Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin 2015. Principales incidentes de seguridad

  1. Principales incidentes de seguridad
  2. Estadística principal de 2015
  3. La evolución de las amenazas de seguridad informática en el entorno empresarial
  4. Predicción para 2016

Ataques selectivos y campañas de programas maliciosos

Los ataques selectivos ya son una parte establecida del escenario de ciberamenazas, de manera que no sorprende su presencia en nuestra revisión anual. El año pasado, en nuestras predicciones de seguridad, presentamos lo que pensábamos sería la futura evolución de los APTs.

  • La fusión entre la ciberdelincuencia y los APTs
  • La fragmentación de los grupos APT más grandes
  • Evolución de las técnicas de programas maliciosos
  • Nuevos métodos para extracción de datos
  • Carrera armamentista entre APTs

Estas son las principales campañas APT que previmos para este año.

Carbanak, ciberdelincuencia combinada; en este caso, el robo de dinero a instituciones financieras, con técnicas de infiltración típicas de los ataques dirigidos. La campaña fue descubierta en la primavera de 2015; se invitó a Kaspersky Lab a conducir una investigación forense de los sistemas de un banco debido a que algunos de sus cajeros automáticos comenzaron a entregar dinero de forma indiscriminada. Resultó que el banco estaba infectado. Carbanak es una puerta trasera diseñada para realizar tareas de espionaje, extracción de datos y control a distancia de los equipos infectados. Los atacantes usaron métodos propios de los APTs para infectar a sus víctimas, como el envío de mensajes de correo spear-phishing a empleados bancarios. Una vez que capturaban un ordenador del banco, los atacantes efectuaban tareas de reconocimiento para identificar sistemas relacionados con el procesamiento, contabilidad y cajeros automáticos, y simplemente replicaban las actividades de los empleados legítimos. Carbanak recurrió a tres métodos para robar dinero: (1) dinero entregado por cajeros automáticos, (2) transferencias de dinero a las cuentas de ciberdelincuentes mediante la red SWIFT y (3) creación de cuentas falsas y uso de servicios de mulas para recoger el dinero. Los atacantes atacaron unas 100 instituciones financieras, cuyas pérdidas totales se elevan a los mil millones de dólares.

security_stories_sp_1

Uno de los eventos más comentados en el primer trimestre de 2015 fue el caso del grupo de ciberespionaje conocido como Equation. Los atacantes de este grupo lograron infectar los equipos de miles de víctimas en Irán, Rusia, Siria, Afganistán, EE.UU. y otros países; entre las víctimas se contaban organizaciones gubernamentales y diplomáticas, compañías de telecomunicaciones y de energía. Esta es una de las campañas APT más sofisticadas que hemos visto: uno de los numerosos módulos desarrollados por este grupo modifica el firmware de los discos duros, lo que les otorga un nivel de invisibilidad y persistencia que superan en mucho al de otros ataques dirigidos. Está claro que el desarrollo del código se remonta a 2001 o incluso antes. También está relacionado con otros ataques notables, como Stuxnet y Flame, cuyo arsenal incluía dos vulnerabilidades día-cero que posteriormente se usaron en Stuxnet.

Mientras investigábamos un incidente en el Medio Oriente, descubrimos las actividades de un grupo previamente desconocido que lanzaba ataques dirigidos. Halcones del desierto es el primer grupo árabe que llevaba a cabo operaciones de ciberespionaje en gran escala, aparentemente relacionadas con la situación política en la región. Las primeras señales de esta campaña se remontan a 2011. Las primeras infecciones se efectuaron en 2013, aunque el pico de sus actividades se dio entre fines de 2014 y principios de 2015. El grupo robó más de un millón de archivos de más de 3.000 víctimas. Entre los afectados se encontraban activistas y líderes políticos, organizaciones gubernamentales y militares, localizadas principalmente en Palestina, Egipto, Israel y Jordania. Está claro que los miembros del grupo Halcones del Desierto no eran principiantes, pues desarrollaron, de cero, programas maliciosos para las plataformas Windows y Android, y organizaron impecablemente ataques con mensajes de correo phishing, sitios web y cuentas de redes sociales fraudulentas.

