NEUTRALIDAD EN LA RED

La neutralidad en la red, el principio que garantiza que todos los contenidos que circulan por internet viajen a la misma velocidad, consiguió una “nueva vida” luego de que el Senado de Estados Unidos aprobara una resolución que busca revertir su abolición, una decisión que fue celebrada por especialistas.

La entrada en vigencia del fin de este principio había sido pautada para el 11 de junio, según anunció a principios de mayo la Comisión Federal de Comunicaciones (FCC) de Estados Unidos, luego de que su iniciativa contra la neutralidad en la red fuera aprobada por mayoría republicana el 14 de diciembre pasado.

En esa oportunidad el titular de la FCC, Ajit Pai, se impuso en un contexto de fuertes críticas con su proyecto para eliminar un conjunto de reglas que regían desde 2015 -bajo la administración de Barack Obama- para garantizar que la red sea neutral.

Senado de los Estados Unidos

Pero la semana pasada, el Senado de Estados Unidos votó a favor de restablecer ese principio con el apoyo de todo el bloque demócrata y tres votos republicanos, lo que resultó en un recuento final de 52-47, mediante un mecanismo del Congreso para revertir decisiones de agencias federales (CRA).

Ahora, el debate se trasladará a la Cámara de Representantes, donde los demócratas necesitarán el apoyo de 25 republicanos, pero la última palabra la tendrá el presidente de Estados Unidos, Donald Trump.

El mandatario deberá sellar con su firma la iniciativa en caso de que prospere, aunque la prensa estadounidense especula con que Trump ejercerá su poder de veto.

La nueva oportunidad que consiguió la neutralidad en la red despertó el entusiasmo de diferentes actores en el ecosistema de internet y uno de ellos fue Edison Lanza, relator especial para la libertad de expresión de la Comisión Interamericana de Derechos Humanos, quien publicó en su cuenta de Twitter: “Es una muy buena noticia para conservar internet libre y abierta”.

ALERTA! Puerta trasera ‘abierta’ en mails

Un grupo de investigadores europeos encontró una falla de seguridad que deja la puerta abierta para que un atacante pueda acceder al contenido de mails cifrados con los populares protocolos PGP y S/MIME.
A través de una investigación publicada hoy, los autores denominaron “Efail” a la vulnerabilidad que pondría en jaque la capa adicional de seguridad que brindan estos métodos, al poder convertir en “texto plano” (sin ningún formato) el contenido de mails cifrados.

“PGP” es el acrónimo de Pretty Good Privacy, una tecnología de cifrado de datos que tiene más de 20 años y es usada, entre otros, por el ex-empleado de la NSA Edward Snowden.

  1. Mientras que “S/MIME” representa un estándar de cifrado y firmado de mails. Si bien la vulnerabilidad no afecta el protocolo central de ambas tecnologías, sí se aprovecha de una forma en que los clientes de mail (como Thunderbird, Outlook y Apple Mail) usan el código HTML en los correos.
  2. “La causa de la vulnerabilidad radica en cómo implementan los clientes de correo electrónico la interfaz entre PGP, el correo y el usuario”, explicó a Télam Federico Kirschbaum, especialista en ciberseguridad y uno de los fundadores de la conferencia de seguridad informática Ekoparty. Además se trata de una vulnerabilidad que requiere de varios pasos para lograr que un atacante intercepte los correos electrónicos encriptados.
  3. No obstante, despertó la atención porque se trata de una falla relacionada con una de las tecnologías de cifrado de mails más usadas en el mundo.
  4. “Esta vulnerabilidad no significa que PGP (por sí misma) sea insegura”, aclaró Kirschbaum, y agregó que el punto crítico en realidad está puesto en cómo los clientes de correo implementan esta tecnología.
  5. De acuerdo con la investigación, si un atacante puede interceptar los correos electrónicos encriptados mientras viajan a través de Internet -o robarlos desde la computadora de la víctima- es posible que pueda descifrarlos.

