe Acrobat Reader.  Además, los puntos finales comprometidos recibían instrucciones desde el servidor de comando y control a través de cuentas predefinidas de Twitter (y utilizaba la búsqueda de Google como método de respaldo).

En marzo descubrimos una ola de ataques  contra reconocidos políticos y activistas de derechos humanos en los países de la Comunidad de Estados Independientes y de Europa oriental.  Los atacantes usaban la herramienta de administración remota TeamViewer para controlar los equipos de sus víctimas, por lo que la operación se conoció con el nombre de ‘TeamSpy’.  El objetivo de estos ataques era extraer datos desde los equipos comprometidos.  Aunque no tenía el mismo grado de sofisticación como Red October, NetTraveler u otras, esta campaña logró tener éxito, lo que indica que no todos los ataques dirigidos exitosos dependen de su sofisticación.

NetTraveler (también conocido como “NetFile”), que anunciamos en junio, es otra amenaza que, en el momento de su descubrimiento, había estado activa desde 2004.

Esta campaña estaba diseñada para robar datos relacionados con la exploración espacial, nanotecnología, generación de energía, energía nuclear, láseres, medicina y telecomunicaciones. NetTraveler logró penetrar más de 350 organizaciones en 40 países, entre los cuales figuran Mongolia, Rusia, India, Kazajistán, Kirguistán, China, Tayikistán, Corea del Sur, España y Alemania.  Entre los blancos se encontraban organizaciones gubernamentales, embajadas, compañías petroleras, centros de investigación, contratistas militares, y activistas.

Si tu organización nunca ha sufrido un ataque, es fácil decir ‘a mí nunca me pasará’, o imaginarse que la mayoría de las cosas que se oyen sobre programas maliciosos son sólo exageraciones.  Es fácil leer los titulares de prensa y concluir que los blancos atacados son un problema sólo de las grandes organizaciones.  Pero no todos los blancos de estos ataques son de alto perfil o pertenecen a proyectos de ‘infraestructura crítica’.  En realidad, cualquier organización puede ser un blanco.  Toda organización posee información que tiene algún valor para los ciberdelincuentes, o que se puede usar como ‘trampolín’ para llegar a otras compañías.  Este punto quedó ampliamente ilustrado con los ataques Winnti y Icefog.

En abril publicamos un informe sobre la pandilla conocida como ‘Winnti’.  Este grupo, activo desde 2009, se dedica al robo de certificados digitales firmados por fabricantes legítimos de software, y de propiedad intelectual, incluyendo los códigos fuente para proyectos de juegos online.  El troyano que utiliza el grupo es una biblioteca DLL compilada para ambientes Windows 64-bit, utiliza un controlador debidamente firmado, y opera como una herramienta de administración remota completamente funcional, lo que les proporciona a los atacantes el control total del equipo capturado.  En total, detectamos más de 30 compañías de la industria de los juegos online víctima de este grupo de ciberdelincuentes, localizadas especialmente en el sudeste de Asia, además de Alemania, EE.UU., Japón, China, Rusia, Brasil, Perú, Bielorrusia y Reino Unido.  Esta pandilla de ciberpiratas sigue activa.

Los ataques de Icefog, que anunciamos en septiembre, y que discutiremos en la siguiente sección de este informe, estaban dirigidos contra la cadena de abastecimiento en busca de datos críticos al interior de las redes atacadas, además de mensajes de correo y credenciales de red paras recursos fuera de las redes comprometidas.

2. Cibermercenarios: una nueva tendencia emergente

A priori, Icefog parece ser un ataque dirigido como cualquier otro.  Se trata de una campaña de ciberespionaje activa desde 2011, que se concentra especialmente en Corea del Sur, Taiwán y Japón, así como en EE.UU., Europa y China.  Igualmente, los atacantes usan mensajes de correo tipo spear-phishing, con adjuntos o enlaces hacia sitios web maliciosos, para distribuir sus programas maliciosos a sus víctimas.  Como sucede con este tipo de ataques, resulta difícil determinar el número de sus víctimas, pero entre ellas hemos visto varias docenas de usuarios de Windows y más de 350 usuarios de Mac OSX, la mayoría de los cuales se encuentra en China.

