• Introducción
• Los delincuentes cibernéticos atacan
• La industria antivirus: ¿ante un callejón tecnológico sin salida?
• Las organizaciones financieras: defensa de sus clientes
• ¿Existen soluciones efectivas?
• El apoyo del estado
• Conclusión

Introducción

Este artículo está dedicado al análisis de una situación que ha surgido hace poco tiempo, relacionada con los ataques que los programas maliciosos lanzan contra los clientes de organizaciones financieras. Nuestra atención se concentrará tanto en la confrontación entre los programas maliciosos financieros (también conocidos como CrimeWare) y la industria antivirus, como en el enfrentamiento entre estos programas maliciosos y las organizaciones financieras. 

En este artículo no nos detendremos en los métodos usados para infectar los ordenadores de los usuarios y en los otros métodos que los delincuentes usan para lanzar ataques contra las organizaciones financieras (como el phishing o la ingeniería social), porque estos son problemas que, aunque conservan su vigencia, ya hemos analizado en nuestras publicaciones anteriores, que el lector puede encontrar en www.viruslist.es. Por ejemplo, en el artículo de mi colega: Ataques contra bancos. 

Con esta publicación trataremos de encontrar la respuesta a la pregunta ¿es posible, en las condiciones actuales, oponer una resistencia efectiva contra las crecientes arremetidas que los programas maliciosos lanzan contra la industria financiera? 

Este trabajo está dirigido a los especialistas de las organizaciones financieras y a los profesionales informáticos que se interesen por esta temática. 

Antes de empezar a tratar el tema en profundidad, quiero subrayar que todas las estadísticas de organizaciones financieras que presentamos de ningún modo son un indicio de falta de solidez y no significan que sea más fácil hackearlas que a otras compañías. Estas estadísticas suelen depender de la popularidad del sistema entre los usuarios. Por eso sería incorrecto sacar conclusiones sobre la fragilidad de los sistemas de defensa de un banco basándose en estos materiales. 

Los delincuentes cibernéticos atacan

Últimamente escuchamos con cada vez más frecuencia hablar del éxito de los ataques realizados por delincuentes contra los usuarios de instituciones financieras. Por lo general, en los ataques con programas maliciosos se utiliza la siguiente secuencia de acciones: se busca a las víctimas, se las inocula, se obtiene el acceso o los parámetros de acceso a sus cuentas online y se roba el dinero. 

Un ejemplo que tuvo gran resonancia estos últimos tiempos fue el de la familia ZBot-toolkit (también conocida como ZeuS). 

Este instrumento malicioso, especializado en el robo de cuentas de acceso a bancos en Internet se mantuvo activo durante todo el año 2009 y sigue activo en el presente, como si se riera de los especialistas en TI que tratan de clausurar la botnet ZeuS. Según los datos del centro ZeuS Tracker, a finales de marzo de 2010 la botnet contaba con más 1.300 centros de administración de los ordenadores-zombi. De ellos, estaban en constante actividad más de 700 centros. Cada centro de administración controla una media de 20 a 50 mil ordenadores infectados (sabiendo estas cifras, es fácil calcular la cantidad de víctimas). La geografía de ubicación de los centros de administración de la botnet es amplísima (fig. 1): 

 
Рис. 1. Geografía de los centros de administración de la botnet ZBot/ZeuS. Según los datos de ZeuS Tracker  

Semejante distribución geográfica permite garantizar una alta viabilidad a la botnet. Como ha demostrado hace poco la práctica, para desactivar una botnet no basta con clausurar varios hostings: Roman Hussey, que viene observando la botnet con la ayuda de ZeuS Tracker desde el 9 de marzo, ha registrado una súbita reducción de la cantidad de centros de administración y supone que se debe a la desactivación del proveedor Troyak. Para el 11 de marzo, la cantidad de centros de administración se redujo a 104. Pero después de un par de días, Troyak encontró un nuevo operador y el 13 de marzo la cantidad de centros de administración de nuevo superó los 700. Desgraciadamente, la alegría había sido prematura. 

Y este no es ni de lejos el único toolkit dedicado a robar los datos de acceso a las finanzas de los usuarios. Otro excelente ejemplo es el toolkit Spy Eye, que no solo roba los datos, sino que destruye a su competencia ZBot/ZeuS, mostrándonos una guerra virtual en acción. 

No es menos famosa la botnet Mariposa, que consta de 13 millones de ordenadores en todo el mundo y fue liquidada por la policía española en diciembre de 2009. 

Los usuarios de los ordenadores infectados que eran parte de todas estas botnets son para los delincuentes simples bolsas de dinero: estos eran los símbolos con que se representaban los equipos infectados en el panel de administración de la botnet Spy Eye. 

La industria antivirus: ¿ante un callejón tecnológico sin salida?

Todo la “hacienda” de las botnets que hemos descrito más arriba es un verdadero foco de infección de programas maliciosos. Con la ayuda de estos programas, los delincuentes informáticos lucran, robando dinero a los usuarios y buscando cada vez más nuevas víctimas. Las cifras muestran claramente el crecimiento de la cantidad de programas maliciosos dedicados a robar datos de los clientes de bancos y otras instituciones financieras en los últimos años (fig. 2): 

Fig. 2. Crecimiento de programas maliciosos únicos utilizados
para robar datos financieros de los usuarios. Datos de Kaspersky Lab.  

