Las 9 principales amenazas a la seguridad de TI

On By admincpwmx

Hace años, el escenario típico de hacking involucraba un atacante solitario y tal vez algunos amigos que trabajaban por la noche en Mountain Dew, buscando direcciones IP públicas. Cuando encontraban una, enumeraban los servicios de publicidad (servidor web, servidor SQL, etc), e ingresaban por la fuerza utilizando gran cantidad de vulnerabilidades, luego exploraban a sus anchas la empresa comprometida. A menudo, su intención era exploratoria. Si hacían algo ilegal, era típicamente un delito estimulado por la oportunidad del momento.

¡Ay, cómo han cambiado los tiempos!
 
Cuando se describe un escenario típico de ataques de hackeo, en estos días se debe comenzar mucho antes del ataque o incluso el hacker, buscando a la organización responsable del ataque. Hoy en día, el hackeo es todo un crimen, todo el tiempo, con mercados de licitación para el malware, sindicatos criminales, botnets de alquiler, y una guerra cibernética fuera de control.
 
Éstas son las nueve mayores amenazas de seguridad que enfrentan hoy en día los profesionales de TI.
 
Amenaza n º 1: Sindicatos del crimen cibernético.
 
Aunque el cerebro criminal solitario todavía existe, en estos días la mayoría de los ataques maliciosos de hackers son el resultado de los grupos organizados, muchos de los cuales son profesionales. Grupos tradicionales de delincuencia organizada que solían vender drogas, realizar apuestas, chantajes y extorsión han lanzado sus sombreros al ring del dinero electrónico, pero la competencia es feroz, y no es dirigida por mafiosos sino por varios grupos grandes de delincuentes profesionales dirigidos específicamente a los delitos cibernéticos.
 
Muchos de los más exitosos sindicatos organizados del crimen cibernético son negocios que aglomeran grandes grupos de afiliados, bajo la línea de jerarquías legales de comercio distribuido. De hecho, el ciberdelincuente de hoy probablemente tiene más en común con un representante de Avon o Mary Kay que cualquiera de los ambas compañías quisiera admitir.
 
Todavía hay pequeños grupos de hackers, con pocos miembros, pero cada vez más, los profesionales de seguridad de TI se enfrentan a grandes corporaciones dedicadas a la conducta maliciosa. Piense en empleados a tiempo completo, departamentos de recursos humanos, equipos de gestión de proyectos y líderes grupos. Y todo es criminal, ya no se trata de dejar mensajes divertidos en la pantalla u otras travesuras adolescentes. La mayoría opera abiertamente, y algunos -como la Russian Business Network– incluso tienen sus propias entradas de Wikipedia. ¿No desea volver a los tiempos de antes?
 
La especialización y la división del trabajo están en el corazón de estas organizaciones. Un genio individual, o un círculo interno, lideran el colectivo. Sargentos y subdivisiones se especializan en diferentes áreas, con un brazo dedicado a la creación de malware, otro dedicado a la comercialización, otro que configura y mantiene el canal de distribución, y otro a cargo de la creación de redes de bots que se alquilan a otros malhechores (ver más abajo).
 
No es de extrañar que las prácticas populares de seguridad de TI no funcionen contra el malware de hoy en día, dado que la delincuencia cibernética se ha convertido en una industria  multinivel, orientada al servicio, con el objetivo evidente de desplumar a las empresas e individuos de su dinero y de la propiedad intelectual.

Amenaza n º 2: Rivales de poca monta -y las mulas y lavadores de dinero que los apoyan. 

No todas las organizaciones criminales cibernéticas son sindicatos o corporaciones. Algunas son simplemente de carácter empresarial, pequeñas empresas detrás de una cosa: el dinero.

Estas operaciones “familiares” maliciosas pueden robar identidades y contraseñas, o pueden provocar un redireccionamiento para conseguir estos datos. Al final, lo que quieren es dinero. Inician con transacciones bancarias o de tarjetas de crédito fraudulentas y luego transforman sus mal habidas ganancias en moneda local utilizando mulas, distribución de dinero electrónico, banca electrónica, o algún otro tipo de lavado de dinero.

