Las noticias sobre seguridad en internet no dan tregua. Este lunes conocimos los resultados de un estudio de IBM en el cual se afirma que el sector financiero fue el principal blanco de los ciberataques en 2016. Ahora, por cuenta de un reporte de la compañía global Fortinet, supimos que los cibercriminales están conformando un ‘ejército de dispositivos’ para cometer sus ataques.

El Reporte Global sobre el Panorama de Amenazas de Fortinet revela con detalle los métodos y las estrategias que emplean los cibercriminales, y demuestra el impacto a futuro que pueden tener estos hechos en la economía digital. De acuerdo con Fortinet, la pregunta ‘¿Cuál es mi amenaza más grande?’ continúa siendo muy difícil de precisar debido a que las viejas amenazas han vuelto a salir a la superficie pero renovadas, automatizadas y en ataques a gran escala.

Por lo anterior, la metodología del reporte se enfocó en tres aspectos centrales del panorama de amenazas: aplicaciones de exploits (fragmento de software, de datos o secuencia de comandos y acciones utilizado con el fin de aprovechar una vulnerabilidad de seguridad); software malicioso (malware); y botnets (red de robots informáticos o bots, que se ejecutan de manera autónoma y automática).

Tendencias de infraestructura y su relación con las amenazas

Considerar las tendencias de infraestructura y cómo se relacionan con el panorama de amenazas es muy importante. Los exploits, el malware y los botnets no ocurren en el vacío y encontrar o prevenir las amenazas se vuelve cada vez más complicado, conforme evolucionan las infraestructuras.

– Los datos muestran que el tráfico encriptado usando SSL (tecnología de seguridad estándar para establecer comunicaciones seguras entre un servidor web y un navegador) sí permaneció constante en cerca del 50% de los casos, lo que representó aproximadamente la mitad del total del tráfico web que circuló dentro de las empresas.

– De acuerdo con Fortinet, el uso del tráfico HTTPS es una tendencia importante para monitorear ya que, si bien es una buena herramienta para la privacidad, también presenta algunos desafíos para detectar amenazas capaces de esconderse en comunicaciones codificadas. Con frecuencia, el tráfico SSL pasa desapercibido debido al enorme costo de procesamiento que se requiere para abrir, inspeccionar y re-codificar el tráfico, forzando a los equipos a elegir entre dos variables: protección y desempeño.

– En términos del total de aplicaciones detectadas por empresa, el número de aplicaciones de nube llegó casi a 63, lo que es aproximadamente un tercio de todas las que son detectadas. Esta tendencia tiene implicaciones significativas para la seguridad, ya que los equipos de TI cuentan con menos visibilidad de la información que reside en las aplicaciones de nube, cómo esta información es utilizada y quién tiene acceso a ella. Los medios sociales, la transmisión de audio y video y las aplicaciones P2P no tuvieron una significativa tendencia al alza.

Un ejército de dispositivos impulsado por cibercriminales

– Los dispositivos del IoT (Internet de las Cosas) son productos codiciados por los cibercriminales de todo el mundo. Estos grupos están formando ‘sus propios ejércitos de cosas’ y están desarrollando la habilidad para replicar los ataques a una velocidad increíble. Es así como el escalamiento se ha vuelto el principal pilar de los ecosistemas del cibercrimen moderno.

– En el último trimestre del 2016, la industria se recuperó de la intrusión que sufrió Yahoo! y de los ataques de denegación de servicio (DDoS) de Dyn. Casi a mitad de ese trimestre, los récords establecidos por ambos eventos no sólo fueron superados, sino duplicados.

– Los dispositivos del Internet de las Cosas comprometidos por el botnet ‘Mirai’ iniciaron el establecimiento de múltiples récords de ataques DDoS. La divulgación del código fuente de ‘Mirai’ incrementó la actividad de botnets cerca de 25 veces en una semana, con un crecimiento de 125 veces para finales de año.

– La actividad de los exploits relacionada con IoT en varias categorías de dispositivos mostró escaneos de vulnerabilidades, principalmente en impresoras y enrutadores caseros.