Los datos aducidos muestran que cada trimestre el crecimiento de los programas maliciosos bancarios desde el momento de su primera aparición y hasta el presente es exponencial. La situación se complica aún más por el hecho de que un gran porcentaje de estos programas no puede ser detectado por la mayoría de los programas antivirus. Por ejemplo, según los datos del centro ZeuS Tracker, a mediados de marzo no se detectaba más de la mitad de los programas maliciosos propagados a través de la botnet ZBot/ZeuS. En realidad esto significa que el ataque a los usuarios tuvo éxito, es decir, que antes que los usuarios recibiesen protección de las compañías antivirus, los delincuentes alcanzaban a recoger su cosecha. 

Pero ¿por qué lo lograron? Para explicar mejor el fenómeno, analizaremos el proceso de producción del “remedio” como se hace con las bases de datos antivirus comunes y corrientes. En sí, el proceso puede ser ligeramente diferente en el caso de determinados fabricantes de antivirus, pero a grandes rasgos es el mismo (fig. 3): 

 
Рис. 3. Proceso de publicación de nuevos “identikits” en las bases de firmas  

Analicemos este esquema: 

• Paso 1. Cuando un delincuente empieza a propagar un fichero malicioso, la primera tarea de la compañía antivirus es obtener un ejemplar (sample) del mismo. Este se puede conseguir de diferentes formas: el fichero lo pueden enviar las víctimas, puede ser obtenido mediante los sistemas de intercepción automática o recolección de ejemplares maliciosos, recibido por el sistema de intercambio de ficheros con otras compañías, etc. Sin embargo, tomando en cuenta la peculiaridad de difusión de los programas maliciosos, a pesar de la gran cantidad de canales de obtención de ejemplares, no siempre se puede recibir el ITW-ejemplar a tiempo.
• Paso 2. Después de obtener el ejemplar, se empieza a analizarlo. Esta etapa pueden ejecutarla los sistemas automáticos o los analistas de virus. El resultado de esta etapa es que se agrega un nuevo “identikit” a las bases antivirus.
• Paso 3. Después de que el identikit ha sido agregado a las bases antivirus, empieza el proceso de pruebas. El objetivo de estas pruebas es detectar los posibles errores en las nuevas entradas.
• Paso 4. Después de pasar las pruebas, se envía la actualización al usuario del antivirus.

Desde el momento de la aparición del fichero malicioso hasta el momento en que el usuario recibe la actualización antivirus pueden pasar varias horas. Este lapso está condicionado por retrasos objetivos en cada una de las etapas. Sin duda, después de este tiempo el usuario estará bien protegido. Pero la paradoja es que esta protección ya no le servirá de nada a muchos de los usuarios. Si los ordenadores de los usuarios estaban infectados, es grande la probabilidad de que los datos personales de las víctimas ya hayan sido enviados a los delincuentes. Con la ayuda de las bases antivirus recibidas, el antivirus detectará al ladrón digital, si éste aún sigue en el ordenador del usuario, pero no recuperará los datos enviados. 

Los delincuentes conocen bien los pormenores del proceso de publicación de actualizaciones antivirus, saben bien cuál es el intervalo con que se publican las bases antivirus y comprenden a la perfección que sólo es cuestión de tiempo que sus criaturas sean detectadas. Y esta es la razón por la que, con frecuencia, escogen la siguiente táctica de ataque: publican un fichero malicioso y en unas pocas horas, cuando los antivirus deberían empezar a detectarlo, ya tienen lista la publicación de uno nuevo, que gozará de varias horas de “indetectabilidad”. Y así por el estilo. Como resultado, a pesar de que la industria antivirus está en condiciones de garantizar la detección de las amenazas, las viejas tecnologías antivirus no siempre permiten hacerlo tan rápido como exige la realidad. 

Resumiendo el contenido de esta sección, tenemos lo siguiente: 

• la velocidad de reacción de tecnologías antivirus tales como la detección de firmas (identikits) y la detección genérica no está a la altura de las nuevas circunstancias, ya que el programa malicioso con frecuencia alcanza a robar los datos de los usuarios y enviárselos a los delincuentes antes de que el usuario actualice sus bases antivirus;
• la cantidad de amenazas que atacan a los clientes de organizaciones financieras está creciendo en progresión geométrica.

Las organizaciones financieras: defensa de sus clientes

En las situaciones descritas más arriba, cuando son muchos los casos en que la velocidad de publicación de actualizaciones antivirus deja de ser oportuna, las organizaciones financieras tratan de implementar sus propios sistemas de autentificación de clientes para reducir el riesgo y hacer que a los delincuentes les sea muy difícil obtener ganancias con el CrimeWare. 

Y hay que reconocer que estos últimos años las organizaciones financieras han avanzado bastante en la implementación de métodos adicionales de autentificación de clientes. A continuación enumeraremos algunos de estos métodos: 

• Códigos TAN (Transaction Athorization Number, contraseñas que se pueden usar sólo una vez para confirmar una transacción);
• teclados virtuales;
• “fijación” de un cliente a determinada dirección IP;
• preguntas secretas y palabras clave;
• utilización de llaves hardware para la autenticación adicional;
• sistemas biométricos de autentificación.

Pero no nos detendremos a analizar cómo los delincuentes sobrepasan estos obstáculos, porque todos sus métodos están descritos en el artículo mencionado más arriba “Ataques a los bancos”. Sólo haremos hincapié en que existen métodos de evadir la protección que los delincuentes usan con éxito. 

