Hace años, el escenario típico de piratería informática implicaba a un atacante solitario y tal vez a algunos compañeros que trabajaban hasta altas horas de la noche en Mountain Dew, buscando direcciones IP públicas. Cuando encontraban una, enumeraban los servicios publicitarios (servidor web, servidor SQL, etc.), entraban utilizando una multitud de vulnerabilidades y luego exploraban la empresa comprometida a su antojo. A menudo su intención era exploratoria. Si hacían algo ilegal, solía ser un crimen de oportunidad impulsado por el momento.
Cómo han cambiado los tiempos.
Cuando se describe un escenario típico de hacking, hoy en día hay que empezar mucho antes del hacking o incluso del hacker, con la organización que está detrás del ataque. Hoy en día, la piratería informática es todo un delito, todo el tiempo, con mercados de ofertas de malware, sindicatos del crimen, redes de bots de alquiler, actores estatales y una guerra cibernética desbocada.
Aquí están las nueve mayores amenazas a las que se enfrentan los profesionales de la seguridad informática de hoy en día.
- Amenaza nº 1: Sindicatos del cibercrimen
- Amenaza nº 2: Estafas de poca monta -y las mulas de dinero y los blanqueadores que las apoyan
- Amenaza nº 3: Hacktivistas
- Amenaza nº 4: Robo de propiedad intelectual y espionaje corporativo
- Amenaza nº 5: mercenarios del malware
- Amenaza nº 6: Botnets como servicio
- Amenaza nº 7: malware todo en uno
- Amenaza nº 8: La web cada vez más comprometida
- Amenaza nº 9: Ciberguerra
- Crimen y no castigo
Amenaza nº 1: Sindicatos del cibercrimen
Aunque el cerebro criminal solitario sigue existiendo, hoy en día la mayoría de los ataques de hacking maliciosos son el resultado de grupos organizados, muchos de los cuales son profesionales. Los grupos tradicionales de delincuencia organizada que solían dedicarse a las drogas, el juego, la persecución y la extorsión se han lanzado al ruedo del acaparamiento de dinero en línea, pero la competencia es feroz, liderada no por mafiosos sino por varios grupos muy grandes de delincuentes profesionales dirigidos específicamente a la ciberdelincuencia.
Muchos de los sindicatos de ciberdelincuentes organizados más exitosos son empresas que lideran grandes grupos de conglomerados de afiliados, muy en la línea de las jerarquías de marketing legal distribuido. De hecho, el ciberdelincuente de hoy en día probablemente tiene más en común con un representante de Avon o Mary Kay de lo que cualquiera de ellos quiere admitir.
Los grupos pequeños, con unos pocos miembros, siguen hackeando, pero cada vez más, los profesionales de la seguridad informática se enfrentan a grandes corporaciones dedicadas al comportamiento deshonesto. Piensa en empleados a tiempo completo, departamentos de recursos humanos, equipos de gestión de proyectos y líderes de equipos. Y todo es delictivo, no hay más mensajes divertidos impresos en la pantalla u otras payasadas de adolescentes. La mayoría operan abiertamente, y algunas -como la Russian Business Network- tienen incluso sus propias entradas en Wikipedia. La especialización y la división del trabajo son la base de estas organizaciones. Una sola mente maestra, o un círculo interno, dirigirá el colectivo. Los sargentos y las subdivisiones se especializarán en diferentes áreas, con un brazo dedicado a la creación de malware, otro dedicado al marketing, otro que establece y mantiene el canal de distribución, y otro más encargado de crear botnets y alquilarlas a otros malhechores (ver más abajo).
No es de extrañar que las prácticas populares de seguridad informática no funcionen contra el malware actual, dado que la ciberdelincuencia ha evolucionado hasta convertirse en una industria multinivel y orientada a los servicios con el objetivo flagrante de desplumar a las empresas y a las personas de su dinero y su propiedad intelectual.
Amenaza nº 2: Estafas de poca monta -y las mulas de dinero y los blanqueadores que las apoyan
No todas las organizaciones de ciberdelincuentes son sindicatos o corporaciones. Algunas son simplemente de naturaleza empresarial, pequeñas empresas que buscan una cosa: dinero.
