Select Page
Mi viejo antivirus ya no es lo que era…

Mi viejo antivirus ya no es lo que era…

…ya no es lo que era…
…ya no es lo que era…

A pesar que no pasaron tantos años, muy lejos estamos de los viejos y tradicionales antivirus.

Muy lejos de la época en que era suficiente tener un buen antivirus actualizado en las estaciones de trabajo para tener un nivel de protección adecuado.

Hoy el nivel de amenazas es tan sofisticado, que los antiguos antivirus ya no funcionan y los sistemas de protección se vieron obligados a evolucionar. De hecho, hoy evolucionaron también los conceptos, y ya no protegemos estaciones de trabajo o servidores, protegemos endpoints.

Y qué es un “endpoint“? es cualquier dispositivo con capacidad conectarse, emitir y recibir paquetes en una red TCP/IP. El término puede referirse a servidores, desktops, laptops, teléfonos inteligentes, tablets, thin clients, impresoras o cualquier otro hardware especializado, como terminales POS, ATMs, ATSs, dispositivos IoT.

El objetivo de la mayor parte de los ataques a los sistemas es comprometer al blanco y obtener accesos que, finalmente, resulten en la pérdida o exposición de un recurso o un conjunto de datos. A pesar de los múltiples niveles de protección, los atacantes tienen a su disposición una gran cantidad de técnicas y herramientas que les permiten pasar desapercibidos y obtener el acceso que buscan.

Un atacante que quiere ingresar a un sistema de forma indebida, debe completar una secuencia de eventos para robar información o ejecutar malware. Casi todos los ataques se basan en comprometer un endpoint. Aquí es donde el viejo antivirus se ve reemplazado por la  Protección Avanzada de Endpoints (AEP), cuyo objetivo es el de interrumpir un ataque antes de que pueda comprometer al endpoint. Hoy en día, los mejores AEP combinan múltiples métodos de prevención como el aprendizaje automático, la inteligencia artificial, el reconocimiento de patrones o algoritmos predictivos para detectar y bloquear malware y para contener actividades sospechosas.

Si bien cada vendor hace sus propias definiciones, se puede decir que los sistemas AEP se pueden dividir en tres tipos:

EDR
Endpoint Detect and Response (Detección y respuesta en endpoints)
Esta tecnología está diseñada para desarrollar funciones de monitoreo continuo y respuesta a amenazas avanzadas.

Los sistemas EDR se diferencian de otras plataformas de protección, como antivirus y anti-malware, en que el objetivo principal, al contrario que sus abuelos… es detener las amenazas en la fase de pre-infección. Los EDR se centran en proveer visibilidad completa de los endpoints. De esta forma, brindan la información necesaria para ayudar a los analistas de seguridad a descubrir, investigar y responder a las amenazas más avanzadas. También ayudan en las campañas de ataque más amplias que se extienden a través de múltiples endpoints. Los EDR más avanzados poseen componentes de inteligencia artificial que les permiten tomar decisiones en forma automática disminuyendo la intervención humana y, por lo tanto, los riesgos, los errores y un nuevo problema fundamental presente en muchos operadores de diversos tipos de sistemas: la Alert Fatigue o Fatiga al recibir alertas en forma constante.

Las características que incluyen la mayoría de las soluciones EDR son:

  • Capacidad de detectar y prevenir procesos de exploit ocultos que son más complejos que una simple firma o patrón y evaden el AV tradicional.
  • Inteligencia en amenazas
  • Visibilidad en todos los endpoints, incluidas aplicaciones, procesos y comunicaciones, para detectar actividades maliciosas y simplificar la respuesta a incidentes.
  • Automatización de alertas, así como respuestas defensivas o desactivación de procesos específicos cuando se detecta un ataque.
  • Capacidades forenses, ya que una vez que el atacante está adentro, se necesita la habilidad de investigar detalladamente sus actividades para poder entender sus movimientos y minimizar el impacto de la intrusión.
  • Recolección de datos para construir un repositorio utilizado para el análisis

EPP
Endpoint Protection Platform (Plataforma de Protección de Endpoints)
Según la definición de Gartner, una EPP es una solución distribuida sobre múltiples dispositivos endpoints para prevenir ataques de malware basados en archivos, detectar actividades maliciosas y proporcionar capacidades de investigación y reparación necesarias para responder a incidentes de seguridad y alertas dinámicas.

