Según datos del primer informe trimestral de 2013 elaborado por PandaLabs, el laboratorio antimalware de Panda Security, The Cloud Security Company, a pesar de que durante este periodo han tenido lugar sonados incidentes, lo cierto es que la lucha contra la ciberdelincuencia a nivel global discurre por buen camino. Aunque aún queda un largo trayecto por recorrer, durante este trimestre la cooperación internacional de los diferentes cuerpos de seguridad ha fructificado en buenos resultados, y ciberdelincuentes de todo el mundo han sido y están siendo arrestados.
“Entre los ataques más relevantes acaecidos durante los tres primeros meses de 2013 cabe destacar hackeos de cuentas de Twitter de grandes empresas como Burger King o BBC, y todo ello sin olvidar una de las mayores agresiones hasta la fecha, que ha tenido como blanco a algunas de las principales empresas tecnológicas del mundo: Apple. Facebook, Microsoft y Twitter. También se han producido algunas sonoras victorias logradas por las fuerzas de seguridad, como la detención de una banda dedicada a extorsionar a sus víctimas mediante el conocido como Virus de la Policía”, ha comentado al respecto Luis Corrons, Director Técnico de PandaLabs.
Android, protagonista del malware
En este contexto, la práctica totalidad de noticias sobre seguridad y ataques de malware en plataformas móviles continúa recayendo sobre Android, sistema operativo que tiene la mayor cuota de mercado en este segmento. Además de los ataques habituales, en este trimestre se ha observado alguna nueva técnica curiosa digna de mención. Y es que, un malware para Android, que se encontraba escondido dentro de Google Play, no sólo ha infectado dispositivos móviles sino que, además, estaba preparado para infectar el ordenador desde smartphones o tabletas.
Por otra parte, en el ámbito de la ciberguerra y el ciberespionaje, según asegura Corrons, el panorama se muestra especialmente dinámico. “El malestar de muchos países hacia China, país sospechoso de una gran parte de los ataques que tienen lugar tanto en grandes empresas como en instituciones públicas de todo el mundo, puede derivar en consecuencias aplicables al mundo real. Y en este contexto, hay quien aboga por acuerdos internacionales, del estilo de las Convenciones de Ginebra, para tratar de regular los límites”, matiza Luis Corrons.
Lucha contra la ciberdelincuencia
El pasado 11 de enero, la Comisión Europea inauguraba el European Cybercrimen Center (EC3) con el objetivo de ayudar a los estados miembros de la UE a luchar contra los ciberataques. También en enero el FBI hizo pública una investigación que comenzó en 2010 y que ha conseguido detener a una banda de ciberdelincuentes que había logrado infectar más de un millón de ordenadores desde 2005. Esta operación destaca, entre otros motivos, por lo que significa respecto a la coordinación entre diferentes países: el FBI contó con la colaboración de las fuerzas de seguridad de Letonia, Moldavia, Rumanía, Holanda, Alemania, Finlandia, Suiza y Reino Unido.
En este punto, dentro de la lucha contra la ciberdelincuencia encontramos diferentes vertientes. Una de ellas, que suele pasar desapercibida generalmente, tiene que ver con la necesidad de concienciar a las empresas de que realmente dediquen los recursos necesarios para proteger los datos de sus clientes. En este ámbito, la división inglesa de Sony Computer Entertainment ha sido condenada a pagar 250.000 libras como consecuencia del robo de datos de clientes que sufrió en 2011. El motivo de esta condena está fundado en las escasas medidas de seguridad de esta compañía para proteger la información de sus clientes.
“El Virus de la policía”
Y si hablamos de ciberdelincuencia no podemos olvidar a uno de los grandes protagonistas en esta materia desde hace algo más de un año: el conocido como “Virus de la Policía”. Pues bien este virus ha vuelto a saltar a la palestra en este trimestre, aunque esta vez por un motivo bien diferente: la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional, en colaboración con Europol y con Interpol, ha logrado desmantelar la banda de ciberdelincuentes responsable de este famoso ataque. “Nos llamó la atención que se hablara de la detención de `la banda de ciberdelincuentes´ cuando, atendiendo a la información que hemos recabado en PandaLabs, estamos convencidos de que realmente existen diferentes bandas de ciberdelincuencia detrás de estos ataques. Hemos llegado a esta conclusión tras haber estudiado múltiples variantes a lo largo del tiempo y haber observado diferencias significativas entre ellas. En definitiva, aún tenemos Virus de la Policía para rato. No debemos bajar la guardia”, ha comentado al respecto Luis Corrons.
Para descargar la imagen, pinche aquí
Twitter, Facebook, Apple y Microsoft, víctimas del mismo ataque
El pasado 1 de febrero, Twitter publicaba un artículo en su blog, “Keeping our users secure“, explicando cómo la propia red social había sido víctima de un ataque que ha acarreado el acceso ilícito a información de hasta 250.000 de sus usuarios. Un par de semanas más tarde, Facebook publicaba también un artículo en su blog, “Protecting People On Facebook”, comentando las características de una agresión donde, aparentemente y según fuentes de la red social, no fueron comprometidos datos de clientes. Tan sólo unos pocos días después del anuncio de Facebook, representantes de Apple informaron a Reuters de que habían sido objetivo de este mismo ataque. Finalmente, Microsoft se sumó también al listado de los atacados. Como denominador común, todas estas agresiones utilizaron un agujero de seguridad en Java desconocido hasta el momento y para el que no existía parche, lo que se conoce como una vulnerabilidad zero day ó 0-day. En cualquier caso, tener la capacidad de identificar un ataque que está ocurriendo en el mismo momento resulta crítico. Y Twitter, Facebook, Apple y Microsoft fueron capaces de ello.
