Los 10 peores incidentes de ciberseguridad en 2022

Quedan pocos días para cerrar el año y hoy retomamos nuestro especial ya clásico donde seleccionamos los peores incidentes de ciberseguridad en 2022. Como habrás ido viendo por aquí y en nuestro blog especializado de muyseguridad, el mundo tiene encima un gigantesco problema de seguridad informática. Simplemente, los delincuentes van por delante de usuarios, empresas y las compañías especializadas en ciberdefensa.

Este año, como los anteriores, no han faltado las violaciones y fugas de información en empresas grandes y pequeñas, causadas tanto por ciberataques externos como por prácticas poco deseables de las mismas, sea por falta de medios o por lucro en el tráfico de datos. Estas fugas invaden la privacidad de los usuarios y provocan una desconfianza en la capacidad de las empresas para mantenerlos seguros.

La introducción de malware en todo tipo de plataformas que hemos visto durante el último lustro se afianza. Virus, troyanos, gusanos y todo tipo de especímenes cada vez mejor programados encuentran rendijas por donde colarse, especialmente utilizando vulnerabilidades de software que, o bien tardan mucho en parchearse o la dejadez de empresas y usuarios para parchearlas provocan un coladero. En cuanto a los tipos generales de ataque, las grandes amenazas han sido un año más el Ransomware y el Phishing.

Los ciberdelincuentes también han seguido aprovechando los grandes temas mediáticos, sea la pandemia del COVID o la Guerra de Ucrania, para introducir malware. También hemos visto abundantes campañas de falsedades y desinformación que terminan repercutiendo en la seguridad como un riesgo en línea más. Los ataques de cadena de suministro continúan, mientras que asegurar el nuevo ‘trabajo híbrido’ de millones de empleados fuera de las redes perimetrales de las empresas (generalmente mejor protegidas) siguen siendo todo un desafío.

10 incidentes de ciberseguridad en 2022

Te dejamos con algunos de estos sucesos como resumen del año y como forma de concienciación general. Los creadores de malware van por delante, nos queda mucho por avanzar en materia de seguridad informática y por ello cualquier usuario debe tomar medidas proactivas para mejorarla. Los siguientes casos solo son una selección y de los incidentes conocidos públicamente porque por debajo hay mucho más.

Ransomware: la mayor amenaza

El Ransomware volvió a ser este año la mayor ciberamenaza de la tecnología mundial. El número de víctimas ha sido incontable. Y solo son los que conocemos, porque ha habido muchos más, entre bambalinas, que han alimentado a la ‘bestia’ pagando las extorsiones.

Además, los ciberdelincuentes han encontrado vías para ampliar su «negocio» y el ransomware como servicio se ha convertido en un gran problema. Como toda campaña de malware necesita código y distribución, pero no todos los ciberdelincuentes cuentan con capacidad propia para llevarlos a término. Ahí es donde entra el ransomware como servicio (RaaS), donde los desarrolladores venden o alquilan malware a los usuarios en foros de la web oscura.

Algunos casos notables de los conocidos fueron el de Medibank, una de las mayores aseguradoras de Australia que fue víctima de este tipo de ataque afectando a casi 10 millones de clientes. Otro nos pilló más de cerca y afectó al Consejo Superior de Investigaciones Científicas (CSIC). Más ataques afectaron a la productora de contenido Bandai Namco Holdings Inc. confirmando que había sufrido un acceso no autorizado por parte de terceros a los sistemas internos de varias empresas del Grupo en regiones asiáticas.

El caso de Bandai fue típico. La compañía habría sido víctima de un ataque de ransomware exitoso y, a consecuencia del mismo, habría sido sometida a una doble extorsión, es decir, a la exigencia de un pago tanto para obtener las claves de descifrado de los activos digitales secuestrados, como para evitar que el grupo responsable del ataque, AlphV/BlackCat, los difundiera. Este grupo de ciberdelincuentes alojó a los miembros de DarkSide, grupo ya extinto, que saltó a la fama gracias a su ataque histórico a Colonial el año pasado.

