El Hacker: Made in Hollywood?

El Hacker: Made in Hollywood?

Un hacker es inteligente, mucho más que la media. Con sólo unos pocos clics y unas pocas combinaciones de teclas, se ha metido en los sistemas de gobiernos, agencias gubernamentales y grandes corporaciones. Evita al público y actúa en secreto. Su piel es pálida, siempre lleva ropa oscura y trabaja hasta altas horas de la noche – eso es lo que nos dice Hollywood. Y los estereotipos creados por la industria cinematográfica permanecen en nuestra conciencia. Pero ¿quién está detrás de los ingeniosos ataques que asustan a las empresas? ¿Cómo podemos imaginarnos a los desarrolladores de Ryuk, Emotet y WannaCry?

En agosto de 1986, el sabotaje informático y la manipulación no autorizada de datos y soportes de datos se incluyeron en el código penal como una forma especial de daño a la propiedad. El término «hacking» a menudo se equipará con la intención criminal, especialmente en los países de habla alemana. Pero no todos los hackers son criminales – algunos son consultados o incluso contratados por empresas en materia de seguridad informática para probar los sistemas internos en busca de posibles brechas de seguridad. Dependiendo del cumplimiento de las leyes y de la intención de sus actividades, los hackers pueden ser asignados a diferentes grupos:

White Hats: Los hackers «éticos» se mueven legalmente a través de los sistemas de las empresas que los han contratado para buscar específicamente vulnerabilidades en su infraestructura de TI.

Black Hats: También conocidos como «crackers», son las ovejas negras del rebaño de hackers. Sabotaje de sistemas, extorsión y robo de datos e información confidencial, eso es lo que buscan los “black hats”. Con sus ataques, a menudo hacen un gran daño financiero. Los motivos pueden tener diferentes causas.

Grey Hats: No siempre hay blanco o negro. Entre los “white hats” y “black hats”, este grupo de hackers opera en una «zona gris» legal. Encuentran vulnerabilidades en los sistemas y las publican en diferentes plataformas para que puedan ser reparadas lo antes posible por los responsables. Esto los distingue, por ejemplo, de los “white hats”, que informan de las vulnerabilidades de seguridad directamente a los afectados sin hacerlas públicas. La «denuncia» pública de las vulnerabilidades de las TI también alcanza a los “black hats”.

Algunos hackers ganaron especial atención a través de sus actividades. Son considerados como «inventores» de técnicas especiales de piratería informática, han penetrado en redes altamente seguras de gobiernos y empresas o han descubierto documentos de alto secreto. Aquí algunos de ellos:

El padre de la ingeniería social: A través de sus técnicas de ingeniería social, Kevin Mitnick capturó información corporativa sensible, código fuente y acceso a bases de datos. Entre otras cosas, se dice que ha penetrado varias veces en la red del Departamento de Defensa y de la NSA (National Security Agency) de los Estados Unidos. En los años 90, el FBI lo declaró «el hacker más buscado del mundo». Después de pasar varios años en prisión, Mitnick cambió de bando. Hoy en día, trabaja como testador y conferenciante y, como director general de su propia empresa, asesora a grandes empresas sobre cuestiones de seguridad relacionadas con sus sistemas.

Hagbard Celine: Karl Koch, también conocido como «Hagbard Celine» es uno de los hackers alemanes más conocidos. Junto con otros hackers, vendió datos de sistemas informáticos estadounidenses al servicio secreto ruso KGB. Koch fue encontrado muerto en su coche a la edad de 23 años. Sin embargo, la causa exacta de la muerte aún no se ha aclarado completamente.

John Draper: alias «Captain Crunch» fue uno de los primeros piratas informáticos y se hizo conocido por el uso de un tubo de juguete de un paquete de muesli Cap’n Crunch para transferir los honorarios de una compañía telefónica americana [1] Junto con algunos de sus amigos, desarrolló la Blue Box, que puede reproducir el tono de 2600 hertzios para hacer llamadas telefónicas gratuitas. El crimen organizado también estaba muy interesado en el negocio de la falsificación y pudo registrar un buen «volumen de negocios». Al mismo tiempo, sin embargo, las compañías telefónicas estaban en números rojos y demandaron a Draper como inventor y causante de este desarrollo. Fue sentenciado a cinco años de libertad condicional, cuatro de los cuales pasó en la prisión estatal. En la década de 1970, conoció a Steve Jobs y Steve Wozniak, los fundadores de Apple. Draper también desarrolló el procesador de textos EasyWriter de Apple. En julio de 2018, Draper publicó su autobiografía «Beyond the little Blue Box».

Denunciante: Bajo el seudónimo de Mendax (mentiroso latín), Julian Assange atacó ordenadores extranjeros y fue declarado culpable en 24 casos de piratería informática ilegal. En 2006, fundó Wikileaks, una plataforma de divulgación, y distribuyó documentos censurados y confidenciales que por lo general no son accesibles al público o sólo son accesibles en una medida limitada. Como resultado de este trabajo, Assange fue arrestado varias veces y demandado sin éxito. A lo largo de los años, el fundador de Wikileaks ha estado a menudo en conflicto con la ley; en abril de 2019, fue arrestado por la policía de Londres y desde entonces ha estado en una prisión de alta seguridad en el Reino Unido.

 

El motivo importa

La digitalización, loT (Internet of things) y el establecimiento de redes globales están haciendo posible que los hackers realicen sus travesuras en áreas más amplias de la sociedad, los negocios y la política, incluso más allá de las fronteras nacionales. Los objetivos y motivos detrás de las actividades de los hackers son muy diferentes: algunos luchan por la riqueza, otros por el cambio político y económico.

