Ciberpronóstico: 2017

Eugene Kaspersky nos habla de algunas de las presentaciones del SAS.

Así somos los Homo Sapiens: estamos constantemente, incluso imprudentemente, mirando hacia el futuro e intentamos averiguar qué nos depara. Muchos dicen que deberíamos vivir el presente (después de todo, el futuro nunca llega) pero bueno, eso no funciona para todos y muchos de nosotros necesitamos hacer planes a futuro.

Pero existen diferentes enfoques para mirar hacia el futuro.

Hay quienes creen en el destino, adivinar, lanzar una moneda al aire y observar lo que sucede. Por otro lado están los que no piensan en el futuro en lo absoluto. Al mismo tiempo, hay una teoría basada en la ciencia. Se trata de hacer un poco de espiritualidad occidental (no estar en el presente, sino analizarlo cuidadosamente) para ser capaces de predecir el futuro con la mayor precisión posible. Esto es exactamente lo que se hace para predecir el ciberfuturo; la seguridad del ciberfuturo en particular. Y esto es lo que nosotros hacemos (poco a poco todos los días, amplia, profunda, especial y alegremente) todos los años, cuando reunimos a la élite mundial de ciberseguridad durante una semana para unas largas conferencias en un balneario tropical, cumbre a la que llamamos Security Analyst Summit (SAS):

Ups, vídeo equivocado. Aquí lo tienes …

¡Oh! No. Este:

No sé muy bien cómo se hace, pero cada año el SAS mejora. Quiero decir, siempre ha sido GENIAL, pero lo GENIAL cada vez aumenta más: más expertos, contenido de mayor calidad, más y mejores ideas, más y más cucharadas del mundo y material exclusivo.

Y es acerca de ese material exclusivo de lo que voy a hablar hoy. Específicamente, mis 5 presentaciones favoritas del SAS 2017. No estoy diciendo que las demás no hayan sido buenas o hayan sido regulares, es solo que físicamente no fui capaz de asistir a todas ya que se estaban llevando a cabo simultáneamente en diferentes salas. Además, cada uno tiene sus propios gustos: bueno ¡aquí esta una guía de los míos!…

¡Vamos!

Cajeros automáticos inseguros

Este fue un informe de S.G. y I.S sobre sus largos días y noches investigando los robos de cajeros automáticos. Una persona sin formación en ciberseguridad no es consciente de lo vulnerables que son estos agujeros en las paredes para ciertos criminales con ordenadores. Pero no son expertos; se les puede perdonar. Lo que es preocupante es como algunos fabricantes de cajeros automáticos y hasta los propios bancos no parecen molestarse en buscar una solución a este problema; mientras tanto, la escala del problema crece a diario, hoy en día la escala se mide en miles de millones de dólares.

Este es uno de los métodos con el que los ciberdelincuentes vacían por completo cajeros automáticos: hacen un pequeño orificio en la caja del cajero a través del cual se alimenta un conector conectado a un dispositivo digital especial que puede controlar literalmente todo, incluso expedir efectivo. Esto es posible debido a la ausencia de un cifrado digno del nombre y de la autorización del sistema. Sí, estas leyendo bien. En un cajero automático. Es difícil irrumpir en un ordenador; por lo menos era, hasta que estudiamos este astuto método de ataque, el cual llevó a los autores y usuarios del mismo a prisión.

Durante años, los fabricantes trabajaron duro para evitar los robos físicos de los cajeros automáticos e hicieron un buen trabajo. Pero, ¿tal vez sea hora de esforzarse por prevenir también los robos cibernéticos?

Detalles

Un laberinto para un pingüino bajo la luz de la luna

Lo que más me gustó del SAS de este año fue la abundancia de investigaciones. Por conjunto de investigaciones me refiero a aquellos llevados a cabo por diferentes expertos en seguridad (algunas veces trabajando para competidores), creadores e, incluso, fuerzas policiales.

Al principio uno puede pensar que la industria de seguridad de tecnologías de la información es un poco serpenteante, donde cada serpiente jugador tiene su propio ángulo y siempre está buscando cómo estrangular a su vecino y hacerse con su parte del mercado. En realidad (y el SAS es la confirmación de ello), la principal preocupación de los expertos es la seguridad de los usuarios. Si no saben hacer algo a solas, preguntan a algún colega. No hay nada de malo en eso; es sentido común, además de ser alentador. Es bueno ver cómo, a pesar de que la geopolítica tiende a ir en la dirección contraria, las fronteras nacionales y corporativas en la industria de la seguridad disminuyen gradualmente en importancia. Y no podría ser más feliz (porque solo juntos seremos capaces de vencer a los cibedelincuentes, quienes hoy en día están mucho más unidos).