Para hacerlo, necesitaría modificar esos mails encriptados insertando en ellos código HTML (por ejemplo, cuando en el mail aparecen imágenes o hipervínculos) y luego enviárselos de nuevo a la víctima.

Esa técnica, de acuerdo con los investigadores, es la que engaña a algunos clientes de mail (como Outlook, Apple Mail y Thunderbird) y sus complementos PGP (Gpg4win, GPG Tools y Enigmail, respectivamente) para poder darle acceso a los atacantes a los contenidos descifrados en los correos originales.

En Google fijan “advertencias” por la Inteligencia Artificial

El cofundador de Google, Sergey Brin, advirtió que el boom de la inteligencia artificial (IA) creó un “renacimiento tecnológico”, a la vez que advirtió sobre “las muchas amenazas potenciales” que contiene, si bien la plataforma la usa en diversas herramientas.

“La nueva primavera en IA es el desarrollo más importante en la informática. Cada mes hay aplicaciones nuevas y sorprendentes y nuevas técnicas transformadoras”, pero “estas poderosas herramientas también traen consigo nuevas preguntas y responsabilidades”, escribió en la carta de fundadores que cada año publica la compañía Alphabet, propietaria de Google.

Brin enumeró algunas de las muchas maneras en que la IA se utiliza para impulsar los servicios y las empresas de Alphabet: analiza imágenes en Google fotos, traduce más de 100 idiomas en la plataforma, alimenta los sistemas de navegación en los autos sin conductor de Waymo, e incluso ayuda a diagnosticar enfermedades y descubrir nuevos sistemas planetarios, dijo.

Para el directivo la IA también plantea una serie de problemas “desde los temores de la sensibilidad del estilo de ciencia ficción hasta las preguntas a más corto plazo, como la validación del rendimiento de los autos sin conductor”.

Brin señaló que Alphabet está “reflexionando seriamente sobre varios de estos problemas, incluida la forma en que la IA afectará el empleo, los desafíos de hacer algoritmos imparciales y transparentes, y el temor de que esta tecnología se use para ‘manipular personas'”, escribió el empresario.

Sin embargo, el ejecutivo no mencionó un uso controvertido de la IA que es particularmente relevante para Alphabet: las aplicaciones militares, consignó The Verge.

A principios de este año se reveló que Google estaba ayudando al Pentágono a desplegar herramientas de aprendizaje automático para analizar secuencias de videovigilancia de drones. La firma explicó que la tecnología es solo para “usos no ofensivos”, pero miles de empleados de Google exigieron que la empresa se retire del proyecto.

“Si bien soy optimista sobre el potencial de aplicar la tecnología a los mayores problemas del mundo, estamos en un camino que debemos recorrer con profunda responsabilidad, cuidado y humildad”, concluyó Brin.

Facebook priorizará los medios más fiables

No bastará con tener una gran audiencia o estar registrado como medio, Facebook quiere medir la confianza que desprenden los medios para dar prioridad a su contenido en la portada de su red social. A partir de este viernes, los más de 2.000 millones de perfiles activos del servicio verán un 4 por ciento de contenido generado por páginas profesionales en lugar del actual 5 por ciento.

A partir de la semana que viene, los usuarios tendrán un papel relevante a la hora de escoger qué medios son los que tienen más preponderancia. Facebook les preguntará cuánto confían en un medio, haciendo hincapié en los medios locales y las fuentes empleadas.

Mark Zuckerberg anunció los primeros cambios para dar más relevancia a lo publicado por amigos y familiares en detrimento de las páginas oficiales de marcas y medios de comunicación: “Siguiendo con la meta de 2018, queremos asegurarnos de que el tiempo en Facebook sea un tiempo bien empleado”.

Nuevo mensaje

En un nuevo mensaje en su muro explica que le obsesiona la información de calidad. “Hay demasiado sensacionalismo, desinformación y polarización en el mundo”, remarca como apoyo a una decisión que mueve un poco más el oleaje en que viven los medios .

“Las redes sociales permiten que se difunda la información más rápido que nunca, pero si no asumimos estos problemas vamos a terminar por ampliarlos”, sostiene.

