Informe de seguridad 2013: NSA, Cryptolocker, botnets para minar Bitcoins y otras amenazas

Snowden y la NSA han sido protagonistas en materia de seguridad durante 2013. Conoce en nuestro informe las principales amenazas de este año y descubre las tendencias de seguridad para 2014.

Botnets como ZeroAccess, Carperp, Cryptolocker, exploits de Java, Darkleech... han sido algunas de las amenazas que han atentado contra la seguridad informática en 2013. Por otra parte, el caso de la NSA ha puesto de relieve la debilidad de Internet en lo que se refiere a privacidad. Los usuarios en muchas ocasiones permanecen en la ignorancia ante esta amenaza. Por ejemplo, con el uso de redes sociales. En palabras de Richard Stallman: "Facebook es una plataforma de espionaje masivo".

En una entrevista concedida recientemente a Teknautas, Eugene Kaspersky (fundador de la empresa de seguridad que lleva su nombre) afirma que "vivimos en la era del ciberespionaje, donde cientos de empresas y organizaciones gubernamentales ya han sido hackeadas, y otros miles más están en el punto de mira".

Kaspersky detectó y bloqueó con éxito el virus Octubre Rojo, una red de ciberespionaje dirigida a entornos gubernamentales y corporaciones privadas en Europa oriental, Europa del este y Asia, principalmente.
Mapa de las víctimas de Octubre Rojo

Mapa de las víctimas de Octubre Rojo. Kaspersky Lab

Un mundo totalmente conectado proporciona muchas ventajas sociales y económicas. Cada día se realiza una mayor cantidad de operaciones en la Red que involucra el intercambio de información personal, privada y, a veces, confidencial. ¿Están a buen recaudo nuestros datos en Internet?

Ataques a la privacidad y la pérdida de confianza en Internet
La NSA en el ojo del huracán
Logotipo de la NSA

Los usuarios de Internet estamos familiarizados en mayor o menor medida con el término ciberdelincuente, como aquel criminal que obtiene información sensible a través de la Red para usos no autorizados.

Pero los “malos” no son los únicos responsables del robo de datos, sino que también estamos a expensas de las entidades que supuestamente velan por nuestra seguridad.

La falta de privacidad en la Red en evidencia.

Es así como la NSA, la Agencia de Seguridad Nacional estadounidense, escudándose en el bien de la seguridad nacional de EE.UU. ha espiado a millones de ciudadanos de todo el mundo. Involucrando en el proceso a grandes compañías de software como Google, Microsoft, Apple, Yahoo!, Dropbox, Facebook... Y forzando a otras a finalizar sus servicios, tal y como ocurrió con el cierre del servicio de correo codificado Lavabit a principios de agosto.

Cada día, la NSA recoge millones de documentos electrónicos pertenecientes a personas que no son sospechosas de ningún delito.

La política de EE.UU. se deja llevar por el miedo irracional hacia el terrorismo.

Durante los últimos meses, diversos medios se han hecho eco de lo que la NSA es capaz de hacer:

Aunque hace unos meses explicábamos algunas pautas para evitar el espionaje de la NSA, en estos momentos parece que no haya nada ni nadie capaz de protegernos.

Snowden y la NSA
Snowden, ¿héroe o villano?

Edward Snowden era un joven consultor informático que por su gran capacidad e ingenio llegó a trabajar como experto de seguridad informática para la CIA y la NSA.

Según lo describe un compañero de trabajo, Snowden era un "genio de genios". Aunque algunos lo han demonizado y descrito como un hacker malintencionado, nada más lejos de la realidad. Fue gracias a su talento que se ganó el acceso a miles de documentos clasificados de la NSA.

Yo actué convencido de que el programa masivo de escuchas de la NSA no cumple las normas de la Constitución (declaración de Snowden difundida por el periodista Glenn Greenwald).

Pero este friki superdotado, por conciencia social acabó revelando todos esos archivos secretos a finales de mayo de 2013. Las filtraciones a la prensa sobre PRISM le convertirían en héroe para unos y villano para otros. Y acabaron con su exilio y el abandono de la cómoda vida que llevaba.

En una democracia es necesario conocer qué hacen los Estados sin tener que depender de los heroicos reveladores de secretos como Snowden (Richard Stallman).

Muchas voces se levantan para pedir su amnistía. Sin embargo, algunos personajes como el ex director de la CIA James Woolsey creen firmemente en su culpabilidad.

Woolsey en una entrevista para Fox News afirmó recientemente que "debe ser procesado por traición. Si es declarado culpable por un jurado, debe ser colgado por el cuello hasta que esté muerto".