No es difícil encontrar a quienes lavan dinero. Hay docenas a cientos de entidades que compiten por obtener un gran porcentaje del botín ilegalmente adquirido. De hecho, se sorprendería de la naturaleza competitiva y pública de todas las personas que ruegan por hacer negocios con los delincuentes de Internet. Anuncian servicios de hosting "sin preguntas" y "a prueba de balas" en países alejados de los alcances de implicaciones legales, y ofrecen carteleras públicas, especiales de software, soporte telefónico 24×7, foros de licitaciones, referencias de clientes satisfechos, habilidades para evitar aplicaciones antimalware, y todo el servicio que ayuda a otros a ser mejores delincuentes en línea. Muchos de estos grupos ganan decenas de millones de dólares cada año.

Muchos de estos grupos y las personas detrás de ellos han sido identificados (y arrestados) durante los últimos años. Sus perfiles en redes sociales muestran personas felices, con casas grandes, coches caros, y las familias contentas disfrutando de vacaciones en el extranjero. Si sienten la mínima culpabilidad de robar dinero de los demás, no lo muestran.

Imagínelos en las barbacoas con vecinos y amigos, contándoles que tienen un "negocio de marketing en Internet" –mientras que usan la ingeniería social para abrirse paso a millones de dólares, causando la consternación de los profesionales de seguridad de TI que han hecho todo lo posible para proteger a los usuarios de sí mismos.

Amenaza N º 3: Hacktivistas 

Aunque presumir los exploits no era raro en los primeros días, los cibercriminales de hoy tratan de volar bajo el radar -con la excepción de las crecientes legiones de hacktivistas.

En estos días los profesionales de seguridad de TI tienen que lidiar con un creciente número de confederaciones de individuos dedicados al activismo político, como el infame grupo Anonymous. Los hackers políticamente motivados han existido desde que nacieron los primeros ataques de hacking. El gran cambio es que cada vez más actúan abiertamente, y la sociedad lo reconoce rápidamente como una forma aceptada de activismo político.

Los grupos de hackeo político a menudo se comunican, de forma anónima o no, en foros abiertos donde anuncian sus objetivos y las herramientas que usarán con anticipación. Reúnen más miembros, llevan sus quejas a los medios de comunicación para conseguir apoyo público y se sorprenden si son arrestados por sus actos ilegales. Su intención es poner en aprietos y atraer la atención negativa de los medios hacia la víctima tanto como sea posible, aunque esto incluya hackear la información del cliente, vía ataques DDoS (denegación de servicio), o simplemente provocando un daño adicional a la empresa víctima.

La mayoría de las veces, el hacktivismo político tiene la intención de causar dolor monetario a su víctima en un intento de cambiar su conducta de alguna manera. Los individuos pueden ser daños colaterales en esta lucha, y sin importar si uno cree en la causa política hacktivista, el propósito y la metodología siguen siendo criminales.

Amenaza n º 4: Robo de propiedad intelectual y espionaje corporativo 

Mientras que la probabilidad de tratar con hacktivistas puede ser baja, la mayoría de los profesionales de seguridad de TI tienen que lidiar con el gran grupo de hackers maliciosos que existen sólo para robar la propiedad intelectual de las empresas o para realizar espionaje corporativo directo.

El método de operaciones aquí es entrar en los activos de TI de una empresa, volcar todas las contraseñas, y con el tiempo, robar gigabytes de información confidencial: patentes, ideas de nuevos productos, secretos militares, información financiera, planes de negocio, etc. Su intención es encontrar información valiosa para transmitir a sus clientes con fines de lucro y su objetivo es permanecer ocultos en el interior de la red de la empresa comprometida por el mayor tiempo posible.

Para cosechar las recompensas, espían correos electrónicos importantes, barren las bases de datos, y obtienen acceso a tanta información que muchos han comenzado a desarrollar sus propios motores de búsqueda maliciosos y herramientas de consulta para separar el forraje de la propiedad intelectual más interesante.

Este tipo de atacante es conocido como un APT (amenaza persistente avanzada) o DHA (determinado adversario humano). Hay pocas grandes empresas que no han sido exitosamente comprometidas por este tipo de campañas.

Amenaza n º 5: Mercenarios de código malicioso. 

