Desde atracos a bancos virtuales hasta los ataques semiabiertos de Estados nacionales, los dos últimos años han sido duros para la seguridad informática. He aquí algunos de los principales ciberataques recientes y lo que podemos aprender de ellos.
Definición de ciberataque
En pocas palabras, un ciberataque es un ataque lanzado desde uno o más ordenadores contra otro ordenador, varios ordenadores o redes. Los ciberataques pueden dividirse en dos grandes tipos: ataques cuyo objetivo es inutilizar el ordenador o dejarlo fuera de servicio, o ataques cuyo objetivo es acceder a los datos del ordenador y quizás obtener privilegios de administrador en él.
8 tipos de ciberataque
Para lograr esos objetivos de obtener acceso o inutilizar las operaciones, los ciberdelincuentes despliegan una serie de métodos técnicos diferentes. Siempre hay nuevos métodos que proliferan, y algunas de estas categorías se solapan, pero estos son los términos más populares.
1. Malware - Abreviatura de software malicioso, el malware puede referirse a cualquier tipo de software, sin importar cómo esté estructurado o funcione, que "está diseñado para causar daños a un solo ordenador, servidor o red informática", como dice Microsoft. Los gusanos, los virus y los troyanos son variedades de malware, que se distinguen entre sí por los medios que utilizan para reproducirse y propagarse. Estos ataques pueden inutilizar el ordenador o la red, o conceder al atacante acceso de raíz para que pueda controlar el sistema de forma remota.
2. Phishing - El phishing es una técnica mediante la cual los ciberdelincuentes elaboran mensajes de correo electrónico para engañar a un destinatario para que realice alguna acción perjudicial. El destinatario puede ser engañado para que descargue un malware disfrazado de documento importante, por ejemplo, o se le insta a hacer clic en un enlace que le lleva a un sitio web falso en el que se le pedirá información sensible, como nombres de usuario y contraseñas bancarias. Muchos correos electrónicos de phishing son relativamente burdos y se envían a miles de víctimas potenciales, pero algunos se elaboran específicamente para personas valiosas con el fin de conseguir que se desprendan de información útil.
3. Ransomware — El ransomware es una forma de malware que cifra los archivos de la víctima. A continuación, el atacante pide un rescate a la víctima para restaurar el acceso a los datos previo pago. A los usuarios se les muestran instrucciones sobre cómo pagar una cuota para obtener la clave de descifrado. El coste puede oscilar entre unos pocos cientos de dólares y miles, y suele pagarse a los ciberdelincuentes en cibermoneda.
4. Negación de servicio - Un ataque de negación de servicio es un método de fuerza bruta para intentar que algún servicio en línea deje de funcionar correctamente. Por ejemplo, los atacantes pueden enviar tanto tráfico a un sitio web o tantas peticiones a una base de datos que sobrecargan la capacidad de funcionamiento de esos sistemas, haciendo que no estén disponibles para nadie. Un ataque de denegación de servicio distribuido (DDoS) utiliza un ejército de ordenadores, normalmente comprometidos por malware y bajo el control de los ciberdelincuentes, para canalizar el tráfico hacia los objetivos.
5. Hombre en el medio - Un ataque de hombre en el medio (Man In The Middle) es un método por el que los atacantes consiguen interponerse secretamente entre el usuario y un servicio web al que intentan acceder. Por ejemplo, un atacante puede configurar una red Wi-Fi con una pantalla de inicio de sesión diseñada para imitar la red de un hotel; una vez que el usuario se conecta, el atacante puede recoger cualquier información que el usuario envíe, incluidas las contraseñas bancarias.
6. Cryptojacking - El cryptojacking es un ataque especializado que consiste en conseguir que el ordenador de otra persona haga el trabajo de generar criptodivisas por ti (un proceso llamado minería en la jerga de las criptomonedas). Los atacantes instalan un malware en el ordenador de la víctima para realizar los cálculos necesarios, o a veces ejecutan el código en JavaScript que se ejecuta en el navegador de la víctima.
7. Inyección SQL - La inyección SQL es un medio por el cual un atacante puede explotar una vulnerabilidad para tomar el control de la base de datos de una víctima. Muchas bases de datos están diseñadas para obedecer comandos escritos en el lenguaje de consulta estructurado (SQL), y muchos sitios web que toman información de los usuarios envían esos datos a bases de datos SQL. En un ataque de inyección SQL, un hacker escribirá, por ejemplo, algunos comandos SQL en un formulario web que pida información sobre el nombre y la dirección; si el sitio web y la base de datos no están programados correctamente, la base de datos podría intentar ejecutar esos comandos.