Los hacktivistas son ciberdelincuentes que utilizan sus habilidades de piratería informática para manipular los sistemas de empresas, gobiernos o autoridades por convicciones políticas, religiosas o ideológicas de otro tipo. Un ejemplo bien conocido es el grupo activista “Anoymous”. El grupo ha estado activo contra varias organizaciones como la NSA, la IS y Scientology. Las acciones hacktivistas son un ejemplo de cómo podrían ser las protestas y la rebelión en un futuro digitalizado. En julio de este año, los hacktivistas invadieron los servidores de la autoridad fiscal búlgara NAP y robaron los registros de unos 5 millones de ciudadanos y empresas búlgaros. En un correo electrónico a los medios de comunicación estatales, los hackers exigieron la liberación del activista político Julian Assange.

Las organizaciones delictivas «profesionales» también están aprovechando la digitalización y externalizando cada vez más sus actividades ilegales a entornos en red. El peligro que representan estos grupos es alto, porque no sólo tienen muchos recursos, sino también la energía criminal necesaria.

Los hackers que trabajan en nombre de los gobiernos se centran principalmente en el espionaje, pero la manipulación y la paralización de los servicios públicos también están en su lista de tareas pendientes. El ataque cibernético a las centrífugas de uranio iraníes en 2010 fue supuestamente iniciado por actores estatales. Microsoft informó en julio que alrededor de 10.000 usuarios fueron atacados en un año por hackers que trabajaban para otros gobiernos. A diferencia de los ciberdelincuentes privados, es más fácil para los hackers patrocinados por el Estado entrar en redes extranjeras porque sus recursos son prácticamente ilimitados.

Comprender los motivos de un hacker puede ser muy útil para las empresas. Identificando al atacante, se pueden identificar de antemano los posibles escenarios de ataque. Por ejemplo, ¿un hacker «sólo» pretende enriquecerse o se trata de un tipo de ataque que realmente perjudica a una empresa? Los políticos, las autoridades y las empresas ven una gran amenaza de ciber espionaje, las infraestructuras críticas están sujetas al creciente riesgo de ser saboteadas por los ciberataques.

Básicamente se puede decir una cosa: la imagen de un tipo raro creado por Hollywood se desvanece. El resultado son grupos altamente diferenciados que, a medida que nuestro mundo se vuelve cada vez más digital, muestran todo tipo de facetas del mismo, desde el bien hasta el mal, por sí mismos o en equipo, para dañar a otros o para el bien común.

Más información:

¿Qué hace que sus datos sean tan valiosos?

Ciberataque de diagnóstico: los hospitales el blanco de los hackers

¿Por qué tus datos son tan valiosos?

¿Por qué tus datos son tan valiosos?

Anuncios adaptados a tus necesidades, pedidos rápidos y entrega puntual de mercancías de todo tipo, comodidad haciendo el pago con un sólo clic. Internet hace que muchas cosas sean posibles y mucho más convenientes para los consumidores. Sin embargo, a menudo se espera a cambio un alto coste de devolución: tus datos.

¿Sabes dónde, qué y cuántos datos personales has revelado? A menudo,  esto incluye tu nombre, fecha de nacimiento y datos de contacto, así como tu dirección, pero también información más delicada como datos bancarios y tarjetas de crédito. Al menos un puñado de empresas pueden utilizar esta información para identificarte y almacenarla en sus sistemas. Pero también divulgas datos sobre ti indirectamente. Por ejemplo: cuando buscas en Internet el regalo perfecto para tu pareja, un pedido de libros de Amazon sobre budismo o el dentista más cercano dejas rastros digitales. Las empresas pueden entonces visualizar y ofrecer ofertas adecuadas basadas en estos datos.

La combinación de estas diferentes fuentes de información da como resultado una imagen clara de ti. Lo que constituyen, tus datos personales, pero también los valores e intereses, así como los deseos, se combinan desde las partes individuales hasta una imagen general: tu identidad. Para una empresa que quiere ganarte como cliente y saber lo que necesitas, estos detalles son el premio gordo. Ellos pueden identificarlos y dirigirse a ti de forma más específica con sus productos. Pero tus datos no sólo son un activo valioso para las empresas, sino que los hackers también los necesitan.

Una y otra vez, los robos de datos en empresas conocidas adornan los titulares de varios medios de comunicación: Equifax, MasterCard, Marriott y el escándalo de Cambridge Analytica en Facebook, por nombrar sólo algunos. A menudo, los daños ni siquiera pueden cuantificarse con exactitud. Aunque las empresas afectadas luchan por su reputación y la continuidad de sus clientes, ¿Qué pasa con los usuarios? ¿Qué es lo que hace que los datos de los usuarios sean tan valiosos? ¿Por qué es tan malo perder el control de tus datos?

 

Los datos: materia prima del mundo digital

 

 

A menudo encontramos esta metáfora hablando de este tema y ofrece una imagen clara del valor que tienen los datos para las empresas, y que ha crecido fuertemente en los últimos años. No en vano están surgiendo nuevas profesiones que se ocupan exclusivamente de la recogida, el análisis y el tratamiento de datos: grandes científicos de datos, directores en este área, estrategas de datos o, por ejemplo, experto en inteligencia artificial.

 

En un estudio sobre protección de datos, el 85 por ciento de 1.000 responsables encuestados en la toma de decisiones de TI  afirmaron que los datos son tan valiosos como los medios de pago que se usan para superar los retos empresariales. El 56 por ciento también dijo que usó la información que analizó para determinar la demanda.

