Los ciberataques que marcaron el 2020 | IT Masters Mag

Los ciberataques que marcaron el 2020

Siete ciber ataques muy sonados este año tuvieron como constante el ransomware, DDoS y la explotación de vulnerabilidades. Ninguna compañía está a salvo. Algunas de las inquietudes que surgen son: ¿Se tienen protocolos de acción? ¿Están preparados los equipos de respuesta? ¿Cuál es la estrategia, defensa o prevención?

Publicado el 11 Dic 2020


La espiral de amenazas IT parece no tener fin. Ya en enero, el Foro Económico Mundial advertía que este año los ciberataques serían una de las principales amenazas en el orbe. Luego vino la pandemia y,  además de aprovechar la incertidumbre ocasionada por el movimiento al trabajo remoto, los cibercriminales mejoraron sus técnicas de ataque. 2020 no fue solo el año de la pandemia, también fue el de los hackers.

Las pruebas están a la mano: de acuerdo con una encuesta de CyberEdge Group, 81% de las organizaciones fueron afectadas exitosamente por un ataque cibernético en 2020. Hasta noviembre del año se registraron 113 millones de amenazas informáticas, según datos de AV-Test, o 350,000 nuevas al día; mientras la Universidad de Maryland afirma que los hackers están atacando computadoras y redes a un ritmo de una cada 39 segundos.

Muchas de estas agresiones quedan en la estadística y nunca se hacen públicos sus detalles, pero otros afectan a tantos usuarios, causan tal impacto económico y ponen en la mira a las políticas de protección de las empresas en grado tal que logran pasar a la historia. Aquí algunos de los más relevantes del año:

  1. Twitter cayó frente a la ingeniería social: En julio, la red social favorita de Donald Trump fue atacada. En pocos minutos, se publicaron mensajes desde las cuentas del entonces candidato a la presidencia de Estados Unidos, Joe Biden; el CEO de Tesla, Elon Musk; e incluso el ex presidente Barack Obama, entre otros 40 personajes famosos. En las cuentas secuestradas se prometía regalar criptomonedas a quienes donaran dinero para una campaña que paliara las consecuencias del Covid-19. Antes de que Twitter suspendiera la emisión de tales mensajes falsos, la estafa acumuló más de $100,000 dólares. En su momento, la compañía dio a conocer que se trató de un ataque coordinado de ingeniería social que afectó a algunos de sus empleados con acceso a sistemas y herramientas internas. Tales herramientas podían tomar control de cuentas ajenas sin requerir contraseñas o reinicio de sesión. El suceso levantó muchas críticas a las políticas de seguridad de Twitter, que hace pocos días contrató a Peiter Zatko, un reconocido “hacker de sombrero blanco”, para liderar su departamento de Seguridad informática.
  2. Finastra decidió no pagar el ransomware : Esta compañía del Reino Unido que proporciona software y servicios financieros a más de 9,000 clientes en el mundo, sufrió a inicios de año un gran ataque de ransomware. Finastra es fundamental en el funcionamiento del sistema financiero global: da servicio a 90 de los 100 bancos más grandes del mundo. Luego de deambular por diversos servidores, los atacantes activaron accidentalmente una alerta de seguridad; al saberse bajo la mira, desplegaron agresivos ataques de ransomware con una herramienta llamada Ryuk. Lo significativo del ataque a Finastra es que su equipo de seguridad decidió, en lugar de pagar los montos exigidos por el secuestro, bajar miles de sus servidores rápidamente, lo que llevó a negro muchos de sus servicios y operaciones. El CEO de la compañía comentaría después que el ataque se llevó a cabo mientras se migraban los sistemas para facilitar el trabajo remoto de los empleados. Si bien la compañía no dio demasiados detalles del ataque, los análisis posteriores indicaron que la detección temprana y las buenas decisiones del equipo de seguridad permitieron que el asunto no pasara a mayores. El potencial de pérdidas financieras y reputación, no solo para Finastra sino también para sus clientes, podría haber sido gigante.
  3. Zoom cayó bajo el peso de los GIF: El aislamiento social para tratar de evitar contagios de coronavirus y el esquema de trabajo remoto trajo como consecuencia un aumento exponencial en el uso de diferentes plataformas de video-conferencia. En el caso de Zoom, esto representó un crecimiento de 355% año sobre año en 2020. Sin embargo, la plataforma no estuvo ajena a incidentes de seguridad. Dos vulnerabilidades críticas en la aplicación permitieron a hackers robar credenciales de aproximadamente 500,000 cuentas de usuarios. Los atacantes tuvieron acceso a información personal y corporativa que debería haber estado asegurada por Zoom. La primera vulnerabilidad se encontraba en el servicio GIPHY, que permite buscar e intercambiar GIF animados durante una conversación. La versión vulnerable de Zoom no comprueba si el GIF compartido se está cargando desde el servicio de GIPHY o no, con lo que permite mandar GIF de servicios de terceros que incluyen código malicioso.
    La segunda vulnerabilidad procesa ciertas partes de código en el chat, crea un archivo ZIP del fragmento de código compartido antes de enviarlo, después lo extrae automáticamente en el sistema que lo recibe. Tanto la extracción como los contenidos que de ahí se obtienen no son verificados por Zoom, por lo que un atacante puede enviar binarios a los dispositivos.
  4. Gobierno mexicano, un favorito de los hackers: A fines de 2019 un ataque de ransomware a Petróleos Mexicanos afectó las operaciones de 5% de la empresa. Los hackers exigían $5 millones de dólares en bitcoins para no filtrar la información, amenaza que cumplieron en febrero de 2020, al liberar alrededor de 6 GB de información confidencial. Pero no es la única empresa del Estado que ha sido atacada. De acuerdo con el más reciente informe de amenazas de ESET, entre las principales víctimas del crimen cibernético en México está el sector público. En 2020 se han registrado ataques a la Secretaría de Economía, el Banco de México y la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros.
  5. Bolsa de Valores de Nueva Zelanda: A finales de agosto, la Bolsa de Valores de Nueva Zelanda (NZX) sufrió un ataque de denegación de servicio distribuido (DDoS) que tuvo fuera línea muchas de sus operaciones. En el diario The Guardian se dijo que durante cuatro días consecutivos NZX experimentó problemas de conectividad de red similares a los causados por ataques DDoS. Esto ocasionó la interrupción temporal del servicio de los mercados de deuda y el de accionistas de Fonterra.
  6. Telegram, no tan seguro como promete: Una vulnerabilidad en la función de importación de contactos de esta plataforma de mensajería comprometió 42 millones de registros, con números telefónicos e identificación de usuarios que posteriormente se ofrecieron en el Dark web. La compañía reconoció la violación de datos que se dio desde un Fork, o desarrollo basado en el código original de la aplicación. Voceros de Telegram indicaron que 60% de las cuentas expuestas eran de usuarios de Irán y otro 20% pertenecía a usuarios de Rusia. También se afirmó que la base de datos no contenía contraseñas, mensajes ni otra información confidencial actual.
  7. Sopra Steria, otro de Ryuk: La compañía francesa de servicios IT que atiende a grandes clientes del sector financiero detectó el mes pasado un ataque a su red. Se determinó que los atacantes comprometieron los sistemas el fin de semana del 17 y 18 de octubre; posteriormente desplegaron el ransomware. La firma no identificó datos filtrados o daños causados a los equipos de información de sus clientes. El código malicioso reinició equipos y operaciones de manera progresiva. Ryuk, una de las herramientas favoritas de los hackers este año, funciona mediante phishing. Llega en correos que incluyen archivos maliciosos de Word o PDF que tienen como objetivo el ransomware; al descargar los archivos se encripta el contenido del disco duro y lanza instrucciones de pago en criptomonedas.