8. Explotaciones de día cero - Los días cero son vulnerabilidades en el software que aún no han sido corregidas. El nombre surge porque una vez que se publica un parche, cada día representa menos ordenadores abiertos al ataque a medida que los usuarios descargan sus actualizaciones de seguridad. Las técnicas para explotar estas vulnerabilidades suelen comprarse y venderse en la dark web, y a veces son descubiertas por organismos gubernamentales que, de forma controvertida, pueden utilizarlas para sus propios fines de piratería informática, en lugar de divulgar información sobre ellas para el beneficio común.
Ciberataques recientes importantes
Los ciberataques de la siguiente lista han tenido mucha repercusión por varias razones: porque se han extendido a otros ataques, o porque han sido señales de una tendencia más amplia y aterradora, y que podemos aprender de ellos:
La brecha de Capital One
En julio de 2019, el gigante de la banca online Capital One se dio cuenta de que sus datos habían sido hackeados. Cientos de miles de solicitudes de tarjetas de crédito, que incluían información de identificación personal como fechas de nacimiento y números de la Seguridad Social, quedaron expuestos. No se robaron números de cuentas bancarias, pero la magnitud de la situación era extremadamente preocupante. Las cosas siguieron el guión habitual, con Capital One reparando con vergüenza y ofreciendo un control de crédito a los afectados.
Pero entonces las cosas dieron un giro inusual. Los datos robados nunca aparecieron en la dark web, ni el hackeo parecía una operación de espionaje chino como las violaciones de Equifax y Marriott. De hecho, el ataque fue perpetrado por una estadounidense llamada Paige Thompson, alias Erratic. Thompson había trabajado anteriormente para Amazon, lo que le dio los antecedentes necesarios para reconocer que el servidor AWS de Capitol One había sido mal configurado de tal manera que lo dejaba bastante vulnerable. Al principio parecía que el robo de datos por parte de Thompson se ajustaba a la tradición del hacking de sombrero blanco y de la investigación de seguridad: apenas intentó ocultar lo que hacía, nunca trató de sacar provecho de los datos y, de hecho, fue descubierta porque publicó una lista de los directorios violados de Capital One -pero no los datos reales- en su página de GitHub. Pero los intentos de entender su motivación tras su detención fueron cada vez más difíciles, y es posible que fuera, fiel a su apodo elegido, errática, si no que estuviera atravesando una grave crisis de salud mental.
El ransomware de The Weather Channel
Puede que el Canal del Clima no parezca una pieza crucial de la infraestructura, pero para muchas personas es un salvavidas, y en abril de 2019, durante un tramo de tornados en el sur de Estados Unidos, mucha gente lo sintonizaba. Un jueves por la mañana, el canal dejó de emitir en directo durante casi 90 minutos, algo casi inédito en el mundo de la televisión abierta.
Resulta que The Weather Channel había sido víctima de un ataque de ransomware, y aunque no se ha confirmado el vector del ataque, se rumorea que fue a través de un ataque de phishing, una de las causas más comunes de infección de ransomware. El ataque demostró que la frontera entre "televisión" e "Internet" ha sido más o menos borrada, ya que cualquier operación televisiva como The Weather Channel dependería totalmente de los servicios basados en Internet para funcionar. También demostró una forma de vencer al ransomware. The Weather Channel no entregó ningún bitcoin, sino que tenía buenas copias de seguridad de los servidores afectados y pudo volver a estar en línea en menos de dos horas.
Aduanas y Protección de Fronteras de EE.UU./Perceptics
El ataque no fue, por desgracia, tan inusual: un pirata informático penetra en los servidores de una empresa, obtiene acceso a datos sensibles y luego pide un rescate. Cuando los ejecutivos no pagan, el material empieza a encontrar su camino hacia la dark web para su venta, donde se reconoce su importancia.
Los datos resultaron ser muy importantes: fueron robados de la agencia de Aduanas y Protección de Fronteras de Estados Unidos (CBP), y la ironía de que la agencia dedicada a proteger las fronteras de Estados Unidos no pudiera proteger sus propios datos no se le escapó a nadie. De hecho, gran parte de la culpa recayó en Perceptics, un contratista que suministra todos los escáneres de matrículas a la agencia fronteriza, así como a una serie de otros departamentos gubernamentales estadounidenses y canadienses. Las fotos robadas de coches y conductores habían sido copiadas de los ordenadores de la CBP a los servidores de Perceptics, en violación de la política gubernamental; Perceptics fue entonces hackeada, y los datos publicados por el atacante "Boris Bullet-Dodger" cuando las negociaciones de rescate con los ejecutivos fracasaron. El caso puso en tela de juicio las relaciones entre el gobierno y los contratistas y la conveniencia de permitir la recogida de datos biométricos. Aunque la relación de Perceptics con el CBP se suspendió a raíz del ataque, el gobierno finalmente aceptó seguir haciendo negocios con la empresa.
