spinner

Ciberseguridad en tiempos de confinamiento: qué tener en cuenta y cómo protegerte

El número de ciberataques se ha incrementado debido a la crisis actual. El impulso del teletrabajo, el aumento de plataformas de videoconferencia y la necesidad de información abren puntos de ataque que son aprovechados por los ciberdelincuentes.

Durante este periodo en el que la sociedad moderna está viviendo una de las crisis mundiales más significativas de nuestros tiempos causada por la pandemia del virus COVID-19, entre muchos otros retos, empresas y gobiernos han tenido que adaptarse a unos paradigmas laborales apoyados en nuevas tecnologías en un tiempo récord.

Si bien había empresas con un mayor nivel de adecuación desde el punto de vista tecnológico como de procesos cuyo esfuerzo haya podido resultar menor, otras han tenido que recurrir a desplegar infraestructuras para permitir el trabajo remoto de sus trabajadores, con una mayor o menor complejidad en función de las actividades a realizar. En cualquiera de los casos, el tiempo ha jugado en contra para no sólo cubrir la necesidad, sino hacerlo abarcando el E2E de la seguridad, disponibilidad, etc.

Sin duda, esta crisis ha provocado que las personas saquen lo mejor de la humanidad a todos los niveles -solidaridad, sacrificio, etc- pero desgraciadamente también ha hecho que otros saquen a relucir lo peor del ser humano buscando oportunidad de lucrarse económicamente directa o indirectamente. Este último colectivo ha encontrado su campo de juego en todas la anteriores instituciones, e incluso en aquellas que han potenciado sus esfuerzos en ayudar a combatir la enfermedad (como pueden ser hospitales) siendo su máxima prioridad por encima de sus sistemas informáticos.

De todo lo anterior, se identifican claramente dos actores objetivo en los que enfocar dichos esfuerzos malintencionados: las instituciones de distinto tamaño (empresas, etc) y las personas – siendo estas últimas objetivos directos o como medio para alcanzar otras instituciones o a una mayor población.

En la imagen anterior se ven representados en tres ejes los objetivos o víctimas potenciales y los perímetros tecnológicos afectados. Estas víctimas pueden ser la fuente de un beneficio monetario directo u otro tipo de beneficios que pueden dar lugar a dicha compensación económica en menor o mayor plazo (robo información, chantaje, extorsión, etc).

Para alcanzar el objetivo del atacante, y teniendo en cuenta los diferentes tipos de víctimas, se hace uso de técnicas y vectores de ataque de distinta índole y complejidad, ya que no es lo mismo dirigir el ataque a una empresa en su conjunto, que a un empleado concreto o a una persona externa. En función de la víctima se puede decidir hacer uso de ataques desde los más clásicos pero efectivos como el phishing, hasta ataques más complejos que hacen uso de mecanismos para acceder directamente a la información que posteriormente será utilizada para obtener un beneficio determinado.

Puntos de ataque más favorables

Todo lo anterior apunta a un importante reto para la Seguridad de la Información. Existen diferentes elementos que intervienen en la cadena de comunicación y todos ellos pueden verse en mayor o menor medida comprometidos con diferente facilidad, pero como suele ser más habitual, al ser el usuario final el eslabón más débil de toda la cadena, es a quién va dirigido el grueso de dichos ataques.

Actualmente no todas las compañías tienen el concepto de teletrabajo asentado, y debido a la crisis actual, el margen de acción para establecerlo ha sido muy pequeño. Esto ha hecho que haya una gran cantidad de empleados que han de trabajar con sus dispositivos personales, los cuales escapan al control de la organización impidiendo saber qué sistemas operativos tienen, si están actualizados o si tienen algún tipo de vulnerabilidad en alguna de las aplicaciones instaladas – hay que tener en cuenta que se trata de dispositivos fuera del alcance de la estrategia de gestión de activos y vulnerabilidades de la compañía.

Uniendo la debilidad de los sistemas finales a la falta de conocimiento de los usuarios respecto a los diferentes ataques posibles, hacen que este sea el principal punto de entrada debido también a que, por lo anteriormente comentado, supone un menor coste o esfuerzo replicarlo de forma masiva obteniendo a cambio un alto beneficio. Un simple correo electrónico con un archivo adjunto malicioso puede ser la puerta de entrada a algún tipo de malware que afecte directamente al dispositivo y/o información de la víctima, o pueda propagarse a equipos o redes a los que disponga interconexión.