En marzo de 2015 publicamos nuestro informe sobre el APT Animal Farm, aunque la información sobre las herramientas que se utilizaron en esta campaña comenzaron a aparecer en año anterior. En marzo de 2014, el periódico francés Le Monde, publicó un artículo sobre un paquete de herramientas para ciberespionaje que había sido detectado por el departamento de seguridad de las comunicaciones de Canadá (CSEC); este paquete de herramientas que se utilizó en la operación ‘Snowglobe’ que atacó a medios de comunicación en Canadá, Grecia, Francia, Noruega y en algunos países africanos. CSEC creía que la operación pudo haber sido iniciada por las agencias de inteligencia francesas. Un año después, los investigadores en seguridad publicaron análisis (pulsa aquí, aquí y aquí) de programas maliciosos que tenían mucho en común con ‘Snowglobe’; en particular, esta investigación incluyó muestras con el nombre interno ‘Babar’, que es el nombre del programa mencionado por CSEC. Según análisis de los programas maliciosos, y de las conexiones entre ellos, Kaspersky Lab bautizó al grupo responsable como Granja de Animales o Animal Farm. El arsenal de este grupo incluía dos de las tres vulnerabilidades día-cero que habíamos encontrado en 2014 y que los ciberdelincuentes habían empleado, por ejemplo, un ataque lanzado desde el sitio web infectado del ministerio de justicia de Siria con la vulnerabilidad CVE-2014-0515 que producía la descarga de una herramienta de Animal Farm llamada ‘Casper’. Una característica llamativa de esta campaña es que uno de los programas, ‘NBOT’, está diseñado para lanzar ataques DDoS (Denegación Distribuida de Servicio). Esto es inusual entre los grupos APT. Uno de los ‘animales’ en la granja tiene el extraño nombre de ‘Tafacalou’, quizás un término occitano (un idioma que se habla en Francia y otros lugares).

En abril de 2015 informamos sobre la aparición de un nuevo miembro de la creciente familia ‘Duke’ a la que pertenecen MiniDuke, CosmicDuke y OnionDuke. El APT Cozy Duke (también conocido como ‘CozyBear’, ‘CozyCat’ y ‘Office Monkeys’) atacó a organizaciones gubernamentales y compañías en EE.UU., Alemania, Corea del Sur y Uzbekistán. El ataque implementa una serie de técnicas sofisticadas, incluyendo el uso de cifrado, capacidades antidetección, y un conjunto bien desarrollado de componentes que son estructuralmente similares a anteriores amenazas de la familia ‘Duke’. Sin embargo, una de sus características más notables es el uso de ingeniería social. Algunos de los mensajes de correo spear-phishing de los atacantes contienen un enlace a sitios web infectados, incluyendo algunos de alto perfil y legítimos, que contienen un archivo ZIP. Este archivo contiene un RAR SFX que instala el programa malicioso mientras muestra un PDF vacío como carnada. Otra estrategia consiste en enviar videos flash fraudulentos como adjuntos en mensajes de correo. Un ejemplo notable (que le da al programa malicioso uno de sus nombres) es ‘OfficeMonkeys LOL Video.zip’. Al ejecutarse, descarga un ejecutable CozyDuke en el ordenador, mientras muestra un ‘divertido’ video de unos monos que trabajan en una oficina. El propósito de este video es que las víctimas lo redistribuyan en la oficina, aumentando así la cantidad de ordenadores infectados. El exitoso uso de ingeniería social para inducir a los empleados a hacer algo que ponga en riesgo la seguridad corporativa, por parte de CozyDuke y muchos otros ataques dirigidos, resalta la necesidad de que la capacitación de los empleados sea un componente esencial en la estrategia de seguridad de una compañía.

El APT Naikon atacaba blancos críticos en el sudeste de Asia y alrededor del Mar de China. Los atacantes, que parecen ser chinos y haber estado activos por al menos cinco años, atacan a organizaciones gubernamentales, civiles y militares de alto nivel en Filipinas, Malasia, Camboya, Indonesia, Vietnam, Myanmar, Singapur, Nepal, Tailandia, Laos y China. Como muchas campañas de ataques dirigidos, Naikon usa profusamente técnicas de ingeniería social para inducir a los empleados de las organizaciones atacadas a que instalen el programa malicioso. El módulo principal es una herramienta de administración a distancia que soporta 48 comandos diseñados para controlar los ordenadores infectados; entre estos comandos se encuentran la captura del inventario completo, la descarga y envío de datos, la instalación de módulos complementarios y el uso de keyloggers para obtener las credenciales de los empleados. Los atacantes asignaron un operador por cada país atacado, capaz de aprovechar las características culturales locales, como la tendencia de usar cuentas de correo personales para el trabajo. También utilizaron un servidor proxy específico dentro de las fronteras de un país para administrar las conexiones con los ordenadores infectados y transferir los datos a los servidores de comando y control (C2) de los atacantes. Puedes encontrar nuestro informe principal y nuestro informe de seguimiento en nuestro sitio web.

