Select Page
FEARWARE!

FEARWARE!

….o cómo usar el miedo como vector para ciberataques…
Pasaron ya 2 meses y medio desde el inicio de la pandemia del COVID-19, y ya se han producido numerosos eventos de ciberseguridad relacionados con el brote que afecta a la salud mundial.
Dicen que “a río revuelto, ganancia de pescador”. Hoy en día está claro que el río está muy revuelto y los pescadores, aún en nuestro ámbito, están a la orden del día. Estos son 3 de los casos de ciberseguridad que han resonado últimamente relacionados con el coronavirus:
 

Ataques de phishing:

Ya a principios de febrero habíamos contado en la sección de noticias de Platinumciber, que investigadores de KnowBe4 y de Mimecast, habían descubierto campañas de phishing utilizando al Coronavirus como excusa.
Las campañas consistían en enviar emails falsos, donde se prometía brindar tanto una lista de infecciones activas en el área circundante de la víctima, como recomendaciones para la prevención de las infecciones. En estos emails se invitaba a los usuarios a  hacer clic en un enlace que los llevaba a una página de login falsa donde se capturaban sus credenciales.

 

Spyware:

Otro de los casos fue detectado por la empresa Reason Security el 2 de marzo pasado. En ella detallan que se está distribuyendo un malware disfrazado de un mapa de infecciones de Coronavirus o “Coronavirus map”. La aplicación que se distribuye es muy convincente mostrando un mapa en tiempo real de la evolución de la pandemia. De hecho, el malware copia los datos reales del sitio verdadero de la Universidad Johns Hopkins y los presenta con una GUI muy parecida a la aplicación original. Lo que además hace el Corona-virus-Map.com.exe, es robar datos del browser del usuario que lo ejecutó, entre ellos las credenciales almacenadas. En publicaciones más recientes, este malware fue atribuido a hackers rusos y se cree que está relacionado con la familia de malware AZORult descubierta en el año 2016.

 

Ciberataques:

Para completar esta triada, en el día de hoy se informó que un hospital de República Checa que atiende pacientes con COVID-19 sufrió un ciberataque que obligó a apagar todos sus sistemas informáticos. Se trata del hospital de la Universidad de Brno en la ciudad del mismo nombre. Uno de los elementos que más llama la atención a los investigadores, es que en dicho hospital, el segundo en tamaño en el país, es donde se realiza la mayor parte de los análisis para verificar los casos de Coronavirus en República Checa. No se informó el daño causado por el ciberataque ni tampoco si llegó a penetrar los sistemas donde se realizan y almacenan los análisis de COVID-19.

 

Tal como se comenta en esta nota del medio de noticias británico Independent, la situación mundial causada por el Coronavirus es una excelente oportunidad para generar ciberataques. Los cibercriminales juegan entonces con dos elementos relacionados con esta situación.

El primero es que el miedo (en inglés: fear) genera en la población una necesidad imperiosa y a veces compulsiva de conocer detalles sobre lo que sucede. Esto implica que cualquier oferta que les llegue a los usuarios con información sobre la pandemia sea aceptada sin demasiado análisis.

El segundo es que tanto gobiernos, empresas o la población misma, están en estos días enfocando toda la atención a un solo objetivo: la contención de la enfermedad. Esto lleva irremediablemente, a bajar la guardia en todos los otros frentes, como por ejemplo en la ciberprotección.

Es explotando este factor miedo que los cibercriminales se aprovechan de la situación.

El caso del Coronavirus dio la oportunidad de acuñar un nuevo término: “Fearware“, para distinguir entre otros,  al ‘miedo’ como vector para ciberataques.

 

Actualización del 15-mar-2020, 21:45

Worldometer:

El sitio https://www.worldometers.info donde se publican estadísticas mundiales de diferentes temas, tomó el caso del Coronavirus para hacer el seguimiento de los casos. En el día de hoy (hace media hora) se pudo observar que los valores de casos en el mundo se habían incrementado de forma ridícula. Era posible ver estos números a las 21:25 (AR):

 

Y en el detalle por país:

Donde se ve el ingreso de 567.999 casos y 892.045 muertos en la Ciudad de Vaticano!

