Por: Edgar Alberto Quiñónez Taracena, DCA
Cuando Juan Antonio Domínguez, encargado de un departamento de Web y Redes Sociales, se dirigía al trabajo pudo apreciar que el cielo estaba sin nubes. Ese 12 de mayo, el termómetro ya marcaba los 25 grados centígrados (77 Fahrenheit) en Guatemala, pese a que, según el calendario, se estaba en época lluviosa.
Él presagiaba que sería una jornada rutinaria con mucho calor, lejos estaba de pensar que en su trabajo, así como en otras firmas e instituciones de al menos 74 países se tendría una “tormenta perfecta” que pondría a prueba los equipos de protección digital, así como las habilidades del personal del área de Informática, para encarar un ataque cibernético, de origen desconocido con una misión bien clara, apoderarse de información clave y confidencial, como reportaron agencias internacionales de noticias.
Se inicia la jornada
Las actividades se desarrollaban con monotonía y cierta flojera, quizá por ser sábado chiquito (viernes), había quienes se servían café y dialogaban en uno de los oasis de la compañía. De repente, se perdió la señal. Entre los que sí estaban en sus puestos, no faltó quien preguntara en voz alta: “¿Cuál es la extensión de los tècnicos?” A los pocos minutos se vio el paso de los integrantes del área de Informática hacia el Data Center (Centro de Datos) donde están los servidores, que garantizan la funcionalidad de la empresa, y donde hay datos sensibles.
Lo que se pensó que se arreglaría con un reset (apagado y encendido del sistema) se tradujo en una labor que duró tres días, que desaceleró la velocidad de conexión y propició que el sistema se cayera con regularidad durante dos semanas, y se tuvieran inconvenientes de diverso tipo durante dos meses y medio.
Explicación
Con la evolución de las amenazas cibernéticas y la llegada del Internet de las Cosas, o sea la interconexión digital de los objetos cotidianos, tal es el caso de televisores, relojes, lavadoras y estufas (cocinas), entre otros objetos, con Internet, que los transforma en objetos inteligentes, se acrecienta la posibilidad de que personas malintencionadas destruyan servicios, eliminen copias de seguridad y las de protección que son vitales para restaurar los sistemas de datos.
Resulta que WannaCry y Nyetya son ejemplos de la rápida propagación y el amplio impacto de los ataques de tipo ransomware (que encriptan información vital y exigen el pago de una extorsión), pueden llegar a ser más destructivos y perjudiciales, detalla Juan Carlos Mejía Llano, consultor y speaker en Marketing Digital y Social Media.
Los equipos se pueden reponer, son bienes que tarde o temprano se reemplazan y están contemplados en el presupuesto de una firma, sin embargo, la información es lo más preciado y es por lo tanto, el principal objetivo de los hackers, explica Celestino Cifuentes, experto freelance en servicio informático.
Otro aspecto a considerarse
El Informe de Ciberseguridad de mitad de año, que fue elaborado por la empresa tecnológica Cisco, con sede en Estados Unidos, revela que el problema radica en que el Internet de las Cosas ofrece una gran gama de oportunidades para que los piratas exploten las debilidades de seguridad.
La actividad que ha tenido el Botnet de IoT sugiere que algunos criminales pueden estar sentando las bases para un ataque de gran alcance y alto impacto que podría perturbar la supercarretera de la información, alerta el estudio.
Esa compañía ha observado la evolución del malware y ha identificado cambios en la forma en que los malintencionados sujetos adaptan sus técnicas de entrega, propagación y evasión. Específicamente, se dio cuenta que estos obligan cada vez más a la víctima a tomar medidas para activar una amenaza, como el hecho de hacer clic en un enlace o abrir un archivo; desarrollando malware sin programas instalados completamente en la memoria. Esto genera que estos sean más complicados de detectar o investigar a medida que se anulan cuando un dispositivo se reinicia, y también genera obstáculos y desconfianza en la infraestructura anónima y descentralizada, como un servicio proxy Tor, para ocultar las actividades de mando y control.
