(in)seguridad 2017: dormí con varias frazadas

Nota previa de RDG: Como casi todos los años —y casi todas las publicaciones—, a fin de año solemos publicar algún tipo de pronóstico de lo que se va a venir el próximo ídem. Como vimos que el año que viene se viene más IoT, más cloud, más movilidad, más Big Data, más Docker, más node.js… es decir, nada nuevo, decidimos este año darle una pequeña vuelta de tuerca y le pedimos a nuestro querido y muy respetado colaborador Rubén Borlenghi (a.k.a. el Microsaurio) que nos dé un panorama de lo que se viene en materia de seguridad informática, de ataques, de amenazas, de ciberdelito y demás yerbas por el estilo.

Para qué… nos dejó con los pelitos de la nuca parados y con la idea de andar pegados a la pared todo el resto del año (por lo menos). Pero bueno, precisamente de eso se trata: de avisar, de anoticiar, de concientizar. Se viene un año muy difícil. Y no hablo sólo de política.

Panorama de inseguridades informáticas para 2017: opinan los expertos, todos mezclados.

(Por Rubén Borlenghi, el Microsaurio) Durante noviembre y lo que pasó de diciembre, se publicaron varios estudios sobre las amenazas a la seguridad informática que probablemente se detecten el año próximo, generados por enjundiosos equipos de conocidas empresas. Leí muchos, y me quedé con los de Intel-McAfee, Symantec, Karspersky, A10 Networks y ESET. Y de yapa, pedí opinión a un experto local. Quédense tranquilos; estamos mal, pero nos va a ir peor.

Va mi apretado resumen. Las empresas en general coinciden. Cuando algún especialista opina diferente, lo señalo. La estrella es el ransomware, capturar la información de una computadora para solicitar rescate.

Autos conectados y con computadora de a bordo: serán tomados como objetivo para ataques que los controlarán/dañarán. Es posible que se les descargue ransomware y haya que pagar para poder usarlos. Eso último lo escribió Symantec.

Componentes de la Internet of Things: la existencia de fabricantes que descuidan la seguridad de sus productos causará problemas en gran escala. Tal vez haya que forzar su desconexión perjudicando a los usuarios (dijo Kaspersky). Esos equipos representarán una amenaza importante para los hogares, donde servirán de indebida puerta de entrada a las redes locales.

Ransomware: Crecerán los ataques y afectarán a usuarios en la Nube. Algunos diseñadores de este malware no proveerán las claves después de recibir el pago. Opinión en contra: McAfee indicó que el ransomware decrece en el segundo semestre de 2017.

Teléfonos celulares: aumentarán los intentos de espionaje ya que los usuarios guardan cada vez más detalles de su vida analógica y digital en el móvil. Las amenazas mobile incluirán ransomware, RAT (malware que permite el acceso al celu desde “afuera”) y apps malignas en los repositorios autorizados.

Infraestructura Crítica: será atacada porque no está suficientemente protegida; los componentes de IoT conectados a ella serán vías de acceso. Habrá más ataques de denegación de servicio que incluirán a Proveedores de Internet.

Privacidad y libertad de opinión: Los sistemas de análisis de comportamiento de usuarios, empleados en marketing web, serán utilizados por algunos gobiernos para calificar la opinión política de los disidentes y los hacktivistas se dedicarán a denunciarlo… o a publicar los datos privados.

Manipulación de la información: se conocerán más falsas campañas de noticias o “…leaks” para influenciar a la opinión pública o engañar periodistas, además de incrementar los “me gusta” pagados o la publicidad falsa.

Navegación web peligrosa: Los diseñadores de malware emplearán técnicas de análisis de comportamiento de visitantes, para generar websites donde alojarán malware, que así será más efectivo en el ataque. Avisos publicitarios falsificados serán usados como vehículo de descarga de malware.

Ciber agresiones entre estados: aumentará el riesgo de errónea atribución de origen de un ataque y la posibilidad de una escalada de tensión por falsas atribuciones.

Inteligencia artificial y Machine Learning usadas para ataques: ambas técnicas, y el análisis predictivo, serán usados por los diseñadores de malware para facilitar los ataques que se inician por ingeniería social u otros tipos de identificación del blanco.