Sin lugar a duda, las medidas adoptadas han complicado la vida de los delincuentes cibernéticos, pero no son una panacea. Las noticias sobre nuevas pérdidas siguen llegando, como si fueran reportajes del frente de guerra: 

• FDIC: sólo en el tercer trimestre de 2009 las compañías americanas perdieron 120 millones de dólares y casi todos los casos de pérdidas estaban relacionadas con códigos maliciosos). English link: computerworld.com;
• UK Cards Association: las pérdidas de los bancos online en 2009 en Inglaterra han crecido en un 14% y fueron de casi 60 millones de libras esterlinas;
• CIA: en 2009 en EEUU los delincuentes robaron a los usuarios más de 500 millones de dólares, suma que duplica a la del año anterior (english link: ic3.gov [PDF 4,77 Mb].

Los datos de Kaspersky Lab del primer semestre de 2010 afirman que la lista de las organizaciones más populares entre los delincuentes es como sigue: 

Tabla 1. Las 10 organizaciones financieras más populares entre los delincuentes. Según los datos de Kaspersky Lab.  

Hace vario años que esta lista prácticamente no sufre modificaciones. 

Los primeros puestos en la estadística los ocupan los bancos brasileros. Las razones fueron analizadas en detalle en el artículo de Dmitry Bestúzhev “ Brasil, tierra rica en bankers ” 

La cantidad de bancos atacados, según nuestros datos, se acerca a 100 en sólo tres meses de 2010. 

De esta manera, a pesar de las medidas tomadas por los financieros para proteger la banca online, los delincuentes cibernéticos encuentran constantemente nuevas vulnerabilidades para conseguir sus ganancias. 

Hagamos un resumen: 

• los delincuentes informáticos inventan nuevos métodos para evadir los medios de autentificación implementados por las organizaciones financieras. Más adelante, el proceso se repite en espiral: defensa, evasión, defensa, evasión…;
• el total de pérdidas causadas por los delincuentes está en constante crecimiento.

¿Existen soluciones efectivas?

Tratemos ahora de responder a la principal pregunta: ¿es posible en las condiciones actuales oponer resistencia al CrimeWare? 

Primero, haremos una lista de los problemas mencionados más arriba, cuya solución es crítica para los bancos y compañías que guardan el dinero de sus clientes: 

• la velocidad de publicación de las bases antivirus (lapso entre la aparición del programa malicioso ITW-ejemplar y el momento en que el usuario recibe la actualización) no responde a las exigencias de los tiempos modernos;
• la cantidad de amenazas dirigidas contra los clientes de las instituciones financieras crece geométricamente;
• los esquemas de protección del cliente ofrecidos por las organizaciones financieras no siempre resuelven el problema del robo de dinero a los clientes en los casos en que el robo se realiza con el uso de programas troyanos.

Se impone la conclusión de que todo está mal: la industria antivirus no es suficientemente rápida, aumentan las actividades de los delincuentes, no siempre es posible proteger eficazmente a los clientes de los bancos, etc. Pero no es así: las tecnologías están en constante desarrollo y hoy en día los líderes del mercado antivirus tienen con qué combatir a los delincuentes informáticos. 

Actualmente, algunos de los participantes del mercado antivirus ya tienen en su arsenal tecnologías in-the-cloud, que permiten detectar y bloquear en tiempo real las amenazas desconocidas y sus fuentes de propagación. Se trata de tecnologías client-server, orientadas al análisis de metadatos sobre las actividades de los programas maliciosos en los ordenadores de los usuarios. Remarcamos que estos datos se envían previo consentimiento de los usuarios y no contienen ningún tipo de información personal. 

Esta tecnología se diferencia de la detección antivirus en que es otro su objeto de análisis. Por una parte, el núcleo antivirus sólo se encarga del análisis directo del objeto en un sistema en concreto (un fichero y su comportamiento en un ordenador dado). En cambio, el análisis de los metadatos remitidos por varios usuarios permite detectar eficazmente y en tiempo real las actividades sospechosas en un conjunto de ordenadores para después bloquearlas junto con su fuente de propagación. En la práctica, los usuarios de esta red distribuida obtienen protección unos pocos minutos después de la aparición de la amenaza. 

De esta manera, el uso de las tecnologías antivirus in-the-cloud tiene una serie de ventajas: 

• la detección operativa al término de unos minutos después de la aparición de la amenaza (a diferencia de las varias horas que se necesitan para actualizar las bases antivirus);
• el significante incremento del nivel de detección de los productos antivirus, ya que a las tecnologías existentes desde hace tiempo se suman nuevas, que como demuestra la práctica, tienen mecanismos muy eficaces para detectar nuevas amenazas;
• la detección y bloqueo operativos, no sólo de las amenazas, sino también de sus fuentes de propagación;
• Además, el uso de estas tecnologías da la posibilidad de lograr una comprensión completa de la situación: cuándo, en qué lugar, quién atacó, qué cantidad de usuarios sufrieron daños, cuántos usuarios estaban protegidos, etc.

¿Qué reciben de todo esto las organizaciones financieras? Estas soluciones tienen la posibilidad de informar automáticamente y en tiempo real a las estructuras financieras sobre la aparición de nuevas amenazas contra sus clientes. En estos informes se pueden mencionar con detalle los parámetros de las amenazas y ofrecer instrucciones para combatirlas. 

