Los hackers siguen muy activos con sus software malignos ( malware ), los cuales además se caracterizan por su efectividad, rapidez y capacidad de adaptación para evadir las barreras y fijarse nuevos objetivos: los sensores de Internet de las cosas (IoT) y los servicios en la nube.
La primera parte del 2017 estuvo marcada por los ataques masivos de Wannacry , un ransomware que secuestraba datos y los liberaba a cambio de un pago.
Los episodios no mermaron, según los reportes de firmas especializadas en seguridad informática como Kaspersky , Eset, Deloitte, Unitrends y Akamai .
“Los incidentes que han tenido un gran auge durante el primer semestre (principalmente durante el segundo trimestre) son los relacionados al ransomware , los cuales no muestran ningún signo de desaceleración”, afirmó Alex Araya, ingeniero de ciberseguridad de El Orbe .
En Costa Rica, de enero a julio de este año se identificaron ataques de denegación de servicios (DdoS), suplantación de identidad ( phishing ), correos no deseados ( spam ) y secuestros de datos o ransomware .
Todos generaron afectación, pero no comprometieron el funcionamiento de las plataformas digitales, indicó el Centro Nacional de Respuesta a Incidentes de Seguridad Informáticos del Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt).
LEA Firmas locales reportan diversos ataques informáticos en Costa Rica, pero no de Wannacry
Sin detenerse
La cantidad de incidentes a nivel global sigue sin enfriarse.
Cada día hay 90.000 ataques con fines de extorsión. Lo que se paga por rescates o recompensas para recuperar información secuestrada alcanza los $1.000 millones, se reveló en la Conferencia Anual del Foro de Equipos de Respuesta a Incidentes de Seguridad Informática, realizada en junio pasado en Puerto Rico.
Kaspersky reporta que el volumen de ransomware como Wannacry aumentó 3,5 veces en lo que va del año en América Latina.
El portal Hackmageddon , especializado en estadísticas de ciberseguridad, indica que el 75% de los ataques son con fines criminales y el 21% es para espionaje.
El reporte más reciente de la firma Akamai también detectó que los ataques a aplicaciones web y de denegación de servicios o DDoS se incrementaron más de una cuarta parte entre abril y junio en comparación al primer trimestre (enero a marzo).
En Costa Rica los atacantes vienen utilizando la suplantación de identidad, donde se piden credenciales bancarias y autorizaciones de pagos por teléfono, correo electrónico y sitio web.
El viceministro de Ciencia y Tecnología, Sanders Pacheco, y el coordinador del Centro Nacional de Respuesta, Johnny Pan, advirtieron que los ciberdelincuentes recurren a la suplantación de identidad para realizar fraudes contra las empresas, utilizando incluso simples llamadas telefónicas y obteniendo información clave (como las contraseñas de cuentas bancarias).
También emplean diversos canales para descargar archivos maliciosos y obtener el control remoto de los equipos.
“Basta con conocer la víctima, lo cual no es una tarea compleja dada la información en redes sociales”, dijo Andrés Casas, socio de Risk Advisory de Deloitte.
El problema es la falta de preparación de las empresas . Casi la mitad de las compañías requiere protección de sus sistemas de almacenamiento de datos.
Y una quinta parte necesita protección de los dispositivos de sus colaboradores, respaldos de datos y protección de aplicativos y servicios en la nube, según Unitrends.
La falta de preparación ocurre pese a que a nivel global la inversión en sistemas de seguridad crecería 7% a $86.400 millones en el 2017, de acuerdo con Gartner, firma de investigación de mercados de tecnología.
LEA Los ataques informáticos más frecuentes en Costa Rica
Nuevo botín
Varias son las señales de cómo los ciberdelincuentes están encontrando nuevas formas para atacar a las empresas.
Los dispositivos o sistemas que utilizan los consumidores, como los de ejercicios y otros de la tecnología del vestir ( wearables ), se pueden convertir en puertas de entrada a datos corporativos.
También los sensores que se emplean para IoT en comercio o en las fábricas.
Paralelamente hay un cambio de estilo. Ahora los ataques son más rápidos y efectivos: en minutos pueden comprometer tres cuartas partes de los sistemas de las empresas o instituciones.
Un ejemplo sería un ejecutable conocido como Win32/Autoit.LS que se propaga a través de dispositivos extraíbles (como memorias USB o llaves maya) y descarga malware para paralizar equipos o usarlo para propagar spam u otros virus informáticos.
Según Eset, firma de seguridad informática, este ejecutable fue el ataque de más volumen detectado en Costa Rica en el primer semestre del 2017.
¿Qué hacen los hackers después de penetrar los sistemas informáticos corporativos?
Cada vulnerabilidad que encuentran funciona como una puerta de entrada que permite a los hackers penetrar y realizar “movimientos laterales” para invadir, contaminar, raptar datos o inutilizar otros sistemas.
A los hackers también les seduce la valiosa información concentrada en los proveedores de servicios en la nube.
“El cambio que notamos tiene que ver con un crecimiento en la cantidad y niveles de propagación de ramsomware ”, afirmó Camilo Gutiérrez, director del Laboratorio de Investigación de Eset Latinoamerica.
En buena medida eso se debe a que los hackers no encuentran oposición a sus extorsiones.
Otra característica es que los atacantes –siempre en constante actualización – adaptan los malware a las nuevas medidas de seguridad para no ser detectados por los nuevos sistemas de protección informática.
“Aun si actualizas tus sistemas de seguridad, existe un riesgo de que los piratas mejoren sus virus de tal manera que sí puedan penetrar”, dijo Marcelo Toniolo, Director Regional de Gestión de Riesgos Operacionales para PayPal, la firma de pagos y transferencias a través de Internet.
A su favor tienen, además, que tres cuartas partes de las firmas no descargan los parches que periódicamente les anuncian los proveedores tecnológicos
La situación es particularmente crítica en la región latinoamericana, donde usualmente hay un atraso de 12 a 18 meses en la aplicación de las últimas medidas de seguridad informática.
Bombardeo local
Tipos de incidentes identificados a nivel local:
Denegación de servicios: Se genera información masiva a un solo servicio provocando que sea inaccesible.
Suplantación de identidad: Intenta adquirir información confidencial (contraseñas, claves, tarjetas) mediante sitios o correos falsos.
Correo basura: Información publicitaria que usa equipos de terceros y afecta su rendimiento.
Ransomware: Captura o secuestro de datos con fines de extorsión para rescatarlos a cambio de rescate.
Fuente Micitt y firmas consultadas.