Las capacidades de detección pueden variar, pero las soluciones avanzadas utilizan múltiples técnicas de detección, desde IOCs (Indicators Of Compromise=Indicadores de Compromiso) estáticos hasta análisis de comportamiento.
Una característica distintiva es que la mayoría de las soluciones de EPP se gestionan principalmente en la nube. Esto permite la supervisión y recopilación continuas de datos. junto con la capacidad de realizar acciones de reparación remotas. Esto es posible tanto si el endpoint se encuentra en la red corporativa como fuera de la oficina. Además, estas soluciones están asistidas por datos en la nube, lo que significa que el agente del endpoint no tiene que mantener una base de datos local de todos los IOCs conocidos, sino que busca en la nube para encontrar los datos sobre objetos sospechosos que no puede clasificar.

NGAV
Next Generation AntVirus (Antivirus de Próxima Generación)
Estos productos son, como su nombre lo indica, una generación avanzada de antivirus. Es decir que a las características y funciones que contienen los antivirus actuales, agregan funcionalidades avanzadas. Tal como está descripto en ese artículo, las funciones que los NGAV agregan a los AV tradicionales son:

  • Contención de exploits de modo de evitar que un exploit se ejecute en el endpoint.
  • Inteligencia en amenazas
  • Creación y mantenimiento de listas blancas de aplicaciones permitiendo solo a ciertas aplicaciones aprobadas ser ejecutadas en el sistema.
  • Utilización de la característica de micro virtualización de los procesadores Intel para evitar que el proceso se ejecute directamente.
  • Inteligencia artificial que adapta al agente o conjunto de agentes en una red a adaptarse a los cambios del mismo modo que lo haría una persona.
  • Recolección de información forense para efectuar análisis post-infecciones.

 

Si bien estas nuevas características son muy avanzadas, la simple inclusión de éstas dentro de los motores antivirus tradicionales no agregan mejoras considerables al sistema final de protección.

Dado que todas estas características son en cierto modo similares y se encuentran mezcladas, en la siguiente tabla se puede ver un comparativo de los tres grupos de soluciones, comparadas con el antivirus tradicional:

 

 

 

La empresa NSS Labs, una de las empresas independientes más confiables a la hora de analizar productos de ciberseguridad, creó el grupo de pruebas de AEP y presentó sus resultados en la conferencia RSA de 2018. Allí es posible observar las conclusiones de las mediciones y pruebas de algunos de los productos del mercado.

Mucho han evolucionado los sistemas de protección desde los viejos antivirus. El cambio se produjo tan rápido, que mucha gente todavía no tomó conciencia de su existencia. Por eso, tal vez, sea muy curioso escuchar todavía hablar a reconocidos expertos en los medios, recomendando a la gente respecto a que una de las principales medidas de seguridad a la hora de proteger nuestros sistemas es la de: “tener un buen antivirus”…

Pero como acabamos de ver… mi viejo antivirus ya no es lo que era…

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
ekoparty 2018

ekoparty 2018

Terminó.
Fue una semana muy intensa repleta de actividades. Pero la decimocuarta edición de la ekoparty ya es historia. Dejó como resultado más conocimiento, más temas en los que interesarse, más ganas de investigar, más amigos.

