Toda vez que el año está a punto de acabar empiezan a aparecer las primeras estadísticas sobre los productos, soluciones más utilizadas, tendencias que se han cumplido, etc. Una de las más habituales son las estadísticas que se corresponden con los ataques cibernéticos y con motivo de la celebración, hoy 30 de noviembre, del Día Internacional de la Seguridad Informática, ESET repasa los tipos de ciberataques más relevantes del año.
“Los ciberdelincuentes aprovechan cualquier resquicio y oportunidad para sacar provecho económico de los usuarios o empresas desprotegidos”, afirma Josep Albors, director del laboratorio de ESET España. “Por eso, creemos que es imprescindible la labor de información y concienciación de forma que se reduzca al mínimo el impacto que pueda tener un ataque o amenaza, aunque también es imprescindible seguir una serie de pasos básicos, como contar con herramientas de seguridad actualizadas, no acceder a páginas web sospechosas, desconfiar de enlaces o archivos adjuntos en mails procedentes de desconocidos o, en definitiva, llevar la sensatez de la vida real a nuestras actividades online”, explica.
Juego online:
El año comenzaba con los ataques a los servicios online de PlayStation Network de Sony y Xbox Live de Microsoft que dejaron a millones de personas sin poder utilizarlos durante semanas. Sin embargo, no fue flor de un día y los ataques a plataformas de juego online se mantuvieron durante todo el año: usuarios de Steam fueron engañados por juegos que suplantaban a los originales con el objetivo de que los jugones pulsaran sobre enlaces maliciosos; los ciberdelincuentes también aprovecharon el lanzamiento del esperado Mortal Kombat X para propagar malware; y juegos tan populares como Minecraft o Grand Theft Auto V fueron utilizados para robar información de los usuarios a lo largo del año.
Muchos de estos juegos se convertían en canales de infección diseñados para hacer publicidad de servicios de ataques DDoS que prestaban a quien estuviese dispuesto a pagar por ellas. Esto demuestra que en muchas ocasiones, detrás de cualquier ataque no existe solamente la intención de robar información sino también de generar negocio para los ciberdelincuentes.
Internet de las cosas:
Cada vez con más frecuencia oímos hablar de los objetos conectados a Internet para hacer nuestra vida más fácil. Y, como siempre recuerdan desde ESET, cualquier dispositivo conectado a la Red es susceptible de ser atacado si no contamos con las herramientas necesarias para protegernos. Durante 2015 se ha visto, por ejemplo, cómo un dispositivo aparentemente tan inofensivo como un cargador conectado a una toma de corriente podía ser utilizado para registrar las pulsaciones de ciertos modelos de teclados Microsoft. Esta prueba de concepto desarrollada por un investigador independiente demostró que, usando materiales muy baratos, se pueden espiar comunicaciones personales.
Una de las vulnerabilidades más sonadas y curiosas detectadas este año afectaba a reproductores de discos Blu-ray y permitía a un atacante ejecutar código malicioso en el popular software Power DVD o en el hardware encargado de reproducir estos discos.
Otro tema recurrente a lo largo del año fue la posibilidad de tomar el control de un avión en pleno vuelo por parte de un atacante. Varios medios se hicieron eco de la noticia de la detención de un investigador supuestamente por interferir en los sistemas de navegación de una aeronave durante el vuelo. Desde ESET, se recuerda que, a día de hoy, es bastante improbable que se dé este escenario, al menos accediendo a través del sistema de entretenimiento situado en los asientos.
Por contra, dos investigadores sí que fueron capaces de hackear y controlar remotamente algunas de las funciones de un Jeep Cherokee. Chrysler se vio forzada a publicar una actualización del software usado en estos vehículos con el objetivo de evitar que millones de conductores se vieran amenazados por un ataque de este tipo. Estas investigaciones demuestran la importancia del trabajo realizado por los hackers a la hora de hacer más seguros dispositivos de todo tipo que usamos en nuestra vida cotidiana.
Estafas en redes sociales:
A pesar de utilizar técnicas conocidas desde hace años, todavía a día de hoy hay usuarios que pican en los engaños difundidos a través de las redes sociales. Las estafas en Facebook, Whatsapp o Instagram han afectado a miles de usuarios que creían estar descargando bonos descuento de sus tiendas favoritas. En realidad estaban abriendo sus puertas a los ciberdelincuentes. Empresas como Starbucks, Mercadona, McDonald’s, Zara o Ikea vieron afectada su imagen por las estafas desarrolladas por estos estafadores digitales.
Como suele ocurrir con los grandes acontecimientos tecnológicos, también vimos cómo el lanzamiento del Apple Watch fue utilizado por delincuentes para engañar a través de las redes sociales, ofreciéndoles uno de estos dispositivos de forma completamente gratuita. Por su parte, el lanzamiento de Windows 10 también fue aprovechado por los ciberdelincuentes como gancho para conseguir engañar a usuarios desprevenidos y que servían para suscribirles a mensajes Premium o para instalarles molesto adware.
La conocida red social Adult Friend Finder, especializada en la búsqueda de relaciones entre adultos o la más conocida todavía red de contactos extra matrimoniales Ashley Madison se vieron envueltas en asuntos de filtraciones de datos. En total se considera que más de 44 millones de cuentas de usuarios e información confidencial de los mismos fueron expuestos.
Ransomware:
El ransomware ha sido sin duda uno de los protagonistas indiscutibles del año en cuanto a amenazas se refiere. Desde principios de año, la variante CTB-Locker fue responsable de miles de infecciones en España y otros países. El malware se propagaba a través de ficheros adjuntos a correos electrónicos que decían contener un fax importante o una factura. Consiguió que muchos usuarios desprevenidos lo ejecutasen e infectasen sus sistemas.
Otro caso de ransomware importante durante el año fue el protagonizado por Lockerpin. Afectó a los teléfonos móviles, bloqueando los dispositivos modificando el PIN original. Emblemático también fue el ransomware que afectó a Correos de España. Nuestro país se convirtió en el foco principal de ataques de diferentes variantes de Filecoder a través de la suplantación de esta empresa. Los usuarios recibían supuestas cartas certificadas online que al ser abiertas infectaban la máquina bloqueando los ficheros.
En los últimos meses, otra variante de ransomware, conocida como Cryptowall, ha ganado en importancia y ha pasado a ser una de las más distribuidas (incluyendo kits de exploits), ya que ha causado importantes pérdidas a los usuarios infectados, que algunas fuentes llegan a cifrar en más de 325 millones de dólares.
Phishing/Páginas fraudulentas:
El phishing también estuvo presente en las amenazas reportadas a lo largo de todo el año. Por un lado, ha habido casos de phishing clásico, como el que afectó a La Caixa, en el que el usuario era redirigido a una web muy similar a la original desde la que se robaban las credenciales de acceso y todos los códigos de la tarjeta de coordenadas del afectado, o el que sufrió el Banco Sabadell con la excusa de implantar nuevos sistemas de seguridad de doble autenticación. Otro caso de phishing que suele repetirse todos los años cuando empieza el periodo de declaración de la renta es el del falso correo de la Agencia Tributaria.
El caso de phishing más curioso de 2015 fue el que supuso la suplantación del popular servicio de mensajería WhatsApp en el que se invitaba a los usuarios a probar el esperado nuevo sistema de llamadas por voz IP que la empresa estaba a punto de empezar a implantar.