 

Según una encuesta realizada por Foresight Factory por encargo de la GDMA, los consumidores también son conscientes de la contribución que sus datos pueden hacer a la economía. Una mayoría del 60 por ciento de los alemanes encuestados supone que cuanto más privados sean los datos, más se puede esperar que una empresa pague a cambio. De esta manera un mejor servicio, descuentos o productos gratuitos son mencionados como posibles servicios. Sin embargo, los servicios ofrecidos están fuertemente adaptados a los datos de los usuarios disponibles: los usuarios de Android, por ejemplo, pagan menos por las compras de Amazon que los usuarios de iPhone.

 

 

¿Bruto o neto? – tus datos como mercancía

 

 

La idea de negocio de algunas empresas se basa exclusivamente en la recogida y análisis de datos de los usuarios. Por ejemplo, Google o Facebook, que tienen un gran número de usuarios diarios. Ambas compañías ofrecen sus servicios a los consumidores de forma gratuita, y sus beneficios se basan principalmente en los espacios publicitarios. Debería ser posible definirlos con la mayor precisión posible, lo que requiere una gran cantidad de datos. Unos pocos clics y “likes” en Facebook son suficientes para determinar exactamente cuáles son tus preferencias, intereses, opiniones políticas, inteligencia y orientación sexual.

 

A principios de año, por ejemplo, Facebook apareció en los titulares con un proyecto de investigación en curso. Según se informa, la compañía de medios pagaba a los usuarios de entre 13 y 35 años hasta 20 dólares al mes para obtener una visión muy detallada de las actividades de sus smartphones. Actividades tales como: conversaciones de chat y sitios web visitados. Lo que nos lleva a las siguientes preguntas: ¿Cuánto valen realmente tus datos? ¿20 dólares al mes son suficientes para revelar tu identidad?

 

El valor concreto de tus propios datos es difícil de comprender. El Financial Times intentó hacerlo de todos modos y en 2013 creó una calculadora, que los usuarios pueden utilizar para calcular un valor de suma global para sus datos. La herramienta, que se basa en datos de EE.UU., da una idea de cómo puede cambiar el valor debido a cierta información, como datos específicos de salud o situación familiar. Lo que llama la atención es que todo se mantiene por debajo de un dólar.

 

La multa de Equifax da una impresión completamente diferente. En 2017, la agencia de crédito de EE.UU. fue víctima de un devastador robo de datos en el que más de 140 millones de estadounidenses utilizaron información confidencial. La empresa pagó una multa de hasta 700 millones de dólares, una parte de los cuales fueron destinados a las víctimas de piratería informática mediante la financiación de la vigilancia crediticia de todos los afectados. Con ello se pretendía, por ejemplo, controlar las actividades sospechosas en las cuentas.

 

 

Tu identidad de datos

 

 

El legislador tiene una opinión muy clara sobre el valor de los datos personales: cada persona tiene derecho a su privacidad y merece protección. En el marco del derecho general a la personalidad, Alemania ha hecho una declaración clara en el inciso i) del apartado 1 del artículo 2. En relación con el párrafo 1 del artículo 1 de la Ley Fundamental, se ha concedido a toda persona el derecho a la libre determinación en materia de información. La finalidad de este derecho es determinar por sí mismo el uso y la publicación de los datos personales. Sobre esta base, la Ordenanza básica de protección de datos entró en vigor en mayo de 2018. Los datos personales de las personas físicas son bienes dignos de protección. Por lo tanto, no se incluye información de empresas o asociaciones.

 

Los datos personales son datos que identifican o hacen identificable a una persona física, como los nombres y las fechas de nacimiento. Un enlace indirecto es suficiente, de modo que los números de clientes o las direcciones IP también caen bajo esta protección. Además, hay datos que la ley clasifica como particularmente sensibles. Entre ellos figuran las creencias religiosas e ideológicas, la información sanitaria y los datos genéticos y biométricos. De este modo, la GDPR concede a los consumidores derechos aún más amplios e impone requisitos más estrictos a las empresas que desean recopilar datos. Por ejemplo, la recogida y el almacenamiento de datos deben estar siempre orientados a un fin, seguir el principio de minimización de datos y estar protegidos contra el acceso no autorizado por parte de terceros.

 

 

El principio de integridad y confidencialidad – Seguridad de datos corporativos

 

 

 

Los datos personales deben estar protegidos contra el acceso de terceros no autorizados por las respectivas empresas. Esto incluye el procesamiento no autorizado y la protección de datos contra daños y pérdidas.

La ordenanza básica de protección de datos exige que las empresas garanticen la protección de los datos y eviten la pérdida de datos a través de ciberataques. En caso de violación, aplica una pena mucho más alta amenaza que en los tiempos de la Ley Federal de protección de datos. Hasta un cuatro por ciento de la facturación anual mundial puede ser fijado como penalización.

Si una empresa es víctima de un ciberataque, no sólo están en juego los datos personales de clientes, empleados y socios comerciales, sino también los datos relacionados con la empresa, como archivos confidenciales y secretos comerciales. Aunque estos datos no están cubiertos por el Reglamento Básico de Protección de Datos, también debe proporcionarse aquí una protección completa. Por lo tanto, las empresas tienen una doble responsabilidad: deben proteger sus propios datos, así como los de sus clientes, socios comerciales y empleados.

Hay muchas medidas que una empresa puede tomar para protegerse a sí misma y a los datos confidenciales de los hackers. En el marco de esta gestión de riesgos, una medida es el cifrado de los datos. Se pueden utilizar varios mecanismos de cifrado para la transmisión del remitente al receptor o para el almacenamiento de datos, como el cifrado de extremo a extremo para la comunicación por correo electrónico. La información almacenada o enviada ya no se transmite como texto plano, sino que se convierte en un mensaje codificado que sólo puede volver a leerse con la tecla correspondiente. Sólo los empleados que están autorizados a acceder a ella tienen la clave adecuada. De este modo, el riesgo de acceso no autorizado puede reducirse considerablemente.

