INTERNET-INTERPOL-2015

La primera vez que usé el término “Internet-INTERPOL” fue allá a comienzos del 2000. La primera vez que lo hice por escrito fue en el 2003. Ahora, doce años después, finalmente, lo que he estado discutiendo, promoviendo y defendiendo a lo largo de estos años se ha convertido en esta realidad:

¡Una división de la INTERPOL dedicada exclusivamente a la lucha contra el lado oscuro de Internet!

Sí, justo la semana pasada en la soleada ciudad de Singapur la INTERPOL lanzó su nueva división cibernética, la IGCI (INTERPOL Global Complex en inglés), cuya misión es liberar Internet de todos los elementos criminales y otras cosas similares. Funcionará como el centro coordinador de todas las actividades internacionales policiales cibernéticas para todos sus estados miembros (¡casi 200 países!). De manera más simple: piratería internacional y otras amenazas cibernéticas. La CYBERPOL está aquí para hacer el bien, hacer nuestras vidas miserables y peligrosas. Además de investigaciones, llevará a cabo la instrucción de especialistas, promoverá la lucha contra el cibercrimen y otras cosas que ayudarán a mejorar la seguridad en la Red.

Esta apertura es enormemente significativa. Hasta ahora los cibercriminales han estado operando sin restricciones, en gran parte, porque no había cooperación entre las entidades policiales del mundo. Como la clásica rivalidad entre el FBI, la CIA y la policía que se ha mostrado en las películas de Hollywood desde hace muchos años. ¡Pero esto también ocurre en el mundo real amigos! Por ejemplo:

¡El año pasado un policía nos pidió el contacto de ciertos agentes de policías de otro país! ¡A nosotros! Por supuesto debería ser al revés: ¡los policías deberían conocerse entre ellos y contactarnos cuando necesiten especialistas en seguridad informática! De hecho, la coexistencia de los dos sistemas (la de los cibercriminales sin fronteras y la de la ciberpolicía estatal restringida por jurisdicciones nacionales, o, en el mejor de los casos, por las fronteras europeas) siempre ha sido un problema. Y las cosas sólo han empeorado en los últimos 15 años, con un incremento de los cibercriminales que actúan casi con impunidad. Algunos han sido capturados y sancionados, pero en general, estos sólo eran la punta del iceberg.

Lo que hizo que el evento de la semana pasada fuera aún más especial para nosotros es que se abriera el IGCI con nuestra participación activa, contando apoyos de otro tipo: organizacional, consultivo, financiero y hasta de personal. Por ejemplo, uno de nuestros mejores expertos, V.K., ahora nuestro “hombre” en Singapur, después de que estar viviendo allí y trabajando con la INTERPOL desde hace ya unos meses, va a continuar haciéndolo más tiempo. Está ayudado a los compañeros de la INTERPOL a desarrollar y profundizar sus habilidades y conocimientos en seguridad informática, e incluso participa en investigaciones en curso. Y está feliz como una perdiz.

Vitaly Kamluk, our man in INTERPOL

Seguir leyendo:INTERNET-INTERPOL-2015

Guía práctica para crear sensacionalismo.

Existen muchas maneras de inventarse un tema sensacionalista usando los medios. Una forma fácil es especular y crear teorías conspirativas. Por desgracia, hay gran demanda de este tipo de historias, por lo que tienen bastantes papeletas para causar un revuelo.

Entonces, ¿cómo puede una compañía mundial con raíces rusas formar parte de una teoría conspirativa? Bueno, es fácil: debería haber un trabajo diabólico interno del servicio secreto ruso (para producir el efecto de “¡lo sabía!”). En muchos casos puedes cambiar el adjetivo “ruso” por cualquier otro para producir un efecto similar. Es una receta simple y efectiva de un artículo sensacionalista. Explotar la paranoia es siempre la mejor herramienta para incrementar el número de lectores.

Hay preguntas que ya hemos contestado antes millones de veces: ¿cuál es nuestra conexión con el KGB? ¿Por qué sacas a la luz operaciones cibernéticas llevadas a cabo por los servicios de inteligencia occidentales? ¿Cuándo planeas contratar a Edward Snowden? Y otras del tipo de ‘¿ya has dejado de golpear a tu esposa?’.

Somos una compañía transparente y tenemos respuestas detalladas. Siempre estamos dispuestos a disipar cualquier especulación sobre nuestra participación en alguna conspiración. No tenemos nada que esconder: estamos en el negocio de la seguridad y para poder tener éxito tenemos que estar dispuestos a ser vigilados de cerca.