Ekoparty (o “la eko”) es la reunión anual más importante de curiosos-y-entusiastas-de-la-tecnología-y-de-la-seguridad-que-les-gusta-saber-cómo-funcionan-las-cosas-y-como-encontrar-nuevas-funcionalidades-que-el-programador-no-pensó…. de Argentina.
Convoca unos 2500 asistentes de nuestro país pero también de todo el mundo. Si bien hay años más fuertes y años más flojos, la eko va mejorando edición tras edición en contenidos y calidad. Si bien no siempre puedo hacerlo, este año tuve la fortuna de poder asistir a los tres días y a muchas de sus conferencias y workshops.
Fue una experiencia muy rica. Hubo expositores con CVs muy importantes, algunos fueron viejos conocidos y otros grandes amigos. Hubo eventos que disfruté, otros que me despertaron más curiosidades y otros que pasaron desapercibidos.

Habiendo recopilado algo de información, en esta nota, quise hacer análisis básico de algunos indicadores de la eko que tal vez les sean útiles a los lectores. Aclaro que si bien hubo como siempre, varias actividades como trainings, workshops, stands, etc. para el análisis solo me centré en las conferencias. Tengan en cuenta que muchos de los expositores o empresas a las que pertenecen, además de dar charlas, también llevaron adelante workshops o tuvieron sus propios stands. Por esto considero que tomando solo las conferencias, la muestra es representativa.

Como es la primera vez que hago esto, no puedo comparar con ediciones anteriores, pero de todos modos ahí van los resultados.

Uno de los indicadores que siempre me interesaron en estas conferencias, es quiénes son los expositores, los países a los que pertenecen y las empresas/grupos que representan. En la eko 2018 se dieron 25 charlas, brindadas por 30 expositores, los que pertenecen, hasta donde pude averiguar, a 7 países diferentes.

 

 

En el gráfico se puede ver que el 47% de los expositores fueron extranjeros. Un excelente número que muestra el interés por investigadores de otros países de compartir sus experiencias con la cumunidad en la eko. Por otro lado, en la tabla que sigue se pueden ver las empresas o grupos a los que pertenecen los investigadores que dieron las charlas..

Seis de los expositores lo hicieron en nombre de las universidades o grupos de investigación donde actúan, o en forma independiente. El resto de ellos pertentecen a empresas de seguridad.

 

Por último, el análisis que más me interesa cada vez que se dan conferencias de este tipo, es ver los temas que se trataron, que siempre tienen una característica importante: están en vigencia.

No necesariamente son novedosos o importantes, pero sí están “de moda” y hay un importante número de personas a las que les interesa, sino no los presentarían. Me tomé la libertad de agrupar los temas tratados en categorías para presentarlas en el siguiente gráfico:

Las categorías que tuvieron más interés por parte de los expositores este año, con 3 charlas por categoría, fueron las siguientes:

  • Sistemas BMC (Baseboard Manager Controllers) combinada con la seguridad de los sistemas de booteo UEFI (Unified Extensible Firmware Interface). Estos sistemas asociados a los servidores suelen tener muy pocas medidas de seguridad y pueden llevar no solo a vulnerar servidores individuales sino comprometer toda la red de management de una empresa, que suele ser insegura y no controlada.
  • Sistemas Operativos. Se tocaron temas de seguridad de los sistemas operativos de los iPhones y iPads (iOS) así como varias fallas en el kernel o en drivers de interfases de red de Windows.
  • Algunas aplicaciones populares. Se presentaron varias charlas sobre vulnerabilidades halladas en varias aplicaciones como por ejemplo: de lectura de PDFs, de archivos de posicionamiento en mapas de Google (KML), o en el sistema de de virtualización VirtualBox.

 

En segundo lugar, con 2 charlas por categoría, se presentaron:

  • Vulnerabilidades en sistemas de pagos, tanto en las terminales POS portátiles como en sistemas NFC a través de los cuales se mostró que es posible alterar la información que viaja entre los dispositivos y generar fraudes de forma relativamente sencilla.
  • Fallas de seguridad en lenguajes de programación de páginas web dinámicas, en especial en algunas características de .net y en el modo de inyectar objetos en php.