Más afectados

El cambio no sólo afecta a las páginas de medios, sino también a los enlaces que usuarios particulares pongan en su muro.

Al igual que hace Google al ponderar el valor de un medio o página para hacer que aparezca antes un dominio u otro, el denominado Google Rank, Facebook creará su propio sistema de valoración para dar más visibilidad o menos según la fiabilidad que su nuevo sistema decidan que tenga. Como en el caso de Google, no se aportan las cantidades ni ingredientes para descubrir su salsa secreta, como les gusta llamar en Silicon Valley a las fórmulas de éxito.

Según los cálculos del fundador, la cantidad de noticias va a disminuir a un 20 por ciento. En el último año, la relación entre los medios y Facebook se ha enturbiado, especialmente en el plano político, donde se las ha acusado de tener un sesgo a favor tanto de republicanos como de demócratas. Facebook sostiene que este cambio y su modelo de ponderación se basará en datos objetivos, pero no se tendrá en cuenta el tamaño de los medios o su tendencia política.

La decisión de delegar en la comunidad pretende aportar objetividad a la decisión: “Hemos decidido que sean los usuarios los que decidan ampliamente que es lo más objetivo”.

No mostrarán resultados. El directivo subraya que no van a mostrar los resultados de las encuestas, pues no daría una versión real de todo el proceso.

Ítems a tomar en cuenta. Son varios los puntos que tendrán peso en este sistema valoración de la encuesta como el título, quién lo escribe, de quién habla y otros.

Los con mejor opinión . Los medios de comunicación con mejor opinión contarán con una posición privilegiada de sus noticias en el “feed” de los usuarios, generalmente apareciendo más arriba que otros medios con un grado de confianza inferior.

Ene, 24-2018

Cyberseguridad en el transporte aéreo

La industria del transporte aéreo tiene a la ciberseguridad como una de su principales prioridades, con el 95% de las aerolíneas y el 96% de los aeropuertos invirtiendo recursos en los principales programas de ciberseguridad durante los próximos tres años.

Sin embargo, la investigación lanzada hoy por el proveedor global de TI SITA muestra que todavía hay margen de mejora con solo un tercio de los directivos de las aerolíneas, y un quinto de los aeropuertos, tienen una ciberseguridad completamente integrada en sus planes comerciales.

Hablando hoy en una reunión de líderes de la industria del transporte aéreo europeo, Bárbara Dalibard, CEO de SITA, destacó que si bien la ciberseguridad es la prioridad número uno para casi todas las aerolíneas y aeropuertos, exige más atención y debe ser mayor en las agendas de los directivos de la industria.

Dalibard dijo: “Los recientes ciberataques globales demuestran los riesgos y la necesidad de un enfoque proactivo. La industria del transporte aéreo está altamente conectada y depende de los socios. Debemos trabajar como una comunidad para luchar contra la amenaza global a la ciberseguridad. Si bien nos complace ver un aumento del 46% en el número de aerolíneas preparadas para lidiar con las principales amenazas cibernéticas durante el año pasado, aún queda mucho por hacer”.

“La industria debería pasar de lidiar con amenazas cibernéticas comunes a estar preparada para las más importantes. Como proveedor de tecnología y siendo propiedad de miembros de la industria, SITA se compromete a invertir y liderar el esfuerzo comunitario para maximizar la ciberseguridad. Juntos podemos aumentar las defensas de la industria y asegurarnos de que estamos un paso por delante de cualquier amenaza”, agregó.

SITA ha llevado a cabo una investigación exhaustiva sobre el nivel de madurez de ciberseguridad en las líneas aéreas y los aeropuertos en la lucha contra esta amenaza global. Los resultados muestran que hay niveles muy altos de conciencia de seguridad entre el personal de las líneas aéreas (82%) y aeropuertos (85%). Este año, más allá de la protección de la ciberseguridad, la industria se está enfocando en la detección de amenazas y la gestión de respuestas.

