Llegamos a ustedes gracias a:



Reportajes y análisis

La cumbre de Kaspersky: Nuevas amenazas en nuevos entornos

[02/09/2019] El 28 y 29 de agosto pasados se realizó en la ciudad de Puerto de Iguazú, Argentina, la novena edición de la Cumbre Latinoamericana de Ciberseguridad de Kaspersky. En el evento, la firma ofreció a los asistentes un amplio panorama del estado de la ciberseguridad en la región latinoamericana.

Las cifras mostradas indican que nos encontramos en tiempos en los que los diversos tipos de ataques no solo no disminuyen, sino que, por el contrario, van en aumento. Y eso implica que las amenazas ahora se lanzan sobre terrenos nuevos como la robótica y las infraestructuras críticas de los países. Por ello es necesario ampliar el concepto de seguridad, algo que precisamente hizo Kaspersky al anunciar la ciberinmunidad.

Claudio Martinelli, director general para América Latina de Kaspersky.
Ciberinmunidad, Kaspersky
Un ecosistema inmune

Las charlas comenzaron con Claudio Martinelli, director general para América Latina de Kaspersky, quien de forma introductorio habló sobre un nuevo concepto que representa al futuro de la compañía: la ciberinmunidad.

El ejecutivo sostuvo que ahora nos encontramos en un momento muy destacable, en el que las oportunidades son infinitas y las tecnologías son increíbles. En este mundo, Kaspersky considera que la seguridad debe ir más allá de la clásica noción que hasta el momento se ha tenido del software de seguridad: que es un antivirus. El antivirus tuvo un momento en el cual fue la respuesta adecuada para las amenazas que se enfrentaban, pero ahora es necesario un cambio hacia una posición más novedosa.

"Kaspersky no es más una empresa de antivirus. Y en ese futuro estamos trabajando. Kaspersky tiene un sistema antidrones, que se puede usar en el tráfico aéreo, alrededor de los presidios o en los lugares considerados de seguridad nacional, dijo el ejecutivo, al presentar el sistema como ejemplo de la diversificación por la que pasa la compañía.

Kaspersky también ha desarrollado herramientas de seguridad para industrias que se clasifican como críticas para un país, como el transporte, la IoT y otras verticales que se pueden considerar de interés nacional.

La compañía también realiza convenios con organizaciones que garantizan la seguridad a nivel global, como la Interpol, para ayudar a las fuerzas de seguridad a combatir a los criminales internacionales.

Otra de sus iniciativas recientes es la dedicada a la transparencia. Gracias a ella, la firma ahora tiene centros de transparencia en Zurich, Madrid y Kuala Lumpur, los cuales pueden ser visitados por las autoridades y clientes que deseen revisar el código de la empresa. Además, han pasado por el proceso de auditoría SOC2, realizado por una de las cuatro firmas más importantes de auditoría del mundo, el reporte de este proceso puede ser solicitado.

El ejecutivo también señaló que Kaspersky cumple con la normativa GDPR de la Unión Europea y con la normativa de la regulación brasileña, así como de otros estándares para proteger los datos y la privacidad de los usuarios.

Fabio Assolini, analista senior de seguridad de Kaspersky.
Fabio Assolini, Kaspersky,
Las cifras de la seguridad

La primera de las exposiciones fue la de Fabio Assolini, analista senior de seguridad de Kaspersky, quien nos habló sobre el panorama de las ciberamenazas en la región.

De acuerdo con el ejecutivo, en América Latina se encuentran 569 millones de habitantes, de los cuales 438 millones se encuentran conectados. En la región, de acuerdo con las cifras registradas por Kaspersky Security Network, se han recibido en promedio 45 ataques de malware por segundo durante el último año calendario; es decir, cada segundo un habitante de América Latina recibía un ataque.

De hecho, estas cifras regionales sitúan a algunos países de la región en el top 20 de los países más atacados globalmente. Específicamente, Brasil se encuentra en la posición 7, mientras que México se encuentra en la posición 11.

