Los diez peores incidentes de seguridad en 2015

Terminamos el año con los diez peores incidentes de seguridad en 2015. Un resumen que muestra que la introducción del malware en todo tipo de plataformas, el robo de datos y la invasión a la privacidad, cotizan al alza en la Internet mundial, obligando a usuarios y empresas a tomar medidas pro-activas para su control.

Seguridad2015

 

También preocupantes los ciberataques de todo tipo contra servicios comerciales, el uso de estrategias de ciberespionaje para rastrear y recoger datos valiosos en ataques dirigidos a empresas estratégicas y las actividades de intrusión conocidas de agencias gubernamentales, así como otras violaciones de seguridad en 2015 surgidas

1-Ashley Madison

Seguridad2015_2

Uno de los escándalos más sonados del año llegó del ciberataque de Impact Team contra la web de citas Ashley Madison. Ataque exitoso contra el sitio web de adúlteros que sacó a la luz datos confidenciales de 37 millones de usuarios. 

Los atacantes querían demostrar que el sitio web era una estafa, algo que aparentemente probaron. Ashley Madison vendía como una de sus mayores virtudes la confidencialidad a través del borrado de datos a cambio de un pago, una confidencialidad que parece no era tal.

La seguridad de la información tampoco era la mejor. Tras el filtrado de la base de datos, la firma Avast consiguió descifrar las contraseñas de cerca de un millón de los 37 millones de usuarios registrados. La compañía utilizaba cifrado bcrypt para proteger las contraseñas de sus clientes pero la debilidad de las mismas era patente.

Un estudio posterior de la base de datos consiguió crackear 11 millones de contraseñas al descubrir que no todas las contraseñas estaban protegidas con bcrypt sino con MD5 que alberga varias vulnerabilidades que debilita su potencia.

Si la gestión de seguridad de Ashley Madison era catastrófica, los usuarios de este sitio para infieles tampoco se tomaban la seguridad muy en serio. “La mayoría de las contraseñas que hemos roto hasta ahora parecen ser bastante simple, en formato minúsculas con números o solo minúsculas con mayoría de las que tenían solo seis dígitos”, explicaron.

Entre los datos filtrados había tanto personales como financieros. Lo peor de todo es que muchas personas quedaron en evidencia después de la filtración, y ante la presión, hubo incluso casos de suicidio.

 

2-Superfish

Seguridad2015_3

Otra de las grandes noticias del año llegó cuando se descubrió que Lenovo estaba pre-instalando en algunos de sus ordenadores nuevos, un peligroso adware que comprometía la seguridad de los equipos permitiendo ataques como man-in-the-middle. 

Una gran polémica ante lo que supone que un fabricante venda un PC con malware incluido y que es otra consecuencia del nefasto Bloatware del que hemos hablado en varias ocasiones. Un usuario arranca por primera vez su flamante equipo nuevo con Windows y lo primero que encuentra es una cantidad alarmante de software basura (crapware, bloatware…) que el fabricante en cuestión ha instalado en el ordenador.

Lenovo reaccionó bien, pidiendo disculpas, parando las instalaciones de Superfish y las conexiones con los servidores y ofreciendo herramientas para su eliminación. A pesar de ello,  llegó a los tribunales una demanda colectiva presentada en un Tribunal Federal de Distrito de California. El caso se ha enfriado pero es notorio que ha perjudicado la imagen de marca del primer productor mundial de ordenadores.

 

3-Vulnerabilidades en Mac

Malware_Mac_ios1

La cantidad de malware para Mac descubierta en 2015 supera la suma de los registrados en los últimos cinco años, según un informe de Bit9+.

Lo más peligroso no son los casos de escalada de privilegios, los cuales se pueden subsanar con relativa facilidad en la mayoría de los casos, sino los problemas de seguridad que afectan al firmware EFI.

Además de un caso que afectaba a equipos antiguos, nos hemos encontrado con Thunderstrike 2, una “secuela” de Thunderstrike todavía más peligroso que el original, ya que podía infectar un Mac no solo a través del puerto Thunderbolt, sino que solo necesitaba un sitio web malicioso para colarse en la placa base. Otra “mejora” importante que fue añadida fue la capacidad de auto-reproducirse a través de periféricos USB y Thunderbolt.

Y 2016 no será mejor porque registrará una explosión de malware para Mac e iOS, asegura la firma FireEye en un informe que expone que el aumento de popularidad de los dispositivos de Apple pondrá a la compañía en el punto de mira de los piratas informáticos.

FireEye también avisa sobre Apple Pay, el sistema de pago móviles que puede ser muy atractivo para los cibercriminales. Por otro lado sugiere que el Internet de las Cosas podría ser un medio para amplificar los ciberataques.

