El primer ciberataque de la historia data de 1843, hace 178 años. Dicho ataque consistió en un soborno a un operador del telégrafo haciendo que este modificara una información sobre el valor de los bonos en los mensajes oficiales del Gobierno:

“Buscando la manera perfecta de conseguir la información antes que sus competidores, se les ocurrió la idea de sobornar al operador de telégrafos ópticos con una buena suma de dinero, a cambio de que introdujera información oculta sobre el valor de los bonos en los mensajes del Gobierno. 

El truco, en realidad, fue incluir símbolos de retrocesos justo después del mensaje sobre la situación del mercado. Dicho símbolo indicaba que el carácter anterior debía ser ignorado. El dato oculto incluido por el operador en cada mensaje, era interpretado por un ayudante que se lo comunicaba directamente a los hermanos Blanc. 

El hackeo fue descubierto 2 años después, en 1836, cuando el operario sobornado se puso enfermo y su substituto develó la estafa. No obstante, los hermanos Blanc no fueron condenados puesto que por aquel entonces no había ninguna ley que prohibiera este tipo de acciones. 

Buscando la manera perfecta de conseguir la información antes que sus competidores, se les ocurrió la idea de sobornar al operador de telégrafos ópticos con una buena suma de dinero, a cambio de que introdujera información oculta sobre el valor de los bonos en los mensajes del Gobierno. 

El truco, en realidad, fue incluir símbolos de retrocesos justo después del mensaje sobre la situación del mercado. Dicho símbolo indicaba que el carácter anterior debía ser ignorado. El dato oculto incluido por el operador en cada mensaje, era interpretado por un ayudante que se lo comunicaba directamente a los hermanos Blanc. 

El hackeo fue descubierto 2 años después, en 1836, cuando el operario sobornado se puso enfermo y su substituto develó la estafa. No obstante, los hermanos Blanc no fueron condenados puesto que por aquel entonces no había ninguna ley que prohibiera este tipo de acciones. ”

Fuente: https://www.esedsl.com/blog/primer-ciberataque-historia-y-ciberataques-que-han-perdurado-tiempo

Este tipo de ataques según vemos, no es nuevo, ni de ahora, parece simplemente el resultado de la evolución natural del delito avanzando hacia lo que actualmente denominamos ciberdelitos.

No es lo único que ha cambiado en estos últimos años. Los ciberataques poco a poco se han ido incrementando, o al menos, se han publicado más y más ataques. Es decir, años atrás no teníamos los mismos programas de los que disponemos ahora para recoger con certeza estos datos masivos, lo cual hace que se incrementen puesto que ahora se recogen más y mejor.

Es sobre todo en estos últimos meses, durante la pandemia, en los que se habla mucho sobre un incremento incluso alarmante, demasiado al alza, o al menos eso dicen, de los incidentes de seguridad. Para poder comprobar si es cierto escribimos un artículo sobre el incremento de los ataques durante el COVID y hoy, hoy os traemos la continuación post-confinamiento, venimos a poner los datos sobre la mesa, una vez acabado el año 2020 y con las representaciones gráficas de los mismos obtenidas de diferentes fuentes.

No podemos afirmar que todo esto sea lo real, pues como decíamos anteriormente, no todos los incidentes se acaban reportando, ni todos salen a la luz por motivos de confidencialidad, seguridad o por desconocimiento. Las pequeñas y medianas empresas también sufren estos ataques, pero nunca nos solemos enterar de ellos. Es por esta razón que vamos a representar una serie de datos que ofrecen diferentes empresas de ciberseguridad así como organismos públicos. No debe tomarse como una representación real en su totalidad, puesto que estas empresas recogen datos basados en sus inputs de información, pero no de todo lo que existe (no obstante, se trata de entidades con buena reputación en la calidad de sus datos).

Finalmente, antes de comenzar debemos hacer una reflexión abierta para los lectores y lectoras, si cada año aumentan los ciberdelitos, y en 2021 han aumentado, ¿es realmente por el Covid o han aumentado porque era la tendencia?

Ciberamenazas y tendencias CCN-Cert Edición 2020

Presentación

Durante el inicio de este año 2021, CheckPoint ha publicado un reporte de lo ocurrido en ciberseguridad durante todo el 2020.

El documento comienza haciendo un guiño a la situación social y de adaptación tecnológica acaecida por el Covid-19. En este hace referencia a la velocidad de cambio que muchas familias y empresas han sufrido, estimando que la transformación digital se ha acelerado hasta 7 años.

Sin embargo, el cambio tecnológico no solo ha sido un acontecimiento positivo, sino que, también se han desarrollado aspectos relacionados con la ciberdelincuencia y las amenazas que esta conlleva.

