Desde la empresa Strike realizaron en webinar intitulado «Pesadillas de Ciberseguridad», donde dos de sus ejecutivos, Javier Bernardo y Santiago Hernández, expusieron casos de ataques y qué hacer en esos casos.
El panorama de ataques y amenazas cibernéticas al día de hoy nos presenta un incremento en los ataques de ransomware. En vista de esto, Check Point Software revela un aumento interanual del 14% en lo que va de 2022 en los ataques de ransomware a nivel mundial, siendo 1 de cada 60 organizaciones globalmente afectadas por ataques de ransomware semanalmente y el costo del ransomware es 7 veces más alto que el rescate pagado.
En términos regionales, en el Reporte de Threat Intelligence de Check Point Software sobre regiones geográficas, una organización en América Latina está siendo atacada (por amenazas en general) una media de 1.586 veces por semana en los últimos seis meses, en comparación con 1.116 ataques por organización a nivel mundial.
En el caso de Argentina, una organización está siendo atacada un promedio de 1.682 veces a la semana durante los últimos seis meses, en comparación con 1.137 ataques por organización a nivel mundial.
Por otro lado, WatchGuard Threat Lab informa que el volumen total de ransomware durante el 2021 se duplicó en el transcurso del primer trimestre de 2022. Una nueva investigación también muestra que las detecciones de Log4Shell se triplicaron, los scripts de PowerShell influyeron en gran medida en un aumento en los ataques de endpoint, la red de bots Emotet regresó a gran escala y aumentó la actividad maliciosa de cryptomining.
Para los ejecutivos los data leaks son algo de todos los días. En las noticias pueden se puede ver por todos lados, los filtrados de información están el tópico de todo foro de ciberseguridad. Y más allá de detalles técnicos para los profesionales, lo que más impacta es en el público en general, que ve como sus datos personales y privados se publican en las redes o son vendidos para usar con fines criminales.
Caso de Twitter
Uno de los casos más resonantes a nivel empresarial y su impacto en el mundo de las redes sociales y en los usuarios ha sido el de Twitter, donde hasta su ex jefe de seguridad, Peiter “Mudge” Zatko, que es un hacker histórico con sobradísimas credenciales de high profile, tuvo que salir a explicar todo lo que pasaba.
Básicamente debido a ciertos incidentes de seguridad que se dieron en anteriores años 2020, fueron hackeadas cuentas de celebridades, de VIP, modificando lo que decían y pidiendo dinero en forma de una transacción a una a una billetera digital de bitcoin
A raíz de esto es que desde la empresa llaman a «Mudge» para tratar de arreglar todo, y que no se dieran más casos como el de Joe Biden, que en ese momento eran precandidatos a ser Presidente de los Estados Unidos, con todo el impacto que tiene que 3 meses previo a una elección presidencial se hubiera vulnerado su cuenta.
Tuit falso de Joe Biden subido a Twitter
«Mudge» empezó a encontrar un montón de vulnerabilidades, variadas fallas a los procedimientos, problemas de seguridad en general propios de la compañía y de sus empleados. «Y encontró un montonazo, al punto que ya vamos a decirlo, de esta forma no le empezó a gustar mucho a los líderes de Twitter. Fueron dos años muy intensos para Twitter, y «Mudge», al venir de la vieja escuela, fue con todo a fondo y claramente a marcar dónde estaban las verdaderas fallas de seguridad al respecto. Al punto tal que nada, él tenía muchísima información privilegiada, un montón de cosas que detectó», comentaban en el webinar.
Una de las cosas que vio es que, de los 10000 usuarios internos de Twitter, más de la mitad tiene acceso a información sensible en producción de Twitter, que es mucho. Y «Mudge» hizo una analogía como diciendo, imaginen si todos los pasajeros de un avión tuvieran acceso a la cabina, básicamente sin saber pilotear, y nos ponemos a jugar con todos los botoncitos y todas las perillas, lo que seguro acaba en un desastre completo para todo ese avión y sus pasajeros. Lo mismo aplica a tanta gente pudiendo acceder a información sensible en una empresa.
Además, no tenían ninguna visibilidad de lo que hacían los empleados, lo que se traduce que los empleados no tienen responsabilidad por sus acciones. Tenemos la mitad de los empleados de Twitter con acceso a producción, con acceso a sistemas críticos y nadie está auditando lo que está pasando ahí. Podríamos tener tranquilamente gente malintencionada que quisiera vender accesos o hacer algún desastre y realmente sería muy difícil el día de mañana saber quién fue, qué pasó, si fue un saqueo, sí fue interno, si fue externo.