El ciberespionaje de la NSA es inconstitucional

Mientras Snowden vive en asilo temporal y sin hogar esperando que algún país le acoja definitivamente, un tribunal federal estadounidense ha dictaminado recientemente que el programa de espionaje de las comunicaciones que lleva a cabo la Agencia de Seguridad Nacional (NSA) es inconstitucional. El juez describe además que tiene "serias dudas acerca de la eficacia" del programa:

El gobierno no citó un solo caso en el que el análisis de la recolección de metadatos a granel de la NSA detuviera un ataque inminente o hubiera ayudado de otro modo al gobierno en el logro de otros objetivos sensibles.

Ahora, el gobierno de Obama se ve forzado a plantear una gran reforma dentro de la NSA debido al escándalo PRISM. Quizá se pueda vislumbrar el fin de sus programas de vigilancia secretos o quizá sólo sea el principio de otro gran engaño hacia la ciudadanía.

Las actividades de la NSA deben ser reguladas.

Aunque el escándalo de la NSA ha eclipsado la actualidad en el segundo semestre del año, no ha sido el único riesgo de seguridad que ha afectado a los usuarios de Internet.

Mapa de seguridad 2013
Principales riesgos de seguridad en 2013

Según un informe publicado por Sophos, el software malicioso ha sufrido una importante evolución durante 2103. Los ciberdelincuentes han sido mucho más creativos a la hora de camuflar su malware. Además su comportamiento también ha sido más precavido, incrementado el uso del cifrado y su ocultación en las redes cerradas y anónimas de Internet englobadas en lo que se conoce como darknet.

Las botnets se multiplican y se vuelven más sigilosas
Botnets

En los últimos 12 meses, las botnets (redes de equipos zombies infectadas por malware y usadas por un atacante para conseguir sus propósitos) se han generalizado volviéndose más resistentes y permaneciendo bien camufladas. Su punto fuerte es la toma de contramedidas, lo que hace muy difícil su erradicación. Una de las botnets más famosas es ZeroAccess, cuyos esfuerzos de contención han resultado infructuosos en la actualidad.

1.9 millones de PCs estaban infectados por ZeroAccess en octubre.

Las botnets son un importante foco de infección, ya que son usadas por los delincuentes para propagar virus, enviar de spam y otros fraudes. Como por ejemplo, el que te contamos a continuación.

Botnets que esclavizan PCs para minar Bitcoins
Logotipo de Bitcoin

En 2008, en plena crisis económica, surge el Bitcoin. Se trata de una moneda de cambio virtual independiente de cualquier gobierno o entidad financiera y, por el momento, sólo aceptada como pago en algunos comercios generalmente online. Si bien en 2011 empezó a sonar con fuerza en los medios, en 2012 es cuando empezó a afianzarse como moneda electrónica y ha sido en 2013 cuando se ha producido su despegue fulgurante llegando a alcanzar valores máximos históricos. Es posible obtener Bitcoins mediante su compra o a través de "minería".

La minería de Bitcoin (bitcoin mining) es el proceso que se realiza para la creación de Bitcoins. Para ello, se emplean PC equipados con chips diseñados específicamente para esa tarea (ASICs). Además, es necesario contar con un software especializado como CGMiner. El coste a asumir es tanto la inversión en hardware como el consumo eléctrico, que según las tarifas de tu país puede ser elevado.

Un nuevo peligro entra en escena, las botnets capaces de esclavizar PCs para minar Bitcoins sin conocimiento ni consentimiento de los usuarios. ZeroAccess estuvo operando de esta manera desde mayo de 2012 hasta febrero de 2013, y durante 3 semanas en abril de este año. Por motivos desconocidos cesó estas operaciones de minería ilegal. Pero ¡quién sabe si otras redes "zombificadas" están actuando de la misma manera con el consiguiente perjuicio para los usuarios!

Un peligroso troyano anda suelto, Carberp

A mediados de este año fue liberado el código fuente del troyano Carberp, al parecer por la lucha interna desatada en el seno de la banda de criminales. Este suceso es uno de los más peligrosos desde la liberación del código de otro troyano, Zeus.

Carberp es usado en la obtención de credenciales bancarias y ha servido para robar más de 250 millones de dólares.

Nueva versión del ransomware Cryptolocker

Si durante 2012 fue el virus policía (del que te contamos cómo eliminarlo) el encargado de atemorizar a los ingenuos usuarios de Internet, en 2013 tomó el relevo Cryptolocker. Este ransomware es un viejo conocido con más de 20 años a sus espaldas que este año resurgió reforzado para extorsionar por sus datos a los indefensos usuarios que resultaron infectados. Aquí también te explicamos en su día cómo eliminar Cryptolocker.