También tendrían demanda el servicio de acceso personal de las organizaciones financieras a la así denominada “habitación situacional”. Es un recurso web al que el usuario entra con su login y contraseña para recibir mucho más volumen de información que el contenido en los informes por correo: por ejemplo, cualquier tipo de informes y análisis relacionados con su organización, su región y con las fuentes de ataques a sus clientes. 

Pero es difícil decir que el resultado de la implementación de estos sistemas de notificación e informes es satisfactorio debido a una serie de motivos: 

• No todos los clientes de los bancos tienen instalados un programa antivirus, hecho que no permite hacer un cuadro exacto de los ataques.
• Para que la información pueda ser analizada de una forma centralizada y completa, es necesario que todos los usuarios de la banca online usen un solo producto antivirus, lo que es un objetivo difícil de conseguir.
• Existe también el problema de la confianza: es natural que el servicio de seguridad de cualquier banco, se preocupe al enterarse de que desde los ordenadores de los clientes se enviará cierta información a un centro externo de análisis perteneciente a otra compañía.

Todo esto dificulta en gran manera la detección de los ataques especialmente dirigidos contra los clientes de los bancos. 

Para obtener un panorama completo de las actividades de los delincuentes informáticos contra un banco en particular, me parece razonable que las compañías antivirus y las organizaciones financieras estrechen aún más sus esfuerzos conjuntos. 

• Para abarcar el mayor número posible de usuarios de banca online, es necesario integrar en el software-cliente una solución de detección de actividades maliciosas. Al mismo tiempo, con esto no se recopilarán datos personales de los clientes de la banca online, y la implementación de este servicio puede hacerse como parte de la política de seguridad, lo que en el futuro permitiría a los bancos reducir sus gastos en seguros, compensaciones y multas.
• Los centros de análisis primario de las amenazas podrían estar bajo el control de los servicios de seguridad bancarios, lo que les permitiría encargarse del análisis en caso de necesidad. Departamentos TI de este tipo ya existen en las estructuras de las grandes corporaciones financieras. Al tener el control total sobre los datos recibidos, los servicios de seguridad pueden decidir por sí mismos qué información entregar a las empresas antivirus. Es preciso comprender que la organización de este tipo de centros de análisis dentro de las organizaciones financieras tiene sentido sólo si ésta desea controlar el flujo de datos transmitidos y ocuparse del análisis de los ataques. Esta solución es más atractiva para las grandes empresas por la razón aducida más arriba, es decir, porque poseen departamentos TI que se ocupan del análisis de los ataques lanzados por los programas maliciosos.
• Los usuarios de la banca online recibirían de los centros de análisis información sobre el bloqueo de las nuevas amenazas detectadas y de sus fuentes.

De esta manera, una interacción más estrecha entre las compañías antivirus y las organizaciones financieras en la lucha contra la delincuencia permitiría matar dos pájaros de un tiro. Con este sistema, las organizaciones financieras minimizarían el riesgo y reducirían sus gastos en caso de incidentes. Esta alianza permitiría a las compañías antivirus contrarrestar con más eficacia los ataques. 

El apoyo del estado

Hasta el presente, hemos considerado como participantes en la lucha contra la delincuencia informática sólo a las compañías antivirus y financieras. Pero hay un participante más que, al parecer, a pesar de tener todas las posibilidades, por el momento no toma suficiente parte en la lucha. Me refiero al estado. 

Lo que pasa es que sin el apoyo del estado es casi imposible vencer a los delincuentes, sobre todo si se toma en cuenta la existencia de límites entre países complica mucho la captura de los delincuentes cibernéticos, mientras que la ausencia de fronteras en Internet les da a éstos una completa libertad de acción. Por ejemplo, ¿qué posibilidades tiene un banco coreano de clausurar rápidamente un hosting en Brasil, pasando por todos los procedimientos estatales? ¿O un banco brasileño de cerrar un hosting malicioso en China? La respuesta es evidente: sin mecanismos eficaces de interacción entre los servicios de inteligencia de diferentes países es difícil vislumbrar una resistencia exitosa contra la delincuencia informática y esta lucha recuerda más bien un tira y afloja: tan pronto como aparecen nuevas tecnologías contra la delincuentes informáticos, éstos crean nuevos métodos para evadirlas. Y todo empieza de nuevo. 

Abajo citamos la geografía de la distribución de los hostings maliciosos que propagaron programas maliciosos financieros en el primer trimestre de 2010 (tabla 2). 

Tabla 2. Los 10 países desde donde se descargan programas maliciosos con más frecuencia. Datos obtenidos mediante Kaspersky Security Network (KSN).  

Conclusión

Hemos descrito algunas de las dificultades con las que se enfrentan las organizaciones financieras en la lucha contra los delincuentes informáticos que roban dinero a los clientes de la banca online. También examinamos una de las posibles vías de solucionar el problema. 

La solución propuesta puede aplicarse no sólo a la banca online. Con la misma eficacia se puede hacer un seguimiento de los ataques a los usuarios de juegos online, los sistemas de dinero electrónico y puntos de cambio de divisas virtuales (hacemos hincapié en que los ataques a estos sistemas se registran con más frecuencia que los ataques a los sistemas de banca online). 

Y, sin lugar a dudas, hay que mencionar la política del estado en este campo, porque sin ayuda del estado toda la lucha contra la delincuencia informática se realizará con éxito intermitente. Mientras no existan mecanismos de comunicación operativa e inmediata con los servicios estatales de inteligencia, el problema seguirá sin solución.