El siguiente punto de la comunicación son las propias redes domésticas: La mayor parte de los usuarios accede a Internet a través de redes WiFi. Si el punto de acceso a dichas redes no cuenta con una contraseña lo suficientemente compleja para que un atacante no pueda obtenerla mediante técnicas de fuerza bruta, se le abre la puerta y medios para acceder a dispositivos e información que se encuentren conectados a éstas.

Cuando el usuario se trata de un empleado accediendo a recursos internos de una compañía, lo más más habitual si dispone de una infraestructura adecuada para teletrabajo o acceso remoto, es hacerlo a través de una VPN (Virtual Private Network) o de aplicaciones virtualizadas, pues de esta forma el tráfico de datos entre el usuario y el recurso de la empresa no únicamente queda protegido mediante cifrado imposibilitando a un atacante acceder a información, sino que se le proporciona únicamente acceso a los recursos de la empresa necesarios para realizar su trabajo.

Los márgenes tan limitados resultado de la situación, han obligado a muchas empresas a proporcionar soluciones de teletrabajo más rápidas de desplegar, de acuerdo a su red corporativa actual. Por ejemplo mediante una infraestructura que proporcione un servicio RDP (Remote Desktop Protocol), exponiendo un servidor RDP a Internet, el cual si no se configura correctamente desde el punto de vista de seguridad (políticas de permisos y accesos, etc), puede dejar puertos abiertos que sirvan de puerta de entrada a los atacantes u otorgar permisos de administración una vez dentro de la red.

Algo tan trivial se está poniendo en manifiesto durante estos días en los que se ha identificado un uso exponencial de este protocolo (más de un 40% de incremento) el cual habilita acceso remoto a máquinas de la red.

La principal diferencia entre ambas estrategias consiste en que las VPNs proporcionan acceso a un equipo dentro de la red con acceso a los recursos necesarios y el RDP ofrece al usuario conectarse a su equipo dentro de la oficina, como si estuviera sentado delante de este, transmitiendo el propio escritorio del SO.

Otras configuraciones de acceso remoto pueden proporcionar escenarios híbridos (RDP vía VPN), infraestructuras VDI (Virtual Desktop Infrastructure) o Virtualización de Aplicaciones, etc . En cualquiera de los casos, utilizar mecanismos de doble autenticación (2FA) o multifactor (MFA) reduce los riesgos considerablemente, aunque no mitigándolos completamente. Por ejemplo estos escenarios pueden ser explotados por atacantes si no disponen de configuraciones de seguridad robustas, pudiendo utilizarse técnicas habituales como ataques man-in-the-middle (MITM) que harían creer al empleado que está conectándose de forma legítima a la red empresarial o en las que un atacante ‘escucha’ la información transmitida.

Vectores de ataque más utilizados durante la pandemia

Una manera de atacar a un individuo en concreto es mediante alguna técnica de ingeniería social, que consista en obtener información confidencial a través de la manipulación de los usuarios. El ataque más explotado y exitoso para los criminales a día de hoy es el de phishing/smishing, en el que mediante correos electrónicos, SMS o herramientas de mensajería instantánea como WhatsApp se pretende suplantar a un organismo oficial con el fin de engañar al usuario final y redirigirlo a una página web falsa en la que se solicitan credenciales de acceso, datos personales y/o bancarios.

En las pasadas semanas se han reportado diversos emails de phishing relacionados con la pandemia y sus consecuencias: aprovechando la sensibilidad de la población ante la falta de equipamiento médico, medidas de seguridad por parte de la OMS (Organización Mundial de la Salud), falsas ayudas alimentarias de la ONU (Organización de las Naciones Unidas), falsas ofertas de empleo, los ERTE (Expedientes de Regulación Temporal de Empleo) o incluso plataformas de entretenimiento consumidas en los hogares de todo el mundo entre otros.

Ejemplos de casos de phishing que se han producido.