Mientras investigábamos Naikon descubrimos las actividades del grupo Hellsing APT. Este grupo se concentraba principalmente en organizaciones gubernamentales y diplomáticas en Asia; la mayor parte de sus víctimas se encuentran en Malasia y Filipinas, aunque también hemos detectado algunas en India, Indonesia y EE.UU. Hellsing es un grupo de ciberespionaje pequeño y técnicamente intrascendente (atacaron unas 20 organizaciones). Lo que los hace interesantes es que les tocó recibir un ataque spear-phishing del grupo Naikon APT ¡y decidieron contratacar! El destinatario del mensaje cuestionó al remitente la autenticidad del mensaje. Posteriormente recibieron la respuesta, pero no abrieron el adjunto. En lugar de ello, poco después respondieron a los atacantes con otro mensaje que contenía su propio programa malicioso. Está claro que al detectar que estaban siendo atacados, el grupo Hellsing trató de identificar a sus atacantes y conseguir inteligencia sobre sus actividades. Antes habíamos visto grupos APT que accidentalmente se pisaban los talones, como por ejemplo robar listas de contactos de sus víctimas y después realizar envíos masivos a todos los contactos obtenidos. Pero un ataque APT contra APT es inusual.

security_stories_sp_2

Muchas campañas de ataques dirigidos se concentran en grandes compañías, agencias gubernamentales y otras organizaciones de alto perfil. Entonces es fácil leer los titulares e imaginarse que estas organizaciones son las únicas en el radar de los ciberpiratas que lanzan estos ataques. Sin embargo, una de las campañas que reportamos el pasado trimestre mostró claramente que los atacantes no se interesan solamente por los ‘peces gordos’. La campaña de ciberespionaje Grabit está diseñada para robar datos de organizaciones pequeñas y medianas principalmente en Tailandia, Vietnam e India, aunque también hemos detectado víctimas en EE.UU., Turquía, Rusia, China, Alemania y otros países. Entre los sectores atacados figuran químicos, nanotecnología, educación, agricultura, medios de comunicación, y construcción. Estimamos que el grupo detrás de estos ataques ha logrado robar unos 10.000 archivos. No cabe duda que cada negocio es un blanco potencial, ya sea por sus activos o como puente para infiltrarse en otra organización.

En la primavera de 2015, durante un barrido de seguridad, Kaspersky Lab detectó una ciberintrusión que afectó a varios sistemas internos. La investigación a gran escala que se lanzó reveló el desarrollo de una nueva plataforma de programas maliciosos a cargo de unos de los grupos más capaces, misteriosos y poderosos del mundo APT: Duqu, al que a veces se lo refiere como medio hermano de Stuxnet. A esta nueva plataforma le dimos el nombre de ‘Duqu 2.0’. En el caso de Kaspersky Lab, el ataque se aprovechó de una vulnerabilidad día-cero en el kernel de Windows (parchada por Microsoft el 9 de junio de 2015) y quizás otras dos más (ahora parchadas) que en ese momento también eran vulnerabilidades día-cero. El principal objetivo de los atacantes era espiar las tecnologías, las investigaciones en curso y los procesos internos de Kaspersky Lab. Sin embargo, Kaspersky Lab no fue el único blanco. Algunas infecciones de Duqu 2.0 estaban vinculadas con los eventos P5+1 relacionados con las negociaciones nucleares con Irán; al parecer los atacantes lanzaron ataques contra las sedes de algunas de estas conversaciones del más alto nivel. Además, el grupo lanzó un ataque similar relacionado con el LXX aniversario de la liberación de Auschwitz-Birkenau. Una de las características más notables de Duqu 2.0 fue su falta de persistencia y que no dejaba casi ninguna huella en el sistema. El programa malicioso no realizaba ningún cambio en el disco ni en la configuración del sistema. La plataforma maliciosa estaba diseñada de tal manera que sobrevivía casi exclusivamente en la memoria de los sistemas infectados. Esto sugiere que los atacantes estaban seguros de que podrían permanecer en el sistema incluso si un ordenador en particular se reiniciaba y se limpiaba de la memoria del programa malicioso. El análisis técnico y el análisis del módulo de persistencia de Duqu 2.0 se encuentra en nuestra página web.

En agosto informamos sobre el APT Blue Termite, una campaña de ataques dirigidos diseñada para robar información de organizaciones en Japón. Los blancos incluían agencias gubernamentales, organismos de gobiernos locales, grupos de interés público, universidades, bancos, servicios financieros, y los sectores de energía, comunicación, industria pesada, química, automotriz, eléctrico, medios de comunicación, servicios informativos, salud, inmobiliario, alimentación, semiconductores, robótica, construcción, seguros, transporte y otros. Uno de los blancos de más alto perfil fue el servicio de pensiones japonés. El programa malicioso se ajusta a las características de cada víctima.

La puerta trasera Blue Termite almacena datos sobre sí misma, incluyendo C2, nombre API, cadenas para antianálisis, valores para mutexes, así como las sumas de control MD5 de comandos puerta trasera y la información interna del proxy. Los datos almacenados están cifrados, lo que dificulta en gran medida el análisis del programa malicioso; se necesita una llave de decodificación única para cada muestra. El principal método de infección, como es el caso de muchas campañas de ataques dirigidos, es a través de mensajes de correo spear-phishing. Sin embargo, hay otros métodos de infección, como las descargas al paso, o drive-by, mediante el exploit Flash CVE-2015-5119 (uno de los exploits se filtró tras la fuga de seguridad de Hacking Team); muchos sitios web japoneses se infectaron de esta forma. También detectamos algunos ataques tipo abrevadero, incluyendo uno contra un sitio web propiedad de un importante funcionario del gobierno japonés.

