Acerca de las tendencias en ciberamenazas y por qué la ciberseguridad debe estar presente siempre, considero que es importante reflexionar sobre dos puntos:
- La ciberseguridad está en cada uno de nosotros… llámese organización, gobierno, colaborador, no importa; todos podemos generar conciencia y hacerlo no sólo de vez en cuando, sino el año completo.
- Las tendencias clave y emergentes del año pasado, por la cantidad de comentarios que dieron de qué hablar, por lo que destacaré tres cuestiones clave que me llamaron especialmente la atención.
La cadena de suministro
Antes de 2021, se suponía que los ataques a la cadena de suministro eran exclusivamente una herramienta sólo para actores de amenazas sofisticados patrocinados por el Estado. Se pensaba que los recursos y conocimientos necesarios para comprometer a un proveedor de software e integrar código malicioso estaban fuera del alcance de los actores de amenazas criminales, sin embargo, en julio de 2021 esta suposición fue aplastada.
El ransomware REvil se distribuyó a través de la explotación de una vulnerabilidad previamente no identificada en el código del servidor de Kaseya VSA, una herramienta de monitoreo y administración del sistema. Los actores de amenazas abusaron de la vulnerabilidad para distribuir su código malicioso como una actualización de confianza distribuida desde el servidor comprometido a los sistemas cliente administrados por la herramienta. Con el agente falso malicioso instalado, el software escribe una versión legítima, pero explotable, antigua de una aplicación de Windows Defender en el disco, y finalmente la usa para ejecutar el ransomware. Por lo tanto, el disco se cifra desde una aplicación de confianza y firmada, que se ejecuta desde un directorio de confianza.
El impacto del ataque fue más amplio de lo que podría imaginarse en un principio. Kaseya VSA se utiliza a menudo para administrar un gran número de sistemas en una amplia variedad de organizaciones. Golpear los servidores dentro de los proveedores de servicios administrados significó que un servidor violado afectó a muchas organizaciones. Detener muchas empresas significa más pagos de rescate potenciales para que los malos los cobren y, por lo tanto, será una táctica tentadora para muchos otros atacantes en el futuro.
En muchos sentidos, los actores de APT bien recursos actúan como líderes de pensamiento para el resto del panorama de amenazas, mostrando lo que un actor de amenazas ambicioso y efectivo puede lograr. Es posible que los actores criminales que llevaron a cabo el ataque de Kaseya hayan tenido algún tipo de apoyo o protección estatal, o que hayan logrado el ataque completamente a través de sus propios esfuerzos. En cualquier caso, es probable que veamos más casos de cadenas de suministro que se utilizan para distribuir malware en el futuro.
Robo de recursos informáticos con fines de lucro
Los actores de amenazas criminales están motivados por las ganancias. Uno de los modelos de negocio más exitosos que han creado es el del ransomware, donde un sistema puede detenerse cifrando datos y requiriendo el pago para que el sistema vuelva a su estado normal. Aunque lucrativo, este modelo es muy abrupto.
Las víctimas pueden notar que el sistema se compromete muy rápidamente y deben resolver la situación para continuar con su función normal. Sin embargo, hay debilidades en este modelo para el atacante. El flujo de ingresos se basa en la búsqueda continua de nuevas víctimas, lo que requiere tiempo y recursos. Si el compromiso es sólo un inconveniente menor para la víctima, y en ausencia de una copia de seguridad que funcione, la víctima puede optar por volver a imaginar el sistema.
La persistencia en un sistema comprometido puede ofrecer más oportunidades para extraer valor que el enfoque de una sola toma del ransomware.
Apropiarse de recursos de sistemas comprometidos fue una táctica implementada por muchas de los primeros botnets. En estos ataques, el controlador de botnet robó recursos, incluido el ancho de banda de la red, mediante el envío de spam o el lanzamiento de ataques de denegación de servicio desde los sistemas de sus víctimas infectadas.
En los últimos años, los atacantes han desarrollado criptomineros para robar recursos informáticos de sistemas comprometidos.
