La in-seguridad informática de 2019: peligros, tensiones, advertencias.

Hacking Hacker Virus Trojan Program Computer

Otra vez fin de año, otra vez revisando una veintena de informes de seguridad, pronósticos y notas técnicas de empresas del palo. Cada una tiene especialistas muy bien entrenados; a algunos los conozco personalmente. En muchos casos se encontrarán con dos, tres autores opinando sobre lo mismo, coincidiendo o, más interesante, contradiciéndose. Probablemente cada uno intenta demostrar que su empresa es la mejor. A mí me interesa la información. A la confusa salsita le agregué las lacónicas opiniones de un experto local, en quien confío; que no trabaja para una empresa, y que es eso: experto. En síntesis: más de lo mismo, alguna novedad, y un gustito amargo, nada más.

Disfruten.

Los países y sus conceptos de Defensa

El gobierno de los Estados Unidos quiere mejorar sus sistemas de defensa, para lo cual el subsecretario del Departamento de Defensa de ese país, Patrick Shanahan, informó que se ha creado una Task Force para proteger la tecnología crítica local, para reforzar la ciber protección (sic) de su industria de la defensa, además de aumentar el uso de Inteligencia Artificial, en un Centro Conjunto de Inteligencia Artificial

Por el lado europeo quienes se preocupan son los organizadores (este mes) de la Conferencia de Políticas Internacionales en Administración Gubernamental de las Vulnerabilidades en Bruselas; con tópicos como Defensa, Seguridad y Ciberespacio. Afirman estudiar y hacer un balance de la capacidad de defenderse de los ataques informáticos provenientes de una potencia extranjera. Y (sospecho) cómo atacarlo más eficientemente, claro, porque “vulnerabilidades” ahí quiere decir “fallas de software o hardware”

A lo cual desde Forcepoint responden en un tono ligeramente siniestro: “…Las políticas comerciales aislacionistas incentivarán a los estados nacionales y a las entidades corporativas a robar secretos comerciales y usar tácticas cibernéticas para crear caos en industrias claves, infraestructura crítica y gobiernos…”

También desde Radware vaticinan que los ataques originados en conflictos entre países aumentarán, en cantidad y en severidad, buscando nuevas formas de causar cortes de Internet u otros servicios en áreas extensas, atacando a contratistas u organizaciones gubernamentales, o causando grandes pérdidas económicas o víctimas indirectas, al fallar sistemas de comunicaciones o paralizar el comercio.

La empresa Trend Micro también menciona a las víctimas inocentes que quedarán en medio del fuego cruzado de los gobiernos, e indica que los gobiernos buscarán más apoyo en los especialistas locales en intrusión. Además, afirman que los ataques sobre infraestructura crítica aumentarán.

Delito financiero en gran escala, sufrimientos en la Nube

Se trata de robar en cantidad y en varios países, no un par de tarjetas de crédito. Y quienes se preocupan son los miembros de la European Union Agency for Network and Information Security (ENISA) organización supranacional donde opinan que habrá un aumento en los ataques a los sistemas de pago más recientes, que emplean un celular como parte de la cadena.

Mezclando delito con Nube, desde Experian, una de las empresas estadounidenses de antecedentes crediticios llamadas Las Tres Grandes (las otras son Equifax y Trans Union) indicó que (esto lo traduzco casi completo) “No es cuestión de cómo, sino cuándo, un proveedor de cloud muy importante sufrirá una intrusión, comprometiendo información sensible de las empresas más grandes del mundo. La única pregunta es cuánto demorarán los delincuentes en llegar a la Nube”.

Mientras que desde Radware también dicen (menos melodramáticos) que la nube pública sufrirá un ataque masivo de seguridad, dado que la adopción de la nube se hace beneficiando al rendimiento y el costo total, subvalorando la seguridad. En sus palabras: “…las organizaciones confían y esperan que sus proveedores de Nube den adecuada seguridad a su información, pero esa percepción no siempre es una realidad, y 2019 lo demostrará…

Trend Micro también se refiere a la Nube, indicando que en 2019 aumentarán los incidentes debidos a errores de configuración producidos durante la migración a la Nube de los contenidos de clientes corporativos, y que se descubrirán más vulnerabilidades en software relacionado con Cloud.

Pescando en la Red

El engaño mediante un mensaje de correo electrónico que tiene contenido falso aumentará, indican desde Trend Micro, desplazando lentamente a los ataques realizados mediante la explotación de fallas de software.

Esta empresa afirma, además, que aparecerán las estafas llevadas a cabo mediante chatbots, que serán preparados para inducir a los clientes a mantener una conversación durante la cual harán clic en un link engañoso.