– El malware móvil se volvió un problema como nunca antes. A pesar de que sólo es el 1,7% del total del volumen de malware, una de cada cinco empresas reportó haber encontrado malware como una variante móvil, casi todos en plataformas Android. Existen marcadas diferencias regionales sobre los ataques de malware con un 36% en empresas de África, 23% en Asia, 16% en Norteamérica y 8% en Europa. Esta información influye en los dispositivos confiables de las redes corporativas actuales.

Prevalecen los ataques automatizados y de alto volumen

– La correlación entre el volumen de exploits y su prevalencia implica un incremento en la automatización de los ataques y una disminución de los costos por malware y herramientas de distribución disponibles en la red oscura. Para Fortinet, esto hace que sea más barato y fácil que nunca para los cibercriminales iniciar ataques.

– El SQL Slammer (un gusano informático) se encuentra en la cima de la lista para detección de exploits con una clasificación de gravedad crítica, afectando principalmente a las instituciones educativas.

– Los exploits que indican un intento de ataque de fuerza bruta en el Protocolo de Computadoras de Escritorio Remotas del Sistema Operativo Windows (RDP) se ubicaron en segundo lugar de prevalencia. Se lanzaron solicitudes RDP a una tasa de 200 veces por cada 10 segundos, lo que explica el alto volumen detectado a lo largo y ancho de las empresas globales.

– En tercer lugar se encuentra una firma enlazada a la Corrupción de Memoria, que es una vulnerabilidad en el Administrador de Archivos de Windows, el cual permite que un cibercriminal ejecute, de forma remota, un código arbitrario dentro de la aplicación vulnerable a través de un archivo jpg.

– Dentro de la familia de botnets, el H-Worm y Zero Access obtuvieron la más alta prevalencia y volumen. Ambos le otorgan a los cibercriminales control de los sistemas afectados para desviar la información o llevar a cabo fraudes a tan solo un clic. Los sectores gubernamentales y de tecnología fueron los que enfrentaron el mayor número de intención de ataques por parte de estas dos familias de botnets.

El ransomware llegó para quedarse

– Según Fortinet, el ransomware debe examinarse independientemente de la industria, ya que este método de ataque de alto valor muy probablemente continúe con el crecimiento del ransomware como servicio (RaaS), en el cual cibercriminales sin mucho entrenamiento o habilidades especiales pueden simplemente descargar las herramientas y dirigirlas hacia sus víctimas.

– El 36% de las empresas detectaron actividad de botnets relacionada con ransomware. TorrentLocker fue el ganador y Locky quedó en tercer lugar.

– Dos familias de malware, Nemucod y Agent, ‘se fueron de juerga criminal’. El 81,4% de todas las muestras de malware capturadas pertenecían sólo a estas dos familias.

– El ransomware está presente en todas las regiones y sectores, pero particularmente se ha diseminado en las instituciones de salud. Esto es muy significativo, ya que cuando la información de un paciente se ve comprometida, las ramificaciones pueden ser mucho más severas debido a que estos datos representan mayor valor personal que cualquier otro tipo de información.

Exploits audaces

– Fortinet descubrió que los cibercriminales utilizaron la política de ‘no dejar atrás las vulnerabilidades’, y dirigieron su atención a los parches de seguridad y a las fallas de los viejos dispositivos o softwares; lo que significa menos tiempo y atención para enfocarse en la creciente superficie de ataque acelerada por los dispositivos digitales actuales.

– El 86% de las firmas registraron ataques que tenían la intención de sacarle provecho a vulnerabilidades que tenían casi una década de antigüedad.

– Un promedio de 10,7 aplicaciones únicas de exploits fueron rastreadas por cada empresa. Alrededor de nueve de cada 10 firmas detectaron exploits críticos o de alta gravedad.

– En resumen, África, el Medio Oriente y América Latina mostraron un mayor número y variedad de encuentros por cada categoría de amenazas cuando se compara con el promedio de exploits únicos, malware y familias de botnets detectadas por organización en cada región del mundo. Estas diferencias son más pronunciadas para los botnets.

El reporte de Fortinet sobre el panorama global de amenazas es producto de la información recabada por los Laboratorios FortiGuard durante el último trimestre del 2016. Se incluye información de investigación que cubre desde una perspectiva global hasta una regional, sectorial y organizacional.

Imagen: Pixabay.