Para finalizar y como existe la errónea creencia, un tanto generalizada, de que el ransomware solo amenaza a ordenadores y smartphones y que, por lo tanto, el resto dispositivos están libres de esta amenaza, señalar la amenaza del Ransomware en los NAS de QNAP. Y es que cualquier dispositivo empleado para almacenar datos es, potencialmente, un objetivo para los ciberdelincuentes dedicados al ransomware, que no dudan en explorarlos una configuración y/o gestión inadecuada del mismo o fallos del software y/o el hardware de los mismos.

Guerra de Ucrania: también en el ciberespacio

El mundo se las prometía muy felices una vez dejado atrás lo peor del COVID-19, pero Putin no esta dispuesto a que 2022 fuera el año de la recuperación y en febrero comenzó lo que denominó «operación especial» en Ucrania. Una invasión en toda regla condenada por la comunidad internacional por la grave violación del derecho universal, de consecuencias devastadoras para Ucrania (y Rusia), para el sector energético mundial y en general un grave problema para la recuperación de la economía global tras la crisis provocada por la pandemia.

En el siglo XXI las guerras no solo se libran sobre el terreno y el ciberespacio es otra zona vital. Si en las operaciones físicas sobre el terreno se ha mostrado incapaz de superar a Ucrania, en el mundo virtual Rusia cuenta con elementos de ataque y defensa que se citan entre la élite planetaria. Y no solo en medios oficiales como los servicios de inteligencia GRU, sino a través de mercenarios patrocinados por Rusia, piratas informáticos a sueldo como el grupo de élite conocido como «Sandworm» y otros.

Al igual que la invasión física, los ataques virtuales se prepararon con bastante antelación y coincidiendo con los bombardeos físicos en el comienzo de la guerra, las agencias gubernamentales y los bancos de Ucrania fueron atacados con ataques DDoS que desconectaron los sitios web. Estos ataques de denegación de servicio contra infraestructuras de Internet dejaron fuera de juego los portales en línea del Ministerio de Relaciones Exteriores, el Gabinete de Ministros, el portal del parlamento del país y otras instituciones.

Otro de los ataques fue un nuevo malware de «limpieza de datos» destructivo que se usó en ataques cibernéticos contra organizaciones en Ucrania, Lituania y Letonia. Este tipo de malware había sido detectado por Microsoft bajo el nombre de ‘WhisperGate’ y que se hizo pasar por un ataque de ransomware. Ambos corrompen los archivos y borran el Master Boost Record de los dispositivos, lo que hace imposible iniciar Windows o acceder a los archivos. El tipo de herramienta utilizado mostró claramente que había sido preparado por ciberdelincuentes patrocinados por el estado ruso y el ataque no buscaba dinero ni rescate, sino hacer daño a objetivos críticos.

Tanto el bombardeo virtual a base de DDoS como otros ataques se han ido sucediendo durante todo el año. Lo último conocido fue el ataque a redes del gobierno ucraniano con imágenes ISO de Windows 10 piratas. Entidades del gobierno ucraniano fueron hackeadas mediante ataques dirigidos que usaban imágenes ISO de Windows 10 piratas que se distribuían en redes torrent, haciéndose pasar por instaladores legítimos del sistema operativo. Estos instaladores maliciosos, imágenes troyanizadas, entregaron malware capaz de recopilar datos de computadoras comprometidas, implementar herramientas maliciosas adicionales y filtrar datos robados a servidores controlados por los atacantes.

Contraseñas: un chollo para los delincuentes

El listado de contraseñas más usadas de 2022 confirmó que una gran mayoría de usuarios seguimos incumpliendo las normas básicas para su creación y mantenimiento. Y es un problema, porque aunque las contraseñas son un método de seguridad poco atractivo para el usuario, siguen siendo el método de autenticación preferente para acceder a los servicios de Internet o autenticarse ante sistemas operativos, aplicaciones, juegos y todo tipo de máquinas.

