Los 10 peores incidentes de ciberseguridad en 2020
El mundo de la ciberseguridad ha estado tensionado durante todo 2020 y a la habitual e imparable introducción de malware (cada vez más sofisticado, en mayor número y desplegado en todas las plataformas sin excepción) este año se ha sumado las consecuencias de la pandemia del COVID-19.
Por un lado, el aumento del teletrabajo o estudio en casa que ha desplazado a millones de usuarios desde redes perimetrales habitualmente bien protegidas a las caseras más inseguras por defecto, ha supuesto todo un desafío, puesto de los nervios a los responsables de seguridad y ha obligado a implementar nuevas políticas.
Por otro lado, como suele suceder con grandes temas mediáticos, los ciberdelincuentes han usado el COVID-19 para llevar a cabo una gran campaña de ciberpandemia, para realizar todo tipo de ataques incluyendo la típica colección de noticias falsas y desinformación. Tampoco han faltado ataques directos contra empresas responsables de las vacunas.
Otro punto de interés ha seguido siendo los datos, oro puro en la era tecnológica actual. No han faltado las violaciones y fugas de información en empresas grandes y pequeñas, causadas tanto por ciberataques externos como por prácticas poco deseables de las mismas.
En cuanto a los tipos de ataque, todo lo relacionado con el phishing sigue al alza, aunque este año el Ransomware ha terminado de encumbrarse como la mayor amenaza de ciberseguridad en 2020.
Te dejamos con algunos de estos sucesos como resumen del año. Solo es una selección porque estos doce meses han dado para mucho, confirmando el largo camino que nos queda por avanzar en materia de seguridad informática.
SolarWinds, FireEye y otras
Comenzamos por el último gran suceso producido en 2020 porque ha terminado siendo uno de los peores incidentes del año. A comienzos de diciembre, FireEye, una de las mayores empresas de ciberseguridad del planeta, confirmó ser víctima de un ataque donde se sustrajeron herramientas internas empleadas para realizar pruebas de penetración en otras compañías.
La Agencia de ciberseguridad e infraestructura estadounidense publicó un boletín en el que aconsejaba a los especialistas en seguridad ponerse al día sobre el incidente ya que FireEye tiene clientes en todo el mundo, incluyendo empresas y agencias gubernamentales. Se sospechaba que detrás del ataque estaba detrás el grupo de hackers conocido como APT29 o Cozy Bear, al que se relaciona con el servicio de inteligencia ruso.
Poco después se conoció un incidente aún más grave conectado con el de FireEye, que involucró a la compañía tecnológica SolarWinds, que tiene como clientes a la mayoría de grandes empresas de la lista Fortune 500, los 10 principales proveedores de telecomunicaciones de Estados Unidos, las cinco ramas del ejército de Estados Unidos, el Departamento de Estado, la NSA y hasta a la Oficina del Presidente de Estados Unidos.
Se cree que el ataque estaba conectado con el anterior y fue realizado por el mismo grupo. Los asaltantes se habrían colado en los sistemas de las agencias sin ser detectados, alterando las actualizaciones del software de monitorización y control «Orion» publicadas por SolarWinds, en lo que se conoce como «ataque de cadena de suministro», escondiendo código malicioso en actualizaciones de software legítimas facilitados a los objetivos por terceros.
Poco después se conoció que Microsoft, Cisco, Intel y NVIDIA, fueron otras grandes empresas que usaron software comprometido de SolarWinds. El caso es de una gravedad extrema y aún está en investigación.
Vacunas contra el COVID-19, un gran objetivo
La investigación y el desarrollo de la vacunas ha sido blanco de ataques cibernéticos sostenidos desde principios de año, prácticamente desde que se inició la pandemia en China. En junio, IBM reveló detalles de una campaña de phishing similar dirigida a una entidad alemana relacionada con la adquisición de equipos de protección personal en las cadenas de suministro y compras con sede en China.
