Select Page
¿11S leaks?

¿11S leaks?

El grupo de hackers The Dark Overlord amenaza con publicar alrededor de 18.000 documentos, que declaran que tienen en su poder, supuestamente relacionados con los atentados del 11S.

Según el grupo, la información fue robada de un estudio de abogados cuyos sistemas fueron comprometidos.

El grupo que se hizo conocido hace 3 años cuando publicó en la dark web información confidencial de salud de miles de pacientes, robada de varios centros médicos de EE.UU., y obligando a los usuarios a pagar para eliminar dicha información de la red. Poco tiempo después el grupo filtró una temporada completa de “Orange is the new black” de Netflix previo a su estreno.

En esta oportunidad, el grupo alega que se introdujo en los sistemas de un estudio de abogados que trabajó con litigios relacionados con los ataques a las Torres Gemelas, aunque también nombra de manera confusa a varias compañías de seguros. Una de dichas compañias, el Grupo Hiscox, indicó que los hackers violaron los sistemas de un bufete de abogados que los asesoró en estos casos, y que probablemente robaron archivos relacionados con litigios sobre los ataques del 11 de septiembre. También indicó que los sistemas de la firma de abogados no están conectados a la infraestructura de TI de Hiscox y que los sistemas propios de Hiscox no se vieron afectados por el incidente.

Tal como en las otras ocasiones, el grupo pide un rescate para que la información no sea revelada. Una de las cosas que llaman la atención, es la suma de dinero que solicitan por entregar toda la información… sólamente 2 millones de dólares.

 

 

De no recibir ese pago, en bitcoins, amenazan con publicar información que, según dicen, tendrá consecuencias devastadoras para las autoridades de EEUU. A este respecto, y para hacer el caso más extraño y sorprendente, en el tuit donde anuncian la filtración, indican que a través de esa información robada, se darán “… muchas respuestas sobre conspiraciones relacionadas con el 11S…”. De más está decir que la cuenta de Twitter, @tdo_h4ck3rs, fue suspendida inmediatamente.

Si bien los posts fueron eliminados de casi todos los sitios, como thedarkoverlord publicó en Steemit, donde todo lo publicado queda guardado en una blockchain, aquí se puede ver el contenido de dichos posts.

Si bien publicaron a modo de ejemplo unos 500 documentos que parecen estar relacionados con litigos por el 11S, no se sabe realmente cuánta más información poseen. Como sea, y por lo que ya fue publicado, otra vez se muestra la falta de controles y medidas de seguridad de las empresas. Y en este caso con el agravante de lo extremadamente sensible de la información que no fue debidamente protegida.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Un golpe de suerte, o de cómo Mark Zuckerberg creó conciencia para la implementación de GDPR

Un golpe de suerte, o de cómo Mark Zuckerberg creó conciencia para la implementación de GDPR

En una nota anterior, contamos cómo la Unión Europea está trabajando fuertemente desde hace 4 años en una nueva normativa de protección de datos personales, la hoy ya famosa GDPR o Reglamentación General de Protección de Datos de la Unión Europea. Esta iniciativa se crea dadas las enormes falencias que existen en las empresas de la Unión, en las que se fueron detectando faltas inaceptables en las capacidades de ciberprotección.
La norma será de aplicación obligatoria para todas las empresas de la UE a partir del 25 de mayo de este año. Sin embargo, el hecho de la obligatoriedad, no necesariamente implica que la curva de implementación de las contramedidas sea rápida o eficiente. La misma motivación que hace que las empresas a veces tengan áreas enteras dedicadas a analizar de qué forma pueden pagar menos impuestos, es probable que las hagan analizar de qué forma cumplir con GDPR con el menor esfuerzo e inversión posibles. 
¿Por qué se da esto? Por la misma razón por la que hoy en día sus medidas de ciberprotección son inaceptables: la falta de conciencia.
El convencimiento de que lo que uno está haciendo es importante o necesario es lo que dispara los procesos para que efectivamente se lleve a cabo. Y en este caso, muchas empresas de la UE no están convencidas ni creen que es importante – o por lo menos no lo estaban.
El vuelco que dio en la aceptación sobre la implementación de la nueva norma, se dio gracias al escándalo de Facebook y Cambridge Analytica. La comisionada por los asuntos de los consumidores de la UE, Vera Jourlova, quien se reunió con Mark Zuckerberg a raiz del escándalo, le dió a Zuckerberg las gracias públicamente por haber aceptado cumplir con GDPR ni bien esté en vigencia. Es difícil saber si la declaración del CEO de Facebookaceptando sin objeciones las nuevas contramedidas de seguridad para preservar la privacidad de los datos de los usuarios, hubiese sido la misma sin el escándalo de Cambridge Analytica. Pero la verdad es que a los promotores de la medida les vino como anillo al dedo, y justo antes de la entrada en vigencia de la medida.
Veremos el 26 de mayo cuáles habrán sido finalmente los resultados.
 