Los CIOs del 69% de las aerolíneas y 47% de aeropuertos ya están implementando eventos de seguridad y monitoreo de correlaciones, mientras que la administración de respuesta a incidentes de seguridad se está implementando en el 77% de las aerolíneas y 60% en los aeropuertos.

Dalibard agregó: “Las aerolíneas y aeropuertos están construyendo sus defensas críticas y se preparan para enfrentar las amenazas comunes, pero todos debemos llevarla al nivel más alto e integrar la ciberseguridad a nivel ejecutivo y directivo. Juntos debemos identificar, detectar y reaccionar frente a amenazas cibernéticas y proteger los activos de la industria contra ataques”.

Una vez identificado el desafío, SITA se asoció con Airbus a principios de este año para abordar las distintas inquietudes de la industria del transporte aéreo y creó el Centro de Operaciones de Seguridad de Aviación (SOC) de Ciberseguridad, el único existente en esta materia. Actúa como una torre de control cibernética con una combinación integrada de procesos, personas y tecnología para detectar, analizar, responder e informar sobre incidentes de seguridad cibernética.

Markus Braendle, director de Airbus Cybersecurity, dijo: “La industria del transporte aéreo tiene desafíos únicos de ciberseguridad debido al uso variado y creciente de puntos finales inteligentes en una infraestructura ampliamente distribuida. La transformación digital está permitiendo a la industria del transporte aéreo ofrecer mejores servicios a sus clientes, pero aumentando su exposición a amenazas. Juntos, SITA y Airbus CyberSecurity aportan experiencia y soluciones para ayudar a las aerolíneas y aeropuertos a monitorear sus activos digitales para detectar y responder a incidentes”.

El SOC es parte de una cartera más amplia de productos y servicios de SITA que ayudan a las aerolíneas y aeropuertos a identificar amenazas y protegerse, detectar y responder a ciberataques.

SITA también opera el Centro de Amenazas Cibernéticas Comunitario (Community Cyber Threat Center), un servicio de intercambio de información de seguridad ejecutado en nombre de los más de 400 miembros de la industria del transporte aéreo de SITA. Permite que la información procesable sobre las amenazas cibernéticas se comparta de manera oportuna entre los principales interesados de la industria.

Estas iniciativas son parte del compromiso de SITA de liderar la lucha contra las amenazas cibernéticas de la comunidad del transporte aéreo y de mejorar la integración de la ciberseguridad en los planes de negocios a nivel de las compañías aéreas y aeropuertos.

Oct, 19-2017

Bancos digitales sumaron al menos u$s 40 millones desde marzo

Un sindicato internacional del crimen organizado ha robado al menos 40 millones de dólares de los bancos desde marzo usando un esquema de piratería informática, según un informe publicado hoy que señala que probablemente han robado mucho más.

“Sólo vemos a los que vienen a nosotros”, dijo Brian Hussey, vicepresidente de detección y respuesta de amenazas cibernéticas en la división Spiderlabs de la firma de seguridad Trustwave que produjo el informe.

“Otros bancos pueden haber llegado a otros vendedores o no haber notado el robo todavía”.

Trustwave ha detectado robos entre $ 3 millones y $ 10 millones de cinco bancos diferentes en ese período de tiempo, predominantemente en los estados post-soviéticos. Los ataques se han extendido hasta África, dijo Hussey, y parecen estarse acelerando.

El robo comienza con el sindicato que proporciona a decenas de colaboradores empobrecidos identificaciones falsas para abrir cuentas bancarias vacías. El grupo entonces hackea al banco y a los procesadores de tarjetas de crédito para aumentar drásticamente la protección contra sobregiros en cada cuenta, un servicio que permite a cuentas de bajo riesgo retirar más dinero que el que está en la cuenta sin alarmar. Por último, el grupo coordina los retiros de entre $ 25 mil y $ 35 mil de los cajeros automáticos en los países vecinos.

Hussey dijo que Trustwave ha trabajado con agentes del orden público que descubrieron que las personas que abren las cuentas iniciales son en gran medida poco sofisticadas y desconocen el plan más amplio del cual participaron.