 

4-Gemalto

SIM_NSA_GCHQ

Las agencias de espionaje estadounidense y británica, NSA y GCHQ, hackearon al mayor productor mundial de tarjetas SIM, Gemalto, para controlar voz y datos de los dispositivos móviles en todo el planeta.

Aunque pocas cosas puedan sorprendernos ya de las vergonzantes violaciones de la privacidad realizadas por las grandes agencias gubernamentales, la nueva bomba soltada por Edward Snowden es de las que hicieron época.

Gemalto produce 2.000 millones de tarjetas SIM anuales y es el suministrador de decenas de operadoras de comunicaciones.

Las medidas tomadas por Gemalto llegaron tarde porque la información reveló que el acceso de NSA y GCHQ a las claves de cifrado necesarias para espiar tanto las actividades de voz como de datos se habrían producido en el año 2000, seguramente tras una infiltración en los servidores de la compañía.

El lema de Gemalto, “Security to be free” (Seguridad para ser libre), resuena irónico mientras una total desconfianza se ha cernido hacia las compañías comerciales que colaboran directa o indirectamente con estas agencias o que no son capaces de asegurar los datos de sus clientes.

 

5-Vulnerabilidades en Flash

Flash

Adobe Flash es un grave problema para la ciberseguridad mundial. Las múltiples vulnerabilidades del reproductor multimedia y plug-in que permite agregar contenido en la Web lo han convertido en un gran receptor de malware. Los fallos críticos se registran consecutivamente y permiten la creación de exploits.

Facebook, Alex Stamos, ha hecho un llamamiento para forzar la extinción de Adobe Flash ante el constante problema de seguridad y Mozilla ha tomado la decisión de bloquear Adobe Flash Player por defecto en Firefox ante la última vulnerabilidad crítica (Flash Player 18.0.0.194 y anteriores) y sus exploits activos.

También Google ha bloqueado el plug-in hasta que los usuarios actualicen el navegador a una nueva versión de Chrome (43.0.2357.132) que ya incluye las actualizaciones necesarias tras el parcheo realizado por Adobe. Como las anteriores tecnológicas, el gigante de Internet ha justificado el bloqueo por la gravedad de esta vulnerabilidad.

Plataformas como iOS y Android que controlan el 90 por ciento del mercado del móvil no lo soportan por defecto y en el futuro, opciones como la quinta revisión del lenguaje que vio nacer la World Wide Web, HTML5, deben sustituir a este inseguro Adobe Flash. A comienzos de año, YouTube anunció el uso de HTML5 como reproductor de vídeo web por defecto sustituyendo a Adobe Flash, en lo que se consideró un nuevo clavo en el ataúd de Adobe Flash

Sin embargo, son muchos millones de sitios web los que todavía usan esta tecnología, llevando multimedia a la web y sirviendo publicidad que en muchos casos es imprescindible para mantener estos mismos sitios web.

Está claro que la industria debería impulsar una solución en el plazo más breve posible pero mientras eso no sucede, las recomendaciones de seguridad es usar al mínimo Adobe Flash, teniendo especial cuidado en mantenerlo permanentemente actualizado. O directamente eliminarlo en todos los sitios web siguiendo guías para deshabilitar Adobe Flash en todos los navegadores web.

6-Malware en TPV

Malware_en_TPV

La presencia de malware en TPV (terminales de punto de venta conocidos en inglés por su acrónimo POS) está aumentando de forma alarmante, confirmando las previsiones negativas que hablaban de triplicar las 198 brechas de seguridad registradas en 2014. Un gran peligro para los vendedores no adaptados o con medidas de seguridad suficientes.

El malware en TPV tiene una motivación esencialmente económica y está diseñado para robar los datos de las tarjetas de pago de los clientes. Para ello, los ciberdelincuentes aprovechan cualquier vulnerabilidad de los terminales, de su sistema operativo o de los protocolos utilizados para ejecutar las transacciones entre TPV y los servidores, para introducir software malicioso que permita el robo de datos, por cualquier técnica de ataque.

Una vez instalado un malware típico en el terminal utiliza un sistema de captura selectiva de datos para obtener información de las tarjetas de las marcas principales, como Visa, Mastercard, American Express, Discover o Diners Club.

Los ataques contra estos puntos de venta y en general contra empresas y minoristas están a la orden del día y son un objetivo preferencial para los cibercriminales. Un gran peligro para los vendedores que supone dinero, pérdida de imagen de marca y en definitiva clientes.

 

7-Hacking Team

seguridad2015-4

“El cazador cazado”, titulábamos el caso de Hacking Team, polémica firma de software italiana que suministra “legalmente” herramientas de intrusión remota (spyware y malware) a gobiernos y agencias de inteligencia, que fue hackeada en el mes de julio y 500 Gbytes de sus datos internos fueron filtrados a Internet.

