domingo, 30 de octubre de 2016

Botnets, IoT y DDoS: el cóctel que podría provocar el caos

Lo que ocurrió el pasado viernes, cuando un ataque de denegación de servicio distribuido (DDoS) provocó que webs como Twitter o Spotify se quedaran sin servicio, puede ser una anécdota en comparación con lo que podría llegar a pasar.

Muchos recordaréis lo que ocurrió, ya que ha sido una de esas noticias en las que la palabra “ciberseguridad” se escucha (por fin) en los informativos y medios más generalistas y llega al gran público. El viernes, un ataque DDoS dejó prácticamente sin conexión a Internet sobre todo a la zona de la costa este de los Estados Unidos. El ciberataque fue perpetrado contra Dyn, una compañía que provee DNS (Sistema de Nombres de Dominio). Los DNS básicamente proporcionan el acceso a los sitios web, “traduciendo” las direcciones (www.ejemplo.com) en direcciones IP (números).

Al principio, no había mucha información, pero las primeras investigaciones apuntan a que fueron miles de dispositivos conectados a Internet, los que conforman el denominado Internet de las Cosas, los que fueron usados para lanzar este ataque. Estas son las conclusiones a las que ha llegado la firma de seguridad e inteligencia Flashpoint, tras una investigación de lo que ocurrió el viernes.

El problema radica en que esos dispositivos usados para lanzar el ataque (de los que no se conoce el número exacto, pero podrían ser unos 100.000) eran vulnerables. Es decir, probablemente no estaban actualizados, no contaban con los parches de seguridad necesarios, bien porque los usuarios no lo habían actualizado correctamente, o porque el fabricante no los ha proporcionado.

Sea como fuere, esos miles de dispositivos fueron infectados con un malware específicamente diseñado para este tipo de equipos: Marai. El malware Marai es capaz de infectar dispositivos conectados a Internet, como routers, o cámaras de seguridad, y hacer que funcionen como zombies. Sí, como zombies. Una vez que esos dispositivos están infectados, se convierten en bots (robots), que actúan bajo las órdenes de los cibercriminales, formando parte de una red de bots que se denomina botnet. Todo esto, sin que los dueños de esos equipos se percaten de nada. Estos bots pueden ser manejados por parte de los cibercriminales desde un control central, lo que se denomina Command and Control (C&C).

Y es que la combinación de millones de dispositivos conectados a Internet (sin ninguna seguridad), malware específico para estos dispositivos IoT y la capacidad de usarlos a voluntad para generar ciberataques mediante botnets… Es más que peligrosa.

Los expertos no dejan de advertirlo desde hace mucho tiempo: se nos viene una auténtica avalancha de dispositivos conectados a Internet (se calcula que 20.000 millones en 2020) y cantidades ingentes de información que hay que proteger. De lo contrario, las consecuencias podrían ser muy graves. Lo peor, es que no sabemos lo graves que pueden llegar a ser.

En cualquier caso, no es tan sencillo de realizar. Un pequeño ataque, un “susto”, es posible que pueda ser realizado por personas sin grandes conocimientos técnicos, con herramientas a la venta en Internet. Pero este tipo de ataques, a gran escala, sofisticados… Deben ser llevadas a cabo por grupos de personas con grandes capacidades técnicas y recursos.

Esta no es la primera vez que ocurre algo así, ya se han producido ataques DDoS a través de dispositivos relacionados con Internet de las Cosas, convirtiéndolos en ejércitos para una guerra cibernética. De hecho, los dispositivos preferidos para los ciberdelincuentes a la hora de llevar a cabo este tipo de ataques, son las cámaras IP. Hay miles, millones en todo el mundo conectadas a Internet y desprotegidas, esperando para formar parte de estos ciberataques.

Teorías, hay muchas. Algunas de las que van sonando apuntan, cómo no, a Rusia. Otras quieren hacer referencia a la proximidad de las elecciones del 8 de noviembre en Estados Unidos… ¿Y si se dejara con una conexión a Internet tan deficiente a una zona del país que fuera prácticamente imposible votar de forma electrónica?

