Llegamos a ustedes gracias a:



Evento

El ecosistema del cibercrimen

[07/09/2011] La seguridad es un tema que siempre mantiene su vigencia. Desafortunadamente, todos los días aparecen nuevas amenazas en el ámbito informático contra las cuales las personas y las organizaciones deben defenderse. Y este es el motivo por el que la industria de la seguridad tecnológica lleva a cabo reuniones para compartir experiencias y dar a conocer los nuevos escenarios de amenazas y seguridad que se van creando cotidianamente. La Cumbre Iberoamericana de Analistas 2011 de Kaspersky, llevada a cabo en la Riviera Maya, en México, fue de las más recientes y, por supuesto, CIO Perú estuvo ahí.
El evento, que se desarrolló el viernes 26 y sábado 27 de agosto, estuvo colmado de información de primera mano sobre las actuales dificultades en materia de seguridad que tenemos que afrontar todos los días. Garry Kondakov, vicepresidente ejecutivo de Mercados Emergentes de Kaspersky fue uno de los presentes, junto al jefe del Equipo de Investigación y Análisis para América Latina, Dmitry Bestuzhev.
También fueron parte de las presentaciones los analistas de malware Jorge Mieres, Vicente Díaz, y Fabio Assolini, quienes se encargaron de tocar desde diferentes temas el escenario de seguridad en la región; Al Ochoa y Jesús Calle, director general de Kaspersky para América Latina, e ingeniero de Sistemas de la Región Andina Centroamérica y el Caribe de Kaspersky, respectivamente, fueron los encargados de mostrar, al final del evento, el nuevo Kaspersky Internet Security 2012.
El cibercrimen en Iberoamérica
Luego de las palabras de bienvenida de Garry Kondakov se realizó la primera exposición del día. Dmitry Bestuzhev fue el encargado de desarrollar el tema El ecosistema del cibercrimen iberoamericano.
Bestuzhev comenzó explicando que el grado en el que el cibercrimen ha penetrado el mundo es alto. Una prueba de ello es que incluso los países más pequeños del mundo han sido objeto de ataques cibernéticos. Mónaco es el segundo país más pequeño del mundo, luego del Vaticano, y a pesar de ello ha sufrido un incremento de 670% entre el 2009 y 2010 en la cantidad de ataques cibernéticos.
¿Qué se puede esperar de los otros países? En América Latina, entre el 2009 y agosto del 2011hemos tenido un incremento de 490%, aunque esta cifra evidentemente se verá superada para fin de año.
Obviamente, la motivación de todos estos ataques es el dinero. Y es una motivación tan grande que incluso, señala el analista, se ha detectado que hay profesionales de la informática que han pasado a trabajar a tiempo completo en la creación de malware. Por ello se detectan más de 50 mil nuevos virus todos los días.
Bestuzhev señaló también que en el pasado, el sistema que sustentaba los ataques era bastante simple. Había un cibercriminal, una víctima y un virus de por medio. El virus recogía información que era enviada al cibercriminal, quien luego la utilizaba para apropiarse del dinero de la víctima. Posteriormente, el cibercriminal hacía uso de ese dinero.
En la actualidad ese esquema es obsoleto. Ahora es sencillo seguir la pista del dinero y los criminales lo saben y por ello han pasado a un nuevo ecosistema. El ecosistema actual está compuesto por seis elementos básicos: desarrolladores de malware, criminales cibernéticos, víctimas, revendedores, mulas de lavado de dinero, y otros criminales.
Los primeros no se sienten a sí mismos como criminales pues solo desarrollan software que luego venden, obviamente, a otros cibercriminales. Los segundos, con el malware desarrollado por los primeros, lanzan ataques y obtienen el dinero de sus víctimas, y al obtenerlo, a su vez, lo entregan a los revendedores. Éstos lo venden a otros cibercriminales, que tampoco utilizan el dinero directamente sino que acuden a las mulas -que ganan de 5% a 15%- quienes se encargan de lavar el dinero y devolvérselo al criminal final.
Las mulas reciben depósitos en sus cuentas que luego retiran para depositarlos a través de servicios de remesas de dinero a bancos en paraísos financieros. El criminal luego va a estos paraísos financieros retira el dinero en efectivo -menos de 10 mil dólares- y se marcha.
Hacer el seguimiento de este dinero sí que es difícil, sostuvo Bestuzhev.
Pero eso no es todo. Incluso este sistema, plagado de delincuentes, podía sufrir el ataque de otros delincuentes que buscan estafarlos. Así, aparecieron falsos revendedores ofreciendo información sobre tarjetas de crédito que nunca entregaban o que era falsa. Eso obligó a los cibercriminales a cuidarse de sus malos colegas introduciendo un séptimo elemento en el ecosistema: el intermediario. Una persona que garantiza las transacciones.
Este personaje se encuentra encargado de confirmar la autenticidad de la información que circula en estas redes criminales -por ejemplo, de tarjetas de crédito- y garantizar la transacción. Ello dio lugar a la aparición de listas de cibercriminales honestos (verified vender) y de sus contrapartes deshonestas (rippers).