Si se realizan los cálculos necesarios, se podrá apreciar que cada segundo Brasil recibe 22 ataques, mientras que México recibe 9,52 ataques; Perú, en cambio, recibe 2,14 ataques por segundo, durante el periodo julio 2018 - julio 2019.

En ese mismo periodo, la red de Kaspersky registró que las amenazas más importantes son UFO:Blocked.Adware (Adware), RiskTool.Win64.ProcPatcher.a (Cracks) y RiskTool.Win64.RPCHook.a (Cracks). En el puesto 10 también ya se puede encontrar un malware de minería de criptomonedas, el Trojan.Script.Miner.gen.

Una de las amenazas que se destacó en el informe fue el phishing. En total, en el periodo de estudio (julio 2018 a julio 2019) se han registrado 92 millones de ataques de phishing en América Latina, lo que representa un incremento de 33% con respecto al mismo periodo del año pasado, y que en promedio hubo tres de estos ataques en América Latina por segundo durante el mismo periodo.

Así, si en el ranking global anterior de ataques se encontraban dos países de la región, en el ranking específico de ataques de phishing se pueden encontrar ahora nueve países en el top 20, tres más que en el ranking del año pasado. Estos países son Brasil (puesto 1), Venezuela (puesto 2), Chile (puesto 7), Ecuador (puesto 8), Guatemala (puesto 10), Panamá (puesto 11), Honduras (puesto 12), México (puesto 13) y Argentina (puesto 15).

En el ámbito móvil, en la región se reportaron 6,2 ataques por minuto en el periodo mencionado. Brasil y México son los países más atacados pues se encuentran en las posiciones 6 y 9 del ranking mundial de países atacados, mientras que Perú se encuentra en la posición 37, por detrás de Colombia (puesto 22), pero antes que Chile (puesto 38).

En este campo, las amenazas más importantes fueron UFO:Blocked.Adware (Adware), DangeroudObject.Multi.Generic (Bloqueo) y AdWare.AndroidOS.Agent.f (Adware).

En cuanto a los sistemas operativos, es destacable el aumento de 53% en ataques a sistemas MacOS con respecto al año anterior, lo que totaliza aproximadamente 500 mil ataques para el periodo julio 2018 a julio 2019.

Un RAT móvil

Quizás una de las revelaciones más inquietantes que se hicieron en la cumbre de Kaspersky es la de la existencia e importancia que cobran ahora los RATs móviles. Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky para América Latina, y Santiago Pontiroli, analista de seguridad de la misma firma, se encargaron de mostrar la relevancia de este nuevo tipo de malware.

Santiago Pontiroli, analista de seguridad de Kaspersky; y Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky para América Latina.
Kaspersky

De acuerdo con los analistas, el 43,2% de las personas de América Latina tienen al menos un dispositivo móvil y lo usan al menos una vez al mes. Esto representa más de 270 millones de personas con un smartphone en la región. Entre los dispositivos de estas personas se puede encontrar que el 81% de ellos usan Android, el 17% usan iOS y el 1% utilizan Blackberry.

En el 2018, los productos y tecnologías de Kaspersky detectaron más de cinco millones de paquetes de instalación maliciosos; más de 150 mil nuevos troyanos bancarios móviles; y más de 60 mil nuevos troyanos extorsionadores móviles. De hecho, durante este año casi se duplicó el número de ataques con software móvil malicioso, llegando a la cifra de 116,5 millones, mientras que el año anterior (2017) se había llegado a 66,4 millones. Una de las categorías con mayor crecimiento anual es la de los troyanos, con un 37% de las detecciones totales para móviles.

Y hablando específicamente de uno de estos malwares, la atención se centró en BRata un troyano espía.

Este troyano -cuyas primeras muestras fueron detectadas entre enero y febrero del 2019- aparenta ser una actualización de WhatsApp. Es calificado como un espía de primera clase pues puede capturar la información del usuario y transmitir en tiempo real su actividad a los atacantes. De él se han detectado miles de descargas y más de 20 variantes, algunas de las cuales tuvieron más de 10 mil descargas cada una desde la tienda oficial de Google Play.