¿Podemos haber formado parte de este ciberataque sin saberlo? 

Efectivamente, cualquiera de nuestros dispositivos inteligentes, sin la debida protección, han podido ser infectados por algún tipo de malware. Han podido formar parte de una botnet. Y han podido ser un granito de arena más para ayudar a realizar el ciberataque del viernes, perfectamente.

El hacker y experto en ciberseguridad Ángel Ochoa lo mostraba de forma práctica en este episodio del programa Mundo Hacker, en el que podíamos ver una reproducción del funcionamiento de un ataque DDoS real, muy similar al que ocurrió el pasado viernes.

Por cierto, que los DNS no solamente pueden ser atacados de esta manera… Hay formas de aprovecharse de esta forma de comunicación entre ordenadores. ¿Y si se cambiara uno de estos números (DNS) para acceder a una página distinta a la que creemos que estamos accediendo? Por ejemplo, escribes www.google.com y crees que estás accediendo al buscador, pero un ciberatacante ha podido aprovecharse de una vulnerabilidad (en tu router, por ejemplo) para cambiar el DNS al que accedes. Esta demostración de hacking también la realizó Ángel Ochoa en Mundo Hacker, aquí puedes echarle un vistazo.

Tras la avalancha de artículos, entrevistas y reportajes en todos los medios de comunicación haciéndose eco de este tema, parece que aumenta la conciencia sobre la importancia de la seguridad, y la protección de los diferentes sistemas. A lo mejor, ver las orejas al lobo, como suele pasar, provoca que aumente la concienciación, y esperemos que no sea solo una noticia de moda pasajera.

Fuente: http://globbsecurity.com/botnets-iot-ddos-peligroso-coctel-39939/

martes, 18 de octubre de 2016

Seguridad Informática: nuestra privacidad en entredicho

En los últimos años ha proliferado de manera meteórica el uso de las redes sociales y, a pesar de que psicólogos y sociólogos alertan de los peligros que el constante uso de las mismas puede acarrear tanto a corto como a largo plazo, lo cierto es que no dejan de multiplicarse el número de cuentas y perfiles en todas ellas: Facebook, Tuenti, Twitter, Instagram, WhatsApp…
El problema en la gran mayoría de los casos es que los usuarios no somos conscientes de los potenciales riesgos que acarrea el uso de las redes sociales, sobre todo en lo que se refiere a la protección de nuestra privacidad. Es cierto que muchas de ellas cuentan con mecanismos que permiten restringir el acceso de ciertas personas a la información privada – como por ejemplo Facebook – pero también es cierto que eso no es, ni de lejos, suficiente para proteger nuestra intimidad y evitar que la misma caiga en manos inapropiadas.
En paralelo con esta cuestión, cada vez son más numerosas y sofisticadas las técnicas hacker o mejor dicho seria decir tecnicas de cibercrimen, desarrolladas para tener acceso a información privada de los usuarios de las redes sociales y de Internet en general y mediante ellas los expertos consiguen tener acceso no sólo a fotos o datos sino incluso a comunicaciones privadas vía chat o e-mail. Y es que las estadisticas asi lo demuestran; 4 de cada 10 usuarios de las redes sociales han sido víctimas de algún ciberdelito y los mas grave es que en muchas ocasiones, éstos ni siquiera son conscientes de que se ha violado su intimidad.
La mayoría de estos métodos están diseñados como auténticos anzuelos que capten la atención de los usuarios sin levantar sospechas sobre su ilicitud. Pero, ¿cuáles son algunas de estas técnicas utilizadas por los hackers?
Uno de los clásicos métodos de comisión de delitos a través de las redes sociales consiste en la creación de páginas web falsas con la apariencia de la red social en cuestión, (phishing) con el objetivo de obtener la información del usuario cuando éste introduce su correo y contraseña para iniciar sesión . Otra famosa técnica que afecta especialmente a Facebook, la red social por excelencia, es la de un mensaje que llega a los usuarios y que promete ver quiénes visitan su perfil; al hacer click sobre el enlace, no sólo no se tiene acceso a la información prometida, sino que hemos permitido el acceso a nuestra cuenta. Y otra de las técnicas más empleadas es la de difundir falsos videos con morbo o contenido polémico de modo que los usuarios caen en la tentación de reproducirlo y con ello no sólo permiten acceso al contenido privado de su perfil sino que en no pocas ocasiones permiten la entrada de ciertos virus o malware en los dispositivos electrónicos.


