En el siglo XXI, las descripciones detalladas y las pruebas de concepto no son suficientes para llamar la atención de todos sobre una vulnerabilidad. Necesitas un nombre comercial atractivo, un logotipo y un inevitable montón de memes en Twitter. Todo tipo de investigadores, periodistas informáticos, trabajadores de la industria y usuarios se divierten con imágenes divertidas todo el tiempo.
Y, en general, funciona: después de ver un meme, mucha gente va y lee sobre lo que ha sucedido y, a veces, como resultado, toman medidas para corregir la vulnerabilidad. O al menos hacen todo lo posible para evitar cometer el mismo error y salir en un nuevo meme. Además, por la cantidad de memes que siguen a otro incidente, podemos hacernos una idea del alcance de un problema. Si tuviéramos que depender únicamente de los memes para conocer las últimas noticias sobre ciberseguridad, recordaríamos 2021 como algo así:
Enero: la actualización de la política de privacidad de WhatsApp
El año comenzó cuando millones de usuarios de WhatsApp se dieron cuenta de repente de una actualización de la política de privacidad del servicio. El resultado fue un éxodo masivo a Telegram y Signal: ambos mensajeros notaron un crecimiento significativo en la audiencia. La situación con la nueva política de privacidad de WhatsApp se resume mejor con este meme:
Basically this is what Whatsapp is doing pic.twitter.com/3p7wZoEYl6
— Lekompo (@Onka_Shole) January 10, 2021
Febrero: la épica brecha de seguridad de las cámaras del IdC FootfallCam 3D plus
La seguridad en los dispositivos del IdC es mala y probablemente ya todos lo sepan a estas alturas. Pero justo cuando crees que lo has visto todo, unos fabricantes de dispositivos inteligentes logran sorprenderte. Solo tienes que leer este hilo de Twitter para entender de lo que estamos hablando (cuidado, no vayas a lastimarte tras llevarte las manos a la cara):
By the way, that little “nubbin” on the outside in the WLAN dongle. It’s just a standard Pi dongle literally painted white.
The device instantly crashes when you pull it out.
19/18 pic.twitter.com/0nc6fVo7QT
— OverSoft (@OverSoftNL) February 4, 2021
Marzo: la vulnerabilidad en ProxyLogon
A principios de marzo, Microsoft lanzó parches para Exchange que abordaban varias vulnerabilidades graves en el sistema. Si bien esto es algo bastante común, hay un problema: los atacantes habían explotado algunas de estas vulnerabilidades en activo y, según se informó, lo habían estado haciendo desde enero por lo menos. Por tanto, cuando se lanzó el parche, el número de organizaciones atacadas en los EE. UU. había superado las 30000.
Poor kid #ProxyLogon pic.twitter.com/1MlUwBRUAU
— Florian Roth (@cyb3rops) March 10, 2021
Abril: Signal trolea a Cellebrite
Para aquellos que no lo saben, Cellebrite produce equipos para las fuerzas del orden, que permiten a los empleados hackear smartphones de forma fácil y cómoda y recuperar información de su interés. Por ello, la empresa ocupa un lugar especial en el corazón de los defensores de la privacidad. A finales del 2020, Cellebrite anunció que sus productos comenzaban a admitir Signal. En respuesta, el equipo de Signal publicó un estudio de vulnerabilidades en el hardware de Cellebrite y lo acompañó con un adelanto incomparable:
Our latest blog post explores vulnerabilities and possible Apple copyright violations in Cellebrite's software:
"Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective"https://t.co/DKgGejPu62 pic.twitter.com/X3ghXrgdfo
— Signal (@signalapp) April 21, 2021
Mayo: el ataque de ransomware en Colonial Pipeline
Colonial Pipeline, el sistema de oleoductos más grande de EE. UU. que mueve productos derivados del petróleo recibió un ataque de ransomware, interrumpiendo el suministro de gasolina y diésel en la costa sureste del país. Este incidente generó mucho debate sobre cómo se debe proteger este tipo de negocios y el anuncio de la propia compañía de la búsqueda de un nuevo gerente de ciberseguridad se volvió viral en las redes sociales como un meme, con el comentario “Probablemente ahora tengan un presupuesto decente”.