En julio, la Agencia de Seguridad Nacional de Estados Unidos, la autoridad canadiense de ciberseguridad y el Centro de Ciberseguridad Nacional del Reino Unido, alertaron de ataques informáticos contra científicos británicos para conseguir por la vía rápida los secretos de las vacunas del COVID-19.
Las agencias de seguridad occidentales pusieron nombre a los atacantes y a los responsables. APT29, un grupo de piratas informáticos de alto nivel, bien conocidos en el ámbito de la ciberseguridad con sobrenombres como “The Dukes” o “Cozy Bear” y vinculado con la inteligencia rusa, que según la NSA estaría detrás de los hackeos.
En noviembre, Microsoft dijo que detectó ataques cibernéticos de tres grupos-nación relacionados con Rusia (Fancy Bear) y Corea del Norte (Hidden Cobra y Cerium) dirigidos contra compañías farmacéuticas ubicadas en Canadá, Francia, India, Corea del Sur y los EE. UU. que participan en las vacunas en varias etapas de los ensayos clínicos.
Más recientemente, se identificó un movimiento por parte de crackers norcoreanos con ataques al gigante farmacéutico mundial con sede en Reino Unido AstraZeneca, uno de los más adelantados. Las vacunas contra el COVID-19 deben terminar con la emergencia mundial sanitaria (y económica) y obviamente tienen un valor enorme.
Ransomware: la gran amenaza en ciberseguridad
El Ransomware fue la principal amenaza informática de 2020. Y no es que no estuviéramos alertados. Este tipo de ciberataques son cada vez más numerosos, sofisticados, peligrosos y masivos. Y se está desplazando desde el segmento de consumo al empresarial.
Todos los informes apuntan que los ciberdelincuentes están enfocando su ámbito de actuación hacia empresas, organizaciones y gobiernos. Desde que en 2017 sufrimos a WanaCryptor, un ataque perfectamente planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países (algunas españolas tan importantes como Telefónica) la lista de víctimas no ha dejado de aumentar.
Este año hemos tenido constancia (pueden haber sido muchos más que no conocemos) de algunos ataques sonados. Quizá el más mediático fue el de Garmin. La caída global de servicios de la compañía apuntaba a ello y finalmente tuvimos confirmación oficial de la causa: un ciberataque por Ransomware tumbó a la compañía de Kansas. La causa de la crisis radicó en un ataque dirigido con el ransomware WastedLocker como protagonista. Todo indica (no está probado) que el grupo de ciberdelincuentes Evil Corp, conocido por ser el responsable del malware Dridex y por usar esta técnica como parte de sus ataques, está detrás del caso y habrían pedido 10 millones de dólares de «rescate» por liberar el cifrado. Parece ser que Garmin terminó pagando.
Capcom, el famoso desarrollador y distribuidor de videojuegos japonés, reconoció otro ataque de Ransomware sufrido en noviembre y que permitió a los asaltantes robar documentos corporativos confidenciales, y también información confidencial de clientes y empleados. Durante el ataque, realizado con Ragnar Locker, los piratas informáticos obtuvieron acceso a los nombres, direcciones, género, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, nombres de los inversores, cantidad de acciones y fotos de los clientes, y otra mucha de los propios empleados.
El último de los grandes ataques conocidos fue el de Canon. El 5 de agosto, Canon USA envió una notificación a toda la empresa informando a los empleados sobre «problemas» en múltiples aplicaciones, entre ellas equipos y correo electrónico que no estaban disponibles. No fue hasta noviembre cuando Canon confirmó públicamente el ataque de ransomware (con Maze) y la violación de seguridad, al menos 10 Tbytes de datos y bases de datos privadas robadas, que incluían los nombres de los empleados, el número de seguro social, la fecha de nacimiento, el número de la licencia de conducir, la identificación emitida por el gobierno, el número de cuenta bancaria para depósitos directos de Canon y su firma electrónica.
Las Contraseñas siguen siendo un gran problema
Un año más, y más de lo mismo. La inseguridad de las contraseñas es el cuento de nunca acabar… Seguimos incumpliendo todas las normas básicas para su creación y mantenimiento y a pesar de los repetidos intentos de concienciación cometemos los mismos errores año a año.
