Llegamos a ustedes gracias a:



Reportajes y análisis

Incidentes de seguridad en el 2016: Lecciones aprendidas

[25/01/2017] Los incidentes cibernéticos dominaron los titulares en el 2016, desde el hacking de los correos electrónicos de los Demócratas por parte de Rusia, hasta las cámaras de Internet y DVRs que lanzaron ataques DDoS, dejándole a muchos la impresión de que nada debería serle confiado a la Internet.

Estos incidentes revelan fallas técnicas que pueden ser enfrentadas y el fracaso en el empleo de los procedimientos adecuados que podrían haber evitado que algunas de estos sucedieran.

La lección más importante es que la seguridad cibernética es una batalla perpetua en la cual ninguno de los lados obtiene una ventaja por mucho tiempo, y que requiere de autopsias constantes para descubrir las próximas medidas que mantendrán a salvo a los datos y a las comunicaciones.

Aquí daremos una mirada a siete de esos incidentes y qué lecciones nos dejaron.

El hack de DNC

El robo de los correos electrónicos del Comité Nacional Democrático no solo reveló información que hizo que muchos decidieran no votar por la candidata presidencial demócrata, Hillary Clinton, sino que demostró que Rusia estaba intentando influenciar las elecciones a favor del candidato republicano, Donald Trump.

El servicio de Inteligencia de Estados Unidos dice que la intrusión fue probablemente la obra de hackers rusos, posiblemente ligados a oficiales superiores de Kremlin, aunque esta opinión no es unánime. Trump disputa que Rusia haya tenido intervención alguna. El presidente Barack Obama ha solicitado un reporte del incidente antes de dejar la oficina en enero, pero es probable que la verdadera naturaleza e impacto de la irrupción no sea conocida en mucho tiempo, si es que llega a conocerse.

El caso indica la dificultad general de atribuir los ataques a determinados actores con una evidencia irrevocable. Los investigadores en proveedores de seguridad han atribuido este hecho a los grupos rusos Cozy Bear y Fancy Bear basándose en sus tácticas y métodos, pero eso no liga la intrusión al gobierno ruso de manera definitiva.

Lo que el incidente se demuestra es que los ataques motivados por política pueden ser efectivos y pueden llevarse a cabo sin dejar rastros.

El ataque expone la influencia que los estados internacionales pueden tener sobre las elecciones de otros países. En síntesis, los candidatos y sus partidos necesitan prestar más atención para mantener seguras sus redes si es que desean evitar este tipo de ataque en el futuro, sin importar quién sea el autor.

El ataque DDoS de Dyn

Este ataque DDoS masivo en contra del servicio DNS, Dyn, tuvo resultados más espectaculares de los que esperaban los propios perpetradores.

Fue resaltante por incluir a decenas de miles de dispositivos de la Internet de las cosas (IoT, por sus siglas en inglés) en una botnet que llevó a cabo la mayoría del ataque. Tres olas de tráfico impactaron a Dyn el 21 de octubre, centrándose en distintos centros de datos de Dyn.

El ataque se volvió más potente porque, cuando se inundaron los servidores de Dyn, las solicitudes de DNS fueron ignoradas el tiempo suficiente para que las máquinas solicitantes -bots y legítimas- enviaran solicitudes de seguimiento, constituyendo a la inundación de tráfico.

Debido a que Dyn servía a las direcciones clientes grandes -Amazon, Etsy, GitHub, Shopify, Twitter- el tráfico dirigido hacia ellos no pudo ser resuelto. Debido a que estas víctimas eran de alto perfil, a algunos les pareció como si la Internet estuviese averiada.

La lección para las empresas es duplicar o triplicar la cantidad de sus proveedores de DNS para que exista un respaldo en caso de que uno de ellos quede inoperativo. Deberían contemplar la posibilidad de disminuir las configuraciones de tiempo de vida en sus servidores DNS para que, cuando ataques como este ocurran, puedan redirigir el tráfico más rápido hacia los proveedores de DNS de respaldo.

Panama Papers

Unos ladrones robaron 2,6TB de datos de la firma de abogados panameña, Mossak Fonseca, haciendo que esta sea una de las principales intrusiones empezando por el volumen de información robada. A esto también se añade el hecho que de los datos incluían detalles de cómo 70 figuras políticas escondieron ingresos de los funcionarios en cuentas extranjeras, y su importancia es aún mayor.

El primer ministro de Islandia fue forzado a renunciar debido al escándalo, mientras que funcionarios en Reino Unido, Francia, Austria, Corea del Sur y Pakistán enfrentaron protestas públicas.