La compañía siempre ha publicitado que solo trabaja con gobiernos “éticos” pero organizaciones como Reporteros sin Fronteras han denunciado estas herramientas porque varios casos de invasión a la privacidad de periodistas y medios de comunicación, se han vinculado a sus herramientas.

Los datos filtrados indican que la firma de software vendió potentes herramientas de software espía a regímenes opresivos en Sudán, Bahrein, Etiopía y Arabia Saudí, a pesar de negarlo repetidamente.

Los 500 gigabytes de datos filtrados, entre los que había datos internos, correos electrónicos, grabaciones de audio e incluso código fuente, mostraron al mundo la verdadera actividad a la que se dedicaba el Hacking Team, además de destapar diversos problemas de seguridad que permanecían ocultos al público y las empresas afectadas.

Hacking Team aprovechaba vulnerabilidades Flash para ejecutar malware e instalar código malicioso y era capaz de saltarse los controles de Google Play.

 

8-VTech

VTech1

Un ataque contra los servidores de VTech ha conseguido romper la seguridad del conocido fabricante de juguetes chino. Y va a traer cola porque no solo ha expuesto datos de 5 millones de clientes sin también 190 Gbytes de fotografías de niños del servicio Kid Connect y conversaciones de chats entre padres e hijos.

El ataque permitió robar nombres, direcciones de email, contraseñas y direcciones postales de los padres y también nombre, género y fechas de cumpleaños de los niños. 5 millones de datos de usuarios comprometidos en total de Estados Unidos, Canadá, Reino Unido, Francia, Alemania, España, Bélgica, Países Bajos, Dinamarca, Luxemburgo, Hong Kong, China, Nueva Zelanda, Australia y América Latina.

Lo peor ha llegado de los 190 Gbytes de fotografías procedentes de decenas de miles de usuarios registrados y conversaciones de voz y texto entre padres e hijos. El hackeo puede ser mucho mayor porque el servicio Kid Connect de VTech tenía registrado a 2,3 millones de usuarios.

 

VTech se vio forzada a cerrar el servicio Learning Lodge y una docena de sitios web hasta conseguir corregir el problema, pero el daño ya está hecho y habrá que ver si la compañía de juguetes electrónicos de Hong Kong consigue recuperarse a nivel comercial de todo esto.

Preocupante la incapacidad de grandes minoristas como VTech para proteger los datos de los clientes y en general de la seguridad. Por no hablar de la inexistencia de seguridad avanzada como el cifrado.

 

9-LastPass

LastPast

Que un gestor de contraseñas quede comprometido es algo bastante grave, y eso fue lo que le ocurrió a LastPass a mediados de este año.

LastPass, uno de los mejores y más populares gestores de contraseñas reconoció haber sufrido un ataque. Este tipo de gestores son, sin duda, una forma cómoda y segura de gestionar las contraseñas, pero en Internet, en tecnología, cien por cien seguro no hay nada.

Al parecer, los hackers podrían haber accedido a información personal de los usuarios (como las cuentas de correo o la frase para recordar el password) si bien dejan claro que las contraseñas que tuviéramos guardadas en la aplicación no han sido comprometidas.

 

Recordar a los usuarios de LastPass que el servicio ofrece medidas de seguridad adicionales, como bloquear la identificación por países o la conocida doble autenticación o autenticación en dos pasos, para la que es imprescindible introducir, además de la contraseña maestra, una segunda clave que se manda al teléfono móvil. Medidas necesarias para asegurar nuestras cuentas y que ya se ofrecen en otros tipos de servicios.

 

10-NSA y Juniper

NSA_Juniper1

La Agencia Nacional de Seguridad estadounidense ha sido constante fuente de noticias durante todo el año. La última llegó en relación con el caso Juniper, una de las mayores compañías mundiales de equipamiento de red profesional, anunció el descubrimiento en una auditoría de seguridad interna, la existencia de puertas traseras en algunos de sus productos.

La NSA y otras agencias de inteligencia como la GCHQ, conocían y explotaron las puertas traseras instaladas en el software de los dispositivos de red de Juniper, según un documento de alto secreto publicado por The Intercept

Aunque el documento no establece un vínculo claro entre la NSA, la GCHQ y la vulnerabilidad recientemente revelada, las agencias de inteligencia las conocían y no advirtieron a Juniper, dejando una puerta trasera accesible, para ellos y para otros.

El documento, escrito por un empleado de la NSA que estaba trabajando con el GCHQ, también sugiere que los servicios de inteligencia británicos y estadounidenses utilizaron su conocimiento de las “fallos” en el firmware de Juniper para perpetrar operaciones de vigilancia.

One Comment

Deja un comentario