El grupo responsable de la campaña de ciberespionaje Turla ha estado activo por más de 8 años (nuestro informe inicial, análisis de seguimiento y resumen de la campaña se encuentran en securelist.com), y ha infectado a cientos de ordenadores en más de 45 países. Los atacantes seleccionan a sus víctimas mediante ataques tipo abrevadero en las etapas iniciales. Sin embargo, como señalamos en nuestro último informe, las posteriores operaciones del grupo recurren comunicaciones satelitales para administrar su tráfico con el C2. El método que Turla usa para capturar los enlaces satelitales de transmisiones no requiere de una suscripción de Internet satelital válida. La principal ventaja es el anonimato, por lo que es muy difícil identificar a los atacantes. Los receptores satelitales pueden encontrarse en cualquier lugar en el área cubierta por el satélite (por lo general una amplia área) y la verdadera localización y el hardware del servidor C2 son muy difíciles de identificar y capturar físicamente. También resulta más barato que comprar un enlace satelital y más fácil que capturar el tráfico entre la víctima y el operador de satélite e inyectarle paquetes. El grupo Turla tiende a enfocarse en proveedores de Internet satelital localizados en el Medio Oriente y África, incluyendo Congo, Líbano, Libia, Níger, Nigeria, Somalia y EAU. Las transmisiones satelitales desde estos países no suelen abarcar los países europeos o norteamericanos, lo que dificulta la tarea de los investigadores en seguridad. El uso de enlaces de Internet satelital es un avance interesante. La captura del ancho de banda de transmisión resulta barato (unos 1.000 $US como inversión inicial y otros 1.000 $US por años de mantenimiento), fácil de realizar y ofrece un alto grado de anonimato. Por otra parte, no siempre es tan confiable como los métodos tradicionales (hosting a prueba de balas, múltiples niveles de proxy y sitios web hackeados), que Turla también utiliza. Esto disminuye las posibilidades de su uso para la mantención de amplias redes zombis. Sin embargo, si este método se populariza entre los grupos APT y los ciberdelincuentes, representará un serio problema para la industria de la seguridad informática y las autoridades.

satturla_ani_SP

En agosto de 2015 publicamos una actualización sobre el APT Darkhotel. Estos ataques se caracterizaban en un principio por el abuso de certificados robados, la implementación de archivos HTA mediante varios métodos y la infiltración en las redes wi-fi de hoteles para colocar puertas traseras en los ordenadores atacados.

Aunque los responsables de este APT siguen usando estos métodos, han enriquecido su arsenal con ataques spear-phishing contra sus víctimas seleccionadas. También han usado archivos HTA, archivos RAR infectados, y el mecanismo RTLO (sobrescritura de derecha a izquierda) para camuflar el verdadero tamaño de los archivos. Asimismo, los atacantes recurrieron a exploits Flash, incluyendo un exploit día-cero que se filtró como resultado de una fuga de seguridad de Hacking Team. El grupo ha logrado ampliar su alcance geográfico incluyendo Corea del Norte, Rusia, Corea del Sur, Japón, Bangladesh, Tailandia, India, Mozambique y Alemania.

Fugas de seguridad

Este año hemos observado una serie de fugas de seguridad. No resulta sorprendente que estos incidentes se hayan convertido en rutinarios, pues la información personal es un producto básico muy valioso, no sólo para las compañías legítimas, sino también para los ciberpiratas. Entre los principales incidentes de este año, mencionaremos los ataques contra Anthem, LastPass, Hacking Team, la Oficina de Administración de Personal de EE.UU., Ashley Madison, Carphone Warehouse, Experian y TalkTalk. Algunos de estos ataques resultaron en el robo de enormes cantidades de datos, lo que remarca el hecho de que muchas compañías no están logrando tomar las medidas necesarias para su seguridad. No se trata simplemente de proteger el perímetro corporativo. No existe tal cosa como el 100 por ciento de seguridad, por lo que no es posible garantizar que los sistemas no sufran fugas, especialmente cuando alguien de adentro es inducido a hacer algo que ponga en riesgo la seguridad corporativa. Pero una organización que posea información personal tiene la obligación de protegerla efectivamente. Esto incluye cifrar y salear las contraseñas de sus clientes y cifrar otros datos críticos.

Por otra parte, los consumidores pueden limitar los daños de una fuga de seguridad de su proveedor en línea asegurándose de elegir contraseñas únicas y complejas; una contraseña ideal debe tener al menos 15 caracteres alfabéticos, numéricos y símbolos. Como alternativa, es posible usar una aplicación de administración de contraseñas para manejar todas las contraseñas de forma automática.

