Diciembre 22, 2016

Malas noticias cibernéticas: infectar a un amigo, reiniciando Boeings, agujeros sin autenticación y más

¡Hola, amigos!

Os presento la nueva entrega de mi columna Malas noticias cibernéticas, con la que os mantengo al tanto sobre las cosas frágiles y espantosas del mundo digital.

Desde la última entrega, ha habido mucho de lo que tenemos que hablar. Sí, el flujo de las malas cibernoticias ha sobrepasado, sin duda, el flujo de agua de una montaña del nivel del Niagara. Y cada vez aparecen más noticias.

Como veterano de la ciberdefensa, puedo deciros que en tiempos pasados se ha hablado de cataclismos de escala planetaria durante medio año. Ahora la corriente de mensajes es como la temporada de desove del salmón: ¡está sobrecargada! Hay temas que no vale la pena mencionar porque ya son cosa del pasado. “Me han dicho que el otro día hackearon la megacorporación X y lo robaron todo; ¡hasta se llevaron con un dron el hámster del jefe!”

De todos modos, dado que la corriente de conciencia de los escándalos cibernéticos crece rápidamente, por consiguiente, el número de escándalos sobre los que escribiré también ha aumentado. En el pasado había tres o cuatro por publicación. Hoy son ¡siete!

Palomitas/café/cerveza… ¿listos? ¡Allá vamos!

1) Infecta a un amigo y desbloquea tus archivos gratis.

Los ciberdelincuentes llevan mucho tiempo haciendo de sus actividades ilícitas un negocio. Y, recientemente, hemos oído hablar de una nueva forma con la que lo hacen parecer un negocio legal (una “reunión de socios” en la que discutían la cooperación y la estrategia). Seguro que están leyendo libros de texto sobre marketing y administración. Aun así, es muy lógico. ¿Cómo levantas un negocio? Piensas en los productos, servicios, mejoras, estructura de organización, canales y demás.

Así que creo que era lógico cuando vi que apareció esta novedad. Alguien lanzó una nueva herramienta de expansión de mercado para el ransomware: “infecta a dos personas que conozcas con el malware con el que te infectamos y te daremos la clave para abrir tus propios archivos gratis!”. ¡Cuánta amabilidad!

Cada víctima de ese ransomware se estaría preguntando: “¿Hice clic o abrí algo que no debía? ¿No tengo suficiente protección? ¿Debo culpar a un amigo?

Por fortuna, este ransomware es un proyecto de investigación hallado en las profundas ciberaguas de la Dark Web.

2) Cacería efectiva de hackers

Un serio problema para cualquier organización: ¿cómo encuentras a las personas correctas y las motivas para trabajar bien? En línea con la nueva tendencia de los negocios modernos, algunos organizadores de ataques DDoS de Turquía, han construido una plataforma de gamificación para ataques DDoS, en las que los participantes compiten uno contra otro para ganar puntos. Los puntos pueden convertirse después en herramientas para hackear y también software de fraude por clic.

La plataforma es patriótica, sugiere que algunas víctimas de DDoS “enemigos de Turquía” van desde PKK a Angela Merkel. Los participantes se inscriben en foros de la Dark Web. Motivados por la política, ya ha habido DDoS, por supuesto, pero ahora hackers empresarios los migran a plataformas convenientes con un sistema de motivación de participantes bien establecido. Tengo una imagen de un graduado de MBA que ideó todo esto.

3) El regreso de Shamoon y las dificultades en atribuir ciberataques

Se ha informado de que hackers han atacado el banco central de Saudi, además de algunos otros organismos y sus organizaciones en Arabia Saudí con la ayuda del viejo Shamoon. Aparentemente, la agencia de aviación civil saudí se paralizó durante varios días, aunque los aeropuertos permanecieron abiertos.

Dejadme recordaros cómo este malware ya había causado problemas en Arabia Saudí. En 2012, con su ayuda, ciertas ciberbasuras eliminaron toda la información y respaldos de Saudi Aramco, la compañía de petróleo más grande del mundo. Obviamente pueden imaginarse el daño que hicieron para ser llamado colosal. Y aquí lo tenemos de nuevo, cuatro años después, en el mismo país. De nuevo, los dedos apuntan a Irán como el organizador más probable del ataque.

Pero la cuestión es que los dedos pueden apuntar donde sea, no demuestran nada. Y es típico de la mayoría de los ciberataques, si no todos, sean avanzados o realmente básicos: raramente hay un 100 % de pruebas sobre quién está detrás. En este caso, no hay evidencia de ningún tipo, solo muchas conjeturas. Bueno, puede que exista una prueba, pero seguro que no la han hecho pública por alguna razón.

Lo mismo sucedió con el ciberataque contra Sony Pictures: no todo el mundo cree “la versión oficial” que defendía que Corea del Norte fue responsable y hay muy pocas versiones alternativas. Es lo mismo hoy, no todo el mundo cree que Irán estuviera tras el último ataque de Shamoon. Cierta publicación del Medio Oriente, por ejemplo, ha propuesto la idea de que los responsables podrían haber sido los israelíes para estropear las relaciones entre Irán y Arabia Saudí, lo cual es de interés de Israel, no de Irán. Todo muy intrigante y de novela de espías, pero probablemente nunca sabremos quién es el responsable.

Atribución. Es como una palabra elegante pero muy necesaria en ciberseguridad por su dificultad para poder atribuir con certeza un ciberataque (por ejemplo, para determinar quién es realmente el responsable). La evidencia que se deja después de un ataque suele ser escasa, además de relativamente fácil de falsificar. Esto significa que solo se puede especular y no deducir nada concreto; y precisamente por ello nunca señalamos a nadie. Esta postura no cala bien entre periodistas que, por supuesto, quieren su trozo del pastel, pero es algo natural. Nosotros solo lo atribuiríamos si estuviéramos 100% seguros y eso no sucede nunca.

A continuación, las noticias están relacionadas con hardware

4) No olvidéis reiniciar… ¡vuestro Boeing!

¿Qué sucede si no reinicias tu ordenador durante días? La respuesta típica: empieza a ir lento. Pero ¿qué sucede si no reinicias un Boeing 787 Dreamliner? Pues que podría ser, por un corto plazo de tiempo, ¡incontrolable! Esta es la razón por la que la Administración Federal de Aviación de EE. UU ahora requiere que cada tres semanas se reinicien todos los Dreamliners; si no se realiza, “los tres módulos de control de vuelo en el 787 podrían, simultáneamente, reiniciarse si llevan encendidos 22 días … y los pilotos podrían perder el control”.

Fuente

Bueno, yo he volado en una de estas grandes aves y aterricé a salvo así que supongo que lo reiniciaron a tiempo.

Es interesante cómo la magia de los ordenadores está remplazando la mecánica tradicional. En el pasado las primeras medidas para reparar un coche descompuesto eran mecánicas (revisar el nivel de los fluidos y llenarlos lo necesario, luego apretar esta y aquella parte que tal vez se aflojaron…). Estos días es “apágalo y luego enciéndelo de nuevo para reiniciarlo y reparar el (¡incluidos los aviones! Es la nueva realidad ciberfísica, donde la seguridad física de mucha gente depende de la estabilidad de los ordenadores). ¡Bienvenidos al nuevo mundo, amigos!

5) Los hornos alemanes que explotaron cibernéticamente

Es un hecho muy triste que noticias como estas cada vez se tomen menos en serio aunque sucedan con tanta frecuencia: hackers del grupo Winnti hackearon al gigante ThyssenKrupp para robar secretos de su división de ingeniería. Otra gran compañía que añadimos a la lista de los hackeados. “No es la primera y seguramente no será la última, así que, en realidad, no es gran cosa”, el lector suspira. ¡Da igual!

¡Es un gran problema! El hecho de que empiecen a robar secretos de grandes compañías industriales debería causar alarma por las posibilidades que hay de que se estén preparando más ciberataques destructivos del estilo.

Además, en este caso circularon rumores del hackeo por los medios sobre que era ese al que anónimamente se refirieron en 2015 en la que un gran horno había sido hackeado y destruido. ThyssenKrupp lo niega. No estoy seguro de que los detalles de la historia lleguen a hacerse públicos, pero lo que se puede decir sobre lo que pasó es que era un ciberataque muy serio (de hecho, el segundo en causar daños físicos). Y no deberían preocuparse solo los operadores de los hornos…

6) Medidores no muy inteligentes

Una vez más, esta trata de hardware y sus vulnerabilidades. Un fabricante de paneles solares emitió un parche para sus medidores de potencia. Sin él, los cibervillanos podían tomar el control del sistema y manipularlo, por ejemplo, para comunicar información incorrecta sobre la energía distribuida a la red general. ¡Vaya! Además, podrían usar los paneles solares para ataques DDoS. El guion titulado “paneles solares atacan cámaras de seguridad, a su vez, atacan routers caseros” está cada vez más cerca de la realidad…

Fuente

Y ¿cuál era la vulnerabilidad? La contraseña del administrador de todos los dispositivos era la misma y puedes saberlo al ver el vídeo tutorial de los paneles solares en YouTube. Qué inteligentes.

¡No olvides reiniciar tu medidor de potencia después de actualizarlo!

7) Más Internet de las cosas dañinas: pero esta es una tontería.

La tristemente famosa historia del infame botnet Mirai continúa después de ganarse el título del ataque DDoS más poderoso de la historia. El factor más distinguido de Mirai es que, en general, no infecta ordenadores personales, servidores, tabletas y similares. No le interesa esa parte del mundo informático. Es como una buena startup: orientado a una nueva realidad; en su caso, el Internet de las Cosas.

El último escándalo Mirai causó que casi un millón de usuarios de Deutsche Telekom se quedaran sin Internet un tiempo después de que “sellara” sus routers. Después hizo lo mismo con unos 100 000 usuarios del Reino Unido. El gusano utiliza el puerto WAN conectado a Internet mediante el que es posible controlar el dispositivo remotamente ¡SIN NECESIDAD DE NINGÚN ACCESO O CONTRASEÑA! ¿Cuántos modelos han hay afectados en el mundo? Mmm, bastantes. Hace que quieras pellizcarte para asegurarte de que no estás soñando. ¿CÓMO es eso posible? ¿SIN AUTENTICACIÓN? ¡¡Ni si quiera se necesita la confiable contraseña “12345678”!!

Tal seguridad pobre y ausente te hace a pensar: ¿cuánto esfuerzo se requiere para tapar todos estos agujeros abiertos? Si piensas un poco más … hay agujeros menos obvios, menos abiertos (los ocultos, sigilosos, que son igual o más graves). ¿Cuánto esfuerzo se necesitará para taparlos? Respuesta corta: mucho. Así que, si estáis en esa etapa de la vida en la que pensáis qué carrera seguir, elegid la ciberseguridad: nunca se quedarán sin empleo :).

 

Así que, amigos, están son las últimas malas noticias del año, espero que hayáis disfrutado o, al menos, os parecieran interesantes. No es que me guste preocuparos con las noticias, pero ya sabéis… alguien tiene que hacerlo.

Estad atentos, habrá más noticias de este tipo el próximo año, contad con ello.

LEER COMENTARIOS 0
Deja una nota
Facebook

Julio 21, 2022

Cibernoticias del lado oscuro (y luminoso): truco audaz criptográfico, K se vuelve neuromórfico y… cómo entrar en un centro de datos ¡desde el inodoro!

¡Hola, amigos! Para aquellos que todavía estáis sudando en la oficina, y no tenéis la gran suerte de haber tenido unas verdaderas vacaciones de desconexión digital, adjunto, para que podáis desconectar del calor, algunas interesantes cibernoticias, conocidas como Oscuros (y Luminosos) cuentos desde el lado cibernético: historias extraordinarias y difíciles de creer del mundo de […]

Julio 5, 2022

¿Un Kuarto de siglo? ¡¿Qué ha pasado?!

¡Hola, amigos! Hace 25 años y 9 días -un 26 de junio de 1997 – la empresa que tiene el mismo nombre que yo fue registrada. Fue un comienzo realmente humilde: unas doce personas, sin rotaciones… Pero con un cierto expertise tecnológico y planes muy ambiciosos. Teníamos, más o menos, este aspecto: Viajamos dos años […]

Más

Travel Vlog