El rescate del rescate

El tema de cifrar los archivos de una computadora, y pedir rescate para entregar la clave de descifrado, ha evolucionado. Ahora se eligen los clientes, y desde Sophos mencionan al ransomware dirigido como una segunda etapa, en la cual no se envían emails con adjuntos dañinos “al por mayor” sino a blancos específicos; generalmente, directivos de una empresa o de un proveedor de una empresa.

Si revisan la página 9 del reporte de la empresa encontrarán un cuadro comparativo de ransomware, con componentes separados por tipo, dinero exigido como recompensa, si se puede descifrar o no sin pagar y otras características. Otro jugador, la empresa Avast, indica que el ransomware se ha reducido, pero que no desaparecerá.

Decir no al no

En un documento de mitad de año, Cisco vaticinó que aumentarían las DDoS, denegaciones de servicio distribuidas, que podrían llegar a 10,3 millones de incidentes en 2019. En los informes de nueve empresas más, opinan lo mismo.

Microsoft siempre en la mira

Desde Sophos mencionaron que encontraron ataques que emplean herramientas o archivos del sistema, como Powershell o ejecutables de Windows Scripting. También se aprovechan vulnerabilidades de Office, y agregan que muy probablemente se producirán nuevos archivos de ataque, los ominosos exploits.

En cuanto a Microsoft Edge, Malwarebytes opina que aumentarán los ataques, porque está ganando cuota de mercado.

La minería no se localiza bajo tierra

Durante dos años creció el uso (realmente, la captura) de máquinas hogareñas y celulares para procesar algoritmos relacionados con la creación de cibermonedas. Malwarebytes y también Avast señalan que irá desapareciendo como ataque a usuarios finales, para centrarse en servidores o componentes IoT. El informe de ESET analiza lo sucedido en 2018 y señala que podrían aparecer productos de minado de criptomonedas que identifiquen “competidores” que ya intrusaron una máquina e intenten anularlos para aprovechar mejor el sistema parasitado.

eCommerce, pero de datos

ESET indica que, frente a las fallas ampliamente publicitadas en determinados proveedores de redes sociales, el público desencantado podría migrar a plataformas nuevas. Respecto a la migración, señalan “…menos personas gastan su dinero y su tiempo en Facebook, pero más lo están haciendo en aplicaciones que son propiedad de Facebook, como Instagram, Messenger y WhatsApp”.

Retomando el tema de los datos robados, Kaspersky Labs recuerda que los datos obtenidos de diferentes ataques a gigantes de las redes sociales como Facebook e Instagram, y LinkedIn o Twitter, ahora están disponibles en el mercado para que cualquiera los adquiera. Por lo cual los atacantes podrán plantear ataques dirigidos más exitosos.

Desde Trend Micro también insisten en que habrá un aumento de transacciones fraudulentas a partir de uso indebido de datos personales.

Sobre el valor económico de los datos personales, un artículo del New York Times lo califica de esta manera: “los datos personales son el petróleo del siglo 21, un recurso que vale billones para aquellos que puedan extraerlo y refinarlo con mayor efectividad”.

Y los jeques árabes dueños del petróleo de aquella metáfora son… Facebook y Google, según Gabriel Dance, Michael LaForgia y Nicholas Confessore, los periodistas autores de la nota que recomiendo. Ah, claro, esos petroleros no venden su producto; lo alquilan. Así que es mucho más rendidor que el petróleo verdadero.

Malwrebytes señala que aumentarán los ataques a las empresas intermediarias en las transacciones, digital skimming, interceptando las comunicaciones por defectos en el “carrito de compras”.

El concepto de digital skimming es una reutilización del término “skimmer”, el dispositivo que un delincuente adhiere a un cajero automático para capturar los datos de la cinta magnética de una tarjeta de crédito, y luego robar fondos de la cuenta del cliente. Según adelanta Experian, se acerca el momento en que un digital skimmer exitoso desencadenará un ataque contra la red informática de una empresa financiera, en escala nacional, que podría resultar en pérdidas varias veces millonarias.

Symantec advierte sobre el posible aumento de los ataques a dispositivos IoT de procesamiento de pagos. También se infiltrarán con malware páginas web de sitios de transacciones, o se atacará a proveedores de las empresas financiera para poder interceptar credenciales o descifrar datos.

Mirando celulares por la calle

Mezclando Infraestructura Crítica con robo de datos personales, en Experian suponen que en 2019 un proveedor de servicios a nivel nacional podría ser usado como vehículo de un ataque simultáneo sobre celulares iPhone y Android, robando datos personales de millones de clientes o desconectando las comunicaciones inalámbricas en todo el país, posiblemente paralizando a la nación.

