Tendencias y amenazas informáticas en 2017

Cuando el mercado mundial apenas se estaba recuperando del ataque informático de Wannacry, una nueva variante de ransomware llamada Petya acaparaba los titulares de prensa. Algunos detalles del nuevo panorama de seguridad informática global.

Ya en 2010 un nuevo virus llamado Stuxnet dio un campanazo de alerta mostrando que las ciberamenazas del mundo digital están afectando cada vez más el mundo real. Concretamente Stuxnet tomó el control de más de 1.000 máquinas centrifugadoras de una planta nuclear iraní destruyendo el 20% de ellas[1].  Se trató del primer gusano informático desarrollado específicamente para atacar una infraestructura física y se rumora fue creado por servicios de inteligencia estadounidenses para torpedear el programa nuclear iraní.

Desde aquel entonces no han faltado noticias de ataques de virus informáticos con diferentes modos de ataque, motivos y técnicas donde los más recientes han estado vinculados con una modalidad criminal conocida como Ramsonware y específicamente con dos nombres en concreto: Wannacry y Petya.

Sin embargo, el ransomware es apenas una parte de la complicada y sofisticada variedad de diferentes programas malignos conocidos como malware. Unos programas que hacen parte de una industria que en 2014 generaba más dinero que el mismo tráfico de estupefacientes con un monto estimado en 575.000 millones de dólares que representaban más del PIB de un país medio[2].  Para la muestra, en ese mismo año Colombia tuvo un PIB de 378.4 millones.

Algunos de los tipos de malware más conocidos según Kaspesky Lab son:

Virus clásicos. Programas que infectan a otros programas por añadir su código para tomar el control después de ejecución de los archivos infectados. El objetivo principal de un virus es infectar. La velocidad de propagación de los virus es algo menor que la de los gusanos.

Gusanos de red. Este tipo de malware usa los recursos de red para distribuirse. Su nombre implica que pueden penetrar de un equipo a otro como un gusano. Lo hacen por medio de correo electrónico, sistemas de mensajes instantáneos, redes de archivos compartidos (P2P), canales IRC, redes locales, redes globales, etc. Su velocidad de propagación es muy alta.

Caballos de Troya, troyanos. Esta clase de programas maliciosos incluye una gran variedad de programas que efectúan acciones sin que el usuario se dé cuenta y sin su consentimiento: recolectan datos y los envían a los criminales; destruyen o alteran datos con intenciones delictivas, causando desperfectos en el funcionamiento del ordenador o usan los recursos del ordenador para fines criminales, como hacer envíos masivos de correo no solicitado. No son virus clásicos porque no infectan otros programas o datos.

Spyware. Software que permite colectar la información sobre un usuario/organización de forma no autorizada. Su presencia puede ser completamente invisible para el usuario. Pueden colectar los datos sobre las acciones del usuario, el contenido del disco duro, software instalado, calidad y velocidad de la conexión, etc.

Phishing. Es una variedad de programas espías que se propaga a través de correo para que los usuarios proporcionen datos confidenciales, de carácter bancario preferentemente. Los emails phishing están diseñadas para parecer igual a la correspondencia legal enviada por organizaciones bancarias, o algunas marcas conocidas. Tales emails contienen un enlace que redirecciona al usuario a una página falsa que va a solicitar entrar algunos datos confidenciales, como el numero de la tarjeta de crédito.

Adware. Muestran publicidad al usuario. La mayoría de programas adware son instalados a software distribuido gratis. La publicidad aparece en la interfaz. A veces pueden colectar y enviar los datos personales del usuario.

Riskware. No son programas maliciosos, pero contienen una amenaza potencial. En ciertas situaciones ponen sus datos a peligro. Incluyen programas de administración remota, marcadores, etc.

Fuente: ZDNet

Rootkits. Un rootkit es una colección de programas usados por un hacker para evitar ser detectado mientras busca obtener acceso no autorizado a un ordenador. Esto se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o instalando un módulo de kernel. El hacker instala el rootkit después, obteniendo un acceso similar al del usuario: por lo general, craqueando una contraseña o explotando una vulnerabilidad, lo que permite usar otras credenciales hasta conseguir el acceso de raíz o administrador.

Spam. Los mensajes no solicitados de remitente desconocido enviados en cantidades masivas de carácter publicitario, político, de propaganda, solicitando ayuda, etc. Otra clase de spam hacen las propuestas relacionadas con varias operaciones ilegales con dinero o participación en algún negocio[3].

Nuevas tendencias y amenazas

Pero estos programas nocivos no se han quedado estáticos, han evolucionado con el paso del tiempo para adaptarse a nuevas tendencias como la mayor penetración de las plataformas móviles y el Internet de las Cosas (IoT). Como ejemplo, basta recordar que el 85% de las infecciones en dispositivos móviles provienen de los teléfonos inteligentes[4] y siguen en aumento.