En 2009, el investigador Atif Mushtag de Fire Eye, una empresa dedicada a la seguridad contra malware avanzado en Internet, emprendió la guerra contra los botnets de spam en los correos electrónicos. En la última publicación de su blog, la quinta parte de una serie de posts en los que cuenta su lucha contra ‘la bestia’ (así lo llama), afirma que el fin del spam está más cerca que nunca.

Si bien es cierto que la cantidad de spam se ha reducido notoriamente en los últimos años, esto se debe a los esfuerzos para desactivar los botnets y al mejoramiento de los filtros de correo no deseado en los servicios de email. Mushtag afirma con dar de baja tres botnets (Lethic, Cutwail y Grum) el spam desaparecerá finalmente, ya que la desaparición de estos, los tres más grandes, facilitaría la extinción de los más pequeños o haría que se fueran por sí mismos.

A principios de este año, Grum era el spambot más importante. Pero hoy, en una escala de 1 a 5, siendo 5 el valor de dificultad más alto para exterminar, es apenas un 2. En enero este botnet era el productor de un tercio de todo el spam que se generaba en todo el mundo.

Hay consenso entre varios observadores de que los esfuerzos para frenar el spam del todo están dando muchos frutos. Mushtag afirma que la presión por parte de los investigadores y las agencias de seguridad digital debe seguir siendo muy fuerte, por lo menos hasta que ‘los chicos malos’ se den cuenta que hacer eso ya no es buen negocio.

Hace poco, el diario El País relató la historia de Wu Dianyi, una chica de la China que sufría de depresión por su falta de popularidad, especialmente en las redes sociales. Tras muchos intentos fallidos de tener una red de amigos numerosa, Wu hizo clic en un anuncio de Internet que prometía cambiar esa realidad.

Por unos cuantos dólares, Wu logró incrementar su red de amigos en la red social que usaba, y no por 10 o 20: la cifra se había inflado a los cientos de amigos, cuando al principio no tenía más de 30.

¿Cómo funciona? Un programa o una red de computadores se dedican a crear cuentas falsas. Los perfiles no tienen ni foto ni información, y estos son conocidos como zombis, o bots. En los números está la fuerza, y un usuario con miles de seguidores hala más seguidores reales que uno con un par de docenas.

El negocio es redondo. Tan redondo que el gobierno de la China va a requerir que los usuarios de redes sociales y blogs ingresen su número de identidad y nombre real para tener una cuenta. Algunos argumentan que es un intento por limitar aún más el acceso a información, pero la realidad es que los zombis y las redes de zombis (o botnets) proliferan en el gigante asiático.

Un reporte reciente de Symantec describe un zombi que afecta los móviles de la China que usan Android, y aparentemente sus ingresos alcanzan los millones de dólares. Al descargar y darle permisos a una aplicación que se hace popular con números inflados generados por zombis, el usuario también accede a que esa aplicación abra una puerta trasera a su móvil, abusando de mensajes de texto y correos con propósitos de mercadeo.

Y es grave, porque una vez la aplicación de malware logra acceso al dispositivo, el servidor que la controla puede impedir hasta que le lleguen mensajes de alerta del proveedor de servicio informando al usuario sobre el fraude.

Y ese es solo un ejemplo. También recientemente Apple tuvo que eliminar varias aplicaciones y cuentas de desarrolladores que usaban redes de zombis para inflar los números de sus productos, y así llegar a los mejores rankings de la tienda de App Store.

El problema es que hay zombis pasivos que sirven para inflar números, y ya. Pero también hay zombis muy activos y peligrosos, que se instalan en el dispositivo del usuario para llevar al cabo ataques contra el FBI, por ejemplo, como fue el caso reciente cuando se cerró Megaupload. 

Volviendo a la China, hay incluso redes de jóvenes reales que se dedican a ser zombis más creíbles. El costo es mayor, pero en vez de perfiles vacios se dedican a dar la impresión de un usuario real y mantener el perfil, con nombre, foto, actividades, gustos, etc. Según el reporte de El País, hasta usan identidades de gente fallecida para generar mayor credibilidad.

Puede que el caso de Wu sea algo inocente, una chica buscando ser más popular. Pero la cancha también está llena de espacios para hacer jugadas fraudulentas.

