“Las filtraciones Snowden y los recientes acontecimientos dejan al descubierto que el espionaje cibernético y los ataques amparados por las naciones no son amenazas ficticias. No hay corporación que se atreva a asegurar que está exenta de ser blanco de ataques y de vigilancia”, dice el Jefe de la Oficina de Investigaciones de F-Secure, Mikko Hypponen, investigador jefe de seguridad.
Hypponen dio una charla en Hong Kong sobre estos temas el 12 de diciembre de 2013 y Pressenza Hong Kong estuvo ahí.
“Las bandas criminales cibernéticas reaccionan rápido”, agregó Hypponen. “Ahora vemos ataques contra Bitcoin, y Bitcoin es un fenómeno muy nuevo. Los delincuentes son rápidos para encontrar oportunidades y capitalizar el éxito ajeno. Hacer dinero de esta manera fue bastante sencillo hace unos diez años, empezó con los botnets y el spam. Luego empezamos a ver los keyloggers [dispositivo para registrar las pulsaciones de las teclas]. El robo de números de tarjetas de crédito, el robo de contraseñas cuando la gente empezó a usar las computadoras de hogar y después cuando pasaron a usar la banca online en sus computadoras ejecutivas. Allí empezaron a aparecer los troyanos que piden rescate. Utilizaron distintos vectores, en un principio con los discos floppy; los adjuntos de los correos electrónicos; USB sticks. Pero hoy la forma en que más se infecta es a través de la web.
“De manera que cuando el problema es infectarse por navegar en internet, cabe preguntarse qué clase de sitio hay que visitar para infectarse. Nada menos que Los Angeles Times, por ejemplo, uno de los periódicos más grandes de los Estados Unidos. Por lo tanto, la respuesta no es otra que sitios muy comunes y muy confiables.
“La gente que vive en Los Angeles lo abre todas las mañanas para leer las noticias del día. Fue así que un día de junio de 2014, cuando abrieron la página, se infectaron. ¿Y por qué? Porque el sitio contenía un exploit. ¿Y por qué había un exploit en el sitio? Acaso el diario puso un exploit en su propio sitio, por supuesto que no. ¿Acaso lo hackearon? no, tampoco. Lo que pasó es que el proveedor de publicidad, de esos carteles publicitarios que se ven en internet habían sido hackeados. Y le inyectaron un anuncio theta con una línea de Java script que redireccionó a todos los visitantes del LA Times a un exploit kit. Entonces ese exploit lanzó un ataque.
“¿Cuál era el blanco del exploit kit? En realidad, los exploit kit se dirigen a todas las partes vulnerables que tiene su sistema. Recorren una lista de items. ¿Es visitante nuevo, qué sistema operativo usa, una Mac, Windows o un teléfono? Supongamos que sea usuario de Windows, ¿cuál es la versión de Windows que está ejecutando? ¿XP, Seis, Siete u Ocho? Supongamos que Windows 7. ¿Qué paquete de servicio está ejecutándose? ¿Uno, dos o tres? ¿Está completamente actualizado? Si no lo está lanzará un ataque contra la vulnerabilidad del sistema operativo. Pero si está completamente actualizado seguirá adelante. ¿Qué navegador utiliza el usuario? ¿IE, Firefox, Safari? Supongamos que está usando Firefox, ¿qué versión de Firefox está ejecutando? Supongamos que está completamente actualizado porque si no lanzará un ataque contra el navegador. Sigue: ¿cuáles plug-in tiene el usuario? ¿Flash, Java, Quicktime, el de eReader? ¿Están todos ellos actualizados? Como se imaginarán, la mayoría de los usuarios tendrá algún componente sin actualizar. Un solo agujero es suficiente.
“Estos kits pueden hacer todo esto porque están hechos profesionalmente. Desarrollados y vendidos por delincuentes cibernéticos para otros delincuentes cibernéticos. Uno de los más conocidos es Black Hole. Puedo mostrárselos aquí en pantalla pero las víctimas nunca ven esta pantalla. Los visitantes sencillamente van a los sitios web como el de Los Angeles Times y no ven nada. Solo si compra Black Hole usted puede llegar a ver esta pantalla. Cuando la instala en un sitio hackeado esto es lo que ve, un análisis completo de sus víctimas, es decir, quién está visitando el sitio hackeado, de qué parte del mundo proviene, qué navegador están usando. En la pantalla –que es mundo real– puede observar que de los 87.000 visitantes que llegan a través de IE, 13.500 se infectaron, un 15 % de usuarios de Opera también se infectaron, un 13 % de usuarios de Firefox se infectaron, pero solo se infectaron menos del 2 % de usuarios de Chrome. Interesante Chrome, por lo menos con este tipo de ataque parece ser mucho más seguro. ¿Por qué? Porque la mayoría de los exploits son exploits de Java o exploits de PDF Reader y el Java específico de Chrome impide este tipo de ataques y además Chrome tiene su propio Reader incorporado.