El hacking se basa en correos electrónicos de phishing para tener acceso a las redes bancarias. Los atacantes aprovechan ese acceso bancario para obtener las credenciales del banco del procesador de tarjetas de crédito.

Aunque los ataques están enfocados en Europa del Este, el informe de Trustwave advierte que los bancos norteamericanos, europeos, asiáticos y australianos deben tomar nota de la situación.

“Europa del este es a menudo el canario en el pozo de la mina, usado como prueba de las técnicas usadas en otra parte,” dijo Hussey.

Hussey señaló que hubo descuidos de seguridad que podrían haber evitado los ataques, incluyendo la integración adecuada del software de monitoreo bancario que comprueba los patrones de anomalías, como las cuentas de cero dólares que reciben grandes posibilidades de sobregiro.

Oct, 10-2017

Delincuentes utilizan Amazon para perjudicar a Bitcoin

Un informe de RedLock Cloud Security Intelligence (CSI), un grupo de inteligencia y seguridad de la nube, señala que los servidores de Amazon Web Services (AWS) fueron comprometidos. Sin embargo, fuera de lo usual, los delincuentes no buscaban robar información o secuestrarla, solo necesitaban acceder al poder de cómputo de los servidores para minar Bitcoin.

Según la información revelada por RedLock, Amazon no sería la única compañía atacada, pues Aviva y Gemalto, dos multinacionales fueron también señaladas en el informe como víctimas de la ejecución de Kubernetes containers.

Después de un análisis más profundo, el equipo descubrió que los hackers estaban ejecutando un comando bitcoin de minería de uno de los contenedores Kubernetes.

Kubernetes es un sistema de código libre diseñado inicialmente por Google que facilita la creación de aplicaciones para la nube, y en este caso fue utilizado para instalar malware y minar criptomonedas.

Este es un caso atípico en los registros de hackeos a compañías que terminan relacionados a la moneda digital Bitcoin, pues lo usual es que los delincuentes irrumpan en los servidores para robar los datos y luego venderlos, como sucedió este año con HBO, Disney y hasta el metro de San Francisco.

Ante la vulnerabilidad de tres empresas multinacionales, la firma de ciberseguridad realizó una larga investigación de vulnerabilidades en las nubes de las compañías e instó a las empresas a mejorar sus sistemas de seguridad para evitar que fuesen víctimas de otro ataque cibernético. Un llamado de atención que deben tener en cuenta todas las compañías hoy en día.

Oct, 10-2017

CYBERATAQUE: Ucrania apunta a Rusia por “NYETYA”

“Los datos disponibles (…) indican que en el cyberataque están implicados los mismos grupos de hackers que en diciembre de 2016 atacaron el sistema financiero, las infraestructuras de transportes y energía de Ucrania. Esto demuestra la implicación en el ataque de los servicios secretos de Rusia”, afirma el Servicio de Seguridad de Ucrania (SBU, por sus siglas en ucraniano).

Por medio de un comunicado emitido el sábado, el SBU atribuye a Moscú la autoría de un ataque cibernético perpetrado el 27 de junio que inhabilitó las computadoras de las oficinas gubernamentales, compañías de electricidad y bancos, entre otros.

Sostiene que el objetivo del ataque era desestabilizar la situación sociopolítica del país en vísperas de su fiesta nacional, el Día de la Constitución, que se celebra el 28 de junio.

“Pese a que el virus parecía un ‘ransomeware’ (‘malware’ destinado a la extorsión de los usuarios), en realidad se trataba de una tapadera para un ataque de envergadura contra Ucrania. Lo demuestra la ausencia de un mecanismo para apropiarse del dinero” que exigía ‘Nyetya’ al bloquear los ordenadores, reza la nota.

El pasado martes 27 de junio, las redes informáticas del Gobierno ucraniano, del Ayuntamiento de Kiev, decenas de entidades bancarias estatales y privadas, sistemas de transporte público, medios de comunicación y empresas de telecomunicaciones fueron bloqueados por ataques cybernéticos.

