2018: Inteligencia Artificial versus Inteligencia Artificial

Rescates, nubes negras, inteligencia artificial para el mal, la Internet de las Cosas Peligrosas y un muestrario de pálidas. No hay vuelta: la seguridad es un espejismo.

Prólogo para visitantes no aquerenciados

Es costumbre de las empresas proveedoras de soft/hard para seguridad informática publicar predicciones destinadas a ilustrar o asustar a los posibles clientes. En esas empresas suele haber buenos investigadores, que no mienten. Y gerentes de marketing… que hacen marketing. Para eso les pagan.

Hoy me dediqué a separar, un poco, la paja del trigo. Y consulté a un experto local, por si acaso.

Y para arrancar, acá traduzco/adapto un recuadro de la página 54 del Informe Anual de Ciberseguridad 2017 de Cisco, que aclara muy bien porqué los delincuentes informáticos suelen tener éxito al atacar los servidores de una empresa:

“…El Cisco 2017 Security Capabilities Benchmark Study encontró que, debido a variadas limitaciones, las organizaciones pueden investigar solo el 56% de las alertas que reciben en un día. La mitad de las alertas investigadas (un 28% del total) son consideradas legítimas; menos de la mitad (46%) de las alertas legítimas son solucionadas. Además, el 44% de los gerentes de operaciones de seguridad ve más de 5.000 alertas de seguridad por día…”

(Nota mía: mencionan unos 2900 encuestados en 13 países centrales y esto lo uso escribiendo “Used with the permission of http://thenetwork.cisco.com“. No sea cuestión…)

A los papeles. Bah, a los comentarios.

Un tema famoso: el Ransomware

En punta arrancó Symantec con una frase que se las trae: “costosos accesorios hogareños serán capturados y puestos bajo recompensa”. Mencionan que aumentará el Ransomware-as-a-Service y los delincuentes se dedicarán a intrusar SmartTV, smart-juguetes y smart-utensilios con un ominoso “pague o no los usa más”. Desde ESET denominan al fenómeno “Ransomware of Things” (por lo de IoT), agregan a la lista al router o a la smart-heladera, y por supuesto a las empresas comerciales. En el tema del ransomware y el IoT también tercia Kaspersky, advirtiendo sobre la posibilidad de pedir rescate a las empresas de salud. Y desde TrendMicro dicen que esperan casos de biohacking, a través de equipos médicos portátiles y conectados al cuerpo del paciente

Mientras tanto la gente de McAfee menciona nuevos procedimientos en las campañas de ransomware: grandes empresas con ciber sabotaje, en una estructura de “ofrecer protección” al estilo mafia.

Cómo nos irá en la Nube

La buena gente de F5 Networks escribió un río de tinta sobre el crecimiento que se espera para PaaS (Platform as a Service, La Gran Nube) sin tocar el tema seguridad… lo cual es toda una definición por el absurdo, dado que dentro de las nubes hay datacenters, y dentro de los datacenters, hay servidores. Y dentro de los servidores, por qué no podría haber malware, ji ji.

Pero Mcafee tocó un tema delicado: las Serverless Apps. Indican que es cierto que pueden ahorrar tiempo y reducir costos, pero a través de ellas se puede escalar privilegios, o modificar dependencias.

Y Symantec menciona el malware sin archivo (fileless malware) y el de pequeños archivos (file light) que (dicen) hará un retorno muy aumentado en 2018.

Inteligencia Artificial, ciberguerra y ciberpolítica.

Desde McAfee advierten que ya se trabaja en la detección de nuevas amenazas a velocidad de procesador, y con un aprendizaje automatizado. Pero las máquinas pueden trabajar para cualquiera y el equipo hombre-máquina puede estar de este o del otro lado de la Ley, por lo cual se puede producir una carrera armamentística de acciones basadas en máquinas, válidas tanto para defensores como para atacantes. Durante el próximo año se experimentarán combinaciones de Inteligencia Artificial y Machine Learning y posiblemente se hará ingeniería inversa de un ataque, y se encontrará que fue guiado por alguna forma de Machine Learning, que también será utilizada para mejorar la ingeniería social usada en el phishing, o para acelerar la velocidad de los ataques donde se escanean vulnerabilidades.

Carl Herberger, de Radware, afirma que la Inteligencia Artificial será transformada en un arma. Ese concepto, esbozado en el comentario de McAfee más arriba, Carl lo expande citando a Vladimir Putin cuando, en su discurso inaugurando el año escolar en Rusia meses atrás, afirmó que “…la nación que logre un avance descollante en Inteligencia Artificial será la nación que logre la dominación mundial…”.