“Sin embargo, Chrome podría tener otros problemas, por ejemplo la Privacidad. Después de todo no hay que olvidarse de que Chrome está hecho por Google [risas]. Google es una gran empresa, a todos nos gusta Google, y lo usamos todo el tiempo. Usamos Youtube, Google maps, buscamos con Google, alojamos nuestros sitios en Blogspot, pero tenemos que tener en cuenta que Google está en el negocio de hacer dinero y parece que ninguno de nosotros paga todos estos servicios. Todos los servicios son gratis… es gracioso. Evidentemente, los servicios que ponen en marcha son muy caros. Podrán imaginarse los costos de los centros de datos que Google tiene en marcha en todo el mundo, incluso si se fijan en la factura de electricidad de Google que es de más de cien millones de dólares al año. Nada más que la electricidad. De modo que si todos estos servicios son gratuitos, seguro que esta empresa debe sufrir cuantiosas pérdidas. No, en cambio sus ingresos son de alrededor de 60 mil millones de dólares anuales, de los cuales 12 mil millones de dólares son ganancia, por servicios gratuitos. ¿No es interesante? Tiene alrededor de mil millones de usuarios. Doce mil millones de ganancia por mil millones de usuarios lo que quiere decir que el año pasado usted proporcionó una ganancia de 12 dólares para Google. Aunque no hayamos pagado nada, en realidad; pagamos con nuestros datos. Pagamos con nuestra privacidad, nuestro perfil.
“Entonces, este Black Hole está hecho muy profesionalmente y también vendido muy profesionalmente. Lo vende un hombre llamado Porch, en Moscú, un ruso. Lo viene haciendo desde hace casi tres años. El precio es de unos 2.000 dólares, y según sea el paquete de soporte, podría necesitar alojamiento en un servidor. Así las cosas, ¿de qué manera podríamos atrapar a los que escriben herramientas de este tipo? En cuanto a Porch, en particular, su lógica parece ser clara… él no está atacando a nadie directamente, solo está creando herramientas para otros delincuentes. Son los otros delincuentes los que están violando la ley. Él solo provee las herramientas. Es como vender armas, no mata a nadie, nada más que vende armas. Él cree que esto lo hace intocable. Cree que no lo atraparán. Y me complace sobremanera comunicarles estas buenas noticias. Porch se equivocó, la forma en que trabajaba no lo ponía por encima de la ley. Porque a Porch lo encontraron. Su identidad en el mundo real empezó a dejar filtraciones; para poder vender tenía que ser visible en internet. Así que sabíamos su dirección de correo electrónico, conocíamos su sitio web. Finalmente diferentes investigadores pudieron contraponer la identidad de los Porches en el mundo real con su identidad en internet. También usaba Toast como alias. Y la buena noticia es que hace tres semanas Torch fue arrestado, acusado de crímenes cibernéticos en Rusia.
Con suerte irá a la cárcel. Hizo varios millones. ¡Y también manejaba un Porch! Inmediatamente que Porch quedó desconectado, hace tres semanas, vimos como se desplomaron las ventas de su Black Hole. Solía ser el número uno y hoy ni siquiera está en nuestra lista de los diez primeros. Rápidamente fue reemplazado por otros exploit kits. Como Angler y Nuclear, porque hay todo un mercado subterráneo para este tipo de productos ofrecidos por Porch: desarrollo y venta de exploit kits. Pero estas son nada más que formas de entrar. Queda enteramente a criterio del delincuente que los usa decidir qué malware deja caer.
“Por ejemplo, en el caso de Los Angeles Times fue un “key logger”, con el que se pueden extraer los números de las tarjetas de crédito. Aunque lo más común hoy en día es el Ransom Trojan (troyano que pide rescate). Una idea muy simple, toma el control de la computadora y puede bloquearla o encriptar sus archivos y pedir un dinero de rescate para liberarlos. Veamos este ejemplo, tenemos a Cryptolocker que es un problema actual, es un troyano que encripta sus archivos de documento, Excel, Powerpoint, PDF, sus archivos de texto y sus archivos de imágenes. Encripta todo su disco duro o todas sus unidades de red en las que pueda grabar e incluso todo lo que comparta en Dropbox. Se presentará con un mensaje de saludo, “Hola, soy un troyano y acabo de encriptar sus archivos, así que págueme la suma de US$300 para que le devuelva los archivos. Le doy 72 horas para que lo haga”. Si usted lo hace, si les envía el dinero, le enviarán a cambio el programa para desencriptar los archivos, así que por lo menos son criminales honestos [risas].
