Los peores incidentes de seguridad del 2020

El año 2020 mostró todos los riesgos digitales y los problemas de ciberseguridad que esperábamos en la era moderna. Sin embargo, este año fue único en las formas en que el Covid-19 transformó radical y trágicamente la vida en todo el mundo.

La pandemia también creó condiciones sin precedentes en el ciberespacio, remodelando las redes al empujar a las personas a trabajar desde casa en masa. Esto creó una lucha para acceder a la investigación de vacunas por cualquier medio. Todo esto generó nuevas opciones para que los delincuentes lanzaran intentos de extorsión y estafas, y produciendo nuevas oportunidades de espionaje para los estados nación. 

Aquí está el resumen a este año extraño. El 2020 estuvo marcado por las filtraciones, exposiciones de datos, ataques de ransomware, campañas patrocinadas por estados y la locura digital que lo moldearon. Mantente a salvo en 2021.

Incidente de la cadena de suministro de SolarWinds

El martes 8 de diciembre, la respetada firma de ciberseguridad y respuesta a incidentes FireEye hizo una revelación sorprendente.

La empresa había sufrido una infracción y los hackers habían robado algunos de los datos internos de inteligencia de amenazas de la empresa. También robaron un caché de sus herramientas de hacking de “equipo rojo”. Estas se utilizan para probar los sistemas de pago de los clientes en busca de vulnerabilidades para que puedan solucionarse antes que los atacantes las encuentran.

En sí misma, la infracción de FireEye no fue representativa al principio. The Washington Post la atribuyó rápidamente a los hackers respaldados por el estado ruso; fue significativa pero no una catástrofe. Sin embargo, lo que nadie supo ese día fue que otros 18,000 clientes estaban a punto de caer.

A partir del domingo 13 de diciembre, surgieron oleadas de noticias de que las agencias gubernamentales de los Estados Unidos también fueron comprometidas. Agencias como los Departamentos de Comercio, Tesoro, Seguridad Nacional y Energía, corporaciones y objetivos internacionales habían sido víctimas de una campaña masiva de espionaje estatal.

Los hackers, que han sido ampliamente denunciados como rusos, estaban envueltos en un incidente de gran envergadura.  Este fue posible en gran medida por lo que se conoce como un ataque a la cadena de suministro.

En otras palabras, todos los ataques fueron posibles gracias a un compromiso inicial, en este caso en la empresa de infraestructura tecnológica SolarWinds.

Los hackers habían vulnerado la empresa ya en octubre de 2019. Y, plantaron código malicioso en las actualizaciones de software para su herramienta de monitoreo de red, Orion. Sin saberlo, cualquier cliente que instaló un parche de Orion lanzado entre marzo y junio también estaba plantando una puerta trasera rusa en su red.

Otros medios

También hay alguna evidencia de que los atacantes comprometieron a las víctimas a través de otros medios además de la infracción de SolarWinds. Empero a través de esa intrusión los atacantes crearon acceso para ellos mismos en aproximadamente 18,000 redes de clientes de SolarWinds, según la compañía.

El impacto del ataque varió entre las víctimas. En algunos casos, los hackers colocaron una puerta trasera pero no fueron más lejos. En otros casos, utilizaron el acceso el tiempo suficiente para darse cuenta de que no les importaba el objetivo. Y para un subconjunto desafortunado, los atacantes se movieron profundamente dentro de las redes de víctimas para el reconocimiento y la exfiltración de datos.

Por ejemplo, empresas de infraestructura crítica como más de una docena en los sectores petrolero, eléctrico y manufacturero parecen haber instalado la puerta trasera. No obstante, no está claro cuán extensamente fueron infiltrados realmente por los atacantes. La situación subraya la amenaza que representan los ataques a la cadena de suministro. Esto porque pueden socavar de manera eficiente a todos los clientes de una empresa de una sola vez.

Los hackers rusos han utilizado la técnica antes, a veces con objetivos más expresamente destructivos. Hasta ahora, los ataques de SolarWinds parecen haber sido principalmente por espionaje. No obstante, algunos expertos advierten que es demasiado pronto para saber si hubo un componente destructivo.

Incluso si los ataques fueron puramente para la recopilación de información, que generalmente es una actividad aceptada a nivel mundial, no deja de ser preocupante.

Ciberguerra

Algunos políticos e investigadores dicen que las intrusiones cruzan una línea o están fuera de sintonía con las normas de espionaje. Esto debido a su escala y alcance. Como dijo el ex agente de la CIA Paul Kolbe la semana pasada:

“Estados Unidos, por supuesto, está involucrado en el mismo tipo de operaciones. Lo hace a una escala aún mayor. Somos participantes activos en un ciberconflicto ambiental que se desata, en gran parte invisible y no reconocido, en todo el mundo digital. Esta es una lucha que no podemos evitar y no hay necesidad de jugar a la víctima”.