Sin embargo, hay algunas diferencias importantes con los otros ataques que ya hemos tratado.  Primero, Icefog es parte de una tendencia emergente: pequeños grupos de cibermercenarios que lanzan pequeños ataques relámpago.  Segundo, los atacantes atacan en concreto la cadena de abastecimiento; entre sus potenciales víctimas se encuentran organismos gubernamentales, contratistas militares, grupos marítimos y astilleros, operadores de telecomunicaciones, operadores de satélites, compañías industriales y de alta tecnología, y medios de comunicación.  Tercero, sus campañas se basan en herramientas de espionaje para Windows y Mac OSX diseñadas por encargo, capaces de controlar directamente los equipos penetrados; además de Icefog, hemos notado que usan (troyanos) puerta trasera y otras herramientas maliciosas para movimientos laterales dentro de las organizaciones atacadas y para extraer datos.

El grupo chino conocido como ‘Hidden Lynx’, sobre cuyas actividades informaron los investigadores de Symantec en septiembre, pertenece a la misma categoría de ‘pistoleros a sueldo’ que lanzan ataques por encargo con herramientas de tecnología de punta diseñadas a pedido.  Este grupo fue responsable de, entre otros, un ataque contra Bit9 a principios de este año.

Adelantándonos, prevemos que irán apareciendo otros grupos similares a medida que vaya surgiendo el mercado clandestino de servicios “APT”.

3. Activismo y fugas

El robo de dinero, ya sea mediante el acceso directo a cuentas bancarias o el robo de datos confidenciales, no es el único motivo detrás de las violaciones de la seguridad.  También pueden realizarse como una forma de protesta política o social, o para socavar la reputación de la compañía atacada.  El hecho es que Internet está presente en casi todos los aspectos cotidianos de hoy en día.  Para quienes poseen los conocimientos necesarios, puede resultar más fácil lanzar ataques contra un gobierno o sitio web comercial que organizar una manifestación de protesta en el mundo real.

Una de las armas favoritas de estos cibermanifestantes son los ataques DDoS (Distributed Denial of Service).  Uno de los mayores ataques de este tipo en la historia (algunos dirían “el” mayor) fue contra Spamhaus en marzo. Se estima que, en su pico, el ataque alcanzó un rendimiento de 300gbps. Cyberbunker es la organización sospechosa de estar detrás del ataque. El conflicto entre esta organización y Spamhaus data de 2011, pero alcanzó su climax cuando Cyberbunker entró en la lista de rechazados de Spamhaus pocas semanas antes del incidente.  El dueño de Cyberbunker rechazó la acusación, pero admitió ser portavoz de los verdaderos responsables. No cabe duda de que el ataque fue lanzado por alguien capaz de generar enormes cantidades de tráfico.  Para mitigarlo, Spamhaus tuvo que migrar a CloudFlare, un proveedor de hosting y servicios, reconocido por repeler masivos ataques DDoS.  Aunque algunos de los titulares en la línea de “es el fin del mundo que conocemos” pueden haber exagerado los efectos del ataque, el incidente revela el impacto que un atacante decidido puede ocasionar.

Si bien el ataque contra Spamhaus parece haber sido un hecho aislado, las actividades hacktivistas por parte de algunos grupos activos por algún tiempo se sucedieron durante el año.  Entre estos grupos se encuentra ‘Anonymous’, que en este año se ha atribuido la responsabilidad de los ataques contra el Departamento de Justicia de EE.UU., el MIT (Massachusetts Institute of Technology) y los sitios web de varios gobiernos de países como Polonia, Grecia, Singapur, Indonesia y Australia (los dos últimos incidentes revelaron un intercambio entre grupos de Anonymous en sus respectivos países). El grupo también se atribuye el ataque contra la red de wi-fi del parlamento británico durante las manifestaciones de protesta que se realizaron en Parliament Square en la primera semana de noviembre.

El grupo autodenominado el “Ejército electrónico sirio” (partidarios del presidente sirio, Bashar-al-Assad) también se mantuvo activo durante el año. En abril, reclamaron la responsabilidad por el ataque contra la cuenta Twitter de la agencia de noticias Associated Press, cuando publicaron un falso mensaje sobre explosiones en la Casa Blanca, lo que ocasionó la pérdida de 136 mil millones de dólares en el mercado DOW. En julio, el grupo llegó a comprometer las cuentas de Gmail de tres empleados de la Casa Blanca y la cuenta de Twitter de Thomson Reuters.