Refrescando la página a las 21:30 (AR) se podía ver otra modificación de los números:

 

Es muy probable que alguien haya tomado control de parte de la aplicación y haya ingresado esos datos de forma manual. Es muy poco probable que haya sido un error del sistema, ya que la Ciudad del Vaticano no figura dentro de la lista de países que admite el sistema.

Es un momento en que la humanidad necesita de la colaboración de todos y que se tome esto en serio.

Y acciones como estas, realmente causan indignación.

 

Actualización del 15-mar-2020, 22:33

La noticia de la intrusión fue también levantada por este sitio italiano.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Ciber predicciones 2020

Ciber predicciones 2020

Para finalizar el año, les dejo este análisis de diferentes predicciones en ciber seguridad para el 2020 hechas por distintos sitios especializados en el tema.
Se acerca el fin de año (bueno, hoy es fin de año) y todos hacen sus balances del año que pasó y sus proyecciones de lo que puede venir. Hace algunas años hice algún balance. Este año quise dejarles un análisis de sus predicciones hecho a unos 20 sitos de ciber seguridad. En cada sitio se utilizan diferentes criterios para evaluar y proyectar qué es lo que puede pasar en materia de ciber seguridad en el año que comienza mañana.
Esta vez, mi trabajo fue recopilar todas esas proyecciones, extraer los temas que cada uno trata como destacado y darles un puntaje a cada tema. Ese puntaje fue dado arbitrariamente por mí en función de la cantidad de veces que se repetía un tema en los diferentes sitios y de la importancia que cada uno le da a cada tema.
El puntaje entonces, correspondería al interés que se le asigna a cada tema.
El resultado fue un score sobre 23 temas extraídos de los diferentes sitios.

 

Los sitios con los que me quedé fueron los siguientes:

Helpnetsecurity, Circadence, CheckpointTheHackerNewsCyberSecurityMag, Information edgeTechrepublic, SdxcentralCyberscoop, ScmagazineWatchGuardForbes y Forescout.

Y el resultado fue el que se ve en la figura a continuación:

El gráfico está ordenado de mayor a menor interés. En los temas de las predicciones se mezclan varias categorías. El tema de interés puede ser:

  • un ataque
  • un blanco
  • un vector de ataque
  • una contramedida

Brevemente, los temas de interés se definen de la siguiente forma:

Phishing + Awareness: Se refiere específicamente a ataques de phishing (que se verían muy incrementados en 2020) y a su principal contramedida: la concientización.

Cloud: Según los especialistas, la gran adopción que se hizo de la nube en 2019 y la que se proyecta para 2020, servirá de vector de ataque en muchos de sus servicios. El que más se destaca por sus vulnerabilidades es Office365.

Inteligencia artificial: Ya se vienen utilizando técnicas de Inteligencia Artificial y Machine Learning en sistemas de ciber defensa. Se había proyectado de la misma forma que se empezarían a utilizar estas técnicas como ataques, sin embargo no se tiene registro que ese tipo de ataques se hubiese producido todavía. Pero se prevé para 2020…

Ransomware: En los primeros lugares en las predicciones siguen estando los ataques de ransomware. Es realmente incomprensible que existiendo tecnologías que permiten bloquear Ransomware con 100% de efectividad, sea ésta una de las principales amenazas para 2020.

IoT: El enorme crecimiento de la base instalada de dispositivos de Internet de las Cosas y sus múltiples vulnerabilidades, hacen prever un incremento en los ataques durante el próximo año.

Deepfakes: De estos ataques se habla muchísimo en los Estados Unidos debido a que 2020 es año de elecciones. Las noticias e información falsa se considera un arma muy poderosa a la hora de tratar de modificar las intenciones de los votantes.

5G/WiFi: El advenimiento de la tecnología 5G, sus vulnerabilidades o las asociadas a los dispositivos móviles y las propias de WiFi hacen prever una gran actividad de ataques utilizando algunos de estos mecanismos.