El especialista NordPass publicó su informe anual sobre el estado de la seguridad de las contraseñas. Fue confeccionado después de analizar más de 275 millones de contraseñas filtradas en los ataques producidos el último año. No hay semana que pase sin conocer alguna violación masiva de datos y con ello millones de contraseñas quedan expuestas.
La lista de las peores es lamentable y se repite año a año con viejas conocidas como «123456» (Primer puesto), «111111» (sexto) o «password» (cuarto puesto). Por descontado, son las que hay que evitar a toda costa ya que un pirata informático las puede obtener en menos de un segundo simplemente con un comando que pruebe las más utilizadas.
¿Increíble? Pues no. Seguimos igual. Y el problema es que las contraseñas son el método de autenticación preferente para acceder a los servicios de Internet o loguearse ante sistemas operativos, aplicaciones, juegos y todo tipo de máquinas, hasta que los sistemas biométricos estén completamente extendidos.
Phishing: aún seguimos picando
Los ataques de phishing son junto a los que emplean Ransomware los que más han crecido en los últimos tiempos y encabezan cualquier listado de incidentes de ciberseguridad en 2020. Son campañas de malware sencillas de realizar, cada vez más sofisticadas y altamente efectivas, ya que solo requiere que una parte de los usuarios caiga en su «cebo» y «pique» para obtener rentabilidad.
Los ataques de phishing no entienden de plataforma, sea de escritorio o móvil, o de segmento objetivo, consumo o empresarial, y aunque pueda parecer increíble aún seguimos cayendo en la trampa de estos engaños que emplean suplantación de identidad para robar información, dinero, instalar malware o tomar el control de los sistemas atacados.
El aumento del teletrabajo como consecuencia de los confinamientos para frenar la pandemia del COVID-19, ha sacado de las redes empresariales (generalmente mejor protegidas) a millones de empleados y ya hemos visto informes anteriores que mostraban un gran aumento en el phishing móvil empresarial.
Sophos Iberia ha realizado una curiosa investigación en el marco de la celebración del 8º Mes de la Ciberseguridad de la Unión Europea que tiene lugar durante el mes de octubre de 2020 para conocer cuáles son los cebos más efectivos. Para ello ha utilizado la herramienta Sophos Phish Threat con el que una empresa puede instalar un simulador de ataques de phishing automatizados para sensibilizar y concienciar a sus empleados.
El hackeo a Twitter fue trending topic
El hackeo a Twitter del pasado verano también fue sonado. El origen estuvo en un empleado de la red social que habría recibido una contraprestación económica por permitir a los atacantes el uso de determinadas herramientas de administración que solo son accesibles para el personal de la compañía. Y sería de este modo, a través de las mismas, como los atacantes habrían logrado acceder a todas las cuentas que se vieron involucradas.
Y fueron cientos las cuentas comprometidas tanto de empresas como personales muy relevantes (desde Barack Obama o Joe Biden hasta Jeff Bezos, Elon Musk y Bill Gates, pasando por Apple y Uber, por poner solo unos ejemplos) publicaron un tweet en el que afirmaban que todo el dinero (en bitcoins) que recibieran en un determinado monedero digital, sería devuelto, pero multiplicado por dos, a las personas que hubieran contribuido. Sí, eso es, si le mandabas un bitcoin a Elon Musk, el te mandaría dos.
Aunque no hubo cifras oficiales (y puede que nunca las llegue a saber, porque porque muchas víctimas seguramente lo ocultarán por vergüenza), se habla de que podrían haberse alcanzado los 120.000 dólares estafados por los autores del hackeo de Twitter. Tampoco se ha hecho pública la lista de todas las cuentas afectadas y, aunque la red social sí que está informando sobre el suceso en el hilo que mencioné antes, lo cierto es que está limitando significativamente la conversación al respecto.