Queda claro que nuestra dependencia de la tecnología, junto a la enorme capacidad de procesamiento que poseen los ordenadores modernos, significa que somos potencialmente vulnerables a los ataques de grupos con diversas motivaciones.  Entonces, es improbable que los hacktivistas o los ciberdelincuentes pongan fin a sus actividades y ataques contra todo tipo de organizaciones.

4. Ransomware

Los métodos a los que los ciberdelincuentes recurren para sonsacar dinero a sus víctimas no son siempre sutiles.  Los programas maliciosos extorsionadores, conocidos como ‘Ransomware’, funcionan como un ataque DoS específico para ordenadores, puesto que pueden bloquear el acceso al sistema de archivos del equipo o codificar los archivos de datos guardados en el equipo.  El procedimiento puede variar.  Por ejemplo, en áreas con altos niveles de piratería de programas, los troyanos ransomware pueden advertirle al usuario que han detectado software sin licencia en su equipo y exigirle un pago para que pueda acceder a su propio equipo.  En otros lugares, pueden hacerse pasar por mensajes pop-up de autoridades policiales afirmando haber encontrado pornografía infantil u otros contenidos ilegales en el equipo del usuario, exigiéndole el pago de una multa.  Otras veces, sin subterfugios, simplemente codifican los datos del usuario y le exigen el pago de una suma para rescatar su información.  Este fue el caso del troyano Cryptolocker que analizamos en octubre.

Cryptolocker descarga una llave pública RSA desde su servidor de comando y control (C2).  Se crea una llave única para cada nueva víctima y sólo sus autores pueden acceder a las llaves de descifrado.  Para conectarse con el servidor C2, Cryptolocker utiliza un algoritmo de generación de dominios que produce 1.000 nombres candidatos únicos de dominio cada día.  Los ciberdelincuentes les otorgan a su víctimas apenas tres días para cumplir con el pago, y refuerzan su mensaje con temibles fondos de pantalla advirtiéndoles que si no pagan sus datos se destruirán para siempre.  Los cibersecuestradores aceptan varias formas de pago, incluyendo la moneda virtual Bitcoin.  Los países más afectados son Reino Unido y EE.UU., seguidos a cierta distancia por India, Canadá y Australia.

En este caso, no es difícil eliminar este programa malicioso, o incluso reconstruir el ordenador infectado, pero existe el riesgo de perder la información para siempre.  En algunos casos anteriores logramos descifrar los datos secuestrados.  Pero esto no siempre es posible si la codificación es muy sólida, como sucede con algunas variantes de Gpcode o con Cryptolocker.  Es por esta razón que es crucial que los usuarios particulares y las compañías realicen regularmente copias de resguardo de su información. Si por alguna razón se perdieran los datos, el inconveniente no se convierte en un desastre.

Cryptolocker no fue el único programa malicioso extorsionador que apareció en los titulares en este año.  En junio apareció una aplicación para Android llamada ‘Free Calls Update’, un falso programa antivirus diseñado para asustar a sus víctimas exigiéndoles que paguen una suma de dinero para eliminar un supuesto programa malicioso que en realidad no existe en su dispositivo.  Una vez que se instala, esta aplicación trata de obtener las autorizaciones del administrador para poder encender y apagar el wi-fi y el 3G y evitar que la víctima pueda eliminar la aplicación.  Poco después se elimina el archivo de instalación para evitar que alguna solución antivirus legítima instalada en el dispositivo lo detecte.  La aplicación finge identificar un programa malicioso y urge a la víctima a que compre la licencia de la versión completa para eliminarlo.  Mientras la aplicación busca, muestra una advertencia de que un programa malicioso está intentando robar contenidos pornográficos desde el dispositivo.

5. Programas maliciosos móviles y la (in)seguridad en tiendas de apps

El crecimiento explosivo de los programas maliciosos para dispositivos móviles que comenzó en 2011 ha continuado este año.  Existen ahora más de 148.427 modificaciones en los programas maliciosos móviles de 777 familias.  La gran mayoría de ellos, como sucedió en años anteriores, son para Android, con un 98.05% del total de los programas maliciosos móviles.  Esto no resulta sorprendente.  Esta plataforma cumple todos los requisitos que les interesa a los ciberdelincuentes: es muy popular, es fácil de desarrollar aplicaciones para ella, y sus usuarios pueden descargar programas (incluyendo maliciosos) desde cualquier fuente que elijan.  Este último factor es importante, ya que los ciberdelincuentes pueden explotar el hecho de que los usuarios de Android puedan descargar aplicaciones desde Google Play, desde otras tiendas, o desde otros sitios web.  Asimismo, permite que los ciberdelincuentes creen sus propios sitios fraudulentos camuflados como tiendas legítimas.  Por esta razón, es improbable que veamos una disminución en el desarrollo de aplicaciones maliciosas para Android.