Gobiernos: Existe gran preocupación por la intervención de gobiernos o estados en la generación de ciber ataques.

Widen attack surface: El incremento en el tamaño de la superficie de ataque global es un hecho para 2020. Esto se deberá a diversos factores como ser: el incremento en la cantidad de vulnerabilidades, la utilización masiva de la nube con sus vulnerabilidades propias o la incorporación de millones de dispositivos IoT vulnerables.

Robots: Se prevé un gran incremento de la utilización de técnicas de automatización en procesos para el año próximo. Si bien estas técnicas ayudan mucho a los administradores de seguridad, también lo hacen (y lo harán) a los atacantes…

Skill Gap: Ya se viene hablando hace un tiempo de un aspecto en el mundo de la ciber seguridad que es realmente preocupante. Es la brecha de conocimientos que existe entre quienes atacan y quienes defienden. Los atacantes tienen más conocimientos que los defensores. La brecha viene en aumento y se prevé que para 2020 seguirá en aumento.

Servicios financieros: Otro blanco de ciber ataques que sigue en aumento son los servicios financieros y bancarios. Se dice que esto seguirá en aumento en 2020.

Reuso de passwords: Una falla que hoy por hoy no debería existir, inconcebiblemente parecería que en 2020 irá en aumento.

Infrastructuras Críticas: Lo que comenzó con Stuxnet hace ya 10 años, es una carrera que no se ha detenido. Cada vez más las Infraestructuras Críticas serán blanco de ataques.

Sector de Salud: Otro sector, por cierto muy descuidado desde el punto de vista de ciber seguridad, sería blanco de ciber ataques durante 2020 mucho más en en años anteriores.

Zero trust: Este nuevo concepto se visualiza como una tendencia a implementar durante 2020 para evitar ser blanco de ciber ataques.

Móviles: Las vulnerabilidades en las aplicaciones móviles harán que haya muchos más ataques de este tipo el año próximo.

PyMEs: Un ámbito que hace unos años parecía no atractivo para ciber atacantes, lo es cada vez más y parecería que las PyMEs serán blanco de ciber ataques mucho más que en años anteriores.

Computación cuántica: Varios especialistas hablan de cómo la computación cuántica será un ante y un después en la ciber seguridad.

Detección de amenazas: Los sistemas SIEM son cada vez más complejos pero a su vez conllevan un incremento en la fatiga del analista. Se dice que durante 2020 mejorarán las técnicas para utilizar estas tecnologías en la detección de amenazas. Veremos…

Ciber Seguros: Un rubro que viene creciendo silenciosa pero inexorablemente parece tener previsiones de mejoras en sus mecanismos y en su adopción.

Privacidad: Del mismo modo que varios países intentan poner límites a la privacidad del uso de las redes, existen muchas iniciativas para saltear esos límites. Al parecer, esta guerra se intensificaría en 2020.

DevSecOps: Dado  que hoy en día, el software es una de las mayores fuente de vulnerabilidades, la adopción de esta metodología se incrementaría considerablemente durante el próximo año.

 

Al final del 2020 haremos el ejercicio de ver cuánto se cumplieron estas predicciones.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

La amenaza invisible

La amenaza invisible

El fin de semana pasado, el diario Clarín publicó una nota que tituló “Delitos informáticos: Uno de cada dos argentinos conectados sufrió al menos un ciberataque en lo que va del año” en el que destaca que “El 55% de los argentinos conectados sufrió un ataque de malware, o software malicioso, en lo que va del año…”, citando como fuente, el informe de una prestigiosa empresa de ciber seguridad a nivel mundial.

Como consecuencia de esta nota, pensé en que sería interesante hacer algunas cuentas para ver si se pueden sacar algunas conclusiones.

El informe se refiere específicamente a ciber delitos, se podría analizar entonces qué pasa estadísticamente en nuestro país con los delitos convencionales y hacer algunas comparaciones. Según las estadísticas online que presenta el Ministerio de Seguridad de la Nación, teniendo en cuenta los delitos contra las personas en todo el país durante 2017; la cantidad de víctimas afectadas fue de: 344.243. Si tenemos en cuenta que según el mismo informe la población de Argentina está compuesta por 44.044.811habitantes, el total de víctimas de delitos constituye aproximadamente el 0,8% de la población.