El tema de las contraseñas constantemente resurge. Si elegimos una contraseña muy fácil de adivinar, nos exponemos a un robo de identidad. El problema se complica si replicamos la misma contraseña en múltiples cuentas en línea, pues si una cuenta llega a comprometerse, todas las demás estarán en riesgo. Es por esta razón que muchos proveedores, como Apple, Google y Microsoft ahora ofrecen una autenticación de dos factores, es decir, que requieren que los clientes introduzcan un código generado por un dispositivo token, o enviado a un dispositivo móvil, para poder acceder a un sitio, o al menos para efectuar cambiaos en la configuración de la cuenta. La autenticación de dos factores ciertamente mejora la seguridad, pero sólo si es requerida en lugar de ser sólo una opción.

El robo de información personal puede tener serias consecuencias para los afectados. Sin embargo, a veces pueden darse graves efectos contundentes. La fuga de seguridad de Hacking Team resultó en la publicación de 400 GB de datos, entre los cuales se encontraban exploits que la compañía italiana usaba en sus soluciones de seguridad. Algunos de esos exploits se usaron en ataques APT, como Darkhotel y Blue Termite. No resulta sorprendente que a esta fuga le siguieran apresuradas reparaciones de las vulnerabilidades reveladas por los atacantes.

Dispositivos inteligentes (pero no necesariamente seguros)

Internet se ha incorporado en todos los aspectos de nuestras vidas, literalmente es el caso del creciente número de objetos cotidianos en el hogar moderno, smart TVs, monitores para bebés, cafeteras y más. Quizás recuerdes que el año pasado uno de nuestros investigadores en seguridad investigó su propia casa para determinar si era realmente segura contra la ciberpiratería. Puedes encontrar el seguimiento a esta investigación aquí. Sin embargo, el Internet de las Cosas abarca más que los dispositivos domésticos.

Por varios años se ha investigado los potenciales riesgos de seguridad asociados con los automóviles conectados. En julio de 2014, Kaspersky Lab e IAB publicaron un estudio sobre las áreas de potenciales problemas en automóviles conectados. Hasta este año, el enfoque se centraba en acceder a los sistemas de los automóviles mediante una conexión física al vehículo. Esto cambió cuando los investigadores Charlie Miller y Chris Valasek encontraron una forma de acceder de forma inalámbrica a los sistemas críticos de un Jeep Cherokee, logrando controlarlo y sacarlo de la carretera. (Puedes leer este caso aquí).

Este caso enfatiza algunos problemas con los dispositivos conectados que van más allá de la industria automotriz, hasta cualquier dispositivo conectado. Por desgracia, las funciones de seguridad no son fáciles de vender, y en un mercado competitivo, aquellas cosas que facilitan la vida de los usuarios suelen tener preferencia. Además, la conectividad suele añadirse a una red de comunicación pre-existente que no fue creada tomando en cuenta la seguridad. Por último, este caso muestra que la seguridad tiende a readecuarse sólo si algo malo sucede para demostrar el impacto de una debilidad en la seguridad. Puedes leer más al respecto en un artículo publicado por Eugene Kaspersky después de la investigación mencionada.

Estos problemas también se aplican a las ‘ciudades inteligentes‘. Por ejemplo, se ha hecho cada vez más común en los últimos años el uso de sistemas CCTV por parte de gobiernos y autoridades para vigilar lugares públicos. Muchas cámaras CCTV tienen conexión inalámbrica a Internet, lo que permite que la policía pueda manejarlas a distancia. Sin embargo, no son necesariamente seguras, Porque existe el riesgo potencial de que los ciberdelincuentes intercepten estas transmisiones e inyecten sus códigos en la red, pudiendo incluso remplazar las imágenes de una cámara con imágenes falsas, o desconectar sistemas. Dos investigadores en sistemas, Vasilios Hioureas de Kaspersky Lab y Thomas Kinsey de Exigent Systems, llevaron a cabo hace poco una investigación sobre las debilidades potenciales de seguridad en los sistemas CCTV en una ciudad. (Puedes leer el informe de Vasilios en nuestro sitio web).

Por desgracia, no se intentó camuflar las cámaras, de manera que era fácil determinar las marcas y modelos de las cámaras utilizadas en esta ciudad, analizar las especificaciones relevantes y crear su propio modelo a escala en el laboratorio. El equipo utilizado permitía controles de seguridad efectivos, pero estos no estaban implementados. Los paquetes de datos transmitidos por la red no estaban cifrados, por lo que un atacante podía crear su propia versión del software y manipular estos datos. Un potencial uso que esto representa para los ciberpiratas es suplantar las imágenes enviadas a la policía, con el fin de aparentar un incidente en un determinado lugar con el fin de distraerla de un verdadero ataque que podría efectuarse en otro lado de la ciudad.