Los programas maliciosos para dispositivos móviles son un reflejo de los programas maliciosos que suelen infectar a ordenadores de escritorio y portátiles: troyanos, (troyanos) puerta trasera y troyanos espía.  La única excepción son los troyanos para SMS, que constituye una categoría exclusiva entre los smartphones.

No es sólo el volumen de las amenazas el que aumenta.  También lo hace su complejidad.  En junio analizamos el troyano móvil más sofisticado hasta ese entonces, conocido como Obad, que goza de notable multifuncionalidad, puesto que puede enviar mensajes a números comerciales, descargar e instalar otros programas maliciosos, usar Bluetooth para autoenviarse a otros dispositivos y responder a comandos remotos en la consola.  Este troyano tiene un alto grado de complejidad.  Su código está extremadamente ofuscado y explota tres vulnerabilidades antes desconocidas, una de las cuales le permite obtener autorizaciones ampliadas de administrador de dispositivo, pero sin llegar a aparecer en la lista de aplicaciones en el dispositivo con estas autorizaciones, lo que imposibilita que la víctima pueda eliminar este programa malicioso y permite que el troyano bloquee la pantalla por no más de 10 segundos, (tiempo suficiente para que se autoenvíe y envíe otros programas maliciosos a otros dispositivos cercanos) un truco diseñado para evitar que la víctima llegue a ver sus actividades.

Obad también recurre a múltiples métodos para propagarse.  Ya hemos mencionado el uso de Bluetooth.  También se propaga mediante una falsa tienda Google Play, mensajes de texto spam y desvíos desde sitios comprometidos.  Encima de todo esto, es otro troyano móvil el que lo descarga: Opfake.

Los ciberdelincuentes que controlan Obad lo hacen mediante hilos predefinidos en mensajes de texto. El troyano puede realizar varias acciones, como envío de mensajes de texto, comprobar la disponibilidad de un determinado recurso, operar como servidor proxy, conectarse a determinadas direcciones, descargar e instalar un archivo específico, enviar una lista de las aplicaciones instaladas en el dispositivo, enviar información sobre una aplicación específica, enviar la lista de contactos de la víctima al servidor y ejecutar comandos especificados por el servidor.

Este troyano extrae datos del dispositivo y los envía al servidor C2, incluyendo la dirección MAC del dispositivo, el nombre operativo, el número IMEI, el balance de la cuenta del usuario, la hora local y comunica si el troyano ha podido o no obtener las autorizaciones de administrador del dispositivo.  Todos estos datos se envían al servidor C2 de Obad.  En un principio, el troyano intenta utilizar la conexión a Internet activa, que de no encontrarla busca una conexión wi-fi cercana que no requiera autenticación.

6. Ataques tipo abrevadero

Es posible que estés familiarizado con los términos ‘descarga al paso’ y ‘spear-phishing’.  El primero se refiere a cuando los ciberdelincuentes buscan un sitio web inseguro y plantan en él un script malicioso en código HTTP o PHP. Este script puede instalar directamente programas maliciosos en el equipo de un usuario que visite el sitio comprometido, o puede utilizar un IFRAME para desviar a la víctima hacia un sitio malicioso controlado por los ciberdelincuentes.  El segundo se trata de una forma dirigida de phishing, que viene a ser la punta de lanza de un ataque dirigido.  Se envía un mensaje de correo a un destinatario específico dentro de la organización a atacar, con la expectativa de que active un enlace o un adjunto que ejecuta el código del atacante y le permite penetrar en el sistema de la compañía.