En una reciente entrevista concedida al programa de televisión Salvados (La Sexta) por Chema Alonso, uno de los mejores hacker tanto a nivel nacional como internacional, éste explicaba algunas de las técnicas que los cibercriminales suelen emplear con frecuencia para acceder a la información privada de los usuarios de Internet, todo ello con el objetivo de concienciar a la sociedad sobre lo fácil y sencillo que resulta. A modo de ejemplo, señalaba lo siguiente:
«Uno de los trucos más antiguos de la comunidad hacker consiste en crear una trampa consistente en la puesta a disposición de una red wifi gratuita en espacios públicos – como por ejemplo un aeropuerto – para que la gente se conecte, y una vez lo hacen ya tendríamos acceso a todos los datos que está enviando a través de Internet, entre ellos usuarios y contraseñas. Podríamos ver sus perfiles de las redes sociales, hacer un robo de identidad, difamar su información, cambiar los ajustes de privacidad, acceder a sus claves del correo electrónico, chatear con sus contactos…».

Al contrario de lo que muchos podrían pensar, lo cierto es que este tipo de conductas no sólo son llevadas a cabo por bandas organizadas o estructuras del ciber-crimen sino que cada vez más son empresas quienes quieren tener acceso a la información privada de sus empleados, o ciudadanos que quieren hacer lo mismo respecto a sus parejas, familiares, amigos o vecinos.
Todo ello podría hacernos pensar que los usuarios nos encontramos en no pocas ocasiones ante situaciones de clara indefensión frente a las técnicas empleadas por profesionales; lo cierto es que uno de los mayores problemas es que Internet es global mientras que la legislación es local y a día de hoy no existe ningún tipo de armonización a nivel mundial que regule esta cuestión. Como consecuencia, es fácil encontrarse en situaciones en las que ciertas técnicas están prohibidas en un país y legalizadas o no reguladas en otro, lo que sin duda facilita las cosas a los hackers.

Sin perjuicio de ello, parece oportuno indicar brevemente cuál es la regulación con la que contamos en España respecto a este tipo de prácticas. En concreto, el artículo 197.3 del Código Penal Español castiga con una pena de prisión de seis meses a dos años al que “por cualquier medio o procedimiento vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticoscontenidos en un sistema informático […] en contra de la voluntad de quien tenga el legítimo derecho a excluirlo”.

Además, el artículo 197.4 del Código Penal castiga con una mayor pena – de dos a cinco años – a quien difunda, revele o ceda a terceros los datos o hechos descubiertos o las imágenes captadas.
A pesar de que el Código Penal regula estas prácticas en los citados preceptos, lo cierto es que tal y como hemos señalado anteriormente la ausencia de una regulación a nivel mundial dificulta muchísimo la persecución de estos delitos, sobre todo teniendo en cuenta que Internet no tiene fronteras. Sin perjuicio de ello, los usuarios debemos adoptar las medidas que estén a nuestro alcance para evitar dichas situaciones, tales como ser más cautelosos respecto a la información que publicamos en las redes sociales. A modo de ejemplo, los expertos en seguridad informática desaconsejan introducir en Internet demasiados datos personales así como fotos, direcciones, números de teléfono, posesiones materiales o costumbres y si aun así se llegan a producir violaciones contra nuestra intimidad, recomiendan denunciar los hechos.

No cabe duda de que el mundo de Internet crece exponencialmente sin límites ni fronteras, por lo que los usuarios debemos cuidar nuestra privacidad, prevenir este tipo de situaciones y ser siempre conscientes de que cualquiera que se tome la mínima molestia, puede tener acceso a todos nuestros datos y violar nuestra intimidad.

Fuente: El Pais