La lista de las peores más usadas es lamentable, se repite año a año y confirman que somos un chollo para los ciberdelincuentes que ni siquiera tienen que emplear métodos avanzados de hacking. La mayoría de las más usadas, viejas conocidas como «123456», «111111», «qwerty» o «password», tardan menos de un segundo es descifrarse lanzando un comando que compruebe las más usadas. Y ni siquiera ello, porque con la simple prueba obtendrían acceso a las cuentas.

Se lo ponemos muy fácil a los ciberdelincuentes. Los usuarios somos «vagos» por naturaleza o despreocupados a pesar de lo mucho que nos jugamos al dejar al descubierto nuestra vida digital que abarca tanto a cuestiones profesionales como personales. Y financieras… Las más buscadas por motivos obvios.

La recomendación es la de costumbre. Debemos hacer un esfuerzo en su creación con normas básicas que se incluyen en cualquier manual de ciberseguridad e indican lo que hay y lo que no hay que hacer a la hora de crear y usar las contraseñas.

LastPass: peor de lo que en su día se anunció

Y hablando de contraseñas… LastPass, uno de los servicios más usados para gestión de contraseñas, envió en el mes de agosto una alerta de seguridad a sus clientes donde admitió que fue hackeado semanas atrás. En la parte «positiva», aseguró no tener evidencias de que los datos de los clientes o las bóvedas de contraseñas cifradas se hubieron visto comprometidas.

Los gestores de contraseñas son una gran solución para manejar los accesos a la gran cantidad de servicios de Internet donde estamos registrados. Este tipo de software reduce los errores humanos en el manejo de las contraseñas, ya que automatiza el proceso de generación y de acceso, evita la problemática del uso de múltiples contraseñas y como resultado también ayuda contra ataques de phishing. Siempre y cuando no se comprometan los propios gestores, se entiende.

Aunque no se conocieron los detalles del ciberataque y del grupo responsable, la compañía explicó que una «parte no autorizada» logró obtener acceso a una parte de sus entornos de desarrollo al comprometer una sola cuenta de un programador. Hay que decir que LastPass almacena las contraseñas en «bóvedas cifradas» que solo se pueden descifrar con la contraseña maestra de un cliente a la que ni la misma compañía tiene acceso. Esa es la teoría. La compañía ha sido fuente frecuente de ciberataques en el pasado por los motivos comentados.

Y hasta ahí sabíamos cuando la pasada semana descubrimos que el caso fue peor de lo comentado. Los atacantes consiguieron acceder a información personal y a otros metadatos relacionados, incluyendo nombres de las empresas clientes, nombres de usuarios finales, direcciones de facturación, direcciones de correo electrónico, números de teléfono, direcciones IP y hasta lograron hacerse con los datos de la bóveda con datos no cifrados como las URL de los sitio web. A todo eso se suman campos de datos cifrados como nombres de usuario y contraseñas de sitio web, notas seguras y datos para rellenar formularios.

El robo de código fuente y de información técnica privativa de LastPass pudo estar relacionado con otra brecha que afectó a Twilio, un proveedor de servicios de comunicación y de autenticación en dos pasos con sede en San Francisco, donde robaron datos de 163 clientes y parece que también fueron los autores de ataques contra 136 empresas, entre las cuales estaría LastPass.

Play Store: apps maliciosas a pesar de los esfuerzos

El ecosistema de Android da la sensación de estar fuera de control desde hace tiempo. Y esta situación también afecta a la tienda oficial de aplicaciones, Play Store, donde cada semana se detectan apps maliciosas. Y ello a pesar del enorme esfuerzo de Google por detectarlas antes y una vez que llegan a la tienda.

Un ejemplo típico fueron las detectadas por Dr. Web, un puñado de aplicaciones creadas para esparcir malware y adware y que fueron descargadas unas 10 millones de veces. Dichas apps fueron eliminadas por Google casi en su totalidad, pero es probable que los usuarios las mantuvieran instaladas bastante tiempo en su smartphone o tablet.

