Documentos de Académico
Documentos de Profesional
Documentos de Cultura
7-
Quedan pocos días para cerrar el año y hoy retomamos nuestro especial ya clásico donde
seleccionamos los peores incidentes de ciberseguridad en 2022. Como habrás ido viendo
por aquí y en nuestro blog especializado de muyseguridad, el mundo tiene encima un
gigantesco problema de seguridad informática. Simplemente, los delincuentes van por
delante de usuarios, empresas y las compañías especializadas en ciberdefensa.
Este año, como los anteriores, no han faltado las violaciones y fugas de información
en empresas grandes y pequeñas, causadas tanto por ciberataques externos como por
prácticas poco deseables de las mismas, sea por falta de medios o por lucro en el tráfico de
datos. Estas fugas invaden la privacidad de los usuarios y provocan una desconfianza en la
capacidad de las empresas para mantenerlos seguros.
Los ciberdelincuentes también han seguido aprovechando los grandes temas mediáticos,
sea la pandemia del COVID o la Guerra de Ucrania, para introducir malware. También hemos
visto abundantes campañas de falsedades y desinformación que terminan repercutiendo en
la seguridad como un riesgo en línea más. Los ataques de cadena de suministro continúan,
mientras que asegurar el nuevo ‘trabajo híbrido’ de millones de empleados fuera de las
redes perimetrales de las empresas (generalmente mejor protegidas) siguen siendo todo un
desafío.
Algunos casos notables de los conocidos fueron el de Medibank, una de las mayores
aseguradoras de Australia que fue víctima de este tipo de ataque afectando a casi 10
millones de clientes. Otro nos pilló más de cerca y afectó al Consejo Superior de
Investigaciones Científicas (CSIC). Más ataques afectaron a la productora de contenido
Bandai Namco Holdings Inc. confirmando que había sufrido un acceso no autorizado
por parte de terceros a los sistemas internos de varias empresas del Grupo en regiones
asiáticas.
El caso de Bandai fue típico. La compañía habría sido víctima de un ataque de ransomware
exitoso y, a consecuencia del mismo, habría sido sometida a una doble extorsión, es decir, a
la exigencia de un pago tanto para obtener las claves de descifrado de los activos digitales
secuestrados, como para evitar que el grupo responsable del ataque, AlphV/BlackCat, los
difundiera. Este grupo de ciberdelincuentes alojó a los miembros de DarkSide, grupo ya
extinto, que saltó a la fama gracias a su ataque histórico a Colonial el año pasado.
Para finalizar y como existe la errónea creencia, un tanto generalizada, de que el
ransomware solo amenaza a ordenadores y smartphones y que, por lo tanto, el resto
dispositivos están libres de esta amenaza, señalar la amenaza del Ransomware en los
NAS de QNAP. Y es que cualquier dispositivo empleado para almacenar datos es,
potencialmente, un objetivo para los ciberdelincuentes dedicados al ransomware, que no
dudan en explorarlos una configuración y/o gestión inadecuada del mismo o fallos del
software y/o el hardware de los mismos.
El mundo se las prometía muy felices una vez dejado atrás lo peor del COVID-19, pero Putin
no esta dispuesto a que 2022 fuera el año de la recuperación y en febrero comenzó lo que
denominó «operación especial» en Ucrania. Una invasión en toda regla condenada por la
comunidad internacional por la grave violación del derecho universal, de consecuencias
devastadoras para Ucrania (y Rusia), para el sector energético mundial y en general un
grave problema para la recuperación de la economía global tras la crisis provocada por la
pandemia.
En el siglo XXI las guerras no solo se libran sobre el terreno y el ciberespacio es otra
zona vital. Si en las operaciones físicas sobre el terreno se ha mostrado incapaz de
superar a Ucrania, en el mundo virtual Rusia cuenta con elementos de ataque y defensa que
se citan entre la élite planetaria. Y no solo en medios oficiales como los servicios de
inteligencia GRU, sino a través de mercenarios patrocinados por Rusia, piratas informáticos
a sueldo como el grupo de élite conocido como «Sandworm» y otros.