Nota por Carlos Benitez

 

El #1 de las infraestructuras críticas: las centrales eléctricas

El #1 de las infraestructuras críticas: las centrales eléctricas

Las infraestructuras críticas (aquellas que proveen servicios a la sociedad que, de ser interrumpidos, causarían graves daños a la población) vienen siendo blanco de ciber-ataques desde hace muchos años. El equipamiento industrial involucrado en la prestación de este tipo de servicios, se controla con sistemas informáticos interconectados muy antiguos que hacen que sean susceptibles de ser alcanzados por malware.
Cuando el sistema de control más popular, el SCADA, nació allá por los ’60, era absolutamente impensado que alguien pudiese conectarse a él remotamente desde la otra mitad del mundo y abrir de la exclusa de una represa, o la válvula de un circuito de provisión de gas, o el interceptor de un transformador de alta tensión que provee energía eléctrica a toda una ciudad.
Sin embargo, con el paso del tiempo, al abuelo SCADA, a sus derivados y a los sistemas que controla, se le fueron agregando componentes de IT cada vez más complejos y con cada vez más conexión a la red: sensores, interfaces gráficas, nodos de red, dispositivos IoT, etc.
Esto hizo que fuera blanco cada vez más fácilmente de pruebas de concepto y ciber-ataques cada vez más sofisticados, más frecuentes y más peligrosos. El caso que cambió radicalmente la visión sobre este tipo de ataques fue el descubrimiento en el año 2010 del gusano Stuxnet cuyo efecto fue el considerable retraso en el programa de desarrollo nuclear de Irán. Es entonces cuando se dispara la carrera de medidas y contramedidas tratando por un lado de atacar estos sistemas (los unos) y por otro de defenderlos (los otros).
Si bien los sistemas SCADA controlan casi el 90% de los procesos industriales automatizados del planeta, el foco de los atacantes desde hace aproximadamente un año son las centrales eléctricas.
Cada vez más son probadas y atacadas con mayor virulencia, sofisticación y frecuencia. Una gran parte de esos ataques son exploratorios, es decir que se realizan con el propósito de probar tanto las herramientas propias, como las capacidades de defensa de las centrales. La sofisticación se incrementa exponencialmente a tal punto que existen grupos como “Dragonfly“, cuyo propósito específico es atacar centrales eléctricas.
Estas amenazas han hecho que los países más desarrollados hayan tomado en serio las medidas de protección que eviten un desastre en el caso de un ciber-ataque masivo a este tipo de instalaciones.
El gobierno de Estados Unidos, por ejemplo, envió recientemente una orden ejecutiva por la cual se obliga a las redes del estado y de las infraestructuras críticas a utilizar el Marco de Ciber-seguridad del NIST (National Institute of Standards and Technology’s Cybersecurity Framework) que, si bien existe desde hace varios años, hasta el momento de la orden ejecutiva, su aplicación era voluntaria.
Uno de los resultados de esta escalada hizo que por ejemplo, algunas organizaciones que se dedican a la generación y distribución de energía eléctrica para millones de usuarios en Estados Unidos, cambiaran sus estrategias de ciberdefensa de reactivas a proactivas. Esto lo hicieron instalando miles de sensores en diferentes niveles de la arquitectura, recolectando datos de todos ellos y explotando esa Big Data de modo de prever posibles ataques a partir de comportamientos anómalos antes de que ocurran, y estar preparados para defenderse.
Y otra vez, como en varias de las notas anteriores, nos toca preguntarnos: ¿y por casa? ¿Cómo está la situación? Nuestras empresas generadoras y distribuidoras de energía eléctrica, ¿están adoptando las medidas necesarias para prevenir ataques de estas características? ¿Estamos siquiera en la etapa de estrategia reactiva, o todavía ni siquiera empezamos?
Las herramientas, tanto metodológicas, como normativas y técnicas están disponibles. Sólo falta tomar conciencia y darse cuenta de la situación en la que estamos junto con el resto del mundo, y empezar a trabajar.
 
