La inusual lista con los sucesos de seguridad más destacados de 2015

Konstantin Goncharov resume los eventos de seguridad más destacados de 2015.

Ha habido una gran cantidad de noticias sobre seguridad en 2015. Reducirlas a 10 es una tarea abrumadora. Sin embargo, para ser imparcial he decidido elegir las 10 historias más populares de Threatpost. Está claro que otras personas del mundo de la informática y de la seguridad, tendrán su propio Top 10, pero he intentado ser lo más equitativo posible, no soy yo quien ha elegido las noticias, sino los lectores. Sin embargo, si no estás de acuerdo o crees que me he dejado alguna noticia importante, te invito a dejar un comentario al respecto. Bien, sin más preámbulos, aquí tienes el Top 10 de las noticias de seguridad más destacadas de 2015.

La lista de este año está dividida en cinco categorías principales:

  • Amenazas de usuario final de bajo perfil.
  • Las vulnerabilidades “menos esperadas”: Internet de las cosas, dispositivos domésticos y seguridad de los aparatos de las redes industriales.
  • Problemas de cifrado.
  • Vulnerabilidades muy difundidas en las principales plataformas, ciberamenazas de nivel alto y ejemplos de los ataques más avanzados.
  • Bugs comunes aunque peligrosos en software de uso generalizado.

¡Empecemos!

Amenazas para el usuario final

Nº10: Un troyano en Facebook, descubierto en el mes de enero (la noticia). ¡Más de 110.000 usuarios de Facebook infectaron sus dispositivos con este troyano al hacer clic en un enlace malicioso en la red social! ¡Increíble!

https://media.kasperskydaily.com/wp-content/uploads/sites/88/2015/12/30161124/se-2.gif

Por desgracia, la mayoría de los internautas sufren los daños colaterales de esta ciberguerra entre buenos y malos (los cibercriminales). Por ejemplo, un troyano haciéndose pasar por una actualización de Adobe Flash que instala un keylogger en el equipo de la víctima. Mantenemos un constante seguimiento de este tipo de incidentes, pero rara vez suelen ser mencionados en listas de clasificación, ya que los expertos en seguridad no suelen estar muy entusiasmados al respecto.

Sin embargo, estas amenazas de seguridad “tradicionales” seguirán siendo el gran problema, tanto para los consumidores como para los usuarios corporativos. Las contramedidas son bastante sencillas y obvias, las medidas de seguridad y de protección llevan mucho tiempo con este tipo de ataques cibernéticos. Además, los ataques como el del troyano de Facebook que surgió enero siguen afectando a decenas de miles de usuarios, por lo que es necesario esforzarse por concienciar a la población de los métodos y técnicas de protección. Está claro que aún se puede mejorar en todos los ámbitos.

Ataques contra el Internet de las cosas, routers domésticos y dispositivos de red industriales

¿Qué tienen en común los controles remotos de las puertas de garaje y el software de red de Cisco? Ambos cuentan con una protección deficiente.

Aunque los usuarios y los proveedores consideran que la protección de sus ordenadores y dispositivos tradicionales es vital, prestan menos atención a sus dispositivos de conexión “inteligentes”. El caso es que, lo que a menudo se pasa por alto con el Internet de las cosas es que estos dispositivos son potentes ordenadores sin ninguna seguridad, y que pueden dar lugar a brechas de seguridad o algo peor.

Ha habido en Threatpost varias noticias a destacar sobre ataques a este tipo de dispositivos. Nº9: En el 2014, los investigadores en temas de seguridad de Check Point descubrieron una vulnerabilidad que afectó a 12 millones de routers domésticos (la noticia). Se utilizó un paquete especial diseñado con el fin de exponer la interfaz web del router. Nº8: Más tarde, en junio de 2015, se encontraron claves SSH cifradas por defecto en los dispositivos de seguridad de Cisco (más información aquí). Este es solo uno de los muchos casos en los que se encuentra este tipo de bugs en los dispositivos de red y software.

Nº7: Durante esta misma época, el reconocido investigador de seguridad Samy Kamkar, descubrió que los controles remotos de las puertas de garaje, tan populares en los EE.UU., también tienen una seguridad débil (la noticia). En tan solo 30 minutos se pueden descifrar las claves a base de fuerza bruta, sin embargo, una serie de bugs de software permitió a Kamkar hacerlo en 10 segundos.

No olvidemos las graves vulnerabilidades que se han encontrado en los sistemas automotrices. Este verano, a raíz de una pionera investigación llevada a cabo por Charlie Miller y Chris Valasek, Fiat Chrysler emitió el primer parche de seguridad de la historia en un automóvil: esta vulnerabilidad podría utilizarse para detener de forma remota el sistema de gestión del vehículo mediante el panel multimedia, posibilitando incluso hacerse con el mando del sistema de dirección. Si hay bugs en el software y en los dispositivos informáticos, ¿por qué no podría haber errores en el propio vehículo? Como decía un famoso Tweet que ya ha sido eliminado:

security-year-tweet

Cuando confiamos una tarea a los ordenadores, suelen tener menos errores que los humanos. Pero son las personas las que los programan, y los sistemas informáticos son cada vez más esenciales para realizar tareas críticas, desde gestionar centrales eléctricas a controlar el tráfico de una ciudad. ¡Bienvenidos a un nuevo mundo!

Cifrado

Bueno, esto es cada vez más complejo. Sólo un investigador científico serio puede ayudar a evaluar la eficacia de cualquier método de cifrado. Hay un buen ejemplo que demuestra esta afirmación: SHA-1, un conocido algoritmo de hash, se consideraba totalmente seguro hace unos cinco años, pero en 2015 se considera “teóricamente vulnerable”.

La Agencia de Seguridad Nacional de los EE.UU. (NSA) ya ha puesto en duda la resistencia de los algoritmos de cifrado de curva elíptica y está considerando las técnicas de cifrado, indescifrables incluso para los ordenadores cuánticos.

Nº6: Pero ese no es el único problema de cifrado. El cifrado débil supone una seria amenaza para el Protocolo Abierto Smart Grid (OSGP) (la noticia). Esta es una implementación del Internet de las cosas en la red eléctrica, un intento de unir todos los métodos y sistemas de gestión en una sola red. Esto significa que posibles problemas de seguridad podrían comprometer el suministro eléctrico. Esta complejidad de la red es la razón por la cual el criterio clave para evaluar la resistencia del cifrado es la confianza.

En 2014, los desarrolladores de TrueCrypt decidieron cerrar su proyecto, una herramienta muy popular para el cifrado sobre la marcha. Nº5: Tras este suceso, hemos sido testigos de varias auditorías de código fuente independiente y el surgimiento de algunos derivados: VeraCrypt y CipherShed (más información). Hace poco se descubrió una puerta trasera en los routers de Juniper, y la cuestión del cifrado también fue de suma importancia en ese incidente.

Graves vulnerabilidades y ataques

Nº4: Mientras que las superestrellas del año pasado entre las vulnerabilidades fueron, sin duda, Shellshock y Heartbleed, este año los protagonistas fueron la vulnerabilidad Stagefright en Android (la noticia) y Nº3: el bug en una función de biblioteca estándar GLIBC en Linux (más información).

security-year-2015-2

Una interpretación artística del cazador de bugs de Linux.

Cada vulnerabilidad conocida tuvo un descubrimiento “teórico” o “práctico”. En algunos casos, los investigadores realizaron un ataque de prueba, pero, a veces, un bug solo se encuentra tras sufrir ataques reales.

En lo que se refiere a los ataques prácticos, dos de las principales campañas descubiertas por Kaspersky Lab fueron Carbanak y The Equation. Mientras que la primera fue enorme en cuanto a las pérdidas sufridas (mil millones de dólares, en caso de que te lo estés preguntando), el segundo fue impresionante debido al avance y la sofisticación de sus herramientas, incluyendo la forma de restaurar el control del PC de la víctima mediante el uso de un firmware HDD modificado, así como la duración de la campaña, durante décadas.

Vulnerabilidades comunes en software de uso generalizado

Adobe Flash es el ejemplo perfecto de esta categoría: el 14, 24 y 28 de enero, marzo, junio, julio, septiembre y diciembre. La mala noticia es que Adobe Flash todavía es un software sorprendentemente vulnerable. La buena noticia es que los parches (al menos los de Adobe) se lanzan en grupo y con una sola actualización se solucionan muchos de los bugs. Esto no significa que el software sea más seguro, aunque la perspectiva general de este año es positiva: los desarrolladores han empezado a tomarse muy en serio la seguridad.

https://twitter.com/kaspersky/status/674315442845036544/photo/1?ref_src=twsrc^tfw

El software está instalado en un gran número de sistemas incluyendo a los navegadores web y es objeto de mucha atención. Los desarrolladores de los navegadores se ven obligados a supervisar tanto su propio software como a proteger a los usuarios frente a las amenazas en las páginas web (a veces su única opción es restringir ciertas opciones, como en el caso de Flash en Chrome). Nº2: Los participantes de la maratón Pwn2Own de marzo lograron hackear todos los principales navegadores: primero Firefox e IE, y luego Chrome y Safari (la noticia).

se-5

Hackers de sombrero blanco tras un exitoso hackeo en la Pwn2own.

 

 

 

 

 

 

 

 

 

 

 

 

Nº1: La obsoleta extensión NPAPI bloqueada en Chrome (la noticia). El bloqueo NPAPI, que ocurrió en abril, dio lugar a un error en el funcionamiento de una serie de plugins, de Java a Silverlight, que causó muchos problemas a los desarrolladores. La eliminación progresiva de los códigos de legado se ha convertido recientemente en una tendencia clave.

Dudo que los problemas de seguridad de 2016 sean menos importantes. Estoy seguro de que surgirán nuevos métodos para luchar contra las ciberamenazas. Así que, está claro que tendremos mucho de qué hablar este año. Recomiendo, como lecturas complementarias, el resumen de nuestros expertos de Kasperky Lab sobre las amenazas de 2015, el exhaustivo análisis de las ciberamenazas para empresas y las predicciones para el 2016.

Consejos