Por: Carlos Cordero Pérez.   30 agosto, 2020
Los hackers aprovechan fechas, celebraciones, emergencias y cualquier evento. Las empresas y los usuarios deben estar siempre alerta. (Imagen archivo)
Los hackers aprovechan fechas, celebraciones, emergencias y cualquier evento. Las empresas y los usuarios deben estar siempre alerta. (Imagen archivo)

El Centro de Respuesta de Incidentes Informáticos de Costa Rica (CSIRT-CR) emitió una alerta a los encargados de informática de instituciones públicas y partidos políticos sobre un software maligno (malware) llamado Drovorub.

El CSIRT-CR, que pertenece al Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt), explicó a mediados de este mes de agosto que el malware pertenece a un grupo denominado APT28 (Fancy Bear) que se enfoca en este tipo de entidades.

La alerta inicial provenía de la Agencia de Seguridad Nacional y de la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) de Estados Unidos.

Drovorub ataca sistemas basados en Linux que no están actualizados con el fin de vulnerarlos y robar información. (Debe recordarse que muchos servidores operan con sistemas de código abierto.)

Las autoridades de EE. UU. lo relacionan con intentos de hackear dispositivos de sistemas de Internet de las cosas para tener acceso a las redes e ingresar a los sistemas de datos.

No es, por supuesto, el único ataque que se ha producido últimamente.

Un reporte de la firma de ciberseguridad, Fortinet, indica que en el primer semestre de este 2020 se detectaron más de 51 millones de ataques informáticos contra sistemas y dispositivos institucionales, empresariales y personales en Costa Rica.

Desde el inicio de la pandemia del COVID-19 los especialistas en ciberseguridad advirtieron que los hackers estaban intentando ingresar a los sistemas corporativos, aprovechando las vulnerabilidades en las redes domésticas de los empleados trasladados a teletrabajo.

“Vemos una creciente actividad cibercriminal hacia objetivos en Costa Rica a medida que los hackers continúan lanzando métodos de ataque sofisticados dirigidos a víctimas desprevenidas, independientemente de su ubicación”, dijo Joaquín Martínez, gerente de Fortinet Costa Rica.

Principales ataques detectados por Fortinet en Costa Rica. (Imagen para EF)
Principales ataques detectados por Fortinet en Costa Rica. (Imagen para EF)
Digitalización y seguridad

La pandemia aceleró la digitalización con el teletrabajo, los servicios corporativos, el comercio electrónico, aprendizaje remoto, los eventos virtuales, la telemedicina, el desarrollo de aplicaciones y la comunicación, entre otros.

“En dos meses se avanzó en la transformación digital lo que habría tomado 24 meses”, aseguró Verónica Peña, directora regional de soluciones de trabajo moderno, seguridad y Surface de Microsoft.

Usuarios, empresas e instituciones, algunas en mejor forma dependiendo de sus avances tecnológicos previos, se enfocaron inicialmente en mantener así las operaciones en medio de la emergencia y el confinamiento. La prioridad era responder a la situación.

Conforme pasaron los meses –a punto de cumplir un semestre completo de emergencia– las acciones se han orientado a recuperar parte de la normalidad en medio de la realidad de una segunda ola de contagios y cambios en las medidas económicas.

La seguridad tomó relevancia en segundo plano, de manera paralela y de forma silenciosa, como una preocupación central de los encargados de informática.

Las caídas de algunos servicios corporativos pasaron tan fugaz como silenciosamente, a diferencia de la situación que sufrieron los servicios en línea del Instituto Costarricense de Acueductos y Alcantarillados y del servicio Box Correos, de Correos de Costa Rica.

Un reporte de la firma PwC indicó que en el 78% de las firmas ya se había avanzado en términos de entrenamiento y concientización con sus colaboradores en materia de seguridad.

Durante la crisis por la pandemia fue crítico, para el paso al trabajo remoto, las inversiones en redes privadas virtuales (VPN), escritorios virtuales (VDI), gestión de dispositivos móviles, seguridad de punto final y arquitectura de red basada en identidad.

Con eso hicieron frente al incremento de ataques desde el inicio de la emergencia, reconocido por el 60% de las 114 compañías encuestadas en Centroamérica y República Dominicana entre el 28 de julio y el 18 de agosto anteriores.

En la medida que los hackers también utilizan tecnologías avanzadas para atacar, a las empresas les fue muy valioso contar con herramientas de gestión de riesgos basados en datos, tales como inteligencia de amenazas en tiempo real, análisis de datos y cuantificación del riesgo cibernético.

“Las inversiones en capacidades de resiliencia fueron útiles para la gestión de la crisis, como la continuidad del negocio y la planificación de recuperación ante desastres y los servicios de detección y respuesta gestionados”, señala el reporte de PwC, dados a conocer el pasado 24 de agosto.

Tipos de ataques

Entre los ataques detectados se encuentran intentos para obtener las claves de los usuarios (phishing), correos que suplantan la identidad del remitente (spoofing), mensajes con enlaces a páginas falsas o incitan a la descarga de un archivo que contiene un malware.

Tanto Fortinet como PwC advirtieron también que las configuraciones para el trabajo remoto generan una mayor exposición y sobre la intensificación de campañas de ingeniería social.

La ingeniería social en estos meses se enfoca en intentar que los usuarios visiten sitios web o hagan clic en enlaces maliciosos, así como brinden información personal por teléfono, bajo pretextos relacionados con la pandemia.

El reporte de Fortinet destacó ataques de malware como el RTF/CVE, el HTML/ScrInject y el W32/Mimikatz.

El primero se dirige a detectar documentos de Microsoft Office para explotar vulnerabilidades.

El segundo es un troyano que establece un acceso remoto y captura lo que el usuario digita en su teclado, recopila información del sistema, descarga y carga archivos, y realiza ataques de denegación de servicios, entre otros.

El tercero es otro troyano que roba contraseñas y se las envía al hacker.

Todos ellos son imperceptibles para un usuario, excepto que algunos de ellos tienen síntomas como el uso de recursos de las computadoras y dispositivos, lo que reduce el rendimiento computacional.

Medidas

Según PwC la mayoría de las empresas esperan un aumento de los ciberataques en los próximos seis meses.

Se harían más frecuentes los intentos de acceso sin credenciales, así como los ataques de denegación de servicios.

También se enfrentarán más riesgos en el robo de datos y lo que eso implica para las empresas en términos legales según las normas de protección de información.

Las firmas de seguridad recalcan en la necesidad de aumentar la preparación de los usuarios y concientizarlos sobre evitar caer en las trampas de los hackers. Según PwC hacia allí apuntan las estrategias de las compañías.

¿Será suficiente?

Mientras tanto, esperando que no sea demasiado tarde, para enfrentar al  Drovorub tome las siguientes medidas: actualice los servidores y equipos, actualice el kernel de Linux a la versión 3.7 o superior, y verifique que la red no tiene un comportamiento inusual.

Por cualquier cosa, cambie las contraseñas de los servidores, estaciones de trabajo y de las cuentas de correos y otros accesos (¿también las contraseñas bancarias?) reforzando la configuración con letras mayúsculas, caracteres especiales, números y 12 dígitos mínimo.

Y, por favor, no se las muestre o se las entregue a nadie.