Nota por Carlos Benitez

 

El botín más preciado

El botín más preciado

 

Si al lector descuidado se le preguntara qué clase de información cree que es la más apreciada como objeto de robo por parte de los ciber-delincuentes, probablemente responda: “los datos de cuentas bancarias o tarjetas de crédito”. Nada más alejado de la realidad. 

La suma de contra-medidas con los que cuentan hoy en día los sistemas bancarios y los de las tarjetas de crédito (o al menos algunos de ellos), hacen que la posibilidad de sacar rédito a esta información no sea tan fácil. Por este motivo, el robo de esta información a sitios donde existen bases de datos inmensas con datos de clientes se hace, pero no es tan atractivo. Casos famosos como los de Equifax en su incidente inicial y en su reciente descubrimiento lo demuestran.

Sin embargo, el botín más preciado hoy en día no son los datos de las tarjetas de crédito sino la información de registros médicos de las personas. En la actualidad se está utilizando, en particular en Estados Unidos, el denominado EHR (Electronic Health Record o Registro de Salud Electrónico) o EMR (Electronic Medical Record oRegistro Médico Electónico). Esta información permite a los médicos contar con información médica actualizada, verificada, ordenada y completa de los pacientes que les permite brindar un mucho mejor servicio.

Más aún, muchos de los hospitales, las clínicas, los laboratorios, los centros de diagnóstico en el mundo cuentan con tecnología muy avanzada para el cuidado de la salud y el diagnóstico. Los sistemas son cada vez más complejos y están cada vez más conectados por lo que utilizan toda esta información de los pacientes que está almacenada en múltiples bases de datos, y circulan por múltiples redes.

Pero esta información tan rica y tan útil para pacientes y médicos, también lo es para los ciber-delincuentes. Para ellos, poder obtener información sensible de la salud de la población, saber su información demográfica, nombre, información histórica del lugar donde vive, lugares de trabajo, nombres y edades de los parientes, historial médico; incluidas las visitas a los médicos y los diferentes diagnósticos recibidos incluyendo: cáncer, enfermedades de transmisión sexual, enfermedades psiquiátricas o enfermedades raras que requieren tratamientos carísimos, son de altísimo valor en el mercado negro.

Tanto es así, que el valor que se paga por un registro médico robado,  puede variar de entre 400 a 4.000 veces el valor de un registro de un número de una tarjeta de crédito. 

Al contrario que los casos de robos de datos de tarjetas de crédito, los casos de robo de registros médicos se multiplican en forma constante. Los más famosos, por mencionar algunos, son: 26 millones de registros robados al sistema de salud de Inglaterra NHS en marzo de 2017; 3.3 millones de datos a la empresa de tarjetas de identificación médica Newkirk Products, Inc; 3.7 millones de datos robados a la empresa de salud Banner  Health enagosto de 2016;  4 millones de registros robados a la empresa Advocate Health Care Network, que maneja 12 hospitales y más de 200 centros de tratamiento en Estados Unidos; y la lista sigue.

Y aquí se presenta una combinación mortal de tres factores: 1) el enorme valor que tiene esta información en el mercado negro; 2) las pobres medidas de seguridad que suelen aplicarse en los hospitales, centros de salud y de diagnóstico y tratamiento; y 3) las vulnerabilidades intrínsecas que posee el equipamiento médico de última generación.