Como siempre, las medidas de prevención que se pueden tomar son muchas y variadas.

Más que todo prima el sentido común. No acepte los pedidos de amistad de desconocidos en redes sociales. Asegúrese de investigar un producto o aplicación antes de comprarlo o descargarlo. No crea que algo, por ser popular, tiene credibilidad. Una simple búsqueda en Google puede ahorrarle dolores de cabeza, proteger la integridad de su identidad virtual, su portátil, y su billetera.

Desarrollamos las siguiente guía de amenazas informáticas con información de la firma de seguridad ESET. El objetivo es que usted conozca todas las formas de infección posible, para así estar preparado y no caer en las manos de delincuentes en la Web.

Para los que deseen ampliar sus conocimiento en el tema, ESET cuenta con una plataforma de educación en línea gratuita que le permite a cualquier persona, según la empresa, aprovechar Internet al máximo sin preocuparse de las amenazas.

Si desea ampliar la lista con algún tipo de malware que no esté incluido, lo invitamos a hacerlo en la parte de comentarios.

• Malware. Es el acrónimo, en inglés, de las palabras ‘malicious’ y ‘software’, por lo que se conoce como software malicioso. En este grupo se encuentran los virus clásicos (aquellas formas de infección que existen desde hace años) y otras nuevas amenazas que han surgido con el tiempo. Se puede considerar como malware todo programa con algún fin dañino (hay algunos que incluso combinan diferentes características de cada amenaza).

• Spam. Es el correo electrónico no deseado o correo basura, que se envía sin ser solicitado, de manera masiva, por parte de un tercero. Aunque en un principio se utilizaba para envío de publicidad, se ha visto un creciente uso con el fin de propagar códigos maliciosos. Según estudios, entre el 80 y el 85% del correo electrónico que se le envía a una persona es correo basura. El spam llegaba a la bandeja de entrada inicialmente en mensajes en formato de texto. Sin embargo, con la creación de filtros anti-spam, el spam evolucionó a correos con imágenes o contenido Html para evadir la protección.
  

• Virus. Es un programa informático creado para producir algún daño en el computador. Posee dos características particulares: pretende actuar de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo, acciones que pueden compararse con los virus biológicos que producen enfermedades (y un daño) en las personas, actúan por sí solos y se reproducen (contagian).
  Los virus pueden infectar de dos maneras diferentes. La tradicional consiste en ‘inyectar’ una porción de código malicioso en un archivo normal. Es decir, el virus reside dentro del archivo ya existente. De esta forma, cuando el usuario ejecute el archivo, además de las acciones normales del archivo en cuestión, se ejecutan las instrucciones del virus. La segunda forma de infectar consiste en “ocupar el lugar” del archivo original y renombrar este por un nombre conocido solo por el virus. En este caso, al ejecutar el archivo primero se ejecuta el malicioso y, al finalizar las instrucciones, este llama al archivo original, ahora renombrado.

• Spyware. Los programas espía son aplicaciones que recopilan información del usuario sin su consentimiento. Su objetivo más común es obtener datos sobre los hábitos de navegación o comportamiento en la web del usuario atacado y enviarlos a entes externos. Entre la información recabada se puede encontrar qué sitios web visita, cada cuánto lo hace, cuánto tiempo permanece el usuario en el sitio, qué aplicaciones se ejecutan, qué compras se realizan o qué archivos se descargan.
  No es una amenaza que dañe al ordenador, sino que afecta el rendimiento de este y, en este caso, atenta contra la privacidad de los usuarios. Sin embargo, en algunos casos se producen pequeñas alteraciones en la configuración del sistema, especialmente en las configuraciones de Internet o en la página de inicio.

• Phishing. Consiste en el robo de información personal y financiera del usuario, a través de la falsificación de un ente de confianza. El usuario recibe un correo electrónico simulando la identidad de una organización de confianza, por lo que este, al confiar en el remitente, envía sus datos directamente al atacante. Su identificación es compleja pues prácticamente todos los componentes del mensaje enviado al usuario son idénticos a un mensaje legítimo del mismo tipo.