“Desde una mirada global, y analizando los datos obtenidos, podríamos intuir que las preocupaciones están disminuyendo, por lo cual no sería sorprendente que quizá esto se traduzca en el aumento de incidentes en el futuro”, advierte el ESET Security Report Latinoamérica 2017, elaborado por esa compañía.
Alcance del problema
Tras el ciberataque del 12 de mayo, expertos en esa materia descubrieron un nuevo ataque vinculado al virus Wannacry, llamado Adylkuzz. “Utiliza con más discreción y para diferentes propósitos herramientas de pirateo recientemente reveladas por la Agencia Nacional de Seguridad, de Estados Unidos, y la vulnerabilidad ahora corregida en Microsoft”, comentó el investigador Nicolas Godier, experto en seguridad cibernética de Proofpoint.
Paradoja
“La principal batalla de algunas instituciones y consorcios, irónicamente, no es contra las amenazas externas sino contra las internas, pues algunos gerentes privilegian postergar compras que consideran innecesarias y los departamentos de Compra le dan prioridad a adquirir ciertos productos porque tienen un menor costo y no reparan en la calidad”, relató Cifuentes.
“Por eso es que los encargados de los departamentos de Informática, Redes Sociales y de Web, entre otros, deben conocer a fondo los productos y determinar cuál es el que mejor se ajusta a sus necesidades, y hacer las recomendaciones del caso a las áreas y encargados de adquirir el servicio de protección”, acotó el especialista.
Efecto del ataque
Tras haberse conjurado la amenaza contra el Centro de Datos de la empresa donde trabaja Domínguez se detectó un nuevo problema, la aparición de un mensaje en la página de la compañía, que decía: “payday loans no credit check”, difícil de leer pues aparecía en medio de la imagen de un video o fotografía, y que remitía a una página escrita en un idioma extranjero y con la cual la compañía no tenía ningún tipo de vínculo.
Resulta que el spyware (malware que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento del usuario) y el adware (programa que automáticamente muestra u ofrece publicidad, ya sea incrustada en una página web), que a menudo son desechados por los profesionales de seguridad por considerarlos más molestias que potenciales daños, son formas de malware que persisten y traen riesgos a la empresa.
Domínguez explicó que estas dos son difíciles de rastrear y de eliminar de los servidores, y para no retrasar el cumplimiento de ciertas actividades algunos encargados de Informática aprenden a vivir con estas amenazas.
“Al analizar las preocupaciones, vemos que la infección por códigos maliciosos está en el primer lugar con un 56 por ciento. Podemos decir que las preocupaciones se corresponden con la realidad, específicamente con el grado de sofisticación que tiene el malware y el retorno económico que genera; y que sigue en aumento, explicó Federico Pérez Acquisto, gerente general para Latinoamérica de ESET.
Un ejemplo del grado de tecnicismo presente es el troyano BlackEnergy, capaz de infectar los sistemas de control industrial SCADA, logrando provocar la interrupción del servicio energético en la región de Ivano-Frankivsk, en Ucrania. De manera análoga, el grupo de amenazas persistentes avanzadas (APT) financieras conocido como Carbanak llegó a los titulares cuando se descubrieron sus operaciones, por las que aparentemente robó varios cientos de millones de dólares de instituciones financieras”, dice el ESET Security Report Latinoamérica 2017, elaborado por esa firma.
Ransomware ha estado ocupando los titulares durante meses y supuestamente aportó no menos de US $1 mil millones (Q7mil 280 millones) en 2016, pero esto puede estar distrayendo a algunas organizaciones que se enfrentan a una amenaza aún mayor. El compromiso comercial de correo electrónico (BEC), un ataque de ingeniería social en el que un correo electrónico diseñado para engañar a las organizaciones a transferir dinero al atacante, se está convirtiendo en un vector de amenazas altamente lucrativo. Entre octubre de 2013 y diciembre de 2016, US$ 5.3 mil millones fueron robados a través de BEC, de acuerdo con The Internet Crime Complaint Center.