De lo cual Carl deduce que más de una nación poderosa volcará financiación al tema de la ciberdefensa mediante IA. Como caminos posibles, desde Radware enumera ejemplos de botnets conocidas, estupendamente automatizadas, y vaticina que la Ingeniería Social también será “mejorada” con IA. Me tomo la predicción muy en serio, dado que este hombre antes de trabajar para Radware estuvo en el Pentágono, a cargo de determinada área de prognosis no meteorológica dentro de la Air Force.

Llegar a una gran empresa ingresando a través del server de una PyME que le da servicio es un juego ya conocido. Symantec la considera un truco viejo del espionaje clásico, y como fue exitosamente probado en años pasados, también se empleará en 2018, con la ayuda de AI y Machine Learning.

También el informe de Kaspersky Labs lo menciona, destacando el uso de troyanos con sitios y víctimas específicas.

El péiper de Symantec también toca el tema. Dice que, si bien hasta el presente se han utilizado estas tecnologías como mecanismos de protección o detección, el próximo año los ciberdelincuentes los usarán para producir ataques. Será el primer año en que veremos Inteligencia Artificial versus Inteligencia Artificial en contextos de ciberseguridad. Los ciberdelicuentes usarán IA para atacar y explorar las redes de las víctimas, que es la parte más labor-intensiva del compromiso después de una incursión.

Avanzando en el tema, Checkpoint menciona varios casos en que equipos de ciberguerreros de diferentes países fueron señalados como agresores, robando, modificando o inventando información. También analizan el tema de Fake News, y su empleo para arruinar reputaciones o difundir propaganda, que esperan en aumento durante 2018.

Sobre el mismo tema, ESET señala el uso de bots para aumentar la presencia en las redes sociales, de tal manera que lo parecería la expresión popular termine siendo la manifestación de un grupo de atacantes.

Checkpoint dice abiertamente que “veremos gobiernos nacionales poner en funciones a ciber-ejércitos, para proteger sus intereses y los de sus ciudadanos; esas fuerzas estatales de ciberdefensa patrullarán las infraestructuras de Internet del país para proteger instalaciones físicas como las usinas, o fábricas estratégicas”.

Voto electrónico e Infraestructura Crítica

Como vemos, ya se está mencionando la Infraestructura Crítica. Por eso Camilo Gutiérrez, de ESET, reflexiona que “todo lo que tiene que ver con el sistema electoral debería empezar a considerarse parte de la infraestructura crítica de cada país (y ser cuidado como tal)”.

Y menciona además la necesidad de tener en cuenta los descubrimientos de fallas en los sistemas de votación electrónica en Brasil, Alemania y Argentina. En el mismo documento se detallan algunos ejemplos de coordinación entre los especialistas en seguridad y las policías u organizaciones similares para combatir a los delincuentes informáticos.

También TrendMicro estudió el tema de las elecciones, dado que en 2018 unos 24 países llevarán a cabo elecciones parlamentarias o presidenciales, y esperan que vuelva a aparecer el fenómeno de noticias falsas y otros tipos de ciberpropaganda, ya que no apareció un sistema confiable de detección o bloqueo.

Privacidad de datos, Seguridad de datos y la Unión Europea.

El 25 de mayo de 2018 comienza a funcionar en Europa la GDPR. Y ¡oh cáspita! CSO Online, ESET, TrendMicro y McAfee escriben sobre ella en sus Resúmenes de Seguridad 2018. Para complicarlo más, hasta coinciden. Para los que no lo recuerdan, la General Data Protection Regulation (GDPR), Regulación EU 2016/679, es una norma por la cual el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea intentan fortificar y unificar la protección de datos para todos los individuos dentro de la Unión Europea. En la parte dispositiva, entre otras cosas, menciona multas para las empresas (europeas o no) que no informen y mitiguen las fallas en la seguridad de los datos. En criollo, si hay un ataque como el que sufrió Equifax, multa. Multa gorda: hasta un 4% del beneficio anual según balances.

Según escribió Debbie Garside, colaboradora de CSO Online de IDG, en el año próximo habrá por lo menos una empresa que no reportará un ataque exitoso y preferirá sufrir una multa.

Desde ESET, Tony Ascombe, que coincide con el pronóstico de que una empresa fuera de las fronteras europeas probablemente será multada, observa que en EE.UU. la actual administración revocó este año la legislación que frenaba la recopilación y venta de datos de usuarios a través de los ISPs.