Java
La mayoría de infecciones hoy en día se producen a través de los conocidos “exploit kits”, que infectan los ordenadores de los usuarios sin su conocimiento a través de alguna vulnerabilidad. Más del 90% de estos casos son vulnerabilidades de Java a través del navegador. Los ataques que recibieron Microsoft, Apple, Facebook y Twitter este mismo trimestre utilizaron Java. Por su parte, la mayoría de infecciones del “Virus de la Policía” han conseguido llegar a los ordenadores de sus víctimas gracias a que éstas cuentan con versiones desactualizadas de Java. ¿Cuál es el mejor método de evitar estas infecciones? Muy sencillo: basta con eliminar Java del navegador. Y en caso de que se necesite para utilizar alguna aplicación, se recomiendo su uso en un navegador secundario que sólo se emplee para dicha tarea.
Ciberataques
La cantidad y variedad de ataques que han tenido lugar durante este trimestre son, cuanto menos, llamativos. Evernote, por ejemplo, fue víctima de una intrusión que hizo a la empresa lanzar un comunicado pidiendo a más de 50 millones de usuarios que cambiaran su contraseña. La página web de la Reserva Federal Estadounidense fue vulnerada, según un comunicado que publicó la propia entidad, aunque no aclaraba si se produjo algún tipo de robo de información. Sin embargo, este hecho coincidió con la publicación, por parte de Anonymous, de datos personales de 4.000 ejecutivos de la banca estadounidense, lo que, obviamente, lleva a pensar que el ataque sufrido por la FED fue llevado a cabo por este grupo. La NASA fue también víctima de una agresión. A través de la popular web Pastebin se publicó información interna de esta entidad, que incluía direcciones de correo, nombres reales, contraseñas, etc.
Redes sociales
Durante este trimestre, diferentes cuentas de Twitter, tanto de empresas como de personajes conocidos, han sido hackeadas. Uno de los casos más llamativos fue el de Burger King, donde los atacantes al parecer lograron adivinar la contraseña de la cuenta y hacerse con ella. Acto seguido cambiaron la imagen de fondo por la de McDonalds, comunicando que acababan de ser adquiridos por su principal competidor.
La cuenta de Twitter del fabricante automovilístico Jeep sufrió una agresión muy similar. En este caso se anunció que la firma había sido adquirida por Cadillac. Otro tipo de hackeos en cuentas de Twitter que hemos observado a lo largo de este trimestre tienen un tinte más político. Un grupo de ciberdelincuentes autodenominado “Syrian Electronic Army” consiguió hackear diferentes cuentas pertenecientes a diferentes organizaciones. Al parecer, primero lanzaron ataques de phishing para poder obtener las credenciales de acceso a Twitter y posteriormente secuestrar las cuentas. Entre sus víctimas figuran Human Rights Watch, el servicio de noticias francés France 24 o el servicio meteorológico de la BBC.
Ciberguerra
China suele ser uno de los protagonistas habituales de esta sección, pero en este trimestre el gigante asiático se ha ganado la palma. El pasado 30 de enero, el diario norteamericano The New York Times publicaba en portada una noticia en la que explicaba cómo habían sido víctimas de un ataque que se había saldado con el acceso a sus ordenadores y el consiguiente espionaje durante cuatro largos meses. Casualmente, la agresión se produjo justo después de un artículo de investigación publicado en este diario donde se contaba como Wen Jiabao, primer ministro chino, y su familia habían amasado una fortuna de miles de millones de dólares.
Un día más tarde, el diario económico The Wall Street Journal anunciaba que también habían sido víctimas de una agresión similar por parte de lo que parecían ser hackers chinos. En esta tesitura, el gobierno chino, ofendido por lo que ha considerado como “ataques injustificados”, ha dejado sonar su protesta, y Hong Lei, Ministro de Asuntos Exteriores de China, hacía unas declaraciones alegando que insinuar que los ataques procedían de su país era algo irresponsable y basado en meras especulaciones.
Curiosamente, en ambos casos descritos los atacantes pudieron acceder a todo tipo de información de los medios vulnerados (datos de clientes, etc.), sin embargo se centraron únicamente en la información sobre periodistas y empleados, tratando de encontrar cualquier referencia a investigaciones sobre China, y principalmente buscando las fuentes utilizadas para elaborar los artículos de investigación sobre el país asiático en cuestión.
El día siguiente a la revelación de The Wall Street Journal, otro gigante de los medios norteamericanos, The Washington Post, reconocía una agresión similar vivida en 2011 con origen de nuevo en China.
Semanas más tarde, la compañía norteamericana Mandiant publicaba un demoledor informe de 76 páginas (APT1: Exposing One of China’s Cyber Espionage Units, http://intelreport.mandiant.com/) donde detallaba cómo la Unidad 61398 del ejército chino estaba especializada en ataques de ciberespionaje. El informe revela más de 3.000 evidencias que demuestran cómo esta unidad llevaba en funcionamiento, al menos desde el año 2006, robando información en al menos 141 organizaciones de todo el mundo.
“Es posible que no nos percatemos de la importancia que tiene este informe de Mandiant y de las repercusiones que puede llegar a acarrear a medio y largo plazo. Demostrar quién está detrás de cualquier ataque es algo muy complejo, incluso en casos de ciberdelincuencia normales. Cuando hablamos de ciberespionaje es aún más complicado por el simple hecho de que quien está detrás responde a un perfil altamente cualificado y con medios más que suficientes para ir cubriendo su rastro. Desde hace años todas las miradas se volvían a China cada vez que se daba un caso de este tipo, a pesar de no existir pruebas evidentes. Pues bien, por primera vez se ha demostrado que el ejército chino está activamente realizando labores de espionaje a nivel mundial, infiltrándose en empresas de todos los sectores y robando información”, ha comentado Luis Corrons.