Sobre el tercer punto en particular, cabe mencionar que existe gran cantidad de reportes e informes que demuestran lo peligroso de estas vulnerabilidades. Este reporte, realizado en 50 centros de salud de Estados Unidos durante 2017, menciona que el 51% de los dispositivos vulnerables a ataques corresponden a sistemas de imágenes médicas. Teniendo en cuenta además, que cerca del 20% de los dispositivos electrónicos instalados corresponden a sistemas de imágenes, la superficie de ataque se vuelve inmensa y la probabilidad de ser blanco de ataques, altísima.
El mismo informe menciona además, que la mayor parte de las fallas técnicas de seguridad corresponde a tener los sistemas operativos desactualizados, utilizar contraseñas o sistemas de autenticación débiles. Pero hay otra falla muy importante; del total de problemas de seguridad descubiertos, el 41% corresponde a errores o prácticas débiles por parte de los usuarios. Estas prácticas consisten en que los usuarios tienen la posibilidad (y lo hacen) de instalar aplicaciones inseguras en los equipos que manejan dispositivos médicos, y hasta navegar por Internet! De esta forma abren la puerta a que un sitio malicioso o infectado, descargue malware en el equipamiento médico y lo infecte. Otra vez el eslabón más débil de la cadena: el usuario que no posee la conciencia suficiente de los peligros en el ciber-espacio.

Tan grave es la situación, que el departamento de salud de Estados Unidos creó el ‘US Department of Health and Human Services  “Wall of Shame” donde todas las instituciones de salud del país están obligadas a reportar cualquier ciber-incidente de seguridad que haya afectado la privacidad de por lo menos 500 registros de datos de salud.

Más allá del valor que posee cada registro en el mercado negro, la pérdida o difusión de esta información tiene un costo económico. De acuerdo al Instituto Ponemon (página 13 del informe) el costo de cada registro perdido en el año 2017 fue de U$S 380. Le dejo al lector la tarea de multiplicar ese número por la cantidad de registros robados en los casos mencionados más arriba.

Y esto se produce aún a pesar de los enormes esfuerzos que se están haciendo para evitar este daño. Por ejemplo, en Estados Unidos en particular, existe desde el año 1996 una ley cuyo objetivo es el de proteger los datos médicos de los pacientes, la ley se denomina HIPAA (Health Insurance Portability and Accountability Act) que deben cumplir todos los centros y profesionales de la salud.   

Del mismo modo en que nos preguntamos en notas anteriores, nos volvemos a preguntar: ¿Qué queda para nosotros de este lado del mundo?

Hoy en día la tecnología de diagnóstico y tratamiento médico está cada vez más avanzada y, por otro lado, la posibilidad de importar equipamiento se ha facilitado enormemente en los últimos años. Estamos importando equipamiento cada vez más complejo, que se conecta necesariamente a las redes almacenando y transmitiendo datos sensibles y confidenciales de la salud o de los pacientes. Esto nos sirve para facilitarle la vida a pacientes y médicos brindándoles información online de los diagnósticos. Estamos además, cumpliendo muy bien con el medio ambiente reduciendo enormemente la impresión de resultados de diagnósticos.
Sin embargo, ¿estamos protegiendo esos datos de la forma que deberíamos? ¿Las tecnologías de diagnóstico y tratamiento son las mismas que están siendo utilizadas y atacadas en los países donde se desarrollan, pero las medidas de ciber-seguridad son las mismas? Y las medidas de concientización a los usuarios (médicos, técnicos, profesionales) sobre el uso de estas tecnologías, ¿son las adecuadas?

¿Qué pasaría si se robaran en nuestro país datos confidenciales de salud de cientos de miles de pacientes? ¿Qué pasaría si un ransomware (como por ejemplo Wannacry) cifrara todos los datos de un base de datos de un hospital y los datos de pacientes en riesgo, por ejemplo, se volvieran inaccesibles?

La tecnología abre las puertas a mundos fascinantes y fabulosos que nos ayudan a mejorar nuestra vida y, en este caso, no sólo a mantenernos comunicados sino a tratar vincularse con nuestra salud. Pero esta misma tecnología tiene sus peligros y sus responsables deberían tratarlos de forma seria y responsable para que no haya fallas de seguridad y se pueda utilizar de forma confiable.