La minería de criptomonedas requiere grandes cantidades de potencia informática para resolver los desafíos criptográficos necesarios para adquirir nuevos tokens de criptomonedas. Desarrollar y operar las instalaciones informáticas legítimas para lograr los cálculos necesarios es costoso. Sin embargo, robar estos recursos es fácil por lo tanto, vemos el desarrollo de malware de criptominería que se encuentra como un proceso de fondo en sistemas comprometidos, robando recursos para ganar dinero a los malos.
Aunque el beneficio de un solo sistema es pequeño, los atacantes pueden persistir en sistemas comprometidos durante largos períodos de tiempo y controlar un gran número de sistemas afectados.
El creciente despliegue de sistemas y dispositivos inteligentes en nuestros hogares y lugares de trabajo significa efectivamente que estamos instalando muchos dispositivos informáticos pequeños conectados a la red sin considerar necesariamente cómo defenderemos y monitorearemos estos dispositivos. Una cosa es cierta: los malos buscarán comprometer y extraer valor de estos sistemas, casi con seguridad robando su potencia informática y conectividad de red.
No quite el dedo del renglón…
En los últimos dos años, las tendencias a largo plazo del aumento del trabajo remoto y el uso de servicios entregados en la nube se han acelerado masivamente debido al trabajo remoto durante la pandemia de COVID-19. Con los usuarios y los sistemas a los que acceden fuera del entorno de oficina tradicional, la cuestión de cómo autenticar a los usuarios se ha vuelto cada vez más importante.
Los nombres de usuario y las contraseñas nunca han sido un mecanismo particularmente seguro para verificar las identidades de los usuarios. Los usuarios son propensos a revelar sus nombres de usuario y contraseñas en respuesta a las señales de ingeniería social de los ataques de phishing.
Los estudios han demostrado que los usuarios incluso revelarán voluntariamente su contraseña a cambio de una golosina de chocolate. El uso continuo de sistemas heredados, las malas elecciones en la implementación del sistema o los malos algoritmos hash también han permitido a los atacantes recopilar un gran número de nombres de usuario y pares de contraseñas de texto sin formato.
El uso de la autenticación multifactor ofrece una capa adicional de seguridad. Estos enfoques, incluido Cisco Duo, requieren que los usuarios se autentiquen con un método de inicio de sesión adicional, como responder a una alerta en su dispositivo móvil. Los teléfonos personales son excelentes para autenticar a los usuarios, ya que los usuarios se dan cuenta rápidamente cuando sus teléfonos no están cerca, y estos dispositivos con frecuencia están protegidos por datos biométricos, como una huella digital.
Sin embargo, el reconocimiento biométrico se basa en una “cadena de custodia” segura. El dispositivo que lee la huella digital debe ser seguro, el software que interactúa con el dispositivo de huellas dactilares debe ser seguro, al igual que la conexión que transmite el resultado al sistema de autenticación. Nada de esto puede darse por sentado.
Hemos demostrado que es posible imprimir en 3D una huella digital que engañará a los sistemas de lectura de huellas dactilares con equipos de impresión 3D de grado de consumidor y nada más que un escaneo de la huella digital del usuario. Esto significa que cualquier actor de amenazas con recursos adecuados podría desarrollar técnicas de clonación de huellas dactilares para engañar al reconocimiento biométrico. Si bien la biometría ofrece una vía adicional de autenticación, todos debemos ser conscientes del hecho de que el mundo de la biometría también abre la posibilidad de nuevos tipos de ataques.
Constante evolución
A medida que evoluciona nuestro uso de la tecnología y las capacidades de los actores de amenazas, también lo hace el panorama de amenazas que enfrentamos.
La tecnología y las tácticas de los malos seguirán cambiando, por lo que debemos asegurarnos de que nuestras medidas de seguridad sean adecuadas para las amenazas a las que nos enfrentamos.
Ghassan Dreibi, Director de Seguridad en Cisco América Latina.