Select Page
FEARWARE!

FEARWARE!

….o cómo usar el miedo como vector para ciberataques…
Pasaron ya 2 meses y medio desde el inicio de la pandemia del COVID-19, y ya se han producido numerosos eventos de ciberseguridad relacionados con el brote que afecta a la salud mundial.
Dicen que “a río revuelto, ganancia de pescador”. Hoy en día está claro que el río está muy revuelto y los pescadores, aún en nuestro ámbito, están a la orden del día. Estos son 3 de los casos de ciberseguridad que han resonado últimamente relacionados con el coronavirus:
 

Ataques de phishing:

Ya a principios de febrero habíamos contado en la sección de noticias de Platinumciber, que investigadores de KnowBe4 y de Mimecast, habían descubierto campañas de phishing utilizando al Coronavirus como excusa.
Las campañas consistían en enviar emails falsos, donde se prometía brindar tanto una lista de infecciones activas en el área circundante de la víctima, como recomendaciones para la prevención de las infecciones. En estos emails se invitaba a los usuarios a  hacer clic en un enlace que los llevaba a una página de login falsa donde se capturaban sus credenciales.

 

Spyware:

Otro de los casos fue detectado por la empresa Reason Security el 2 de marzo pasado. En ella detallan que se está distribuyendo un malware disfrazado de un mapa de infecciones de Coronavirus o “Coronavirus map”. La aplicación que se distribuye es muy convincente mostrando un mapa en tiempo real de la evolución de la pandemia. De hecho, el malware copia los datos reales del sitio verdadero de la Universidad Johns Hopkins y los presenta con una GUI muy parecida a la aplicación original. Lo que además hace el Corona-virus-Map.com.exe, es robar datos del browser del usuario que lo ejecutó, entre ellos las credenciales almacenadas. En publicaciones más recientes, este malware fue atribuido a hackers rusos y se cree que está relacionado con la familia de malware AZORult descubierta en el año 2016.

 

Ciberataques:

Para completar esta triada, en el día de hoy se informó que un hospital de República Checa que atiende pacientes con COVID-19 sufrió un ciberataque que obligó a apagar todos sus sistemas informáticos. Se trata del hospital de la Universidad de Brno en la ciudad del mismo nombre. Uno de los elementos que más llama la atención a los investigadores, es que en dicho hospital, el segundo en tamaño en el país, es donde se realiza la mayor parte de los análisis para verificar los casos de Coronavirus en República Checa. No se informó el daño causado por el ciberataque ni tampoco si llegó a penetrar los sistemas donde se realizan y almacenan los análisis de COVID-19.

 

Tal como se comenta en esta nota del medio de noticias británico Independent, la situación mundial causada por el Coronavirus es una excelente oportunidad para generar ciberataques. Los cibercriminales juegan entonces con dos elementos relacionados con esta situación.

El primero es que el miedo (en inglés: fear) genera en la población una necesidad imperiosa y a veces compulsiva de conocer detalles sobre lo que sucede. Esto implica que cualquier oferta que les llegue a los usuarios con información sobre la pandemia sea aceptada sin demasiado análisis.

El segundo es que tanto gobiernos, empresas o la población misma, están en estos días enfocando toda la atención a un solo objetivo: la contención de la enfermedad. Esto lleva irremediablemente, a bajar la guardia en todos los otros frentes, como por ejemplo en la ciberprotección.

Es explotando este factor miedo que los cibercriminales se aprovechan de la situación.

El caso del Coronavirus dio la oportunidad de acuñar un nuevo término: “Fearware“, para distinguir entre otros,  al ‘miedo’ como vector para ciberataques.

 

Actualización del 15-mar-2020, 21:45

Worldometer:

El sitio https://www.worldometers.info donde se publican estadísticas mundiales de diferentes temas, tomó el caso del Coronavirus para hacer el seguimiento de los casos. En el día de hoy (hace media hora) se pudo observar que los valores de casos en el mundo se habían incrementado de forma ridícula. Era posible ver estos números a las 21:25 (AR):

 

Y en el detalle por país:

Donde se ve el ingreso de 567.999 casos y 892.045 muertos en la Ciudad de Vaticano!