Kaspersky explica cómo funciona Cryptolocker. Dicho ransomware descarga una llave pública RSA desde su servidor. Cada nueva víctima tiene asociada una llave única y sólo sus autores pueden acceder a las llaves de descifrado. Los ciberdelincuentes les otorgan a sus víctimas apenas tres días para cumplir con el pago, y refuerzan su mensaje con temibles fondos de pantalla advirtiéndoles que si no pagan sus datos se destruirán para siempre. Los países más afectados han sido Reino Unido y EE.UU., seguidos a cierta distancia por India, Canadá y Australia.

Víctimas de Cryptolocker por país

Víctimas de Cryptolocker por país (abril, 2013). Kaspersky Lab

Vulnerabilidades y exploits "día-cero"

Según se informa en el boletín de seguridad anual de Kaspersky, los ciberdelincuentes han seguido aprovechándose de las vulnerabilidades del software para lograr sus fines. Mediante exploits consiguen instalar programas maliciosos en el PC de la víctima sin que ésta se dé cuenta. Suelen concentrar su atención en las aplicaciones más populares.

En algunos casos, el atacante explota una vulnerabilidad que sólo él conoce (vulnerabilidad "día-cero"). Así, todos los usuarios de la aplicación vulnerable quedan desprotegidos hasta que su fabricante desarrolla un parche. Pero en otros muchos casos, los cibercriminales aprovechan las vulnerabilidades conocidas que ya cuentan con un parche: Octubre Rojo, MiniDuke, TeamSpy y NetTraveler, han sido algunos de los ataques detectados este año.

Distribución de los ataques de malware en junio de 2013. Kaspersky

Distribución de los ataques de malware (junio, 2013). Kaspersky Lab

A modo de resumen y valorando cifras, en 2013 las vulnerabilidades de Java han representado el 90,52% de los ataques. Mientras que las de Adobe Acrobat Reader significaron el 2,01%.

Estos datos se explican de la siguiente manera. Java se encuentra instalado en una elevada cantidad de ordenadores (3 mil millones, según Oracle), pero sus actualizaciones no se instalan de forma automática.

A pesar de que Adobe Reader fue en el pasado una de las víctimas preferidas de los ciberdelincuentes, la cantidad de exploits para esta aplicación se ha reducido de forma significativa en los últimos 12 meses. Esto se debe al aumento en la frecuencia de actualizaciones de seguridad de Adobe (cuya instalación es automática en la última versión).

Software malicioso en Android

La gran cuota de mercado que abarca este sistema operativo lo convierte en un objetivo muy goloso para los creadores de malware. Desde que el primer malware fue detectado en Android en 2010, Sophos tiene en su conocimiento más de 300 familias de aplicaciones maliciosas.

El primer semestre de 2013 las amenazas en Android crecieron un 180%.

De hecho, durante los seis primeros meses de 2013 las amenazas en Android crecieron un 180%, según datos de la compañía de seguridad G Data Security Labs. Siendo los troyanos el arma elegida en la mayoría de los casos.

Además, según afirma Sophos en su informe anual, los ataques en Android han alcanzado una mayor complejidad y madurez. Entre los más frecuentes se encuentra la creación de apps falsas que una vez instaladas en el dispositivo realizan el envío de mensajes a servicios de tarificación especial. Algunos virus como Mouabad son capaces incluso de realizar llamadas Premium, como te contamos recientemente. Otro tipo de aplicaciones maliciosas son capaces de espiar los SMS. Y en otros casos, los programas instalados en nuestro Android pueden realizar el seguimiento de nuestros dispositivos e, incluso, robar nuestros datos.

Malware en las plataformas móviles en junio 2013. McAfee

Malware en las plataformas móviles (junio, 2013). McAfee

Google se ha visto obligada este año a reforzar la seguridad en Android. La empresa con sede en Mountain View (California) ha trabajado duramente en el reconocimiento y la restricción de apps potencialmente no deseadas.

¿Qué hay de la seguridad en iPhone?

El sistema operativo de iPhone al igual que años anteriores no ha sido objetivo principal de los cibercriminales. Sin embargo, según un estudio realizado por la empresa HP el 90% de las aplicaciones para iOS presentan fallos de seguridad.

El sistema iOS tampoco es infalible. Hace pocos meses fue noticia la vulnerabilidad de iOS7 que permitía burlar la pantalla de bloqueo para acceder al centro de control y otras opciones del dispositivo.