Desafíos comunes
Como parte del Estudio de Benchmark de Capacidades de Seguridad, Cisco consultó a un aproximado de 3 mil líderes de seguridad en 13 países y encontró que en todas las industrias, los equipos de seguridad están cada vez más abrumados por el volumen de ataques que combaten por lo que se vuelven más reactivos en sus esfuerzos de protección.
El robo de información es considerado por un 43 por ciento de las compañías como una gran preocupación. Múltiples vectores de ataque permiten que esta sea una de las problemáticas más relacionadas con la confidencialidad y la privacidad de la información. Tanto los códigos maliciosos y la explotación de vulnerabilidades, como el phishing, los empleados disconformes o la sobrexposición de datos en redes sociales son las herramientas iniciales para que los ciberdelincuentes conviertan esta preocupación en un incidente real, expone ESET en su estudio.
Es vital, entonces, tener programas de concientización sobre el valor de la información para los usuarios, de manera que no solo puedan conocer al respecto, sino que también obtengan las mejores prácticas para evitar incidentes.
Voces especializadas
“Como lo demuestran los incidentes recientes como WannaCry y Netya, nuestros contrincantes se están volviendo más creativos en la forma en la que diseñan sus ataques. Mientras que la mayoría de las organizaciones tomaron medidas para mejorar la seguridad después de una violación, las empresas de toda la industria están en una carrera constante contra los piratas informáticos. La eficacia de la seguridad comienza con el cierre de los vacíos obvios y de la seguridad como una prioridad comercial”, mencionó Steve Martino, vicepresidente y jefe de Seguridad de la Información de Cisco.
“La complejidad continúa obstaculizando los esfuerzos de seguridad de muchas organizaciones. Es obvio que los años de invertir en productos puntuales que no pueden integrarse están creando enormes oportunidades para los atacantes, que pueden identificar fácilmente vulnerabilidades pasadas por alto o vacíos en los esfuerzos de seguridad. Para reducir eficazmente el tiempo de detección y limitar el impacto de un ataque, la industria debe pasar a un enfoque más integrado y arquitectónico que aumente la visibilidad y la capacidad de gestión, lo que permite a los equipos de seguridad cerrar las brechas”, resaltó David Ulevitch, vicepresidente senior y gerente general del Grupo de Negocio de Seguridad, Cisco.
De vuelta a la historia
El personal de Informática de donde labora Domínguez pudo eliminar el hackeo de su sitio y el adware que se les incrustó en uno de los servidores que aparecía en su página web, pero tardaron 10 semanas en hacerlo, lapso en el cual la compañía mermó su capacidad de trabajo instalada e invirtió tiempo/personal más allá de lo aceptable.
Para que ese tipo de incidentes no ocurran en una empresa, entidad gubernamental o asociación sin fines de lucro, así como para minimizar cualquier posible daño, lo ideal es estar aguas (con cuidado, mantenerse vigilante) con las tormentas cibernéticas y tomar en cuenta lo siguiente:
Consejos de Cisco
- Mantener actualizada la infraestructura y las aplicaciones, para que los atacantes no puedan explotar las debilidades públicamente conocidas.
- Combatir la complejidad a través de una defensa integrada. Limitar las inversiones aisladas.
- Involucrar a los principales líderes ejecutivos para asegurar una comprensión completa de los riesgos, las recompensas y las restricciones presupuestarias.
- Examinar el entrenamiento de seguridad de los empleados con capacitación basada en funciones frente a una capacitación igual para todos.
- Equilibrar la defensa con una respuesta activa. No “ponga y olvide” los controles o procesos de seguridad.
Recomendaciones de ESET Latinoamérica
- Implemente una solución de seguridad que incluya antivirus y firewall. De este modo, se evita que algún código malicioso infecte el sistema y algún tercero pueda ingresar al equipo a través de Internet.