 
 
Nota por Carlos Benitez

 

Otra vez los Juegos

Otra vez los Juegos

 
Existe una extraña tendencia histórica, que muestra que cada vez que se produce un evento deportivo mundial de gran magnitud, las redes, las aplicaciones, los sitios relacionados con el evento, son blancos de ciber-ataques.
Hace años que sucede esto y en algunos casos hasta ha tenido consecuencias positivas. Antes del mundial de fútbol Brasil 2014, se sabía de amenazas a la organización del evento sobre la posibilidad de interrupciones en sus sistemas. Dos años más tarde, lo mismo sucedía con los juegosolímpicos de Rio 2016.
Como consecuencia de estas amenazas, Brasil se preparó tan fuertemente para defenderse que hasta casi significó la creación misma del área de Ciberdefensa, el ComDCiber que hoy está activo, funciona plenamente y sigue invirtiendo en cada vez más en medidas de ciber-protección a nivel nacional.
Esto ocurre desde hace años juego tras juego, por lo que los Juegos Olímpicos de Invierno que se llevan a cabo en este momento en PyeongChang, Corea del Sur tampoco son ajenos. Y esta vez las contramedidas parecen no haber sido suficientes. Durante el mismo momento en que se producía la ceremonia inaugural el pasado 9 de febrero, un grupo hasta ahora no identificado (aunque hay fuentes que aseveran que fueron hackers rusos), bloqueó el acceso a Internet y algunas transmisiones, hizo aterrizar los drones con las cámaras, bajó el sitio web oficial e impidió que los espectadores imprimieran sus reservas. El ataque fue denominado “Olympic Destroyer” y el malware involucrado tenía por objetivo destruir los recursos compartidos de red a los que se tuviera acceso desde el equipo infectado. El malware, al parecer, estaba diseñado para producir el mayor daño en el menor tiempo posible.
Si bien este ataque se produjo el 9 de febrero, comenzó en realidad tiempo antes. En diciembre del año pasado, los miembros de la organización de los Juegos fueron blanco de phishing, cuyo objetivo fue el de obtener información interna de los sistemas asociados a los Juegos para hacer mucho más eficiente el ataque final. Lo interesante de este ataque, fue que esta vez se utilizó un método novedoso en la que se envía adjunto al email falso, un documento de Word que contiene un script malicioso. Lo que realmente llama la atención por su novedad, es que el código malicioso se esconde dentro de los pixels de imágenes adjuntas lo que lo hace indetectable a los antivirus. Es por esto que probablemente muchos de estos ataques hayan sido exitosos y logrando la interrupción de servicios del primer día del evento. Es obvio que fallaron los antivirus por no estar preparados para este tipo de ataques, pero falló algo más; la concientización, los usuarios que a pesar de todos los cursos, charlas y avisos que suponemos tuvieron, abrieron un adjunto de un email falso.
Pero, ¿por qué atacar a los Juegos? Existen varias teorías al respecto así como análisis más serios y profundos que indican que el momento de un evento de estas características posee gran atractivo para convertirlo en blanco de ciber-ataques. A pesar de la organización, la realidad es que, como indica el informe de Berkeley, en estos eventos la ciber-superficie de ataque es infinita. Es imposible mitigar el riesgo de todos los dispositivos interconectados, el volumen, la variedad, la heterogeneidad; la distribución geográfica es tal que los hace incontrolables. Sistemas de puntuación, dispositivos que miden el estado de salud de los competidores, control de entradas, dispositivos de transmisión de los medios de prensa, medios de transporte, sin contar con los sistemas de control propios de los estadios y los dispositivos personales de cada participante, organizador o visitante; todo esto conectado de una forma u otra a la misma red.
Por otra parte, la cantidad de tecnología involucrada en estos eventos no sólo es inmensa, sino que además es crucial para el desarrollo del evento que no podrían realizarse sin ésta. Esto lo vuelve un verdadero desafío para los organizadores que tratan de extremar las medidas de ciber-protección, así como para los atacantes que ven terreno propicio para introducirse en los sistemas del próximo evento y demostrar que las medidas de protección no alcanzan.
Veremos qué pasa en el mundial de Rusia. Y Buenos Aires, ¿cuán preparada está para los Juegos Olímpicos de la Juventud de Octubre, ¿quién ganará la partida?
 