El troyano ha tenido éxito debido a una vulnerabilidad en WhatsApp, y al investigársele se ha detectado que tiene orígenes brasileños. De acuerdo con los analistas, el troyano ha sido desarrollado por criminales brasileños y se encuentra destinado a atacar víctimas dentro de Brasil. De hecho, su principal objetivo son los usuarios de instituciones bancarias brasileñas.

BRata puede robar correos, mensajes, ubicación, historial de navegación, contenido del portapapeles y puede monitorear al usuario en tiempo real, activando la cámara y el micrófono.

La robótica y la inteligencia artificial

La seguridad es un elemento que tiene que estar presente en todo aquel lugar que pueda ser considerada una superficie de ataque, y si en el pasado era solo la red de la empresa y luego lo que se encuentra fuera de esta red, ahora también debemos incluir a los dispositivos que van a estar cerca de nosotros ayudándonos, es decir, los robots.

Efectivamente, Rodrigo Quevedo, director general de Robotics Lab; y Roberto Martinez, investigador senior de seguridad de Kaspersky Lab GReAT, ofrecieron una exposición sobre un tema que recién se inicia: la ciberseguridad en los robots.

Roberto Martinez, investigador senior de seguridad de Kaspersky Lab GReAT; y Rodrigo Quevedo, director general de Robotics Lab.
Kaspersky, Robotics Lab

Y no es de extrañar. Como señalaron los investigadores, los robots se encuentran cerca de nosotros. Con los nuevos modelos dirigidos a nuevas tareas como el servicio van a estar más cerca de nosotros, con mayor frecuencia y en mayor número. De hecho, se estima que para el periodo 2019-2021 se venderán alrededor de 736 mil unidades de robots de servicio de uso profesional y 39,5 millones de unidades de robots de servicio para tareas domésticas, además de 10,7 millones de unidades de robots de servicio para entretenimiento. El mercado crece.

¿Qué tipos de robots? Por ejemplo, Robotics Lab presentó a Mivos, un traductor automático bidireccional de lenguaje de señas a voz, para las personas sordas. De esta forma una persona puede expresarse en lenguaje de señas y Mivos convierte sus gestos en voz.

Otro de los robots es Oki Doki Translator, el primer traductor para sordos o ciegos, que utiliza un nuevo lenguaje que permite comunicarse con personas sordas o ciegas.

Un tercer robot que se presentó fue Over Mind, un neurocontrol de la silla de ruedas. Básicamente, es un software desarrollado para ayudar a personas con capacidades físicas diferentes que posean movilidad reducida, una población que en todo el mundo se estima en alrededor de 60 millones de personas.

Y, por supuesto, no hay que olvidar que ya existen robots dedicados a la medicina. De hecho, un millón de cirugías en el 2017 fueron realizadas por estas máquinas, y la cifra no hace sino aumentar.

Con tal presencia, no es de extrañar que los robots se estén convirtiendo en los nuevos objetivos de los ciberataques.

Estos ataques pueden realizarse sobre el hardware, sobre el firmware o el sistema operativo o la aplicación. Y los escenarios más probables sean aquellos de los robots dedicados al cuidado de los ancianos, los vehículos automatizados o el malware.

Una de las amenazas que ya destaca es la denominada ROS que se ha encontrado en la República de Corea, Bulgaria y Azerbaiján; eWon, por su parte, se ha encontrado en Brasil, Chile, Argentina, Colombia y México; mientras que Moxa se ha ubicado en Brasil, Chile, Argentina y Colombia.

Todo esto ha llevado a que se cree mecanismos de defensa como la base de datos de vulnerabilidades de robots que ofrece información sobre vulnerabilidades, debilidades y otros.

Por ejemplo, al buscar información sobre MARA, un brazo robótico modular, se encontró que tiene 27 vulnerabilidades (dos físicas y 25 de red), siendo dos de ellas consideradas críticas, 6 de nivel alto, 13 de nivel medio y 6 de nivel bajo.