Violación de Citrix
Cuando una organización que sufre un ataque está en el negocio de la ciberseguridad, eso es suficiente para poner nervioso a todo el mundo, pero también es una historia de advertencia sobre cómo incluso los proveedores de seguridad pueden tener dificultades para establecer una mentalidad de seguridad internamente.
Citrix e una empresa que fabrica redes privadas virtuales (VPN), que ayudan a proteger millones de conexiones a Internet, y tiene amplias relaciones con el gobierno de Estados Unidos. Sin embargo, fue víctima de un ataque de "pulverización de contraseñas" en marzo de 2019 -esencialmente, un ataque en el que un hacker intenta obtener acceso a un sistema a través de la fuerza bruta, intentando iniciar sesión rápidamente con contraseñas simples y de uso frecuente (por ejemplo "contraseña123" y similares). Con toda probabilidad, el ataque provino de un grupo asociado al gobierno iraní. Afortunadamente, los atacantes no llegaron muy lejos en los sistemas de Citrix, pero la empresa prometió renovar su cultura de seguridad interna.
Ataques de ransomware en Texas
En agosto de 2019, los sistemas informáticos de 22 pequeñas ciudades de Texas quedaron inutilizados por un ransomware, dejando a sus gobiernos sin poder prestar servicios básicos como la emisión de certificados de nacimiento o de defunción. ¿Cómo logró un solo atacante, usando el ransomware REvil/Sodinokibi, golpear a tantos pueblos diferentes? Había solo un punto débil: un proveedor de TI que prestaba servicios a todos estos municipios, todos ellos demasiado pequeños para mantener un personal de TI a tiempo completo.
Pero si ese tipo de acción colectiva abría un punto débil, también había un poder en la colaboración. En lugar de ceder y pagar el rescate de 2,5 millones de dólares exigido, los municipios se asociaron con el Departamento de Recursos de Información del gobierno de Texas. La agencia dirigió un esfuerzo de remediación que hizo que las ciudades volvieran a funcionar en semanas, en contraste con lugares como Baltimore, donde los sistemas estuvieron fuera de servicio durante meses.
WannaCry
WannaCry fue un ataque de ransomware que se extendió rápidamente en mayo de 2017. Como todo ransomware, se apoderó de los ordenadores infectados y encriptó el contenido de sus discos duros, para luego exigir un pago en Bitcoin con el fin de descifrarlos. El malware arraigó especialmente en los ordenadores de las instalaciones gestionadas por el NHS del Reino Unido.
Sin embargo, el malware no es nada nuevo. Lo que hizo que WannaCry fuera significativo y aterrador fue el medio que utilizó para propagarse: explotó una vulnerabilidad en Microsoft Windows utilizando un código que había sido desarrollado en secreto por la Agencia de Seguridad Nacional de Estados Unidos. Llamado EternalBlue, el exploit había sido robado y filtrado por un grupo de hackers llamado Shadow Brokers. Microsoft ya había parcheado la vulnerabilidad unas semanas antes, pero muchos sistemas no se habían actualizado. Microsoft se enfureció porque el gobierno de Estados Unidos había construido un arma para explotar la vulnerabilidad en lugar de compartir la información sobre el fallo con la comunidad de infoseguridad.
NotPetya
Petya era un ransomware más cuando empezó a circular a través de spam de phishing en 2016; su principal reclamo para la fama era que encriptaba el registro de arranque maestro de las máquinas infectadas, lo que dificultaba endiabladamente el acceso de los usuarios a sus archivos.
Luego, de forma abrupta, en junio de 2017, una versión mucho más virulenta del malware comenzó a propagarse. Era lo suficientemente diferente de la original como para ser apodada NotPetya; originalmente se propagó a través de un software de contabilidad ucraniano comprometido y se extendió a través del mismo exploit EternalBlue que utilizó WannaCry. Se cree que NotPetya es un ciberataque de Rusia contra Ucrania, aunque Rusia lo niega, lo que abre una posible era de estados que utilizan malware armado.
Ethereum
Ether es una criptomoneda del tipo Bitcoin, y 7,4 millones de dólares en Ether fueron robados de la plataforma de aplicaciones Ethereum en cuestión de minutos en julio. Después, apenas unas semanas más tarde, se produjo un robo de 32 millones de dólares. Todo el incidente suscitó dudas sobre la seguridad de las monedas basadas en blockchain.