Muy a mi pesar, hay ocasiones en que los periodistas publican artículos sensacionalistas inventándose historias que no respetan la ética profesional. Y a veces hay rastros del periodismo malo y sensacionalista en publicaciones de medios de comunicación de calidad. Me gustaría hacer un comentario sobre el tema.

La fiebre de moda de buscar conspiraciones relacionadas con el Kremlin ha llegado a los periodistas de Bloomberg. Y curiosamente esto sucedió no mucho después de nuestra investigación sobre el grupo Equation.

Hace mucho tiempo leí un artículo que me pareció poco preciso desde el primer momento- concretamente desde el título y el subtítulo. Así que no fue una gran sorpresa que una gran parte del resto del artículo simplemente fuera falso. Especulaciones, suposiciones y conclusiones injustas basadas en datos erróneos. En búsqueda del sensacionalismo, los periodistas cambiaron el orden de las cosas e ignoraron algunos hechos descaradamente obvios. Mi enhorabuena a los autores: han obtenido una nota alta en mal periodismo.

Pero ahí es donde la emoción se detiene por hoy. Ahora echemos un vistazo a los hechos objetivos, bueno, más bien a la falta de ellos. Dejadme repasar las meteduras de pata más indignantes y retorcidas.

Bloomberg bullshit Seguir leyendo:Guía práctica para crear sensacionalismo.

Introduce tu dirección de e-mail para suscribirte a este blog
(Required)

CLASE DE GEOGRAFÍA

Hacemos hasta 2.000 actualizaciones diarias de nuestros productos.

Cada semana, nuestros usuarios, procedentes de todas partes del mundo, se descargan esas actualizaciones más de un millón de veces.

Mensualmente distribuimos alrededor de 4 petabytes de actualizaciones.

Estas actualizaciones, junto con otras de nuestras tecnologías, te protegen de amenazas cibernéticas. En los últimos años hemos visto el surgimiento de nuevos malware, ¡no sólo por día, sino por minuto y por segundo! Cada año analizamos más de un millón de muestras de códigos maliciosos.

Para un usuario medio, el hecho de recibir actualizaciones de antivirus, se vuelve un proceso automático. Se procesan discretamente sin molestarte. Sin embargo, una actualización va más allá de lo que parece. Las actualizaciones son simplemente la punta de un sofisticado iceberg que conecta nuestros productos con un gran sistema distribuido de IT (Tecnología de la Información) que hemos construido utilizando un montón de ideas originales y conocimientos técnicos.

Este es el esquema general. Los detalles se vuelven más interesantes…

geography lesson

Seguir leyendo:CLASE DE GEOGRAFÍA

Malware para OS X: la evolución

¿Existe algún malware OS X específico para (Mac)?

Sí, existe. Pero por alguna extraña razón hace tiempo que no hablo de nada interesante relacionado con este tema…

La última vez fue hace dos años y medio. Sí, ese es el tiempo que ha pasado desde que el gusano Flashback atacó a 700.000 Macs en todo el mundo. La industria de la seguridad reaccionó y la botnet Flashback fue desactivada, pero desde entonces no se ha sabido nada más… Algunos podrían pensar que desde entonces la lucha de Mac contra el malware estaba ganada y que ni un solo bit de iMalware ha perturbado a Apple…

Pero estarían equivocados…

Mac malware is not amyth, they do exist

Claramente, las probabilidades de que un malware afecte a una plataforma u a otra son muy distintas, y Microsoft Windows es la plataforma más utilizada. No muy lejos estaría Android, relativamente nueva. Sí, en los últimos tres años los cibercriminales han estado bombardeando al pequeño robot verde e incrementando sus niveles de actividad maliciosa. Mientras tanto, en el mundo de los iPhones y los iPads, a excepción de algunos casos muy raros de ciberespionaje, apenas ha habido ataques que hayan tenido éxito (a pesar de que han utilizado métodos inusuales). Algo parecido sucede con los Macs – las cosas están muy tranquilas en comparación con otras plataformas; pero últimamente ha habido indicios de los que os hablaré en este post.

Veamos rápidamente una serie de cifras, a modo de pequeño resumen ejecutivo:

  • El número de nuevos casos de malware para Mac detectados en los últimos años ya ha llegado a miles.
  • En los primeros ocho meses de 2014, se detectaron 25 ‘familias’ distintas de malware para Mac;
  • La probabilidad de que un Mac desprotegido sea infectado por algún malware específico para Mac ha aumentado a cerca de un tres por ciento.
En 2013, @Kaspersky detectó él solo 1700 muestras de malware para OS X. Tweet

Seguir leyendo:Malware para OS X: la evolución

2015 en el punto de mira

Tenemos una tradición aquí en Kaspersky Lab (aparte de nuestras fiestas de verano, eventos de Nochevieja y demás). Cada verano actualizamos nuestras funcionalidades. ¡Y ya estamos en verano! (¿Qué? ¿A dónde se ha ido?) Así que dejadme que os hable sobre las mejores y más guays para el 2015, o mejor dicho- sobre los últimos trucos de nuestros cyber-villanos que hemos explotado para tener la mejor tecnología en Kaspersky Lab para el 2015.

Bueno, aquí vamos…

1

Seguir leyendo:2015 en el punto de mira

¿Más allá del bien y del mal?

Hace algunos días, Microsoft anunció su incursión en el servicio DNS dinámico No-IP, el resultado fue que se secuestraron 22 de sus dominios. El gigante de Redmond declaró que tenía unas razones muy válidas: No-IP contiene todo tipo de malware, deja espacio a los cibercriminales, es el epicentro de los ataques dirigidos, y además, No-IP nunca colabora con nadie para erradicar estos problemas.

Como pasa en la mayoría de los conflictos, cada uno echa la culpa al otro.

En particular, No-IP afirmó que hacen todo con las mejores intenciones y siempre están dispuestos a eliminar las fuentes de ciberataques, mientras que a los clientes no les gustan nada estas incursiones externas y les consideran un ataque ilegal a negocios legales. Ya que se pueden encontrar malware prácticamente en cualquier sitio, la interrupción de un servicio con una orden de un tribunal no es la solución adecuada.

¿Es legal desactivar un servicio porque se encuentra un #malware? ¿Y si se encuentran en cualquier página?Tweet

Mientras tanto, esta incursión dio bastantes resultados: se cerraron más de 4 millones de páginas web, entre maliciosas e inocuas, y esto afectó a 1,8 millones de usuarios. Microsoft está intentando separar lo bueno de lo malo y volver a activar las páginas legales; de todas formas, muchos usuarios siguen quejándose de molestas interrupciones de algunos servicios.

Identificar a los culpables es un trabajo inútil. Dejaré la investigación periodística a los… periodistas. Os contaré solo hechos, puros y duros, y os hablaré de números, así tal vez llegaréis a vuestras conclusiones  acerca de la legalidad y eticidad  de las acciones de Microsoft…

1) Cerrar 22 dominios de No-IP afectó a más o menos el 25% de los ataques dirigidos de los que teníamos constancia en Kaspersky Lab. Se trata de miles de las operaciones de espionaje y cibercriminales de los últimos 3 años. Aproximadamente un cuarto de ellas tenían por lo menos un centro de Comando y Control (C&C) en No-IP; por ejemplo, los grupos de hackers Syrian Electronic Army y Gaza Team utilizan exclusivamente No-IP, mientras Turla lo utiliza en el 90% de sus operaciones;

2) Podemos confirmar que entre todos los proveedores de DNS dinámicos, No-IP fue el que menos estaba dispuesto a cooperar. En particular, ignoraron todos nuestros mails sobre la operación de sinkholing de una botnet;

3) Nuestro análisis sobe las piezas de malware actuales demuestra que a menudo los cibercriminales utilizan No-IP para sus centros de control de una botnet. Una simple búsqueda a través de VirusTotal confirma este hecho con unos datos muy impactantes: 4,5 millones de piezas de malware únicas se encontraron en No-IP;

4) De todas formas, las últimas cifras proporcionadas por nuestro servicio en la nube (KSN) muestran una situación un poco diferente. En esta tabla encontraréis los porcentajes de ciberataques de los principales servicios de DNS dinámicos:

Servicio % de hosts maliciosos Número de detecciones (en una semana)
000webhost.com 89.47% 18,163
changeip.com 39.47% 89,742
dnsdynamic.org 37.04% 756
sitelutions.com 36.84% 199
no-ip.com 27.50% 29,382
dtdns.com 17.65% 14
dyn.com 11.51% 2321
smartdots.com 0.00% 0
oray.com 0.00% 0
dnserver.com 0.00% 0

Como se ve, No-IP no encabeza la lista así que no es el primero en número de ataques, pero sí que los porcentajes son muy altos en comparación con la mayoría de los servicios.

Algún dato más: el porcentaje de malware en los dominios .com llega a un 0,03%, mientras en la zona .ru es de un 0,39%. ¡En No-IP llegamos al 27,5%!