Haciendo un ejercicio de cálculo, el ejecutivo señaló que un cibercriminal mayorista podría ganar unos 887 dólares por atacar a un usuario iberoamericano típico, invirtiendo 150 dólares por la compra de una botnet. Pero si se toma en cuenta que una botnet tiene unas seis mil víctimas, se puede llegar a una ganancia de cinco millones de dólares, en una semana.
¿De dónde provienen los ataques? De acuerdo a las estadísticas de Bestuzhev la web es el principal vector de ataque, con un 50% de los casos, seguido de fuentes mixtas (42%) y los USB (8%).
Los viejos virus
La segunda presentación del día fue la realizada por Jorge Mieres, quien desarrolló el tema Viejos virus, viejos problemas actuales.
En su exposición sostuvo que una de las piezas fundamentales de los ciberdelitos es el propio malware. Lo interesante del caso iberoamericano es que en la región aún siguen causando daño malwares que ya tienen unos buenos años encima. Uno de ellos es Conficker.
Como se recordará, este código malicioso apareció el 25 de noviembre del 2008 haciendo colapsar a muchas redes alrededor del mundo y ganando protagonismo mediático. Esos sucesos llamaron la atención sobre el tema del malware entre el gran público, pero definitivamente no fue el primer gran malware en atacar.
En el 2001, hizo su aparición CodeRed, en el 2003 Lovesan, en el 2005 Zotob, en el 2008 Gimmiv y Conficker, y en el 2010 el famoso Stuxnet.
Mieres sostuvo que la llegada de este tipo de amenazas, de alguna manera, ya se encontraba anticipada pues la propia Microsoft llamaba la atención sobre la posibilidad de que la vulnerabilidad MS08-067 de los sistemas operativos pudiera ser utilizada para permitir la ejecución remota de código, es decir, de un gusano.
Y de hecho eso fue lo que hizo Conficker, aprovechaba esta vulnerabilidad y logró colapsar redes en todo el mundo. Iberoamérica no escapó a esta tendencia e inclusive en la actualidad muchos países de la región aún se encuentran siendo objetos de ataques de alguna variación del Kido, el otro nombre con el que se conoce a Conficker.
Mieres mostró una lámina en donde se podía apreciar que en el Perú, el net-worm.win32.kido.ih .una variante del Kido. representa el 61,11% de los malwares encontrados. Estamos bajo el fuego de Conficker, comentó el analista, señalando que la tendencia se repite en España y Portugal, aunque las variantes del Kido o Conficker -que ya son más de 400- ocupan en estos países el segundo y tercer lugar, respectivamente.
¿Por qué tasas tan altas de Conficker? Uno de los motivos es que de cada tres sistemas operativos en Iberoamérica -en realidad, a nivel global- dos son no licenciados, es decir, ilegales. Esto a su vez se refleja en el hecho de que más del 60% de las pymes considera que el código malicioso es su principal problema de seguridad, y que el 68% de éstas han tenido incidentes por malware.
Ciertamente, las tasas de piratería se han reducido en todo el mundo, pero aún las tasas de infección siguen siendo altas, esto significa que hay otro factor: los USB. De hecho la variante de Kido que se encuentra en el primer lugar en América Latina es una que se propaga a través de los USB; además, el analista aclaró que por USB no hay que considerar solo a los llamados pen drives, sino a todos los medios que se conectan a la PC a través de un puerto USB.
El desconocimiento de estos hecho también es otro factor que ayuda a la preeminencia de este tipo de amenazas. Por tanto se tiene que producir un proceso de concientización en empresas y hogares para el control del uso de los dispositivos USB.
Y, por supuesto, otra de las puertas abiertas para el ingreso de malware es Facebook. Un simple mensaje en donde se ofrece un video puede ser el engaño.
El nuevo malware
La tercera presentación fue la desarrollada por Vicente Díaz: Peligros en la vida digital. Díaz se ocupó de perfilar cuáles serían los factores que intervienen en la aparición de las siguientes amenazas que podrían hacer peligrar nuestra seguridad en el futuro. Estos factores fueron agrupados por el investigador en tres grupos: el trabajo, el estilo de vida, y los gadgets.
El trabajo ha cambiado mucho, TI se ha introducido en el trabajo y será cada vez más importante. El problema de introducir la tecnología en el trabajo es que aumenta la complejidad de éste. Una prueba de ello es que casi es imposible, en un entorno empresarial, saber qué está haciendo cada uno de los empleados, o identificar si lo que hacen pone en peligro el entorno en el que están trabajando.
Esto se agudiza aún más si se toma en cuenta que las medidas que se toman en torno a la seguridad se basan en viejos paradigmas que en la actualidad no funcionan. Incluso algunas empresas tienen paradigmas tan obsoletos como el considerar que Internet es algo malo, que debe ser apartado de los datos de la empresa por su seguridad, mediante un firewall. Algo que evidentemente ya no es posible si se toma en cuenta los diversos canales con los que cuenta ahora una empresa: Wi-Fi, móviles, USB, nubes, etc.