Inmediatamente, Kiev acusó a Rusia de lo ocurrido haciendo caso omiso al hecho de que algunas empresas rusas también habían informado de haber resultado perjudicadas por el ciberataque que pedía chantajes para desbloquear los sistemas afectados.

De acuerdo con la compañía de ciberseguridad rusa Group-IB, “los piratas informáticos que están detrás de este ataque podrían encontrarse en Corea del Norte o en China”.

Con el surgimiento de la corriente independentista en el sur y este de Ucrania, y los planes para una siguiente anexión a Rusia, Kiev y Moscú no mantienen despejadas relaciones bilaterales. Kiev acusa a Moscú de orquestar y ayudar a los movimientos en su territorio y ha podido convencer a la Unión Europea (UE) y EE.UU

El CIBERATAQUE para el que nadie está protegido

Según publica hoy New York Times, desde entonces, Ben-Oni ha expresado su preocupación llamando a cualquiera que lo escuche en la Casa Blanca, el Buró Federal de Investigación (FBI, por su sigla en inglés) y las compañías más importantes de ciberseguridad para advertirles sobre un ataque que aún podría estar dañando invisiblemente a víctimas por todo el mundo.

Dos semanas después de lo sucedido en IDT, el ciberataque conocido como WannaCry causó estragos en hospitales de Inglaterra, universidades de China, sistemas ferroviarios de Alemania e incluso plantas automotrices de Japón. Sin duda fue muy destructivo.

Sin embargo, lo que Ben-Oni atestiguó fue mucho peor y, con todas las miradas puestas en la destrucción causada por WannaCry, pocas personas se han fijado en el ataque contra los sistemas de IDT… y otros similares que seguramente se han producido en otros lugares.

El ataque a IDT, un conglomerado cuyas oficinas centrales tienen una gran vista del horizonte de Manhattan, fue similar a WannaCry en un sentido: los hackers encriptaron los datos de IDT y exigieron un rescate para desbloquearlos. No obstante, la exigencia del rescate solo fue una cortina de humo para ocultar un ataque mucho más invasivo que se robó las credenciales de los empleados.

Con esas credenciales, los hackers podrían haber circulado libremente por la red informática de la empresa, llevándose información confidencial o destruyendo los equipos.

Lo peor es que el ataque, que nunca antes se había reportado, no fue detectado por algunos de los productos de ciberseguridad líderes en Estados Unidos ni por los principales ingenieros de seguridad de las compañías tecnológicas más grandes ni por los analistas gubernamentales de inteligencia.

Si no hubiera sido por una caja negra digital que grabó todo lo que sucedió en la red de IDT, y por la tenacidad de Ben-Oni, el ataque pudo haber pasado inadvertido. Los escaneos realizados a las dos herramientas usadas en contra de IDT indican que la empresa no está sola. De hecho, las mismas armas de la NSA tuvieron acceso ilegal a decenas de miles de sistemas de cómputo en todo el mundo.

Ben-Obi y otros investigadores de seguridad temen que muchas de esas computadoras infectadas estén conectadas a redes de transporte, hospitales, plantas de tratamiento de agua y otros servicios. Un ataque a esas redes, advierte el experto en informática, podría poner en riesgo muchas vidas.

“El mundo está escandalizado con WannaCry, pero esto es una bomba nuclear en comparación con WannaCry”, dijo Ben-Oni. “Esto es distinto. Es mucho peor. Se roba las credenciales. No puedes atraparlo y está sucediendo frente a nuestros ojos”. Y añadió: “El mundo no está preparado para esto”.

Ataque al centro neural

En IDT, Ben-Oni se ha topado con cientos de miles de hackers de todo tipo de causas y niveles de habilidad. Según calcula, los negocios que trabajan con IDT experimentan cientos de ataques al día, pero quizá solo cuatro incidentes le preocupan cada año.

Sin embargo, ninguno se compara con el ataque sufrido en abril. Al igual que el ataque WannaCry de mayo, el realizado contra IDT fue hecho con ciberarmas desarrolladas por la NSA que fueron filtradas en línea por un misterioso grupo que se hace llamar Shadow Brokers, que se piensa que está integrado por ciberdelincuentes respaldados por Rusia, un infiltrado en la NSA o por ambos.

