Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin 2013. Pronósticos

Amenazas para dispositivos móviles

Habiendo surgido muchos años atrás con el troyano Gpcode, los programas maliciosos extorsionadores han evolucionado en dos tipos principales: los troyanos que bloquean el funcionamiento del ordenador y exigen dinero para desbloquearlo y los troyanos que cifran los datos en el ordenador y exigen sumas mucho mayores por descifrarlos.

En 2014 la delincuencia informática dará un paso lógico en el desarrollo de estos tipos de programas troyanos y dirigirá su atención a los dispositivos móviles. En primer lugar, por supuesto, a los dispositivos con privilegios de administrador basados en el sistema operativo Android. El cifrado de los datos del usuario en el Smartphone: fotografías, contactos, correspondencia, se puede hacer de una forma bastante sencilla si se tienen privilegios de administrador, y propagar estos programas, incluso en el servicio legal Google Play, no exige gran esfuerzo.

En 2014 la tendencia de la complicación de los programas maliciosos móviles que hemos observado en 2013, sin lugar a dudas, continuará. Como antes, los delincuentes tratarán, con la ayuda de troyanos móviles, de robar el dinero de los usuarios. Continuará el desarrollo de los medios que permiten obtener acceso a las cuentas bancarias de los dueños de dispositivos móviles (phishing móvil, troyanos bancarios). Empezará el comercio de botnets móviles y las usarán activamente para propagar programas maliciosos de terceros. Las vulnerabilidades en el sistema operativo Android se seguirán usando para infectar dispositivos móviles y no excluimos la posibilidad de que también se usen para lanzar ataques drive-by contra los smartphones.

Ataques contra Bitcoin

Los ataques contra los pools, las bolsas y los usuarios de Bitcoin serán uno de los temas más álgidos del año.

Los ataques contra las bolsas gozarán de la mayor popularidad entre los delincuentes informáticos, ya que durante estos ataques la correlación entre gastos y ganancias es máxima.

En lo que atañe a los usuarios de Bitcoin, en 2014 crecerá significativamente la peligrosidad de los ataques que tienen como objetivo el robo de cuentas. Recordemos que en el pasado los delincuentes infectaban los ordenadores de los usuarios para obtener monedas con el mining. Pero ahora la efectividad de este método se ha reducido miles de veces, mientras que el robo de bitcoins promete a los atacantes ganancias enormes y anonimato absoluto.

Problemas de protección de la vida privada

La gente quiere que los servicios secretos de diferentes países del mundo no tengan acceso a información sobre su vida privada. Es imposible garantizar la protección de los datos de los usuarios sin los servicios de Internet que estos usan (redes sociales, servicios de correo electrónico, almacenes "en la nube") no toman las medidas correspondientes. Pero los métodos de defensa actuales no son suficientes. Varios de estos servicios ya han anunciado la implementación de medidas adicionales de protección de los datos de los usuarios, por ejemplo, el cifrado de datos transmitidos entre los servidores de su propiedad. La implementación de métodos de protección continuará, ya que estos métodos tendrán acogida entre los usuarios y su presencia puede ser un factor sustancial al momento de elegir uno u otro servicio de Internet.

También hay problemas del lado del usuario final. Este tiene que proteger la seguridad que guarda en su ordenador y dispositivos móviles, y también asegurar por su propia cuenta la confidencialidad de sus acciones en Internet. Esto provocará el crecimiento de la popularidad de los servicios VPN y los anonimizadores Tor, y la demanda de medios de cifrado local.

Ataques contra los sistemas de almacenamiento “en la nube”

Vienen tiempos duros para los servicios “en la nube”. Por una parte, la confianza en los servicios de almacenamiento de información “en la nube” se ha tambaleado debido a los desenmascaramientos de Snowden y la revelación de casos en los que los servicios secretos de varios países del mundo recopilaban datos. Por otra parte, los datos allí almacenados, su volumen y, lo más importante, su contenido se hacen cada vez más atractivos para los hackers. Nosotros afirmamos hace tres años que con el tiempo sería mucho más fácil para un hacker irrumpir en la nube de un proveedor y robar allí los datos de alguna compañía, que hackear la compañía en sí. Parece que este tiempo ha llegado. Los hackers se concentrarán en atacar el eslabón más débil: los empleados de los servicios “en la nube”. El ataque contra ellos puede dar las llaves para obtener acceso a volúmenes gigantescos de datos. Además del robo de información, a los atacantes les puede interesar la posibilidad de eliminarla o modificarla, lo que en muchos casos puede ser más conveniente para sus clientes.

Ataques contra los desarrolladores de software

Tiene cierta similitud con el problema que acabamos de describir la probabilidad de que crezcan los ataques contra los desarrolladores de software. En 2013 desenmascaramos una serie de ataques realizados por el grupo de cibercriminales Winnti. Las víctimas de estos ataques fueron compañías productoras de juegos a las que les robaron el código fuente de la parte de servidor de juegos online. La compañía Adobe se convirtió en víctima de otro ataque, en el que le robaron los códigos fuente de Adobe Acrobat y ColdFusion. De entre los ejemplos más tempranos de incidentes similares, se destaca el ataque contra RSA en 2011, cuando los atacantes se hicieron con los códigos fuente de SecureID y los usaron en un posterior ataque contra Lockheed Martin.