Sobre las aplicaciones en cuestión, estas eran de muchos tipos al ser presuntamente teclados virtuales, herramientas de edición de imágenes, cambiadores de wallpapers y más. Obviamente, todas esas aplicaciones hacían o al menos intentaban hacer aquello que publicitaban, pero a la vez, en su interior, albergaban anuncios intrusivos, invitaciones de suscripciones a servicios premium y hasta era posible que dañasen el sistema o acabasen robando las cuentas de sus víctimas en las redes sociales.

Otro ejemplo lo tuvimos cuando el troyano bancario SharkBot se infiltró en la Play Store. Se trata de un virus bancario para Android cuya finalidad es robar las credenciales de ingreso a sitios web, sobre todo bancos y aplicaciones financieras. Además, con la programación adecuada, es capaz de realizar transferencias sin que el dueño del teléfono se entere.

Al igual que muchos otros troyanos que se dirigen a Android, este aprovecha las funciones de accesibilidad del dispositivo. Estas se implementaron para leer los datos en pantalla y narrarlos en forma de audio a las personas con visión limitada. Sin embargo, la lectura de pantalla es usada para captar datos de ingreso. Del mismo modo, SharkBot es capaz de registrar pulsaciones de pantalla y teclado, lo que le permite obtener claves de ingreso. También oculta mensajes de texto entrantes, para que no tengas tiempo de invalidar las transacciones, en caso de tener la verificación en dos pasos activada en alguna de tus plataformas.

Pegasus en España: un software lamentable

A pocos que se muevan en los entornos de la ciberseguridad pudo extrañar el uso de Pegasus en España teniendo en cuenta que este spyware se ha utilizado en todo el mundo como «solución de seguridad gubernamental contra el terrorismo y la gran delincuencia«, según describe su desarrollador, pero también contra todo tipo de ciudadanos y empresas que nada tienen que ver con ‘actividades ilegales’.

Una investigación del Citizen Lab de la Universidad de Toronto, dijo haber encontrado pruebas del espionaje mediante Pegasus a 65 abogados, académicos, periodistas y políticos de los entornos independentistas vascos y catalanes. Se trata de la mayor operación de espionaje contra un solo grupo de víctimas documentada por estos investigadores especializados en rastrear las actividades de este software espía. Más allá de la consideración política e ideológica que nos merezcan las actividades de algunos de los políticos implicados, son ciudadanos a los que -presuntamente- se han violado derechos fundamentales desde un estado democrático…

Pero es que también supimos que la extensión de este spyware llegó hasta las altas esferas de nuestro gobierno. Y es que el propio ejecutivo informó de que los teléfonos del presidente Pedro Sánchez, así como el de la ministra de Defensa Margarita Robles, habrían sido infectados con el programa con el claro objetivo de espionaje.

Amén de sus actividades ‘legales’ contra terroristas y gran delincuencia, está probado que Pegasus se ha utilizado desde hace años en actividades ilegales contra periodistas, organizaciones, disidentes, políticos, académicos o cualquier objetivo, violando sistemáticamente derechos como el de la privacidad y más allá como resultado de ello, como en el caso del espionaje al entorno del disidente Jamal Khashoggi, asesinado posteriormente en el consulado saudí de Estambul.

Afortunadamente, hoy está repudiado. El Departamento de Comercio de Estados Unidos puso a NSO Group en la lista negra, la Unión Europea también lo ha bloqueado y como consecuencia NSO Group, la empresa israelita responsable de Pegasus, anunció una reorganización que contemplaba la salida de su CEO y co-fundador, Shalev Hulio’s, y el despido de al menos 100 empleados. La ‘seguridad nacional’ no puede ser el paraguas para realizar todo tipo de fechorías.

Phishing: blogs y webs desplazan al correo electrónico

Después del Ransomware el Phishing es el segundo tipo de ataque más utilizado y este año hemos visto una nueva generación de estas técnicas donde los blogs y las webs desplazan como medio al típico correo electrónico más usado en el pasado. Cada vez más, los ciberdelincuentes se las ingenian con nuevas formas para conseguir su objetivo: conseguir información ajena y poner en jaque tanto a particulares como a empresas.

