Protagonistas de la ciberseguridad en el inicio de 2018
El año 2018 se ha iniciado, desde el punto de vista de la ciberseguridad, con dos temas: las vulnerabilidades Meltdown y Spectre, cuyo impacto se dejará sentir aún en los próximos meses; y los incidentes de seguridad relacionados con criptodivisas que ya empezamos a ver a finales del año pasado.
Meltdown, Spectre y las vulnerabilidades en los procesadores
Comenzar el año con vulnerabilidades del calado de Meltdown y Spectre no es nada agradable, especialmente si aún nos pilla con los polvorones en la boca. Lamentablemente, esto es lo que vivimos durante los primeros días de enero al ver cómo se hacían públicas unas vulnerabilidades en la arquitectura de procesadores de uso masivo de fabricantes como Intel, ARM o AMD, que forman el núcleo de nuestros ordenadores, smartphones y muchos otros dispositivos.
Los ciberdelincuentes podrían aprovechar fallos en el diseño de los procesadores actuales que permitirían a una aplicación maliciosa robar información confidencial que estuviera siendo procesada en ese momento en el ordenador. Normalmente, las medidas de seguridad instaladas en los procesadores impiden que una aplicación tenga acceso a la información que maneja otro programa, pero un atacante puede beneficiarse de las vulnerabilidades tanto de Meltdown como de Spectre para conseguir la información que, en ese momento, esté almacenando en memoria otra aplicación.
Una vez lanzada la voz de alarma, las noticias se sucedieron bastante rápido, con varios fabricantes de procesadores, sistemas operativos, empresas especializadas en almacenamiento y procesamiento en la nube, entre otras, confirmando (o desmintiendo) que se habían visto afectadas y publicándose un elevado número de parches para tratar de mitigar posibles ataques.
Sin embargo, en esta ocasión la solución no era tan sencilla como aplicar un parche y olvidarse ya que, si bien era posible mitigar ciertos ataques con la aplicación de actualizaciones en los sistemas operativos, drivers y firmware, la base del problema se encuentra en el propio diseño de la arquitectura de los procesadores y en cómo realizan las conocidas como funciones multi-hilo. Por eso, hasta que no se realice un rediseño de la arquitectura actual de los procesadores no podremos estar completamente seguros de que no vamos a vernos afectados y eso puede tardar bastante tiempo.
Además, tras aplicar algunos parches, los usuarios informaron sobre numerosos problemas que iban desde los reinicios constantes del sistema hasta una pérdida del rendimiento bastante considerable en ciertos entornos. Así las cosas, a finales de mes Microsoft se vio obligada a lanzar una actualización que deshabilitaba uno de los parches por los problemas causados y no ofreció una nueva fecha de lanzamiento. “Por si fuera poco, los delincuentes no han tardado en desarrollar amenazas para aprovechar estas vulnerabilidades y, si bien la mayoría de ellas son simples pruebas de concepto, es más que probable que veamos cómo intentan aprovechar estos agujeros de seguridad en los próximos meses”, explica Josep Albors, responsable de concienciación e investigación en ESET España.
Las criptomonedas como amenaza predominante
Durante el último trimestre de 2017 vimos cómo se asentaba una nueva tendencia entre los delincuentes que estaba desplazando a una amenaza tan establecida como el ransomware. El minado no autorizado de criptomonedas ha ido escalando posiciones hasta convertirse en la amenaza más detectada en España y otros países de nuestro entorno durante el mes de enero.
Las técnicas usadas por los delincuentes para conseguir beneficios casi inmediatos han sido de lo más variopintas y van desde la infección por malware de servidores Linux hasta aplicaciones para dispositivos Android que abusan de los recursos del sistema para realizar procesos de minería.
Sin embargo, la amenaza más presente, y que más se ha extendido, corresponde a la inyección de código de minado en webs legítimas y que utiliza los recursos de los que las visitan para minar principalmente la criptodivisa Monero. Este tipo de incidentes de seguridad se ha multiplicado durante las primeras semanas del año, obligando a los usuarios a tomar medidas para bloquearlo mediante extensiones de los navegadores o su propio antivirus.
La obtención fácil y rápida de beneficios en forma de criptomonedas ha hecho que los delincuentes destinen muchos esfuerzos a estos ataques. También ha hecho que grupos organizados con experiencia, como los responsables de la botnet Necurs (una de las más longevas), hayan puesto su punto de mira en esta línea de negocio y estén realizando campañas de spam para fomentar la compra de criptodivisas minoritarias, hacer que incrementen su valor y venderlas cuando este valor sea lo suficientemente interesante como para obtener beneficios.
“Todo apunta a que, al menos durante los primeros meses de 2018, esta tendencia seguirá en aumento. Veremos nuevas e ingeniosas técnicas elaboradas por los delincuentes para conseguir afectar a un mayor número de sistemas para ponerlos a minar de inmediato”, afirma Albors.
Malware para Windows, Android y el Internet de las cosas
Durante el pasado mes, el laboratorio de ESET también ha analizado otras amenazas que han afectado a varios sistemas operativos. Para empezar, destaca el análisis realizado por ESET de Fridex, un sofisticado ransomware desarrollado por los mismos responsables del infame troyano bancario Dridex. Este ransomware fue descubierto en julio de 2017 y desde entonces ha protagonizado varias campañas que tenían como objetivos principales a empresas importantes. Su vector de ataque preferido son los ataques de fuerza bruta mediante RDP (Protocolo de Escritorio Remoto). “Su creación no implica que el troyano bancario Dridex haya sido abandonado, más bien que los delincuentes han diversificado su modelo de negocio”, puntualiza Albors.
En lo que respecta al malware para dispositivos móviles, durante enero el laboratorio de ESET analizó varias amenazas, entra las que se encuentra Skygofree, un potente software espía que tiene principalmente a los usuarios italianos de Android en su punto de mira. Este malware habría utilizado páginas web fraudulentas que se hacían pasar por las de los operadores legítimos, para así tratar de convencer a los usuarios para que descargasen la aplicación maliciosa. Las funcionalidades de este malware son varias y lo convierten en una potente herramienta de espionaje capaz de obtener mucha información de los dispositivos infectados como, por ejemplo, los mensajes de texto enviados, la ubicación, el registro de las llamadas o los eventos anotados en el calendario. Además, los atacantes pueden enviar varios comandos al móvil infectado y que les permiten grabar u obtener un vídeo o foto usando la cámara delantera del dispositivo, grabar audio cuando la víctima entra en una zona definida por los atacantes, robar ficheros utilizados por otra aplicación instalada en el dispositivo o forzar la conexión a una red WiFi controlada por los atacantes para capturar tráfico.
Las campañas de phishing también han sido protagonistas de los incidentes de seguridad en enero. Numerosas oleadas a través de correos electrónicos y aplicaciones de mensajería instantánea han intentado engañar a los usuarios alertando de falsos incidentes de seguridad en cuentas de Netflix y Paypal o también ofreciendo regalos o importantes descuentos en conocidas marcas. Las criptomonedas han sido, de la misma manera, usadas como cebo para atrapar a usuarios incautos y conseguir que participaran en compras fraudulentas de la futura criptodivisa auspiciada por Telegram.