Al combinar ambas estrategias (descarga al paso y spear-phishing) obtenemos lo que se conoce como un ataque ‘watering-hole’ o abrevadero. Los atacantes estudian el comportamiento de los empleados de la organización en la mira para aprender sobre sus hábitos de navegación en Internet. Después, comprometen un sitio web que suelen frecuentar los empleados, preferiblemente uno que pertenezca a una organización confiable con valiosa información.  Idealmente, utilizan un exploit día-cero. Entonces, cuando un empleado visita una página de este sitio, se infecta: se instala un troyano puerta trasera que permite a los atacantes acceder a la red interna de la compañía.  En efecto, en lugar de perseguir a su víctima, el ciberdelincuente permanece al acecho en un lugar que muy probablemente su víctima visitará; de aquí la analogía con el abrevadero.

Se trata de un método de ataque que ha tenido mucho éxito en este año.  Inmediatamente después de publicar nuestro informe sobre los ataques Winnti, encontramos un exploit para Flash Placer en un sitio web que apoya a los niños refugiados tibetanos, ‘Tibetan Homes Foundation’.  Resulta que este sitio se vio comprometido en la distribución de troyanos puerta trasera firmados con certificados robados del caso Winnti.  Este fue un clásico ejemplo de un ataque tipo abrevadero en el que los ciberdelincuentes buscaron los sitios preferidos de sus víctimas y los comprometieron para después infectar sus equipos.  Nuevamente vimos esta técnica en agosto, cuando el código en el sitio web de Central Tibetan Administration comenzó a desviar a los visitantes de habla china hacia un exploit Java que descargaba un troyano puerta trasera usado como parte de un ataque dirigido.

Después, en septiembre volvimos a ver otros ataques de esta naturaleza contra estos grupos como parte de la campaña NetTraveler.

Es importante resaltar que los ataques tipo abrevadero son sólo uno de los métodos de los que disponen los ciberdelincuentes y no un sustituto de los métodos spear-phihing u otros.  Los ataques mencionados son parte de una serie de ataques lanzados contra sitios tibetanos o uigures en los últimos dos o más años.

Por último, estos incidentes constituyen un testimonio del hecho de que no sólo las corporaciones multinacionales o las organizaciones famosas son víctimas de los ataques dirigidos.

7. Hay que reforzar el eslabón más débil en la cadena de la seguridad

Muchas de las amenazas que circulan hoy en día tienen un alto grado de sofisticación.  Esto es especialmente válido en el caso de los ataques dirigidos, en los que los ciberdelincuentes desarrollan exploits contra vulnerabilidades no parchadas en aplicaciones, o crean módulos a pedido para robar datos de sus víctimas.  Sin embargo, la primera vulnerabilidad que suelen explotar los atacantes es la vulnerabilidad humana, pues mediante técnicas de ingeniería social inducen a los empleados de una organización a que cometan actos que ponen en riesgo la seguridad informática corporativa.  Hay varias razones por las que la gente es vulnerable a estas técnicas engañosas.  A veces, sencillamente no se dan cuenta del peligro.  Otras, muerden el anzuelo de “ganar algo a cambio de nada”.  En otros casos, con el fin de evitarse molestias, cometen errores básicos, como usar la misma contraseña para todo.

Muchos de los ataques dirigidos contra blancos de notoriedad que hemos analizado en este año, comenzaron “hackeando un humano”.  Red October (la serie de ataques contra activistas tibetanos y uigures), MiniDuke, NetTraveler y Icefog recurrieron al spear-phishing como punta de lanza para penetrar en las organizaciones que atacaron.  Construyen su acercamiento a los empleados recurriendo a datos que recopilan de un sitio web de la compañía, de foros públicos y escudriñando una variedad de fragmentos de información que publican en sus redes sociales.  Esto les permite generar mensajes de correo falsos, con toda la apariencia de ser legítimos, para sorprender a sus víctimas con la guardia baja.

Por supuesto, esta es la misma técnica que usan los autores de los masivos ataques al azar que constituyen gran parte de las actividades cibercriminales: los mensajes phishing masivos enviados a un gran número de usuarios.

La ingeniería social también se aplica a nivel físico, aunque esta dimensión de la seguridad suele ser menospreciada, como quedó demostrado este año con los intentos de instalar interruptores KVM en las sucursales de dos bancos británicos.  En ambos casos, los atacantes se hicieron pasar como ingenieros a fin de acceder físicamente al banco e instalar equipos que les permitirían monitorear todas las actividades en la red del banco.  Puedes leer más al respecto aquí y aquí .