 

 

Reconoce el valor de tus datos

 

 

Los datos son un bien precioso en la vida de las empresas. Los consumidores también son cada vez más conscientes de que se están recopilando datos sobre ellos. Esta conciencia se ve reforzada por el alto nivel de transparencia que exige la GDPR a las empresas. La protección de estos datos es otra prioridad para las empresas. Pero: ¿para qué se utilizan en última instancia los datos almacenados?, ¿qué conclusiones pueden extraerse de ellos y dónde se recopilan todos estos datos difícilmente alguien lo tiene claro.

 

Más información:

 

 

Ciberataque de diagnóstico: los hospitales, el blanco de los hackers

Ciberataque de diagnóstico: los hospitales, el blanco de los hackers

Cuando el ordenador del hospital se convierte en el blanco de los ciberdelincuentes, hay vidas humanas en juego. El sector sanitario se está digitalizando cada vez más: los datos de los pacientes ya no se almacenan en archivos de papel, sino en ordenadores. Los datos de los marcapasos y las bombas de insulina se transfiere a los smartphones a través del wifi. Muchos dispositivos médicos están conectados a Internet. El creciente trabajo en red está creando cada vez más puntos de entrada para los ciberataques, que pueden tener consecuencias fatales. Por ejemplo, si las enfermeras y los médicos ya no pueden acceder a los datos de los pacientes debido a un fallo de la tecnología de la información, es posible que se administren medicamentos de forma incorrecta. ¿Qué dosis y de qué medicamento recibe el paciente “X” y a qué hora? Una sobredosis puede ser potencialmente mortal, especialmente con medicamentos para el corazón o la diabetes. Y también existe un peligro inmenso en el quirófano: incluso una manipulación mínima de un dispositivo médico durante una operación en el corazón o el cerebro de un paciente puede conducir no sólo a un daño irreversible, sino también a la muerte.

 

Máquinas conectadas en red: ¿un peligro?

En el sector médico, la digitalización y la creación de redes desempeñan un papel cada vez más importante, ya sea en el quirófano, en el laboratorio o en la atención de enfermería. El robot médico DaVinci, por ejemplo, ya se está utilizando en muchas clínicas estadounidenses y hospitales alemanes para la cirugía mínimamente invasiva. El cirujano controla los instrumentos desde un panel de control, los brazos robóticos de DaVinci implementan los movimientos de la mano.

Robots que apoyan a las personas en el laboratorio en el manejo de sustancias potencialmente peligrosas y nanorobots que nadan a través de los vasos sanguíneos y llevan las sustancias farmacéuticas al punto del cuerpo donde se necesitan. El futuro de la tecnología médica es prometedor, pero está expuesto a un peligro constante porque todo sistema de TI puede ser atacado si la seguridad es inadecuada y representa un objetivo potencial para los ciberdelincuentes.

En 2015, los investigadores de seguridad encontraron casi 70.000 dispositivos médicos con brechas de seguridad, incluyendo medicina nuclear, dispositivos de infusión, equipos de anestesia y dispositivos para procedimientos de imagenología. Las lagunas en el equipo médico no pasaron desapercibidas entre los ciberdelincuentes. En julio de este año, la Cruz Roja Alemana en Sarre y Renania-Palatinado fue víctima de un ataque de rescate. El software chantajista encriptó bases de datos y servidores y paralizó toda la red del hospital DRK. Por razones de seguridad, los servidores fueron eliminados de la red. Sin embargo, la atención de los pacientes estaba garantizada en todo momento, los ingresos de los pacientes y los hallazgos médicos se realizaron inicialmente con lápiz y papel. Después de unos días, los servidores del DRK volvieron a ponerse en funcionamiento. Los datos se pueden restaurar desde una copia de seguridad.

Al año siguiente, una clínica en Neuss fue atacada por hackers. Un empleado abrió el archivo adjunto infectado de un correo electrónico malicioso y descargó un troyano de chantaje en el sistema informático interno, que se extendió a todos los ordenadores del hospital. En muy poco tiempo, los empleados del hospital altamente digitalizado de Neuss tuvieron que volver al método de documentación análogo.

Principales deficiencias de seguridad en los centros de salud

Las medidas de seguridad en los hospitales y otros centros de salud son menos maduras que en las grandes empresas. La vida diaria en el hospital es agitada, los ordenadores no están cerrados cuando se sale del lugar de trabajo, apenas hay tiempo para actualizaciones de software. Los dispositivos y sistemas obsoletos están conectados en red entre sí y conectados a Internet; en muchos lugares surgen lagunas de seguridad. El ataque en Neuss muestra que la puerta de entrada principal a los ciberataques es principalmente el correo electrónico. La falta de conciencia por parte de los empleados da a los ataques con archivos adjuntos maliciosos en los correos electrónicos la oportunidad de encriptar, copiar o robar datos. Los hackers exigen un rescate por descifrar, generalmente en forma de monedas criptográficas como Bitcoins. En el hospital de Neuss, los datos pudieron ser restaurados gracias a una copia de seguridad y no fue necesario pagar ningún rescate, pero los sistemas tuvieron que ser apagados. A pesar del respaldo, el ciberataque le costó al hospital alrededor de un millón de euros.

 

¿Cómo pueden protegerse los hospitales?

Los ciberataques ya no son sólo un problema para las grandes corporaciones de la industria, sino que pertenecen a las mayores amenazas del mundo, según el Informe de Riesgo Global 2019 del Foro Económico Mundial. En vista de los peligros globales de los ciberataques, especialmente los ataques a hospitales y otras infraestructuras críticas, existe una gran necesidad de actuar para proteger los sistemas de TI.