En Sophos también vaticinan que aumentarán las aplicaciones que contengan malware; Avast indica que más empresas de juegos para celulares seguirán los pasos de Epic cuando publicó su producto Fortnite por fuera del Google Play Store, poniendo en riesgo a los usuarios de Android. De mi cosecha agrego que en el Play Store se encuentran apps con software de ataque bastante seguido, como informó ya en 2017 Koodus.

Kaspersky también señala que el malware para móviles no disminuirá, y Trend Micro advierte que aumentará la sextorsión, relacionada con fotografías o videos originados en diferentes dispositivos.

Qualcomm, uno de los mayores proveedores de componentes para celulares, informó en diciembre fallas y vulnerabilidades en chips y software asociado. Si son empleadas por atacantes, pueden producir ejecución de programas a distancia, robo de información o fallas de conexión.

Ni en casa estás seguro

Sophos y Kaspersky aseguran que las botnets que emplean dispositivos IoT seguirán creciendo y aumentarán los ataques. Entre las predicciones de Symantec se asegura que a medida que pase el tiempo más dispositivos IoT se conectarán directamente a las nuevas redes 5G, en lugar de hacerlo a través de un router Wi-Fi. Esta tendencia hará que esos dispositivos sean más vulnerables a un ataque directo. Para los usuarios hogareños, esto hará también más difícil monitorear todos los dispositivos IoT, dado que ellos no pasan por un router central.

Desde Radware agregan que con el lanzamiento de redes y dispositivos 5G, los sistemas de salud, las ciudades inteligentes o los automóviles podrían ser víctimas de ransomware.

Avast coincide en que se acerca el ataque a los hogares inteligentes. Sobre el mismo tema ESET señala que los ataques conocidos migrarán hacia los productos que tengan menores características de seguridad, por lo cual será necesario conocer sus características de cifrado en la transmisión de datos, o que la autenticación de usuarios sea robusta. Además, habrá que considerar el lugar físico en que se los ubique.

Cisco señala varias áreas sensibles donde los intrusos tratarán de ingresar: las comunicaciones Vehículo-a-Vehículo (V2V) y Vehículo-a-Todo (V2X); las llaves de arranque del automotor con sistema remoto, los controles de airbags y los dispositivos contra choques.

Trend Micro indica que aparecerán los primeros casos de pacientes adultos mayores como víctimas de dispositivos implantados o portátiles “inteligentes” conectados a la Internet.

Forcepoint se suma, indicando que los atacantes causarán interrupciones en dispositivos de la Internet de las Cosas Industrial (IIoT) a través de vulnerabilidades en la infraestructura de la nube y en el hardware.

Sophos menciona que continuarán los ataque a estos modems y routers de hogar y PyMEs, y según Malwarebytes, aumentarán los ataques exitosos con nuevos métodos, donde una actualización de software no será el remedio.

En Symantec opinan que el malware que ingrese a uno de esos equipos podría robar credenciales bancarias, capturar números de tarjeta de crédito, o mostrar páginas web falsas al usuario, para que éste ingrese información confidencial.

Avast coincide, escribiendo que los routers seguirán siendo utilizados como objetivos de ataque, no sólo para ejecutar scripts maliciosos o espiar a los usuarios, sino también como un enlace intermedio en los ataques en cadena.

Inteligencia sin conciencia

Sophos menciona que los delincuentes informáticos suelen automatizar procesos en sus ataques, y que ello produce a veces acciones repetitivas que justamente permitirán detenerlos. Para Symantec, los atacantes explotarán los sistemas de Inteligencia Artificial y la usarán para auxiliarse en sus ataques. También atacarán equipos con IA, dado que allí se alojan grandes cantidades de datos. Puestos a fantasear, imaginan un video realista, hecho con IA, donde se vea a un CEO de una compañía anunciando una gran pérdida financiera, un incidente grave de seguridad u otra noticia importante.

ESET menciona que el machine learning puede ser una herramienta de ataque, mejorando la cantidad y calidad de la base de datos de objetivos vulnerables que un delincuente desea capturar.

Malwarebytes indica que aparecerán ataques a partir de herramientas como keyloggers por sonido de teclas, soundloggers, y software producido por IA que se adaptará para modificarse dinámicamente frente a un software de detección.

Forcepoint es lapidario (y contradice a todos): No existe inteligencia artificial (IA) real en la seguridad cibernética, ni probabilidad alguna de que se desarrolle en 2019.