Nuestro colega David Jacoby también destacó este problema en septiembre: llevó a cabo un pequeño experimento en Estocolmo para ver cuán fácil puede ser acceder a un sistema corporativo aprovechándose de la buena voluntad del personal en ayudar a un extraño que solicita ayuda.  Puedes leer el informe de David aquí .

Por desgracia, las compañías suelen ignorar la dimensión humana de la seguridad informática.  A pesar de que se reconoce la necesidad de que el personal sea consciente de estos temas, los métodos que se usan suelen ser ineficaces.  Solemos pasar por alto el factor humano en la seguridad informática corporativa, con todos los riesgos que esto implica, con la creencia equivocada de que la tecnología por sí sola puede garantizar nuestra seguridad.  Por ello, es importante que las organizaciones hagan de la concienciación sobre seguridad el núcleo de su estrategia de seguridad corporativa.

8. Violación de la privacidad: Lavabit, Silent Circle, NSA y la pérdida de confianza

Ningún resumen sobre seguridad informática de este año estaría completo si no menciona a Edward Snowden y las profundas consecuencias sobre la privacidad que siguieron a la revelación de los casos Prism, XKeyscore y Tempora, y de otros programas de vigilancia.

Quizás uno de los primeros efectos visibles fue el cierre del servicio de correo codificado Lavabit. Puedes encontrar más información al respecto aquí. Silent Circle, otro servicio de correo codificado, también dejó de prestar este servicio, lo que ha dejado muy pocas opciones para una correspondencia de correo privada y segura. La razón por la que estos dos servicios dejaron de funcionar se debe a su incapacidad de ofrecer sus servicios bajo la presión de la ley conocida como Law Enforcement y de otras agencias gubernamentales.

Otra historia con consecuencias sobre la privacidad es el sabotaje realizado por la NSA a la curva elíptica de algoritmos codificadores hecha pública mediante NIST. Al parecer, la NSA introdujo un tipo de (troyano) “puerta trasera” en el algoritmo Dual Elliptic Curve Deterministic Random Bit Generation (o Dual EC DRBG). El (troyano) “puerta trasera” supuestamente permite que ciertas partes lancen sencillos ataques contra un determinado protocolo de codificación, violando comunicaciones aparentemente seguras. RSA, uno de los principales proveedores de codificación del mundo notó que este algoritmo aparecía por defecto en su paquete de codificación y procedió a recomendar a sus usuarios que lo abandonaran. El algoritmo en cuestión estaba disponible y fue muy usado desde al menos 2004, y NIST lo adoptó en 2006.

Curiosamente, uno de los incidentes más debatidos tiene consecuencias directas para la industria antivirus. En septiembre, Belgacom, un operador de telecomunicaciones belga, anunció que había sido atacado. Durante una investigación rutinaria, los técnicos de Belgacom identificaron un virus desconocido en varios servidores y estaciones de trabajo de la compañía. Después se especuló sobre el virus y el ataque, y todas las pistas conducían a la GCHQ y la NSA. Aunque la industria antivirus no tuvo acceso a algunos de los programas maliciosos, aparecieron otras pistas que indicaban que el ataque se produjo a través de páginas de LinkedIn “envenenadas” mediante técnicas man-in-the-middle, con enlaces que conducían a servidores CNE (explotación de redes informáticas).

Todas estas historias de vigilancia también han planteado interrogantes sobre el nivel de cooperación entre compañías de seguridad y gobiernos. La EFF, junto a otros grupos, publicó una carta el 25 de octubre, en la que les hacían a las compañías de seguridad una serie de preguntas sobre la detección y neutralización de los programas maliciosos patrocinados por gobiernos.

En Kaspersky Lab tenemos una muy sencilla y clara política en relación a la detección de programas maliciosos: Detectamos y remediamos cualquier ataque de programas maliciosos, cualquiera sea su origen o propósito.  Para nosotros no existen programas maliciosos “buenos” o “malos”. Nuestro equipo de investigadores ha participado activamente en el descubrimiento y publicación de varios ataques de programas maliciosos relacionados con gobiernos. En 2012 publicamos una profunda investigación sobre Flame y Gauss, dos de las más grandes operaciones de vigilancia masiva patrocinada por gobiernos que se han conocido hasta el día de hoy. También hemos publicado advertencias sobre los riesgos de las herramientas “legales” de vigilancia, como HackingTeam’s DaVinci y Gamma’s FinFisher. Es imperativo que estas herramientas de vigilancia no caigan en las manos equivocadas, y es por eso que la industria de la seguridad informática no puede hacer excepciones cuando se trata de detectar programas maliciosos. En realidad, es improbable que una organización gubernamental, competente e informada, le pida a una compañía antivirus que se haga la vista gorda ante programas maliciosos patrocinados por su gobierno. Resulta muy fácil que los programas maliciosos “no detectados” caigan en las manos equivocadas y que se los use contra la misma gente que los creó.