No importa cuál sea la intención o el grupo detrás del crimen cibernético, alguien tiene que hacer el malware. En el pasado, un solo programador haría los programas maliciosos para su propio uso, o quizás para venderlos. Hoy en día, hay equipos y empresas dedicadas exclusivamente a la escritura de malware. Desarrollan malware destinado a eludir las defensas específicas de seguridad, atacar a clientes específicos y lograr objetivos específicos. Y se venden abiertamente en el mercado en foros de licitación.

A menudo, el malware es crea en múltiples fases y por componentes. Un pequeño programa de código auxiliar se encarga de la explotación inicial de la computadora de la víctima, y una vez bien colocado para asegurarse de que vivirá más aún cuando el equipo sea reiniciado, entra en contacto con una "nave nodriza" del servidor Web para obtener más instrucciones. A menudo, el programa de código auxiliar inicial envía las consultas DNS en busca de la nave nodriza, que es a menudo un equipo afectado que actúa temporalmente como una nave nodriza. Estas consultas DNS se envían a los servidores DNS que tienen la misma probabilidad de ser víctimas inocentes infectadas. Los servidores DNS pasar de un equipo a otro, al igual que los servidores web nodrizas.

Una vez contactado, el servidor DNS y nave nodriza a menudo redirigen al cliente a otros servidores DNS y naves nodrizas. De esta manera, el cliente se dirige una y otra vez (a menudo más de una docena de veces) hacia equipos recién explotados, hasta que, finalmente, el programa de código auxiliar recibe sus instrucciones finales y se instala el programa malicioso permanente.

En definitiva, la configuración utilizada por los creadores de malware de hoy en día hace que sea muy difícil para los profesionales de seguridad de TI defender de sus líneas.

Amenaza n º 6: Botnets como servicio. 

Las redes bot, o botnets, ya no son sólo para sus creadores. Lo más probable es que los dueños de bots hayan comprado el programa de malware que crea el bot, ya sea para utilizarla ellos mismos o para alquilarla a terceros, por hora o cualquier otra métrica.

La metodología es familiar. Cada versión del programa de malware intenta aprovechar miles a decenas de miles de equipos de cómputo en un esfuerzo para crear un botnet único que operará como una entidad bajo las órdenes del creador. Cada robot en la botnet finalmente se conecta de nuevo a su(s) servidor(es) de comando y control (C&C) para obtener sus últimas instrucciones. Se han encontrado botnets con cientos de miles de computadoras infectadas.

Pero ahora que hay tantas botnets activas (literalmente decenas de millones de computadoras infectadas cada día), la renta de botnets es bastante barata, es decir, más problemas para los profesionales de seguridad de TI.

Quienes combaten el malware a menudo tratará de acabar con los servidores C&C y/o apoderarse de su control para instruir a los bots que se conectan para que desinfecten los equipos host y mueran.

Amenaza N º 7: Malware all-in-one. 

Los sofisticados programas de malware de hoy en día suelen ofrecer funcionalidades todo-en-uno, de la sopa al postre. No sólo infectan al usuario final, sino que también entran en sitios web y los modifican para ayudar a infectar a más víctimas. Estos programas maliciosos todo-en-uno a menudo vienen con consolas de administración para que sus propietarios y creadores puedan seguir la pista de lo que el botnet está haciendo, a quiénes está infectando, y cuáles son los más exitosos.

La mayoría de los programas maliciosos son troyanos. Los virus informáticos y gusanos hace tiempo que han dejado de ser los más populares tipos de malware. En la mayoría de los casos, el usuario final es engañado por un troyano que se anuncia como un necesario análisis antivirus, una herramienta de desfragmentación de disco, o alguna otra utilidad esencial o aparentemente inocua. Las defensas normales del usuario son engañadas, porque la mayoría de las veces la página web que ofrece el ejecutable pícaro es un sitio de confianza que ha visitado muchas veces. Los malos simplemente comprometieron el sitio, utilizando una serie de trucos, e insertan unas pocas líneas de JavaScript que redirigen los navegadores de los usuarios hacia el programa con el Troyano.

 

Amenaza n º 8: Una web cada vez más comprometida. 

En el nivel más básico, un sitio web no es más que un equipo, al igual que una estación de trabajo de usuario final; a su vez, los webmasters son usuarios finales como los demás. No es sorprendente encontrar que sitios web legítimos estén cada vez más llenos de enlaces maliciosos con enlaces JavaScript de redireccionamiento.

Pero no es una cuestión exclusiva de los equipos de webmasters explotados lo que está incrementando los servidores Web comprometidos. Más a menudo, el atacante encuentra una debilidad o vulnerabilidad en un sitio web que le permite eludir la autenticación de administrador y escribir scripts maliciosos.

Vulnerabilidades comunes de sitios web incluyen contraseñas débiles, vulnerabilidades de cross-site scripting, inyección SQL, software vulnerable y permisos inseguros.  El listado de los principales problemas de acuerdo con Open Web Application Security Project Top 10 es la autoridad sobre cómo se comprometen la mayoría de los servidores web.

Muchas veces no es el servidor Web o el software de aplicación, sino algún tipo de vínculo o anuncio que fue hackeado. Es bastante común que los anuncios de banners, que a menudo son colocados e intercambiados por las agencias de publicidad general, terminen infectados. De hecho, muchas veces los chicos de malware simplemente compran un espacio publicitario en los servidores Web populares.

Debido a que muchos de los malhechores se presentan como hombres de negocios de empresas legítimas, con sede corporativa, tarjetas de visita, y cuentas de gastos, no siempre es tan fácil separar las fuentes de anuncios legítimos de los chicos malos, que a menudo comienzan publicitando un producto legítimo sólo a cambiar el enlace del banner hacia un producto nocivo después de la campaña está en marcha. Uno de los exploits más interesantes involucró a hackers que comprometieron un sindicato de dibujos animados de manera que todos los periódicos que publicaban las caricaturas afectadas terminaron difundiendo malware. Ya ni siquiera se puede confiar en una caricatura.

Otro problema con los sitios web hackeados es que los equipos que hospedan un sitio a menudo pueden alojar múltiples sitios, a veces hasta cientos o miles. Un sitio web hackeado puede llevar rápidamente a miles más.

No importa cómo fue hackeado el sitio, el usuario inocente, que podría haber visitado este sitio web en particular durante años sin ningún problema, un día se topa con una solicitud de instalar un programa inesperado. A pesar de que es una sorpresa, el hecho de que el mensaje proviene de un sitio web que conoce y en el cual confía es suficiente para conseguir que ejecute el programa. Después de eso, se acabó el juego. El equipo del usuario final (o dispositivo móvil) es otra pieza más en la gran botnet de alguien.

Amenaza n º 9: Guerra cibernética – Cyber Warfare.

Los programas de guerra cibernética de los gobiernos en las naciones están hechos para sí mismos y no son algo que la mayoría de los profesionales de TI se enfrenten en sus rutinas diarias. Estas operaciones encubiertas crean complejos y profesionales programas de guerra cibernética en la intención de seguimiento de las funcionalidades de los programas adversarios, pero como nos mostraron Stuxnet y Duqu, las consecuencias de estos métodos pueden tener consecuencias para algo más que los objetivos previstos.

Crimen sin castigo. 
 
Algunas de las víctimas nunca se recuperan de la explotación. Su historial de crédito es marcado para siempre por la operación fraudulenta de un hacker, el malware utiliza la libreta de contactos de la víctima para reenviarse a los amigos y familiares, víctimas de robo de propiedad intelectual gastan decenas de millones de dólares en la reparación y prevención.
 
Lo peor es que casi ninguno de quienes utilizan los ataques maliciosos anteriores ha sido exitosamente procesado. Los criminales profesionales viven a lo grande en internet debido a que la web no es buena para producir evidencia válida para los tribunales. Es anónimo por defecto, y las pistas se pierden y esconden en milisegundos. Ahora vivimos los días del  "Lejano Oeste" en Internet (donde WWW significan Wild Wild West). A medida que madura, los refugios criminales se secarán. Hasta entonces, los profesionales de seguridad de TI tienen que trabajar duro contra ellos.

– Infoworld US / Traducido por Computerworld México

@computerworldmx