Hablando de TI

Categoría: Seguridad

  • Blockchain: ¿disruptor en seguridad digital?

    Blockchain: ¿disruptor en seguridad digital?

    Mucho se ha hablado de la tecnología de Blockchain –la misma que hace posible al Bitcoin—y de cómo esta puede cambiar industrias como logística, finanzas y las notarías y registros. Pero no por eso el entusiasmo sobre esta tecnología, descentralizada y casí a prueba de hackers, ha dejado de crecer y cada vez se exploran más oportunidades de usarla para cambiar otras industrias, causando en muchas una disrupción, por lo que es muy válido preguntarse si su efecto sobre la seguridad podrá ser considerado también como una disrupción

     

    La gran popularidad del Bitcoin y otras criptomonedas han dado a conocer al mundo la tecnología subyacente, Blockchain, y aunque la mayoría de la gente ha escuchado sobre esta novedosa forma de almacenar la información, casi a prueba de hackers, pocos saben en que consiste. Incluso las crisis de las criptomonedas, especialmente los problemas de seguridad con robos mil millonarios, no han logrado afectar negativamente a Blockchain y grandes empresas como IBM, Oracle, HPE o Microsoft apuestan fuertemente al Blockchain como uno de sus mayores pilares de crecimiento.

     

    Las primeras aplicaciones de Blockchain

    Además de usar Blockchain para registrar las operaciones de las criptomonedas, cuyo caso más notable es el Bitcoin, las primeras aplicaciones que se pensaron para Blockchain se referían a transacciones muy parecidas a las de las criptomonedas. Logística, registro de operaciones bancarias, y áreas semejantes fueron los candidatos lógicos. Hoy, más de una década después del surgimiento de Blockchain, algunas aplicaciones que se están pensando son muy distintas. Músicos independientes y HP, por ejemplo, han estado trabajando con una aplicación de Blockchain para la industria de la música, donde se busca lograr una mejor repartición de los beneficios generados por la música. En un mundo donde la música se ha vuelto digital, hace sentido tener un mecanismos digital para manejar la industria, permitiendo a los artistas vender directamente a los usuarios su producción, incluyendo contratos inteligentes que repartan estos beneficios de manera automática a todas las partes involucradas. Un ecosistema que se maneja sólo, de manera automática, gracias a Blockchain, criptomonedas y contratos inteligentes.

     

    Mejorar la seguridad con una tecnología segura

    Los grandes escándalos de robos y fraudes con criptomonedas tienen más que ver con fallas de seguridad de los banqueros digitales –brokers—o con estafas tradicionales, que con aspectos relacionados con Blockchain. Sin embargo los detractores de las criptomonedas –entre los que se ubican grandes economías del mundo– han intentado usarlas en contra de todo el sistema, incluyendo Blockchain.

    [row][third_paragraph]

    ¿Qué es Blockchain?

    Es algo difícil de entender a profundidad sin aprender y digerir antes varias docenas de conceptos. Pero a groso modo se trata de una base de datos distribuida entre muchas computadoras –mientras más es más segura—que permite registrar transacciones de manera única y no manipulables haciendo uso de varias técnicas poderosas, incluyendo un cifrado de alto nivel y el uso de claves públicas y privadas para cifrar la información. Una vez registrado un dato en esta base de datos, no puede desaparecer, ya que está replicado en la mayoría de las computadoras de la red, pero si puede ser modificado, incluso marcado como borrado, pero la información siempre estará allí, registrada en un bloque de datos, al que se le suman nuevos bloques de datos que permiten añadir, modificar o eliminar datos. Es cómo una versión electrónica, a prueba de fraudes, de un libro contable.

    Que la tecnología sea a prueba de hackers es algo que no se puede demostrar fácilmente, pero se basa en un concepto sencillo: si unas 200,000 computadoras tienen almacenada la información de una transacción, un hacker queriendo cambiarla debería acceder al menos a la mitad de ellas de manera simultánea y cambiarla en cada una de ellas, una tarea que por ahora luce imposible.

