Kaspersky Security Bulletin. Predicción para 2016

El fin del mundo para las APTs tal como las conocemos

  1. Principales incidentes de seguridad
  2. Estadística principal de 2015
  3. La evolución de las amenazas de seguridad informática en el entorno empresarial
  4. Predicción para 2016

Introducción

A poco de finalizar el año, tenemos la oportunidad de analizar el desarrollo de la industria y plantear nuestras previsiones para los siguientes años. Aprovechando una reunión extraordinaria de nuestro equipo GReAT con los expertos antimalware, exploramos algunas previsiones y me tocó el privilegio de seleccionar las más notables para el año próximo y los años venideros. El panorama para nuestro tan dinámico campo de estudio es y seguirá siendo bastante desafiante. El enfocarnos rigurosamente en los datos nos evitará, por una parte, entrar en temerosas especulaciones más típicas de la ciencia ficción, y por otra, producir predicciones acertadas a corto y a largo plazo.

No más APTs

Antes de comenzar a celebrar, debemos señalar que nos estamos refiriendo a los elementos “Avanzados” y “Persistentes” que los responsables de estas amenazas con gusto dejarían de lado a cambio de un sigilo general. Prevemos que el énfasis en la persistencia se atenuará, mientras que se acentuará en el malware residente en la memoria o en los programas maliciosos que prescinden de archivos. El objetivo es disminuir las huellas que se dejan en un sistema infectado para evitar ser detectados. Otro enfoque será atenuar el énfasis en los programas maliciosos avanzados. En lugar de invertir en bootkits, rootkits o en programas maliciosos diseñados a pedido que son neutralizados por los equipos antimalware, prevemos un aumento en el replanteamiento del malware listo para usar. Esto significa no sólo evitar que la plataforma de malware quede neutralizada tras su detección, sino que tenga además el beneficio añadido de camuflar a los actores y sus intenciones en medio de una gran multitud de usos comunes para un RAT comercial. A medida que se desgaste el atractivo de las ciber-habilidades, se impondrá el concepto del retorno de la inversión en gran parte de las decisiones de los atacantes patrocinados por gobiernos, y no hay nada que supere a una baja inversión inicial para maximizar el retorno de la inversión.

Continuará la pesadilla del ransomware

Prevemos que los programas maliciosos ransomware se propagarán hacia nuevos territorios. Estos programas maliciosos tienen dos ventajas que los encumbran sobre las amenazas bancarias tradicionales: monetización directa y costo relativamente bajo por víctima. Esto se suma al creciente desinterés de parte de terceras partes muy solventes, como los bancos, y al bajo número de denuncias ante las autoridades. No sólo prevemos que el ransomware se impondrá a los troyanos banqueros, sino que se trasladará a otras plataformas. Ya se han observado tímidos intentos de adecuar el ransomware a plataformas móviles (Simplelocker) y a Linux (Ransom.Linux.Cryptor, Trojan-Ransom.FreeBSD.Cryptor), pero quizás el blanco más codiciado sea la plataforma OS X. Prevemos que el ransomware dará un paso decidido hacia la conquista de los Macs y adoptará ‘precios Mac’. Entonces, a largo plazo, existe la posibilidad de que el ransomware invada el IoT y surja la pregunta: ¿Cuánto estás dispuesto a pagar para recuperar el acceso a tu Smart TV? ¿O el acceso a tu refrigerador? ¿O el acceso a tu automóvil?

Apostando contra la casa: delitos financieros del más alto nivel

La fusión de la ciberdelincuencia con los APTs ha tentado a los codiciosos delincuentes para que dejen de atacar a los usuarios finales y desvíen la mira hacia las instituciones financieras. En los últimos años hemos visto numerosos casos de ataques contra los sistemas de puntos de ventas y cajeros automáticos, sin mencionar el osado APT Carbanak, que robó millones de dólares. En este sentido, prevemos que los ciberdelincuentes apuntarán sus ataques contra los novedosos sistemas alternativos de pago virtual (ApplePay y AndroidPay) cuyos crecientes índices de adopción les ofrecen nuevas formas de monetización inmediata. Otro inevitable punto de interés son las bolsas de valores, la verdadera veta madre. Si bien los ataques frontales pueden producir ganancias rápidas, no debemos ignorar la posibilidad de otros medios más sutiles de interferencia, como alteraciones a los algoritmos black-box que se emplean en transacciones de alta frecuencia y que les permite garantizar ganancias prolongadas con pocas posibilidades de ser descubiertos.

Ataques contra los fabricantes de soluciones de seguridad

A medida que se incrementen los ataques contra los fabricantes de soluciones de seguridad, prevemos que un interesante vector pondrá en riesgo las herramientas de ingeniería inversa estándares, como IDA y Hiew, las herramientas de depuración como OllyDbg y WinDbg, y las herramientas de virtualización como el VMware y VirtualBox. CVE-2014-8485, una vulnerabilidad en la implementación del comando ‘strings’ en Linux, constituye un ejemplo del escenario vulnerable de las herramientas profesionales de investigación en seguridad que algunos atacantes decididos pueden explotar como parte de sus ataques contra los investigadores en ciberseguridad. En el mismo sentido, las herramientas de investigación gratuitas compartidas mediante depósitos como Github son un área muy atractiva para los ataques de ciberpiratas, ya que los usuarios suelen descargar códigos y ejecutarlos en sus sistemas sin tomar ninguna precaución de seguridad. Quizás también debamos preocuparnos por las implementaciones populares de PGP, que gozan de gran aceptación en la comunidad de seguridad informática.