 

Las siguientes categorías tuvieron una charla por cada una y fueron:

  • Fallas de seguridad a la hora de implementar sistemas de redes definidas por software (SDN) sobre redes WAN por utilizar como base sistemas antiguos y vulnerables.
  • Ataques de tipo ROP Chain (Return Oriented Programming) en el que se construye un ataque con porciones de programas que ya están en la memoria.
  • Un caso particular de utilización de la Blockchain: los contratos inteligentes y de cómo se generan trampas a través de la publicación de contratos inteligentes vulnerables.
  • La utilización de la caché de diferentes proveedores y CDNs como vector de ataque en sistemas web.
  • Sistemas de administración de dispositivos móviles (MDM) vulnerables.
  • Análisis de arquitecturas inseguras de sistemas de Internet de las Cosas (IoT).
  • Resultados y recomendaciones para el análisis de artifacts de Malware en laboratorio.
  • Una charla nostálgica sobre emuladores para juegos.
  • Alertas sobre graves problemas en los optimizadores de los compiladores más populares que no solo introducen fallas de seguridad, sino que eliminan las contramedidas incluidas por los programadores.
  • El análisis y la utilización de la modificación dinámica de los sistemas de comando y control de los botnets (C&C).
  • Problemas serios en sistemas de autenticación en los que es posible comprometer cuentas de usuarios sin tener sus credenciales a través de las preguntas secretas.
  • La demostración de como los esquemas de arquitectura de desarrollo inseguros pueden llevar a difundir datos sensibles de producción a otros ambientes.

Estos temas, no son necesariamente los más importantes o destacados en ciber seguridad. Que no se hayan tocado temas como Advanced Endpoint Protection (AEP), Inteligencia Artificial, Phishing, Radio, etc. no significa que no sean importantes, simplemente los investigadores que estuvieron en esta eko no los presentaron.

La eko #14 ya finalizó.

En mi caso me llevé unas 20 herramientas para probar que desconocía y otro tanto de referencias de papers para analizar. A mí me fue muy útil y la disfruté mucho, casi como “una fiesta de cumpleaños” como deseó Federico Kirschbaum, uno de sus organizadores, en la ceremonia inaugural. Espero que al resto de los asistentes también.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Consciente colectivo

Consciente colectivo

Existen durante miles de millones de años y afectan desde siempre a otros seres vivos complejos, como a los seres humanos. Con los avances médicos y tecnológicos, fue recién en el año 1683 cuando se logró descubrir la primer bacteria. A partir de ese momento fue posible ver efectivamente en un microscopio a esos microorganismos de los cuales, algunas especies son una verdadera amenaza para nuestra salud.
Sin embargo, en esa época eran contadas con los dedos las personas que en el mundo eran capaces de ver esa realidad oculta para el resto de la humanidad. Con este nuevo descubrimiento hubo médicos que afirmaban que esos seres diminutos afectaban gravemente nuestra salud y que era importante tomar medidas para evitar que entren en nuestros cuerpos.

Esto constituyó el principio de la instalación de los conceptos de la asepsia y la antisepsia que hicieran que recién en 1884 (es decir 2 siglos después…) se creara el primer hospital donde se tenían en cuenta con una higiene especializada. Igual, todavía hubo que esperar varias decenas de años más para que todos los hospitales, y el resto de los seres humanos, pudiéramos adoptar en forma completa las medidas de asepsia y antisepsia como prácticas habituales.

Uno de los principales motivos que llevaron a que pasaran siglos para esa adopción es que ese peligro no fuera visible. La gente tuvo que creer en lo que decían los médicos sobre la existencia de amenazas prácticamente invisibles que afectaban la vida y que se resolvían con medidas de limpieza e higiene.

La relación con el ciber mundo es directa.
Hoy en día nos vemos expuestos a una gran cantidad de amenazas virtuales en el mundo virtual.
A pesar de que afectan nuestra vida real, para poder incorporar estos conceptos, necesitamos analizarlo con el mismo nivel de abstracción que nuestros antecesores con los gérmenes y bacterias hace 200 años.
Así como en el 1800 el peor enemigo de la salud de la población no eran las bacterias sino la falta de higiene, hoy el éxito de los ciber ataques se da por la falta de consciencia de los usuarios de sistemas. Hoy como hace siglos, la mayor parte de la gente no puede ver los ciber peligros, solo tiene que creer en lo que le contamos los profesionales que luchamos contra ellos a diario.