Otras de las herramientas que se han creado para combatir en este nuevo campo es el RSF o Marco de Seguridad de Robots, el cual consta de cuatro capas (física, red, firmware y aplicación) y en el que se encuentran 14 aspectos como, por ejemplo, los puertos (capa física), la red interna (capa de red), el sistema operativo (capa de firmware) o las librerías de terceros (capa de aplicación).

Entonces, ¿qué se puede hacer? Seguir algunas recomendaciones como la implementación de la seguridad desde el diseño, asegurar la cadena de suministro, usar cifrado, divulgar las vulnerabilidades, y realizar auditorías de seguridad.

Los sistemas críticos

El que la conferencia se haya realizado en Iguazú no fue casualidad. El lugar representa una enorme fuente de electricidad y, por tanto, se puede considerar como un activo crítico para un país. Precisamente, la última de las sesiones fue la dedicada a la seguridad de los sistemas críticos.

Gabriela Nicolao, gerente de Inteligencia de Amenazas y Analítica de Deloitte Argentina; y Thiago Marques, analista de seguridad de Kaspersky, explicaron al alimón el panorama actual de este nuevo campo de amenazas.

Gabriela Nicolao, gerente de Inteligencia de Amenazas y Analítica de Deloitte Argentina; y Thiago Marques, analista de seguridad de Kaspersky.
Kaspersky, Deloitte

En realidad, los ataques ya están sucediendo. En Brasil se tienen registros de ataques de hace una década -así que el tema no es tan nuevo, pero va cobrando más fuerza-, y recientemente se utilizó un PDF adjunto para atacar a diferentes operadores de redes eléctricas, bajo un modelo 'como servicio'.

Sin embargo, el primer ataque específicamente a una red eléctrica del que se tiene registro es el ocurrido en el 2015, a través del troyano Black Energy. Debido a él, 30 subestaciones se apagaron y cerca de 230 mil usuarios se vieron afectados, además se causó la interrupción de la central telefónica.

Otro de los malwares del que se tiene conocimiento es Industroyer/Crashoverride. Este es un software malicioso que ataca redes industriales y fue relacionado con el ciberataque a una red industrial en Ucrania en el 2016. Debido a él, parte de Kiev quedó sin suministro eléctrico durante una hora. Se cree que este malware fue diseñado para controlar los circuitos de una subestación eléctrica.

Otro ejemplo mostrado en la presentación es Triton/Trisis. Este malware afectó a sistemas industriales en diciembre del 2017 y causó que se apaguen las máquinas de una refinería de petróleo. El objetivo fue realizar un reconocimiento de la red afectada, realizar movimientos laterales y ganar y mantener persistencia en el sistema afectado.

De acuerdo con los investigadores, Kaspersky ha identificado 61 fallas en sistemas industriales en el 2018, 46% de las cuales podrían llevar a una ejecución remota de código. Lamentablemente, hasta fines del 2018 solo el 47% de ellas habían sido parchadas.

¿Cómo es que este malware llega a sus objetivos? La respuesta es: mediante mails maliciosos. En el segundo trimestre del 2018 más del 6% de las computadoras del sector industrial fueron objeto de un intento de infección, lo cual representa un incremento de 3% con respecto al trimestre anterior.

Las herramientas de administración remota destacan en la lista de amenazas. De hecho, se estima que una de cada tres computadoras del segmento industrial tiene alguna herramienta de administración remota instalada. En la región, Brasil destaca con el 37%, seguido de Costa Rica con 30%.

Y de entre los grupos que realizan estos ataques los expositores resaltaron dos: OilRig y Flush Tunnel. El primero se encuentra activo desde el 2015, con actividad en varias regiones, incluyendo América Latina. Realiza ataques a varios sectores como Gobierno, Tecnología, Militar, Aviación y Energía. De los países de América Latina se tiene registros de OilRig en Colombia y México.

Por su parte, Flush Tunnel fue descubierto en mayo del 2019, pero se encontraron otras versiones que datan de setiembre del 2018. Se esparce a través de hojas de cálculo en sistemas SCADA e ICS.

Ampliando el concepto de ciberinmunidad

Luego de las exposiciones tuvimos la oportunidad de conversar con Claudio Martinelli; con él entablamos una conversación sobre algunos temas que nos quedaron de las exposiciones, como el concepto de ciberinmunidad, pero también aprovechamos para charlar sobre su sistema operativo.

De hecho, la primera pregunta que le hicimos fue por el nuevo concepto de ciberinmunidad que estaban lanzando.

"Es ir bastante más allá del concepto con el que estamos trabajando hoy de protección o seguridad, señalo. "A medida que la tecnología evoluciona se van generando aspectos de seguridad en todo lo que se produce. Y la concepción de inmunidad implica que la seguridad viene desde la raíz, desde la concepción, por default, detalló.

Esto implica que, si se construye un dispositivo IoT desde el primer momento, se debe de tomar en cuenta la seguridad. Con ello, por ejemplo, el sistema operativo que va a utilizar debe ser concebido con conceptos de seguridad.

"Es como el cuerpo humano. El sistema inmunológico se tiene desde que el ser humano nace, indicó.

"Después se pueden añadir vacunas, antibióticos y demás medidas de salud, pero son accesorios. Igualmente, el concepto de inmunidad debe nacer con los dispositivos, agregó.

Por supuesto, esto es lo ideal. Lo que ocurre comúnmente, anota Martinelli, es que las compañías por temas de costos y de tiempo de llegada al mercado no implementan las herramientas de seguridad -que Kaspersky ofrece, por ejemplo- en los dispositivos. Pero como señala, tarde o temprano tendrán que hacerlo. Y ello se logrará cuando la incorporación de la seguridad sea parte del proceso cotidiano de creación de los dispositivos.

Sin embargo, una condición para que la seguridad se vuelva la norma en la creación de los nuevos dispositivos es que los productores conozcan los temas de seguridad en los distintos ámbitos que tocan a los dispositivos, como por ejemplo en los sistemas operativos. Por ello Kaspersky se encarga de mostrar lo que se puede hacer para asegurar los dispositivos.

De hecho, ya existe un sistema operativo que Kaspersky ofrece para los dispositivos que requieren una seguridad desde su origen -la ciberinmunidad-.

¿Por qué usar este sistema? El ejecutivo señala que los otros sistemas ya tienen años y, por tanto, tienen partes legacy que son abiertas porque tienen que funcionar con controladores, APIs de terceros y elementos diversos. Esto por sí solo ya implica una enorme ventana de oportunidades para los atacantes. Un sistema seguro no es así de abierto porque es de uso específico. Los sistemas antiguos, además, no fueron concebidos para las amenazas que actualmente tienen que enfrentar.

El nuevo sistema trabaja bajo un sistema default denial,es decir, solo ejecuta las acciones para las que originalmente fue destinado el producto, todo lo demás es negado.

Por ejemplo, en la actualidad un cajero automático que trabaja con Windows XP no denegaría una operación que le llevaría a conectarse con una red en otro país, porque para el sistema operativo no es una acción extraña. Pero sí lo sería para el nuevo sistema operativo y, por lo tanto, denegaría esa acción.

Otra de las características de la ciberinmunidad, dijo Martinelli, es la inteligencia. Esta es necesaria para poder adelantarse a los criminales, si se sabe que un grupo se está preparando para atacar, se pueden preparar los dispositivos para defenderse contra ese ataque.

De hecho, eso ya ocurrió, sostuvo el ejecutivo. Si un grupo realiza un ataque en Rusia con un cierto modus operandi, uno puede identificar esa metodología para prepararse contra ella cuando se lance un ataque similar en otro país. Eso es obra de la inteligencia de una red de seguridad.

Entonces, ¿sería mejor tercerizar la seguridad? Le preguntamos. "Puedes tercerizar hasta cierto punto, nos contestó. "Puedes tener una gerencia de seguridad especializada con un especialista, pero hasta cierto punto. De hecho, el punto más débil de cualquier empresa es la persona, y si no entrenas a tu personal al menos en lo básico en cuanto a ciberseguridad no vas a tener éxito, finalizó.