  • El SEPE (Servicio Público de Empleo Estatal) ha hecho pública la campaña de smishing en la que se le comunica al usuario que se ha aprobado un ERTE y solicitan el número de cuenta bancario para su gestión. Explotando esta situación, también se han identificado fraudes telefónicos haciéndose pasar por delegaciones del gobierno en provincias de España y solicitando los datos bancarios.
  • La plataforma de entretenimiento Netflix también ha sido objetivo para este tipo de ataques. En este caso se ofrecía una suscripción gratuita debido a la cuarentena.
  • Los servicios de paquetería se han utilizado como gancho para engañar a los usuarios, como el ejemplo de Correos que se observa en la imagen.
  • También se están utilizando los productos de limpieza y desinfección para aprovecharse de esta crisis sanitaria.

Otro tipo de ataque muy conocido y bastante explotado en los últimos años, con especial impacto en las empresas, es lo que se conoce como ransomware. Se trata de un malware (o software malicioso) capaz de cifrar los datos de un dispositivo con una clave desconocida, secuestrando de esta forma la información e impidiendo que el usuario pueda acceder. El atacante normalmente exige un rescate económico, generalmente en criptomonedas para dificultar su rastreo, a cambio de la clave capaz de descifrar datos.

En relación al COVID-19 se ha incrementado el número de estos ataques destacando en concreto un intento de bloquear los sistemas sanitarios, una de las infraestructuras más críticas. Netwalker es el nombre propio del ransomware y fue detectado por la Policía Nacional intentando infiltrarse como información adjunta a correos electrónicos de los sanitarios.

Otros ataques mediante el ransomware Maze se han dirigido contra hospitales y laboratorios farmacéuticos en varios países europeos con casos muy sonados en Francia o República Checa, así como en el Reino Unido. Uno de estos ataques resultó en la completa parálisis de un laboratorio que trabajaba en el estudio de la vacuna contra el virus e incluso los atacantes filtraron información de los estudios y datos de pacientes.

Estos son claros ejemplos de cómo organizaciones criminales aprovechan esta situación, donde no hay reglas y la vida de las personas no prevalece ante oportunidades de lucrarse.

Se ha identificado también el uso de otro tipo de ataques llamados trojans o troyanos. Este se diferencia en la forma en la que se actúa con el objetivo a infectar. Como su nombre indica, este malware se encuentra oculto en un programa conocido que a simple vista parece inofensivo, pero que cuando el usuario lo ejecuta es capaz de infectar el dispositivo pudiendo borrar o modificar archivos, con el objetivo de crear una puerta trasera que proporcione al atacante acceso remoto, con el fin de ganar control sobre los datos o funcionalidades del dispositivo o incluso para utilizarlo como medio para acceder a terceros (otras personas o empresas).

Uno de los casos más destacables es Ginp, un troyano bancario que una vez ha conseguido introducirse en el dispositivo final del usuario, es capaz de ejecutar una orden que abre una página web con un buscador que afirma ser capaz de encontrar personas infectadas con COVID-19 cerca de la localización del usuario y señalarlas (algo que obviamente es falso). Sin embargo, si la víctima accede a pagar el importe solicitado por los datos falsos, lo que está haciendo en realidad es enviarle su información bancaria al atacante.

Imágenes del buscador que es capaz de abrir el troyano Ginp.

Otro ejemplo de troyano también con fines económicos, es el advertido mediante Twitter por la Guardia Civil: La víctima recibe un correo electrónico con adjunto comprimido que asegura tener la fórmula para realizar la vacuna contra el virus en casa. En este caso el troyano introducido es capaz de capturar el teclado del dispositivo y obtener las credenciales de acceso cuando el usuario se comunica con su entidad financiera.

Otros ataques simplemente tienen fines “destructivos” sin un beneficio más allá del de provocar daños, como es el caso de uno llamado COVID-19.exe que acaba infectando el MBR (Master Boot Record, el sector de arranque que permite la ejecución del sistema operativo del ordenador). Una variante del troyano disfrazado de ransomware que se utiliza para robar credenciales del ordenador, impidiendo el acceso a éste haciendo creer al usuario que sus datos han sido “secuestrados”.