Nota por Carlos Benitez
 
¿Qué nos espera a nosotros?

¿Qué nos espera a nosotros?

 
En nuestra nota de la semana pasada, comentamos que había una buena y una mala noticia respecto a los ciber-incidentes de 2017. En ese caso, comentábamos que la mala noticia era que los esfuerzos que hacen las empresas hoy en día para ciber-protegerse son insuficientes. Esto se basó en varias encuestas y trabajos publicados. Y las encuestas y trabajos que refuerzan este resultado siguen.
Uno de ellos es el informe publicado por una importante aseguradora internacional, que afirma que el 75% de las empresas en Reino Unido, Estados Unidos, y Alemania no posee el conocimiento para defender sus empresas de ciber-ataques. El relevamiento fue realizado en un universo de más de 3000 entrevistados de empresas ubicadas en los mencionados países. El informe cita que solamente el 11% de las empresas se auto clasificaron como “expertas” en todos los aspectos de ciber-seguridad, mientras que el 16% se consideró experta en estrategia o en ejecución, pero no en ambos rubros.
En esta época, en las que las ciber-amenazas están cada vez más presentes y se materializan con cada vez peores efectos; en esta época en las que no sólo los jóvenes técnicos que operan los datacenters o que conforman los equipos de ciber-seguridad, sino aún el personal directivo pertenecen a la generación de “millenials” y además “hackers” (cuya filosofía es la de eat-sleep-patch-repeat)… es muy difícil creer que tantas empresas no cuenten con las mínimas medidas de seguridad para enfrentar estas amenazas. Pero es lo que realmente ocurre.
Será por eso que en particular la Unión Europea está desde hace 4 años trabajando denodadamente en una dura y completísima legislación que obligue a empresas y organismos públicos pertenecientes a la UE a adoptar un conjunto de medidas de seguridad necesarias para proteger los datos personales de sus ciudadanos. La norma, que se pondrá en vigencia el 25 de mayo de este año, se denomina EU GDPR (Reglamentación General de Protección de Datos de la Unión Europea) y fue desarrollada “con el objetivo de unificar y normalizar las leyes de protección de datos en toda la Unión, proteger y habilitar la privacidad de todos los ciudadanos de la UE y rediseñar la forma en que las organizaciones tratan la privacidad de los datos“.
Con esta nueva reglamentación, se pretende obligar a empresas y organizaciones a adoptar las medidas de seguridad que las mismas no han adoptado hasta el momento de forma voluntaria. Se espera que de esta forma, los niveles de ciber-seguridad en toda la Unión se incrementen considerablemente y que las pérdidas por ciber-ataques disminuyan en consecuencia.
En la otra mitad del hemisferio norte, también están preocupados por las consecuencias técnicas y legales que tendrá esta ley para sus negocios cuando intenten recolectar datos personales de potenciales clientes del otro lado del océano.
Ok, pero estamos hablando de países del primer mundo, ¿qué es lo que queda para nosotros pobres mortales de este lado alejado del planeta? ¿Estamos tan expuestos como ellos?
La respuesta a esta pregunta es: “¡SÍ!”. Internet es una sola, y todos estamos conectados. ¿Vamos a tomar en algún momento como ellos la decisión proactiva de considerar en serio la ciber-seguridad y dotar a nuestras organizaciones de las medidas mínimas necesarias para no sufrir daños irreparables en caso de un ciber-desastre?

Sólo el tiempo lo dirá, pero lo que es cierto es que estamos cada vez más conectados, cada vez más vulnerables, cada vez más expuestos pero además, cada vez menos protegidos.

Tal vez; puede ser que esta iniciativa de la UE nos toque de costado. Tal vez, gracias al ruido que seguramente provocará la GDPR en Europa y en las empresas que funcionan en estos lares pero con origen allí, generen una moda que muchos otros quieran copiar. Ojalá. Todos vamos a estar mucho más ciber-seguros si eso ocurre.
Nota por Carlos Benitez