Industria financiera y bancaria: aumentarán los ataques para financiar terrorismo o para provocar cortes de servicio. Los conocidos troyanos bancarios serán redactados por productores de ransomware, y aumentará la actividad policial internacional coordinada para combatirlos. Desde websites que empleen HTTPS se engañará a los usuarios por medio de phishing.

Drones: Según McAfee aparecerá el dronejacking, control y captura de drones atacando sus comunicaciones o el software de abordo.

Hasta aquí los comentarios de especialistas de empresas internacionales. Además de las fuentes externas, quise conocer la opinión de un profesional local muy bien calificado a nivel mundial, Arturo (buanzo) Busleiman, un experto que ahora se desempeña como Chief Strategy Officer en Mkit Argentina y que, por lo que pude enterarme, está comenzando una Fundación.

La parte técnica de su opinión es ésta, que te copio textual:

• Van a crecer los ataques a sistemas informáticos en el área de salud. Y con esto incluyo tecnología que puede ser utilizada para manipular, seguir e incluso asesinar, pacientes.
• El ransomware va a seguir creciendo a pasos agigantados, con lo que también crecerá la industria del backup, tanto online como offline, y los híbridos que van apareciendo.
• Los ataques avanzados llegarán a ser implementados por actores de menor capacidad técnica, una evolución del ‘script kiddie’, término con el que se solía designar a aquellos aspirantes a Hacker que simplemente utilizaban herramientas, pero no entendían su funcionamiento. La posibilidad de poder determinar si un ataque es orientado o “al voleo”, ya es un particular valor agregado a los servicios corporativos, se verá beneficiado por la necesidad de proteger contra situaciones complejas pero de origen simple.
• Los gobiernos se encuentran estudiando, y en algunos casos muy conocidos ya utilizando, conceptos como el “ciber rastrillaje”, o la explotación de vulnerabilidades por parte de la Justicia con motivos de investigación criminal. Esta es una práctica que es particularmente peligrosa para la propia Justicia, ya que no existe ni el nivel de conocimiento ni recursos humanos en la cantidad necesaria, para poder comprender las complejas ramificaciones de las técnicas que los criminales tendrán a su disposición para abusar de los propios investigadores (o de sus herramientas).
• Por supuesto, existen profesionales altamente experimentados (y digo experimentados, y no capacitados, porque son cosas diferentes, tener una o veinte certificaciones no prueba nada) trabajando en la Justicia, pero insisto en destacar “en la cantidad necesaria”. Veremos, por tanto, que la “ciber-profesionalizacion” del criminal dará origen a asociaciones ilícitas de mayor capacidad técnica.
• Pinto un escenario sombrío, lo sé. Ya no es la época del Gusano de Morris, o del virus Michelangelo. No, hoy toman control de tu vida, de la de tu familia, de la de tu entorno, y del Estado.
• Y mientras tanto, pareciera que esa necesaria inversión en EDUCACIÓN, en CIENCIA, en TECNOLOGIA… se apunta a aumentar los bolsillos de simples empresas e individuos que no se dan cuenta que pueden perderlo todo con solo un click por parte de un criminal.

Hasta acá la opinión del Buanzo. Si alguno tiene ganas, busque su perfil de LinkedIn.

En lo que a mí respecta, no hay demasiadas novedades respecto de lo que se puede ver y oír en cualquier conferencia de seguridad informática seria. Y para los fanáticos del celular, un recuerdo: en la década de 1990 decíamos que la computadora más segura era la compu apagada. Muchos celus actuales no se apagan nunca, y tienen la batería soldada. La única forma no destructiva de desconectarlos es dejarlos sin cargar hasta que la batería se agote. Y por supuesto, el micrófono se puede encender “desde afuera” sin que te enteres. Ya sé, queda el método de la bolsa de material aluminizado o una buena jaula de Faraday, pero estamos hilando muy fino. Respecto al ransomware: hay remedio (limitado) gracias a un esfuerzo internacional. Te lo cuento otro día.