Las noticias sobre seguridad en internet no dan tregua. Este lunes conocimos los resultados de un estudio de IBM en el cual se afirma que el sector financiero fue el principal blanco de los ciberataques en 2016. Ahora, por cuenta de un reporte de la compañía global Fortinet, supimos que los cibercriminales están conformando un ‘ejército de dispositivos’ para cometer sus ataques.

El Reporte Global sobre el Panorama de Amenazas de Fortinet revela con detalle los métodos y las estrategias que emplean los cibercriminales, y demuestra el impacto a futuro que pueden tener estos hechos en la economía digital. De acuerdo con Fortinet, la pregunta ‘¿Cuál es mi amenaza más grande?’ continúa siendo muy difícil de precisar debido a que las viejas amenazas han vuelto a salir a la superficie pero renovadas, automatizadas y en ataques a gran escala.

Por lo anterior, la metodología del reporte se enfocó en tres aspectos centrales del panorama de amenazas: aplicaciones de exploits (fragmento de software, de datos o secuencia de comandos y acciones utilizado con el fin de aprovechar una vulnerabilidad de seguridad); software malicioso (malware); y botnets (red de robots informáticos o bots, que se ejecutan de manera autónoma y automática).

Tendencias de infraestructura y su relación con las amenazas

Considerar las tendencias de infraestructura y cómo se relacionan con el panorama de amenazas es muy importante. Los exploits, el malware y los botnets no ocurren en el vacío y encontrar o prevenir las amenazas se vuelve cada vez más complicado, conforme evolucionan las infraestructuras.

– Los datos muestran que el tráfico encriptado usando SSL (tecnología de seguridad estándar para establecer comunicaciones seguras entre un servidor web y un navegador) sí permaneció constante en cerca del 50% de los casos, lo que representó aproximadamente la mitad del total del tráfico web que circuló dentro de las empresas.

– De acuerdo con Fortinet, el uso del tráfico HTTPS es una tendencia importante para monitorear ya que, si bien es una buena herramienta para la privacidad, también presenta algunos desafíos para detectar amenazas capaces de esconderse en comunicaciones codificadas. Con frecuencia, el tráfico SSL pasa desapercibido debido al enorme costo de procesamiento que se requiere para abrir, inspeccionar y re-codificar el tráfico, forzando a los equipos a elegir entre dos variables: protección y desempeño.

– En términos del total de aplicaciones detectadas por empresa, el número de aplicaciones de nube llegó casi a 63, lo que es aproximadamente un tercio de todas las que son detectadas. Esta tendencia tiene implicaciones significativas para la seguridad, ya que los equipos de TI cuentan con menos visibilidad de la información que reside en las aplicaciones de nube, cómo esta información es utilizada y quién tiene acceso a ella. Los medios sociales, la transmisión de audio y video y las aplicaciones P2P no tuvieron una significativa tendencia al alza.

Un ejército de dispositivos impulsado por cibercriminales

– Los dispositivos del IoT (Internet de las Cosas) son productos codiciados por los cibercriminales de todo el mundo. Estos grupos están formando ‘sus propios ejércitos de cosas’ y están desarrollando la habilidad para replicar los ataques a una velocidad increíble. Es así como el escalamiento se ha vuelto el principal pilar de los ecosistemas del cibercrimen moderno.

– En el último trimestre del 2016, la industria se recuperó de la intrusión que sufrió Yahoo! y de los ataques de denegación de servicio (DDoS) de Dyn. Casi a mitad de ese trimestre, los récords establecidos por ambos eventos no sólo fueron superados, sino duplicados.

– Los dispositivos del Internet de las Cosas comprometidos por el botnet ‘Mirai’ iniciaron el establecimiento de múltiples récords de ataques DDoS. La divulgación del código fuente de ‘Mirai’ incrementó la actividad de botnets cerca de 25 veces en una semana, con un crecimiento de 125 veces para finales de año.

– La actividad de los exploits relacionada con IoT en varias categorías de dispositivos mostró escaneos de vulnerabilidades, principalmente en impresoras y enrutadores caseros.

– El malware móvil se volvió un problema como nunca antes. A pesar de que sólo es el 1,7% del total del volumen de malware, una de cada cinco empresas reportó haber encontrado malware como una variante móvil, casi todos en plataformas Android. Existen marcadas diferencias regionales sobre los ataques de malware con un 36% en empresas de África, 23% en Asia, 16% en Norteamérica y 8% en Europa. Esta información influye en los dispositivos confiables de las redes corporativas actuales.

