Tendencias en Seguridad 2017

Este 2016 fuimos testigos de muchos cambios tecnológicos. La última cifra de IDC indica un 49% de aumento en el uso de suites de oficina en la nube, promovido por un aumento en la confianza del Cloud Computing. Varias empresas migraron tanto la suite de office como los servicios de correo, obteniendo una clara ventaja en experiencia de usuario y uso eficiente de los recursos informáticos. Estas empresas traspasaron sus datacenters a los de tipo Carrier Class, aprovechando de modificar sus arquitecturas incorporarando segmentación y seguridad. Esto es factible debido a los altos estándares de calidad y seguridad alcanzados por las Telco de la región. Estas iniciativas no son casualidad. Han contribuido en gran medida a la transformación digital de las empresas, la cual busca modificar los modelos de negocio, transformando procesos y productos actuales, haciéndolos más eficientes y llegando a más clientes. Ejemplo de esto son las nuevas sucursales virtuales en la banca, los nuevos métodos de pago mediante Smartphone ofrecidos por el retail, los sistemas de marketing basados en la geolocalización, y varias otras interesantes iniciativas.

Las amenazas identificadas del 2016 se mantuvieron en relación con nuestro anterior documento de tendencias. Se emitió un comunicado de cómo los cibercriminales robaron al Banco de Bangladesh US$81 millones y otros US$12 millones a un Banco de Ecuador, quedando en evidencia lo vulnerable que es el sistema de transferencias Swift y los procesos bancarios, además de desmitificar que estos ataques no ocurren en Latinoamérica. Este comunicado también reveló lo metódico que puede llegar a ser la industria del cibercrimen.

Un evento de similar magnitud sufrió la agencia nacional de seguridad (NSA) al ser atacada por un grupo de hackers que exfiltró una gran batería de recursos de hacking de la NSA desde sus propios servidores, incluyendo código de día cero. Parte del código fue publicado para su descarga gratuita, sin embargo, el código de día cero fue subastado al mejor postor.

Yahoo y Google también estuvieron en la palestra, registrando una de las mayores filtraciones de datos de la historia. En el caso de Yahoo, la pérdida de 1 billón de registros debido al hacking directo a sus sistemas entre 2013 y 2014, le significó un impacto relevante en su valor en la bolsa justo antes de su compra por la gigante Verizon. Lo preocupante de este caso es que Yahoo se dio cuenta de que fueron hackeados mediante un tercero. En el caso de Google, el volumen fue 1.000 veces menor a Yahoo y no se trató de un ataque directo, ya que los cibercriminales usaron un malware denominado Gooligan para el sistema Android. Con diversas técnicas recopilaron la dirección de correo Gmail de las víctimas en conjunto con su token de autenticación, teniendo acceso sin ingresar contraseña a prácticamente toda la plataforma de aplicaciones de Google: fotos, play, drive, docs y gmail. Los expertos especulan que Gooligan sienta un precedente para el futuro del cibercrimen, en donde los ataques serán iniciados desde el Smartphone de las víctimas y ya no desde el desktop.

En octubre el proveedor de hosting Dyn fue atacado con fuerza mediante un DDoS de 1.2Tbps, el ataque más grande conocido hasta el momento. Servicios como Twitter, Spotify y Reddit mantuvieron problemas de disponibilidad durante este ataque como parte del daño colateral. En este caso los cibercriminales utilizaron una botnet de alrededor de 100.000 dispositivos IoT para generar tal magnitud de tráfico. Lo importante en este caso es que quedó demostrada la democratización del acceso a los ataques DDoS, ya que posteriormente se publicó el código fuente de la botnet Mirai junto con las técnicas utilizadas, ahora cualquiera puede usarlo y construir su propia variante del botnet.

Varias plantas de energía eléctrica en Ucrania fueron atacadas en dos oportunidades, separadas por menos de un año. El apagón sufrido por las ciudades afectadas fue vergonzoso puesto que en ambas oportunidades el ataque fue efectuado en diciembre, cuando las temperaturas máximas alcanzan con suerte los cero grados Celsius. Estos apagones fueron producto de ataques con una alta planificación, gran conocimiento técnico de la infraestructura SCADA, y tácticas muy específicas. El primer apagón de diciembre de 2015 fue realizado a la red de distribución eléctrica y el segundo en 2016 fue hacia una planta de transmisión, dejando claro en este último que el esfuerzo y planificación fue mucho menor al del 2015 dado que la energía pudo restaurarse en alrededor de 1hr. Estos casos dejan en evidencia que muchos sistemas SCADA se encuentran conectados de alguna u otra manera hacia Internet, y que son vulnerables.

Los ataques de Ransomware se han hecho una pesadilla para las empresas. Prácticamente toda organización ha sufrido con la pérdida de la información de algún usuario, y varias han tenido que enfrentar problemas de operación debido al impacto que genera el Ransomware en las aplicaciones de negocio. El 2016 fue el año en que ya nadie pudo decir “a mí no me ha afectado el Ransomware”, y este 2017 probablemente veamos un aumento en su sofisticación y diferenciación para atacar a usuarios finales vs empresas. Muchos hospitales en USA y en Latinoamérica se han quedado de brazos cruzados debido a que el antivirus no puede controlar el Ransomware y esto ha dejado en evidencia lo importante de actualizar los controles de seguridad en las empresas altamente digitalizadas.

Para este año en Latinoamérica se prevé que los ataques de Ransomware aumentarán en frecuencia e impacto para las empresas. Por otro lado, las credenciales robadas a las Clouds Yahoo y Google, comenzarán a usarse para hackear los datos de sistemas privados. Los ataques DDoS de varios Gigabits, el malware para los cajeros ATM, y el hackeo de los sistemas de transferencia electrónica de dinero parecen ser las principales amenazas para el área financiera. Por último, el aumento en el desarrollo y uso de malware indetectable, de corta vida y destructivo, es la principal amenaza para la infraestructura crítica.

La siguiente información de tendencias 2017 se basa en los hallazgos de múltiples respuestas a incidentes, la información de inteligencia de las amenazas recopiladas por el CDC de NeoSecure, y de la información proporcionada por la industria de seguridad de la información durante el año 2016.

Descargar el PDF