En lo referido a las medidas adoptadas, ante el hackeo de Twitter sus responsables optaron, en primera instancia, por bloquear los accesos a las cuentas comprometidas, así como por eliminar los tweets maliciosos. Posteriormente extendieron la limitación de enviar mensajes a todas las cuentas verificadas, así como otras de alto riesgo. Con respecto a la estafa en sí misma, fue un momento excelente para volver a recordar dos cosas: que la confianza ciega es una mala idea, y que nadie vende duros a cuatro pesetas.
El código fuente de Windows XP filtrado era real
La noticia del supuesto filtrado del código fuente de Windows XP y el de Windows Server 2003, fue portada en medio mundo ante las consecuencias que podía tener en materia de seguridad informática. Microsoft tardó varios días en responder y lo hizo con un críptico mensaje que no aclaraba la situación.
Una semana después se confirmó que la filtración era real. El análisis del archivo filtrado reveló que el código era auténtico en ambos casos y podía compilarse. A falta de una respuesta oficial de Microsoft que seguramente nunca llegue por motivos obvios, el archivo filtrado ha sido descargado por «malos» y «buenos» para intentar verificar su autenticidad, junto a un segundo paquete que se ha compartido a buen ritmo en las redes torrent y que dice incluir código fuente de MS DOS, Windows 2000, CE, Embedded o NT.
Aunque faltan algunos componentes como winlogon.exe y también controladores y archivos de ayuda, el código fuente de Windows XP es auténtico y puede compilarse. En cuanto al código de Windows Server 2003 es aún más completo que el de XP y algunos técnicos han conseguido crear una instalación viable de Windows Server sustituyendo algunos archivos como el mencionado Winlogon.
La exposición del código fuente es un potencial riesgo de seguridad ya que el sistema operativo todavía se está utilizando en empresas y parte de ese código se utiliza en sistemas como Windows 7 e incluso en otros sistemas activos como Windows 10 para soportar componentes legado y otro funcionamiento interno de todos los sistemas de Microsoft.
Correo electrónico: 7 de cada 10 amenazas llegan por esa vía
El correo electrónico sigue siendo el rey en las comunicaciones profesionales y, a la vista de las previsiones que hacen los analistas, esto no cambiará en el futuro inmediato, todavía nos queda email para unos años. Esto, claro, también es una buena noticia para los ciberdelincuentes, que sin duda han aprendido a sacarle un gran partido. Tanto como para que, como podemos ver en el informe de ciberamenazas de la compañía de seguridad Check Point, a día de hoy sea el principal canal de difusión de amenazas.
En concreto, según podemos ver en el informe, en la comparación entre la web y el email como vectores de difusión, el correo electrónico se hace con un destacable 68%, es decir, que casi siete de cada diez amenazas llegan por esa vía, frente al 32% que tienen su origen en páginas web maliciosas (o legítimas pero que han sido atacadas exitosamente y, por lo tanto, incluyen elementos maliciosos). Siete de cada diez, un dato a tener muy en cuenta.
Son varias las razones para ello: la primera es que resulta mucho más sencillo enviar un patógeno a miles de cuentas de email que crear un sitio web de apariencia legítima, y a continuación buscar la manera de atraer a los usuarios al mismo. Y ya ni hablemos del trabajo necesario para comprometer la seguridad de una web legítima. Guiados por la ley del mínimo esfuerzo, la distribución masiva del malware por email es, probablemente, la elección más acertada.
La segunda, y también importante razón, es que sigue faltando mucha cultura de la seguridad entre los usuarios. Parece mentira pero, en pleno 2020, todavía quedan muchas personas que creen que una modelo eslava a la que no conocen de nada les va a enviar fotografías subidas de tono. O que van a poder comprar un iPhone por un euro o… bueno, la lista es interminable. Las ganas de creer que algo es verdad son un elemento explotado de manera común por los ciberdelincuentes. Y si lo siguen empleando tras muchos años, es evidente que será porque todavía funciona.