Sabotaje, extorsión y vergüenza

El volcado de fotos de celebridades desnudas, el hackeo contra Sony y Ashley Madison, y el volcado de HackingTeam son algunos ejemplos del aumento innegable del DOXing, la deshonra pública y la extorsión. Hacktivistas, delincuentes y atacantes al parecer patrocinados por gobiernos se han dedicado estratégicamente al volcado de fotos privadas, de información, de listas de clientes y de códigos para deshonrar a sus víctimas. Si bien algunos de estos ataques son estratégicamente dirigidos, algunos no son más que resultado del oportunismo de algunos hackers que aprovecharon débiles medidas de seguridad informática para aparentar falsas proezas. Por desgracia, prevemos que esta práctica seguirá aumentando exponencialmente.

¿En quién confiar?

Quizás el producto básico más escaso en la actual era informática sea la confianza. El abuso de recursos de confianza no hará más que profundizar esta escasez. Los atacantes seguirán empleando bibliotecas de código abierto y recursos confiables para lograr sus propósitos maliciosos. Prevemos que se abusará de otra forma de confianza: la de los recursos internos de las compañías, pues a medida que hábiles atacantes busquen consolidar su presencia en una red infectada, pueden apuntar sus ataques contra los recursos de la red interna de las compañías, como Sharepoint, servidores de archivos, o portales de contabilidad y pagos. Quizás incluso lleguemos a ver como se sigue expandiendo el ya desenfrenado abuso de los certificados de confianza, cuando los atacantes establezcan una autoridad de certificación completamente falsificada para emitir certificados para sus programas maliciosos.

Los actores APT en el futuro

La rentabilidad del ciberespionaje no ha pasado desapercibida para los cibermercenarios que, como esperábamos, han comenzado a poblar el escenario. Esta tendencia aumentará según lo haga la demanda de ciberhabilidades, tanto por parte de las compañías, como de los actores APT conocidos que buscan subcontratar las tareas menos críticas para no poner en riesgo sus herramientas ni su infraestructura principal. Podríamos plantear el término ‘APT como servicio’, pero quizás resulte más interesante esperar que la evolución de los ataques dirigidos produzca el término ‘Acceso como servicio’. Este último implica la venta de acceso a blancos de alto perfil que ya fueron víctimas de los cibermercenarios.

Respecto al futuro del ciberespionaje, vemos la posibilidad de que los miembros de equipos APT bien establecidos (el ‘uno por ciento de APTs’) salgan de las sombras. Esto sucedería en una de dos formas: como parte del sector privado con la proliferación de contrataques contra hackers (hacking back) o al compartir sus ideas con la amplia comunidad de seguridad informática, por ejemplo, participando con nosotros en conferencias en las que conozcamos la otra cara de la moneda. Mientras tanto, la Torre de Babel APT seguirá incorporando más idiomas.

El futuro de Internet

La infraestructura misma de Internet ha mostrado señales de tensión y fracturas en los últimos años. La preocupación por redes zombi masivas de routers, el secuestro de BGPs, los ataques masivos DNS o ataques DDoS lanzados desde servidores es una señal de la impunidad y las lagunas en la legislación a nivel mundial. En cuanto a las predicciones a largo plazo, podemos entrever el futuro de Internet si la historia de la aldea conectada globalmente comienza a desdibujarse: podríamos terminar en un Internet balcanizado y dividido por fronteras nacionales. En este punto, la preocupación por la disponibilidad puede depender de las coyunturas de servicio que proveen acceso entre diferentes secciones, o quizás las tensiones geopolíticas que apuntan a los cables que conectan amplias franjas de Internet. Quizás incluso lleguemos a ver el surgimiento de un mercado negro para la conectividad. De la misma manera, podemos prever que a medida que las tecnologías que sustentan el submundo del hampa en Internet sigan atrayendo la atención popular y continúe su adopción masiva, es muy probable que los desarrolladores en los mercados, intercambios y foros clandestinos mejoren las tecnologías que consoliden el carácter clandestino de estas actividades.

El futuro del transporte

A medida que se dediquen inversiones y capacidades de investigación avanzadas al desarrollo de automóviles autónomos para distribución personal y comercial, seremos testigos de la aparición de sistemas distribuidos que controlen las rutas y el tráfico de grandes cantidades de estos vehículos. Es posible que los ataques no apunten contra estos sistemas en sí, sino que se concentren en la intercepción y espionaje de sus protocolos (un investigador de Synack presentó una prueba de concepto de las vulnerabilidades del ampliamente adoptado sistema Global Star de comunicación por satélite en la conferencia BlackHat de este año). Entre las intenciones previsibles de estos ataques está el robo de bienes costosos o el daño físico que provoque la pérdida de vidas.

El criptoapocalipsis está cerca

Por último, no podemos dejar de remarcar la importancia de los estándares criptográficos para mantener el valor funcional de Internet, como una herramienta transaccional y de intercambio de información, de ilimitadas posibilidades. Estos estándares criptográficos se basan en la suposición de que la potencia informática necesaria para descifrar los productos encriptados supera en gran medida todas nuestras capacidades combinadas como especie. ¿Pero qué pasa cuando realizamos un salto paradigmático en las capacidades informáticas, tal como lo prometen los futuros logros en la computación cuántica? Aunque las capacidades cuánticas en un principio no estarán disponibles para los ciberpiratas comunes, señalan un colapso en la confiabilidad de los actuales estándares criptográficos y la necesidad de diseñar e implementar la “criptografía post-cuántica”. Dado el bajo índice de adopción o la implementación adecuada de la criptografía de alta calidad en su estado actual, no prevemos una transición fluida que compense las fallas criptográficas a escala.

Publicaciones relacionadas

Hay 1 comentario
  1. Jesúa

    Excelente post de Kaspersky Security Bulletin. , saludos cordiales…Jesús:-))

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *