Las noticias sobre seguridad en internet no dan tregua. Este lunes conocimos los resultados de un estudio de IBM en el cual se afirma que el sector financiero fue el principal blanco de los ciberataques en 2016. Ahora, por cuenta de un reporte de la compañía global Fortinet, supimos que los cibercriminales están conformando un ‘ejército de dispositivos’ para cometer sus ataques.
El Reporte Global sobre el Panorama de Amenazas de Fortinet revela con detalle los métodos y las estrategias que emplean los cibercriminales, y demuestra el impacto a futuro que pueden tener estos hechos en la economía digital. De acuerdo con Fortinet, la pregunta ‘¿Cuál es mi amenaza más grande?’ continúa siendo muy difícil de precisar debido a que las viejas amenazas han vuelto a salir a la superficie pero renovadas, automatizadas y en ataques a gran escala.
Por lo anterior, la metodología del reporte se enfocó en tres aspectos centrales del panorama de amenazas: aplicaciones de exploits (fragmento de software, de datos o secuencia de comandos y acciones utilizado con el fin de aprovechar una vulnerabilidad de seguridad); software malicioso (malware); y botnets (red de robots informáticos o bots, que se ejecutan de manera autónoma y automática).
Tendencias de infraestructura y su relación con las amenazas
Considerar las tendencias de infraestructura y cómo se relacionan con el panorama de amenazas es muy importante. Los exploits, el malware y los botnets no ocurren en el vacío y encontrar o prevenir las amenazas se vuelve cada vez más complicado, conforme evolucionan las infraestructuras.
– Los datos muestran que el tráfico encriptado usando SSL (tecnología de seguridad estándar para establecer comunicaciones seguras entre un servidor web y un navegador) sí permaneció constante en cerca del 50% de los casos, lo que representó aproximadamente la mitad del total del tráfico web que circuló dentro de las empresas.
– De acuerdo con Fortinet, el uso del tráfico HTTPS es una tendencia importante para monitorear ya que, si bien es una buena herramienta para la privacidad, también presenta algunos desafíos para detectar amenazas capaces de esconderse en comunicaciones codificadas. Con frecuencia, el tráfico SSL pasa desapercibido debido al enorme costo de procesamiento que se requiere para abrir, inspeccionar y re-codificar el tráfico, forzando a los equipos a elegir entre dos variables: protección y desempeño.
– En términos del total de aplicaciones detectadas por empresa, el número de aplicaciones de nube llegó casi a 63, lo que es aproximadamente un tercio de todas las que son detectadas. Esta tendencia tiene implicaciones significativas para la seguridad, ya que los equipos de TI cuentan con menos visibilidad de la información que reside en las aplicaciones de nube, cómo esta información es utilizada y quién tiene acceso a ella. Los medios sociales, la transmisión de audio y video y las aplicaciones P2P no tuvieron una significativa tendencia al alza.
Un ejército de dispositivos impulsado por cibercriminales
– Los dispositivos del IoT (Internet de las Cosas) son productos codiciados por los cibercriminales de todo el mundo. Estos grupos están formando ‘sus propios ejércitos de cosas’ y están desarrollando la habilidad para replicar los ataques a una velocidad increíble. Es así como el escalamiento se ha vuelto el principal pilar de los ecosistemas del cibercrimen moderno.
– En el último trimestre del 2016, la industria se recuperó de la intrusión que sufrió Yahoo! y de los ataques de denegación de servicio (DDoS) de Dyn. Casi a mitad de ese trimestre, los récords establecidos por ambos eventos no sólo fueron superados, sino duplicados.
– Los dispositivos del Internet de las Cosas comprometidos por el botnet ‘Mirai’ iniciaron el establecimiento de múltiples récords de ataques DDoS. La divulgación del código fuente de ‘Mirai’ incrementó la actividad de botnets cerca de 25 veces en una semana, con un crecimiento de 125 veces para finales de año.
– La actividad de los exploits relacionada con IoT en varias categorías de dispositivos mostró escaneos de vulnerabilidades, principalmente en impresoras y enrutadores caseros.
– El malware móvil se volvió un problema como nunca antes. A pesar de que sólo es el 1,7% del total del volumen de malware, una de cada cinco empresas reportó haber encontrado malware como una variante móvil, casi todos en plataformas Android. Existen marcadas diferencias regionales sobre los ataques de malware con un 36% en empresas de África, 23% en Asia, 16% en Norteamérica y 8% en Europa. Esta información influye en los dispositivos confiables de las redes corporativas actuales.
Prevalecen los ataques automatizados y de alto volumen
– La correlación entre el volumen de exploits y su prevalencia implica un incremento en la automatización de los ataques y una disminución de los costos por malware y herramientas de distribución disponibles en la red oscura. Para Fortinet, esto hace que sea más barato y fácil que nunca para los cibercriminales iniciar ataques.
– El SQL Slammer (un gusano informático) se encuentra en la cima de la lista para detección de exploits con una clasificación de gravedad crítica, afectando principalmente a las instituciones educativas.
– Los exploits que indican un intento de ataque de fuerza bruta en el Protocolo de Computadoras de Escritorio Remotas del Sistema Operativo Windows (RDP) se ubicaron en segundo lugar de prevalencia. Se lanzaron solicitudes RDP a una tasa de 200 veces por cada 10 segundos, lo que explica el alto volumen detectado a lo largo y ancho de las empresas globales.
– En tercer lugar se encuentra una firma enlazada a la Corrupción de Memoria, que es una vulnerabilidad en el Administrador de Archivos de Windows, el cual permite que un cibercriminal ejecute, de forma remota, un código arbitrario dentro de la aplicación vulnerable a través de un archivo jpg.
– Dentro de la familia de botnets, el H-Worm y Zero Access obtuvieron la más alta prevalencia y volumen. Ambos le otorgan a los cibercriminales control de los sistemas afectados para desviar la información o llevar a cabo fraudes a tan solo un clic. Los sectores gubernamentales y de tecnología fueron los que enfrentaron el mayor número de intención de ataques por parte de estas dos familias de botnets.
El ransomware llegó para quedarse
– Según Fortinet, el ransomware debe examinarse independientemente de la industria, ya que este método de ataque de alto valor muy probablemente continúe con el crecimiento del ransomware como servicio (RaaS), en el cual cibercriminales sin mucho entrenamiento o habilidades especiales pueden simplemente descargar las herramientas y dirigirlas hacia sus víctimas.
– El 36% de las empresas detectaron actividad de botnets relacionada con ransomware. TorrentLocker fue el ganador y Locky quedó en tercer lugar.
– Dos familias de malware, Nemucod y Agent, ‘se fueron de juerga criminal’. El 81,4% de todas las muestras de malware capturadas pertenecían sólo a estas dos familias.
– El ransomware está presente en todas las regiones y sectores, pero particularmente se ha diseminado en las instituciones de salud. Esto es muy significativo, ya que cuando la información de un paciente se ve comprometida, las ramificaciones pueden ser mucho más severas debido a que estos datos representan mayor valor personal que cualquier otro tipo de información.
Exploits audaces
– Fortinet descubrió que los cibercriminales utilizaron la política de ‘no dejar atrás las vulnerabilidades’, y dirigieron su atención a los parches de seguridad y a las fallas de los viejos dispositivos o softwares; lo que significa menos tiempo y atención para enfocarse en la creciente superficie de ataque acelerada por los dispositivos digitales actuales.
– El 86% de las firmas registraron ataques que tenían la intención de sacarle provecho a vulnerabilidades que tenían casi una década de antigüedad.
– Un promedio de 10,7 aplicaciones únicas de exploits fueron rastreadas por cada empresa. Alrededor de nueve de cada 10 firmas detectaron exploits críticos o de alta gravedad.
– En resumen, África, el Medio Oriente y América Latina mostraron un mayor número y variedad de encuentros por cada categoría de amenazas cuando se compara con el promedio de exploits únicos, malware y familias de botnets detectadas por organización en cada región del mundo. Estas diferencias son más pronunciadas para los botnets.
El reporte de Fortinet sobre el panorama global de amenazas es producto de la información recabada por los Laboratorios FortiGuard durante el último trimestre del 2016. Se incluye información de investigación que cubre desde una perspectiva global hasta una regional, sectorial y organizacional.
Imagen: Pixabay.