- Realice una copia de seguridad de la información importante contenida en su equipo. Esto permitirá que en caso de sufrir un ataque informático o la pérdida o robo del dispositivo, el usuario no pierda los datos almacenados en éste.
- Mantenga actualizado el sistema operativo de los ordenadores y todas las aplicaciones del equipo para prevenir infecciones o ataques informáticos.
- Si se desea compartir archivos es recomendable hacerlo en un medio óptico como CD o DVD con el fin de evitar que se propaguen amenazas informáticas.
“Además de implementar las medidas de prevención recomendadas por el equipo de ESET Latinoamérica, es importante que los usuarios sean cautos con la información que publican en las redes sociales”, asegura Raphael Labaca Castro, coordinador de Awareness & Research de ESET Latinoamérica.
Después de la tormenta volvió la calma, así que es hora de reflexionar y aprender de lo vivido en no menos de 74 países, y la moraleja sería: Las industrias vinculadas con el mundo digital y las redes sociales necesitan mejorar sus medidas de seguridad, así que a prepararse y a tener presente: Aguas con las tormentas cibernéticas.
Glosario básico
Adware:
Es cualquier programa que automáticamente muestra u ofrece publicidad, ya sea incrustada en una página web mediante gráficos, carteles, ventanas flotantes, o durante la instalación de algún programa al usuario, con el fin de generar lucro a sus autores.
Aguas:
Es un chapinismo o modismo de los guatemaltecos para indicar que se tenga cuidado con algo: “aguas con los ladrones”.
Bitcoin:
Es una moneda digital basada en un algoritmo. Permite comprar bienes y servicios y puede cambiarse con otras divisas. No tiene el respaldo de ninguna entidad emisora, es independiente de las redes bancarias, y funciona de una manera descentralizada que utiliza la tecnología blockchain, un registro compartido y seguro.
Botnet:
Es una contracción del inglés robot y net, o sea una red de computadoras infectadas a disposición de un usuario malintencionado y que se ejecuta de manera remota. Está estructurada de manera de permitir a su propietario transmitir órdenes a máquinas de la red y accionarlas cuando lo desee.
Falla:
Vulnerabilidad en un sistema informático que permite a un virus o gusano alterar el funcionamiento normal, ultrajar la confidencialidad o la integridad de los datos que contiene.
Falla zero day:
Vulnerabilidad que aún no fue hecha pública.
Kill switch o Botón de emergencia:
Puede estar presente en el código de un programa malintencionado.
Patch o parche:
Es un extracto de código que se agrega a un programa para remediar un problema.
Phishing:
Es el robo de identidades o de informaciones confidenciales (códigos de acceso, contraseñas, informaciones bancarias) por medio de un subterfugio: un sistema de autentificación es simulado por un usuario malintencionado con el que busca convencer a los usuarios de utilizarlo y que comuniquen informaciones confidenciales.
Programa malintencionado o malware:
Se llama así a todo programa desarrollado con el objetivo de perjudicar a un sistema informático o a una red informática. Puede tomar la forma de un virus o de un gusano informático.
Ransomware:
Es una contracción, del inglés ransom (rescate) y ware por software (programa informático). Se trata de una forma de extorsión impuesta por un código malintencionado a un usuario de un sistema. Si el usuario se rehúsa a pagar o a efectuar una tarea, se le niega el acceso al servicio al que desea.
Spam:
Mensajes no solicitados, no deseados o con remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente son enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor.
Spyware o programa espía:
Es un malware que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.
Virus y gusano informático:
Un virus es un programa o extracto de programa malintencionado cuyo objetivo es sobrevivir en un sistema informático y a menudo alcanzar los datos, memoria, red. Puede propagarse por mensajería electrónica, documentos compartidos, puertas traseras, página internet fraudulenta, dispositivos de memoria.