9. Vulnerabilidades y exploits día-cero

Los ciberdelincuentes han seguido aprovechándose de las vulnerabilidades en programas legítimos para lanzar sus ataques.  Para ello utilizan exploits, que son fragmentos de código diseñados que se aprovechan de una vulnerabilidad en un programa para instalar programas maliciosos en el equipo de la víctima sin que ésta se dé cuenta de ello.  Este código exploit puede incrustarse en un adjunto de correo especialmente diseñado, o puede apuntar a una vulnerabilidad en el navegador.  El exploit descarga e instala en el equipo capturado los programas maliciosos de los ciberdelincuentes.

Si un atacante explota una vulnerabilidad que sólo él conoce, se llama una vulnerabilidad “día-cero”, y todos los usuarios de la aplicación vulnerable quedarán desprotegidos hasta que su fabricante desarrolle un parche para repararla.  Pero en muchos casos, los ciberdelincuentes aprovechan muy bien las vulnerabilidades conocidas que ya cuentan con un parche.  Esto se ha evidenciado en la mayoría de los ataques dirigidos detectados este año, incluyendo Red October, MiniDuke, TeamSpy y NetTraveler.  Y también se ha constatado en muchos ataques especulativos y aleatorios que componen la mayor parte de las actividades de los ciberdelincuentes.

Los ciberdelincuentes concentran su atención en las aplicaciones más populares y que muy probablemente no se parchan por mucho tiempo, lo que les proporciona una amplia ventana de oportunidades para lograr sus objetivos.  En 2013, las vulnerabilidades de Java representaron el 90,52% de los ataques, mientras que las de Adobe Acrobat Reader significaron el 2,01%.  Esto sigue una tendencia establecida por lo que no resulta sorprendente.  Java se encuentra en una enorme cantidad de ordenadores (3 mil millones, según Oracle), pero sus actualizaciones no se instalan de forma automática.  Adobe Reader sigue siendo la víctima preferida de los ciberdelincuentes, aunque la cantidad de exploits para esta aplicación se ha reducido notablemente en los últimos 12 meses, como resultado de una mayor frecuencia en la rutina de reparaciones de Adobe (la instalación es automática en la última versión).

Para disminuir la ‘superficie de ataque’, las compañías deben asegurarse de contar con las últimas versiones de todos los programas instalados en sus equipos, de aplicar las actualizaciones de seguridad a medida que se publiquen y de eliminar los programas que ya no se utilizan.  Asimismo, pueden disminuir los riesgos llevando a cabo un escaneo de vulnerabilidades para identificar las aplicaciones sin parches, e instalando una solución antivirus capaz de neutralizar los exploits para las vulnerabilidades que aún no tengan su parche.

10. Los vaivenes de las monedas virtuales: cómo Bitcoin se impone en el mundo

En 2009, un individuo llamado Satoshi Nakamoto publicó un documento que revolucionaría el mundo de las monedas virtuales. Se llamaba “Bitcoin: Un sistema de efectivo electrónico “peer-to-peer”, y definía los fundamentos para un sistema de pago financieramente descentralizado, sin gastos de transacción. Se implementó el sistema Bitcoin y la gente comenzó a usarlo. ¿Qué tipo de gente? Al comienzo, se trataba en su mayoría de aficionados y matemáticos. Pero pronto se les unieron, aparte de usuarios comunes, ciberdelincuentes y terroristas.

En enero de este año, el Bitcoin se cotizaba a 13 $. A medida que más servicios adoptaban Bitcoin como forma de pago, su cotización se incrementaba. El 9 de abril de este año, alcanzó un valor de  260 $ (la tasa promedio era de 214 $) antes de su caída al día siguiente como resultado de que las entidades que se enriquecieron con Bitcoin empezaron a cambiarlo por divisas del mundo real.