Un reciente estudio solicitado por la Oficina del Comisionado de Información del gobierno de Inglaterra, reveló que el 88% de la perdida de datos sensibles se deben a errores de usuarios.
La falta de consciencia por parte de los usuarios que hace que no se tomen las precauciones mínimas necesarias, hace que cometan errores. Lo más común es que dejen información expuesta sin protección, envíen emails con información sensible a direcciones incorrectas o publiquen información delicada en la nube de forma insegura.

Dada la velocidad con la que se incorporan a nuestras vidas sistemas de información vitales, para nosotros individualmente y para nuestra sociedad, hace que no podamos esperar siglos para concientizarlos y adoptar esa medidas en el uso diario de los sistemas.
Los mecanismos de concientización son la mejor forma de acelerar este proceso.
Y tal vez pronto, actualizaremos nuestros sistemas periódicamente, crearemos contraseñas complejas y diferentes para cada sistema, revisaremos cada email y cada mensaje instantáneo antes de hacer clic en los links que vienen embebidos… de la misma forma que tiramos los productos vencidos, nos lavamos las manos habitualmente o nos desinfectamos las heridas cuando nos cortamos.

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Dónde está la ciberseguridad de las aerolíneas…?

Dónde está la ciberseguridad de las aerolíneas…?

British Airways, la principal compañía aérea inglesa, fue víctima de un ciber ataque sin precedentes en el que fueron robados los datos de tarjetas de crédito de 380 mil usuarios de la aerolínea. Si bien la empresa no brindó datos técnicos oficiales del ataque, lo que sí se afirmó es que la persistencia del mismo fue de dos semanas. Se estima que fueron robados datos de las tarjetas de crédito de todos los usuarios que reservaron vuelos entre el 21 de Agosto y el 7 de Septiembre de este año.

Una vez que los responsables de BA detectaron el ciber ataque, el 7 de Septiembre enviaron un email a los usuarios avisando del incidente y hasta solicitando que por su seguridad den de baja sus tarjetas de crédito y las renueven. Una de las consecuencias fue la caída del valor de las acciones de British Airways.

Según los responsables de la empresa, los datos comprometidos no incluyen información de los pasaportes de los usuarios, como sí lo fueron en el ataque sufrido por la aplicación móvil de Air Canada casi en el mismo momento (entre el 22 y el 24 de Agosto) en el que se comprometieron datos de 20 mil usuarios de la aerolínea.

Desde el punto de vista técnico, la empresa RiskIQ declara que pudo analizar y reconstruir el ataque perpetrado contra los usuarios de BA. Los investigadores de la empresa sostienen que quien está detrás del incidente es el grupo ciber criminal Magecart que logró modificar un componente del sitio web de BA, el javascript modernizr. Este script tiene el inocente propósito original de verificar las capacidades del navegador que está usando el usuario para determinar qué funciones utiliza para armar la página y mejorar su experiencia.

El script modernizr modificado simplemente toma la información que ingresa el usuario y la envía al sitio baways.com que, como podrán imaginarse, no pertenece a British Airways y que posee además un certificado digital válido provisto por Comodo de forma de no alertar al usuario mostrando que el certificado digital es sospechoso.

Desde el punto de vista formal, una buena para GDPR. Debido a esta nueva norma de la que hablamos ya algunas veces, las empresas que son víctimas de ciber ataques de este tipo, están obligadas a publicar esta información dentro de las 72 hs de su descubrimiento. Esto hizo BA y varios analistas se preguntan qué hubiese pasado si la GDPR no hubiese estado en vigencia.

Es evidente que el ataque fue muy bien planeado y ejecutado. Pasó inadvertido a los responsables de ciber seguridad de BA durante 2 semanas. El o los atacantes diseñaron e instalaron infraestructura específica para llevarlo a cabo, lo que habla del nivel de sofisticación y del propósito específico de atacar a British Airways. Entonces, por otro lado, lo que cabe preguntarse es dónde estuvo enfocada la capacidad de ciber seguridad de la empresa durante esos 15 días?