Prevalecen los ataques automatizados y de alto volumen

– La correlación entre el volumen de exploits y su prevalencia implica un incremento en la automatización de los ataques y una disminución de los costos por malware y herramientas de distribución disponibles en la red oscura. Para Fortinet, esto hace que sea más barato y fácil que nunca para los cibercriminales iniciar ataques.

– El SQL Slammer (un gusano informático) se encuentra en la cima de la lista para detección de exploits con una clasificación de gravedad crítica, afectando principalmente a las instituciones educativas.

– Los exploits que indican un intento de ataque de fuerza bruta en el Protocolo de Computadoras de Escritorio Remotas del Sistema Operativo Windows (RDP) se ubicaron en segundo lugar de prevalencia. Se lanzaron solicitudes RDP a una tasa de 200 veces por cada 10 segundos, lo que explica el alto volumen detectado a lo largo y ancho de las empresas globales.

– En tercer lugar se encuentra una firma enlazada a la Corrupción de Memoria, que es una vulnerabilidad en el Administrador de Archivos de Windows, el cual permite que un cibercriminal ejecute, de forma remota, un código arbitrario dentro de la aplicación vulnerable a través de un archivo jpg.

– Dentro de la familia de botnets, el H-Worm y Zero Access obtuvieron la más alta prevalencia y volumen. Ambos le otorgan a los cibercriminales control de los sistemas afectados para desviar la información o llevar a cabo fraudes a tan solo un clic. Los sectores gubernamentales y de tecnología fueron los que enfrentaron el mayor número de intención de ataques por parte de estas dos familias de botnets.

El ransomware llegó para quedarse

– Según Fortinet, el ransomware debe examinarse independientemente de la industria, ya que este método de ataque de alto valor muy probablemente continúe con el crecimiento del ransomware como servicio (RaaS), en el cual cibercriminales sin mucho entrenamiento o habilidades especiales pueden simplemente descargar las herramientas y dirigirlas hacia sus víctimas.

– El 36% de las empresas detectaron actividad de botnets relacionada con ransomware. TorrentLocker fue el ganador y Locky quedó en tercer lugar.

– Dos familias de malware, Nemucod y Agent, ‘se fueron de juerga criminal’. El 81,4% de todas las muestras de malware capturadas pertenecían sólo a estas dos familias.

– El ransomware está presente en todas las regiones y sectores, pero particularmente se ha diseminado en las instituciones de salud. Esto es muy significativo, ya que cuando la información de un paciente se ve comprometida, las ramificaciones pueden ser mucho más severas debido a que estos datos representan mayor valor personal que cualquier otro tipo de información.

Exploits audaces

– Fortinet descubrió que los cibercriminales utilizaron la política de ‘no dejar atrás las vulnerabilidades’, y dirigieron su atención a los parches de seguridad y a las fallas de los viejos dispositivos o softwares; lo que significa menos tiempo y atención para enfocarse en la creciente superficie de ataque acelerada por los dispositivos digitales actuales.

– El 86% de las firmas registraron ataques que tenían la intención de sacarle provecho a vulnerabilidades que tenían casi una década de antigüedad.

– Un promedio de 10,7 aplicaciones únicas de exploits fueron rastreadas por cada empresa. Alrededor de nueve de cada 10 firmas detectaron exploits críticos o de alta gravedad.

– En resumen, África, el Medio Oriente y América Latina mostraron un mayor número y variedad de encuentros por cada categoría de amenazas cuando se compara con el promedio de exploits únicos, malware y familias de botnets detectadas por organización en cada región del mundo. Estas diferencias son más pronunciadas para los botnets.

El reporte de Fortinet sobre el panorama global de amenazas es producto de la información recabada por los Laboratorios FortiGuard durante el último trimestre del 2016. Se incluye información de investigación que cubre desde una perspectiva global hasta una regional, sectorial y organizacional.

Imagen: Pixabay.

Los riesgos que enfrentan las compañías que tienen presencia en internet y que no cuentan con herramientas de protección ante ataques cibernéticos van más allá del negativo efecto a su reputación o la pérdida de información valiosa. De acuerdo con el Reporte Anual de Seguridad Cibernética 2017 de Cisco, el año pasado una tercera parte de las organizaciones que sufrieron un ataque perdieron clientes, oportunidades de negocio e ingresos. 