Técnicas más avanzadas como los ataques que lleva sufriendo la OMS por parte de organizaciones criminales con motivos de ciberespionaje demuestran que ninguna organización se encuentra a salvo de ataques APT (Advanced Persistent Threat). Estos ataques pueden venir acompañados de una o varias técnicas explicadas en el artículo, y tienen como objetivo explotar distintos elementos de una organización hasta hallar puntos de entrada que permitan extraer la información deseada (como ha sido el caso de los ataques a la OMS que se han visto duplicados durante la crisis) y se han utilizado igualmente contra organizaciones de ayuda humanitaria y a la salud.

El teletrabajo, las debilidades producidas por el mismo y la necesidad constante de información sobre lo que está ocurriendo han hecho crecer el número de ataques informáticos utilizando como foco de atracción el COVID-19. Esto hace que recursos de información que a simple vista parecen inofensivos puedan ser comprometidos y utilizados por los atacantes que aprovechan el auge de la temática para llegar a una mayor cantidad de víctimas. Este sería el caso del mapa creado por la universidad Johns Hopkins, el cual se está usando en sitios web maliciosos para extender un malware de robo de contraseñas.

Mapa Interactivo sobre casos de coronavirus

El término malware, que hace referencia a cualquier software malicioso o amenaza informática, engloba todos los ataques citados anteriormente y muchos otros que se están produciendo en la actualidad, sin embargo, estos no son los únicos puntos de ataque que han incrementado a causa del virus.

Un claro ejemplo sería el aumento en el número de dominios registrados con términos relacionados al virus. Actualmente existen más de 24.000 dominios registrados y a pesar de que una parte de ellos son legítimos, otra gran parte se pueden utilizar con fines malicioso. De hecho, desde las empresas registradoras de dominios están investigado y eliminado páginas fraudulentas de COVID-19. Algunos de estos dominios fueron utilizados en el esquema de ataques contra la OMS con el objetivo de captar credenciales de acceso.

Se han identificado otras iniciativas fraudulentas que utilizan como vector de ataque al individuo final, apelando directamente a la solidaridad del mismo como sería la iniciativa “abre tu WiFi”, que pretende dejar sin protección las redes inalámbricas personales en una etapa en la que hay una gran cantidad de personas trabajando desde casa y accediendo a datos confidenciales de sus respectivas empresas.

Existen otras estafas que utilizan este mismo vector y son las relacionadas con donaciones falsas, llamadas de delincuentes suplantando identidades bancarias ofreciendo ayuda y ofertas de trabajo entre otras.

Ejemplo de iniciativas fraudulentas detectadas por la Guardia Civil

Otro tipo de estafas directas que han aparecido recientemente no requieren esquemas tecnológicamente complejos y ofrecen la venta de supuestos tests de detección del COVID-19 o productos milagrosos como vacunas y pastillas.

Ejemplos de estafas sobre pastillas y tests.

Todos estos ataques han obtenido respuesta por parte de la comunidad dedicada a la ciberseguridad, dispuesta a actuar ante esta desmesurada oleada de ataques ante la población y organizaciones durante esta situación -uno de los peores momentos por los que estamos pasando toda la sociedad- creando iniciativas para ayudar y proteger ante estos criminales. Entre estas se encuentra el grupo CV19, creado por voluntarios para ayudar a hospitales e instituciones médicas contra estos ataques.

El ejemplo de que este escenario de ataques va a seguir evolucionando, ya sea utilizando los anteriores mecanismos observados o con nuevos ataques como los producidos contra herramientas de un elevado uso durante el confinamiento, como son los servicios de videoconferencia, muy utilizados para comunicarse con familiares y amigos. Dos de estos (Zoom o Houseparty) han sido recientemente parte de algunas polémicas de seguridad: mientras que en el caso de Houseparty no ha quedado demostrado que haya sufrido una fuga de información de sus usuarios, estos manifiestan que tras su uso recibieron notificaciones de Netflix o Spotify indicando de intentos de accesos sospechosos. Algo que ha dejado en manifiesto polémicas referentes a sus políticas de privacidad.

El caso de Zoom ha sido distinto, partiendo de unas vulnerabilidades identificadas y corregidas recientemente que permitían robar credenciales del sistema operativo Windows, o ganar control sobre ordenadores con MacOS, también se está viendo afectado por el “hackeo” en videollamadas (obteniendo el reciente término Zoombombing) ya condenado por autoridades estadounidenses, el cual consiste en la irrupción en videollamadas cuyos enlaces se han compartido públicamente.