Un conjunto de investigación de SAS estuvo dedicado a la primera operación conocida de ciberespionaje (Laberinto de luz de luna, 1996) y su conexión con los actuales ciberataques. Aquí trabajamos junto al King’s Collage London.

No entraré mucho en detalles aquí, no hay ni espacio, ni tiempo. Pero os dejo el link a la página con todos los detalles, échale un vistazo (no te arrepentirás): la investigación se lee como si fuera el guión de una película taquillera de suspenso.

Banco central Cyber-Heist – Conclusiones de las investigaciones conjuntas

Aquí está otro conjunto de investigaciones realizado por los expertos de KL y los de BAE Systems and SWIFT.

¿Recuerdas la historia de los 80 millones de dólares y del ciberrobo del Banco Central de Bangladesh? Bueno…
Después de escuchar esta historia empezamos a cavar más y más profundo en el proceso de desenterrar todo tipo de delitos cometidos por el mismo grupo cibercriminal. A pesar de que tuvimos una clara idea de quien estaba detrás del atraco al banco, ¡Corea del Norte!, esto solo podría ser 100% confirmado por los realizadores del mismo. Y, de cualquier manera, nosotros no hacemos atribuciones, ¿recuerdas? Además, podríamos haber caído en el viejo truco del ciber-libro: ciber desinformación. También conocido como señalización cibernética falsa. De hecho, quedan algunas inconsistencias y ambigüedades. Por otro lado, si en efecto fueron los norcoreanos, tenemos que admitir que realmente están muy avanzados y hemos estado subestimando su potencial.

Detalles

Un millón de dólares y seré el dueño de tu iPhone

¿Sabes por cuanto están ofreciendo una vulnerabilidad de iOS en el mercado negro? Un millón de dólares.

Entonces, ¿Cuánto costarían tres vulnerabilidades de iOS? Bueno, partiendo de que este es un producto raro y valioso, podrían llegar a costar tres millones de dólares. Sin descuentos en el extremo superior de cualquier mercado, especialmente de este. Todavía – parece ser que tres de esas vulnerabilidades fueron compradas en una sola transacción: el programa de espionaje Pegasus para dispositivos iOS utiliza tres de estas vulnerabilidades para permitir apropiarse del kit iOS de cualquier persona. ¿Y pensabas que todo era seguro con iOS? 😊

Un ataque es algo así: llega un mensaje de texto al teléfono con un texto atractivo y un enlace a un recurso u otro. Al hacer clic, el malware se descarga en el iDevice a través de un exploit que, sin el conocimiento del usuario recibe los derechos de administrador y ejecuta los comandos remotos del atacante. Bastante alarmante ¿No? Bueno, pueden tranquilizarse. Primero que nada, ya hay un parche publicado para la vulnerabilidad de iOS (¿aún no lo has actualizado? – ¡Hazlo ahora!). En segundo lugar, solamente ha sido utilizado para ataques muy específicos contra un pequeño número de objetivos concretos.

Detalles.

Desaparece en 11 milisegundos

¿Qué puede desaparecer (robarse) tan rápido?

Un dron, también conocido como quadcopter (helicóptero quadrotor).

Los drones hoy en día son baratos, y por tanto populares. Normalmente se merecen la pena por la satisfacción de las fotos y vídeos que se pueden hacer con ellos, o se pagan solos con el dinero que se gana por tomar fotos y vídeos de clientes.

De cualquier forma, barato y accesible, como pueden imaginar, no significa seguro. Lejos de eso. La mayoría de los drones modernos no tienen canales de transferencia de datos cifrados confiables. Esto significa que pueden ser fácilmente interceptados y controlados por una tercera parte con un radio o una microordenador, definidos por un software, en 11 milisegundos. Lo que sucede después sólo está limitado por tu imaginación. ¿Volar en áreas restringidas? ¿En zonas desmilitarizadas? ¿Aterrizar entre una multitud de gente en el centro de la ciudad?…

Esta investigación fue interesante, no sólo porque mostró cómo pueden ser atacados los drones y posteriormente violados; además resalta las vulnerabilidades de los dispositivos “inteligentes” en su conjunto. Frigoríficos y microondas inteligentes, routers, cepillos de dientes eléctricos, incluso juguetes para niños … todo ello, miles de millones de dispositivos, todos conectados a Internet y algunos ya están haciendo cosas malas. La gran mayoría no son potencialmente peligrosos para sus dueños por falta de la más simple de las características de seguridad, también son peligrosos para los que están alrededor.

Detalles.

Bueno amigos, eso es todo por hoy. Por cierto, pronto podrán ver todas (o casi todas) las presentaciones de la Cumbre de Analistas de Seguridad en nuestro canal de YouTube.

 

Consejos