El informe destaca que los jefes de seguridad de las empresas “citan limitaciones presupuestarias, mala compatibilidad de los sistemas y falta de talento capacitado como los obstáculos más grandes para avanzar en sus estrategias de seguridad”.

Si bien las empresas usan productos de seguridad digital, el uso excesivo de estas herramientas parece estar convirtiéndose en un arma de doble filo. Al respecto, el informe muestra que más del 60 por ciento de las empresas usan de seis a más de 50 productos para defenderse algún tipo de amenaza cibernética, lo cual impide la compatibilidad entre estos instrumentos y abre nuevas brechas de seguridad.

Y aunque puedan parecer anticuados, los ataques que más están creciendo son los que se realizan a través de correo electrónico publicitario (spam). “El volumen global de spam está aumentando, a menudo propagado por grandes y prósperos botnets”, añade Cisco en el informe.

Al analizar el costo comercial de los ataques cibernéticos, las cifras reveladas muestran que el 22 por ciento de las empresas afectadas perdió clientes, el 29 por ciento perdió ingresos, mientras que el 23 por ciento perdió oportunidades de negocio.

El documento también analiza la operación de los delincuentes cibernéticos y el tipo de estrategias y “modelos de negocios” a través de los cuales operan en la actualidad. Si bien la nube se ha convertido en una oportunidad para las empresas, también aparece como una puerta de entrada para los delincuentes. El informe explica que el “27 por ciento de las aplicaciones en nube de terceros introducidas por los empleados, destinadas a abrir nuevas oportunidades de negocio y aumentar la eficiencia, fueron clasificadas como de alto riesgo y crearon importantes problemas de seguridad”.

Las descargas de software sin publicidad también siguen siendo exitosas, y lograron infectar al 75 por ciento de las organizaciones que hicieron parte del estudio.

Finalmente, el informe hace énfasis en la importancia de la de la seguridad una prioridad en las empresas, para lo cual recomienda hacer mediciones de seguridad periódicas, además de mejorar la interoperabilidad de los sistemas usados al interior de las compañías.

Imágenes: MinTIC (vía Flickr)

Hasta el momento, los pronósticos hechos por varias firmas de seguridad informática en lo que tiene que ver con las amenazas que estarían al orden del día este año en el mundo se han cumplido al pie de la letra.

Hace menos de un mes, ENTER.CO alertó sobre la amenaza LizaMoon, que hasta el momento no ha sido controlada y sigue haciendo estragos en varios sitios web del mundo, y esta vez la noticia tiene que ver con un troyano detectado en Estados Unidos llamado Coreflood. Según investigadores del FBI y del Departamento de Justicia de ese país (DOJ, por su sigla en inglés), el virus hacía parte de una botnet que llegó a secuestrar a cerca de 2,3 millones de computadores en los últimos 10 años.

Según Reuters, la botnet,  que robó alrededor de 61 millones de dólares mediante fraude electrónico y el uso de información bancaria, habría sido creada por atacantes rusos que vulneraron, en su mayoría, dispositivos estadounidenses. Sin embargo, aseguran que las pérdidas son millonarias en otras partes del mundo.

Mediante un comunicado conocido por la misma agencia, David Fein, abogado estadounidense, aclaró: “Con la confiscación de Coreflood y los nombres de dominio de Internet se espera evitar que los delincuentes sigan utilizando Coreflood o la información de ordenadores infectados por el troyano para propósitos nefastos”.

Sumado a esto, el DOJ aseguró que 13 ciudadanos extranjeros han sido citados por una denuncia relacionada con fraude electrónico, que estaría vinculado con redes de bots y en los próximos días serían arrestados y judicializados.

Representantes del gobierno de Estados Unidos explicaron a Businessweek que la red de PCs zombi se constituye en una de las más grandes y por eso ha obligado a las autoridades a tomar medidas, nunca antes tomadas, en contra de los delincuentes cibernéticos.

En el ataque, según el FBI, el troyano explota una vulnerabilidad en los equipos que funcionan con base en los sistemas operativos Windows y se constituye en la segunda botnet de mayor impacto este año, luego de la denominada Rustock. Las autoridades resaltaron que la amenaza informática logró que los computadores contagiados fueran controlados de forma remota y utilizados para el robo de información bancaria y por ende para actividades relacionadas con fraude electrónico.