El ataque con WannaCry —que tanto la NSA como los investigadores de seguridad han vinculado a Corea del Norte— usó una ciberarma de la NSA; el ataque a IDT usó dos.

Tanto en WannaCry, como en el incidente de IDT utilizaron una herramienta de hackeo que la agencia llamó EternalBlue. Esa aplicación se aprovechó de los servidores de Microsoft que no tenían las actualizaciones de seguridad para propagar automáticamente el programa malicioso de un servidor a otro, de tal manera que en 24 horas los hackers ya habían contagiado su ransomware a más de 200.000 servidores en todo el planeta.

El ataque a IDT fue un paso más allá: usó otra ciberarma robada a la NSA llamada DoublePulsar. La NSA la desarrolló para infiltrarse en sistemas informáticos sin activar las alarmas de seguridad. Eso permitió que los espías de la NSA pudieran inyectar sus herramientas al centro neural del sistema informático de un objetivo, llamado kernel o núcleo, que gestiona la comunicación entre el hardware y el software de una computadora.

En el orden jerárquico de un sistema de cómputo, el núcleo está en la cima, por lo que permite que cualquiera que tenga acceso secreto a él pueda tomar el control total de un equipo. También es un peligroso punto ciego para la mayor parte del software de seguridad, pues permite a los atacantes hacer lo que quieran sin ser detectados.

Sin embargo, le pareció peculiar. Para empezar, estaba perfectamente sincronizado con el sabbat. Los atacantes entraron a la red de IDT a las 18:00 en punto de un sábado, dos horas y media antes de que terminara el sabbat y por lo tanto un momento en que la mayoría de los empleados de IDT —el 40 por ciento de los cuales se identifican como judíos ortodoxos— estaban descansando. Además, los atacantes se infiltraron en la computadora de la contratista a través del módem de su casa, lo cual se le hizo muy extraño.

La especie de caja negra, un dispositivo de grabación de la red fabricado por la empresa israelí de seguridad Secdo, muestra que primero los atacantes se robaron las credenciales de la contratista. Se las arreglaron para evitar todos los mecanismos de detección de seguridad con los que se encontraron. Finalmente, antes de salir, encriptaron su computadora con un programa de secuestro y le exigieron 130 dólares para desbloquearla. Así encubrieron el ataque, mucho más invasivo, que habían realizado en su computadora.

Ben-Oni calcula que ha hablado con 107 expertos e investigadores de seguridad sobre este ataque, incluyendo a los directores de casi todas las principales compañías de ciberseguridad y los jefes de inteligencia contra amenazas de Google, Microsoft y Amazon.

Con excepción de Amazon, que encontró que algunas de las computadoras de sus clientes habían sido escaneadas por la misma computadora que atacó IDT, nadie había visto ningún rastro del ataque antes de que Ben-Oni les avisara. “Comencé a sentir que éramos el conejillo de indias”, dijo. “Pero lo grabamos”.

Desde el ataque a IDT, Ben-Oni se ha puesto en contacto con muchos de sus contactos para advertirles de un ataque que aún podría estar sucediendo, sin ser detectado, a través de los sistemas de las víctimas. “Se está acabando el tiempo”, dijo Ben-Oni. “Hay que entender que esto es, en realidad, una guerra: con la ofensiva de un lado e instituciones, organizaciones y escuelas del otro, defendiéndose de un adversario desconocido”.

‘Nadie se está haciendo cargo’

Desde que los Shadow Brokers filtraron las codiciadas herramientas de ataque en abril, los hospitales, escuelas, ciudades, departamentos de policía y compañías alrededor del mundo han tenido que arreglárselas por sí mismos para defenderse o protegerse ante las armas desarrolladas por el atacante más sofisticado del mundo: la NSA.