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
La amenaza invisible

La amenaza invisible

El fin de semana pasado, el diario Clarín publicó una nota que tituló “Delitos informáticos: Uno de cada dos argentinos conectados sufrió al menos un ciberataque en lo que va del año” en el que destaca que “El 55% de los argentinos conectados sufrió un ataque de malware, o software malicioso, en lo que va del año…”, citando como fuente, el informe de una prestigiosa empresa de ciber seguridad a nivel mundial. Como consecuencia de esta nota, pensé en que sería interesante hacer algunas cuentas para ver si se pueden sacar algunas conclusiones. El informe se refiere específicamente a ciber delitos, se podría analizar entonces qué pasa estadísticamente en nuestro país con los delitos convencionales y hacer algunas comparaciones. Según las estadísticas online que presenta el Ministerio de Seguridad de la Nación, teniendo en cuenta los delitos contra las personas en todo el país durante 2017; la cantidad de víctimas afectadas fue de: 344.243. Si tenemos en cuenta que según el mismo informe la población de Argentina está compuesta por 44.044.811habitantes, el total de víctimas de delitos constituye aproximadamente el 0,8% de la población. Por otra parte, según el informe de CABASE* del segundo semestre del mismo año 2017, la cantidad de personas conectadas a Internet en nuestro país fue de 30.567.098, es decir el 69,4% de la población. Si se combinan ambos resultados, se puede  concluir que aproximadamente en el último año y medio:   Total de víctimas de delitos comunes = 344.243 Total de víctimas de ciber ataques = 16.811.904   Si tanto el informe al que hace referencia Clarín, como las estadísticas del Ministerio de Seguridad son correctas, esto significaría que en Argentina hay 49 veces más ciber ataques que delitos comunes. Por otro lado, si buscamos por ejemplo, la cantidad de noticias publicadas sobre ambos tipos de eventos delictivos en el mismo diario Clarín para el año 2017, encontramos los siguientes números:   Total de noticias sobre delitos comunes = 7.560 Total de noticias sobre ciber ataques = 544   Es decir que, si me conceden que el algoritmo de búsqueda que usé sobre el sitio de Clarin es válido, se publican 14 veces más noticias sobre delitos comunes que sobre ciber delitos. Evidentemente hay alguna inconsistencia que puede representarse con un número final. Si definimos el nivel de exposición de los ciber ataques respecto a los delitos comunes, llegamos a:   Nivel de exposición (cibre ataques/delitos comunes) = 1 / 686   es decir, que relacionado ciber ataques con delitos comunes, solo uno de cada 686 salen a la luz pública, por lo tanto… se puede decir que las ciber amenazas son invisibles. Y este número coincide además con lo que uno puede percibir diariamente. Por ejemplo, cuando leemos los portales de noticias, vemos los noticieros, leemos los diarios, lo que nos inundan son las “páginas policiales” y rara vez vemos una noticia de un ciber delito. Y porqué se da esto teniendo en cuenta que son tantos más!!?? La respuesta es sencilla de responder: los ciber delitos no se ven, los ciber ataques son normalmente invisibles. Puede ser una App nueva que está instalada en mi celular (aunque me está sacando fotos sin que yo lo sepa…), alguna transacción que hicieron con mi tarjeta de crédito que simplemente la desconozco y el banco me devuelve el dinero (aunque me robaron los datos haciéndome phishing…), una base de datos de clientes o una carpeta con informes que encriptaron en mi servidor (y que para recuperarla tuve que pagar algunos cientos de dólares en bitcoins…). Cada uno de esos incidentes termina estando registrado en alguna estadística de algún antivirus o anti malware, pero rara vez se denuncie y muchísimo menos… alguna vez sean noticia. Los ciber criminales todavía no aparecen en las primeras planas, salvo cuando se roban millones de números de tarjetas de crédito, o le roban millones de dólares a un banco a través de SWIFT. Son noticias que aparecen esporádicamente, en alguna circunstancia que hacen al hecho visible, como dijimos 1 de cada 14. Para nada proporcional al 49:1 del primer cálculo. La virtualidad, la existencia en un mundo muy real pero invisible, hace que estas actividades digitales nos vuelvan locos a los profesionales de la ciber seguridad pero que común de la gente ni se entere de su existencia. Uno de los principales problemas de esta invisibilidad, es que hace muy difícil hacer tomar conciencia de la necesidad de protegerse a las personas que no son profesionales de sistemas o de ciber seguridad, a quienes no entienden de tecnología de la información, pero que la usan en su vida diaria para todas sus actividades. Las cosas son así, y la tarea de mostrar esto y concientizar a la gente sobre estos peligros ese es nuestro desafío.    * CABASE = Cámara Argentina de Internet cuya misión es reunir a las organizaciones proveedoras de Servicios de Acceso a Internet, telefonía, soluciones de Datacenter y contenidos Online, entre otras.          
Nota por Carlos Benitez
Otra vez SWIFT