Refrescando la página a las 21:30 (AR) se podía ver otra modificación de los números:

 

Es muy probable que alguien haya tomado control de parte de la aplicación y haya ingresado esos datos de forma manual. Es muy poco probable que haya sido un error del sistema, ya que la Ciudad del Vaticano no figura dentro de la lista de países que admite el sistema.

Es un momento en que la humanidad necesita de la colaboración de todos y que se tome esto en serio.

Y acciones como estas, realmente causan indignación.

 

Actualización del 15-mar-2020, 22:33

La noticia de la intrusión fue también levantada por este sitio italiano.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
El botín más preciado

El botín más preciado

 

Si al lector descuidado se le preguntara qué clase de información cree que es la más apreciada como objeto de robo por parte de los ciber-delincuentes, probablemente responda: “los datos de cuentas bancarias o tarjetas de crédito”. Nada más alejado de la realidad. 

La suma de contra-medidas con los que cuentan hoy en día los sistemas bancarios y los de las tarjetas de crédito (o al menos algunos de ellos), hacen que la posibilidad de sacar rédito a esta información no sea tan fácil. Por este motivo, el robo de esta información a sitios donde existen bases de datos inmensas con datos de clientes se hace, pero no es tan atractivo. Casos famosos como los de Equifax en su incidente inicial y en su reciente descubrimiento lo demuestran.

Sin embargo, el botín más preciado hoy en día no son los datos de las tarjetas de crédito sino la información de registros médicos de las personas. En la actualidad se está utilizando, en particular en Estados Unidos, el denominado EHR (Electronic Health Record o Registro de Salud Electrónico) o EMR (Electronic Medical Record oRegistro Médico Electónico). Esta información permite a los médicos contar con información médica actualizada, verificada, ordenada y completa de los pacientes que les permite brindar un mucho mejor servicio.

Más aún, muchos de los hospitales, las clínicas, los laboratorios, los centros de diagnóstico en el mundo cuentan con tecnología muy avanzada para el cuidado de la salud y el diagnóstico. Los sistemas son cada vez más complejos y están cada vez más conectados por lo que utilizan toda esta información de los pacientes que está almacenada en múltiples bases de datos, y circulan por múltiples redes.

Pero esta información tan rica y tan útil para pacientes y médicos, también lo es para los ciber-delincuentes. Para ellos, poder obtener información sensible de la salud de la población, saber su información demográfica, nombre, información histórica del lugar donde vive, lugares de trabajo, nombres y edades de los parientes, historial médico; incluidas las visitas a los médicos y los diferentes diagnósticos recibidos incluyendo: cáncer, enfermedades de transmisión sexual, enfermedades psiquiátricas o enfermedades raras que requieren tratamientos carísimos, son de altísimo valor en el mercado negro.

Tanto es así, que el valor que se paga por un registro médico robado,  puede variar de entre 400 a 4.000 veces el valor de un registro de un número de una tarjeta de crédito. 

Al contrario que los casos de robos de datos de tarjetas de crédito, los casos de robo de registros médicos se multiplican en forma constante. Los más famosos, por mencionar algunos, son: 26 millones de registros robados al sistema de salud de Inglaterra NHS en marzo de 2017; 3.3 millones de datos a la empresa de tarjetas de identificación médica Newkirk Products, Inc; 3.7 millones de datos robados a la empresa de salud Banner  Health enagosto de 2016;  4 millones de registros robados a la empresa Advocate Health Care Network, que maneja 12 hospitales y más de 200 centros de tratamiento en Estados Unidos; y la lista sigue.

Y aquí se presenta una combinación mortal de tres factores: 1) el enorme valor que tiene esta información en el mercado negro; 2) las pobres medidas de seguridad que suelen aplicarse en los hospitales, centros de salud y de diagnóstico y tratamiento; y 3) las vulnerabilidades intrínsecas que posee el equipamiento médico de última generación.

Sobre el tercer punto en particular, cabe mencionar que existe gran cantidad de reportes e informes que demuestran lo peligroso de estas vulnerabilidades. Este reporte, realizado en 50 centros de salud de Estados Unidos durante 2017, menciona que el 51% de los dispositivos vulnerables a ataques corresponden a sistemas de imágenes médicas. Teniendo en cuenta además, que cerca del 20% de los dispositivos electrónicos instalados corresponden a sistemas de imágenes, la superficie de ataque se vuelve inmensa y la probabilidad de ser blanco de ataques, altísima.
El mismo informe menciona además, que la mayor parte de las fallas técnicas de seguridad corresponde a tener los sistemas operativos desactualizados, utilizar contraseñas o sistemas de autenticación débiles. Pero hay otra falla muy importante; del total de problemas de seguridad descubiertos, el 41% corresponde a errores o prácticas débiles por parte de los usuarios. Estas prácticas consisten en que los usuarios tienen la posibilidad (y lo hacen) de instalar aplicaciones inseguras en los equipos que manejan dispositivos médicos, y hasta navegar por Internet! De esta forma abren la puerta a que un sitio malicioso o infectado, descargue malware en el equipamiento médico y lo infecte. Otra vez el eslabón más débil de la cadena: el usuario que no posee la conciencia suficiente de los peligros en el ciber-espacio.

Tan grave es la situación, que el departamento de salud de Estados Unidos creó el ‘US Department of Health and Human Services  “Wall of Shame” donde todas las instituciones de salud del país están obligadas a reportar cualquier ciber-incidente de seguridad que haya afectado la privacidad de por lo menos 500 registros de datos de salud.

Más allá del valor que posee cada registro en el mercado negro, la pérdida o difusión de esta información tiene un costo económico. De acuerdo al Instituto Ponemon (página 13 del informe) el costo de cada registro perdido en el año 2017 fue de U$S 380. Le dejo al lector la tarea de multiplicar ese número por la cantidad de registros robados en los casos mencionados más arriba.

Y esto se produce aún a pesar de los enormes esfuerzos que se están haciendo para evitar este daño. Por ejemplo, en Estados Unidos en particular, existe desde el año 1996 una ley cuyo objetivo es el de proteger los datos médicos de los pacientes, la ley se denomina HIPAA (Health Insurance Portability and Accountability Act) que deben cumplir todos los centros y profesionales de la salud.   

Del mismo modo en que nos preguntamos en notas anteriores, nos volvemos a preguntar: ¿Qué queda para nosotros de este lado del mundo?

Hoy en día la tecnología de diagnóstico y tratamiento médico está cada vez más avanzada y, por otro lado, la posibilidad de importar equipamiento se ha facilitado enormemente en los últimos años. Estamos importando equipamiento cada vez más complejo, que se conecta necesariamente a las redes almacenando y transmitiendo datos sensibles y confidenciales de la salud o de los pacientes. Esto nos sirve para facilitarle la vida a pacientes y médicos brindándoles información online de los diagnósticos. Estamos además, cumpliendo muy bien con el medio ambiente reduciendo enormemente la impresión de resultados de diagnósticos.
Sin embargo, ¿estamos protegiendo esos datos de la forma que deberíamos? ¿Las tecnologías de diagnóstico y tratamiento son las mismas que están siendo utilizadas y atacadas en los países donde se desarrollan, pero las medidas de ciber-seguridad son las mismas? Y las medidas de concientización a los usuarios (médicos, técnicos, profesionales) sobre el uso de estas tecnologías, ¿son las adecuadas?

¿Qué pasaría si se robaran en nuestro país datos confidenciales de salud de cientos de miles de pacientes? ¿Qué pasaría si un ransomware (como por ejemplo Wannacry) cifrara todos los datos de un base de datos de un hospital y los datos de pacientes en riesgo, por ejemplo, se volvieran inaccesibles?

La tecnología abre las puertas a mundos fascinantes y fabulosos que nos ayudan a mejorar nuestra vida y, en este caso, no sólo a mantenernos comunicados sino a tratar vincularse con nuestra salud. Pero esta misma tecnología tiene sus peligros y sus responsables deberían tratarlos de forma seria y responsable para que no haya fallas de seguridad y se pueda utilizar de forma confiable.

 
 
Nota por Carlos Benitez