¿Habrá conflicto de intereses? McAfee también toca este tema (excepto en lo de “aparecerá un infractor al menos”) y aconseja a las empresas adaptarse a la Regulación. TrendMicro, por su parte, patea el tablero indicando que en una reciente encuesta descubrieron que el 42% de las empresas “no sabían que una base de datos de mail para marketing contiene información personalmente identificable”. No dicen de dónde eran las empresas, pero difícilmente serán latinoamericanas. Y por fin, marcan una amenaza: “Cuando se imponga la GDPR, los ciberdelincuentes podrían capturar datos privados cubiertos por la regulación y solicitar a las empresas que paguen o corran el riesgo de ser multadas. Además, los delincuentes podrían calcular el rescate a solicitar revisando las ganancias declaradas por una empresa, o emplear la información para hacer ingeniería social previa a un ataque”.

No den ideas…

Los navegadores o la UEFI tampoco se salvan

TrendMicro vaticina que las debilidades en las máquinas de JavaScript serán vehículo de ataques también en 2018. También indican que se emplearán vulnerabilidades del lado del servidor para bajar material dañino, además de nuevos exploits para SMB y Samba descargando ransomware. Habrá novedosos ataques a procesos de producción en entornos SAP y ERP, vulnerando los controles de acceso.

Kaspersky Lab, por su parte, recuerda el uso malicioso que se hizo de Browser Exploitation Framework, vaticinando que durante 2018 habrá atacantes que emplearán frameworks de uso público como el mencionado e, incluso, desarrollarán uno propio.

También sospechan que los ciberdelincuentes aprovecharán el año próximo el poder del código de UEFI para arrancar software antes de que actúe un antivirus, para plantar malware en las máquinas.

Criptografía y Cibermonedas, también amenazadas

El informe de Symantec deja poco lugar a dudas: los gobiernos, las fuerzas de seguridad, los proveedores de publicidad y las organizaciones de derechos humanos seguirán luchando para controlar la aplicación de cifrado y cómo debe ser usado, quebrado, sobrepasado o aplicado, especialmente en el cifrado de comunicaciones (email y mensajería). Kaspersky Lab es lapidario, recordando el tema de la sospecha de que la NSA habría pagado 10 millones de verdes a RSA para poner un algoritmo vulnerable en sus productos, y entonces, para 2018, dan como muy probable que se encuentren otras graves vulnerabilidades criptográficas (y esperan que se emparchen).

El uso de cibermonedas, o criptodinero (como también lo llaman) y la posibilidad de atacar sus sistemas, fueron estudiados por casi todas las fuentes que revisé. Kaspersky Labs señala que la continuidad del ransomware da motivo al uso de criptodinero para pagar a los secuestradores, dado que es casi imposible seguir la pista al pago del rescate; pero además indican que se realizarán ataques con mineros, usando web mining directamente en el navegador de la máquina atacada. Symantec vaticina que los ciberdelincuentes tratarán de robar monederos, o lograr que las víctimas instalen mineros en sus PC o teléfonos celulares (que trabajen sólo para los atacantes, claro). Trend Micro deja una frase ominosa: “Como muchas tecnologías prometedoras que fueron pensadas como seguras en un primer momento, debe observarse con máxima atención a Machine Learning y Blockchain”

En Checkpoint se preguntan si las criptomonedas serán reguladas por un Estado, ya que se las usa para abonar rescates de ransomware. También tocan el tema de los cripto mineros instalados en las PC de terceros para generar ganancias a ciberintrusos. Dado el rápido aumento del valor de cambio de Bitcoin, aparece la posibilidad de intentos de falsear la identificación de usuarios de los sistemas para robarlos. Todo esto podría provocar la acción de fuerzas de seguridad, lo cual afectaría probablemente el valor de esa moneda.

La vida conectada

TrendMicro dice que en 2018 el correo electrónico seguirá siendo un vehículo (exitoso) de ataques contra las empresas, con empleados girando dinero a extraños al obedecer una orden falsa. Symantec informa que como algunas de esas transacciones ya no se hacen desde una PC, el email no es vehículo, pero aparecerán (ya están) app para celular con las mismas prestaciones delictivas.