La Guardia Civil hispana anunció la operación hoy en un comunicado, indicando que se había detenido a tres personas.

Los detenidos gestionaban el ‘botnet’ (red de computadoras infectadas y controladas a distancia) llamado Mariposa. Está previsto que el miércoles se celebre una rueda de prensa para proporcionar más información.

Mariposa había infectado computadoras de 190 países, a más de la mitad de las 1.000 empresas más grandes del mundo y al menos a 40 grandes instituciones financieras, según dos empresas de seguridad informática que colaboraron con el Grupo de Delitos Telemáticos de la Guardia Civil, la española Panda Security y la canadiense Defence Intelligence.

“Era muy duro, pensamos ‘Tenemos que apagarlo. Tenemos que cortarle la cabeza’”, indicó Chris Davis, consejero delegado de Defence Intelligence, que descubrió el virus el año pasado. El directivo añadió que la red de ordenadores se apagó el pasado 23 de diciembre.

El virus estaba programado para robar todas las claves de registro y guardar todas las pulsaciones de teclas de las computadoras infectadas, enviando después los datos a un “centro de mando y control” en el que los responsables almacenaban los datos.

“Básicamente, estaban detrás de cualquier cosa que pudiera darles dinero”, explicó Davis.

Al principio, Mariposa se extendió aprovechando una vulnerabilidad en el navegador Internet Explorer de Microsoft.

También contaminó máquinas infectando memorias USB.

El hombre intervino el complejo sistema de servidores de Novorossiysk, Grozny y Moscú. El detenido usaba el sobrenombre de “Igor” y declaró “que sólo quería divertir a los moscovitas”.

Igor es fanático de la pornografía y experto en piratería informática. Atacó el servidor de la empresa de publicidad dueña de la pantalla desde la ciudad de Novorossiysk para proyectar una caliente película latinoamericana en el centro de Moscú y después la subió a internet.

Su vida es bastante insulsa. Tiene 40 años, no está casado y lee revistas para adolescentes.

— ¿Lees Hacker  y dices que no eres pirata?, le preguntaron.
— No, es una revista vieja, respondió.

En su apartamento, un cuarto pequeño y estrecho, hay dos CPU y dos monitores. En sus archivos se encuentran cientos de películas pornográficas, de entre las cuales eligió una y la puso en lugar de la publicidad de una marca de reloj.  Ahí comenzó el escándalo. En el centro de la capital rusa la pantalla gemía de placer. Los testigos —taxistas y demás conductores— empezaron a grabar el video con sus teléfonos móviles.

En el interrogatorio contestó:

— Bueno, has visto esta película antes?
— Sí, la he visto.
— ¿Te gusta?
— Sí, más o menos.
— Pues, ¿qué es lo que no te gusta?
— La mujer no es tan caliente.
— ¿No es hermosa?
— Está bien, lo es.

Para encontrar al bromista los propietarios de la pantalla llamaron a la brigada informática de la policía. Ellos buscaron al hacker durante casi un mes, pero éste borraba sus huellas. Por ese motivo, la primera pista de la policía los condujo a Chechenia y luego a Grozny. Allí todo se aclaró.

El pirata informático intervino el servidor de una organización en Grozny porque estaba seguro de que los policías nunca irían al Cáucaso.

“Nuestros agentes de inmediato partieron a Grozni, donde una organización fue hackeada y sus empleados estaban muy sorprendidos”, dijo el representante oficial de la policía informática, Irina Zubarev.

Después de esto, rápidamente encontraron al hombre, el cual confesó:

— ¿Por qué pornografía y no dibujos animados? ¿Por qué una película con contenido pornográfico?
— Quería divertir a la gente.
— ¿Fumaste algo antes?
— Tomé una cerveza.

Los daños causados por las actividades piratas de este hombre se estimaron en cientos de miles de dólares e incluso hay víctimas humanas: un conductor de edad avanzada se sintió mal al ver la película erótica.

El delincuente podría ser condenado a 3 años de prisión.

RT | Rusia | 16 de febrero 2010 | 12:38

Tal vez sí. Pero el problema con el llamado de Clinton para la rendición de cuentas y normas sobre la red mundial – una llamada que se oye con frecuencia en las discusiones políticas sobre la seguridad cibernética – es la enorme cantidad de ciberataques procedentes de los Estados Unidos. Hasta que reconozcamos a estos ataques y la señal de cómo podemos luchar contra ellos, no podemos avanzar en la prevención de ciberataques procedentes de otros países.

Un arma importante en el arsenal de ataque cibernético es una botnet, un grupo de miles ya veces millones de computadoras comprometidas bajo el control remoto final de un maestro “.” Las redes de bots estuvieron detrás de ataque del pasado verano en Corea del Sur y los sitios web del gobierno estadounidense, así como los ataques destacados hace unos años en los sitios de Estonia y Georgia. Son también los motores de spam que puede ofrecer malware destructiva que permite el espionaje económico o el robo.

Los Estados Unidos tiene la mayoría, o casi la mayoría de los, las computadoras botnet infectado y es así el país en el que una buena parte de los ataques botnet madre. El gobierno podría acabar con las botnets, pero hacerlo sería aumentar el costo del software o de acceso a Internet y sería polémica. Así que no se ha pronunciado, y el número de ataques de botnets peligrosos de América crece.