En el estilo de vida digital también hemos cambiado. Ya no usamos enciclopedias, o agendas de papel, y no podemos estar una semana sin utilizar el correo electrónico. Por otro lado, la cantidad de tiempo asignada al trabajo es mayor, e incluso ambos tipos de tiempo se entremezclan, como resultado ya no salimos del trabajo. Ahora nos llevamos el trabajo a casa, e incluso la laptop (del trabajo) a casa, un lugar en donde la máquina ya no se encuentra dentro del entorno seguro creado para darle seguridad a la información que lleva dentro.
También nos encontramos siempre conectados a través de las redes sociales. Y con ello se configura un entorno inseguro, en donde los llamados ataques dirigidos pueden golpearnos.
Este tipo de ataques buscan información de los trabajadores de una empresa a través de las redes sociales, en donde ellos mismos han publicado la información. Con los datos adecuados, luego se les puede enviar un malware que permite a los cibercriminales acceder a la empresa. Díaz sostiene así que los cibercriminales buscan atacar al eslabón más débil de la empresa, los usuarios, para acceder a la información de la compañía, o también a los propios bienes de los usuarios.
El tercer factor son los dispositivos. Dentro de este campo, lo smartphones tienen un uso muy amplio que no solo se reduce a las tareas del trabajo sino que incluso abarca el ocio personal. El problema con los teléfonos móviles inteligentes es que ya incluso para ellos ha aparecido malware. Este malware se posiciona en los markets de aplicaciones como software legítimo para acceder al dispositivo del usuario. Las tablets también tienen una creciente penetración del mercado y comparten los mismos problemas que los teléfonos inteligentes.
Sin embargo, otro dispositivo importante, al cual realmente no se le presta mucha atención, es el router. Este dispositivo es la puerta que nos da acceso a Internet pero si se encuentra infectado, nos puede dirigir hacia otra máquina o puede hacer que nuestro tráfico pase por un servidor malicioso.
Otro grupo de dispositivos también poco defendidos son los que se encuentran en los autos. Éstos pueden quedar infectados ya que tienen componentes que se basan en sistemas operativos comunes, como el Android, y poner enserio riesgo a las personas, pues el vehículo puede sufrir de algún funcionamiento inadecuado cuando nos encontramos conduciéndolo.
Tenemos que cambiar nuestra forma de pensar y darnos cuenta que las amenazas pueden llegar por cualquiera de estos nuevos medios, finalizó Díaz.
El nuevo Kaspersky
Luego de la presentación de Fabio Assolini, en la que se desarrolló el tema del crimen cibernético brasileño bajo una informativa charla titula Profesión Raúl (nombre que utilizan los cibercriminales para designar a aquellos brasileños que viven de robar la banca en línea, la clonación de tarjetas de crédito y huyen de la policía, la Raulzada), fue el turno de Al Ochoa y Jesús Calle quienes presentaron el nuevo Kaspersky Internet Security 2012.
Los ejecutivos sostuvieron que las amenazas crecen continuamente. Cada día se reportan más de 35 mil amenazas, se generan más de 3.500 firmas nuevas, se envían más de 30 millones de mensajes spam y se bloquean 200 millones de ataques de red. Ante un entorno tan complicado, el enfoque que ha adoptado Kaspersky es optar por una solución híbrida, que aproveche los mejor de los dos mundos: la nube y la propia PC.
El resultado es obviamente la nueva versión de su software de seguridad, que en su nivel más alto se denomina Internet Security 2012.
El sistema por un lado aprovecha la ventaja de trabajar en la nube, es decir, ofrece respuestas en tiempo real a amenazas identificadas, tiene conexión con la red Kaspersky Security Network y es escalable indefinidamente, además de reducir los requisitos para la descarga de una actualización.
Por otro lado, el sistema también aprovecha las ventajas de una tecnología basada en el equipo, a saber, detecta y analiza las acciones que se llevan a cabo en el equipo, identifica virus que cambian de equipo en equipo, captura todo el software malicioso y no solo el basado en Internet, funciona cuando no está conectado a Internet pero sí a un USB, teléfono o disco, y trata y revierte el software malicioso.
Los resultados de este enfoque han sido muy positivos de acuerdo a AV-Test.org. El Kaspersky 2012 tiene una tasa de detección de software malicioso -descubierto en los últimos tres meses- de 99,4%; una eliminación de muestras de software malicioso activo de 100%; una eliminación de muestras de rootkit activo de 94,4%; y un bloqueo de nuevas amenazas por Internet de 94,6%.
La reunión fue realmente todo un día lleno de información, del cual les hemos presentado en estas líneas solo una parte. En los videos que acompañan a esta nota podrán ver en forma directa los detalles de las exposiciones principales y lo que significó estar presente en este evento.
Franca Cavassa, CIO Perú