Otra vez SWIFT

Ya pasaron dos meses del segundo ciber ataque masivo exitoso en Latinoamérica, pero el problema está muy lejos de solucionarse. Esta vez el blanco fue el Banco de Chile y el resultado fue el robo de U$S 10 millones que se efectuó, otra vez, a través de vulnerabilidades en los sistemas de la plataforma SWIFT. Esta ola comezó en febrero de 2016. Un banco de Bangladesh fue víctima de un sofisticado ataque en el que robaron unos U$S 81 millones. En ese momento, la novedad del ataque fue que la operación se hizo vulnerando al sistema SWIFT (Society for Worldwide Interbank Financial Telecommunication) encargado de efectuar transacciones monetarias entre entidades financieras de todo el mundo. El ataque fue atribuido por diversos investigadores tiempo después, al famoso Grupo Lazarus; organización ciber criminal con un importante récord de robos y ciber ataques por más de diez años. La organización SWIFT reaccionó de forma más o menos rápida, modificando y profundizando su CSP (SWIFT Customer Security Program) en el que indicaban que para seguir operando con ellos, todas las entidades adheridas debían cumplir con el nuevo Customer Security Controls Framework (Marco de Controles de Seguridad para los Clientes). De hecho, y según las recomendaciones de SWIFT, se iban a efectuar auditorías a los bancos adheridos y se les iba a cancelar la suscripción de no cumplir con dicho marco de ciber seguridad. Sin embargo, a partir del primer evento en Bangladesh, los ataques a bancos a través de los sistemas de SWIFT se multilplicaron a lo largo del mundo con modus operandis similares y también atribuidos por los investigadores al Grupo Lazarus. Estos son algunos de los incidentes: Una de las particularidades del último robo, fue que el grupo de atacantes introdujo un virus, el Swapq, dentro de las redes del banco, con el objetivo de desviar la atención a la verdadera acción, la de infiltrarse en el sistema SWIFT y robar dinero. Es cierto que el nivel de sofisticación de estos ataques es muy elevado y que las acciones parecen estar muy bien planificadas y coordinadas. Sin embargo, también es cierto que los niveles de ciber seguridad de los bancos, así como de muchas otras empresas en el mundo, deja todavía bastantes puertas abiertas que son aprovechadas por los atacantes. Existen iniciativas que obligan a las entidades a incrementar sus medias de ciber seguridad, como SWIFT CSCF o la flamante GDPR. Pero estas iniciativas llegan a una velocidad que sumada (o restada?) a la velocidad en que las entidades ponen en marcha sus proyectos y, efectivamente, logran implementarlos… es mucho menor a la velocidad en que los grupos de ciber criminales desarrollan sus herramientas y tácticas de ataque. Esta es una carrera en la que, quienes estamos de este lado de la linea, estamos perdiendo.  
Nota por Carlos Benitez
  Carlos Benitez, es un reconocido experto en temas de seguridad de la información.