Los Estados Unidos es también una fuente principal de “hacktivistas” que utilizan las herramientas digitales para luchar contra regímenes opresivos. Decenas de personas y grupos trabajan en el diseño computer payloads   para atacar sitios Web del gobierno de Estados Unidos, los sistemas informáticos y herramientas de la censura en Irán y China. Estos esfuerzos son a menudo apoyados por fundaciones y universidades de EE.UU., y por el gobierno federal. Clinton se jactó de este apoyo siete párrafos, después de quejarse acerca de ataques cibernéticos.

Por último, el gobierno de EE.UU. tiene quizás el más poderoso y sofisticado sistema de capacidad de ataque cibernético ofensivo del mundo. Esta capacidad sigue siendo altamente clasificada. Pero el New York Times informó que el gobierno de Bush utilizó los ataques cibernéticos en teléfonos celulares y computadoras insurgentes en Irak, y que aprobó un plan para atacar a los equipos relacionados con el programa nuclear de Irán. Y el gobierno es, sin duda hacer mucho más. “Hemos guerreros de EE.UU. en el ciberespacio que se despliegan en el extranjero” y “vivir en las redes de adversario”, dice Bob Gourley, el ex jefe de tecnología de la Agencia de Inteligencia de Defensa.

Estos guerreros están ahora bajo el mando del teniente general Keith Alexander, director de la Agencia de Seguridad Nacional. La NSA, el más poderoso del mundo, las señales de los organismos de inteligencia, es también en el negocio de forzar la extracción de datos de los sistemas informáticos del enemigo extranjero y de participar en ataques informáticos que, en palabras de la NSA “, interrumpir, negar, degradar o destruir la información “que se encuentra en estos sistemas. Cuando la administración de Obama creó comando “ciber” el año pasado para coordinar las capacidades de ciber EE.UU. ofensiva, nominado Alexander a estar a cargo.

En pocas palabras, los Estados Unidos está en una gran forma de hacer las cosas de la cual Clinto criticaba. No estamos, como los chinos, el robo de propiedad intelectual de las empresas de EE.UU. o de última hora en las cuentas de los defensores de la democracia. Sin embargo, estamos utilizando las técnicas agresiva mismo equipo o similar para fines que consideren dignos.

Nuestra potente ofensiva de las ciber operaciones van más allá de la hipocresía inherente a la condena de los ataques cibernéticos que se obvian. Incluso si pudiéramos detener todos los ataques cibernéticos de nuestro suelo, no quisiéramos. En el lado privado, el hacktivismo puede ser un instrumento de liberación. En el lado público, la mejor defensa de los sistemas informáticos críticos a veces es un buen ataque. “Mi propia opinión es que la única forma de contrarrestar tanto penales como línea de actividad de espionaje es ser proactivo”, dijo Alexander el año pasado, agregando que si los chinos se encontraban dentro de los sistemas informáticos críticos EE.UU., que “se quiere ir e identificar la fuente de esos ataques. ”

Nuestros adversarios son conscientes de nuestra prodigiosa y creciente capacidad ofensiva cibernética y exploits. En una encuesta publicada el jueves por la empresa de seguridad McAfee, expertos en tecnología, y  las empresas de infraestructuras más críticas en todo el mundo expresaron su preocupación por los Estados Unidos como una fuente de ataques a redes informáticas de cualquier otro país. Esta toma de conciencia, junto con nuestra vulnerabilidad a los ataques cibernéticos, son combustibles para un peligroso público y una ciber carrera privada  de en un escenario donde el delito ya tiene una ventaja natural.

Todo el mundo está de acuerdo en la necesidad de poner freno a esta carrera por la creación de normas de buen comportamiento de la red. Pero al igual que Clinton, los políticos ciberseguridad EE.UU. están en el hábito de pensar demasiado sobre los que atacan a nosotros y muy poco acerca de nuestros ataques a los demás. La creación de normas para frenar los ataques cibernéticos es bastante difícil porque las identidades de los atacantes son difíciles de determinar. Pero otro gran obstáculo es la negativa del gobierno federal para reconocer más plenamente muchas de sus actividades cibernéticas ofensivas, o de proponer que estas actividades pueden reprimir a cambio de concesiones recíprocas por parte de nuestros adversarios.

** Jack Goldsmith enseña en la Harvard Law School y está en tareas de la Hoover Institution de la Fuerza de Seguridad Nacional y Derecho. Era un miembro de un comité de las Academias Nacionales 2009 que se publicó el informe “Tecnología, Política, Derecho, Ética y EE.UU. En cuanto a la adquisición y el uso de capacidades de ataque cibernético.”

Washington Post (Estados Unidos)

“Iranian Cyber Army

THIS SITE HAS BEEN HACKED BY IRANIAN CYBER ARMY

iRANiAN.CYBER.ARMY@GMAIL.COM

U.S.A. Think They Controlling And Managing Internet By Their Access, But THey Don’t, We Control And Manage Internet By Our Power, So Do Not Try To Stimulation Iranian Peoples To….

NOW WHICH COUNTRY IN EMBARGO LIST? IRAN? USA?
WE PUSH THEM IN EMBARGO LIST
Take Care.”

Ellos “simplemente” hackearon a los registradores (dyndns) y modificaron sus entradas de DNS.

Ayer la pagina oficial de Baidu, el motor de busqueda  n°1 en China, fue desfigurado o  defaced por el mismo atacante y el mismo método , pero esta vez register.com fue el objetivo vulnerable.

De acuerdo AFP, el sitio contenía el siguiente mensaje en persa:

“En reacción a la intervención de las autoridades US en los asuntos Internos de Irán. Esto es una Advertencia”.