Estas operaciones maliciosas de tipo “mamá y papá” pueden robar identidades y contraseñas, o pueden provocar una nefasta redirección para conseguirlo. Al final, lo que quieren es dinero. Inician transacciones bancarias o de tarjetas de crédito fraudulentas y convierten sus ganancias mal habidas en moneda local utilizando mulas de dinero, distribución electrónica de efectivo, banca electrónica o algún otro tipo de blanqueo de dinero.
No es difícil encontrar blanqueadores de dinero. Hay entre docenas y cientos de entidades que compiten por ser la que se lleva un gran porcentaje del botín obtenido ilegalmente. De hecho, te sorprendería el carácter competitivo y público de todos los que mendigan hacer negocios de apoyo con los delincuentes de Internet. Anuncian un alojamiento “sin preguntas” y “a prueba de balas” en países alejados del alcance de las citaciones legales, y ofrecen tablones de anuncios públicos, ofertas de software, asistencia telefónica 24 horas al día y 7 días a la semana, foros de ofertas, referencias de clientes satisfechos, habilidades para evitar el malware y todos los servicios que ayudan a otros a ser mejores delincuentes en línea. Un buen número de estos grupos gana decenas de millones de dólares cada año.
Muchos de estos grupos y las personas que están detrás de ellos han sido identificados (y arrestados) en los últimos años. Sus perfiles en las redes sociales muestran a gente feliz con grandes casas, coches caros y familias contentas que toman vacaciones en el extranjero. Si son mínimamente culpables de robar dinero a otros, no se nota.
Imagínate las barbacoas del barrio en las que cuentan a los vecinos y amigos que dirigen un “negocio de marketing en Internet”, todo ello mientras se abren camino mediante ingeniería social para conseguir millones, ante la consternación de los profesionales de la seguridad informática que han hecho todo lo posible para proteger a los usuarios de ellos mismos.
Amenaza nº 3: Hacktivistas
Mientras que la jactancia de los exploits no era infrecuente en los primeros tiempos, el ciberdelincuente de hoy busca pasar desapercibido, con la excepción de las crecientes legiones de hacktivistas.
Los profesionales de la seguridad informática tienen que enfrentarse a un número creciente de confederaciones sueltas de individuos dedicados al activismo político, como el infame grupo Anonymous. Los hackers con motivaciones políticas han existido desde que nació el hacking. El gran cambio es que cada vez lo hacen más abiertamente y la sociedad lo reconoce como una forma aceptada de activismo político.
Los grupos de hackers políticos suelen comunicarse, de forma anónima o no, en foros abiertos anunciando sus objetivos y herramientas de hacking con antelación. Reúnen a más miembros, llevan sus quejas a los medios de comunicación para conseguir el apoyo del público y se hacen los sorprendidos si son arrestados por sus actos ilegales. Su intención es avergonzar a la víctima y atraer la atención negativa de los medios de comunicación en la medida de lo posible, ya sea pirateando la información de los clientes, cometiendo ataques de denegación de servicio distribuidos (DDoS) o simplemente causando más problemas a la empresa víctima.
El hacktivismo político suele intentar causar dolor monetario a su víctima en un intento de cambiar su comportamiento. Las personas pueden ser un daño colateral en esta lucha, e independientemente de si uno cree en la causa política del hacktivista, la intención y la metodología siguen siendo criminales.
Amenaza nº 4: Robo de propiedad intelectual y espionaje corporativo
La mayoría de los profesionales de la seguridad informática tienen que enfrentarse al gran grupo de hackers maliciosos que roban la propiedad intelectual de las empresas o realizan directamente espionaje corporativo. Su método consiste en irrumpir en los activos informáticos de una empresa, volcar todas las contraseñas y, con el tiempo, robar gigabytes de información confidencial: patentes, ideas de nuevos productos, secretos militares, información financiera, planes de negocio, etc. Pasan información valiosa a sus clientes para obtener beneficios económicos, y permanecen ocultos dentro de la red de la empresa comprometida durante el mayor tiempo posible.
Para cosechar sus recompensas, espían correos electrónicos importantes, asaltan bases de datos y obtienen acceso a tanta información que muchos han empezado a desarrollar sus propios motores de búsqueda maliciosos y herramientas de consulta para separar el forraje de la propiedad intelectual más interesante.