    [/third_paragraph][paragraph_right]

    Pero hay muchas aplicaciones de Blockchain a la seguridad que ya se están explorando. Desde mejorar la seguridad de las tarjetas de crédito de los usuarios almacenados en las grandes tiendas, hasta la creación de aplicaciones descentralizadas y evitar ataques DDoS, son muy positivas las expectativas.

    La trazabilidad de Blockchain, donde se conservan todas las transacciones u operaciones los hace ideal para mejorar la seguridad de archivos. Algunas firmas están utilizando Blockchain para guardar huellas digitales de archivos electrónicos, que resultan de aplicar un algoritmo sobre el documento, para asegurar que un documento almacenado no ha sido cambiado. Este es un mecanismo que desde hace mucho se utiliza en computación –es una versión más compleja de la técnica de Checksum—pero que ahora gracias a Blockchain se puede hacer público de manera segura. Por ejemplo los gobiernos pueden generar sus documentos oficiales y los usuarios pueden verificar que se trata de las versiones originales con sólo consultar la Blockchain asociada. O una tienda de aplicaciones como la AppStore de Apple o Play de Google, pueden asegurar que las Apps que están guardadas no han sido modificadas revisando esta huella.

    Las estafas con granjas de dominios, donde reemplazan el servidor de nombres de Internet por uno con información manipulada, o los ataques a registradores de nombres de dominio, desparecerían como por arte de magia con cambiar la base de datos de los dominios de Internet a una distribuida basada en Blockchain. Así no se podría atacar a la base de datos central –ya que no existiría– y los fraudes realizados en las granjas se desmontarían solos ya que el resto de las computadoras en la red los desmentirían automáticamente.

    Los sistemas de autenticación de usuarios y dispositivos también son susceptibles de mejorar con el uso de Blockchain, eliminando el factor humano del proceso. Autenticaciones únicas, inmodificables pueden ser el resultado de este sistema, que además tendría una historia exacta y precisa de los cambios realizados, incluyendo la autoría de cada uno.

    La descentralización de los datos que ofrece Blockchain, comulga además con la idea original de la Internet, una red que fácilmente puede sobrevivir a un ataque o a la desaparición de parte de la red. Bases de datos sensibles pueden así distribuirse y evitar conflictos al ser vulnerados unos pocos servidores.

    [/paragraph_right][/row]

     

    Pero no todo lo que brilla es oro

    Hay muchos más usos posibles de Blockchain en el mundo de la ciberseguridad, incluyendo desde listas blancas de software o de sitios web, hasta bases de datos de virus y amenazas compartidas por toda la industria. Sin embargo también el uso de Blockchain tiene algunos contras:

    1. Es necesario contar con una gran red de computadoras…y mantenerla funcionando. En casos como el de las criptomonedas, el pago por pertenecer a la Blockchain es el resultado directo de que tan involucrada esté esa computadora en el proceso y se le conoce como minería. Pero en servicios de seguridad habría que buscar una sustitución a ese ingreso, para mantener funcionando la red. Algunos expertos piensan que las empresas de seguridad deberían ofrecer sus servicios como suscripción y compartir con el resto de la red sus ganancias, algo que puede ser muy complicado
    2. Hay que evitar el excesivo tráfico de información. Mandar una dato a la Blockchain puede significar enviar un dato a 200 mil computadoras o más, y eso genera un sobre uso de la red que puede ser muy importante. En las criptomonedas estos mensajes son muy pequeños pero en otras aplicaciones pueden ser mucho más grandes y generar un sobre uso que colapse la Internet.
    3. La trazabilidad no es para todos. La idea de poder borrase de la Internet, que defienden muchos partidarios de la privacidad digital, sería imposible. Todo lo que se registra en Blockchain se queda allí, aunque operaciones posteriores anulen o modifiquen la información, la información nunca desaparece.

