La situación geopolítica actual es convulsa, con varios conflictos activos en diversas regiones y otros en ciernes. Esto hace que los países o actores involucrados en estos conflictos utilicen todos los medios a su alcance para obtener alguna ventaja o información muy valiosa de sus enemigos. La utilización de ciberamenazas como complemento a la guerra cinética convencional no es algo nuevo, aunque su uso se está incrementando conforme pasan los años.
Un ejemplo de esto lo tenemos con el grupo de ciberespionaje Arid Viper identificado por los investigadores de ESET Research en cinco campañas donde se han distribuido aplicaciones troyanizadas para atacar dispositivos Android. Estas campañas estaban dirigidas principalmente a usuarios en Palestina y Egipto y donde se utilizaba un spyware de múltiples etapas, bautizado como AridSpy, que permite a los atacantes espiar y recopilar información sensible de los dispositivos infectados.
Otro de los principales focos de conflicto actual lo tenemos en la guerra de Ucrania donde, de nuevo, el grupo de especialistas de ESET Research ha revelado recientemente varios ciberataques de alto perfil llevados a cabo por grupos de amenazas persistentes avanzadas (APT) como Gamaredon. Estos grupos están alineados con Rusia y los ataques van dirigidos a entidades ucranianas y ciudadanos de habla ucraniana.
Además, en el plano de las ciberamenazas convencionales, los investigadores de ESET han rastreado las actividades recientes del grupoCosmicBeetle, documentado su nuevo ransomware ScRansom y destacando las conexiones con otras bandas de ransomware bien establecidas. Aunque no estamos ante un ransomware avanzado, sus desarrolladores son capaces de comprometer objetivos interesantes.
Todas estas investigaciones demuestran que la guerra hibrida es una realidad desde hace tiempo. Aunque las operaciones militares convencionales siguen siendo una parte fundamental en los conflictos armados, ya no resulta extraño ver operaciones cibernéticas como complemento o apoyo a los ataques cinéticos.
Problemas con la gestión de nuestros datos
Septiembre tampoco ha sido un mes especialmente bueno si tenemos en cuenta los incidentes relacionados con la gestión de los datos privados de los usuarios que almacenan importantes empresas. Se comenta mucho lo importante que es para los usuarios proteger el acceso a nuestra información privada y acceso a servicios online, pero, desde hace tiempo, los delincuentes están consiguiendo robar esta información directamente desde las empresas que deberían almacenarlos de forma segura.
Ejemplos de filtraciones y robos de datos los tenemos todas las semanas y, aun así, no dejan de impactarnos las noticias cuando los delincuentes consiguen vulnerar la seguridad de empresas como Avis y consiguen robar los datos de hasta 400.000 usuario. Entre los datos robados se incluían nombres completos, fechas de nacimiento, direcciones de correo electrónico, números de teléfono, detalles de tarjetas de crédito y, especialmente preocupantes, números de permisos de conducir.
Tampoco hace falta irse muy lejos para comprobar que este tipo de incidentes están a la orden del día ya que la empresa española Repsol detectó el pasado 10 de septiembre un acceso no autorizado a datos de usuarios españoles de sus servicios de electricidad y gas. Supuestamente, el incidente se inició en un proveedor externo y, entre la información sustraída no se encontrarían datos importantes como credenciales o información financiera, pero si nombres completos, domicilio, DNIO y otros datos de contacto.
Si bien no existe la seguridad al cien por cien y hemos de asumir que algunos de estos ataques tendrán éxito, existen medidas suficientes para mitigar su impacto. Una de estas medidas consiste en cifrar la información para que esta resulte inútil si es robada, algo que empresas tan relevantes como Meta no habrían hecho, según se desprende de la multa de 91 millones de euros que la Comisión de Protección de Datos de Irlanda habría impuesto a la tecnológica por almacenar contraseñas de Facebooke Instagram en texto plano.
Vulnerabilidades críticas
Aunque todos los meses se publican numerosas vulnerabilidades y parches para solucionarles, periódicamente una de ellas llama la atención por su posible impacto. Este septiembre hemos vivido una de estas situaciones con la publicación de varias vulnerabilidades críticas de GNU/Linux relacionadas con un fallo en CUPS (el sistema de impresión común en sistemas derivados de UNIX). Supuestamente, un atacante podría utilizar esta vulnerabilidad para inyectar una «impresora» maliciosa en el sistema. Activándose el código malicioso cuando un usuario utiliza esta impresora para imprimir un documento.
Estas vulnerabilidades causaron gran expectación entre la comunidad de ciberseguridad debido a que, inicialmente se pensaba que tendrían una puntuación de 9,9 sobre 10, lo que las convertiría en algo especialmente grave. Sin embargo, una vez desvelados los detalles, se observó que para conseguir explotarlas se debían cumplir algunos puntos clave, incluyendo que CUPS esté activado y escuchando por un puerto concreto (algo que viene desactivado por defecto en muchas instalaciones, especialmente las de servidores). De cualquier forma, se recomienda desactivar esta funcionalidad si no se va a utilizar, detener el tráfico UDP en el puerto 631 y aplicar los parches de seguridad según estos se encuentren disponibles.
Otro fallo de seguridad importante desvelado el pasado mes de septiembre fue una vulnerabilidad SQLi que afectaba ala TSA, la agencia de transporte gubernamental que se encarga del control de los pasajeros y sus pertenencias en los aeropuertos de Estados Unidos. Durante septiembre supimos que unos investigadores habían logrado acceder a sistemas de la TSA usando técnicas antiguas de inyección SQL en portales de esta organización, lo que les permitió convertirse en administradores, asignar autorizaciones como el listado de pilotos y asistentes de vuelo y saltándose así los controles de seguridad de los aeropuertos.
Ataques en el Internet de las cosas
La conexión de todo tipo de dispositivos a Internet para permitir su gestión remota tiene sus ventajas, pero también sus inconvenientes si no se realiza de forma segura. Llevamos años observando como los delincuentes utilizan dispositivos inseguros conectados en su propio beneficio y, a pesar de los avisos y los numerosos casos reportados, no parece que la situación vaya a cambiar a corto y medio plazo.
Una de las noticias destacadas de las últimas semanas tiene que ver con el descubrimiento realizado por un grupo de investigadores, quienes descubrieron fallos críticos en el portal de concesionarios de Kia. Estos fallos podrían permitir a un atacante localizar y robar millones de automóviles Kia con fecha de fabricación posterior a 2013 conociendo únicamente la matrícula del vehículo.
Además, en septiembre conocimos la existencia de una gran red de routers y otros dispositivos infectados por malware, que sumarían más de 260.000 dispositivos. Esta botnet estaría controlada por actores de amenazas chinos y tendría también dispositivos afectados en España, según un documento publicado recientemente por el FBI donde se alerta de todos los tipos de dispositivos IoT que habrían podido ser vulnerados.
Josep Albors