A los cual se puede contraponer lo expresado en un webinar de IBM a través de su recientemente adquirida Resilient, donde además de hablar de las tendencias identificadas en este año, comentaron que en el futuro próximo tanto Machine Learning como Artificial Intelligence se expandirán, que la seguridad se desplazará hacia la Nube, y esbozaron cuál será el futuro del Security Operations Center.

En el tema de controlar ambientes multicloud opina Juniper, el otro jugador fuerte en las redes, que señala la falta de personal preparado para un futuro donde se trabajará con sistemas altamente automatizados, que incorporarán análisis y machine learning.

Infiltrar la cadena de producción

Symantec recuerda que se han producido ataques en los que se reemplaza un software legítimo destinado a ser distribuido como actualización, cambiándolo por un software infiltrado con malware. Indican que se podría intentar algo similar, en una cadena de producción de hardware, alterando un chip o agregando firmware a la UEFI/BIOS antes que esos componentes sean incluidos en millones de computadoras.

La cadena de producción no solamente es la informática. Toda empresa puede sufrir un ataque que se inicie ingresando en la red de un proveedor. Desde Kaspersky Labs señalan que este tipo de ataque “hizo que todos pensaran en la cantidad de proveedores con los que trabajan y qué tan seguros están. En 2019, este continuará siendo un vector de infección eficaz.” Entre las consultadas, seis empresas más vaticinan algo similar.

El sticker en el monitor

Malwarebytes opina que la industria de la seguridad será empujada por ataques más eficientes, para que resuelva el problema nombre de usuario/contraseña. Sobre reconocimiento facial, la gente de Forcepoint escribe que los delincuentes manipularán software de reconocimiento facial de usuarios finales, y las organizaciones responderán desplegando sistemas basados en el comportamiento.

En Experian opinan que los atacantes se dedicarán a vulnerar el reconocimiento biométrico. Se la considera la técnica más segura, pero los archivos pueden robarse o modificarse, o los sensores podrían alterarse.

Desde las Academias Nacionales de Ciencias de EE. UU. afirman que, dado que es probable que en un futuro relativamente próximo (10 años) se produzca una máquina que emplee computación cuántica, es necesario desarrollar algoritmos que puedan resistir un ataque de una computadora de ese tipo, y el estudio se llama New Cryptography Must Be Developed and Deployed Now.

Bring Your Own Security

Malwarebytes, llevando agua para su molino, afirma que luego de que los empleados se acostumbraran a trabajar bajo el concepto Bring Your Own Device, ahora las empresas impulsarán que cada equipo portátil o móvil esté cargado con software que agregue una capa de protección sobre su información personal.

Seguramente, los sysadmin querrán saber que hacen esos equipos dentro de la red de la empresa. Y Forcepoint desarrolla: “Manejar las amenazas dentro de una organización mediante el monitoreo en el lugar de trabajo es un elemento vital en la caja de herramientas de un profesional de seguridad, una forma confiable de proteger a los clientes, la propiedad intelectual y la marca, así como la buena reputación de sus empleados. Sin embargo, los programas de monitoreo en el lugar de trabajo deben introducirse enfocados en tres principios clave: propósito legítimo, proporcionalidad y transparencia total durante la implementación”.

Trend MIcro también espera más ataques donde el punto de entrada es un dispositivo de un empleado; por ejemplo, el parlante bluetooth conectado a su móvil.

Resumen del resumen

Hasta aquí el resumen. Tal como escribí en la introducción, y luego de haber resumido los vaticinios de empresas especializadas, les acerco lo que opinó Arturo ‘Buanzo’ Busleiman, que se desempeña en Seguridad Informática, Ministerio de Relaciones Exteriores y Culto, y además es fundador de @Fundación Capa8:

Sobre posibles ataques o riesgos en máquinas de usuarios corporativos:

La ingeniería social a recursos humanos (por ejemplo, mediante phishing) sigue siendo el principal vector de alto riesgo.

En cuanto a los ataques o riesgos en smartphones de usuarios corporativos

El ransomware mobile está en auge.

¿Y en cuanto a posibles ataques o riesgos en plantas de generación u otra infraestructura crítica, en países sudamericanos?

El riesgo es alto, y la posibilidad aún más alta. ya no importa dónde este ubicado el país ni su connotación política. La ciberguerra es ASIMETRICA.

A lo cual sólo me queda por agregar que… a buen entendedor, pocas palabras.

Hasta la próxima.

Rubén Borlenghi, el Microsaurio

Docente y periodista. Investiga ataques informáticos desde que un virus le comió una nota hace 25 años. Los verdaderos hackers le cuentan cosas.

Ver todas las entradas de Rubén Borlenghi, el Microsaurio →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.