    Existen muchas otras consideraciones que impactan en el uso de Blockchain en el mundo de la ciberseguridad, pero sin duda que aplicaciones como las aquí expuesta pueden beneficiarse grandemente de esta tecnología. La gran pregunta que queda en el aire es ¿Blockchain podrá ser un disruptor de la ciberseguridad, o sólo será una herramienta útil, que mejorará el panorama, sin afectarlo radicalmente?

     

     

     

  • Veto tecnológico a China y Rusia amenaza desarrollo tecnológico de EEUU

    Veto tecnológico a China y Rusia amenaza desarrollo tecnológico de EEUU

    Muchos ven los recientes vetos del gobierno de EEUU a las empresas de tecnología chinas y rusas como medidas justificadas por asuntos de seguridad interna. Sin embargo, más allá de esta consideración, el riesgo que empieza a enfrentar Los EEUU es quedarse rezagada tecnológicamente, pese a las grandes marcas tecnológicas que hacen vida en el país

    Bloquear completamente la tecnología china es un despropósito que quizás ningún país en el mundo se pueda arriesgar a intentar. La mayoría de las fábricas más importantes se encuentran en China, aprovechando los bajos costos de producción. Pero además de eso, de un tiempo para acá China produce cada vez más propiedad intelectual y pronto los países que opten por ignorar la tecnología que de allí provenga podrán encontrarse rezagados con respecto a los demás.

    El Veto tecnológico reciente a la empresa rusa de seguridad Kaspersky, a las empresas chinas de telecomunicaciones Huawei y ZTE, así como a la empresa china Hubei Xinyan a quien recientemente se le negó la oportunidad de comprar a un fabricante de semiconductores basado en los EEUU, podrían traer más inconvenientes a los norteamericanos que ventajas.

    Si bien la seguridad nacional es un intangible, por lo que no podemos valorar exactamente lo que representa, hay efectos significativos de estas prohibiciones. La paranoia al respecto en el Congreso de los EEUU los está llevando a considerar construir su red de telecomunicaciones 5G con tecnología propia, fabricada en los EEUU, lo que probablemente signifique al usuario norteamericano unos servicios con costos muy elevados, que los mantengan rezagados comparados a sus contrapartes de Europa. Los precios de los terminales también aumentarán al sacar de la competencia las marcas chinas y las marcas restantes se vean obligadas a producir localmente o explorar nuevas opciones como la India o incluso en México, pese a ser tan vilipendiado bajo la administración Trump.

    Dejar fuera del mercado de seguridad a una empresa tan relevante como Kaspersky, puede ser sólo el principio de una serie de vetos a empresas desarrolladas más allá de los límites de la extinta cortina de hierro y donde para muchos se encuentran las mejores empresas de seguridad del mundo, aunque también algunos de los criminales más peligrosos.

    Los EEUU con su valle del Silicio, en California, el triangulo de la investigación en Carolina del Norte y el área de Seattle, entre otras, cuenta con grandes empresas de desarrollo tecnológico, que unidas a las empresas provenientes de algunos de sus grandes aliados como Israel, Alemania o el Reino Unido, pueden satisfacer la mayoría de las necesidades de su mercado. Pero algunos factores clave, como los precios por volumen o algunas tecnologías propias desarrollados en países “sospechosos” tendrán un efecto determinante sobre la tecnología de los EEUU volviéndola costosa y en algunos casos incluso obsoleta o incompatible. De alguna forma se puede comparar a la polémica decisión de Franco, el dictador de España desde antes de la Segunda Guerra mundial, al desarrollar trenes incompatibles con las vías férreas del resto de Europa, decisión que según algunos mantuvo alejada una posible invasión por parte de Hitler, pero que por muchos años mantuvo a España aislada del resto del continente.

    Estoy seguro que si me toca seguir hablandodeti, Trump, y de tu política de veto tecnológico de los EEUU al resto del mundo, cada vez serán peores los resultados que me toque comentar, por lo que no estaría mal que todos en el gobierno y el congreso de los EEUU, exigieran más y mejores controles, pero no cierren por completo el acceso de tecnología de ningún país. Al fin y al cabo, si le niegan la entrada a los científicos y dejan de importar tecnología, el riesgo de aislamiento tecnológico será cada vez mayor y contribuirá a hacer grandes los precios y retrasos y no a la “América” de Trump.

     

  • Datos sociales, la nueva frontera digital (de los EUA)

    Datos sociales, la nueva frontera digital (de los EUA)

    Recientemente el DHS (The Department of Homeland Security) publicó que hará suyos los datos sociales de los inmigrantes de EUA, empezando por los nombres de usuario y alias de residentes permanentes y naturalizados, así como resultados de búsquedas, creando una nueva frontera, digital, que cuidar

    Ante el avance de los ataques terroristas el Departamento de seguridad de fronteras de los EUA anunció que empezará a recolectar los datos de inmigrantes como residentes permanentes y ciudadanos naturalizados, La idea es recolectar nombres de usuarios, alias e incluso resultados provenientes de búsquedas sobre los diferentes inmigrantes desde el próximo 18 de Octubre. La medida entra en vigencia junto a nuevos vetos migratorios de algunos países (algunos países con mayoría religiosa musulmana, Venezuela, Corea del Norte y otros).

    Pero la nueva regla parece que no queda allí , ya que también ciudadanos de los EUA que se comuniquen con inmigrantes usando redes sociales, estarán sujetos a escrutinio. Se trata de una nueva frontera digital que resguardar.

    No es la primera vez que se menciona una intención parecida por parte del gobierno de los EUA durante el recientemente iniciado periodo de Trump. Sin embargo aún siguen esperándose reglas y patrones que permitan saber no sólo cómo se realizará esa recolección de información, sino también como el gobierno evaluará su propio rendimiento al momento de evaluar si lo que hacen es suficiente.

    Esta acción unida a una en Mayo, donde se obligaba a los solicitantes de una nueva visa a declarar sus nombre en redes sociales, deja clara la intención del gobierno de entrar a estas redes en búsqueda de información personal, de manera “oficial”. Sin embargo quedan aún muchas dudas sobre que pasa con los usuarios que tienen cerradas sus redes a sólo sus amigos, que tanto peso pueden tener posts de terceros –¡imaginen una organización neo-nazi o pro terrorismo que empiece a señalar a todos los que quiera en sus posts!—e incluso que tan decisiva será la info encontrada en estas redes y que pueda verse como ambigua –¿es el amor a las armas un peligro tan grande como las señales de una depresión por ruptura marital?

    Así las cosas, lo único seguro es que el gobierno de los EUA, a través del DHS estará pronto, muy pronto hablandodeti, querido lector.

     

     

  • Secuestro digital: experiencia aterradora

    Secuestro digital: experiencia aterradora

    El secuestro como actividad delictiva ha estado presente desde tiempos lejanos, como aquel famoso secuestro de Helena que generó una guerra y un asedio que sólo pudo terminar usando el famoso Caballo de Troya, que años después se ha convertido en la herramienta favorita de los secuestradores modernos, que no buscan quedarse con s bella esposa, sino con el dinero de todos

     

    Recientemente el mundo tembló ante el ataque de un malware conocido como “Wanna Cry” que secuestraba PCs combinando varias formas de propagación que lo hicieron llegar a gran cantidad de equipos en el mundo, en especial tomando por completo, o casi, las redes de muchas corporaciones. Este ataque que combinaba el uso de ingeniería social con técnicas de difusión local que se aprovechaban de un fallo del sistema Windows, fue sorpresivamente frenado por un investigador de malware que registró un dominio de Internet al cuál apuntaba el virus y que al no existir, activaba una función en donde se encontraba la falla que permitía distribuirse a otros PCs en la misma red. El ataque terminó pronto, pero el mundo completo quedó aterrado al considerar que de haber sido mejor preparado, el ataque pudo haber sido devastador. Como nota de color, el investigador que logró detener el virus –Marcus Hutchins, autor del blog MalwareTech— ha sido detenido recientemente a estar sindicado con un troyano bancario conocido como Kronos y que surgió hace ya algunos años.

    Pero pese a que el termino ransomware –software de secuestro—está muy de moda actualmente y que los secuestros digitales de equipos y archivos están ocurriendo cada vez más frecuentemente , estos ataques tienen su origen varias décadas antes.

     

    Inicios modestos

    El primer ataque de ransomware registrado, al menos que alcanzó un volumen y notoriedad suficiente, fue producto de la mente de un científico que además luchaba contra el SIDA. El troyanos AIDS –SIDA en inglés—fue distribuido en 1989 por el biólogo Joseph Popp en aproximadamente 20.000 diskettes, junto a un software que contenía un software que prometía ayudar a procesar perfiles de enfermos y ofrecer información sobre la enfermedad. Este troyano –código malicioso escondido en un software aparentemente legal—esperaba a que el PC infectado fuera reiniciado unas 90 veces para proceder a bloquearlo y exigir un pago de US$189, que debía ser enviado a un apartado postal en Panamá. Popp no fue juzgado ya que se le declaró mentalmente incompetente –¡créanlo o no!—y andaba por allí con una especie de casco cubriéndose la cabeza para protegerse de la radiación.

     

    La evolución en la era de la Internet

    Aunque algunas variantes de ransomware aparecieron en los años posteriores sin presentar grandes avances, con la excepción de GPCoder, alredeor del 2005. La novedad es que este malware no sólo encriptada todos los archivos –algunos malware anteriores sólo cambiaban el sector maestro del disco o el directorio— sino que además usaba por primera vez una encriptación robusta, RSA de 1024 bits, para prevenir la recuperación de archivos haciendo uso de la fuerza bruta.

    Pero una nueva ola llegaría años después, en el 2011. En el tercer trimestre de ese año se registraron más de 60.000 variantes de ransomware y para el mismo trimestre del año siguiente ya se había duplicado la cifra.

    Otro año más tarde CryptoLocker, un ransomware que entraba a las empresas por el email, capturó los titulares de seguridad en el mundo. Lo siguieron varios mas, entre ellos Locker –que usaba servicios como Perfect Money para cobrar el rescate—pasando por CryptoLocker 2.0 –que usaba Tor y Bitcoins para anonimato y cifrado de 2048 bits—CryptorBit, SynoLocker, Cryptowall –el primero en explotar vulnerabilidades de Java–, CryptoBlocker –que distinguía los archivos de Windows y no los cifraba–, Cryptowall 2.0 –que aprovechaba numerosos exploits y forzaba a los procesadores a funcionar en 64bits—e incluso TeslaCrypt, que atacaba a jugadores de Minecraft, World of Warcraft o el sistema de juegos en línea Steam.

    Una mención aparte merece Chimera, un ransomware que destacó por su singular castigo a los que no pagaban: publicar sus archivos privados en la Internet.

     

    Bitcoin, el vellocino de oro de los secuestradores

    Un elemento clave en el desarrollo del ransomware ha sido el uso de Bitcoin para cobrar el rescate. Las transacciones de Bitcoins, pese a ser públicas, se basan en un sistema de cifrado con claves públicas –que sirven para leer y consultar—y claves privadas –que permiten al dueño movilizar sus activos. En el caso reciente del ransomware Wanna Cry, tres billeteras digitales recibieron los pagos de rescate de las computadoras infectadas. Aunque las cantidades recogidas no fueron tan altas como podía esperarse, seis cifras bajas, en dólares, los delincuentes lograron movilizar el dinero de estas billeteras ante los ojos atónitos de toda la comunidad, sin que hasta el momento hayan sido rastreados.

     

    Lo actual: ataques empresariales

    Grupos de criminales como el grupo TeleBots atacan cada vez más a las empresas, ya que estas son mas propensas a pagar rescates. En uno de sus últimos ataques continúa con sus ataques dirigidos, en esta ocasión con su ransomware Petya capturan computadoras y demandan US$300 de rescate. Lo novedoso es que la infección la hacen aprovechando vulnerabilidades de un software empresarial –un ERP—fabricado en Ucrania.

    Esto se suma al famoso ataque de WannaCry que diezmo computadoras en empresas importantes como Telefónica o el banco BBVA, por nombrar solo dos de las más notables.

    La guerra está declarada y no es sólo a las corporaciones, sino que también incluye a los proveedores de servicios de estas. Los métodos son cada vez más creativos y los efectos más variados –basta con recordar el hotel Austríaco al que le secuestraron las cerraduras inteligentes, dejando a fuera a decenas de huéspedes. Habrá que esperar a ver si la industria de seguridad y las grandes corporaciones logran vencer. O si por el contrario, la industria del secuestro digital sigue extendiéndose y quizás me toque estar hablandodeti, querido lector, o de la empresa donde trabajas al reseñar el próximo gran ataque de ransomware.

     

  • I Wanna Cry: ¿el comienzo del fin?

    I Wanna Cry: ¿el comienzo del fin?

    Una vulnerabilidad de Windows, utilizada en gran escala ha dado pie a un incidente muy importante de secuestro de PCs en todo el mundo usando el malware Wanna Cry. El ataque da para todo, desde la sospecha que se usa una herramienta filtrada de la NSA, en adelante

     

    Hoy no es el comienzo del Apocalipsis informático, pero si puede tratarse de uno de los ensayos más profundos para estar listos para ese día. Un ransomware, capaz de replicarse sólo –al menos dentro de una red local de máquinas Windows—ha causado daños en redes de hospitales y empresas en el Reino Unido, España –incluyendo los Call Center de MoviStar y el del Banco BBVA— y hasta la empresa norteamericana de envíos FEDEX, y varias docenas de empresas en docenas de países más. Un mapa publicado por Forbes y elaborado por el sitio web malwaretech.com muestra como al medio día ya el ataque se había esparcido por todos los continentes habitados, en mayor o menor manera, con varios focos en América Latina, al punto que el Ministerio TIC de Colombia, MinTIC, ya respondió con sendo comunicado.

    Por primera vez un malware de ransomware logra replicarse de manera tan efectiva, supuestamente gracias al uso de una herramienta filtrada por los hackers desde nada más y nada menos que la NSA –la Agencia de Seguridad de los Estados Unidos. La herramienta usada, podría ser la llamada “eternal blue” y aprovecha una vulnerabilidad que –créalo o no—fue parchada recientemente por Microsoft, pero que muchos gobiernos y grandes corporaciones NO HABIAN APLICADO. Razón de más para que mañana mismo haya docenas de vacantes de CIOs y Gerentes de sistemas en todo el mundo.

    El malware en cuestión es conocido como Wanna Cry y cifra el disco duro de la máquina, colocando extensiones .WNCRY y deja un archivo PleaseReadMe.txt  con las instrucciones para pagar el rescate que ha sido entre US$300 y US$600 según reportes. Por supuesto el pago se realiza en Bitcoins, imposibles de rastrear.

    El gran diferenciador de este ataque es el uso del protocolo SMB que comunica máquinas Windows dentro de un entorno y permite pasar por alto ciertas consideraciones de seguridad. Se teme que el ataque haya sido realizado en dos fases, una primera fase de ingeniería social para lograr entrar a la red y una segunda fase de replicación automática aprovechando las fallas en el SMB.

    Les dejo esta interesante nota sobre el porqué del recrudecimiento de los ataques de Ransomware.

     

    Apocalipsis cibernético: la madre de todas las batallas

    Por Gabriel Izquierdo – CEO de BTR Consulting

    Itconnect.lat

     

     

    Dice la biblia en el Apocalipsis, “y vi en la mano derecha del que estaba sentado en el trono un libro escrito por dentro y por fuera, sellado con siete sellos”.

    Quizás sea la descripción más cercana al ransomware que podamos encontrar en la biblia, lo cual resulta paradójico, por lo viejo y por lo actual.

     

    Hagamos un poco de historia

    El ransomware, es un tipo de ataque considerado de la “vieja escuela”, que surge con los “bloqueadores” y con el correr del tiempo se potenció con el cifrado.

    Este malware que bloqueaba el acceso al sistema operativo o a un navegador era considerado como muy rentable y los ciberdelincuentes del siglo pasado lo usaban con asiduidad. Los expertos en seguridad en conjunto con los organismos policiales aceptaron el reto y resolvieron el problema rápidamente.

    Encontraron una solución inteligente y golpearon el negocio de los ciberdelincuentes desde el corazón de los sistemas de pago.

    Cuando la regulación de los pagos electrónicos fue actualizada, la ciberdelincuencia quedó expuesta aumentando el riesgo y ahogando el negocio de los criminales.

     

    Evolución Cibercriminal

    Hace poco más de un lustro, en 2009 para ser exacto, la evolución tecnológica fue un factor clave para el cambio de escenario.

    Nace el Bitcoin, se vuelve permeable en todo el planeta y gana la confianza entre los ciberdelincuentes.

    La moneda cifrada es, a la vez, un activo digital y un sistema de pago imposible de rastrear o regular. El amor entre los ciberdelincuentes y la criptomoneda fue instantáneo, a primera vista.

    Esta nueva perspectiva permitía redoblar la apuesta: en lugar de bloquear el acceso, fueron por la información sensible, comenzaron a cifrar los archivos de los discos rígidos de las víctimas.

    En lugar de atacar archivos que podían ser fácilmente restaurados, optaron por atacar archivos únicos de los usuarios, que detentan un valor personal que el usuario mejor que nadie es capaz de valorar. A partir de allí, el mundo de la seguridad informática cambió para siempre.

     

    Amanecer en el Apocalipsis

    La osadía del mundo cibercriminal crece de forma exponencial, día a día se corren los límites e internamente, todos esperábamos el día en el que lanzaran la madre de todas las bombas lógicas.

    El día ha llegado, en la mañana de hoy comenzaron a llegar noticias de España, sobre un ataque masivo a Telefónica de España, luego se sumaban BBVA, Santander, Vodafone, y avanzado el medio día en Argentina comenzaron a llegar noticias sobre hospitales en el Reino Unido, Universidades de Italia, empresas de Rusia y luego informes confidenciales que llegaban a nuestros escritorios, daban cuenta de ataques ocurridos en América Latina.

    Nuestro análisis apunta a que el vector de ataque ha podido ser algún tipo de spam con un adjunto que alguno de los usuarios ejecutó dentro de la intranet empresarial.

     

    Haciendo Drill Down en el Exploit

    A partir de ahí el exploit aprovechó la vulnerabilidad no parcheada de Microsoft para instalar el ransomware y para propagarse por la red a la velocidad de la luz, agregando la extensión .WNCRY a todos los archivos infectados.

    En paralelo crea un archivo PleaseReadMe.txt en donde explica como efectuar el pago.

    El vector utilizado es Wanna Decrypt0r 2.0 y según pudimos recabar en foros de la Dark Web que explotaron la vulnerabilidad MS17-010 usando EternalBlue, una de las herramientas que pertenecía supuestamente a la NSA y fue liberada por el grupo malicioso Shadow Brokers.

    Cabe recordar que en marzo fue liberado el parche para la vulnerabilidad MS17-010 pero en compañías con sistemas heredados de Windows XP y Windows2003 servers, no cuentan con parches para reparar el problema.

    Esto explica la rápida propagación que tuvo el caso, una mezcla de desidia que llevó a algunas empresas a abandonar las buenas prácticas que tanto pregonamos, día tras día, y la elasticidad de los sistemas, que no es infinita

  • Kaspersky Labs, atrapados entre política y seguridad

    Kaspersky Labs, atrapados entre política y seguridad

    La firma rusa de seguridad se ha visto involucrada últimamente en las noticias, no sólo por sus éxitos en seguridad, sino por acusaciones en medios que los acusan de ser traidores y patriotas para varios países, entre ellos Rusia, Estados Unidos y hasta Ucrania

     

    La empresa de seguridad Kaspersky Labs ha tenido unos días de mucha exposición mediática y no precisamente gracias a su gran rendimiento descubriendo botnets y campañas maliciosas. A la empresa, o al menos a algunos de sus empleados, se les acusó de traidora a la patria o de patriota cooperante, según el país de donde se origine la acusación.

    Dos oficiales de la FSB (Servicio Federal de Seguridad de Rusia) y el jefe del departamento de investigación de incidentes de Kaspersky Labs, Ruslan Stoyanov, fueron acusadas en febrero de este año de cometer traición a favor de los Estados Unidos y cooperación con sus servicios secretos. Aunque Kaspersky reconoció el arresto, se argumentó que los cargos en su contra se fundamentaron en hechos realizados al menos un año antes de que Stoyanov se uniera a la empresa. Otro de los detenidos se supone era el líder de un grupo de hackers conocidos como Humpty Dumpty, sindicado de apoyar a Ucrania. Algunas versiones no oficiales indican que parte de las acusaciones podrían tener que ver con la presunta intervención de hackers en las elecciones de EUA, modificando escenarios a favor de Donald Trump.

    Antes de esto, un ciber investigador aseguró haber logrado quebrar la seguridad de los productos de Kaspersky, hacia finales del año pasado, llamando la atención mediática sobre la prensa.

    Y cuando parecía que se calmaba el ruido en los medios, en el día 9 de Mayo se hizo público que en un memorando secreto el Comité de Inteligencia de Senado advertía al Fiscal General de la nación y al Director de Inteligencia Nacional, su preocupación por que Kaspersky Lab pudiera estar en riesgo de ser comprometida y usada contra blancos en los Estados Unidos. Además se señala una investigación del FBI para establecer nexos entre Kaspersky Labs y el gobierno ruso.

    Eugene Kaspersky, presidente de la empresa, ha sido considerado como “persona de interés” por el gobierno norteamericano, basado en hechos puntuales, como el haber estudiado en una escuela patrocinada por la KGB. Kaspersky en persona me negó en una oportunidad, hace ya varios años en su oficina en Moscú que ese vínculo existiera, y por mucho tiempo esa idea fue descartada por la prensa, pero ha vuelto a resurgir en los últimos tiempos y se supone que una investigación en el 2012 fue llevada a cabo por el FBI, e incluso habría recibido ofertas para trabajar como cooperante con ellos, las cuales habría rechazado. Además es común que los investigadores de la empresa sufran retardos al entrar en los EUA, ya que el hecho de ser rusos y expertos en virus y seguridad digital, hace que las autoridades les presten atención extra.

     

    El verdadero lado oscuro de la situación: menos colaboración

    Más allá de que en realidad no se ha podido demostrar mala intención de Kaspersky Labs, las acusaciones de EUA y Rusia contra la empresa, no pueden sino afectar negativamente las relaciones de cooperación entre las empresas de seguridad que hacen vida en países con cierto grado de antagonismo. Si bien aquí se habla de Rusia y Estados Unidos, es fácil agregar a esta ecuación al Reino Unido, Francia y China, por citar ejemplos importantes y predecir que los atacantes contarán con una mayor ventaja al limitarse la cooperación entre empresas de seguridad de cada uno de estos países.

    La consecuencia directa de las acusaciones será menos colaboración entre empresas y gobiernos, o en todo caso colaboraciones mucho más restringidas, incluso censuradas, lo que en muchos casos dará ventajas a los cibercriminales, algo que no beneficia al público en general.

    Así que estén pendientes de estas acusaciones y de sus consecuencias, que de seguro me tendrán hablandodeti, Kaspersky y de las consecuencias de estas acusaciones, por mucho más tiempo.