Los investigadores informaron sobre los potenciales problemas a los responsables de los sistemas de vigilancia de la ciudad, quienes se encuentran en proceso de solucionarlos. En general, es importante implementar en estas redes el cifrado WPA y una sólida contraseña, quitar las etiquetas de identificación que van en las cámaras a fin de impedir que los atacantes las identifiquen fácilmente, y codificar las imágenes transmitidas por la red.

El gran problema aquí es que cada vez más aspectos de la vida cotidiana se están digitalizando; si no se considera la seguridad en la etapa de diseño, los peligros potenciales podrían tener consecuencias de amplio alcance, y la re-adecuación de la seguridad puede no ser efectiva. La iniciativa Protejamos las ciudades inteligentes, apoyada por Kaspersky Lab, está pensada para ayudar a los responsables de los diseños para ciudades inteligentes a tener en cuenta la ciberseguridad.

Cooperación internacional contra la ciberdelincuencia

La ciberdelincuencia es ya una parte de nuestras vidas, y subyace en las cada vez más numerosas actividades cibernéticas que son parte de nuestro día a día. Esto se refleja en las estadísticas oficiales. Por ejemplo, en Reino Unido, la Office for National Statistics incluye ahora la ciberdelincuencia entre sus estimaciones del nivel de delincuencia, lo que refleja el cambio en la naturaleza del delito en la sociedad actual. Si bien no hay duda sobre su afán de lucro, los ciberdelincuentes no siempre resultan impunes, pues las acciones de las respectivas autoridades en todo el mundo están teniendo un significativo impacto. La cooperación internacional es particularmente importante, dada la naturaleza global de la ciberdelincuencia. Este año hemos observado algunas operaciones policiales superlativas.

En abril, Kaspersky Lab participó en la clausura de la red zombi Simda, operación que estuvo coordinada por la división Global Complex for Innovation de Interpol. La investigación fue iniciada por Microsoft y se sumaron otros participantes, como Trend Micro, Cyber Defense Institute, Dutch National High Tech Crime Unit, FBI, la policía Grand-Ducale Section Nouvelles Technologies de Luxemburgo y el departamento ‘K’ de ciberdelincuencia del ministerio ruso del interior, con el apoyo de la oficina de Interpol en Moscú. Como resultado de esta operación, se clausuraron 14 servidores en Holanda, EE.UU., Luxemburgo, Polonia y Rusia. Un análisis preliminar de algunos registros drenados de los servidores reveló que 190 países habían sido afectados por esta red zombi.

En septiembre, la policía holandesa arrestó a dos individuos sospechosos de participar en los ataques de cibersecuestros Coinvault, en un esfuerzo conjunto con Kaspersky Lab, Panda Security y Dutch National High Tech Crime Unit (NHTCU). Esta campaña de programas maliciosos se inició en mayo de 2014 y continuó hasta este año, atacando a víctimas en más de 20 países, la mayoría de ellas en Holanda, Alemania, EE.UU., Francia y Gran Bretaña. Los atacantes codificaron los archivos en más de 1.500 ordenadores Windows, exigiendo a cambio de su decodificación un rescate en bitcoins.

Los ciberpiratas responsables de esta campaña de cibersecuestros modificaron sus creaciones varias veces a fin de seguir atacando a nuevas víctimas. En noviembre de 2014, Kaspersky Lab y NHTCU lanzaron un sitio web como depósito de llaves de decodificación, y también pusimos a disposición en Internet una herramienta de decodificación para ayudar a las víctimas a recuperar sus datos sin tener que pagar el rescate. Puedes encontrar nuestro análisis con los pormenores de CoinVault aquí. En ransomware se ha convertido en un notable actor en el escenario de las ciberamenazas. Si bien este caso muestra que la colaboración entre investigadores y autoridades puede dar resultados positivos, es esencial que los consumidores y compañías tomen medidas para mitigar los riesgos que conlleva este tipo de programas maliciosos. Las operaciones de ransomware dependen de que sus víctimas paguen el rescate que les exigen. En septiembre, un agente del FBI causó revuelo al sugerir que las víctimas deberían pagar dicho rescate para recuperar sus archivos. Aunque esta pueda parecer una solución pragmática, en particular porque hay situaciones en las que es imposible recuperar los datos secuestrados, es una estrategia peligrosa. Primero, porque no hay garantía de que los ciberpiratas entregarán el mecanismo requerido para descifrar los archivos secuestrados. Segundo, porque refuerza el modelo de negocios de los ciberdelincuentes y alienta esta práctica delictiva. Recomendamos a consumidores y compañías que regularmente realicen copias de seguridad de sus archivos para evitar exponerse a este riesgo.