Al igual que la invasión física, los ataques virtuales se prepararon con bastante
antelación y coincidiendo con los bombardeos físicos en el comienzo de la guerra, las
agencias gubernamentales y los bancos de Ucrania fueron atacados con ataques DDoS
que desconectaron los sitios web. Estos ataques de denegación de servicio contra
infraestructuras de Internet dejaron fuera de juego los portales en línea del Ministerio de
Relaciones Exteriores, el Gabinete de Ministros, el portal del parlamento del país y otras
instituciones.
Otro de los ataques fue un nuevo malware de «limpieza de datos» destructivo que
se usó en ataques cibernéticos contra organizaciones en Ucrania, Lituania y Letonia. Este
tipo de malware había sido detectado por Microsoft bajo el nombre de ‘WhisperGate’ y que
se hizo pasar por un ataque de ransomware. Ambos corrompen los archivos y borran el
Master Boost Record de los dispositivos, lo que hace imposible iniciar Windows o acceder a
los archivos. El tipo de herramienta utilizado mostró claramente que había sido preparado
por ciberdelincuentes patrocinados por el estado ruso y el ataque no buscaba dinero ni
rescate, sino hacer daño a objetivos críticos.
Tanto el bombardeo virtual a base de DDoS como otros ataques se han ido sucediendo
durante todo el año. Lo último conocido fue el ataque a redes del gobierno ucraniano con
imágenes ISO de Windows 10 piratas. Entidades del gobierno ucraniano fueron
hackeadas mediante ataques dirigidos que usaban imágenes ISO de Windows 10 piratas
que se distribuían en redes torrent, haciéndose pasar por instaladores legítimos del sistema
operativo. Estos instaladores maliciosos, imágenes troyanizadas, entregaron malware
capaz de recopilar datos de computadoras comprometidas, implementar herramientas
maliciosas adicionales y filtrar datos robados a servidores controlados por los atacantes.
El listado de contraseñas más usadas de 2022 confirmó que una gran mayoría de usuarios
seguimos incumpliendo las normas básicas para su creación y mantenimiento. Y es un
problema, porque aunque las contraseñas son un método de seguridad poco atractivo para
el usuario, siguen siendo el método de autenticación preferente para acceder a los servicios
de Internet o autenticarse ante sistemas operativos, aplicaciones, juegos y todo tipo de
máquinas.
La lista de las peores más usadas es lamentable, se repite año a año y confirman que
somos un chollo para los ciberdelincuentes que ni siquiera tienen que emplear
métodos avanzados de hacking. La mayoría de las más usadas, viejas conocidas como
«123456», «111111», «qwerty» o «password», tardan menos de un segundo es descifrarse
lanzando un comando que compruebe las más usadas. Y ni siquiera ello, porque con la
simple prueba obtendrían acceso a las cuentas.
Se lo ponemos muy fácil a los ciberdelincuentes. Los usuarios somos «vagos» por
naturaleza o despreocupados a pesar de lo mucho que nos jugamos al dejar al descubierto
nuestra vida digital que abarca tanto a cuestiones profesionales como personales. Y
financieras… Las más buscadas por motivos obvios.
Y hablando de contraseñas… LastPass, uno de los servicios más usados para gestión de
contraseñas, envió en el mes de agosto una alerta de seguridad a sus clientes donde
admitió que fue hackeado semanas atrás. En la parte «positiva», aseguró no tener
evidencias de que los datos de los clientes o las bóvedas de contraseñas cifradas se
hubieron visto comprometidas.
Los gestores de contraseñas son una gran solución para manejar los accesos a la gran
cantidad de servicios de Internet donde estamos registrados. Este tipo de software reduce
los errores humanos en el manejo de las contraseñas, ya que automatiza el proceso de
generación y de acceso, evita la problemática del uso de múltiples contraseñas y como
resultado también ayuda contra ataques de phishing. Siempre y cuando no se comprometan
los propios gestores, se entiende.