Conclusiones y recomendaciones

Ante una crisis de gran dimensión como en la que actualmente nos encontramos, se ha observado cómo los ciberdelincuentes han encontrado una mayor oportunidad de explotar la situación pudiendo alcanzar un mayor número de víctimas. Este aumento se debe al incremento exponencial de infraestructuras de teletrabajo y del número de personas que se encuentran en sus hogares con acceso a Internet y a las anteriores infraestructuras, y también a la aparición de nuevos servicios de comunicación o de plataformas de venta online.

Este océano de riesgos ha supuesto un entorno en el que los cibercriminales se encuentran en una zona de confort llena de oportunidades para realizar acciones criminales y maliciosas en las que se sienten muy cómodos por encima de cualquier dilema ético o moral, en el que cualquier motivación ajena a la del propio beneficio monetario del criminal queda fuera de cualquier justificación.

Durante esta pandemia, ha incrementado el número de amenazas de ciberseguridad usando como pretexto tanto el propio COVID-19 como el escenario tecnológico que surge por las medidas de prevención a su contagio, logrando de esta manera ataques de distinta índole como los comentados anteriormente. La mayor parte de los ataques se enfocan en el usuario final, convirtiéndole en el eslabón más débil de la cadena y por ello es imprescindible concienciar a la población en materia de ciberseguridad. Una mayor concienciación puede reducir considerablemente el radio de acción a los atacantes. Dicha concienciación y el uso de mejores prácticas son la primera línea de defensa por parte de usuarios y empresas por igual.

Vivimos en una sociedad en la que la gran mayoría de las personas tiene acceso a una cantidad ingente de información, esto no significa que toda esta información que llega al usuario sea veraz, generando en muchos casos lo que se conoce como desinformación; una herramienta altamente explotable por criminales.

Es necesario que el individuo sea capaz de contrastar diferentes fuentes y lo más importante, de distinguir entre aquellas fiables y aquellas que sólo son un simple clickbait o algún tipo de ataque o engaño como por ejemplo un phishing a través de un adjunto en su email. Por lo tanto, el usuario debe evitar entre otras cosas, abrir archivos adjuntos de los que desconozca el remitente, así como evitar introducir datos personales en páginas web que le llegan a través de este tipo de emails. Además, es recomendable habilitar un segundo factor de autenticación en los servicios digitales que tengan cuentas siempre que lo ofrezcan. Este tipo de autenticación robustece la seguridad de los servicios y dificultan el acceso a los atacantes.

En cuanto a los riesgos tecnológicos propios del teletrabajo, es necesario contemplar medidas de cara a los dispositivos finales, reduciendo los escenarios en los que se trabaja con equipos personales fuera del control de las instituciones y así poder disponer de un mayor control de las aplicaciones instaladas en cada uno, información almacenada o permisos que disponga el empleado para realizar modificaciones no esenciales para realizar su trabajo.

El propio usuario ha de disponer de la mayor seguridad en cuanto a sus propios dispositivos, comenzando por la seguridad en su red y dispositivos mediante contraseñas de WiFi robustas, y actualización de antivirus, así como de evitar descargar e instalar aplicaciones de contenidos y fuentes desconocidas. Es muy recomendable cambiar también la contraseña de administración del router, de esta forma se puede evitar que un atacante cambie la configuración del dispositivo. Además, es esencial asegurarse de que la red cuente con métodos de cifrado seguros, donde se recomienda utilizar el protocolo WPA2 cambiando contraseñas por defecto utilizadas por la operadora en el momento de la instalación.

En caso de necesitar acceso a los recursos corporativos, se recomienda asegurar el uso de VPNs para los accesos a las redes corporativas en aquellos casos que sea posible, y en cualquier caso aplicar las políticas de seguridad más robustas posibles (autenticación de doble factor, controles de acceso a redes y recursos, gestión de identidades, privilegios, etc), teniendo en cuenta que la protección de la propia información por parte de las empresas, reduce considerablemente los riesgos heredados por la parte “desgobernada” del lado del usuario.

Fuente de la imagen principal: Freepik

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de BBVA Next Technologies.

¿Quieres saber que más cosas hacemos en BBVA Next Technologies?