La pregunta ahora es cómo responderá Estados Unidos a la ola de hacking de SolarWinds. ¿Cómo abordará el espionaje digital y el conflicto en el futuro cuando termine la administración Trump y comience la administración Biden?

Twitter

En julio, una oleada de adquisiciones impresionantes se extendió por Twitter, secuestrando las cuentas de Joe Biden y Barack Obama. También se vieron afectados Elon Musk, Kanye West, Bill Gates y Michael Bloomberg, así como importantes cuentas corporativas como la de Apple y Uber.

Las cuentas tuitearon variaciones de un tema común: “Estoy retribuyendo a la comunidad. ¡Todos los bitcoins enviados a la siguiente dirección serán devueltos duplicados! Si envías $1,000, te devolveré $2,000. Solo haré esto durante 30 minutos. ” 

Los atacantes tenían acceso completo, un escenario de seguridad de pesadilla que sería el sueño de cualquier hacker de un estado nación. En cambio, el asalto fue simplemente parte de una estafa de bitcoin que terminó ganando alrededor de $120,000.

Cuantas afectadas

Los estafadores atacaron 130 cuentas y tomaron el control de 45. En una loca lucha por contener la situación, Twitter congeló temporalmente todas las cuentas verificadas. Twitter bloqueó su capacidad para tuitear o restablecer la contraseña de la cuenta. Algunos de los secuestros duraron horas.

La investigación posterior reveló que los atacantes habían llamado a las líneas de soporte técnico y de servicio al cliente de Twitter. Y, habían engañado a los empleados de soporte para que accedieran a un sitio de phishing para recopilar sus credenciales especiales de backend de Twitter. Esto incluía el nombre de usuario, la contraseña y los códigos de autenticación multifactor.

Luego, los atacantes pudieron usar su acceso a estas cuentas de soporte para restablecer las contraseñas en las cuentas de usuario objetivo. A fines de julio, tres sospechosos fueron arrestados y acusados de cometer el hackeo. Entre los arrestado estaba Graham Ivan Clark de Tampa, Florida, de 17 años, quien presuntamente dirigió el asalto digital.

A raíz de la violación, Twitter dice que lanzó un gran esfuerzo para revisar los controles de acceso de sus empleados. Lo hizo particularmente con las elecciones presidenciales estadounidenses de noviembre que se avecinaban.

Blueleaks

El 19 de junio, el grupo activista centrado en filtraciones Distributed Denial of Secrets publicó un tesoro de 269 gigabytes de información policial de Estados Unidos. La información incluía correos electrónicos, documentos de inteligencia, archivos de audio y video. DDOSecrets dijo que los datos prevenían de una fuente que afirmaba ser parte del efímero colectivo de hacking Anonymous.

Publicado a raíz del asesinato de George Floyd, el registro de más de un millón de archivos incluía documentos y comunicaciones internas sobre iniciativas policiales. Esto para identificar y rastrear a los manifestantes y compartir inteligencia sobre movimientos como Antifa.

Gran parte de la información provino de los “centros de fusión” de las fuerzas policiales. Estos grupos recopilan y comparten información de inteligencia con grupos policiales de todo el país.

“Es el mayor hackeo publicado de las agencias policiales estadounidenses”, dijo Emma Best, cofundadora de DDOSecrets, en junio.

“Proporciona una mirada más cercana a las agencias estatales, locales y federales encargadas de proteger al público. Esto incluye la respuesta del gobierno al Covid y las protestas de BLM”.

Hospital Universitario de Düsseldorf

En septiembre, un ataque de ransomware aparentemente dirigido a la Universidad Heinrich Heine en Düsseldorf paralizó 30 servidores en el Hospital Universitario de Düsseldorf. El ataque provocó una crisis en los sistemas del hospital y la atención a los pacientes.

Desafortunadamente, los actores del ransomware se han dirigido durante mucho tiempo a los hospitales. Esto debido a su urgente necesidad de restablecer el servicio en aras de la seguridad del paciente. También es algo común que los hospitales afiliados a universidades sean golpeados sin darse cuenta.

Sin embargo, el incidente del Hospital Universitario de Düsseldorf fue especialmente significativo. Esto porque puede representar la primera vez que una muerte humana puede atribuirse a un ciberataque.

Como resultado del ataque de ransomware, una mujer no identificada que necesitaba tratamiento de emergencia fue desviada del Hospital Universitario de Düsseldorf. Fue enviada a un proveedor diferente en Wuppertal, a unas 38 millas de distancia, lo que provocó un retraso de una hora en el tratamiento. Ella no sobrevivió. Los investigadores señalan que es difícil establecer definitivamente la causalidad. Sin embargo, el incidente es claramente un recordatorio importante de los impactos en el mundo real de los ataques de ransomware. Estos ataques pueden ser fatales en las instalaciones de atención médica y cualquier infraestructura crítica.