They probably have a decent budget now pic.twitter.com/ptUDOgHjZN
— Justin Elze (@HackingLZ) May 12, 2021
Junio: un congresista publica por accidente su contraseña de correo electrónico y su código PIN
El congresista estadounidense Mo Brooks, que es miembro del Comité de Servicios Armados de la Cámara de los Estados Unidos y, en particular, trabaja en un subcomité que se ocupa de la ciberseguridad, hizo una contribución inusual a la popularización de la idea del almacenamiento seguro de contraseñas. En su Twitter personal, publicó una foto de su monitor junto con una nota que tenía la contraseña de su cuenta de Gmail y su número PIN. ¡Todo un clásico! El tuit estuvo colgado durante varias horas y se volvió viral en memes. Brooks finalmente lo eliminó, pero, por supuesto, ya era demasiado tarde: los lectores tuvieron tiempo de tomar una captura de pantalla y publicarla con un comentario sarcástico:
https://twitter.com/Josh_Moon/status/1401678401946243073
Julio: la vulnerabilidad PrintNightmare
Al parecer, los investigadores publicaron por error en GitHub un ataque de prueba de concepto a través de las vulnerabilidades CVE-2021-34527 y CVE-2021-1675 en Windows Print Spooler. Ante el temor de que los atacantes adoptaran rápidamente el método publicado, Microsoft lanzó un parche urgente sin siquiera esperar la actualización de los martes de parches. Además, incluso se parchearon Windows 7 y Windows Server 2012 ya obsoletos. Sin embargo, no resolvió el problema por completo y algunas impresoras dejaron de funcionar después de su instalación.
That’s one way to remediate #PrintNightmare pic.twitter.com/HjRs579cJM
— TechxSigil☣️ (@techxsigil) July 25, 2021
Agosto: Black Hat y DEF CON
En agosto, todo estaba bastante tranquilo teniendo en cuenta los estándares del 2021. Por supuesto, hubo algunos incidentes dignos de la inmortalización de los memes, pero el más memorable fue el sufrimiento de los asistentes habituales de las conferencias BlackHat y DEFCON, que debido a las restricciones relacionadas con la COVID-19, no pudieron acudir a Las Vegas ese año.
https://twitter.com/Djax_Alpha/status/1423741831968342016
Septiembre: la vulnerabilidad OMIGOD
Los usuarios de Microsoft Azure descubrieron repentinamente que cuando seleccionaban una variedad de servicios, la plataforma instalaba un agente de infraestructura de administración abierta en la máquina virtual de Linux al crearla. Y esto no sería tan aterrador si (a) este agente no tuviera vulnerabilidades conocidas desde hace mucho tiempo, (b) los clientes fueran notificados de alguna manera sobre la instalación del agente, (c) OMI tuviera un sistema de actualización automática normal y (d) la explotación de las vulnerabilidades no fuera tan sencilla.
#OMIGod #Azure #OMIAgent #CVE202138647 pic.twitter.com/2CDDuCF2ty
— Florian Roth (@cyb3rops) September 16, 2021
Octubre: Facebook se retira de Internet
Octubre será recordado por el apagón de Facebook. Según informes de los servicios de emergencia, como resultado de algún tipo de actualización, los servidores DNS de Facebook dejaron de estar disponibles en Internet. Como resultado, los usuarios de la propia red social y otros servicios de la empresa, incluidos Facebook Messenger, Instagram y WhatsApp, no pudieron iniciar sesión durante más de seis horas y se quejaron de su insatisfacción en redes alternativas y aplicaciones de mensajería (sobrecargando estas a su vez). Al mismo tiempo, circulaban rumores descabellados en Internet, por ejemplo, que los administradores de la empresa no podían acceder a los servidores porque su sistema de acceso estaba vinculado al propio Facebook.
Mark Zuckerberg fixing the WhatsApp, Instagram and Facebook crash #instagramdown pic.twitter.com/3yoVhyYdM7
— Kr$hna (@Obviously_KC) October 4, 2021
Noviembre: los Green Pass falsos
Lo cierto es que las falsificaciones de certificados europeos de vacunación digitales que hicieron tanto ruido aparecieron a finales de octubre, pero la principal ola de sorpresa generalizada llegó en noviembre. Qué sucedió: comenzaron a vender Green Pass falsos en Internet, que estaban verificados y, como ejemplo, mostraron certificados escritos a nombre de Adolf Hitler, Mickey Mouse y Bob Esponja. A juzgar por las noticias, el problema de la difusión de los Green Pass falsificados sigue siendo relevante.
As of Thursday morning Eastern time, Adolf Hitler and Mickey Mouse could still validate their digital Covid passes, SpongeBob Squarepants was out of luck, and the European Union was investigating a leak of the private key used to sign the EU’s Green Pass vaccine passports. pic.twitter.com/kdpJmfp3WX
— astig0spe (@astig0spe) November 5, 2021
Diciembre: la vulnerabilidad Log4Shell
Casi todo diciembre pasó bajo el estandarte de Log4Shell, una vulnerabilidad crítica en la biblioteca Apache Log4j. Debido al uso generalizado de esta biblioteca en aplicaciones Java, millones de programas y dispositivos quedaron vulnerables. Apache Foundation lanzó varios parches, pero los investigadores siempre encontraban la forma de eludir estas contramedidas. A pocos días de la publicación inicial, los botnets comenzaron a escanear Internet en busca de programas vulnerables y los autores de ransomware se dieron cuenta de la vulnerabilidad. Hubo tantos memes virales con temas de Log4Shell que alguien incluso creó un sitio web de compilación.
https://twitter.com/secbro1/status/1469328495847346177
Esperemos que el próximo año sea más tranquilo. ¡Feliz año nuevo, queridos lectores!