El problema: los ciberdelincuentes están utilizando cada vez más enfoques pérfidos para introducir de contrabando malware y otros programas dañinos. Un simple programa antivirus ya no es suficiente para proteger toda la TI de la empresa. Los sistemas de filtrado en profundidad con sofisticados mecanismos de detección, con los que se pueden detectar los correos electrónicos maliciosos en una fase temprana, constituyen la base para una protección completa.

Para reducir el índice de éxito de los ataques de ingeniería social, como el fraude del CEO o la suplantación de identidad, el personal del hospital necesita aprender más sobre las características del correo electrónico malicioso a través de la formación en seguridad de TI, lo que reduce el riesgo de que un empleado propaga malware y cause daños posteriores.

Pero los medios financieros para asegurar los sistemas de TI son limitados. Y la situación legal actual también dificulta la seguridad de los dispositivos médicos para los hospitales, ya que una vez que han sido certificados, ya no se pueden cambiar, ni siquiera con actualizaciones de software. En última instancia, la digitalización ofrece más vectores de ataque para los ciberdelincuentes si no se tienen en cuenta las lagunas de seguridad. Aunque no ha habido un ciberataque selectivo en un hospital que haya dañado a un paciente, se deben tomar las precauciones adecuadas y efectivas para evitarlo. La seguridad de la infraestructura de TI en los hospitales debe recibir mayor prioridad, ya que, en última instancia, cualquier ataque cibernético a un centro sanitario puede tener consecuencias no sólo económicas, sino también sanitarias.

 

La ciberdelincuencia:¿un riesgo global?

La ciberdelincuencia:¿un riesgo global?

Sequías, marejadas, crisis de agua potable y extinción masiva de especies: amenazas que ponen en peligro nuestro modo de vida. Pero ya no son sólo los desastres ambientales los que tienen un impacto aterrador en nuestras vidas. Con respecto al delito cibernético, está surgiendo una amenaza potencial cada vez mayor para la seguridad nacional y mundial. Los ataques cibernéticos ya no son una amenaza invisible: para 2021, los expertos estiman que las empresas de todo el mundo se enfrentarán a pérdidas de hasta 6 billones de dólares. Las pérdidas de imagen y monetarias que las empresas ya han sufrido como resultado de los ataques de los hackers son inmensas. Pero ¿qué impacto físico pueden tener los ciberataques en la seguridad de los ciudadanos? ¿Qué daño visible y perceptible pueden hacer los hackers con un ataque? El Informe de Riesgo Global 2019 muestra que, por tercer año consecutivo, los ciberataques se encuentran entre las amenazas globales más graves, junto con los fenómenos meteorológicos extremos, el fracaso de la protección climática y los desastres naturales. Además, los ciberataques a gran escala y el colapso de infraestructuras críticas debido a un ciberataque; se consideran incluso como el segundo peligro más frecuente en términos de probabilidad e impacto potencial. Por lo tanto, la estabilidad mundial ya no está influenciada únicamente por los desastres naturales o el terrorismo; los efectos de los ciberataques también deben tenerse en cuenta en las precauciones mundiales de seguridad. Los ciberdelincuentes ya no se centran exclusivamente en las grandes empresas o en los particulares para enriquecerse financieramente. Las industrias y las infraestructuras críticas, como los hospitales y otros servicios públicos, son cada vez más, objeto de ataques cibernéticos. En 2010, el gusano informático Stuxnet causó daños irreparables a varias centrifugadoras de uranio en el sistema informático de las centrales nucleares iraníes. El ataque es considerado como el primer ataque ciber físico que causó inmensos déficits en un objetivo militar.

 

Cuando la energía no fluye: ataques a los servicios públicos

 

Un estudio realizado por el Ponemon Institute, reveló que el 90 por ciento de las empresas de servicios públicos de Estados Unidos, Inglaterra, Alemania, Australia, México, Japón y otros países, fueron víctimas de al menos un ataque cibernético exitoso. Se encuestó a más de 700 expertos en seguridad que trabajan en infraestructuras críticas. Los participantes afirmaron que aproximadamente la mitad de los ataques provocaron la paralización de las empresas de servicios públicos.

 

La entrada en el blog «Infraestructuras críticas – probablemente el punto más vulnerable de un país”, ya ha dado una idea de las consecuencias devastadoras de un ataque cibernético a los servicios públicos. Un ataque que provoque un corte de energía provocaría, entre otras cosas, el colapso del sistema de transporte y el fallo de los sistemas de refrigeración. Especialmente en los hospitales, el enfriamiento de vacunas o medicamentos especiales es esencial para su efecto.

 

Un ataque a la red eléctrica ucraniana, demostró que los hackers son perfectamente capaces de paralizar infraestructuras críticas: poco antes de la Navidad de 2015, los ciberdelincuentes sabotearon la infraestructura del país. Un empleado abrió un programa malicioso desde un correo electrónico, que instaló el malware «Black Energy» y provocó gradualmente el fallo de los sistemas de suministro. El resultado: 700.000 personas no tuvieron electricidad durante unas 24 horas.

 

Aumento de los ataques contra el sector sanitario

 

En los últimos años, las instalaciones sanitarias se han convertido cada vez más en el centro de las actividades delictivas cibernéticas. En 2016, los hackers introdujeron un programa malicioso en la red del hospital Lukas de Neuss. El hospital tuvo que recurrir de nuevo al uso de papel y lápiz. La radioterapia para pacientes con cáncer tuvo que ser suspendida y la sala de emergencias cerrada.

 

En 2018, la clínica de Fürstenfeldbruck también tuvo que arreglárselas sin sus ordenadores durante más de una semana. La culpa fue de un ataque cibernético. Las ambulancias tenían que ir a otros hospitales, sólo los pacientes que estaban gravemente heridos o enfermos eran llevados a la clínica. En el verano de 2019, varias instalaciones de la Cruz Roja alemana fueron atacadas.