“No recomendamos pagarle a ninguno de estos payasos, pero sabemos que mucha gente lo ha hecho para recuperar sus archivos. La gente no hace copias de seguridad –que es la solución obvia. Si todos los días hace una copia de seguridad y esto sucedía ayer, no necesita pagar nada, solo hacer una recuperación (Restore) y ya está. Pero sabemos que mucha gente no lo hace.
“Hubo un incidente reciente en los Estados Unidos en que una estación de policía en California se infectó con Cryptolocker, y tuvieron que pagar. Sí, los policías les pagaron a los delincuentes. Otro caso es hacerse pasar por un oficial y hacen una demanda porque usted hizo algo ilegal con su computadora entonces tienen que bloquearla. Seamos francos, todos tenemos algo que puede infringir un copyright de manera que cualquiera de estas amenazas puede caer en terreno fértil. Un troyano de copyright le bloqueará la computadora y luego dirá que lo hizo la agencia de copyright por violación de copyright. Alegan que encontraron películas y música pirateadas en su disco duro. Con el acrónimo apropiado dicen haber bloqueado oficialmente su sistema. Entonces ahora tiene que pagar el precio del copyright para desbloquear su sistema. Parece muy real. Hay incluso una lista de evidencias que señala todos los archivos de música encontrados en su disco duro. Tienen su historia de IP, todos los logotipos, pero no es la alianza de copyright. Son delincuentes.
Esta es la tendencia que vemos actualmente: delincuentes que usan troyanos para infectar las computadoras y después exigir un pago para liberarlas.
“Ahora tenemos nuevamente algo diferente de qué preocuparnos, y esto se debe a un joven matemático japonés, Satoshi Nakamoto, quien en 2008 escribió una monografía técnica para una conferencia de criptografía en la que describía una cadena de bloqueo bastante complicada que según dijo se podía usar para crear una red de par a par, que se utilizaría para crear una central virtual. El resultado es Bitcoin, la moneda cibernética”.
Mikko Hypponen nos mostró su propia Bitcoin para que todos la viéramos, después de lo cual siguió una charla sobre este relativamente nuevo fenómeno.
Parecería que la idea básica es bastante sólida si el hecho de tener una moneda sin respaldo (como antes el patrón oro) es aceptable y el dólar estadounidense altamente endeudado es aparentemente aceptable para un cantidad suficiente de actores de la industria financiera, que así lo afirman… en todo caso para una mayoría, porque hay muchos que dicen que no y están totalmente en contra de esas monedas. Sea como sea, el hecho es que hoy en día Bitcoin y otras están ya en uso y más allá de esta “duda”, la gente está haciendo un uso incorrecto del Bitcoin. La están acaparando con la esperanza de sacar ganancias de su valor que crece día a día. Pero esa no era la intención, solo pretendía ser un medio de intercambio. Podía haber funcionado, pero rápidamente la actitud de sacar partido entró en juego.
Mikko Hypponen pagó 40 euros por la moneda que circuló entre nosotros ese día y en ese momento valía 900 euros. Su valor se disparó.
“Muchos usuarios la están acaparando”, continuó, “esperando que el valor suba no la usan para comprar cosas, simplemente la acopian, especulan, pero no fue pensada para eso. También quiere decir que la persona que obtuvo una computadora de 50 euros en 2009 por un Bitcoin, si hubiera guardado su bitcoin ¡hoy sería millonaria!
“Hoy se puede comprar un equipo de minería ACIC-based único por $25.000 dólares que se puede usar solo para comprar y vender Bitcoin. En dos semanas habrá recuperado su dinero. Seguro que se están preguntando donde conseguir uno, pero el asunto es que hay una cola de ¡dos años!
“Por qué estamos hablando del Bitcoin. Porque los delincuentes cibernéticos están muy interesados en las monedas virtuales. Se han visto varios delitos relacionados con bitcoin. Se los roban. Si tiene un bitcoin en la billetera en su computadora, si se roba un archivo, se roba las monedas. Es igual que el efectivo, puede usarlo cuando quiera, nunca lo van a atrapar. No hay forma de que la víctima recupere su archivo. Igual que si alguien le roba el efectivo, nunca se lo devolverán.
“Los botnets empezaron usando sus computadoras en sus botnets para minería de Bitcoin, de manera que en lugar de ataques de servicios se los usaba de esta otra forma. Este es un cambio muy interesante en materia de ataques. Ahora el atacante no intenta robarle dinero al dueño de la computadora… ahora el dueño de la computadora es irrelevante, no es necesario que haya una persona tocando el teclado de la computadora para que los atacantes obtengan dinero, lo que vale es la CPU o la GPU [GPU-accelerated computing es el uso de una Unidad Procesadora de Gráficos (GPU, pos sus siglas en inglés) junto con la CPU].”