Aunque no se conocieron los detalles del ciberataque y del grupo responsable, la compañía
explicó que una «parte no autorizada» logró obtener acceso a una parte de sus entornos de
desarrollo al comprometer una sola cuenta de un programador. Hay que decir que
LastPass almacena las contraseñas en «bóvedas cifradas» que solo se pueden descifrar
con la contraseña maestra de un cliente a la que ni la misma compañía tiene acceso. Esa es
la teoría. La compañía ha sido fuente frecuente de ciberataques en el pasado por los
motivos comentados.
Y hasta ahí sabíamos cuando la pasada semana descubrimos que el caso fue peor de lo
comentado. Los atacantes consiguieron acceder a información personal y a otros
metadatos relacionados, incluyendo nombres de las empresas clientes, nombres de
usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de
teléfono, direcciones IP y hasta lograron hacerse con los datos de la bóveda con datos no
cifrados como las URL de los sitio web. A todo eso se suman campos de datos cifrados
como nombres de usuario y contraseñas de sitio web, notas seguras y datos para rellenar
formularios.
Un ejemplo típico fueron las detectadas por Dr. Web, un puñado de aplicaciones creadas
para esparcir malware y adware y que fueron descargadas unas 10 millones de veces.
Dichas apps fueron eliminadas por Google casi en su totalidad, pero es probable que los
usuarios las mantuvieran instaladas bastante tiempo en su smartphone o tablet.
Sobre las aplicaciones en cuestión, estas eran de muchos tipos al ser presuntamente
teclados virtuales, herramientas de edición de imágenes, cambiadores de wallpapers y más.
Obviamente, todas esas aplicaciones hacían o al menos intentaban hacer aquello que
publicitaban, pero a la vez, en su interior, albergaban anuncios intrusivos,
invitaciones de suscripciones a servicios premium y hasta era posible que
dañasen el sistema o acabasen robando las cuentas de sus víctimas en las redes sociales.
Otro ejemplo lo tuvimos cuando el troyano bancario SharkBot se infiltró en la Play Store.
Se trata de un virus bancario para Android cuya finalidad es robar las credenciales de
ingreso a sitios web, sobre todo bancos y aplicaciones financieras. Además, con la
programación adecuada, es capaz de realizar transferencias sin que el dueño del teléfono
se entere.
Al igual que muchos otros troyanos que se dirigen a Android, este aprovecha las funciones
de accesibilidad del dispositivo. Estas se implementaron para leer los datos en pantalla y
narrarlos en forma de audio a las personas con visión limitada. Sin embargo, la lectura de
pantalla es usada para captar datos de ingreso. Del mismo modo, SharkBot es capaz de
registrar pulsaciones de pantalla y teclado, lo que le permite obtener claves de ingreso.
También oculta mensajes de texto entrantes, para que no tengas tiempo de invalidar las
transacciones, en caso de tener la verificación en dos pasos activada en alguna de tus
plataformas.
Una investigación del Citizen Lab de la Universidad de Toronto, dijo haber encontrado
pruebas del espionaje mediante Pegasus a 65 abogados, académicos, periodistas y
políticos de los entornos independentistas vascos y catalanes. Se trata de la mayor
operación de espionaje contra un solo grupo de víctimas documentada por estos
investigadores especializados en rastrear las actividades de este software espía. Más allá
de la consideración política e ideológica que nos merezcan las actividades de algunos de
los políticos implicados, son ciudadanos a los que -presuntamente- se han violado
derechos fundamentales desde un estado democrático…
Pero es que también supimos que la extensión de este spyware llegó hasta las altas
esferas de nuestro gobierno. Y es que el propio ejecutivo informó de que los teléfonos
del presidente Pedro Sánchez, así como el de la ministra de Defensa Margarita Robles,
habrían sido infectados con el programa con el claro objetivo de espionaje.