También comentó que cuatro de cada 10 dispositivos carecían de estándares básicos de seguridad, o sea, que había cuatro dispositivos que no contaban con antivirus, son equipos que son targets para cualquier hacker que quiera entrar a la compañía.
Sigue el derrotero con servidores sin parchar, con software obsoleto -más de la mitad-, no había suficiente redundancia
«»Mudge» es un ethical hacker de ley, y entendía el activo que Twitter representa y su importancia. Por eso decidió contárselo a todo el mundo, cuáles son los riesgos que corre Twitter y cuáles son todos los problemas detrás de este gran monstruo que son las redes sociales. Con lo cual se convirtió en lo que se conoce en la jerga como un «whistleblower», que en castellano se podría traducir como «informante», e internacionalmente ya hay muchas cuestiones legales que los protegen y acompañan a ir para adelante con este tipo de disclosure. Así, armó un disclosure de 200 páginas, que llevó hasta el Congreso, haciéndolo de público conocimiento», indicaron desde Strike.
Eso es lo que ellos llaman una «gran pesadilla de ciberseguridad». O sea, mucha falta de control, y tienen vulnerabilidades ocultas que no se quieren reportar, o prefieren que su equipo no trabaje en ello porque sabe que, si se corre la voz, si se enteran que esas vulnerabilidades están ahí, puede haber desastres.
En 2020 Twitter presentó 40 incidentes, y ahora van creciendo a más de uno por semana. «Todo el mundo quiere hackear a Twitter, y Twitter no está poniendo muchas ganas para evitar que eso pase», sostuvieron.
Vale recalcar el impacto en imagen que esto representa para una empresa. Y se está tomando como ejemplo una empresa grande que tiene recursos para poder sustentar políticas de seguridad agresivas. «Imaginen una PyME, o un profesional independiente. Las pesadillas de seguridad son exactamente las mismas. Y ni hablar si vamos a las vulnerabilidades, con la app que una PyME pueda estar desarrollando».
Volviendo a Twitter, hay una imagen muy interesante de un foro, donde un hacker ofrece y vende datos de 5 millones y medio de usuarios, celebridades, compañías, organizaciones.
Las vulnerabilidades más comunes en el desarrollo de software son IDOR (insecure direct object reference) el Broker Access Control y la habilidad de poder listar «n» registros sin ningún tipo de autorización y control. Aparte descubrieron que esa vulnerabilidad estaba activa desde hacía años, y como consecuencia, aparte del robo de información, tuvieron que pagar una multa de 150 millones de dólares relativo a privacidad de usuarios, e impacto en sus acciones, que bajaron.
Este tipo de habilidad, los IDOR, que es un sub rubro de los Brokers Control, es la vulnerabilidad número 1 en el top TEN, es la que mayor incidencia tiene de todas las vulnerabilidades, y es una de las vulnerabilidades que más encontramos en Strike en todos los frentes.
Caso de HBO
«Esto pasó en 2017, donde básicamente alguien se metió a los servidores de HBO, se robaron un par de capítulos de Game Of Thrones y los filtraron antes de que fueran estrenado oficialmente. Esto provocó que el día del estreno nadie mirara los capítulos porque la mayor parte de los fans ya los había visto».
Y se hablaba tanto y había tantos spoilers en las redes, que aún los más reacios bajaron los capítulos pirateados y los miraron antes del estreno.
Lo increíble del tema es que los hackers compartieron cómo lo habían hecho, utilizando la aplicación Dropbox. Y como frutilla del postre publicaron un archivo de una vicepresidente de HBO, conteniendo todos sus datos y passwords bancarias y de sitios. Sí, guardaba esa información en un texto plano en un servidor de la empresa.
Eso reveló las pobres prácticas de seguridad que tenía la empresa y sus empleados.
Lo peor es que pareciera que no aprendieron, y les pasó con otras series y capítulos, que fueron compartidos en foros internacionales como Reddit y varios sitios de torrents.
«Los atacantes maliciosos se las rebuscan como para ir a buscar el eslabón más débil que generalmente viene por empleados. Cualquier vector termina siendo igual de efectivo para una empresa gigante, como puede ser hoy nuevamente entrando por phishing», aseguraron desde Strike.
Caso de OSDE
Yendo a un caso más local, que tuvo mucha repercusión, y fue un data leak muy grande, nos encontramos con OSDE, una de las empresas de cobertura médica privada más grandes de la Argentina.
En este caso el ataque fue vía un ransomware, con el objetivo de luego pedir rescate para volver a recuperar la información.