Según The Media Line, algunos sitios de gobierno de Irán fueron tumbados en respuesta al hijacking por hackers Chinos.

Estos ataques en registradores no son nada nuevos,  zone-h publico algunos artículos el año pasado sobre su incremento

http://www.zone-h.org/news/id/4708
http://www.zone-h.org/news/id/4695

Esta es la captura de pantalla del defacement de baidu.com

Vínculos de interés’

http://garwarner.blogspot.com/2009/12/who-is-iranian-cyber-army-twitter-dns.html

Who is the “Iranian Cyber Army”? Twitter DNS Redirect

http://garwarner.blogspot.com/2010/01/iranian-cyber-army-returns-target.html

Iranian Cyber Army returns – target: Baidu.com

http://garwarner.blogspot.com/2010/01/minipost-cnircyberwar.html

The Chinese hacker groups response to the hijacking

Tras una extensa investigación, la unidad de Cibercrimen de la Policía de Investigaciones, detuvo a cuatro personas acusadas de extorsión y hackeo de varios sitios web de la región. De acuerdo a los antecedentes entregados por la PDI esta mañana, se trata de dos arquitectos, un ingeniero civil y un estudiante de medicina, quienes operaban desde Valparaíso y una ciudad en Argentina para cometer los delitos.

De acuerdo a los primeros datos, los cuatro individuos serían responsables de intervenir maliciosamente (“hackear”) los sitios web del Gobierno Regional, la municipalidad de Valparaíso y otros. También la PDI le atribuyó al grupo responsabilidad en un intento de extorsión, ya que le habrían exigido a una persona el pago de un millón de pesos a cambio de no publicar una fotos comprometedoras en internet.

Las cuatro personas serán sometidas esta mañana al proceso de formalización, en el cual el Ministerio Público entregará más antecedentes.

Fuente: El Mercurio de Valparaiso.

http://www.mercuriovalpo.cl/

La práctica de los ciberdelitos está tan extendida que podría incluso superar los ingresos del tráfico de drogas internacional, según un informe que ha hecho público hoy Sysmantec sobre el mercado negro de Internet, donde los ciberdelincuentes pueden comprar, vender, intercambiar y comercializar técnicas delictivas, herramientas e información personal de los usuarios con el ánimo de lucro como único propósito.

Los actuales ciberdelincuentes obtienen sus beneficios de la información personal de los internautas. Las tarjetas de crédito son su objetivo principal (32% de los casos) y la información que éstas contienen se vende en el mercado negro incluyendo la fecha de caducidad, el nombre del titular, la dirección de facturación y la clave PIN. La información confidencial de las cuentas bancarias las siguen de cerca, representando el 19% de todos los bienes anunciados para su venta. Al comienzo, la intención del ciberdelincuente era crear caos y destrucción, elaborando virus que le diese notoriedad, no dinero. Pero actualmente las amenazas online son muy diferentes de las propagaciones virales originales. Los ciberdelincuentes solo desean hacer dinero. De hecho, un 78% de los ataques incluye un componente financiero. Para ello, los delincuentes se valen de un programa que detecta las teclas pulsadas. Se trata de un software que trabaja en un segundo plano en nuestro ordenador para grabar las teclas que el usuario pulsa en el teclado, y por consiguiente, sus claves de acceso y la información confidencial de cuentas bancarias y contraseñas.

Aumento de mensajes spam y «phising»

Más de nueve de cada diez correos electrónicos son fraudulentos y este tipo de mensajes sigue utilizándose porque funciona. Los usuarios ofrecen información sobre sus cuentas, solicitan productos farmacéuticos o se apuntan a planes sin valor para trabajar desde casa. Según el Informe sobre el Estado de Phising de Symantec, los ataques de phising, los correos electrónicos falsos y las formas de fraude online que juegan con nuestros gustos, emociones y preocupaciones, así como otros engaños que intentan hacer que los consumidores ofrezcan datos personales, están aumentando un 20% mensualmente. Los ciberdelincuentes saben cómo utilizar los mecanismos de «ingeniería social» para engañarnos y bajar nuestras defensas utilizando, por ejemplo, casos de catástrofes como la sucedida recientemente en Haití.

Aproximadamente uno de cada siete jóvenes de edades comprendidas entre los 10 y los 17 años, ha recibido alguna propuesta de tipo sexual a través de Internet. Al contrario de los ciberdelitos financieros, con un delito de depredación, se puede llegar a poner en peligro la identidad física de la víctima.

Autor:
O. Suárez | Redacción digital

http://www.lavozdegalicia.e

“De los miles de casos que hemos investigado, el público sólo conoce unos pocos”, dijo Shawn Henry, subdirector de la División Cibernética del Federal Bureau of Investigation (FBI). “Hay casos de millones de dólares que nadie conoce”, agregó el martes en una entrevista con Reuters.

Las compañías que son víctimas de ciberdelitos son reacias a denunciarlos ante el temor de que la publicidad dañe su reputación, ahuyente a los clientes y afecte sus beneficios. A veces no comunican los delitos al FBI en absoluto. En algunos casos esperan tanto que es difícil rastrear pruebas.

“Ocultar la cabeza bajo tierra a la hora de denunciar un informe implica que los malos van a golpear al próximo tipo, y al próximo después”, dijo Henry.

El problema del ciberdelito se ha acrecentado durante los últimos tres años porque los hackers han cambiado sus métodos de ataque ya que las compañías han reforzado su seguridad, observó.

“Absolutamente, se ha hecho más grande, sí, absolutamente”, declaró. Esto se debe a que internet está creciendo rápidamente como una herramienta para el comercio. Conforme lo hace, consumidores y empresas por igual exponen datos valiosos como sus planes de negocio, números de tarjetas de crédito, información bancaria y números de la Seguridad Social.

Objetivos fáciles

Los ciberdelincuentes están buscando más allá de las grandes compañías, que en los últimos 10 años han impulsado la seguridad en sus redes con productos desde software de firmas como Symantec, McAfee y Trend Micro. Cisco Systems, International Business Machines y Websense también venden productos para proteger las redes informáticas. En su lugar, los delincuentes atacan a pequeñas y medianas empresas que no tienen la intención, dinero o experiencia para evitar los ciberdelitos.

También atacan a ejecutivos corporativos y a otras figuras públicas adineradas que son relativamente fáciles de rastrear utilizando documentos públicos. El FBI persigue estos casos, aunque rara vez trascienden. El 4 de noviembre, el FBI advirtió de que una serie de importantes casos de fraude que implican el robo de credenciales bancarias online propiedad de pequeñas y medianas empresas, gobiernos locales y distritos escolares. En este caso, como en otros, personas contratadas mediante planes de trabajo desde sus casas fueron utilizadas para trasladar el dinero al extranjero.

Enfoque Seguro

VÍA: Indetidad Robada

Todo es cuestión de ganas, y si las hay ni la edad ni la preparación académica pueden impedir que hagas lo que quieras, incluso cuando no es del todo legal.  Desde España nos enteramos que la Guardia Civil, en una operación desarrollada en Catalunya, han imputado a un menor de 16 años, como presunto autor de un delito de daños en sistemas informáticos al haber infectado miles de computadoras de distintos países con el objetivo de dominarlos y lanzar ataques masivos a determinadas páginas web.

Las investigaciones se iniciaron tras recibir una denuncia del administrador de la página web elhacker.net en la que manifestaba que su página había quedado anulada durante varios días como consecuencia de un incremento masivo de visitas, muy por encima de lo habitual, y seguramente provocadas con esta intención, lo que se conoce como ataque DDos (Distibuted Denial of Service).

Los contenidos de esta página, así como la gran mayoría de las personas que colaboran en ella, programadores y administradores de sistemas, tienen como objetivo contribuir a extender sus conocimientos y experiencias en torno a la seguridad de las redes en distintos ámbitos, tanto particulares como empresariales.

De las investigaciones, los agentes dedujeron que una persona que utilizaba en la red el nick n3puntun0 había desarrollado un virus aprovechándose de los fallos de seguridad en el protocolo UDP para infectar a los ordenadores. De esta manera, conseguía dominar los ordenadores y así iniciar, cuando él lo decidiese, visitas masivas a las páginas elegidas.

Además de esta web, la Guardia Civil constató ataques en los que se estaba llevando a cabo el mismo procedimiento a otras páginas, fundamentalmente a foros y servidores dedicados al juego denominado San Andreas. El menor colgaba un vídeo en YouTube con frases atractivas para captar la atención del internauta, y de esta forma conseguía que el usuario se descargase el contenido y automáticamente resultaba infectado.

Este virus tenía la peculiaridad de poder propagarse por conducto de programas como Messenger o Fotolog. Una vez infectados con el virus, el menor pasaba a dominar los PC a su antojo con la intención de realizarvisitas masivas a las páginas que quería atacar, colapsando los servidores de las mismas.

El menor, que carecía de cualquier instrucción académica en esta especialidad, venía desarrollando sus conocimientos desde los 13 años de modo individual y autodidacta. El menor fue puesto a disposición de la Fiscalía de Menores de Santa Cruz de Tenerife.

Enfoque Seguro

VÍA: 20minutos

Desde el miércoles 18 de noviembre se han enviado millones de mensajes de correo electrónico con falsas peticiones de pago. En estos correos se solicita a clientes de banca online que abonen una cantidad pendiente de pago o bien que utilicen una herramienta adjunta para declinar dicho abono.

El adjunto “module.zip” contiene un archivo ejecutable que instala un troyano en el PC con el objetivo de registrar los números de tarjetas de crédito y de acceso a banca online. Además, el Trojan.Win32.Sasfis.vbw se conecta a servidores en Ucrania y Estados Unidos para descargar la información e instalar nuevo malware. Se han enviado estas falsas peticiones de pago en nombre de multinacionales como Microsoft, Citrix, Delta Airlines, Starbucks, Yahoo, Novell, Negro & Decker o Avis.

El modus operandi

La víctima recibe un correo electrónico con una solicitud de pago emitida por alguna empresa multinacional sobradamente conocida, entre ellas Microsoft, NBC Universal, Black & Decker, Steinway & Sons, Airways, Delta o Avis.

El correo electrónico incluye un programa adjunto llamado «modulo.exe» en un archivo zip que el usuario debe ejecutar para cancelar el mencionado pago. El archivo en cuestión resulta ser un caballo de troya que se introduce en el sistema, ejecuta operaciones en un segundo plano y facilita la descarga de nbuevo código malicioso. Una función como puerta trasera pondrá el equipo bajo el control de los estafadores, que podrán utilizarlo para todo tipo de actividades ilegales.

Enfoque Seguro

VÍA: Noticiasdot