Se han descubierto picos en ataques contra el teletrabajo de algunas organizaciones, ha aumentado los ataques phishing dirigidos, se ha explotado el ransomware contra hospitales o entidades sanitarias, se dieron ataques masivos contra organizaciones gubernamentales, etc. Es decir, se dieron ataques multivectoriales a gran escala y con gran celeridad.

Además de esta breve reflexión, el informe de ciberseguridad repasará las principales ciberamenazas, ataques y otros eventos ocurridos en 2020.

Tendencias de Ciberseguridad 2020

En cuanto a las tendencias generales de ataques contra empresas, el estudio destaca que un 87% de las organizaciones han experimentado algún intento de explotación de vulnerabilidades.

El inicio de la pandemia trajo consigo el ataque de SolarWinds, un ataque hacia el software de gestión de este sistema en el que se instaló una “puerta trasera” afectando a centenares de usuarios. Según Avi Rembaum, este ataque afectó a unos 18.000 clientes, entre los que destacan empresas de la lista Fortune. A pesar de ello, se ha comprobado que los actores de la amenaza se centraron en empresas tecnológicas, gubernamentales y consultoras de varios puntos del globo.

Pero los problemas con la ciberseguridad no se quedan solo en ataques externos, sino que una de las mayores preocupaciones son los empleados de las entidades. Estadísticas reflejan que el 46% de las organizaciones han tenido al menos un empleado que ha descargado un malware, comprometiendo la integridad de la empresa.

Vishing

El experto de ciberinteligencia Lotem Finkelsteen aporta unas breves notas sobre el vishing. Un método de ingeniería social que se adapta a la “nueva normalidad” mediante la utilización de llamadas fraudulentas, el objetivo es acceder a información privada del usuario o captación de datos.

Durante la llamada telefónica, el atacante aprovecha las técnicas de ingeniería social para conseguir que la víctima abra un documento malicioso, comparta información sensible, o dar acceso a dispositivos privados.

Ransomware

Por otro lado, uno de los grandes protagonistas de este 2020 han sido los ataques Ransomware. Maya Horowitz realiza la siguiente reflexión: «Los ataques de ransomware se han disparado de nuevo en 2020, con la técnica de doble extorsión, que presiona más a las organizaciones acceder a las demandas de los hackers”.

Una primera estimación refleja que el ransomware ha constado unos 20.000 millones de dólares en 2020, casi duplicando la cifra del año anterior.

Esta doble extorsión en ransomware, consiste en combinar el cifrado tradicional de los archivos con la ex filtración de datos. Seguidamente, el atacante amenaza con publicar los datos obtenidos a menos de que se realice el pago en un plazo concreto. De este modo, se presiona a las víctimas para que satisfagan las demandas del atacante. A pesar de ello, debemos tener en cuenta que el pago del rescate no garantiza la liberación de los datos.

Algunos ejemplos de ransomware:

  • El caso de K-Electric, el mayor proveedor de electricidad de Pakistán, exigiendo 4.5 millones de dólares en Bitcoin.
  • Ataque mediante Ryuk, exigiendo 2200 Bitcoin.
  • CWT, mediante Ragnar Locker, pagó 4.5 millones de dólares.
  • Coundent, atacado mediante Maze.
  • Caso Vastamo. Una clínica de psicoterapia atacada en la que se capturó datos y notas de los pacientes y sus terapias. Los atacantes, para no publicar dichos datos, exigían 530 mil dólares en BTC al proveedor de la clínica y una suma oscilante entre los 200-500 dólares en BTC a los pacientes de la clínica.

El caso Vastamo, no fue el único caso de ataque contra una entidad de sanidad durante el covid-19. Sin embargo, algunos grupos de ransomware como Maze se comprometieron a no atacar a instituciones de salud y a ayudar a aquellas que fuesen atacadas. A pesar de esta promesa, siguieron perpetuándose ataques contra dichas entidades.

El siguiente gráfico muestra la evolución de ataques contra entidades de salud entre enero de 2020 y enero de 2021. Puede notarse en el una bajada de los incidentes durante los meses de la pandemia y una subida que comienza en Septiembre de 2020.

E-Mail fraudulentos a empresas

Como ya sabemos, no solo de vishing y ransomware va el asunto. Omer Denbisky habla de e-mail fraudulentos que llegan a las empresas y muchos empleados caen en ellos, comprometiendo así los datos y la integridad de la empresa.

Por ello, resalta la importa importancia de la formación en ciberseguridad. Sospechar de todo lo que nos llega a la bandeja de entrada y/o comprobar la información es una buena manera de hacerle frente a estas estafas.

El caso Emotet es un ejemplo de consecuencias de cadenas de e-mail fraudulentos ya que convierte a sus víctimas en bots creando así una de las mayores botnets hasta el momento.