Nick Savvides, de Symantec, arranca afirmando que los artefactos IoT de hogares y oficinas serán usados para generar ataques de Distributed Denial of Service; además, algunos componentes de esos productos serán controlados por los atacantes, de manera remota, para difundir en el hogar o la oficina audio o video para hacer que esos aparatos hagan lo que el atacante quiere, y no lo que los usuarios esperan que haga. Además, esos componentes capturados por atacantes permitirán el acceso permanente a las redes hogareñas. Eso hará posible que, aunque un usuario “limpie” su PC mediante un antivirus, el atacante podrá reingresar e infectarla de nuevo (Brrr…)

Desde TrendMicro ponen un poquitín más de sal en la herida, ya que predicen que un atacante podrá instalar en un aparato IoT lo que desee, dado que las actualizaciones reales de fábrica serán siempre muy espaciadas, si es que existen. Y que se pone en riesgo el sistema de tecnología 5G, que está predeterminado para barrer entornos conectados.

Además, algunos accesorios como los parlantes inalámbricos (por Bluetooth) pueden permitir a los delincuentes verificar la ubicación de una casa y determinar si los habitantes han salido. Y entrar a robar sin problemas.

En el problema de artefactos que “vigilan” a los habitantes de una casa, coincide McAfee, además de recordar el tema de los niños expuestos a juguetes conectados a Internet que quedan a merced del intruso, que ve y oye a los niños.

Una sección del trabajo de McAfee, llamado “Cuando su hogar se transforma en la mejor vidriera” advierte que a medida que la casa del usuario se llena de aparatos conectados, las empresas tienen poderosos incentivos para observar lo que los habitantes hacen, y probablemente conozcan más de lo que los habitantes desean compartir.

McAfee predice que en 2018 habrá más empresas explorando nuevos caminos para capturar todos esos datos. SI las empresas tienen que pagar multas por excederse, lo anotarán como costo operativo, y cambiarán las Condiciones de Servicio (eso en letra chica que nadie lee, agrega el saurio) para quedar fuera de reclamos. Las habitaciones y los artefactos hogareños están ya equipados con detectores y controles capaces de informar a las empresas (y sus socios de negocio) cuándo es conveniente recomendar una actualización especial o una oferta para reemplazarlos. También es posible monitorear a los niños para sugerirles nuevos juguetes, hacerles aceptar actualizaciones o programas educativos online. Y los automóviles tienen hardware que informan a los fabricantes y sus services oficiales la ubicación y uso de los vehículos.

También desde McAfee se llama la atención de los padres sobre las consecuencias de un uso descuidado de las redes. Lo llaman “la mochila digital negativa de su hijo”, para referirse a las consecuencias de un posteo hecho a los apurones o una fotografía o video íntimos. Y será un problema para muchos adultos en el futuro cercano.

A lo cual se agrega la observación de Kaspersky Lab sobre los ataques que sufrirán los celulares en 2018, del tipo APT, amenaza avanzada y persistente.

¿Una vuelta de tuerca más? Según Kaspersky Lab, se podría controlar muchos de los objetos conectados a Internet, para una disrupción en gran escala. Por ejemplo, intrusando la tecnología de una Smart City…

Después de tantas predicciones de origen foráneo, consultar a un experto local es casi un cable a tierra, sin fantasías.

Para eso conté con Arturo ‘Buanzo’ Busleiman, CSO de Mkit, además de fundador y actual tesorero de la Fundación Capa 8. Buanzo marcó tres puntos de interés para 2018:

  • Abuso de CPU de usuarios para minado de criptomonedas, a un nivel similar al que alcanzó la difusión de ataques de ransomware en 2016/2017. Se mantiene el ransomware, pero el nuevo foco de novedades se traslada a servidores.
  • Aplicaciones para móviles: los mejores controles granulares para seguridad y permisos empiezan a rendir positivamente.
  • Infraestructuras críticas: a nivel global comenzarán a notarse los problemas en forma más regular, y seguramente se sepan datos de ataques sufridos en nuestro país.

Como puede leerse, hay coincidencia en la mayoría de los temas, entre la opinión de un especialista local y lo que publicaron las empresas mencionadas. En el tema de las app para celular, ojalá los desarrolladores no fueran tan invasivos. Aunque me parece que la presión la ejercen los departamentos de marketing…

En síntesis, disfrutá el 31 de diciembre y el 1° de enero y volvé a preocuparte a partir del 2…

Rubén Borlenghi, el Microsaurio

Docente y periodista. Investiga ataques informáticos desde que un virus le comió una nota hace 25 años. Los verdaderos hackers le cuentan cosas.

Ver todas las entradas de Rubén Borlenghi, el Microsaurio →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.