2010: el año de las vulnerabilidades
Por los acontecimientos ocurridos en el mundo de los programas maliciosos, el año 2010 ha sido casi igual a 2009. Las principales tendencias y vectores de los ataques siguen siendo los mismos, pero algunos problemas están ahora en un nuevo nivel cualitativo.
La cantidad de nuevos programas maliciosos detectados cada mes se mantiene en el mismo nivel de 2009, e incluso en algunos tipos se ha notado una reducción de sus actividades. Al mismo tiempo, los ataques mediante navegadores y botnets continúan siendo las principales amenazas.
El principal tema de 2010 han sido las vulnerabilidades, en primer lugar en los productos de la compañía Adobe. Han sido justo estas vulnerabilidades las más usadas para irrumpir en los ordenadores. Continúa la transición desde la explotación de las vulnerabilidades en los productos de Microsoft hacia las de los productos de Adobe y de Apple (Safari, Quicktime, iTunes).
Conclusiones
En nuestro informe de 2009 tratamos de pronosticar los caminos más probables en que se desarrollaría la delincuencia informática y los tipos de ataques en 2010. Un año más tarde, se puede sacar la conclusión de que, en su mayor parte, nuestros pronósticos se han confirmado.
Aumento de la cantidad de ataques mediante redes P2P (pronóstico confirmado)
Las redes P2P de verdad se han convertido en una de las principales maneras en que los programas maliciosos irrumpen en los ordenadores, y según nuestras apreciaciones, actualmente este vector es el segundo según la cantidad de incidentes provocados, sólo por detrás de los ataques mediante los navegadores de Internet.
En las redes P2P se han propagado casi todo los tipos de amenazas: virus de ficheros, antivirus falsos, backdoors y todo tipo de gusanos. Además, estas redes se han convertido en la principal vía de difusión de las nuevas amenazas, como ArchSMS.
Los especialistas en seguridad de otras compañías también han notado el recrudecimiento de las actividades de los delincuentes en las redes P2P. Así, por ejemplo, la compañía Cisco en su informe del primer semestre de 2010 hace hincapié en el significante crecimiento de la cantidad de ataques en las tres redes P2P más populares: BitTorrent, eDonkey, Gnutella.
Y en efecto, en marzo empezó una epidemia en las redes P2P que según los datos recopilados por Kaspersky Security Network, por primera vez en la historia superó los 2,5 millones en un mes. A finales de año esta cifra, según las apreciaciones más moderadas, alcanzó los 3,2 millones de ataques.
La lucha por el tráfico (pronóstico confirmado)
Los así denominados “programas de afiliados” siguen siendo uno de los principales métodos de interacción entre las bandas cibercriminales y los servicios que crean nuevas botnets, administran los recursos existentes de las botnets y los adaptan a nuevos tipos de actividades.
Junto a las actividades que son abiertamente criminales, como la infección de sitios web legítimos y de los usuarios mediante la tecnología drive-by-download, en 2010 se empezaron a usar con cada vez más frecuencia métodos semilegales de lucro. Entre ellos están los distintos métodos de obligar a los usuarios a descargar ficheros por su propia voluntad, el uso de recursos “tomados” para hacer Black SEO, Attention-grabbing links para propagar Adware y redirección del tráfico hacia diferentes recursos para adultos.
Se puede encontrar más información sobre los métodos de funcionamiento de estos “programas de afiliados” en el artículo “Los peligros en Internet”.
Epidemias e incremento de la complejidad de los programas maliciosos (pronóstico confirmado)
En 2010 no ocurrió ni una sola epidemia comparable por su velocidad, envergadura y sensacionalismo con la historia del gusano Kido (Conficker) en 2009. Sin embargo, si valoramos cada uno de estos factores por separado, muchos programas maliciosos del año pasado, sin lugar a dudas, pueden clasificarse como epidemias globales.
Los nombres de las botnets Mariposa, Zeus, Bredolab, TDSS, Koobface, Sinowal y Black Energy 2.0 fueron objeto de constantes publicaciones e investigaciones en 2010. Cada uno de estos nombres tiene en su haber millones de ordenadores infectados en todo el mundo. Todas estas amenazas fueron causadas por los programas maliciosos más complejos desde el punto de vista tecnológico.
No sólo se propagaban por todos los medios existentes, empezando por el tradicional correo electrónico, sino que se empezaron a difundir en las redes sociales y las redes P2P. Algunas de estas amenazas eran pioneras en el campo de los programas maliciosos para plataformas de 64 bits y muchas de ellas se propagaban con la ayuda de vulnerabilidades de día cero.
Y en el primer lugar de esta lista de las actividades creativas de los creadores de virus hay que añadir un programa en verdad revolucionario, el gusano Stuxnet. Stuxnet se convirtió en el principal tema de seguridad informática en la segunda mitad de 2010 y por la cantidad de publicaciones sobre él mismo, sus posibles objetivos y métodos de funcionamiento, dejó muy atrás a todos los conocidos antes.
Vemos que los programas maliciosos más propagados son también los más complejos desde el punto de vista tecnológico. Esto hace que las compañías antivirus que luchan contra estas amenazas se vean obligadas a subir su nivel. No es suficiente poder detectar el 99% de los millones de ejemplares maliciosos y no poder detectar uno de ellos, pero que es peligroso en extremo (y por lo tanto, muy difundido).
Reducción de la cantidad de antivirus falsos (pronóstico confirmado)
Éste fue un pronóstico cuestionable, que dividió las opiniones incluso entre nuestros colegas. Para que se confirmase era necesaria la presencia de una serie de factores adicionales, como el cambio de las principales formas de hacer dinero de los dueños y participantes en los programas de afiliados, la resistencia de las compañías antivirus y los órganos de seguridad del estado, y la presencia de una competencia seria entre los diferentes grupos de delincuentes dedicados a la creación y propagación de antivirus falsos.
Al analizar los resultados del año y basarnos en los datos estadísticos obtenidos mediante Kaspersky Security Network, podemos considerar que la reducción de los antivirus falsos ha transcurrido de una forma satisfactoria. Habiendo llegado a la cima de su virulencia en febrero-marzo de 2010 (aproximadamente 200.000 incidentes por mes), a finales de 2010 los antivirus falsos redujeron su presencia cuatro veces. Al mismo tiempo, se observa que los antivirus falsos han cambiado su vector hacia determinadas regiones. Los estafadores dejaron de propagarlos globalmente y se concentraron en un pequeño número de países (sobre todo EEUU, Francia, Alemania y España).
Ataques contra Google Wave (pronostico no confirmado)
Google cerró este proyecto a mediados de 2010, sin haber podido implementarlo en su totalidad y reclutar una masa crítica de participantes. Por esta razón el pronóstico de los ataques contra este servicio y sus clientes no se confirmó.
Ataques contra iPhone y Android (pronóstico confirmado en parte)
En 2009 se detectaron los primeros programas maliciosos para iPhone y el primer programa espía para Android. En 2010 suponíamos que la atención de los delincuentes informáticos se concentraría en estas plataformas.
En lo que concierne a iPhone, no hubo incidentes con verdaderos programas maliciosos, como los que provocó el gusano Ike en 2009. Sin embargo, este año se crearon varios programas “de concepto” para esta plataforma, que muestran los métodos que podrían usar los delincuentes informáticos. Merece la pena destacar el programa SpyPhone, creado por investigadores suizos y que puede obtener acceso no autorizado a la información sobre el dispositivo, el paradero del usuario, sus intereses, contraseñas e historia de búsqueda en Internet, actividades y amigos del usuario del iPhone. Después, puede mandar esta información a un servidor remoto sin que el usuario se dé cuenta. Estas funcionalidades pueden estar dentro de una aplicación de apariencia inocua.
Si bien antes los expertos afirmaban que el principal grupo de riesgo eran los usuarios que habían usado el programa jailbreak para instalar programas de cualquier procedencia, ahora existe la posibilidad teórica de ataques maliciosos contra los usuarios que descargan aplicaciones desde Apple Store. Ya han ocurrido varios incidentes con aplicaciones legales que, sin que el usuario se diera cuenta, recopilaban datos y los enviaban a sus creadores.
Todo lo descrito también se puede aplicar a Android, pero con una salvedad: para este programa se descubrieron programas maliciosos que tenían funciones cibercriminales y que funcionaban con el conocido método de los troyanos móviles, es decir, enviaban mensajes SMS a números de pago. Trojan-SMS.AndroidOS.FakePlayer, a todas luces creado por un ruso, fue descubierto por nuestra compañía en septiembre de 2010 y se convirtió en el primer malware real para Android. A pesar de que la propagación del troyano no se hacía mediante Android Market, sino a través de sitios web de estafas, consideramos que la probabilidad de que aparezcan aplicaciones maliciosos en Android Market es muy alta. Es más: la gran cantidad de aplicaciones legítimas que durante su instalación le piden (y reciben) al usuario acceso a sus datos privados, funciones de envío de mensajes SMS y ejecución de llamadas, nos obliga a reflexionar sobre todo el concepto de seguridad de Android.
Esto es todo lo que atañe a nuestros pronósticos y cuán acertados fueron. Además, es necesario mencionar una serie de incidentes y tendencias que tuvieron una gran influencia en la industria de la seguridad IT.
Ataques dirigidos a las corporaciones y empresas industriales
El ataque conocido como Aurora que tuvo lugar a principios de año, no sólo afecto a Google (empresa considerada como blanco principal de los ataques), sino a una serie de otras grandes compañías de todo el mundo. El incidente puso al descubierto grandes lagunas en los sistemas de seguridad y reveló cuales eran los objetivos potenciales de los atacantes: hacer espionaje informático y robar datos comerciales confidenciales. Cabe destacar que en el futuro estos mismos objetivos seguirán teniendo vigencia.
La historia de Stuxnet, que ya hemos mencionado, es interesante no sólo por la extrema complejidad de este programa, sino también porque el objetivo de su ataque fueron los controladores lógicos (PLC) usados en la producción industrial. Este es el primer ejemplo de sabotaje cibernético en la industria capaz de causar serios daños físicos. El límite entre el mundo virtual y el real prácticamente se ha borrado, lo que nos enfrenta a tareas completamente nuevas que es necesario resolver en el futuro próximo.
Los certificados digitales
Los certificados y firmas digitales son uno de los fundamentos en que se basa la confianza que se tiene en los diferentes objetos del mundo informático. Por supuesto, la presencia de una firma digital en el fichero juega un papel importante el desarrollo de antivirus. Por ejemplo, los ficheros firmados por los fabricantes de confianza se consideran limpios. Esta tecnología permite a los desarrolladores de soluciones antivirus reducir la cantidad de falsos positivos y, al mismo tiempo, de economizar recursos durante el escaneo de los ordenadores de los usuarios para detectar infecciones.
Los sucesos de 2010 mostraron que el delincuente puede recibir el certificado digital de una manera completamente legal, como cualquier otro desarrollador de software. Por ejemplo, desarrollando un “software de administración remota sin GUI”, que en realidad es un backdoor. Esta forma de evitar ser detectado es muy popular entre los creadores de AdWare, RiskWare y antivirus falsos. Habiendo recibido del centro de certificación la clave necesaria, el delincuente puede firmar cualquiera de sus creaciones sin ningún problema. En esencia, se puede decir que la idea de la certificación de software se ha desacreditado seriamente. Hasta el punto en que estamos ante el peligro de la desacreditación de algunos de los centros de certificación (que son varios centenares) o la aparición de centros de acreditación pertenecientes a delincuentes.
Además, un certificado o, para ser más exactos, una clave cerrada es, en esencia, un fichero que puede ser robado como cualquier otra propiedad virtual. Los componentes del gusano Stuxnet venían firmados con certificados de Realtec Stuxnet y JMicron. No se sabe a ciencia cierta cómo cayó la clave en manos de los delincuentes, pero es evidente que existen varias vías. Pudieron obtener estos importantes ficheros comprándoselos a los insiders, o robándolos por medio de algún backdoor u otro programa malicioso similar. Por ejemplo, el robo de certificados es una de las funciones del propagado troyano Zbot (ZeuS).
Ataques informáticos en 2011: ¡a robar todo!
Para entender mejor cuales son los sucesos que nos esperan en 2011 en el campo de las amenazas virales, es necesario clasificar las posibles tendencias en varias categorías. En rigor, son solo tres: los objetivos, los métodos y los organizadores de los ataques cibernéticos.
En nuestros anteriores pronósticos nos dedicamos al análisis exclusivo de los métodos, por ejemplo, los “ataques a las plataformas móviles”, las “vulnerabilidades”, etc. El motivo es que durante los últimos años, en esencia, los únicos creadores de amenazas virales eran los delincuentes cibernéticos. Y su objetivo era siempre el mismo: el dinero.
Pero en 2011 es posible que haya cambios significativos en la estructura de los organizadores de los ataques cibernéticos y sus objetivos. Este cambio, por su significado, será comparable con la desaparición de los programas escritos sólo por diversión, para hacer gamberradas o para auto expresarse y el surgimiento de la delincuencia informática actual.
Los métodos
Es importante mencionar que los métodos de los ataques cibernéticos no dependen de la composición de sus organizadores y sus objetivos, sino que son el reflejo de las posibilidades tecnológicas prestadas por los sistemas operativos modernos, Internet y sus servicios, como también de los dispositivos para el trabajo.
2010 ha sido el año de las vulnerabilidades. En el año que viene, la vigencia de este problema crecerá aún más. El crecimiento de los casos de uso delictivo de los errores en los programas se deberá no sólo al descubrimiento de nuevas vulnerabilidades en los productos populares (Windows, Office; los productos de Adobe y Apple), sino también por la creciente aceleración de las reacciones de los delincuentes a su detección. Si bien hace un par de años el uso activo de las vulnerabilidades de día cero era un fenómeno único, en 2010 estos casos ya no eran nada raros. Esta tendencia continuará su desarrollo y las amenazas de “día cero” prevalecerán aún más. Además, no sólo se usarán las vulnerabilidades (muy apreciadas por los delincuentes) de la clase “remote code execution”, sino también las vulnerabilidades de aumento de privilegios en el sistema, la manipulación de datos y la evasión de los mecanismos de defensa del sistema.
Los principales métodos de lucro ilegal seguirán siendo los robos de cuentas de sistemas bancarios online, el envío de spam, la organización de ataques DDoS, la extorsión y el fraude. Para lograr estos objetivos se usarán los mismos métodos de ahora, con una insignificante reducción de unos y el correspondiente aumento de otros.
Sin dudas, aumentará la cantidad de amenazas para las plataformas de 64 bits. En el campo de los ataques a los dispositivos y sistemas operativos móviles se darán nuevos pasos, que sobre todo afectarán a Android. Se incrementará la cantidad de ataques contra los usuarios de las redes sociales. Sin ninguna duda, la mayoría de los ataques usarán las vulnerabilidades y se realizarán mediante el navegador de Internet. Los ataques DDoS seguirán siendo uno de los problemas más importantes de Internet.
Pero todo esto estará en segundo plano respecto al principal cambio de la situación: la aparición de nuevos organizadores y nuevos objetivos de los ataques informáticos.
Nuevos organizadores y nuevos objetivos
Como ya lo hemos dicho, durante los últimos años nos hemos visto obligados a luchar contra los códigos maliciosos creados por los delincuentes para lucrar. La creación del sensacional gusano Stuxnet significó que se había roto cierta barrera moral y tecnológica. El ataque del gusano mostró a todo el mundo que las posibilidades de las armas cibernéticas son impresionantes y que para los amenazados la tarea de hacerles frente puede ser extremadamente compleja. No se excluye la posibilidad de que desde ahora los programas similares a Stuxnet sean utilizados por las fuerzas de seguridad secretas y las compañías comerciales.
Desde luego, por la cantidad de ataques e incidentes virales estos infractores estarán muy por detrás de los delincuentes cibernéticos tradicionales. Pero al mismo tiempo sus ataques pueden ser mucho más refinados y difíciles de descubrir. Sin embargo, no afectarán a los usuarios comunes y corrientes. Esta será una lucha invisible, cuyos episodios en muy raras ocasiones aparecerán en los medios de comunicación. La mayoría de las víctimas nunca se enterará de qué manera y quién causo los perjuicios. Y no estamos hablando del sabotaje cibernético efectuado por Stuxnet. El principal objetivo de estos ataques será la información.
Es posible que ataques similares empiecen sólo en 2011 y se plasmen plenamente en los años posteriores. Sin embargo, en este momento ya está claro que como consecuencia de la aparición de nuevos organizadores de ataques, la lucha contra las amenazas cibernéticas se hará mucho más compleja.
Spyware 2.0
Hace varios años describimos el concepto de Malware 2.0. Pero ha llegado la hora de un nuevo concepto: Spyware 2.0.
Demos un vistazo a los programas maliciosos modernos. Aparte de enviar spam y organizar ataques DDoS, su principal función es robar los datos de todo tipo de cuentas: bancos, correo, redes sociales, etc. Sin embargo, esto no es todo, ni lo más valioso que poseen los usuarios. En 2011 esperamos la aparición de una nueva clase de programas espía, cuyas funcionalidades se pueden describir de una forma muy simple: “robar todo”. Estos programas estarán interesados por el usuario en sí: su paradero, su trabajo, sus aficiones, conocidos, datos sobre su estado, familia, color de pelo y ojos, etc. Les interesará cada documento y cada fotografía almacenada en el ordenador infectado.
¿No les parece que semejante conjunto de datos es parecido al que aspiran recibir las redes sociales y los vendedores de publicidad en Internet? Esta información de verdad la necesitan todos, y hay una gran cantidad de compradores potenciales de estos datos. Y no es tan importante su uso posterior, basta saber que tiene demanda. Esto significa que la delincuencia cibernética recibe una fuente más de ganancias.
Además, los organizadores de nuevos ataques cibernéticos usarán las mismas técnicas de los programas que “roban todo” descritos más arriba.
La información es el activo más apreciado del mundo moderno y el que la posee obtiene un gran poder. Se expandirá considerablemente la esfera de intereses de los que lanzan ataques de este tipo.
Además, la delincuencia cibernética profesional con cada vez más frecuencia empezará a irrumpir en aquellos campos que ha evitado hasta ahora: los ataques a las compañías. Si antes, aparte de los usuarios corrientes, los delincuentes se interesaban sólo por los bancos y sistemas de pago, ahora han avanzado lo suficiente en el plano tecnológico para entrar en el mercado del espionaje industrial, el chantaje y la extorsión.
Resumen de las principales tendencias de 2011:
- Nuevos jugadores entran al campo de la creación de programas maliciosos.
- Además del lucro, el nuevo objetivo de la creación de programas maliciosos y la realización de ataques será recopilar información.
- La información será el principal objetivo de los nuevos organizadores de ataques y también se convertirá en un método adicional de lucro para los delincuentes cibernéticos tradicionales.
- Una nueva clase de programas maliciosos, Spyware 2.0 se dedicará al robo de la información personal de los usuarios (identity theft) y el robo de todo tipo de datos.
- El Spyware 2.0 no solo se convertirá en instrumento de los delincuentes cibernéticos tradicionales, sino de los nuevos organizadores de ataques.
- Los delincuentes cibernéticos tradicionales atacarán con una frecuencia cada vez mayor a los usuarios corporativos, dejando de lado paulatinamente los ataques a los usuarios comunes y corrientes.
- Las vulnerabilidades seguirán siendo el principal método de realizar los ataques y su espectro y velocidad de uso crecerán de forma significativa.
Resumen de 2010 y pronósticos para 2011