Tasa de cambio diaria de Bitcoin en Mt. Gox

En noviembre, Bitcoin comenzó a recuperarse, superando la barrera de los 400 $, apuntando a los 450 $ o quizás más.

Entonces, ¿por qué Bitcoin es tan popular? Primero, porque ofrecen un medio de pago prácticamente anónimo y seguro. Por lo que se desprende de las historias de vigilancia en este año, quizás no resulte sorprendente que la gente esté en busca de formas de pago alternativas. Segundo, no quedan dudas de que Bitcoin es muy popular entre los ciberdelincuentes que siempre buscan la forma de evadir la ley.

En mayo publicamos un artículo sobre los ciberdelincuentes brasileños que se hacían pasar por casas de cambio de Bitcoin. También aparecieron redes zombi mineras y programas maliciosos diseñados para robar esta moneda virtual.

El 25 de octubre, una operación conjunta entre el FBI y la DEA logró clausurar el famoso sitio Silk Road, “un sitio web escondido que permitía a sus usuarios comprar y vender drogas ilegales y otros artículos y servicios ilegítimos de forma anónima y lejos del alcance de las autoridades”, según se lee en la nota de prensa emitida por la fiscalía de EE.UU. El sitio operaba con Bitcoins, lo que facilitaba el anonimato de los vendedores y compradores. El FBI y la DEA confiscaron a “Dread Pirate Roberts”, el operador de Silk Road, unos 140.000 Bitcoins (con un valor aproximado de 56 millones de dólares, al tipo de cambio de la fecha). Fundada en 2011, Silk Road operaba a través de la red TOR Onion y obtuvo más de 9,5 millones de Bitcoins en ingresos por ventas.

Aunque no queda claro si los ciberdelincuentes han encontrado un santuario en los Bitcoins, hay muchos otros usuarios que los usan sin intenciones maliciosas. A medida que Bitcoin vaya ganando popularidad, será interesante ver si algún gobierno interviene para evitar su uso ilícito.

Si tú utilizas Bitcoins, quizás el principal problema ahora sea cómo mantenerlos a salvo. En este artículo, publicado por nuestros colegas Stefan Tanase ySergey Lozhkin, encontrarás consejos al respecto.

Conclusiones y mirando al futuro: “el año de la confianza”

En 2011 dijimos que ese fue un año explosivo, predijimos que 2012 sería revelador, y que en 2013 habría que tener los ojos bien abiertos.

De hecho, algunas de los incidentes de 2013 fueron de cuidado y plantearon interrogantes sobre la forma en que hoy en día usamos Internet y el tipo de riesgos a los que nos enfrentamos. En 2013, continuaron las avanzadas campañas de ataques a gran escala, como Red October o NetTraveler. Se han adoptado nuevas técnicas, como los ataques tipo abrevadero (watering-hole) y los ataques tipo día-cero siguen siendo populares entre los más avanzados ciberdelincuentes. También notamos el surgimiento de cibermercenarios especializados en grupos APT “en alquiler” dedicados a operaciones fugaces. Los hacktivistas tuvieron amplia cobertura de prensa, así como el término “fuga”, que sin duda produce pánico entre los administradores de sistemas. Mientras tanto, los ciberdelincuentes se mantuvieron ocupados diseñando nuevos métodos para robar dinero real o virtual (Bitcoins), y los programas extorsionadores (ransomware) tuvieron una presencia estelar. Por último, pero no menos importante, los programas maliciosos para dispositivos móviles siguen siendo un grave problema para el que no existe una solución sencilla.

Por supuesto, todos están a la expectativa de las repercusiones de estos casos tendrán en 2014. En nuestra opinión, en el próximo año se recuperará la confianza.

La privacidad será un tema candente, con todos sus bemoles. La codificación volverá a estar de moda y creemos que aparecerán innumerables servicios que garantizarán la seguridad de los contenidos de sus usuarios. La Nube, la niña maravilla de años anteriores, ha caído en el olvido debido a que la gente ha perdido la confianza y los países comienzan a tomar más en serio la privacidad. En 2104, los mercados financieros sentirán la onda expansiva del Bitcoin que está recibiendo grandes cantidades de dinero desde China y desde el mundo entero. Quizás el Bitcoin llegue a cotizarse en 10.000 $, o quizás colapse y la gente comience a buscar otras alternativas más confiables.