 

Los incidentes muestran lo vulnerables que son los sistemas informáticos de los hospitales. ¿Y qué sucede si los ciberdelincuentes se aprovechan de las vulnerabilidades para infectar dispositivos médicos con malware, por ejemplo?

 

En el peor de los casos: si se encriptan los datos de los pacientes, las enfermeras y los médicos ya no tienen acceso a archivos antiguos en los que, por ejemplo, se señalan posibles alergias a antibióticos y otros medicamentos. Una reacción alérgica o sobredosis puede ser fatal para un paciente. Pero no sólo los datos pueden ser encriptados, robados o manipulados por hackers. Hoy en día, varios dispositivos médicos están conectados a Internet, incluyendo dispositivos de diagnóstico por imágenes como la RMN y la TC o bombas de infusión y marcapasos cardíacos. Manipular los dispositivos durante una operación en órganos vitales puede costar vidas.

 

Fuentes
Infraestructuras críticas – probablemente el punto más vulnerable de un país

Infraestructuras críticas – probablemente el punto más vulnerable de un país

¿Qué pasaría si nos quedáramos sin electricidad? Los alimentos y los medicamentos esenciales ya no se podrían enfriar, las máquinas que mantienen la vida de los pacientes en los hospitales dejarían de funcionar, las luces se apagarían y las calles se hundirían en el caos. Un escenario que parece inimaginable. Los ciberdelincuentes se centran cada vez más en las instalaciones vulnerables que constituyen la base del bien común: las infraestructuras críticas.

El presidente de BSI, Arne Schönbohm, también ve a los operadores de las centrales hidroeléctricas nacionales o, por ejemplo, a la industria farmacéutica cada vez más en el centro de los ataques cibernéticos profesionalizados. ¿Por qué? La manipulación de los procedimientos operativos en estos sectores económicos podría poner en riesgo a la población. Las medidas de protección de TI interna deben tener una alta prioridad.

A continuación, echamos un vistazo a las infraestructuras críticas y damos una visión de las enormes consecuencias que un ataque cibernético puede tener en estas organizaciones tan sensibles.

 

Una cuestión crítica

 

Las infraestructuras críticas incluyen organizaciones o instituciones que desempeñan un papel importante para la comunidad. Proporcionan servicios o productos de los que dependen tanto los consumidores como las empresas. Estos incluyen instalaciones en los sectores de energía, TI y telecomunicaciones, salud, agua, alimentación, transporte, finanzas y seguros, gobierno y administración, medios de comunicación y cultura.

Las infraestructuras críticas se consideran especialmente sensibles en lo que respecta a su infraestructura de TI, por lo que el gobierno quiere protegerlas, especialmente con la ley de seguridad de TI que entró en vigor en julio de 2015. Por lo tanto, los operadores deben informar de los fallos de sus sistemas informáticos y permitir que se comprueben periódicamente. La mencionada sensibilidad de los sistemas se deriva del hecho de que la mayoría de ellos ya se desarrollaron en un pasado lejano. Queda claro que los aspectos de seguridad de TI no se tuvieron en cuenta desde el principio, pero si se tuvieron, inicialmente, los aspectos de seguridad física, como la construcción de sistemas de vallado de gran complejidad y el suministro de personal de seguridad.

Otra causa fue la separación de los sistemas informáticos del acceso a Internet. Sin embargo, la digitalización no sólo ha pasado desapercibida, sino que ha dado lugar a cambios considerables en los últimos años. En las empresas industriales modernas, por ejemplo, muchas máquinas, dispositivos y empleados están ahora conectados a Internet. Además de las muchas ventajas que esto trae consigo, también hay desventajas que no son insignificantes: Por lo tanto, las infraestructuras críticas son aún más vulnerables para los ciberataques.

 

¡…y estaba todo a oscuras!

 

El alcance de un ataque cibernético a infraestructuras críticas queda demostrado por un ataque sin precedentes a la red eléctrica de Ucrania en 2015: los hackers paralizaron todo el suministro de energía. Los hogares permanecieron a oscuras durante horas, los hospitales tuvieron que acceder a generadores de energía de emergencia. El ataque del hacker fue supuestamente llevado a cabo por actores estatales que sabotearon el suministro de energía del país con la ayuda del malware Industroyer. En 2017, una central eléctrica saudí fue víctima de piratas informáticos. El objetivo del ataque era presumiblemente destruir la planta.

El ataque fue descubierto por casualidad. De esta manera, se pudieron prevenir cosas peores. Según los medios de comunicación, el ataque se produjo a través de un sistema de seguridad que se utiliza en todo el mundo en centrales eléctricas de gas y petróleo, así como en centrales nucleares, también en Alemania. El código Triton utilizado en el ataque fue publicado en Internet poco después. Esto creó la base para nuevos ataques de hackers experimentados. Según sus propias declaraciones, los investigadores de seguridad pudieron localizar otro ataque con el código Triton en abril de 2019. Sin embargo, sigue sin estar claro cuándo tuvo lugar el ataque y qué sistema estaba en el punto de mira. Los investigadores llegaron a la conclusión de que los atacantes querían sentar las bases para el daño físico. Esto sugeriría también que se estaban dirigiendo a otros operadores de infraestructuras críticas. Por este motivo, los investigadores han hecho públicos los detalles del malware detectado para ayudar a los responsables de TI a detectarlo y prevenirlo.

Los acontecimientos del pasado son preocupantes. Una buena señal, sin embargo, es la creciente conciencia de la seguridad de TI dentro de las infraestructuras críticas. El control de desastres, por ejemplo, ya ha elogiado la creciente seguridad informática.