Hay que mirar el resto de los datos de una manera diferente: en una semana se detectaron alrededor de 30 mil  dominios maliciosos en No-IP, mientras que en la misma semana para uno de los dominios más maliciosos de la zona .com se llegó a 429 mil detecciones, o sea 14 veces más que No-IP. Luego, el décimo dominio más infectado en la zona .ru generó 146 mil detecciones, ¡o sea casi lo mismo que los primeros 10 proveedores todos juntos de DNS dinámicos mencionados antes!

Resumiendo…

Por un lado, bloquear servicios populares utilizados por miles (o millones) de usuarios no es algo bueno. Por el otro, sí que está bien cerrar los sitios que albergan malware, es más, es una acción noble.

Cerrar los dominios de No-IP. ¿Está bien o está mal? Esta es la cuestión.Tweet

Pero las matemáticas hacen de abogado del diablo y demuestran que:

Desde el punto de vista cuantitativo, cerrar todos los dominios de No-IP no es más eficaz en la lucha contra los malware que cerrar el dominio con más piezas de malware en cada una de las zonas más populares, por ejemplo .com, .net o incluso .ru. Si se cerraran todos los proveedores de DNS dinámicos, Internet no llegaría a ser un lugar más “limpio”, o por lo menos no tanto como para notar la diferencia.

Entonces, la verdad que la situación es muy ambigua, con A mayúscula.

Cualquier persona honesta y con juicio puede decir que aquí nada es blanco o negro, no hay cosas exactas o equivocadas o, como dice Nietezche, es algo más allá del bien y del mal, ¿quién puede decidir?

Pues, reflexionando sobre este tema llegué a esta conclusión…

Hasta que el volumen de las acciones de los cibercriminales sea tan alto, es necesario utilizar este “poder” y cerrar de repente algunos servicios, ignorando cualquier noción de libertad en Internet y en los negocios. Así son las cosas, es una regla de la sociedad: si algo huele mal, tarde o temprano hay que limpiar y solucionar el problema.

La lista de los servicios bloqueados es bastante larga: Napster, KaZaA, Pirate Bay y otros más. Ahora añadimos No-IP a la lista.

¿Quién será el siguiente?

¿Bitcoin? La batalla ya ha empezado.

Cibernoticias del lado oscuro – 30 de junio de 2014

Hackeada la bolsa gracias a un retraso de microsegundos

Los estafadores llegan a cualquier sitio, incluso a  la Bolsa. Bueno, ahora lo explico bien…

La profesión de los brokers de bolsa antes era muy respetada y honrada, es más, se trataba de un trabajo muy duro. Los intermediadores de acciones trabajaban muchísimo y durante muchísimas horas a la semana, siempre bajo presión porque tenían que tomar decisiones súper importantes, de día y de noche.  Compraban y vendían valores, acciones, bonos, derivados financieros (o como se llaman todas estas cosas) y tenían que hacerlo en el momento exacto para obtener los mejores precios y tarifas, esperando hasta el último minuto. Como para tener un ataque de corazón. En otros tiempos se tiraban por la ventana cuando todo iba mal. Un trabajo verdaderamente duro.

Bueno, eso era en otros tiempos. Ya no se trabaja manualmente, ahora todo está automatizado. Ya no es necesario pensar mucho, estresarse o sudar: la mayoría del trabajo lo llevan unos robots (programas especiales que determinan automáticamente el momento mejor para comprar o vender). En pocas palabras, la profesión del bróker se ha reducido a enseñar a las máquinas cómo hacer estas operaciones. Y los tiempos de reacciones de estas máquinas (o sea fracciones de segundos) son fundamentales para traer beneficio de un mercado o de otro.  La velocidad depende de la calidad de la conexión a Internet con la bolsa de valores electrónica. O sea, cuanto más cerca el programa se encuentre físicamente de la Bolsa, más probabilidades hay de ser los primeros en hacer una oferta. Viceversa, los robots en “las afueras” siempre se quedarán al margen, a no ser que utilicen los algoritmos más recientes.

Últimamente, en estos importantes tiempos de reacción se interponen unos cibercriminales desconocidos. Un sistema de fondos de inversión ha sido infectado por un malware que ha retrasado las transacciones de algunos centenares de microsegundos; esto seguramente habrá hecho la diferencia entre cerrar unos tratos importantes o perderlos para siempre.

bae-600x255 Seguir leyendo:Cibernoticias del lado oscuro – 30 de junio de 2014

Desde el primer malware para smartphone hace 10 años… hasta hoy

El 15 de junio de 2004, concretamente a las 19:17 hora de Moscú, sucedió algo que daría comienzo a una nueva era en la seguridad informática. Descubrimos el primer malware creado para smartphones.

Era Cabir, que estaba infectando el sistema operativo Symbian de los dispositivos Nokia divulgándose a través de conexiones Bluetooth no seguras. Con su descubrimiento, el mundo aprendió que no solo existían los malware para ordenadores, bien conocidos ya por todos (aparte tal vez solo de los monjes en una ermita), sino también para móviles. Sí, muchos se rascaron la cabeza pensativos al principio (“¿Un virus afectando a mi móvil? ¡Anda ya!”), pero la veracidad del asunto terminó asimilándose tarde (=meses) o temprano (=décadas) por la mayoría de las personas (algunos aún no son conscientes de ello). Mientras tanto, ¡nuestros analistas hicieron su entrada en los libros de historia!

¿Por qué bautizamos este malware como Cabir? ¿Por qué creamos una sala de seguridad especial en nuestra sede central en Moscú? ¿Y cómo pudo acabar Cabir en el bolsillo de un empleado de F-Secure? Estas y otras preguntas fueron planteadas recientemente a Aleks Gostev, nuestro jefe experto en seguridad, durante una entrevista para nuestra Intranet, que voy a compartir con vosotros aquí.

Por lo demás, la historia empieza realmente cuando usamos estos dos dispositivos para analizar el malware:

The legendary Symbian-powered Nokia phones we used to analyze Cabir

Seguir leyendo:Desde el primer malware para smartphone hace 10 años… hasta hoy

Cibernoticias del lado oscuro – 04 de junio de 2014

Cumpliendo con mi palabra, aquí va el segundo capítulo de mi nueva serie semanal (más o menos) “cibernoticias del lado oscuro” o algo parecido…

Hoy el tema principal girará en torno a la seguridad de las infraestructuras críticas; en concreto, sobre los problemas y amenazas a los que debemos prestar atención. Me refiero en particular a los ataques en la producción e instalación nuclear, transportes, red eléctrica y otros sistemas de control industrial (ICS).

En realidad, no se trata de noticias “nuevas” porque se remontan a la semana pasada. Afortunadamente, no suelen salir a la luz cada semana problemas en las infraestructuras críticas, o al menos no son noticias de gran relevancia. Lo que sucede es que probablemente la mayoría de los temas se mantienen en secreto (algo comprensible pero preocupante) o que sencillamente nadie es consciente de ellos (los ataques pueden hacerse en silencio, algo mucho más preocupante).

A continuación encontraréis una colección de hechos curiosos y reales, que demuestran la situación actual y las tendencias respecto a la seguridad de las infraestructuras críticas.

Todo esto sirve para indicar lo que hay que hacer frente a las amenazas correspondientes.

Resulta que hay razones más que suficientes para quedarse atónitos respecto a temas de infraestructuras críticas.

Si los sistemas de control industrial se conectan a Internet, es casi seguro al 100% que serán hackeados el primer día

El lema de los ingenieros que crean e instalan sistemas de control industrial es “asegurar un funcionamiento estable y contínuo, el resto no importa”. Así pues, si se encuentra una vulnerabilidad en el controlador a través de la cual alguien puede tomar el control del sistema, o si el sistema está conectado a Internet, o la contraseña es, actualmente, realmente, seriamente… 12345678, ¡todo esto no les preocupa! Solo les importa que el sistema siga funcionando de manera constante y sin problemas, ¡y siempre a la misma temperatura!

Después de todo, buscar remedios o cualquier otra intervención puede causar (y muchas veces pasa) que el sistema deje de funcionar durante un tiempo, y esto es una condena para los ingenieros de ICS. Sí, así es como funcionan hoy en día las cosas con las infraestructuras críticas, no se ve el gris entre el blanco y el negro. ¿O es esconder la cabeza bajo la arena?

En septiembre del año pasado configuramos un honeypot que conectamos a Internet y simulamos un sistema industrial en funcionamiento. ¿El resultado? En un mes había sido violado con éxito 422 veces, y, en muchas ocasiones, los cibercriminales llegaron hasta el Controlador Lógico Programable (PLC, por sus siglas en inglés), incluso lo reprogramaron (como Stuxnet). Lo que nuestro experimento con el honeypot demostró fue que, si los sistemas de control industrial están conectados a Internet, es casi seguro, al 100%, que serán hackeados el primer día. Y lo que puede hacerse con ICS hackeados… Sí, es como para llevarse las manos a la cabeza. Como el guión de una película de acción de Hollywood. Y los ICS vienen en muchas y diferentes formas y tamaños. Por ejemplo, las siguientes:

Malware en una central nuclear:

Recurso

Seguir leyendo:Cibernoticias del lado oscuro – 04 de junio de 2014