Los ataques contra las instalaciones industriales

En las instalaciones industriales ocurren con bastante regularidad incidentes provocados por problemas con la seguridad cibernética. Por ejemplo, según los datos de US ICS CERTen el año fiscal 2014 en los EE.UU. se registraron 245 incidentes de este tipo, y en julio y agosto de 2015, fueron 22. Sin embargo, en nuestra opinión, estas cifras no reflejan la situación real, porque el número de ciberincidentes es mucho mayor. Y si los operadores y los dueños de negocios prefieren guardar silencio sobre una parte de los incidentes, no saben nada del resto de incidentes ocurridos.

Veamos dos casos que captaron nuestra atención en 2015.

El primero es un incidente que tuvo lugar en una fábrica de acero en Alemania. A finales de 2014 la Oficina Federal de Seguridad Informática de Alemania (Bundesamt für Sicherheit in der Informationstechnik, BSI) publicó el informe (documento en alemán, ver adjunto en inglés) que describe los incidentes cibernéticos que se produjeron en una de las fábricas de acero en Alemania. El incidente provocó daños físicos en un alto horno.

Hasta hoy, es el segundo caso después del ataque cibernético Stuxnet que causó daño físico a equipos industriales. Según los representantes de BSI, primero se usó un envío de phishing para infectar la red de la oficina de la empresa, desde donde después los delincuentes infectaron la computadora SCADA y lanzaron un ataque contra los equipos industriales. Por desgracia, la BSI no ha proporcionado ninguna información adicional, y no podemos afirmar a ciencia cierta qué tipo de software malicioso se utilizó y cómo funciona.

El mantener tal secreto no es de provecho para todo el mundo, ya que los operadores de empresas similares (tal vez con la excepción de las alemanas) no pueden analizar el ataque para implementar contramedidas. Con esta actitud, los expertos en seguridad cibernética también quedan al margen y no puede ofrecer métodos de protección a sus clientes.

Otro caso interesante fue el ataque al aeropuerto Chopin de Varsovia en junio de 2015. Un domingo, un ataque puso fuera de servicio el sistema de preparación electrónica de planes de vuelo de la compañía aérea LOT durante aproximadamente cinco horas. Según Reuters esto causó una docena de retraso en los vuelos.

La administración del aeropuerto no prestó ningún detalle sobre lo ocurrido, pero los expertos expresaron su opinión basada en la experiencia. Rubén Santamarta, consultor de seguridad en jefe de la empresa IOActive, ya había llamado la atención sobre los problemas de seguridad informática en la aviación. Habiendo analizado las declaraciones de los representantes de LOT, sugirió que la empresa fue víctima de un ataque selectivo: el sistema no pudo generar los planes de vuelo, porque los equipos clave de back office resultaron afectados, o el ataque estaba dirigido a los dispositivos de comunicación terrestre y provocaron que fuera imposible realizar y validar la carga de datos en las computadoras de a bordo (entre ellos los planes de vuelo).

Nuestros expertos también reaccionaron ante el incidente y sugirieron que hubo dos posibles escenarios para el ataque. El incidente podría haber ocurrido debido a un error humano o una falla del equipo. O bien, este ataque contra el aeropuerto relativamente pequeño de Varsovia fue sólo un ensayo de acciones más amplias que los delincuentes intentarían en otros aeropuertos importantes del mundo.

Más tarde se hizo el anuncio oficial de que se trataba de un ataque DDoS y que en realidad no hubo ninguna incursión. Pero, una vez más, no se reveló información detallada sobre el incidente y sólo nos quedó creer en la información oficial, o hacer conjeturas sobre las causas y objetivos reales del ataque.

Pero quienquiera que haya estado detrás de los ataques, y cualquiera que sea su finalidad, estos ataques han servido de ejemplo para constatar hasta qué punto las computadoras se han afirmado en nuestras vidas y cuán vulnerables se han hecho al pasar los años las instalaciones de infraestructura.

Por desgracia, muchos estados y reguladores estatales utilizan la política del silencio. En cambio, nosotros creemos que la transparencia y el intercambio de información sobre los ataques cibernéticos son un componente importante para crear una protección adecuada a las instalaciones industriales, porque sin estos conocimientos es muy difícil protegerlos de las amenazas futuras.

Para terminar, me gustaría señalar otra tendencia que ya ha comenzado a influenciarnos a todos, y que lo seguirá haciendo en los próximos años: un número cada vez mayor de equipos utilizados en la industria se está conectando a Internet. Por supuesto, Internet se inventó hace mucho tiempo, pero sólo ahora estamos siendo testigos de que los procesos industriales también se están conectando a esta red. Sin exagerar, podemos decir que está empezando una nueva revolución industrial: está naciendo el “Internet de las cosas industriales” o la “Empresa 4.0”.Como resultado, las empresas obtienen una gran cantidad de beneficios adicionales y mejoran la eficiencia de la producción.