 

El peor caso: ataque cibernético al operador de infraestructuras críticas

Sin embargo, esto no significa que el tema esté fuera de debate. Durante mucho tiempo su objetivo fue el de sensibilizar a la gente sobre el establecimiento de medidas de seguridad. ¿Y si este fuera el caso? Partimos del peor de los escenarios: Un ataque cibernético apaga la electricidad en España. Según Arne Schönbohm de BSI, la red y el suministro de energía es un objetivo atractivo para paralizar a todo un país. De acuerdo con esto, en caso de un corte de energía cada vez mayor se producirían grandes cuellos de botella en el suministro. Esto también suscita preocupación en el campo del control de desastres. Echemos un vistazo más en detalle a un pequeño escenario de ataque:

 

Un ataque de un Ransomware se ejecuta en los siguientes pasos:

  1. Reconocimiento
  2. Armonización
  3. Entrega
  4. Explotación
  5. Instalación
  6. Mando y control
  7. Acciones sobre el objetivo

 

Reconocimiento: Identificación del objetivo

Existen básicamente dos tipos de ataques: ataques dirigidos y ataques masivos. La cadena de ataque se trata principalmente en ataques dirigidos. Primero se elige el objetivo. Aquí se recoge toda la información posible para averiguar cómo se crea la empresa y dónde hay lagunas que podrían utilizarse para la intrusión. La atención se centra normalmente en un determinado empleado que comparte mucha información sobre sí mismo: Detalles de contacto, títulos de trabajo, planes de vacaciones y más. Una vez que se ha encontrado la vulnerabilidad correcta, se da el siguiente paso.

Armonización: preparación del ataque

El atacante selecciona una herramienta adecuada dependiendo del objetivo deseado y del procedimiento planeado – si es posible, por supuesto, debe ser pérfido. A menudo una encriptación trojan es la mejor solución, que se mantiene cubierta al principio y recoge más información. Muchos de estos códigos están disponibles gratuitamente en Darknet (red oscura).

Entrega: primeros pasos para ejecutar el ataque

En esta fase, el delincuente tiene que elegir un canal de distribución. El delincuente puede optar por utilizar un CD-ROM, una memoria USB o el clásico correo electrónico. Los más populares son los correos electrónicos de phishing que se vinculan a un sitio web malicioso o que contienen un documento infectado que se supone que el destinatario debe abrir. La ventaja del método de phishing nos lleva directamente al siguiente paso.

Explotación: Detección de vulnerabilidades de seguridad

La falta de conciencia por parte de los empleados es un vector popular de inspiración. Palabra clave «ingeniería social»: el phishing, el fraude del ceo o la caza de ballenas se utilizan para explotar la incertidumbre y la ignorancia de los empleados para entrar en el sistema. Pero las superficies de ataque abiertas también pueden estar en la tecnología, como los agujeros de seguridad sin parchear en los programas utilizados en toda la empresa.

Instalación: implementación de una puerta trasera

Lógicamente, no aparecerá ninguna ventana emergente una vez que se haya instalado el malware. La instalación se ejecuta de forma oculta y sin el conocimiento del usuario. El malware anida y espera su gran momento.

Mando y Control: Control remoto del sistema de destino

Para mantener el control del malware, se puede utilizar el protocolo de escritorio remoto. El control remoto es esencial para alcanzar el objetivo real. Ahora incluso es posible utilizar la inteligencia artificial para que el malware pueda realizar acciones de autoaprendizaje, como recargar otro malware o espiar datos personales.

Acciones sobre el objetivo: Logro del propósito

El gran momento ha llegado y el atacante puede hacer su acción concreta después de la infiltración completa del sistema. En nuestro caso, la fuente de alimentación está desconectada. Pueden pasar varios años hasta que el malware se ejecute o se detecte.

De la cadena de ataque se desprende claramente que la prevención y la defensa contra ataques cibernéticos sofisticados sólo es posible con herramientas especiales y una fuerte y regular sensibilización a los empleados. Estos incluyen servicios que pueden detectar malware pérfido y complicado, como amenazas persistentes avanzadas con motores de análisis especiales, congelación y sandboxing. El hecho es que los ataques cibernéticos seguirán aumentando y que deben adoptarse medidas de protección en una fase temprana.

En resumen, los ciberataques a infraestructuras críticas pueden suponer una amenaza para la seguridad nacional. Un ataque a la red de energía o al suministro de agua puede tener consecuencias que no sólo podrían resultar en pérdidas económicas, sino que también podrían cambiar completamente la vida tal y como la conocemos.

Business Email Compromise (BEC): la amenaza crece rápidamente

Business Email Compromise (BEC): la amenaza crece rápidamente

Los archivos adjuntos maliciosos cifrados, el phishing, la suplantación de identidad y los correos de aplicaciones falsas, son métodos de ataque conocidos que utilizan los ciberdelincuentes para introducir programas maliciosos como los de rescate y otros similares en los sistemas corporativos. Una vez en el sistema, el malware puede causar pérdidas de millones de dólares a través de documentos corporativos cifrados, robo de archivos e información relevante, o ralentizar los procesos de negocio a través de la criptografía ilegal. Los sofisticados sistemas de filtrado para la detección de malware hacen que el acceso al sistema de una empresa sea cada vez más complejo para los ciberdelincuentes.

El foco de los ciberdelincuentes se está desplazando cada vez más hacia la vulnerabilidad humana: se dirigen a los empleados de empresas seleccionadas, con mensajes de correo electrónico sencillos pero muy personalizados y puramente textuales – este procedimiento se conoce como Business Email Compromise (BEC). Spamina Security Lab ha registrado un aumento significativo de este tipo de ataques desde hace aproximadamente 1 año.

 

¿Qué es Business Email Compromise (BEC)?

 

Grandes sumas de dinero se transfieren de forma fraudulenta a una cuenta externa, con datos internos e importantes de la empresa. Además, se accede a otra información confidencial, sin que la empresa se dé cuenta y sin que se introduzca un programa malicioso. Con un BEC, un hacker utiliza sus conocimientos internos de la empresa, en lugar de usar un simple spam. Los nombres y direcciones de correo electrónico corporativos de empleados o clientes, así como las firmas actuales, hacen que un correo electrónico falso parezca auténtico.

 

Los ciberdelincuentes envían un mensaje de correo electrónico corto – sólo de texto – a un empleado seleccionado. Utilizan una dirección de correo electrónico falsa similar a la del CEO, la de un cliente o de un empleado.  El nombre se muestra exactamente cómo aparecería en el correo electrónico de la persona real. Esto dificulta la detección del fraude que hay detrás.

 

¿Qué hacen los ciberdelincuentes?

 

En su primer correo electrónico, el cibercriminal se acerca. El presunto director general o superior se dirige con tono urgente al trabajador – el objetivo – de la empresa. Los ciberdelincuentes exigen una respuesta rápida a través del correo electrónico corporativo porque el supuesto jefe está en una reunión o no puede ser contactado por teléfono. El hacker urge al receptor a que le responda con discreción para poder ocultar el fraude.

Si el criminal recibe una respuesta, se vuelve más concreto en un segundo mensaje: El jefe ficticio pide que se transfiera una cierta cantidad de dinero a la cuenta de un supuesto cliente, socio comercial o proveedor de servicios. Pero no sólo se captan de esta manera los medios financieros. Los hackers también aprenden sobre los datos e información internos de la empresa y los utilizan indebidamente para otros fines. El fraude del CEO es el procedimiento cibercriminal más conocido hasta la fecha, pero los ataques BEC (Business Email Compromise) pueden ocurrir de muchas maneras:

 

  • El hacker se hace pasar por el cliente de la empresa y anuncia un cambio en la información de pago para activar futuras transacciones en la cuenta del atacante.
  • Camuflado con la supuesta dirección de correo electrónico de un empleado, el cibercriminal, por ejemplo: envía facturas a los clientes de la empresa.
  • Usando la cuenta de correo electrónico comprometida de un abogado, se presiona al destinatario dentro de una empresa para que haga un pago o divulgue información.

 

 

 

Situación de peligro actual

 

Según el último Informe sobre delitos en Internet del FBI, el Business Email Compromise (BEC), junto con ransomware, troyanos bancarios y phishing son los ataques que causan una gran parte de las pérdidas financieras mundiales propiciadas por los delitos cibernéticos. Sólo en 2018, el fraude causado por los correos electrónicos falsificados provocó pérdidas mundiales de alrededor de 1.200 millones de dólares. Y es de esperar que la situación de amenaza planteada por BEC continúe existiendo y aumente.

«Una vez que una empresa se ve afectada, es muy probable que este tipo de ataque se repita. Cualquier información interna adicional enviada sin saberlo por un empleado a través del correo electrónico corporativo hace que más correos electrónicos falsos parezcan aún más auténticos», dijo un experto en seguridad de Hornetsecurity Security Lab. «Cada mes vemos un número creciente de correos electrónicos entrantes en los que los ciberdelincuentes intentan hacerse pasar por empleados o clientes reales. Y cada vez, el método se hace más sofisticado: en algunos casos, el logotipo, el disclaimer y la firma de la empresa objetivo se reproducen uno a uno. El destinatario de un email tan fraudulento debe saber exactamente a qué atenerse».

 

¿Qué empresas se ven afectadas en gran medida?

 

Las empresas más grandes y activas a nivel internacional suelen ser el blanco de los ciberdelincuentes para usar Business Email Compromise (BEC).

La información sobre las personas que ocupan determinados cargos administrativos es fácil de encontrar, los logotipos o las actividades de mercado son a menudo accesibles en Internet. Además, las transacciones financieras internacionales no son infrecuentes y con un gran número de empleados, existe una alta probabilidad de que los empleados nunca se hayan conocido en persona y de que el simple intercambio de correos electrónicos sea algo muy común.

En 2015, por ejemplo, el especialista alemán en cable Leoni AG fue víctima de este fraude, a través del cual los ciberdelincuentes engañaron a la empresa por unos 40 millones de euros. La red social mundialmente conocida Facebook y Google también sufrieron un robo de un total de 100 millones de dólares durante más de dos años. Esto se conoció en 2017, cuando el fraude fue descubierto y hecho público por la revista estadounidense Fortune. Según el informe del FBI, el foco está actualmente en empresas del sector inmobiliario.

 

¿Cómo puede uno protegerse contra esto?

 

Spamina Security Lab asume que el Business Email Compromise (BEC) seguirá siendo una de las mayores amenazas cibernéticas del futuro: «Los servicios clásicos de anti-phishing o spam, no reconocen los correos electrónicos BEC debido a su contenido genérico. Ofrecemos a nuestros clientes una protección antifraude altamente personalizable y compleja para garantizar el más alto nivel de seguridad. Sólo recibimos comentarios positivos de las empresas que utilizan nuestros Motores Forenses de Fraude Dirigido». Los motores con objetivos precisos como Targeted Fraud Forensics, verifican la autenticidad e integridad de los metadatos y el contenido del correo electrónico e identifican patrones de contenido específicos que sugieren la existencia de correo electrónico fraudulento. Esto evita que un correo electrónico falso llegue a tu bandeja de entrada. Incluso los cursos de formación que, además, llaman la atención de los empleados sobre los elementos característicos de un Business Email Compromise (BEC), pueden poner fin al creciente peligro.

Más información: