La seguridad de la información en alerta roja

Cuando tuvo lugar el ataque de WannaCry, me interesé en iniciar una investigación acerca de su origen y de cómo se desarrolló el ataque. Encontré que la explotación usada remonta a las fugas de información de un grupo hacker que sucedieron el año pasado y este año. Los hackers llevaron a cabo cinco fugas; una de ellas, conocida como “Lost in Translation”, contenía información de aproximadamente 37 herramientas/vulnerabilidades, y entre estas estaba Eternal Blue, la vulnerabilidad que WannaCry explotó.

Algunas de las herramientas que se han divulgado en estas fugas llaman la atención por su gran poder bélico, con niveles de explotación bastante distintos de lo que se suele ver en el mercado. Son de hecho “armas cibernéticas”.

Además, en marzo de este año, WikiLeaks reveló alrededor de 8.700 documentos, y dentro de estos archivos hay información sobre nuevos malwares que impactan directamente smartphones, smart TVs y sistemas operacionales. Estos malwares son distintos de lo que habitualmente encontramos: tienen un formato framework, algo mucho más sofisticado y que incluye toda una metodología desarrollada para montar un ataque. Dichos documentos hacen disponible información de cómo manejar un ataque desde la implantación, la logística para que el malware infecte una máquina, la fase de desarrollo del malware con la distribución de nuevos ejecutables dentro de la máquina y la manipulación de otras vulnerabilidades, y al fin una especie de central de mando para montar todo el ataque con éxito.

Actualmente también hay rumores de que este mismo grupo que realizó la fuga de información ha creado una especie de “club de suscripción” llamado wine of the month club. En la web profunda, estos criminales venden información, y los interesados en practicar el cibercrimen pueden contratar un servicio y recibir periódicamente kits con datos sensibles de bancos y empresas, vulnerabilidades de enrutadores, teléfonos inteligentes y sistemas operacionales recientes, con información detallada de cómo usarlos. No se sabe si este club realmente funciona, pero la posibilidad es bastante espantosa.

Que existe un comercio de malwares en el submundo de internet no es ninguna novedad, pero este comercio, hace poco tiempo, solamente vendía los malwares. Ahora vemos amenazas mucho más sofisticados, mucho más avanzadas y muy bien documentadas, incluso con manual de uso. El conocimiento del crimen organizado está creciendo, técnicas avanzadas de explotación, ocultación y manipulación de malware poco conocidas ahora están disponibles para que criminales las usen en beneficio propio.

Lo que podemos anticipar es que, con tantas vulnerabilidades y herramientas publicadas, obviamente van ocurrir nuevos ataques, que además pueden tener un poder destructivo mucho mayor que cualquier ataque antes visto.

Los ataques WannaCry y Petya han sido una muestra de lo que se puede hacer con tanta información disponible. Muchas ideas nuevas aún pueden surgir. Estas 37 vulnerabilidades reveladas en conjunto con estos frameworks son un marco en la historia de la ciberseguridad global. Hay mucho armamento disponible y mucho conocimiento acerca de cómo manipular este armamento.

Estamos en una situación militar, una alerta roja. En cualquier momento puede haber nuevos ataques avanzados, y las empresas necesitan prepararse. Para estar listo para la guerra no basta abastecerse con nuevas armas, hay que crearse una estrategia.

El futuro puede ser muy malo y depende de qué se va a hace desde ahora. No hay bala de plata ni mágica para esta situación. Lo que las empresas tienen que hacer es empezar a construir sus defensas de manera eficiente. Las que ya tienen una estructura de defensa necesitan construir un plan de defensa, probar las herramientas, hacer ejercicios, entender bien cuál es la postura de seguridad y conocer su real capacidad de reacción.

 

*Jeferson Propheta es Director de Servicios de Seguridad de McAfee para América Latina

Leave a Comment

five × 4 =