«Hay muchos grupos mundiales que se dedican en forma exclusiva atacan empresas y luego piden rescate por la información encriptada y que no se revele la misma al mundo. En el caso específico de OSDE fue el grupo Lockbit, famoso por su ransomware-as-a-service, un sistema que ya se ha cobrado muchas víctimas a nivel mundial, y que en América Latina fue el blanco de 850 empresas en los últimos dos años, en Argentina, Brasil, México, Venezuela, o Panamá, etcétera», comentaron en el webinar.
En el caso de OSDE comenzó todo por un ataque de phishing a una de las sucursales de la empresa. Lo primero a señalar el error de la vulnerabilidad de poder acceder a los sistemas centrales con tanta facilidad desde una sucursal, donde evidentemente no tenían aisladas sus redes, y se podían conectar hasta a producción sin problemas, en forma muy parecida al caso de Twitter.
OSDE es uno de los casos más resonantes de un ataque con ransomware que haya habido en Argentina en los últimos tiempos
«El robo fue cruento, a las bases de datos de las historias clínicas de todos los usuarios, o sea, información muy sensible. Fue de hecho una base de datos de 140 GB conteniendo básicamente historias clínicas de pacientes, información sobre enfermedades, tratamientos, estudios médicos, datos de afiliados, información interna, correos electrónicos, etcétera. Y los ciberdelincuentes pedían un rescate de u$s 300.000 dólares, y que, si no pagaban en un tiempo determinado, iban a liberar la base de datos con todo lo que contenía», sostuvieron los conferencistas.
En este caso no negociaron, no aceptaron pagar el rescate, y luego de 24 horas Lockbit liberó la base a internet.
¿Qué hacer para tener una buena estrategia de ciberseguridad?
«Pensemos ahora en hablar seguridad y cómo arreglarlo. Bueno, no es solamente cuidar qué cosas se podrían estar filtrando de información a nivel tecnología, sino que vean también otro tipo de vulnerabilidades, otro tipo de vectores que pueden llevar a un leak masivo en otras condiciones. La idea nuestra es ayudar a los equipos de seguridad, y más aún a las empresas que no tienen equipos de seguridad, que necesitan crecer también teniendo un poco de amparo relativo a la ciberseguridad», indicaron desde Strike.
Pero cómo deben actuar las empresas y qué medidas tomar…. La verdad que es muy difícil tener un manual que te diga okey, hacés estos pasos y listo. Soluciones hay muchas, y también es una es una carrera de ambas partes. Sale una tecnología nueva, sale una vulnerabilidad nueva.
Una de las principales cosas que debe de hacer una empresa es clasificar sus activos en riesgos.
«Y ahí depende de si sos un banco, o un ecommerce, por ejemplo. Hay que identificar el activo más fuerte y qué es lo que tenés que defender, poner mucho foco ahí principalmente y a ir desde ahí hacia abajo, pero siempre pensar en qué es lo peor que te puede pasar o qué es lo que más tiene que cuidar, definir cuál es para seguirlo», sostuvieron.
Luego viene un análisis de riesgo, y definir cuáles son las partes críticas, las que pueden afectar al negocio y su continuidad, y empezar a clasificarlo.
Muchas veces no se tiene la capacidad de cubrir todo, y por eso se comienza con los activos más críticos. Pero sin abandonar nada. Es lo que desde Strike llamamos «Ciberseguridad continua», porque realmente nunca se detiene. Las funcionalidades de todas las aplicativos van mutando, van cambiando, se van acelerando. Las tecnologías se van a acelerando, van escalando de forma considerable, todo el tiempo salen cosas nuevas todos, todos está conectado hoy en día.
Tenemos accesos remotos por todos lados, en cualquier parte del mundo a cualquier hora, pudiendo entrar un atacante desde una notebook que vaya a saber uno desde dónde se conectó. Y así crece la superficie de ataque. U ejemplo común aquí son los ataques de supply Chain, o es muy común ahora atacar al sector fintech, o la Cloud.
Ahí entra en huego como tercera opción la de hacer auditorías continuas. Porque muchas El problema es que muchas veces alguien tiene acceso y pasan los días y te van robando los datos de a poco, y después está dentro de tu sistema, te diste cuenta a la semana, y ya es demasiado tarde.
Otra forma es aislar activos, por ejemplo, segmentando las redes, sean internas o externas.
Una recomendación cuando no se tiene ni personal ni gente especializada en ciberseguridad en una empresa, como puede ser una PyME, es contratar servicios gerenciados de seguridad, tercerizar lo que hay que hacer.
«En resumen, la seguridad debe de ser transversal, que todos sean parte de la misma no importa su rol en una empresa. Allí la capacitación y las políticas de seguridad claras cumplen un rol importante», finalizaron en el webinar.