El robo de códigos fuente de productos populares le da a los atacantes una maravillosa posibilidad de buscar vulnerabilidades para usarlas más adelante. Además, si tienen acceso a los repositorios de la víctima, los atacantes pueden modificar el código fuente de los programas y agregarles backdoors.

Y de nuevo, en la zona de gran riesgo se encuentran los desarrolladores de aplicaciones móviles, que se cuentan por miles y también las miles de aplicaciones que escriben y difunden entre millones de dispositivos.

Mercenarios cibernéticos

Los revelaciones realizads por Snowden mostraron que los estados hacen espionaje y entre sus objetivos está prestar ayuda económica a "sus" compañías. Este hecho ha eliminado cierta barrera moral que antes limitaba a los comerciantes a usar medios tan radicales de competencia. Teniendo en cuenta las nuevas realidades, las empresas se enfrentan a la tarea de hacer este tipo de actividades.

Las compañías se ven obligadas a hacer espionaje informático económico para no perder su capacidad competitiva, porque también las otras compañías se dedican al espionaje para recibir ventajas competitivas. No excluimos la posibilidad de que en algunos países las compañías realicen espionaje contra las estructuras gubernamentales,  y además de contra sus empleados, socios y proveedores.

Los negocios pueden realizar estas acciones sólo con la ayuda de cibermercenarios, grupos organizados de hackers cualificados que pueden prestar a las compañías servicios de espionaje informático. Los más probable es que estos hacker se pongan el nombre de “detectives informáticos”.

Un ejemplo del uso de hackers contratados para realizar  espionaje comercial fue el ataque Icefog, que detectamos en verano de 2013.

La fragmentación de Internet

Han pasado cosas sorprendentes con Internet. Muchos expertos, en particular Eugene Kaspersky, habían hablado sobre la necesidad de crear una especie de “Internet seguro” paralelo, que no permitiera la posibilidad de realizar acciones delictivas anónimas en él. Y los delincuentes informáticos crearon su propia red aparte, Darknet, basada en las tecnologías Tor y I2P, que les permiten, sin perder el anonimato, realizar actividades delictivas, comerciar y comunicarse.

Al mismo tiempo, empezó el proceso de fragmentación de Internet en segmentos nacionales. Hasta hace poco esto caracterizaba sólo a China con su Gran Cortafuegos Nacional. Pero en su aspiración de separar una gran parte de sus recursos y controlarlos por su propia cuenta China no resultó ser la única. Una serie de países, entre ellos Rusia, ha adoptado o se prepara a adoptar leyes que prohíban el uso de servicios extranjeros. Estas tendencias se acentuaron después de las publicaciones de Snowden. Así, en noviembre Alemania declaró que se aprestaba a hacer que todas las comunicaciones entre las organizaciones gubernamentales dentro del país se hagan dentro de un sistema cerrado. Brasil hizo pública su intención de construir un canal magistral de Internet y no usar el canal que pasa por la Florida americana.

La red mundial ha empezado a fragmentarse. Los países no quieren que ni siquiera un bite de información salga de los límites de sus redes. Estas tendencias tomarán cada vez más fuerza y de las limitaciones legislativas será inevitable el paso a las prohibiciones técnicas. Después de esto el siguiente paso probable será el intento de limitar el acceso extranjero a los datos de dentro del país.

Si en el futuro estas tendencias se siguen desarrollando, pronto podríamos quedarnos sin un Internet común y con decenas de redes nacionales. No excluimos la posibilidad de que algunas carecerán hasta de la posibilidad de interactuar entre ellas. Y al mismo tiempo, Darknet será la única red supranacional.

La pirámide de amenazas informáticas

Todos los sucesos y tendencias que esperamos en 2014 es fácil imaginarlos como un gráfico, tomando como base la pirámide de amenazas informáticas que describimos hace un año.

Esta pirámide consta de tres elementos. En la base están las amenazas usadas en los ataques contra los usuarios comunes y corrientes por los delincuentes informáticos tradicionales, movidos sólo por el deseo de obtener ganancias. En el nivel medio están las amenazas usadas en los ataques selectivos del espionaje corporativo, y también los así llamados programas espía usados por los gobiernos para vigilar a sus ciudadanos y compañías. La cima de la pirámide son las amenazas informáticas creadas por los gobiernos para realizar ataques contra otros países.

La mayorías de los escenarios de desarrollo de las amenazas informáticas descritos más arriba pertenecen al estrato medio de la pirámide. Por eso en 2014 pronosticamos que la dinámica más significativa estará en el crecimiento de la cantidad de amenazas relacionadas con el espionaje informático económico y dentro del país.

El crecimiento del número de estos ataques lo garantizará la parte de los delincuentes informáticos que ahora están dedicados a los ataques contra los usuarios, pero que pasarán a las filas de los cibermercenarios o ciberdetectives. Además, es muy posible que los servicios de los cibercriminales empiecen a prestarlos especialistas informáticos que nunca antes se habían dedicado a actividades delictivas. A esto contribuirá la aureola de legitimidad que adquirirá el trabajo de los ciberdetectives al recibir pedidos de compañías sólidas. 

Kaspersky Security Bulletin 2013. Pronósticos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada