Noticias

La carrera armamentista en la ciberdelincuencia

La ciberdelincuencia llegó para quedarse

Nuestra sociedad ha evolucionado de tal manera que muchos de nosotros, si no la mayoría, pasamos gran parte de nuestra vida conectados línea Internet. De muchas maneras, este mundo virtual online refleja nuestro mundo real. Los delincuentes, una desgraciada pero parte real de nuestra estructura social, también se han reflejado de manera muy natural en el mundo virtual. La omnipresencia de los ciberdelincuentes ya es innegable, fomentada por el creciente número de transferencias de dinero y de datos online que hacen de ellas blanco irresistible. Hoy en día, el ecosistema de la ciberdelincuencia está alcanzando su madurez con modelos sólidos bien definidos de relaciones y de negocios. Una nueva clase de ciberdelincuentes de manera libre y abierta se dedica a vender y comprar códigos maliciosos. El abanico de estos ciberdelincuentes abarca desde los pequeños estafadores que roban pequeñas cantidades de dinero hasta aquellos que intentan robar grandes sumas de dinero de una sola vez.

La actividad delictiva siempre ha emulado los negocios legales; en este sentido, la imagen de un contador de la mafia es la primera que se nos viene a la cabeza. Sin embargo, vale la pena mencionar que actualmente la ciberdelincuencia no se encuentra organizada en una o más organizaciones internacionales mafiosas con un capo a la cabeza. Se trata más bien de un mundillo interdependiente que se basa en grupos cuyas operaciones se complementan. Por ejemplo, el individuo o grupo dueño de un botnet (red de ordenadores zombis) capaz de lanzar ataques DDoS o de distribuir mensajes no deseados, necesita dotarse de direcciones de correo. Alguien más, a quien el dueño del boot no necesita conocer ni mantener contacto alguno con él, cumple la función de robar y vender las direcciones necesarias. Este modelo de negocio refleja de muchas maneras el modelo de negocios de empresas legítimas. Así como la presencia en una zona de una compañía automotriz impulsa la creación de otras industrias, como fábricas de carburadores, pernos, etc., los ciberdelincuentes no necesitan estar conectados organizativamente, sino sólo para el mutuo beneficio económico.

La ciberdelincuencia como negocio

La ciberdelincuencia moderna se parece a cualquier otro negocio. Se comporta siguiendo principios empresariales tradicionales, como rentabilidad, facilidad de uso, manejo de riesgo, y mercados emergentes.

La ciberdelincuencia es rentable

El criterio más importante para cualquier negocio es la rentabilidad, y la ciberdelincuencia no es la excepción. En realidad, la ciberdelincuencia es en extremo rentable. Se han robado grandes sumas de dinero en una sola acción, así como se han adquirido pequeñas sumas de manera repetida. Por ejemplo, sólo en 2007 se reportó un promedio de un ciberdelito por mes.

  • nero de 2007 – Piratas rusos, con la ayuda de intermediarios suecos, robaron 800.000 euros del banco sueco Nordea.
  • Febrero de 2007 – La policía brasileña arrestó a 41 piratas por utilizar un troyano para robar datos de cuentas bancarias que utilizaron para robar 4,74 millones de dólares.
  • Febrero de 2007 – Diecisiete miembros de una banda de ciberdelincuentes fueron arrestados en Turquía por el robo de 500.000 dólares.
  • Febrero de 2007 – Li Jun fue arrestado por el virus “Panda burning Incense” usado para robar nombres de cuentas de apuestas y de mensajería instantánea. Se cree que ganaron 13.000 dólares por la venta del programa malicioso.
  • Marzo de 2007 – Cinco europeos del este fueron enviados a prisión por un fraude de tarjetas de crédito en el Reino Unido, habiendo robado alrededor de 1,7 millones de libras.
  • Junio de 2007 – En Italia se arrestó a 150 ciberdelincuentes por bombardear a los usuarios italianos con mensajes de correo fraudulentos para generar alrededor de 1,25 millones de euros en ganancias ilegales.
  • Julio de 2007 – Ciberdelincuentes rusos usaron un troyano para robar 500.000 dólares de bancos turcos.
  • Agosto de 2007 – El ucraniano Maxim Yamstremske (conocido como “Maksik”) fue detenido en Turquía por ganar decenas de millones de dólares mediante el robo de identidades.
  • Septiembre de 2007 – Gregory Kopiloff fue acusado en los Estados Unidos por el uso de los programas de uso compartido de archivos P2P Limeware y Soulseek, para obtener información utilizada en fraude de identidades; se cree que gastó miles de dólares en compras usando datos robados.
  • Octubre de 2007 – Greg King fue arrestado en los Estados Unidos por participar en el ataque DDoS contra Castle Cops en febrero de 2007; se enfrenta a una sentencia máxima de 10 años en la cárcel y 250.000 dólares en multas.
  • Noviembre de 2007 – El FBI arrestó a ocho individuos en la segunda fase de su iniciativa antibotnet, llamada “Operation Bot Roast”, que descubrió más de 20 millones de dólares en pérdidas económicas y más de un millón de ordenadores víctimas.
  • Diciembre de 2007 – Cibedelincuentes penetraron en los ordenadores del Laboratorio Nacional Oak Ridge (ORNL) del Departamento de Energía de los Estados Unidos; se cree que también atacaron el Laboratorio nacional de los Álamos y el Laboratorio Nacional Lawrence Livermore. Entre 1999 y 2004 se robaron más de 12.000 números de la seguridad social y fechas de nacimiento de los visitantes de ORNL. Esta violación de seguridad se considera un tema de seguridad nacional y deja a las víctimas individuales vulnerables ante el robo de identidad y fraudes financieros.

Estos ejemplos no constituyen más que la punta del iceberg. Las víctimas y/o las autoridades han autorizado la publicación de estos ejemplos. La mayoría de los ciberdelitos son investigados internamente por las mismas organizaciones afectadas o por las respectivas autoridades que realizan investigaciones encubiertas. Los resultados casi nunca se hacen públicos. La Figura 1 proviene de un informe de la organización Computer Security Institute y muestra las razones por las que las organizaciones prefieren no divulgar estos incidentes.

новое окно 
новое окно

Figura 1 – Razones por las que las organizaciones no informan sobre intrusiones

La ciberdelincuencia es fácil y de bajo riesgo

El segundo factor clave en el incremento de la ciberdelincuencia como negocio es que el riesgo es mínimo. El aspecto psicológico del delito constituye una medida de disuasión en el mundo real. Pero en el mundo virtual, los delincuentes nunca ven a sus víctimas individuales o a las corporaciones a las que atacan. Resulta mucho más fácil robar a los ricos o a alguien a quien no se ve, se toca o se siente.

Junto al misterioso anonimato aparece la infinidad de recursos online disponibles para acceder a vulnerabilidades, troyanos para construir botnets, soluciones completas para alquilar botnets, etc. (Ver Figura 2 y Figura 3). Cada vez disminuye el nivel de conocimientos técnicos necesarios para llevar a cabo actos delictivos en la Red, a medida que aumenta el número de expertos en Internet.

новое окно 
новое окно

Figura 2 – Captura de pantalla de un sitio de venta de botnets

новое окно 
Figura 3 – Captura de pantalla de un sitio de venta de nuevas vulnerabilidades

Los ciberdelincuentes explotan las oportunidades de la Web 2.0

La avalancha de nuevos servicios disponibles a través de Internet, junto a usuarios en todo el mundo que hoy adoptan con rapidez estos nuevos servicios, también contribuye al éxito de la ciberdelincuencia. Las zonas especialmente vulnerables a ataques incluyen:

  • Dinero virtual y banca online – El comercio por Internet y los bancos que trabajan para que las transacciones financieras online contribuyan a equilibrar la rapidez y la comodidad con una adecuada seguridad.
  • Facilidades para almacenamiento de datos y aplicaciones “en las nubes” – Con datos y aplicaciones cuyo almacenamiento en servidores externos no cesa de incrementarse, los delincuentes pueden interceptar el tráfico para acceder a información financiera, confidencial y propietaria.
  • Juegos online – Los delitos incluyen el robo de contraseñas y el robo de propiedad virtual para su reventa con significativas ganancias.
  • Agencias online de compra-venta de acciones bursátiles – Esta cómoda y rápida forma de responder a las fluctuaciones del mercado bursátil se ha convertido en un blanco codiciado para los ciberdelincuentes porque la información bursátil es un activo de mucha liquidez.
  • Web 2.0 – Los recursos online como redes sociales, blogs, foros, wikis, MySpace, YouTube, Twitter, y otros se basan en la facilidad de descarga, publicación y otras técnicas de compartir información que colocan a cada usuario de estos recursos en una situación vulnerable y propicia para infecciones virales.

Cómo funcionan los ataques

Cada generación de delincuentes se caracteriza por sus propias herramientas. Las armas favoritas de los actuales ciberdelincuentes son los troyanos; los utilizan para construir botnets, para robar contraseñas y datos confidenciales, para lanzar ataques DoS y para codificar datos para chantajear a sus víctimas. Una de las características más perturbadoras de los ataques actuales es el renovado objetivo de permanecer en el ordenador infectado. Los ciberdelincuentes usan una serie de técnicas para lograr este objetivo.

Hoy en día, los ciberdelincuentes están optando por lanzar discretos ataques dirigidos a determinadas organizaciones. La elaboración de un solo programa malicioso para un único objetivo exige mucho tiempo y es difícil de implementar. Sin embargo, una vez lanzados, estos ataques dirigidos casi siempre logran su objetivo. Estos ataques generalmente proporcionan a los ciberdelincuentes un significativo retorno de su inversión, lo que hace de los ataques dirigidos una pequeña pero importante forma de ciberdelincuencia.

Los modernos Botnets

Hoy en día, los botnets están formados por una cantidad de de ordenadores infectados muy fácil de manejar que permiten el control de bots (equipos zombi, robots) y el procesamiento de los datos recolectados. Las ganancias dependen del número de víctimas y de la frecuencia de la demanda de programas maliciosos. A mayor permanencia de un programa malicioso en un equipo, mayores las ganancias para su controlador. Otros métodos populares y efectivos que los modernos ciberdelincuentes utilizan para ampliar el margen de sus ganancias incluyen competir entre controladores y sabotear las soluciones de seguridad.

Técnicas de los ciberdelincuentes

En términos generales, los modernos ciberdelincuentes tienen que considerar dos técnicas distintas para lograr los resultados finales deseados: distribución e implementación.

Distribución

El primer paso para un ciberdelincuente es distribuir e instalar su programa malicioso. Los ciberdelincuentes usan una serie de técnicas para lograr este objetivo. Las actuales técnicas más conocidas de transmisión de programas maliciosos (también llamadas “vectores de infección”) son los mensajes no deseados y los sitios web infectados. El escenario ideal para un ciberdelincuente es un ordenador víctima con una vulnerabilidad que permita que un programa malicioso se instale de inmediato, ya sea que se haya distribuido por un mensaje no deseado o “de paso” mientras se navegaba por Internet.

Implementación

Una vez que se distribuye el programa malicioso, el pirata se esforzará por evitar su detección el mayor tiempo posible. Los creadores de programas maliciosos usan varias técnicas para maximizar el tiempo de vigencia de sus creaciones.

Como estrategia primaria, los creadores de programas maliciosos dependen del robo no sólo para la distribución de sus programas sino también para su supervivencia. Cuanto menos visible sea un programa malicioso ante los sistemas de detección antivirus y ante las respectivas autoridades, mayor será el tiempo que el programa malicioso permitirá el acceso al equipo víctima para recopilar información. Las técnicas más comunes de invisibilidad incluyen las tecnologías rootkit (paquete raíz), la neutralización de los mensajes de errores detectados en el sistema, los incrementos invisibles del tamaño de los archivos, los numerosos y variados compresores y el bloqueo de los mensajes de advertencia antivirus.

Los elaboradores de programas maliciosos también dependen en gran medida de las técnicas de distracción para evitar detecciones. El polimorfismo es una técnica de distracción que fue muy popular en los años 1990 y que luego virtualmente desapareció. Hoy en día, los autores de programas maliciosos han restomado el polimorfismo, pero rara vez intentan inyectar códigos polimorfos en los ordenadores cautivos. En vez de ello, existe una tendencia diferente al polimorfismo en el servidor que consiste en recompilar códigos en servidores de Internet con instrucciones de “no hacer nada” que varían con el tiempo, lo que dificulta en gran manera la detección de un nuevo programa malicioso alojado en el servidor. En realidad, actualmente existen servidores de Internet en los que los bots recompilan programas maliciosos con una frecuencia de hasta cada 5 minutos.

Ataques a las soluciones de seguridad

Otra técnica muy común consiste en sabotear los programas de seguridad para neutralizar la detección de los programas maliciosos extendiendo así su vida útil. El sabotaje a menudo termina un proceso de seguridad, elimina un código, o modifica el archivo anfitrión de Windows para prevenir la actualización de los programas antivirus. Además, los programas maliciosos a menudo eliminan códigos maliciosos previamente instalados, no para beneficiar al usuario, sino para garantizarse la “propiedad” y el control del ordenador cautivo para su propio beneficio. Esta competencia activa entre programas maliciosos remarca las oportunidades de las que gozan los autores de programas maliciosos y los delincuentes que los patrocinan.

El factor humano

Por último, cualquier sistema de seguridad tiene un talón de Aquiles. En el caso de la seguridad online, este talón de Aquiles es siempre el factor humano. En consecuencia, las técnicas de ingeniería social constituyen un elemento clave en los modernos métodos de propagación de programas maliciosos. Estas técnicas por lo general son tan simples como el envío de vínculos desde un amigo a través de un mensaje de correo o instantáneo. Estos vínculos se presentan de tal manera que parecen conducir a interesantes recursos en línea, pero en realidad conducen a recursos en sitios web infectados. Hoy en día, los mensajes de correo pueden contener scripts (rutinas) que conectan a sitios web infectados sin el conocimiento del usuario. Incluso usuarios instruidos y muy cautelosos que nunca activan vínculos no solicitados corren el riesgo de infectar su equipo por descargas “al paso” mientras navegan por Internet. Actualmente se da con alarmante rapidez la inclusión de eventos actuales en estas campañas, con resultados sorprendentemente efectivos. El phishing (correo fraudulento) sigue siendo la mayor fuente de infección a pesar de los esfuerzos de los bancos y de otras organizaciones con operaciones online por dotarse de todo tipo de medidas de protección. Aún es posible convencer a muchas víctimas inocentes para que exploren vínculos interesantes y para que acepten como legítimos comunicados aparentemente oficiales.

Pensamientos finales del autor

Para hacer frente a la ciberdelincuencia necesitamos desarrollar e implementar varias estrategias de seguridad. Damos por descontado que los programas antimalware y las estrategias de gestión de riesgo son vitales a todos los niveles.

Sin embargo, como afirmé antes, y lo sigo haciendo, creo que además de estrategias apropiadas de protección, una exitosa estrategia contra la ciberdelincuencia requiere un esfuerzo de la comunidad. Tiene que haber una Interpol de Internet completamente funcional y una creciente formación informática del usuario, con campañas similares de concienciación sobre el uso del cinturón de seguridad en los vehículos. Tiene que haber instrumentos legales que obliguen a los usuarios a comportarse de una manera segura y legal en su interacción online, así como consecuencias legales que complementen los esfuerzos de aplicación de dichas regulaciones. Tal como en el caso del uso de cinturones de seguridad, se necesita de una continua, incansable y expandida instrucción para la aceptación de las mencionadas medidas legales.

Aunque pienso que no será posible eliminar la ciberdelincuencia, como no ha sido posible eliminar la delincuencia en el mundo real, creo que sí podemos hacer de Internet un lugar seguro. Será necesario algo más que las medidas que propongo, más que una sola empresa, y más que un solo gobierno. Necesitamos una comunidad unida en la que cada individuo ponga su granito de arena en la construcción de la seguridad en línea… una comunidad como esta puede y tendrá éxito en la lucha contra los ciberdelincuentes en la mayoría de los casos. Y esa mayoría de los casos es un objetivo por el que vale la pena luchar

.

La carrera armamentista en la ciberdelincuencia

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada