Hablando de TI

Etiqueta: telefónica

  • I Wanna Cry: ¿el comienzo del fin?

    I Wanna Cry: ¿el comienzo del fin?

    Una vulnerabilidad de Windows, utilizada en gran escala ha dado pie a un incidente muy importante de secuestro de PCs en todo el mundo usando el malware Wanna Cry. El ataque da para todo, desde la sospecha que se usa una herramienta filtrada de la NSA, en adelante

     

    Hoy no es el comienzo del Apocalipsis informático, pero si puede tratarse de uno de los ensayos más profundos para estar listos para ese día. Un ransomware, capaz de replicarse sólo –al menos dentro de una red local de máquinas Windows—ha causado daños en redes de hospitales y empresas en el Reino Unido, España –incluyendo los Call Center de MoviStar y el del Banco BBVA— y hasta la empresa norteamericana de envíos FEDEX, y varias docenas de empresas en docenas de países más. Un mapa publicado por Forbes y elaborado por el sitio web malwaretech.com muestra como al medio día ya el ataque se había esparcido por todos los continentes habitados, en mayor o menor manera, con varios focos en América Latina, al punto que el Ministerio TIC de Colombia, MinTIC, ya respondió con sendo comunicado.

    Por primera vez un malware de ransomware logra replicarse de manera tan efectiva, supuestamente gracias al uso de una herramienta filtrada por los hackers desde nada más y nada menos que la NSA –la Agencia de Seguridad de los Estados Unidos. La herramienta usada, podría ser la llamada “eternal blue” y aprovecha una vulnerabilidad que –créalo o no—fue parchada recientemente por Microsoft, pero que muchos gobiernos y grandes corporaciones NO HABIAN APLICADO. Razón de más para que mañana mismo haya docenas de vacantes de CIOs y Gerentes de sistemas en todo el mundo.

    El malware en cuestión es conocido como Wanna Cry y cifra el disco duro de la máquina, colocando extensiones .WNCRY y deja un archivo PleaseReadMe.txt  con las instrucciones para pagar el rescate que ha sido entre US$300 y US$600 según reportes. Por supuesto el pago se realiza en Bitcoins, imposibles de rastrear.

    El gran diferenciador de este ataque es el uso del protocolo SMB que comunica máquinas Windows dentro de un entorno y permite pasar por alto ciertas consideraciones de seguridad. Se teme que el ataque haya sido realizado en dos fases, una primera fase de ingeniería social para lograr entrar a la red y una segunda fase de replicación automática aprovechando las fallas en el SMB.

    Les dejo esta interesante nota sobre el porqué del recrudecimiento de los ataques de Ransomware.

     

    Apocalipsis cibernético: la madre de todas las batallas

    Por Gabriel Izquierdo – CEO de BTR Consulting

    Itconnect.lat

     

     

    Dice la biblia en el Apocalipsis, “y vi en la mano derecha del que estaba sentado en el trono un libro escrito por dentro y por fuera, sellado con siete sellos”.

    Quizás sea la descripción más cercana al ransomware que podamos encontrar en la biblia, lo cual resulta paradójico, por lo viejo y por lo actual.

     

    Hagamos un poco de historia

    El ransomware, es un tipo de ataque considerado de la “vieja escuela”, que surge con los “bloqueadores” y con el correr del tiempo se potenció con el cifrado.

    Este malware que bloqueaba el acceso al sistema operativo o a un navegador era considerado como muy rentable y los ciberdelincuentes del siglo pasado lo usaban con asiduidad. Los expertos en seguridad en conjunto con los organismos policiales aceptaron el reto y resolvieron el problema rápidamente.

    Encontraron una solución inteligente y golpearon el negocio de los ciberdelincuentes desde el corazón de los sistemas de pago.

    Cuando la regulación de los pagos electrónicos fue actualizada, la ciberdelincuencia quedó expuesta aumentando el riesgo y ahogando el negocio de los criminales.

     

    Evolución Cibercriminal

    Hace poco más de un lustro, en 2009 para ser exacto, la evolución tecnológica fue un factor clave para el cambio de escenario.

    Nace el Bitcoin, se vuelve permeable en todo el planeta y gana la confianza entre los ciberdelincuentes.

    La moneda cifrada es, a la vez, un activo digital y un sistema de pago imposible de rastrear o regular. El amor entre los ciberdelincuentes y la criptomoneda fue instantáneo, a primera vista.

    Esta nueva perspectiva permitía redoblar la apuesta: en lugar de bloquear el acceso, fueron por la información sensible, comenzaron a cifrar los archivos de los discos rígidos de las víctimas.

    En lugar de atacar archivos que podían ser fácilmente restaurados, optaron por atacar archivos únicos de los usuarios, que detentan un valor personal que el usuario mejor que nadie es capaz de valorar. A partir de allí, el mundo de la seguridad informática cambió para siempre.

     

    Amanecer en el Apocalipsis

    La osadía del mundo cibercriminal crece de forma exponencial, día a día se corren los límites e internamente, todos esperábamos el día en el que lanzaran la madre de todas las bombas lógicas.

    El día ha llegado, en la mañana de hoy comenzaron a llegar noticias de España, sobre un ataque masivo a Telefónica de España, luego se sumaban BBVA, Santander, Vodafone, y avanzado el medio día en Argentina comenzaron a llegar noticias sobre hospitales en el Reino Unido, Universidades de Italia, empresas de Rusia y luego informes confidenciales que llegaban a nuestros escritorios, daban cuenta de ataques ocurridos en América Latina.

    Nuestro análisis apunta a que el vector de ataque ha podido ser algún tipo de spam con un adjunto que alguno de los usuarios ejecutó dentro de la intranet empresarial.

     

    Haciendo Drill Down en el Exploit

    A partir de ahí el exploit aprovechó la vulnerabilidad no parcheada de Microsoft para instalar el ransomware y para propagarse por la red a la velocidad de la luz, agregando la extensión .WNCRY a todos los archivos infectados.

    En paralelo crea un archivo PleaseReadMe.txt en donde explica como efectuar el pago.

    El vector utilizado es Wanna Decrypt0r 2.0 y según pudimos recabar en foros de la Dark Web que explotaron la vulnerabilidad MS17-010 usando EternalBlue, una de las herramientas que pertenecía supuestamente a la NSA y fue liberada por el grupo malicioso Shadow Brokers.

    Cabe recordar que en marzo fue liberado el parche para la vulnerabilidad MS17-010 pero en compañías con sistemas heredados de Windows XP y Windows2003 servers, no cuentan con parches para reparar el problema.

    Esto explica la rápida propagación que tuvo el caso, una mezcla de desidia que llevó a algunas empresas a abandonar las buenas prácticas que tanto pregonamos, día tras día, y la elasticidad de los sistemas, que no es infinita

  • Pekín 2008 o el reino de las TI.

    Pekín 2008 o el reino de las TI.

    Las olimpiadas más digitales de la historia están plagadas de tecnología por todos lados. Haier ha acondicionado más de 60.000 aparatos para estos juegos que van desde refrigeradoras ecológicas, que usan dióxido de carbono como refrigerante, hasta aires acondicionados que funcionan con energía solar, pasando por lavadoras que no usan detergentes y refrigeradoras silenciosas que usan semiconductores en lugar de compresores

     

    ZTE por su parte proveerá soporte para las redes celulares 3G TD-SCDMA, y tendrá más de 200 técnicos listos en Beijing para asistir a los operadores.

     

    Lenovo diseño la flamante antorcha olímpica, que es altamente tecnológica, y puso más de 580 ingenieros a disposición del comité organizador para brindar soporte a los equipos de computación que serán usados. En total más de 30.000 aparatos –entre PCs, desktops y monitores—han sido provistos por este fabricante chino.

     

    Todo esto sin contar la infinidad de sitios en la Internet que estarán transmitiendo los juegos, brindando resultados y facilitando información complementaria. Telefónica pago varios millones por los derechos para retransmitir los juegos desde su portal Terra, YouTube está retransmitiendo varias horas diarias y hay varios sitios Web que compiten por la predilección del público en las transmisiones en vivo.

     

    Además Nintendo logró la primera licencia oficial para realizar un videojuego de las olimpiadas.

     

    Samsung, Kodak y Panasonic tampoco son ajenas al magno evento deportivo y prestan sus servicios en fotografía, video y comunicación.

     

    Pero los fraudes y amenazas de seguridad también están a la moda. Los sitios falsos de venta de boletos están a la orden del día y hay que considerar que una entrada preferencial puede llegar a costar miles de euros. Los fabricantes de antivirus esperan todos, una oleada de malware que se aproveche de los juegos olímpicos para propagarse y con una jauría de internautas ansiosos de contenido, esto puede pasar fácilmente.

     

    Quizás a estas alturas mis lectores se estén maravillando de algo: ¡de lo que menos hemos hablado es de los atletas! Y es que con tanto gadget en juego parece imposible no seguir hablandodeti.

  • ¿Cyberterrorismo en Sao Paulo?

    ¿Cyberterrorismo en Sao Paulo?

    La primera semana de este mes de julio ocurrió un incidente que dejó sin servicio de Internet y datos a 400 ciudades del estado de Sao Paulo.

    Sao Paulo

    Aunque Telefónica acaba de desmentir hace poco que se trate de un ataque «pirata» [terrorista más bien] (viernes 4 Jul 8:13pm), los rumores al respecto han crecido. Ciertos o no, estos rumores sólo hacen surgir a la superficie los miedos más profundos de algunos expertos.

    A principio de año cuando me preparaba para una entrevista con Eugene Kaspersky, el genio ruso de los antivirus (lea la entrada del blog al respecto en (https://hablandodeti.com/blog/tag/eugene/), encontré evidencias en la Internet de algunos casos que no han podido ser comprobados, ya que las víctimas prefieren mantener el secreto. Generalmente se trata de ataques de denegación de servicio que sólo son levantadas tras el pago de una suma de dinero –ponen cientos, quizás miles de máquinas a lanzar peticiones de servicios contra una red, la cuál colapsa. Es más, agencias de seguridad de Estados Unidos reconocen que esto ya ha pasado en países de Europa Oriental, contra compañías de servicios públicos.

    La falla en Sao Paulo no fue una falla de un equipo, sino de la programación del mismo según los propios reportes de Telefónica, pero prefieren pensar que se trata de un error humano y no de un fallo ocasionado a propósito. El enrutador que falló ha sido precintado y será sometido en breve a un examen forense digital, del que seguro saldrá un diagnóstico. Pero poco importa ese diagnóstico, la idea de que eso puede ocurrir de manera intencional ya ha sido sembrada. A partir de hoy los cambios en la seguridad de los ISP (proveedores de servicio de Internet) serán drásticos, especialmente en estos gigantes. El fallo de Sao Paulo afecto 1.300 distritos, se paralizó el otorgamiento de documentos por parte de la policía y hubo problemas en alunas agencias bancarias que no pudieron trabajar. Más de dos millones de usuarios de banda ancha estuvieron sin servicio por un día y varios entes gubernamentales se vieron afectados. Si eso se hubiera combinado con algún otro tipo de emergencia los efectos pudieron haber sido mayores. Por allí se habla de aplicar sanciones establecidas en los contratos, un mal importante para Telefónica, pero menor comparado a otras consecuencias que hubieran podido ocurrir.

    Con razón al insistir sobre el tema con Eugene Kaspersky, él se limitó a decir que no quería hablar al respecto. Las posibilidades son escalofriantes.