Se desconoce a los culpables, pero los investigadores que analizaron la red de la firma encontraron múltiples aplicaciones y plugins que no fueron actualizados y contenían vulnerabilidades. Los arquitectos de red no emplearon un privilegio menor para los administradores, así que la intrusión en solo un set de credenciales podía exponer a más sistemas de los que hubiesen sido posibles, si es que los administradores hubiesen tenido acceso al número mínimo de sistemas para hacer sus trabajos.

El hack de Yahoo

Cuando Yahoo anunció el 22 de setiembre que 500 millones de sus cuentas habían sido víctimas de hackers, esto significó el hack más grande de este tipo. Después se hizo público que el ataque verdadero ocurrió en el 2014, elevando a este incidente al mundo de lo increíble.

Más allá de los efectos no medibles de la vulnerabilidad de esa cantidad de cuentas durante todo ese tiempo, la irrupción perturbó la venta de 4,8 mil millones de dólares de Yahoo a Verizon. Aún no ha procedido y se especula que Verizon quiere pagar mil millones de dólares menos debido que la intrusión afecta el valor de Yahoo.

El fiasco entero trae una lección para los consumidores: use contraseñas fuertes y únicas para todas las cuentas y cámbielas regularmente.

También sirve de lección para los negocios y otras entidades que podrían tener que explicar una intrusión algún día -salga al frente del problema y sea abierto con los hechos respecto a cómo sucedió y que se está haciendo para solucionarlo. Asimismo -y esto es difícil de especificar- deberían emplear plataformas de detección que exponen más rápidamente a estas intrusiones.

La fuga de las NSA de Shadow Brokers

Shadow Brokers, un grupo de hackers de membresía incierta, trató de vender lo que describió como herramientas de hacking robadas de una organización igual de misteriosa llamada Equation Group.

La importancia radica en que Equation Group podría tener lazos con la NSA, y Shadow Brokers podría tener lazos con Rusia. Una teoría sostiene que Rusia expuso las supuestas herramientas de la NSA como medio para avergonzar a la NSA y debilitar cualquier respuesta que Estados Unidos pudiese iniciar en contra de Rusia por su supuesta intervención en el Comité Nacional Demócrata.

La venta publicitada de las herramientas podría haber sido una estrategia para darle más atención a la historia y un mayor impacto en contra de la NSA.

Resulta que las herramientas, que funcionan en contra de dispositivos específicos fabricados por proveedores específicos, tenían años de antigüedad, y puede que éstas hayan sido obtenidas de un solo servidor de la NSA en el cual operativos descuidados las habían dejado.

La importancia es que parece que un grupo ruso irrumpió en un servidor de la NSA para capturar herramientas de espionaje cibernético.

Hack de bitcoin de 65 millones de dólares

Bitfinex, la plataforma de comercio bitcoin, fue víctima de un robo valorizado en casi 120 mil bitcoins el 2 de agosto, un ataque que quebrantó la arquitectura de tres niveles e intercambio de llaves supuestamente impregnable.

El ataque fue el tercer robo de bitcoins más grande, pero Bitfinex es la plataforma más grande para convertir bitcoins a dólares americanos, así que fue algo bastante notorio. Bitfinex esparció la pérdida en todas las cuentas de sus clientes -una disminución del 36% del valor de cada cuenta.

Más allá de eso, el intercambio estaba usando una autentificación compleja que requería dos factores, uno sostenido por Bitfinex y otro por su socio de seguridad, BitGo. Supuestamente debía ser bastante seguro. Comprometer a ambas compañías sería requerido si es que los ladrones quisiesen robar fondos, dijo la compañía cuando desarrolló este procedimiento. BitGo dice que su sistema no fue afectado.

La lección es que incluso los intercambios de bitcoins más sofisticados son susceptibles a las intrusiones y los individuos y organizaciones que los estén empleando deberían tomar pasos para minimizar su exposición.

Ransomware versus salud

En el 2016, docenas de incidentes de ransomware se perpetraron en contra de instituciones de salud, revelando lo fácil y lucrativo que se ha vuelto el ransomware como negocio, así como la manera en que los criminales rebajarán a la hora de escoger víctimas.

Muchos proveedores de salud que fueron afectados no tenían medios de respaldo para recuperarse rápidamente de los ataques, por lo que terminaron pagando el rescate. Más de uno que pagó fue afectado nuevamente por el mismo criminal que regresó a morder la manzana por segunda vez.

Es probable que estos incidentes continúen, siempre y cuando sea relativamente sencillo infectar a una víctima y extorsionarla. El ransomware como un servicio está despegando en el submundo de la Internet, haciendo que sea una amenaza para clientes y corporaciones grandes.

El aumento de estos ataques debería servir como advertencia de que los negocios en cualquier campo deberían tener respaldos seguros y confiables que puedan recuperar máquinas que han sido codificadas por el ransomware. Y deberían tener sistemas que detectan estas infecciones temprano para que puedan ser aisladas para minimizar el daño que hacen.