Para mantenerse al día con esta tendencia, los fabricantes simplemente instalan los sensores y controladores necesarios en equipos que ya probaron su eficiencia y fiabilidad, pero fueron diseñados para un mundo “sin Internet”, los conectan a la red y los declaran “nuevos equipos”. Pero se olvidan de que al dotar a cualquier dispositivo con funciones de trabajo en Internet, surgen nuevos riesgos y amenazas relacionadas con la seguridad informática, porque estos ya no son simples dispositivos “físicos”, sino que se han convertido en “ciberfísicos”.

En el mundo de los dispositivos físicos, todos los dispositivos, equipos, protocolos de comunicación, etc., industriales, fueron diseñados tomando en cuenta su seguridad funcional, o en otras palabras, eran a prueba de tontos. Esto significaba que si el dispositivo se diseñó con los requisitos de seguridad funcional, durante su operación conforme a las normas de seguridad no debería ocurrir ninguna falla ni infringir daño a las personas o al medio ambiente.

Pero la “Empresa 4.0” recibió una nueva dimensión de seguridad, la seguridad informática o la protección contra las acciones externas intencionales. No se puede agarrar y conectar a Internet un dispositivo proveniente de “la era pre-internet”, porque las consecuencias pueden ser, y ya lo han sido, lamentables.

Los ingenieros que practican los viejos principios de diseño “pre-revolucionarios” a menudo no tienen en cuenta que ahora no sólo un ingeniero calificado podrá trabajar con los dispositivos, sino también un hacker, para el que no existe el concepto de “acciones prohibidas con un objeto remoto”. Aquí radica una de las principales razones de que ahora las compañías que cuentan con la experiencia y la tradición necesarias producen equipamiento de buena calidad y fiable desde el punto de vista funcional, pero que no proporciona un nivel suficiente de seguridad cibernética para las empresas.

En el mundo de los equipos ciberfísicos, las dimensiones cibernéticas y físicas están estrechamente relacionadas. Un ataque cibernético puede detener procesos tecnológicos, dañar equipos o provocar desastres tecnógenos. Los hackers son una amenaza real, y todo lo que está conectado a Internet puede ser atacado. Por lo tanto, los fabricantes durante el desarrollo de nuevos equipos industriales conectados a Internet deben elaborar medidas de protección contra las amenazas cibernéticas con la misma escrupulosidad con que toman medidas para garantizar la seguridad funcional.

Conclusión

En 2015, quizá por primera vez en la historia de Internet, se discutió el problema de la seguridad de las redes informáticas y de la seguridad en Internet en relación a cada sector de la economía y la vida cotidiana. Escoja cualquiera de las ramas de la civilización moderna: finanzas, manufactura, coches, aviones, dispositivos portátiles, salud y muchas otras cosas, y con seguridad encontrará alguna publicación de este año sobre incidentes o problemas de seguridad cibernética que les hayan afectado.

Por desgracia, las manifestaciones de terrorismo también tienen influencia directa en la seguridad cibernética. Los métodos de defensa y ataque en Internet son objeto de considerable interés por parte de las diversas estructuras y grupos ilegales.

El tema de la seguridad cibernética se ha expandido hasta el ámbito de las misiones diplomáticas y los altos dirigentes. Este año, se firmaron acuerdos en materia de seguridad cibernética entre Rusia y China; China y Estados Unidos y China y Gran Bretaña. Como parte de estos documentos los estados no sólo se comprometen a cooperar, sino también a prevenir ataques mutuos. Al mismo tiempo, se discutieron activamente las recientes modificaciones al Acuerdo de Wassenaar sobre las restricciones de exportación de software espía. Uno de los temas principales del año fue el hecho de que políticos de todo el mundo usaban servicios de correo vulnerables, incluyendo la ex secretaria de estado Hillary Clinton.

Todo esto ha llevado a un gran aumento en el interés por el tema de la seguridad cibernética no sólo por parte de los medios de comunicación, sino también de la industria del entretenimiento: se filmaron películas, series, y se invitó a algunos expertos en el campo de la seguridad cibernética para que actúen en ellas, a veces en el papel de sí mismos.

En 2015, la expresión “seguridad cibernética” se puso de moda, pero eso no basta para resolver el problema. Hemos visto un crecimiento casi exponencial en todo lo relacionado a la seguridad cibernética: ha crecido el número de ataques, el número de atacantes, las víctimas, los gastos de defensa y protección, y también el número de leyes y acuerdos que rigen y establecen nuevas normas. Entre los cambios notados por nuestra compañía, sobre todo ha aumentado la complejidad de los ataques detectados. El enfrentamiento ha entrado en su fase activa y todavía falta mucho para llegar a la etapa final.

Sobre lo que nos espera en el futuro próximo, hemos escrito en los pronósticos para el 2016.

Kaspersky Security Bulletin 2015. Principales incidentes de seguridad

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada