Con tanta variedad de incidentes de seguridad en 2014 -desde las fugas de datos a gran escala hasta las vulnerabilidades en la web- es difícil saber qué destacó más. ¿Cuáles situaciones fueron meramente interesantes y cuáles tienen que ver con las tendencias más grandes en temas de seguridad en Internet? ¿Qué amenazas son restos del pasado y cuáles son indicaciones de lo que nos depara el futuro?
A continuación, cuatro de los acontecimientos más importantes en el ramo de la seguridad en línea del último año destcados por Symantec, lo que aprendimos (o deberíamos haber aprendido) a partir de ellos y lo que presagian para el próximo año.
1.- El descubrimiento de las vulnerabilidades Heartbleed y ShellShock \ Bash Bug
En la primavera de 2014, se descubrió Heartbleed, una grave vulnerabilidad en OpenSSL. Es una de las implementaciones más comunes de los protocolos SSL y TLS que se utilizan en muchos sitios web populares.Heartbleed permite a los atacantes robar información confidencial como credenciales de acceso, datos personales o incluso las claves de cifrado que pueden llevar a la revelación de comunicaciones seguras.
Luego, a principios de otoño, una vulnerabilidad fue encontrada en Bash, un componente común conocido como un caparazón, que se incluye en la mayoría de las versiones de los sistemas operativos Linux y Unix, además de Mac OS X (que en sí mismo está basado en Unix). Conocida como ShellShock o Bash Bug, esta vulnerabilidad permite a un atacante no sólo robar datos de una computadora infectada sino también tener control sobre el propio equipo, lo que podría darle acceso a otros equipos de la red.
Heartbleed y ShellShock se convirtieron en el centro de atención en seguridad del software de código abierto y se identificó como el núcleo de muchos sistemas de los que dependemos para el comercio electrónico. Para las vulnerabilidades en software patentado dependemos de un solo proveedor para proporcionar un parche. Sin embargo, cuando se trata de un software de código abierto, éste puede estar integrado en cualquier número de aplicaciones y sistemas. Esto significa que un administrador tiene que depender de una variedad de proveedores para el suministro de parches. Con ShellShock y Heartbleed hubo una gran confusión en cuanto a la disponibilidad y eficacia de los parches. Esperemos que esto sirva como una llamada de atención para la necesidad de contar con mayores respuestas coordinadas a las vulnerabilidades de código abierto, similares al programa MAPP.
En el futuro, amenazas como éstas seguirán descubriéndose en programas de código abierto. Pero, si bien esto es potencialmente una rica y nueva área para los atacantes, el mayor riesgo viene de las vulnerabilidades conocidas, en las que no se están aplicando los parches adecuados. El Informe sobre las Amenazas de Seguridad de Internet de este año mostró que 77% de los sitios web legítimos tenía vulnerabilidades explotables. Así que, en 2015 probablemente veremos atacantes utilizando Heartbleed o ShellShock, pero hay cientos de otras vulnerabilidades sin parches que los hackers continuarán explotando libremente.
2.- Ciberespionaje coordinado y potencial: Dragonfly y Turla
El grupo Dragonfly que parece haber estado en funcionamiento por lo menos desde 2011, inicialmente se enfocó en atacar empresas de defensa y aviación en Estados Unidos y Canadá, antes de cambiar su blanco a empresas de energía, a principios de 2013. Capaz de lanzar ataques a través de varios vectores diferentes, su más ambiciosa campaña de ataque infectó una serie de sistema de control industrial (ICS) de proveedores de equipos, dañando su software con un tipo de acceso remoto troyano. Esto dio a los atacantes acceso completo a los sistemas en los que se había instalado este software. Si bien esto permite a los atacantes llegar a las organizaciones objetivo con el fin de llevar a cabo actividades de espionaje, muchos de estos sistemas estaban utilizando programas ICS para controlar infraestructura crítica, tales como oleoductos y redes de energía. Si bien no se vio ciberespionaje en estos ataques, no hay duda que los atacantes tenían la capacidad y podrían haber puesto en marcha este tipo de acciones en cualquier momento. Quizás eligieron esperar y fueron interrumpidos antes de que pudieran seguir adelante.
Dragonfly también utiliza campañas dirigidas de correo electrónico spam y ataques de tipo watering hole para infectar organizaciones seleccionadas. Del mismo modo, el grupo detrás del software malicioso Turla también utiliza una estrategia de ataque múltiple para infectar a las víctimas a través de correos electrónicos de suplantación de identidad y ataques watering hole. Los ataques infectan una serie de sitios web legítimos y sólo “entregan” el software malicioso a los visitantes de cierto rango de direcciones IP preseleccionados. Los atacantes también podían dejar sus herramientas de vigilancia más sofisticadas para objetivos de alto valor. Los motivos de Turla son diferentes a los de Dragonfly. Los atacantes detrás de Turla están vigilando a largo plazo embajadas y departamentos del gobierno, una forma muy tradicional de espionaje.
Sin embargo, tanto las campañas de Dragonfly y de Turla llevan el sello de operaciones patrocinadas por algún Estado, mostrando un alto grado de capacidad técnica y recursos. Ellos son capaces de montar ataques a través de múltiples vectores e infectar numerosos sitios web de terceros, con el propósito aparente de ser ciberespionaje -y sabotaje- como una capacidad secundaria de Dragonfly.
Estas campañas son sólo ejemplos de las muchas otras campañas de espionaje que vemos y se crean a diario. Este es un problema mundial y no muestra señales de disminuir, como por ejemplo ataques como Sandworm, relacionados con una serie de vulnerabilidades de día-cero. Dada la evidencia de los amplios recursos técnicos y financieros, es muy probable que estos ataques estén patrocinados por el Estado.
3.- Tarjetas de crédito en la mira
El lucrativo negocio de la venta de datos de tarjetas de crédito o débito robadas en el mercado negro las vuelve un objetivo prioritario para los cibercriminales. En 2014 se presentaron varios ataques de alto perfil dirigidos a sistemas de punto de venta (POS) para obtener información de tarjetas de pago de los consumidores. Un factor que hace de Estados Unidos un objetivo prioritario es la falta de adopción del sistema chip-and-PIN, conocido como EMV (Europay, MasterCard y Visa), que ofrece más seguridad que las tarjetas de banda magnética. Los ataques utilizan malware que puede robar información de la banda magnética de la tarjeta de pago, al momento de ser leída por el equipo y antes de que se encripte. Esta información robada puede entonces ser utilizada para clonar esa tarjeta. Debido a que la información de transacciones de tarjetas EMV se codifica de forma única, cada vez, es más difícil para los criminales recoger pedazos de datos útiles de pago y utilizarlos de nuevo para otra compra. Sin embargo, las tarjetas EMV son tan susceptibles de ser utilizadas para compras en línea fraudulentas como las tarjetas tradicionales.
Apple Pay, que básicamente convierte tu teléfono móvil en una "billetera virtual" utilizando tecnología de comunicación de campo cercano (NFC), también se lanzó en 2014. NFC es un tipo de comunicación que implica la transmisión de datos de forma inalámbrica desde un dispositivo a otro objeto físico cercano, en este caso una caja registradora.
Mientras que los sistemas de pago NFC han estado disponibles por un tiempo, esperamos ver el próximo año un aumento en la adopción de esta tecnología en los consumidores, a medida que más teléfonos inteligentes son compatibles con él. Vale la pena señalar que, si bien los sistemas NFC son más seguros que las bandas magnéticas, todavía hay una posibilidad de que los hackers lo exploten, aunque esto requeriría que los atacantes se enfoquen en tarjetas individuales y no daría lugar a fugas a gran escala o robos como los que hemos visto. Sin embargo, la tecnología de pago utilizada actualmente no protegerá contra las tiendas que no almacenan los datos de las tarjetas de pago de sus clientes de forma segura, así que ellos todavía tendrán que estar al pendiente en proteger los datos almacenados.
4.- El aumento de la colaboración con la policía
Ahora, para hablar un poco de buenas noticias: en 2014 vimos muchos ejemplos de equipos internacionales de aplicación de la ley que tomaron una postura más activa y agresiva sobre los delitos informáticos, colaborando cada vez más con la industria de la seguridad en Internet para acabar con los criminales cibernéticos.
Blackshades es un troyano de acceso remoto (RAT) muy popular y poderoso utilizado por una amplia gama de agentes de amenaza, desde piratas informáticos principiantes hasta sofisticados grupos de ciberdelincuencia. En mayo de 2014, el FBI, Europol y varias otras agencias de aplicación de la ley arrestaron a decenas de personas sospechosas de actividad criminal cibernética centradas en el uso de Blackshades (también conocido como W32.Shadesrat). Symantec trabajó en estrecha colaboración con el FBI en este esfuerzo coordinado para acabar con ellos, compartiéndoles información que permitió a la agencia localizar a los presuntos implicados.
Apenas un mes después, el FBI, la Agencia Nacional de Crimen del Reino Unido y una serie de agencias internacionales encargadas de hacer cumplir la ley, trabajaron en conjunto con Symantec y otras empresas del sector privado, para detener dos de las operaciones de fraude financiero más peligrosas del mundo: el botnet Gameover Zeus y la red de ransomware CryptoLocker. Y, como resultado, el FBI confiscó una gran infraestructura utilizada por ambas amenazas.
Si bien estos desmantelamientos son parte de un esfuerzo continuo, no veremos a la ciberdelincuencia desaparecer de la noche a la mañana. Tanto la industria privada como las autoridades tendrán que seguir cooperando para tener un impacto duradero. En este sentido, a medida que la tasa y la sofisticación de los ataques cibernéticos se incrementa, esperamos ver la continuación de esta tendencia de colaboración para localizar a los delincuentes y detenerlos en el camino.
Así que, estos son los cuatro eventos más importantes de seguridad en línea que hemos visto este 2014. Por supuesto, todavía quedan algunas semanas antes de que llegue el 2015, por lo que todavía podríamos ver que aparezcan otros eventos, pero se puede confiar en que Symantec está aquí y protegemos tu información, sin importar lo que venga a futuro.