El `Informe sobre la nube y las amenazas de Netskope: Phising’, detalla que aunque es el correo electrónico la principal forma de entrada de enlaces de phishing a páginas de inicio de sesión falsas, el incremento de otras maneras paca capturar contraseñas, nombres de usuarios, datos de toda índole, códigos MFA… no deja de crecer. Entre estas, las páginas de inicio de sesión falsas o las aplicaciones en la nube de terceros fraudulentas y diseñadas para imitar las aplicaciones legítimas y donde se aloja el contenido.

Hasta el 11% de las alertas de phishing tuvieron lugar desde servicios de correo web, como Gmail, Microsoft Live y Yahoo. Sin embargo, ya son las webs personales, blogs y servicios de alojamiento gratuitos los que, con un 26% del total de las alertas, han conseguido escalar a la primera posición.

En su informe, Netskope, identifica dos métodos principales de phishing: el uso de enlaces maliciosos a través de spam en sitios web y blogs legítimos, y la utilización de sitios web y blogs creados específicamente por los ciberdelincuentes para promover el contenido de phishing. También han crecido los motores de búsqueda que llevan a páginas de phishing también se han vuelto más comunes.

Una cifra es profundamente alarmante: el 44% de las aplicaciones de terceros que acceden a Google Drive tienen acceso a datos sensibles o a todos los datos de Google Drive del usuario. Y es que se ha vuelto también muy habitual el llevar a engaño a los usuarios para que éstos permitan el acceso a sus datos y recursos en la nube, a través de falsas aplicaciones de terceros. Ha habido bastante más en este tipo de ataque como puedes repasar en este enlace. Y es que el phishing es cada vez más sofisticado y difícil de detectar si no prestamos la necesaria atención con estos consejos generales.

Steam: robo de cuentas en servicios de juegos

Hablando de phishing, ponemos como ejemplo el robo de cuentas de Steam y en general el de otros servicios de juegos masivos porque están a la orden del día, con campañas maliciosas que utilizan una técnica de phishing conocida como Browser-in-the-Browser que está ganando popularidad entre los piratas informáticos.

Esta técnica es un método de ataque que involucra la creación de ventanas de navegador falsas dentro de una ventana activa, haciéndola pasar como una página emergente legítima de inicio de sesión para un servicio de Internet determinado. El objetivo es robar las credenciales de los usuarios.

Aunque nadie está a salvo porque la misma técnica se puede usar contra cualquier usuario y servicio, la campaña de Steam que nos ocupa busca preferentemente jugadores profesionales cuyas cuentas pueden llegar a valer la friolera de 100.000 dólares. Las víctimas potenciales reciben mensajes directos en Steam, invitándolos a unirse a un equipo para torneos de LoL, CS, Dota 2 o PUBG.

Los enlaces llevarán a los objetivos a lo que parece ser una organización que patrocina y organiza competiciones de deportes electrónicos. Realmente es un sitio controlado por los asaltantes y muy bien hecho según la investigación. Las páginas de destino admiten 27 idiomas, detectando el mismo de las preferencias del navegador de la víctima y cargando el correcto.

Una vez que la víctima ingresa sus credenciales, un nuevo formulario le pide que ingrese el código 2FA. Si la autenticación es exitosa, el usuario es redirigido a una URL especificada controlado por el servidor de comando y control de los piratas, generalmente una dirección legítima para minimizar las posibilidades de que la víctima se dé cuenta del engaño. En este punto, las credenciales de la víctima ya han sido robadas y cambiadas contraseñas y direcciones de correo electrónico para dificultar que las víctimas recuperen el control de sus cuentas.

WhatsApp: en el punto de mira

El servicio de mensajería instantánea más importante del mundo por número de clientes es una fuente continuada de ataques y a finales de noviembre conocimos la filtración de datos de casi 500 millones de usuarios en todo el mundo, y que ya estarían siendo vendidos -o en proceso de serlo- al mejor postor en lotes por países. Aunque la principal gravedad reside en lo masivo de la brecha y pudiera parecer que solo se trata de números de teléfonos, éstos podrían usarse con fines de marketing, phishing, suplantación y fraude.

Otro de los fenómenos que amenazan a WhatsApp son los tipos de estafa que crecen y evolucionan. Este año se ha popularizado un tipo de engaño que, si eres usuario de Twitter, seguro que has visto. El estafador remite un mensaje a un número cualquiera (de una persona que no lo conoce, eso sí), haciéndose pasar por una persona cercana pero sin identificarse y que se encuentra muy lejos, físicamente, invitando a la víctima a que intente averiguar de quién se trata.

Aquellos casos en los que la víctima cree identificar a alguien (pariente, amigo, etcétera) que vive fuera del país, el estafador adopta inmediatamente esa identidad para, a continuación, decirle a la víctima que quería darle una sorpresa viniendo a España. A partir de ahí, ya puedes imaginar, una historia un tanto rocambolesca que desemboca, como no, en la necesidad de enviar una cantidad de dinero a un destinatario determinado. El estafado recibirá, en teoría, unos bultos facturados por el estafador que contienen teléfonos móviles, portátiles, cámaras digitales… todo de última generación, por supuesto, y con un valor muy superior al de la cantidad de dinero a enviar.

Uber: ingeniería social contra infraestructura TI

Un atacante desconocido logró acceder a los sistemas informáticos de la mayor compañía mundial de movilidad como servicio. Las capturas de pantalla compartidas por el propio ciberdelincuente, mostraron lo que parecía ser un acceso completo a sistemas críticos de TI de Uber, incluido el software de seguridad de la empresa y el dominio de Windows.

Los sistemas vulnerados fueron amplios y relevantes, ya que abarcaron a la consola de Amazon Web Services de la compañía, las máquinas virtuales VMware ESXi, el panel de administración de correo electrónico de Google Workspace y el servidor Slack, en el que el pirata informático publicó sus mensajes. También hackeó su programa de recompensas por errores HackerOne que permite a los investigadores de seguridad revelar de forma privada vulnerabilidades.

Los medios explicaron que el mismo se realizó mediante ingeniería social contra un empleado de alto perfil y en concreto comprometiendo su cuenta del servicio de comunicación empresarial, Slack. La ingeniería social se ha convertido en una técnica muy popular entre los ciberdelincuentes y lo hemos visto en ataques recientes contra otras empresas como Twitter , MailChimp, Robinhood y Okta.

El usuario siempre es el eslabón más «débil» de la cadena de seguridad y es el principio que sustenta este tipo de ataques informáticos, pero Uber tiene un largo historial de compromisos de seguridad y de encumbrimiento. En 2018, acordó el pago de 148 millones de dólares por una violación de datos de 2016 que el servicio de transporte compartido ocultó incumpliendo la normativa al respecto. El jefe de seguridad de Uber entonces, fue acusado de encubrir la violación.

Y más allá de la seguridad… The Guardian y el Consorcio Internacional de Periodistas de Investigación publicaron recientemente miles de archivos confidenciales filtrados de Uber, revelando que la empresa violó todo tipo de leyes a sabiendas, presionó en secreto a los gobiernos, ocultó pruebas de su funcionamiento a la policía, recibió ayuda de políticos y explotó la violencia contra sus conductores para impulsar el negocio.

¿Y para 2023? Además de todo lo anterior, apunta el metaverso y la inteligencia artificial como grandes objetivos. Afortunadamente, al menos las empresas parecen concienciadas y un 73% de ellos aumentarán la inversión en ciberseguridad.

 

La entrada Los 10 peores incidentes de ciberseguridad en 2022 se publicó primero en MuyComputer.


Comentarios

Entradas populares de este blog

Seat Ateca, vistas

Hyundai Staria, calibre

Alienware Area-51m, el portátil gamer más potente