Dispositivos desprotegidos y teletrabajo: 37 de cada 100
Hay números que asustan, y sin duda el del volumen de dispositivos que las empresas han puesto en manos de sus trabajadores para que puedan trabajar desde sus casas está entre ellos, entre los que dan mucho, mucho miedo. Y es que según un estudio llevado a cabo por ManageEngine, la cifra de los mismos asciende hasta el 37%, es decir, que de cada 100 dispositivos con los que los trabajadores están llevando a cabo sus tareas profesionales desde casa, 37 no cuentan con los elementos necesarios para poder conectarse a los recursos corporativos de forma segura, ni para proteger la información que se gestiona en los mismos.
Para realizar este estudio, la compañía ha realizado una serie de encuestas a cerca de 1.500 trabajadores durante la pandemia del coronavirus. La elección del tiempo, claro, no es casual, ya venimos alertando desde hace mucho tiempo sobre las consecuencias del despliegue apresurado del teletrabajo a consecuencia de la pandemia del coronavirus. Un despliegue que era imprescindible, claro, pero que aún a día de hoy, sigue sin haberse asegurado a los niveles que sería necesario.
Entre los números que podemos ver en el estudio, leemos que el 63% de los encuestados afirma que su organización les ha proporcionado un dispositivo para utilizar mientras trabaja de forma remota. Dicho de otra manera, un 37% de los dispositivos que están accediendo a servicios e infraestructuras corporativas no están administrados por los responsables de IT y, por lo tanto, se escapan por completo de sus políticas de seguridad. Aquí tenemos, sin duda, un agujero de seguridad que debe ser remediado de inmediato.
Por otra parte, tenemos el 37% ya mencionado anteriormente, de dispositivos entregados por las empresas pero que, por la razón que sea, no tienen restricciones de seguridad. Seguramente sea por la premura con la que se ha tenido que proceder en un primer momento. No obstante, sorprende que, pasadas ya unas semanas, o incluso unos meses, no se haya puesto remedio a esa situación.
Cafeteras hackeadas: ¿El IoT se nos ha ido de las manos?
Investigadores de seguridad de Avast comprobaron que los primeros modelos de la cafetera inteligente de la marca británica Smarter tenían múltiples problemas de seguridad, hasta el punto de que es posible tomar, de manera remota, el control de la misma y empezar a activar sus funciones, desactivar los filtros de seguridad, etcétera. Una amenaza que, de acuerdo, no es de las más graves a las que nos podemos enfrentar en el día a día, pero que sin duda puede resultar insoportable y que se extiende a otros dispositivos de la Internet de las Cosas.
El problema, según los investigadores, es que la conectividad de esta cafetera es bastante insegura. Cuando no está conectada a una red inalámbrica, crea su propio punto de acceso, no seguro, para que el propietario pueda conectarse a la misma a través del smartphone y, de este modo, realizar varios ajustes de configuración, como conectarla a una red o actualizar su firmware. El punto de acceso, como ya habrás podido imaginar, es el talón de Aquiles de esta cafetera.
Con las pruebas realizadas, los investigadores confirmaron que esta falta de seguridad, sumada a lo sencillo que les resultó crear una versión malintencionada del firmware, permite desde secuestrar el dispositivo y pedir un rescate por liberarlo (si te has gastado más de 200 euros en una cafetera, es probable que accedas a pagar un rescate de, no sé, pongamos 25 euros) hasta ponerlo a minar cualquier criptomoneda. No será muy eficiente para este fin, dada su baja capacidad de cálculo, pero resulta posible.
Son bastantes los años que llevamos hablando de IoT y, desgraciadamente, de su falta de seguridad. Mozi es un gran ejemplo, responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT detectado por X-Force ( la unidad de ciberseguridad de IBM) entre octubre de 2019 y junio de 2020.
Urge, urge de verdad, que tanto los fabricantes de dispositivos IoT como los responsables del despliegue de infraestructuras basadas en los mismos dejen de tratar la seguridad como un aspecto secundario y, en su lugar, la sitúen en el epicentro de dichas actividades. De lo contrario, si botnets como Mozi pueden seguir creciendo a este ritmo, llegaremos a un punto en el que Internet de las Cosas será algo tan, tan inseguro, que finalmente nadie querrá emplearlo.