INTERNET / DÍA 0
En junio 2015 se informó que, por 3ra. vez, China y USA tenían un cortocircuito por un caso de espionaje cibernético masivo, con más de 4 millones de personas afectadas, en una intrusión por la que Washington DC acusó a Beijing, y el régimen chino no sólo lo niega, sino que le reprocha su "paranoia".
Ya se sabe: el ciberespionaje es casi una nueva forma de guerra entre países, y los expertos en seguridad de USA se inquietan ante la vulnerabilidad a la que a veces quedan expuestos: los datos de no menos de 18 millones de empleados y exempleados públicos de todos los niveles -intrusión masiva- quedaron expuestos.
Unos 18 millones de direcciones de correos electrónicos antiguos, actuales o/y posibles futuros empleados del gobierno de Estados Unidos habrían sido el blanco del ciberataque chino sufrido por la oficina de gestión de personal de la administración estadounidense (OPM, por sus sig as en inglés).
La cifra dada a conocer este lunes, según publica la cadena CNN, es cuatro veces mayor a la anunciada por el gobierno estadounidense a principios de junio. Entonces, se habló de 4,2 millones de personas afectadas.
La CNN explica que el director del FBI, James Comey, dio la cifra aproximada de 18 millones de personas afectadas en una reunión a puerta cerrada que tuvo con miembros del Senado y en la que los informó de la investigación que se está llevando a cabo sobre el caso.
Entre las personas afectadas podría haber aquellas que presentaron solicitudes para trabajar para el gobierno, y cuyos datos están registrados en la OPM.
DYN, 2016
En octubre 2016, los miembros del colectivo de hackers New World Hackers, distribuidos en China y Rusia, se atribuyeron la responsabilidad por el ataque al proveedor de internet DynDNS (Dynamic Network Services, Inc.).
A través de un mensaje de Twitter, explicaron que organizaron las redes de computadoras "zombies" que lanzaron en simultáneo la asombrosa cifra de 1,2 terabits de datos por segundo a los servidores gestionados por Dyn, firma que ofrece servicio en USA a compañías de gran influencia como Twitter, Spotify y medios de comunicación como CNN, Infobae y The New York Times.
"No hicimos esto para atraer a los agentes federales, sólo para probar nuestro poder", declararon dos miembros del grupo de piratas informáticos, que se identificaron como "Profeta" y "Zain", a un reportero de la agencia de noticias Associated Press. Señalaron que más de 10 hackers participaron en el ataque.
El vocero de la Casa Blanca, Josh Earnest, confirmó que el Departamento de Seguridad Nacional (DHS) estaba "monitoreando la situación" e investigaría en profundidad este hackeo, que calificó de "malicioso".
MICROSOFT, 2017
A media mañana del viernes 12/05/2017, los computadores de la informática más sensible de oficinas de Telefónica comenzaron a mostrar pantallazos azules, quedando completamente bloqueados. También se confirmó que los trabajadores habían comenzado a recibir e-mails urgentes pidiendo que se apagaran por completo todos los computadores y no se volviesen a encender bajo ningún concepto hasta nuevo aviso.
El pedido se escuchó, incluso, por la megafonía de los centros.
Compañías como KPMG, Cap Gemini, BBVA, FedEx, Vodafone también fueron afectadas por este ciberataque, que habría comenzado a cifrar todos los datos de los discos duros de los computadores pidiendo un rescate en Bitcoins a cambio de recuperar la información, según el diario El Mundo, de Madrid.
Es decir, Telefónica y otras compañías estarían frente a un ataque de ransomware procedente de China. Este tipo de ciberataques han ganado una gran relevancia y popularidad en los últimos tiempos. Se trata de hackeos en los que se secuestran los archivos personales de los usuarios (o de una empresa, como en este caso) y se pide al afectado un rescate a cambio de descifrarlos.
Los análisis del Instituto Nacional de Ciberseguridad (Incibe) demuestran que el software malicioso que ha provocado el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry. Tras instalarse en el equipo, ese virus bloquea el acceso a los ficheros del computador afectado, pidiendo un rescate, y puede infectar al resto de equipos vulnerables de la red.
WanaCrypt0r cifra archivos del disco duro con extensiones como .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros, y aumenta la cuantía del rescate a medida que pasa el tiempo.
El español CCN (Centro Criptológico Nacional) publicó una alerta por este ataque masivo, informando que era una versión de WannaCry que afectaba a los siguientes sistemas:
Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016
"El cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otros ataques, que no muestran la nota hasta que el cifrado se ha completado", explica Agustín Múñoz-Grandes, CEO de la empresa de seguridad informática s21Sec.
Según las compañías de ciberseguridad s21sec y Check-point, el virus informático (conocido como malware),del tipo ransomware -realiza el secuestro exprés de datos y pide un rescate para liberar el sistema-, se expandió por Taiwan, Rusia, Portugal, Ucrania, Turquía y Reino Unido —donde colapsó el Servicio Nacional de Salud—.
En un tuit, Costin Raiu, el director global del equipo de investigación y análisis de Kaspersky Lab, afirmó que se habían registrado más de 45.000 ataques en 74 países.
Ese tipo de virus, que al ser ejecutados aparentan ser inofensivos e imitan a otras aplicaciones, es el más habitual y representa el 72,75% del malware, según los últimos informes de las compañías Kaspersky Lab y PandaLab.
EL GRAN PARCHE
Jaime Blasco, director de los laboratorios de Alienvault en San Francisco, explicó horas después que el ataque ya estaba detenido tras la difusión de un parche de Windows por parte de Microsoft. El origen el ataque había sido un 'exploit', tal como se denomina a los softwares enmascarados que corrompen el sistema, que se filtró como parte de 'shadow brokers', supuestam ente los mismos archivos que WikiLeaks acusaba a la NSA (National Security Agency) de usar para espiar computadores.
Microsoft, preocupada por la difusión de este agujero, se mantenía en silencio, pero ya se comentaba que la industria debía replantearse los criterios y formas en que se actualizan sus programas para que la protección frente a vulnerabilidades resulte más automática.
“Este tipo de ataques afecta a todo el mundo, pero hemos visto cómo los delincuentes tratan de ir a por empresas, ya que poseen información valiosa por la que están dispuestos a pagar un rescate”, indicó el estudio de Panda.
Algunos expertos en ciberseguridad, tal como Jakub Kroustek, afirmó en las redes sociales que han rastreado hasta 50.000 ataques de WannaCry. Este mismo experto asegura en el blog de su compañía, Avast, que observaron la primera versión de este virus en febrero y que han encontrado el mensaje de rescate escrito en 28 idiomas.
En Portugal, el ataque informático incluyó a la telco PT, y los bancos Caixa Geral de Depósitos y BPI, aunque solo Portugal Telecom lo ha admitido: “Todos los equipos técnicos están asumiendo las diligencias necesarias para resolver la situación, habiéndose activado todos los planes de seguridad. La red de los servicios de comunicación fija, móvil, internet y televisión no fueron afectados”.
Según lo que ocurrió en los equipos de Telefónica, en la sede central de la operadora en el Distrito C de Las Tablas, en Madrid, el virus provoca la detención del computador, cuya pantalla se vuelve azul, inutilizando el equipo.
La empresa confirmó que los atacantes pedían rescate (US$ 300) para el desbloqueo de los computadores bloqueados, en moneda virtual (bitcoin), que en esto días ha llegado a su cotización récord (US$ 1.800).
La cifra de rescate se duplicaría a los 3 días y si antes de 7 días no se había recibido el dinero, los ficheros quedarían destruidos. Según la empresa de seguridad S21Sec, el ataque afectó a equipos con versiones de Windows y programas tales como Word y Excel, también de Microsoft.
Los expertos recomendaron utilizar "de manera inmediata" el parche de seguridad MS17-010.
El responsable de Big Data e Innovación de Telefónica, Chema Alonso, ha reconocido en un tuit en su cuenta personal este ataque de ramsonware. Alonso, anteriormente un hacker, es también el Responsable Global de Ciberseguridad y Datos, según aparece en su propio LinkedIn (hoy día de Microsoft), aunque ha asegurado que "la seguridad interna de Telefónica" no está entre sus responsabilidades directas.
Había un parche disponible para la vulnerabilidad de Windows, pero se desconoce por qué Telefónica no actualizó sus sistemas. Telefónica no ha querido responder a este asunto.
"La virulencia del ataque se debe probablemente a que algunas organizaciones no habían actualizado el parche hecho público por Microsoft", di ce Alan Woodward, de la Universidad de Surrey, a la agencia SMC.
El ciberataque no ha tenido ninguna incidencia en los sistemas que controlan los servicios de Telefónica de Internet y telefonía fija y móvil para sus más de 15 millones de clientes, informó la compañía.
Los creadores del ataque se basaron en filtración de WikiLeaks Vault 7, según la ciberseguridad española.
En marzo WikiLeaks publicó documentos que mostraban las tácticas de la CIA (Central Intelligence Agency) para espiar a través de tablets, teléfonos móviles y/o smart TV. Incluía datos de los denominados fallos de seguridad para realizar los ataques Día Cero (Zero Day) que exprimen errores en la programación para infiltrarse.
El criptolocker, un tipo de virus que encripta e inutiliza los documentos, puede haber sido lanzado desde China.
NSA
Según Eusebio Nieva, director técnico de Check-Point en la península ibérica, "ese software maligno puede llegar de manera simple, desde un correo electrónico con una factura falsa, por ejemplo, hasta una técnica conocida como 'watering hole', que en el caso de las grandes compañías, infecta una página (generalmente de la red intranet) a la que los empleados o usuarios acceden con frecuencia".
Él agregó que el pago de un rescate no es garantía de que se pueda recuperar la información cifrada por el virus: "La posibilidad es de entre 30% y 40%".
Nieva agregó que, en la era en que los malware resultan una red industrializada que genera dinero, los tradicionales programas de antivirus ya no son suficientes. Ahora deben utilizarse programas de anti-APP o sandboxing, que rastrean el comportamiento del sistema o de la red de información, identifican cualquier software malicioso y lo eliminan.
No hay comentarios:
Publicar un comentario