Equifax
La enorme agencia de calificación crediticia anunció en julio de 2017 que "los delincuentes explotaron una vulnerabilidad de la aplicación del sitio web de Estados Unidos para acceder a ciertos archivos", obteniendo información personal de casi 150 millones de personas. Las consecuencias posteriores enfurecieron aún más a la gente, sobre todo cuando el sitio que Equifax habilitó para que la gente pudiera ver si su información había sido comprometida parecía diseñado principalmente para vender servicios de Equifax.
La filtración de Equifax fue especialmente grave porque ya se les había informado de la solución -que debía implementarse en una herramienta llamada Apache Struts que utilizan- mucho antes de que se produjera la filtración. Y, sin embargo, no lo hicieron a tiempo. Para evitar que se produzcan este tipo de infracciones es necesario un cambio de cultura y de recursos; no se trataba de una cuestión técnica, ya que la solución técnica ya se conocía. Equifax disponía ciertamente de los recursos, pero es evidente que no tenía la cultura adecuada para garantizar que se aplicaran y siguieran los procesos correctos.
GitHub
El 28 de febrero de 2018, el servicio de alojamiento de control de versiones GitHub sufrió un ataque masivo de denegación de servicio, con 1,35 TB por segundo de tráfico golpeando el popular sitio. Aunque GitHub solo quedó fuera de servicio de forma intermitente y logró superar el ataque por completo después de menos de 20 minutos, la gran escala del ataque fue preocupante; superó el enorme ataque a Dyn a finales de 2016, que alcanzó un pico de 1,2 TB por segundo.
Más preocupante aún fue la infraestructura que impulsó el ataque. Mientras que el ataque a Dyn fue producto de la red de bots Mirai, que requirió de malware para infestar miles de dispositivos IoT, el ataque a GitHub explotó servidores que ejecutaban el sistema de almacenamiento en caché de memoria Memcached, que puede devolver trozos muy grandes de datos en respuesta a simples solicitudes.
Memcached está pensado para ser utilizado sólo en servidores protegidos que se ejecutan en redes internas, y por lo general tiene poca seguridad para evitar que los atacantes maliciosos suplanten las direcciones IP y envíen enormes cantidades de datos a víctimas desprevenidas. Desgraciadamente, miles de servidores Memcached se encuentran en la Internet abierta, y se ha producido un enorme aumento de su uso en los ataques DDoS. Decir que los servidores están "secuestrados" no es justo, ya que enviarán alegremente paquetes a donde se les indique sin hacer preguntas.
Apenas unos días después del ataque a GitHub, otro ataque DDoS basado en Memecached golpeó a un proveedor de servicios estadounidense no identificado con 1,7 TB por segundo de datos.
Estadísticas de ciberataques
Para entender lo que está pasando en el turbio mundo de la ciberdelincuencia, entender las cifras puede dar una idea real de lo que está pasando ahí fuera. Por ejemplo, nos hemos vuelto bastante insensibles a las constantes historias de violaciones de información de identificación personal, pero en conjunto las cantidades son realmente asombrosas: solo en la primera mitad de 2019, se expusieron 4.100 millones de registros.
Verizon, que publica un informe detallado sobre las violaciones de datos cada año, ayudó a desglosar quiénes fueron las víctimas y los autores en 2019. Según su estimación, un 34% de las violaciones fueron trabajos internos, el 39% fueron perpetradas por el crimen organizado y el 23% por actores estatales. Y en lo que respecta a las víctimas, la categoría más numerosa fue, con diferencia, la de las pequeñas empresas, que se llevaron la peor parte en el 43% de los ataques.
Los costes también son asombrosos. Solo el ransomware costó 8.000 millones de dólares en 2018; curiosamente, solo 1.000 millones de esa cantidad consisten en el pago de rescates, mientras que el resto toma la forma de pérdida de ingresos y daños a la reputación de la empresa por el tiempo de inactividad. Otros tipos de ciberdelitos también pasan factura. Radware estimó que un ciberataque a una gran empresa acabaría costando 1,7 millones de dólares en 2019. Para las pequeñas empresas el coste es menor -solo 86.000 dólares-, pero eso puede seguir siendo devastador para una empresa sin muchas reservas.
Prevención de ciberataques
En TKS queremos que te sientas seguro ante cualquier ataque por eso te dejamos este articulo para que puedas informarte y prevenir sobre los ciberataques:
Fuente: CSO
Comments