Esto se explicaría de la siguiente forma. En palabras de Pedro García Villacañas, director técnico de Kaspersky Lab Iberia, "dejando a un lado las cifras, si nos centramos en el SO en sí mismo no hay grandes diferencias en cuanto a seguridad entre iOS y Android. La única es que Android está mucho más extendido y es abierto. Esto implica que cuando alguien desarrolle un software malicioso su primera opción sea la de la plataforma de Google, ya que en ella tendrá más posibilidades de llegar a más usuarios".

Cuota de mercado de las plataformas móviles a nivel mundial en 2012. Canalys

Cuota de mercado de las plataformas móviles a nivel mundial en 2012. Canalys

La web y los ataques de Apache Darkleech

Los servicios web también se han visto duramente golpeados por los criminales cibernéticos este año. Durante el segundo trimestre del año miles de sitios web fueron infectados por el malware Darkleech que se propagaba a través de servidores web Apache.

Darkleech es un exploit que realiza redirecciones maliciosas hacia un sitio web que lleva al kit de exploits Blackhole (BEK) como página de destino.

Finalmente, en octubre de este año el autor de este kit de exploits Blackhole (de alias, Paunch) fue arrestado en Rusia. Aunque ahí no acaba la historia, porque hay relevo. Así, este mismo año los kits de exploits Neutrino y Redkit han prevalecido sobre Blackhole.

¿Malware en Mac?
Malware en Mac

2013 no ha sido para Mac un año de grandes amenazas de seguridad. El sistema operativo de la manzana más bien ha recibido pequeños ataques (troyanos, exploits de vulnerabilidades de Java y Microsoft Word, scripts maliciosos de JavaScript y Python...) que están caracterizados por su modestia, su creatividad y su variedad.

Es por esto que muchos usuarios se cuestionan si es necesario un antivirus en Mac. Nunca está de más contar con alguna herramienta de protección, además como tomar otras medidas como desactivar Java en la medida de lo posible o mantener el sistema y los programas actualizados.

Los servidores Linux, un objetivo atractivo
Malware en Linux

El volumen de malware que afecta a Linux representa una pequeña fracción en comparación con el soportado en Windows y Android. Sin embargo, debido a lo extendida que está su tecnología de servidores usada en sitios web, en este aspecto Linux sí se ha convertido en un atractivo objetivo para los ciberdelincuentes.

La empresa de seguridad Sophos ha detectado en 2013 gran cantidad de scripts de PHP maliciosos, diseñados con el objetivo de convertir a servidores de Linux en nodos de botnets.

¿Qué nos depara 2014 en materia de seguridad?

Todas las grandes compañías de seguridad han lanzado durante este último mes sus previsiones de seguridad para 2014. Destacamos las realizadas por la empresa de seguridad alemana G Data, que efectúa cinco predicciones para 2014 a las que deberemos prestar atención:

  1. 1. Vigila tu smartphone para evitar que se convierta en zombie. La existencia de botnets de PCs es algo habitual, pero el próximo año crecerán las botnets de smartphones.
  2. 2. Mantente alerta con los servicios de almacenamiento en la nube, ya que son puerta de entrada del malware. Y no sólo para acceder a tu información personal sino también para lograr infectar tu equipo con software malicioso camuflado en imágenes, PDFs y otros documentos.
  3. 3. Cuidado con las campañas de malware que utilizarán el evento del Mundial de Fútbol de Brasil como gancho.
  4. 4. Estate atento a los dispositivos (televisores, a electrodomésticos, sistemas de calefacción, automóviles, etc.) que conectas a Internet. El "Internet de las cosas" será foco de atención de los estafadores.
  5. 5. ¡Alerta con la tecnología Cloud! Los ciberdelincuentes la emplearán para evitar la detección precoz de sus ataques y pillarte desprevenido.
Una tendencia ¿positiva?
Trending NO DATA

Después de un año marcado por la pérdida de la confianza y la falta de privacidad de los usuarios en Internet, se vislumbra un cambio de tendencia en el que las empresas se convierten al NO DATA.

En una encuesta realizada para Microsoft por GfK en Reino Unido:

El 93% de los usuarios asegura que querrían tener la opción de decidir si dar permiso o no para que escaneen sus emails para tener publicidad personalizada.

Serán estas empresas, capaces de ofrecer un gran servicio renunciando clara y orgullosamente a recopilar datos personales, las que consigan devolver la confianza al usuario. Al menos, ¡eso espero!

Fuentes: Sophos, Kaspersky, G Data, McAfee

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?