Resiliencia del Malware

Cuando hablamos del malware no podemos hacer referencia a una cuestión concreta. Tal y como señala Yaniv Balmas: «Incluso las formas más antiguas de malware pueden actualizarse con nuevas características para convertirlas en una amenaza peligrosa y persistente”.

Tanto el caso Emotet como el caso Obot, van más allá de la explotación malware ya que utilizan una técnica de acceso a hilos de comunicación entre las empresas, la secuestran, manipulan y permiten que los miembros de dicho hilo caigan en la trampa. Por ello, se resalta de nuevo la importancia de la educación de ciberseguridad. Ya que estas técnicas pueden hacerse muy comunes en un futuro.

Explotación de vulnerabilidades. Acceso Remoto

«Los atacantes siempre buscarán organizaciones que tengan sistemas vulnerables sistemas sin parches para poder acceder fácilmente, como un ladrón de coches buscando un coche sin cerrar” Adi Iran.

Para evitar que los ciberdelincuentes accedan fácilmente a cualquier sistema, este experto recomienda el endurecimiento de los parches de los servidores, de este modo se evitará la explotación de vulnerabilidades. Los IPS impiden los intentos de explotación de las vulnerabilidades de un sistema.

La pandemia ha generado una situación de ideal para la cosecha de nuevas vulnerabilidades, aprovechadas por los ciberatacantes, pero también por diferentes naciones encaminadas al espionaje.

Por ejemplo; El grupo iraní Helix Kitten, fue observado dirigiéndose a organizaciones de los sectores del petróleo y gas, la aviación, la informática gubernamental y la seguridad. A lo largo de los últimos tres años, explota vulnerabilidades conocidas en sistemas con servicios VPN y RDP sin parches como su principal vector de infección.

Las 20 vulnerabilidades más explotadas de Check Point Research.

Según IPS encontramos las siguientes vulnerabilidades en cuestiones de acceso remoto:

  • Cisco Unified
    • IP Conference Station 7937G
    • Denegación de servicio
    • (CVE-2020-16139),
    • Citrix XenMobile Server
    • Directory Traversal (CVE-2020-8209) y
    • Citrix ADC Reflected Cross Site Scripting
    • (CVE-2020-8191).

En el siguiente gráfico se muestran las explotaciones de vulnerabilidades de acceso remoto entre 2019 y 2020.

Mobile Solutions

Isaac Dvir, habla de cómo la dependencia hacia los dispositivos móviles y la hiperconectividad que nos aportan, permiten a los atacantes fijarlos como objetivos. Por ello las diferentes empresas de ciberseguridad necesitan adoptar políticas de seguridad para proteger estos dispositivos.

Los ataques “zero click” durante el Covid-19 dominó el panorama de las ciberamenazas móviles. Se introdujeron varias aplicaciones maliciosas relacionadas con el coronavirus.

La Nube

Según Deryck Mitchelson, las CloudGuard han sido la clave para el teletrabajo y la comodidad de este sin preocuparnos de la infraestructura de seguridad.

Las principales vulnerabilidades de este último año en hardware mobile y aplicaciones populares, han permitido marcar un antes y un después en cuanto a las estrategias de ataque basadas en malware o en vulnerabilidades del sistema operativo.

Por ejemplo; se ha detectado que Instagram tiene una vulnerabilidad RCE zero-click en su descodificador JPEG.

Escalada de privilegios

Por otro lado, encontramos problemas en lo referente a la escalada de privilegios. La pandemia ha impulsado un cambio en la arquitectura de la red corporativa. La necesidad de redes administrativas, eficaces, ágiles y remotas han acelerado el movimiento hacia una infraestructura en la nube; flexible, accesible y ágil en la gestión de recursos.

Esta migración tecnológica ha sido utilizada por los atacantes en varias ocasiones. Un ejemplo lo encontramos en Dark Halo, el actor principal que está detrás del ataque a SolarWinds.

Esta nueva clase de ataques de escalada de privilegios aprovechando los componentes estructurales de la infraestructura de la nube, a menudo se puede lograr encadenando varias vulnerabilidades y configuraciones erróneas.

El acceso inicial puede obtenerse a través de una aplicación vulnerable alojada en la nube, y utilizado por los atacantes para obtener el token necesario para obtener permisos elevados y moverse lateralmente dentro de los diferentes segmentos del entorno, escalando gradualmente los privilegios.

Estos ataques se basan en la comprensión de los componentes arquitectura, y la política de confianza de ambos IaaS (Infraestructura como Servicio, como Amazon) como de los proveedores de SaaS para construir sofisticados ataques en varias etapas, a diferencia de las violaciones de datos de datos, que en su mayoría se basaban en configuraciones erróneas, como buckets S3 expuestos públicamente.

Estadísticas

Por cortesía del CERT de Nueva Zelanda disponemos del siguiente sumario de la actividad del 2020.