Por otra parte, según el informe de CABASE* del segundo semestre del mismo año 2017, la cantidad de personas conectadas a Internet en nuestro país fue de 30.567.098, es decir el 69,4% de la población.

Si se combinan ambos resultados, se puede  concluir que aproximadamente en el último año y medio:

 

Total de víctimas de delitos comunes = 344.243

Total de víctimas de ciber ataques = 16.811.904

 

Si tanto el informe al que hace referencia Clarín, como las estadísticas del Ministerio de Seguridad son correctas, esto significaría que en Argentina hay 49 veces más ciber ataques que delitos comunes.

Por otro lado, si buscamos por ejemplo, la cantidad de noticias publicadas sobre ambos tipos de eventos delictivos en el mismo diario Clarín para el año 2017, encontramos los siguientes números:

 

Total de noticias sobre delitos comunes = 7.560

Total de noticias sobre ciber ataques = 544

 

Es decir que, si me conceden que el algoritmo de búsqueda que usé sobre el sitio de Clarin es válido, se publican 14 veces más noticias sobre delitos comunes que sobre ciber delitos. Evidentemente hay alguna inconsistencia que puede representarse con un número final. Si definimos el nivel de exposición de los ciber ataques respecto a los delitos comunes, llegamos a:

 

Nivel de exposición (cibre ataques/delitos comunes) = 1 / 686

 

es decir, que relacionado ciber ataques con delitos comunes, solo uno de cada 686 salen a la luz pública, por lo tanto… se puede decir que las ciber amenazas son invisibles.

Y este número coincide además con lo que uno puede percibir diariamente. Por ejemplo, cuando leemos los portales de noticias, vemos los noticieros, leemos los diarios, lo que nos inundan son las “páginas policiales” y rara vez vemos una noticia de un ciber delito. Y porqué se da esto teniendo en cuenta que son tantos más!!??

La respuesta es sencilla de responder: los ciber delitos no se ven, los ciber ataques son normalmente invisibles. Puede ser una App nueva que está instalada en mi celular (aunque me está sacando fotos sin que yo lo sepa…), alguna transacción que hicieron con mi tarjeta de crédito que simplemente la desconozco y el banco me devuelve el dinero (aunque me robaron los datos haciéndome phishing…), una base de datos de clientes o una carpeta con informes que encriptaron en mi servidor (y que para recuperarla tuve que pagar algunos cientos de dólares en bitcoins…). Cada uno de esos incidentes termina estando registrado en alguna estadística de algún antivirus o anti malware, pero rara vez se denuncie y muchísimo menos… alguna vez sean noticia.

Los ciber criminales todavía no aparecen en las primeras planas, salvo cuando se roban millones de números de tarjetas de crédito, o le roban millones de dólares a un banco a través de SWIFT. Son noticias que aparecen esporádicamente, en alguna circunstancia que hacen al hecho visible, como dijimos 1 de cada 14. Para nada proporcional al 49:1 del primer cálculo.

La virtualidad, la existencia en un mundo muy real pero invisible, hace que estas actividades digitales nos vuelvan locos a los profesionales de la ciber seguridad pero que común de la gente ni se entere de su existencia.

Uno de los principales problemas de esta invisibilidad, es que hace muy difícil hacer tomar conciencia de la necesidad de protegerse a las personas que no son profesionales de sistemas o de ciber seguridad, a quienes no entienden de tecnología de la información, pero que la usan en su vida diaria para todas sus actividades. Las cosas son así, y la tarea de mostrar esto y concientizar a la gente sobre estos peligros ese es nuestro desafío.

 

 * CABASE = Cámara Argentina de Internet cuya misión es reunir a las organizaciones proveedoras de Servicios de Acceso a Internet, telefonía, soluciones de Datacenter y contenidos Online, entre otras.

 

 

 

 

 

Nota por Carlos Benitez