En marzo, Microsoft lanzó un parche para software con el fin de que los equipos pudieran defenderse de las herramientas de ataque informático de la NSA, lo que sugiere que la agencia le había avisado a la compañía. No todas las empresas lo instalaron a tiempo y fueron afectadas por WannaCry. Ben-Oni dijo que instaló los parches de Microsoft en cuanto estuvieron disponibles pero los atacantes lograron tener acceso al módem de la casa de la contratista de IDT.

Hace seis años, Ben-Oni se encontró con un empleado de la NSA en una conferencia y le preguntó cómo defenderse ante las amenazas cibernéticas actuales. El hombre le aconsejó “ejecutar tres de todo”: tres cortafuegos, tres antivirus, tres sistemas de detección de intrusión. Y así lo implementó.

Pero en este caso, los sistemas de detección y las actualizaciones no detuvieron el ataque a IDT. Tampoco lo hicieron con ninguno de los 128 proveedores de inteligencia contra amenazas públicamente disponibles a los que IDT está suscrito. Ni siquiera lo notaron los diez proveedores de inteligencia contra amenazas en las que su empresa gasta medio millón de dólares anuales por información urgente. Desde entonces ha dicho que podrían regresarles sus productos.

“A nuestra industria le gusta trabajar con problemas conocidos”, dijo Ben-Oni. “Este es un problema desconocido. No estamos preparados para él”.

No ha hablado con nadie que sepa si ha sufrido un ataque, pero ahora hay videos en YouTube que les enseñan a los criminales cómo atacar sistemas usando las mismas herramientas de la NSA empleadas en contra de IDT, y Metasploit, una herramienta de ataques informáticos automatizada, permite que cualquiera realice estos ataques con solo un clic.

En mayo, él mismo le presentó un resumen al analista del FBI encargado de investigar el ataque con WannaCry. Le dijo que la agencia se había centrado en WannaCry y que, a pesar de que el ataque a su empresa era más invasivo y sofisticado, técnicamente era algo distinto, y por lo tanto el FBI no podía atender su caso. (El FBI no respondió a nuestras solicitudes de comentarios).

Así que Ben-Oni le ha dado seguimiento, en gran medida, por sus propios medios. Su equipo en IDT pudo rastrear parte del ataque a un teléfono Android personal en Rusia, y ha estado proporcionando sus hallazgos a Europol, la agencia europea con sede en La Haya.

Las probabilidades de que IDT haya sido la única víctima de este ataque son pocas. Sean Dillon, un analista sénior en RiskSense, una compañía de seguridad de Nuevo México, fue de los primeros analistas de seguridad en escanear el internet en busca de la herramienta DoublePulsar de la NSA. Encontró decenas de miles de computadoras huéspedes infectadas, que los atacantes pueden usar a su antojo.

“Una vez que DoublePulsar está en el equipo, nada puede evitar que otro llegue y entre por la puerta trasera”, dijo Dillon. Es aún más preocupante que Dillon probó los principales productos antivirus contra la infección de DoublePulsar, pero 99 por ciento de ellos no pudieron detectarlo.

“Hemos revisado las mismas computadoras infectadas con DoublePulsar durante dos meses y no sabemos cuántos programas maliciosos hay en esos sistemas”, dijo Dillon. “En este momento no tenemos idea de qué ha sido infiltrado en estas organizaciones”.

En el peor de los casos, dijo Dillon, los atacantes podrían usar esas puertas secretas para desatar el programa maligno destructivo en infraestructura crucial, inmovilizar sistemas ferroviarios, causar apagones en hospitales o incluso paralizar los servicios de electricidad.

¿Podría avecinarse un ataque así? Los Shadow Brokers volvieron a salir a la luz en mayo, cuando prometieron un cargamento fresco de herramientas de ataque de la NSA e incluso se las ofrecieron a los suscriptores que pagaran mensualmente.

Ben-Oni está convencido de que IDT no es la única víctima y de que estas herramientas pueden usarse —y se usarán— para hacer mucho más daño. “Creo que esta situación es de vida o muerte”, dijo. “Hoy somos nosotros, pero mañana puede ser alguien más”. (NYTimes).

Jun, 27-2017