Este tipo de atacante se conoce como amenaza persistente avanzada (APT) o adversario humano determinado (DHA). Son pocas las grandes empresas que no se han visto comprometidas con éxito por estas campañas.
Amenaza nº 5: mercenarios del malware
No importa la intención o el grupo que esté detrás del ciberdelito, alguien tiene que hacer el malware. En el pasado, un solo programador hacía el malware para su propio uso, o quizás para venderlo. Hoy en día, hay equipos y empresas que se dedican exclusivamente a escribir programas maliciosos para eludir defensas de seguridad específicas, atacar a clientes concretos y lograr objetivos específicos. Se venden en el mercado abierto en foros de ofertas.
A menudo el malware tiene varias fases y componentes. Un programa secundario más pequeño se encarga de la explotación inicial del ordenador de la víctima y, una vez colocado de forma segura para asegurarse de que sobrevive a un reinicio, se pone en contacto con un servidor web de la “nave nodriza” para obtener más instrucciones. A menudo, el programa stub inicial envía consultas DNS en busca de la nave nodriza, que suele ser un ordenador comprometido que actúa temporalmente como tal. Estas consultas DNS se envían a servidores DNS que tienen la misma probabilidad de ser ordenadores víctimas inocentemente infectados. Los servidores DNS se mueven de un ordenador a otro, al igual que los servidores web de la nave nodriza.
Una vez contactado, el servidor DNS y la nave nodriza suelen redirigir al cliente stub inicial a otros servidores DNS y de la nave nodriza. De este modo, el cliente stub es dirigido una y otra vez (a menudo más de una docena de veces) a ordenadores recién explotados, hasta que finalmente el programa stub recibe sus instrucciones finales y se instala el programa malicioso más permanente. Esta configuración hace que sea muy difícil para los profesionales de la seguridad informática defenderse de sus mercancías.
Amenaza nº 6: Botnets como servicio
Los botnets ya no son sólo para sus creadores. Tras haber comprado, con toda probabilidad, el programa de malware que crea el bot, los propietarios actuales utilizarán la red de bots para sí mismos o la alquilarán a otros por horas u otra métrica.
La metodología es conocida. Cada versión del programa malicioso intenta explotar hasta decenas de miles de ordenadores en un esfuerzo por crear una única red de bots que funcione a las órdenes del creador. Cada bot de la red de bots se conecta finalmente a su(s) servidor(es) de mando y control (C&C) para obtener sus últimas instrucciones. Esas instrucciones suelen incluir el envío de un programa de ransomware. Se han encontrado redes de bots con cientos de miles de ordenadores infectados.
Ahora que hay tantas redes de bots activas (decenas de millones de ordenadores infectados cada día), el alquiler de redes de bots es bastante barato, lo que significa más problemas para los profesionales de la seguridad informática.
Los combatientes del malware a menudo intentan derribar los servidores C&C o se apoderan de ellos para poder ordenar a los bots que se conectan que desinfecten sus ordenadores anfitriones y mueran.
Amenaza nº 7: malware todo en uno
Los programas de malware sofisticados a menudo ofrecen una funcionalidad todo en uno, de principio a fin. No sólo infectan al usuario final, sino que también entran en los sitios web y los modifican para ayudar a infectar a más víctimas. Estos programas de malware “todo en uno” a menudo vienen con consolas de gestión para que sus propietarios y creadores puedan hacer un seguimiento de lo que está haciendo la red de bots, a quién están infectando y cuáles son los más exitosos.
La mayoría de los programas maliciosos son caballos de Troya. Los virus y gusanos informáticos hace tiempo que dejaron de ser los tipos de malware más populares. En la mayoría de los casos, el usuario final es engañado para que ejecute un troyano que se anuncia como un análisis antivirus necesario, una herramienta de desfragmentación de disco o alguna otra utilidad aparentemente esencial o inocua. Las defensas normales del usuario son engañadas porque la mayoría de las veces la página web que ofrece el ejecutable fraudulento es un sitio de confianza que han visitado muchas veces. Los delincuentes simplemente comprometen el sitio, utilizando una serie de trucos, e insertan unas pocas líneas de JavaScript que redirigen los navegadores de los usuarios al programa troyano.
Amenaza nº 8: La web cada vez más comprometida
En el nivel más básico, un sitio web es simplemente un ordenador, al igual que una estación de trabajo normal de usuario final. A su vez, los webmasters son usuarios finales como todos los demás. No es de extrañar que la Web legítima esté plagada de enlaces de redirección de JavaScript maliciosos.
No es del todo una cuestión de explotación de los ordenadores de los webmasters lo que está conduciendo al aumento de los compromisos de los servidores web. Lo más frecuente es que los atacantes encuentren un punto débil o una vulnerabilidad en un sitio web que les permita saltarse la autenticación del administrador y escribir scripts maliciosos.
Las vulnerabilidades más comunes de los sitios web son las contraseñas deficientes, las vulnerabilidades de cross-site scripting, la inyección SQL, el software vulnerable y los permisos inseguros. La lista Top 10 del Open Web Application Security Project es la autoridad en cuanto a cómo se comprometen la mayoría de los servidores web.
Muchas veces no es el servidor web o su software de aplicación, sino algún enlace o anuncio el que es hackeado. Es común que los anuncios de banner, que a menudo son colocados y rotados por agencias de publicidad en general, terminen infectados. A veces, los delincuentes compran espacios publicitarios en servidores web populares.
Debido a que muchos de los malhechores se presentan como hombres de negocios de corporaciones legítimas, con sedes corporativas, tarjetas de visita y cuentas de gastos, no siempre es tan fácil separar las fuentes de publicidad legítimas de las de los malhechores, que a menudo comienzan anunciando un producto legítimo sólo para cambiar el enlace del anuncio a un producto falso una vez que la campaña publicitaria está en marcha. Una de las hazañas más interesantes consistió en que los hackers comprometieron a un sindicato de caricaturas para que todos los periódicos que volvieran a publicar las caricaturas afectadas terminaran distribuyendo malware. Ya ni siquiera se puede confiar en una caricatura.
Otro problema con los sitios web hackeados es que los ordenadores que alojan un sitio a menudo pueden alojar varios sitios, a veces cientos o miles. Un sitio web hackeado puede conducir rápidamente a miles más.
Sin importar cómo fue hackeado el sitio, el usuario inocente, que podría haber visitado este sitio web en particular durante años sin ningún problema, un día se le pide que instale un programa inesperado. Aunque se sorprenda, el hecho de que el aviso provenga de un sitio web que conoce y en el que confía es suficiente para que ejecute el programa. Después de eso, se acabó el juego. El ordenador (o el dispositivo móvil) del usuario final es otro engranaje de la gran red de bots de alguien.
Amenaza nº 9: Ciberguerra
Los programas de ciberguerra de los estados nacionales son una clase aparte y no son algo a lo que la mayoría de los profesionales de la seguridad informática se enfrenten en su rutina diaria. Estas operaciones encubiertas crean programas de ciberguerra complejos y profesionales con la intención de vigilar a los adversarios o de acabar con la funcionalidad de un adversario, pero como muestran Stuxnet y Duqu, las repercusiones de estos métodos pueden tener consecuencias para algo más que los objetivos previstos. Ahora tenemos incluso estados-nación, como Corea del Norte, que derriban y explotan una empresa de la lista Fortune 500 porque no le gustó una película concreta.
Crimen y no castigo
Algunas víctimas nunca se recuperan de la explotación. Su historial crediticio queda marcado para siempre por una transacción fraudulenta de un hacker, el malware utiliza la lista de la agenda de direcciones de la víctima para reenviarse a sí mismo a amigos y familiares, las víctimas del robo de propiedad intelectual gastan decenas de millones de dólares en reparaciones y prevención.
La peor parte es que casi ninguno de los que utilizan los ataques maliciosos mencionados es procesado con éxito. Los delincuentes profesionales de Internet viven a sus anchas porque Internet no es bueno para producir pruebas procesables. Incluso si pudiera, los sospechosos viven al margen de la jurisprudencia de los tribunales de las víctimas. La mayoría de los hackeos son anónimos por defecto, y las pistas se pierden y se cubren en milisegundos. Ahora mismo, vivimos en los días del “salvaje, salvaje oeste” de Internet. A medida que madure, los refugios de los delincuentes se agotarán. Hasta entonces, los profesionales de la seguridad informática tienen mucho trabajo por delante.