En el caso de los teléfonos inteligentes Android es la plataforma más atacada al abarcar la mayoría del mercado con un 72% del mismo. De esta forma, sólo para el primer trimestre del 2017 se registraron más 8.400 nuevos virus diarios, una cifra que se espere superé los 3.5 millones para final de año[5].

Una amenaza peor es el IoT pues del total de 28.000 millones de dispositivos que estarán conectados en 2021 cerca de 16.000 millones serán IoT. Se trata de dispositivos cuya administración y protección representa retos mayúsculos para la industria y cuyos efectos nocivos ya se han sentido.

Un ejemplo del peligro lo dio Mirai, un malware de la familia de las botnets que se usó para los dos ataques de negación de servicios (DDoS) más grande de la historia y que fueron los responsables de sabotear y en algunos casos sacar del aire servicios de gigantes como Netflix, Airbnb, Amazon, DirecTV, Reddit y Spotify, entre otros[6].

Para lograr derribar estas empresas Mirai se aprovechó de toda clase de dispositivos conectados a internet como impresoras IP, cámaras y sistemas de video, entre otros, logrando generar ataques de más de 1.2 Terabytes por segundo de tráfico[7] (Tbps). 

Algo más preocupante aún es que en la gran mayoría las empresas dueños de estos dispositivos ni siquiera se percataron de que fueron utilizados y el único síntoma era una desmejora en su funcionamiento (lentitud).

Peor aún, muchos de los dispositivos usados en ese ataque usan un sistema operativo, invisible para los usuarios normales, cuyas contraseñas eran básicas y fáciles de adivinar, -por ejemplo, con combinaciones como admin o 1234-, y que no se podían a cambiar a menos que se instalara un patch[8].

Pero, aunque estos males aumentan diariamente la atención del público está centrada actualmente en el ransomware, como en el caso del Wannacry que atacó más de 400 mil máquinas en 150 países.  Aun así, este tipo de programas nocivos no son algo nuevo y sólo en 2016 aparecieron más de 62 nuevas familias de este tipo de virus.

El ramsonware viene desde los años 90s, pero lo que ha sido una novedad es el uso de Bitcoin como medio transaccional para negociar sus rescates que empezó a usarse desde 2013.

Se trata de programas que secuestran la información de los usuarios y piden dinero a cambio de liberar los archivos. Curiosamente los creadores de ransomware venían de atacar el sector bancario, pero han cambiado con el paso de los años y ahora provienen de grupos criminales más pequeños estimulados por la facilidad de uso y ganancias.

De hecho, se estima las ganancias obtenidas con una sola familia de ransomware pueden superar los 325 millones de dólares[9] y peor aún se estima que en promedio una de cada cinco empresas que paga a los secuestradores no recupera su información[10].

La facilidad del actuar delictivo de ransomware también ha disparado su uso, sólo entre abril de 2016 a marzo del presente año, se registró un aumento del 11.4% en su actividad pasando de 2,315,931 infectados a 2,581,026.

De hecho, el ransomware se ha vuelto tan rentable que investigadores ya han descubierto una modalidad delictiva usando el Ransomware as a Service(RaaS), haciendo que este tipo de ataques sean más fácil que nunca.

Por este sistema, los desarrolladores del malware dan de forma gratuita, por muy poco dinero o por un porcentaje de las ganancias, los programas malignos a personas con poco conocimiento técnico, pero con información clave de los blancos[11].

Curiosamente en el mercado estadounidense se encontró que no existe una gran predilección por el tipo de empresas atacadas, aunque lo encabezan ligeramente las empresas de ingeniería mecánica e industrial (15%), seguidos del sector financiero y bancario (13%), además del sector inmobiliario (12%).

Fuente: CheckPoint

Esta popularización en los ataques ha llevado a los departamentos informáticos corporativos a creer que están tratando principalmente con criminales profesionales que están innovando diariamente en los vectores de ataque (74%), seguidos de criminales novatos (14%) e incluso algunos creen que existen países y organizaciones estatales detrás de estos hechos (6%)[12].

Pero a pesar de las inmensas cifras que respaldan los ataques informáticos y de ramsonware existen algunas prácticas para evitar caer en las redes informáticas encabezadas por una: el software actualizado.  Algunas empresas, ya sea por descuido o por el reto de administrar muchos computadores de su sistema informático, descuidan esta labor y al hacerlo abren la puerta a vulnerabilidades usadas por lo criminales.

La segunda mayor práctica es no abrir archivos provenientes de sitios extraños y usar programas de seguridad especializados (antivirus, cortafuegos, etc.). Al respecto, dos de las formas más comunes de infectarse es por recibir correos y abrir archivos nocivos y por visitar páginas desconocidas. 

Tercero, sin importar los sistemas informáticos de las empresas es indispensable crear una política de respaldos para generar copias de los datos críticos del sistema que permitan garantizar su funcionamiento, incluso en los peores escenarios.

INFORMACIÓN TOPCOMM