Amén de sus actividades ‘legales’ contra terroristas y gran delincuencia, está probado que
Pegasus se ha utilizado desde hace años en actividades ilegales contra
periodistas, organizaciones, disidentes, políticos, académicos o cualquier objetivo, violando
sistemáticamente derechos como el de la privacidad y más allá como resultado de ello,
como en el caso del espionaje al entorno del disidente Jamal Khashoggi, asesinado
posteriormente en el consulado saudí de Estambul.
Después del Ransomware el Phishing es el segundo tipo de ataque más utilizado y este año
hemos visto una nueva generación de estas técnicas donde los blogs y las webs
desplazan como medio al típico correo electrónico más usado en el pasado. Cada vez más,
los ciberdelincuentes se las ingenian con nuevas formas para conseguir su objetivo:
conseguir información ajena y poner en jaque tanto a particulares como a empresas.
El `Informe sobre la nube y las amenazas de Netskope: Phising’, detalla que aunque es el
correo electrónico la principal forma de entrada de enlaces de phishing a páginas de inicio
de sesión falsas, el incremento de otras maneras paca capturar contraseñas, nombres de
usuarios, datos de toda índole, códigos MFA… no deja de crecer. Entre estas, las páginas de
inicio de sesión falsas o las aplicaciones en la nube de terceros fraudulentas y diseñadas
para imitar las aplicaciones legítimas y donde se aloja el contenido.
Hasta el 11% de las alertas de phishing tuvieron lugar desde servicios de correo web, como
Gmail, Microsoft Live y Yahoo. Sin embargo, ya son las webs personales, blogs y servicios
de alojamiento gratuitos los que, con un 26% del total de las alertas, han conseguido escalar
a la primera posición.
Aunque nadie está a salvo porque la misma técnica se puede usar contra cualquier usuario
y servicio, la campaña de Steam que nos ocupa busca preferentemente jugadores
profesionales cuyas cuentas pueden llegar a valer la friolera de 100.000 dólares. Las
víctimas potenciales reciben mensajes directos en Steam, invitándolos a unirse a un equipo
para torneos de LoL, CS, Dota 2 o PUBG.
Los enlaces llevarán a los objetivos a lo que parece ser una organización que patrocina y
organiza competiciones de deportes electrónicos. Realmente es un sitio
controlado por los asaltantes y muy bien hecho según la investigación. Las páginas de
destino admiten 27 idiomas, detectando el mismo de las preferencias del navegador de la
víctima y cargando el correcto.
Una vez que la víctima ingresa sus credenciales, un nuevo formulario le pide
que ingrese el código 2FA. Si la autenticación es exitosa, el usuario es
redirigido a una URL especificada controlado por el servidor de comando y
control de los piratas, generalmente una dirección legítima para minimizar las
posibilidades de que la víctima se dé cuenta del engaño. En este punto, las
credenciales de la víctima ya han sido robadas y cambiadas contraseñas y
direcciones de correo electrónico para dificultar que las víctimas recuperen el control de sus
cuentas.
Otro de los fenómenos que amenazan a WhatsApp son los tipos de estafa que crecen y
evolucionan. Este año se ha popularizado un tipo de engaño que, si eres usuario de
Twitter, seguro que has visto. El estafador remite un mensaje a un número cualquiera (de
una persona que no lo conoce, eso sí), haciéndose pasar por una persona cercana pero sin
identificarse y que se encuentra muy lejos, físicamente, invitando a la víctima a que intente
averiguar de quién se trata.
Aquellos casos en los que la víctima cree identificar a alguien (pariente, amigo, etcétera)
que vive fuera del país, el estafador adopta inmediatamente esa identidad para, a
continuación, decirle a la víctima que quería darle una sorpresa viniendo a España. A partir
de ahí, ya puedes imaginar, una historia un tanto rocambolesca que desemboca, como no,
en la necesidad de enviar una cantidad de dinero a un destinatario
determinado. El estafado recibirá, en teoría, unos bultos facturados por el estafador que
contienen teléfonos móviles, portátiles, cámaras digitales… todo de última generación, por
supuesto, y con un valor muy superior al de la cantidad de dinero a enviar.