Vastaamo

A fines de octubre, en medio de una oleada de ataques de ransomware centrados en la atención médica sucedió un incidente significativo. Los hackers amenazaron con liberar datos robados de una de las redes de servicios psiquiátricos más grandes de Finlandia, Vastaamo. Lo harían si las personas o la organización en su conjunto no pagaban para mantener los datos en secreto.

Los hackers pueden haber obtenido la información de una base de datos expuesta o mediante una operación interna. Tales intentos de extorsión digital han existido durante décadas, pero la situación de Vastaamo fue particularmente atroz. Esto porque los datos robados, que se remontan aproximadamente a dos años, tenían información de suma importancia. La información incluía notas de psicoterapia y otra información confidencial sobre el tratamiento de salud mental de los pacientes.

Vastaamo trabajó con la empresa de seguridad privada Nixu, la Policía Criminal Central de Finlandia y otras agencias policiales nacionales para investigar la situación. Los funcionarios del gobierno estiman que el episodio afectó a decenas de miles de pacientes.

Los hackers exigieron 200 euros en bitcoins, alrededor de $230, a víctimas individuales dentro de las 24 horas posteriores a la solicitud inicial. Esto aumentaba a 500 euros ($590) después de eso para mantener los datos. Los medios finlandeses también informaron que Vastaamo recibió una demanda de alrededor de $530,000 en bitcoins para evitar la publicación de los datos robados.

Un hacker llamado “ransom_man” publicó información filtrada de al menos 300 pacientes de Vastaamo en el servicio web anónimo Tor. El fin de la filtración era demostrar la legitimidad de los datos robados.

Garmin

A finales de julio, los hackers lanzaron un ataque de ransomware contra el gigante de la navegación y el fitness Garmin. Interrumpió Garmin Connect, la plataforma en la nube que sincroniza los datos de actividad del usuario, así como grandes partes de Garmin.com.

Los sistemas de correo electrónico de la empresa y los centros de atención telefónica para clientes también fueron interrumpidos. Además de los atletas, los aficionados al fitness y otros clientes habituales también se vieron afectados. Los pilotos que utilizan los productos de Garmin para los servicios de posición, navegación y cronometraje también fueron afectados.

Las aplicaciones flyGarmin y Garmin Pilot tuvieron interrupciones de varios días, lo que afectó a parte del hardware de Garmin utilizado en los aviones. Por ejemplo, herramientas de planificación de vuelos y actualizaciones para las bases de datos aeronáuticas requeridas por la FAA.

Algunos informes indican que la aplicación marítima ActiveCaptain de Garmin también sufrió interrupciones. El incidente subrayó cuán expuestos están los dispositivos de Internet de las cosas a fallas sistémicas. Ya es bastante malo si tu reloj de seguimiento de actividad equipado con GPS deja de funcionar. Cuando tienen que aterrizar aviones por problemas de instrumentos causados ​​por un ataque de ransomware, está muy claro cuán débiles pueden ser estas interconexiones.

Mención de honor: ataques de hacking respaldados por el gobierno chino

China continuó su implacable ola de hacking global este año y parecía estar lanzando una red cada vez más amplia.

Los hackers respaldados por Pekín cavaron profundamente en la industria de semiconductores de Taiwán para robar una gran cantidad de propiedad intelectual. Robaron desde códigos fuente y kits de desarrollo de software hasta diseños de chips.

El primer ministro australiano, Scott Morrison, dijo en junio que el gobierno del país y otras organizaciones han sido blanco repetidamente de una serie de ataques. Australia se ha comprometido a invertir casi mil millones de dólares durante los próximos 10 años para expandir sus capacidades de ciberseguridad defensiva y ofensiva.

Aunque Morrison no especificó qué actor ha estado persiguiendo al país, se dice que se ha referido a China. Australia y China se han visto envueltos en una intensa guerra comercial que está redefiniendo las relaciones entre los dos países.

Un informe de Reuters este mes también proporcionó un ejemplo de las operaciones de hacking chino en curso en África. Esto después de que la Unión Africana en Addis Abeba, Etiopía, descubriera a presuntos atacantes chinos que robaban imágenes de videovigilancia de sus servidores.

Estados Unidos también ha enfrentado años de espionaje digital generalizado y robo de propiedad intelectual atribuidos a China. Y continuó este año, especialmente en el ámbito de la salud pública y la investigación de vacunas relacionadas con Covid-19.

Deja un comentario