• Ingeniería social. Es una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema por medio de habilidades sociales. Con esto se busca que el usuario comprometa al sistema y revele información valiosa por medio de variados tipos de engaños, tretas y artimañas.
  Por ejemplo, el usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema, cuando recibe un mensaje que lo lleva a abrir un archivo adjunto. O puede suceder que el usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos, en el caso del scam y el phishing.

• Adware. Su nombre se deriva de la combinación de las palabras ADvertisement (anuncio) y softWARE). Se trata de un programa malicioso que se instala en el computador sin que el usuario lo note, y cuya función es descargar y mostrar anuncios publicitarios en la pantalla de la víctima (se ven como ventanas emergentes del navegador o pueden aparecer incluso si el usuario no está navegando por Internet).
  El adware no produce una modificación explícita que dañe el sistema operativo, pero sí disminuye el rendimiento del equipo y de la navegación por la Red ya que utiliza recursos del procesador, la memoria y el ancho de banda. Por lo general, el adware utiliza información recopilada por algún spyware para decidir qué publicidad mostrar.

• Botnets. Es una red de equipos infectados (robot o zombi) por códigos maliciosos, los cuales son controlados por un delicuente informático el cual, de manera remota, envía órdenes a los equipos zombis haciendo uso de sus recursos. Las acciones de un equipo zombi son realizadas en su totalidad de forma transparente al usuario. Por este motivo, uno de los síntomas más importantes de un sistema infectado por un malware de este tipo es el consumo excesivo de recursos, el cual hace lento el funcionamiento del sistema y de las conexiones, e incluso puede llegar a impedir su utilización.
  Los dueños de redes botnets las utilizan para acciones como envío de spam, ataques a sitios web, alojamiento de archivos para sitios web (material pornográfico, cracks, sitios de phishing, etc.), distribución e instalación de nuevo malware y abuso de publicidad en línea.

• Gusanos. Son un sub-conjunto de malware. Su principal diferencia con los virus tradicionales es que no necesitan de un archivo anfitrión para seguir vivos, por lo que se reproducen utilizando diferentes medios como las redes locales o el correo electrónico. El archivo malicioso puede copiarse de una carpeta a otra o enviarse a toda la lista de contactos del correo electrónico, citando solo algunos ejemplos.
  La segunda diferencia es que su objetivo no es necesariamente provocar un daño al sistema, sino copiarse a la mayor cantidad de equipos como sea posible. En algunos casos, los gusanos transportan otros tipos de malware, como troyanos o rootkits; en otros, simplemente intentan agotar los recursos del sistema como memoria o ancho de banda mientras intenta distribuirse e infectar más ordenadores.

• Troyanos. Su nombre proviene de la leyenda del caballo de Troya, pues se disfraza para engañar al usuario: Los archivos que simulan ser normales e indefensos, como pueden ser juegos o programas, provocan al usuario para que los ejecute y así logran instalarse en los sistemas. Una vez ejecutados, parecen realizar tareas inofensivas pero paralelamente realizan otras tareas ocultas en el ordenador.
  Al igual que los gusanos, no siempre son malignos o dañinos. Sin embargo, a diferencia de los gusanos y los virus, estos no pueden replicarse por sí mismos. A través de un troyano un atacante pueda conectarse remotamente al equipo infectado, registrar el tipeo y robar contraseñas, y hasta robar información del sistema. Entre los disfraces más comunes que utilizan los troyanos se encuentran archivos por correo electrónico que simulan ser una imagen, un archivo de música o algún archivo similar, legitimo e inofensivo.

• Scam. Es el nombre utilizado para las estafas a través de medios tecnológicos. Los medios utilizados por el scam son similares a los que utiliza el phishing, si bien su objetivo no es obtener datos sino lucrar de forma directa a través del engaño. Las técnicas más comunes son el anuncio de una ganancia extraordinaria o las peticiones de ayuda caritativa.

• Rootkit. Son herramientas como programas, archivos, procesos, puertos o cualquier componente lógico diseñadas para mantener en forma encubierta el control de un computador. No es un software maligno en sí mismo, sino que permite ocultar las acciones malignas que se desarrollan en un equipo. Otras amenazas se incorporan y fusionan con técnicas de rootkit para disminuir su probabilidad de ser detectadas.