Ahora os compartimos unas estadísticas de Malware gracias a Check Point:

Recomendaciones

Algunas pequeñas recomendaciones que pudieran servir al lector en caso de haber leído el artículo y andarse preguntando cómo demonios podría defenderse son las siguientes:

  1. Prevención en tiempo real. Muchas empresas recurren a la protección basada en la detección (Sistemas IDS/IPS, SIEM…). Otras confían en la supervisión de eventos y de la búsqueda de amenazas por parte de los equipos del Centro de Operaciones de Seguridad (SOC) y en general muchas de ellas optan por el pack completo. No obstante y a pesar de contar con buenos sistemas de protección, no estamos exentos de recibir un ataque exitoso.
  2. Aseguramiento total. La nueva normalidad introducida durante la respuesta a COVID-19 requiere que revise y compruebe el nivel de seguridad y la relevancia de todas las infraestructuras y procesos de su red, así como el cumplimiento de los dispositivos móviles, de punto final y dispositivos IoT conectados.
  3. Consolidación y visibilidad. Esta recomendación consiste en evaluar los cambios en las infraestructuras de la empresa. Tener visibilidad de la red, alcanzando la consolidación, garantiza una eficacia de seguridad de cara a prevenir los ciberataques más sofisticados. De este modo, conoceremos el riesgo y veremos soluciones de seguridad óptimas.
  4. Confianza cero. Con las ciberamenazas existentes dentro y fuera del perímetro de seguridad, se ha vuelto esencial adoptar un enfoque de seguridad de confianza cero para mantener protegidos los datos de la empresa, en cualquier lugar. Este estado de confianza cero, consiste en no confiar en ningún dispositivo, usuario, carga de trabajo o sistema de confianza. Para evitar problemas en la gestión de soluciones y en posibles brechas de seguridad se deberá construir un enfoque práctico y holístico para implementar la confianza cero, basado en una única arquitectura de ciberseguridad. De este modo se podrán implementar los siete principios del modelo de seguridad:
  • Redes de confianza cero.
  • Cargas de trabajo
  • Personas.
  • Datos-dispositivos.
  • Visibilidad y análisis.
  • Automatización.
  • Orquestación.

Reflexiones sobre el 2020

Ya en 2018, se hablaba de un incremento enorme del porcentaje de los ataques, nuevamente lo vimos en 2019, por ello volvemos a dejar esta pregunta abierta para los lectores: si todos los años suben los incidentes ¿Será noticia que el año que viene hayan subido otra vez? y en ese caso, ¿diremos que ha sido por el Covid o por qué es la tendencia?

Desde aquí decir que ojalá este número no siguiera subiendo, pero las estadísticas nos hacen pensar que si continúa la tendencia, en 2021 veremos un incremento.

Para finalizar, dejamos a continuación las propias palabras del CCN-Cert a mediados del 2020:

Obviamente, no es posible hablar de tendencias 2020 sin hacer referencia a la situación provocada por la pandemia de la COVID-19 y las medidas de confinamiento adoptadas. Estas han propiciado un enorme despliegue de entornos tecnológicos de teletrabajo para salvaguardar la continuidad de actividades y negocios; desde el punto de vista de ciberseguridad, esta situación conllevará nuevas situaciones previsibles.

La forma tan apresurada en la que muchas organizaciones han puesto en marcha el teletrabajo ha provocado que no se hayan evaluado de forma adecuada los riesgos asociados, ni las soluciones ni los protocolos de actuación, incorporando numerosas deficiencias de seguridad que los ciberatacantes tratarán de explotar en 2020.

El aumento del uso de soluciones en la nube, conexiones VPN, servicios de escritorio remoto virtual (VDI), redes de confianza cero y gestión de identidades, servicios y tecnologías para el acceso remoto, uso de herramientas colaborativas, aplicaciones de videoconferencia, etc. generará que los ataques a estos entornos, en especial a los sistemas públicamente expuestos, sigan creciendo.

Igualmente, se incrementarán las vulnerabilidades detectadas sobre los mismos, ya que diferentes actores han puesto el foco en la seguridad de estos dispositivos. Ya se ha visto durante la primera mitad de 2020 esta tendencia (vulnerabilidades en sistemas como Zoom, tecnologías VPN, etc.) y previsiblemente se consolidará e incrementará durante todo el año. En la misma línea se enmarca el ataque a los servicios en nube (almacenamiento, ofimática, etc.), servicios que también han visto un incremento en su uso durante la pandemia.

Fuente: Ciberamenazas y Tendencias Edición 2020 – CCN-CERT IA-13/20

Si algún lector desea proporcionarnos más datos y estadísticas para poder alimentar este artículo y disponer de más datos contrastables, estaremos encantados de recibir dicha información y actualizar este artículo.

Muchas gracias por estar ahí, leyéndonos ¡Nos vemos en el próximo artículo!