Dos ciberataques que se evitaron

  • Policía Nacional de España cerró el paso a Netwalker: El 23 de marzo, José Ángel González, comisario principal y director operativo de la Policía Nacional española, declaró que se habían detectado envíos masivos destinados a infectar las computadoras con un virus informático llamado Netwalker enviado a personal sanitario a través de correo electrónico.
    González dio la voz de alerta: “El tema del coronavirus se está utilizando como señuelo para engañar a los usuarios, bloquear los sistemas informáticos de centros hospitalarios españoles y después pedir rescate a cambio de la clave para liberarlos. Ante la emergencia sanitaria, ciberataques exitosos con este ransomware tendrían consecuencias devastadoras. La mejor protección es la prevención”.
  • Tesla: Este caso no se consumó, sin embargo, por el alcance de la amenaza, llegó al Departamento de Justicia de Estados Unidos. A mediados de año se dio a conocer que Egor Igorevich Kriuchkov ofreció un millón de dólares a un empleado de Tesla si introducía malware en la red, lo cual permitiría extraer información de la fábrica de la compañía ubicada en Sparks, Nevada. El empleado no aceptó. Denunció el hecho ante la compañía y esta contactó al FBI para evitar que el ciber ataque se llevara a cabo por algún otro medio. El 22 de agosto, Kriuchkov fue arrestado por conspirar para afectar los sistemas de Tesla.

Cuando veas las barbas de tu vecino cortar…

Ninguna compañía está a salvo; las motivaciones pueden variar, pero el riesgo siempre está presente. Como señala el reporte El estado de la seguridad IT en 2020, 71% de los robos de información tuvieron como motivo obtener dinero; 25% fueron con fines de espionaje

Por su parte, Frank Downs, director Senior, consejero de Ciberseguridad y soluciones de evaluación en ISACA, indicó que 53% de los participantes en el reporte State of Cybersecurity 2020 de esa organización prevé que su compañía puede sufrir un ciberataque en los próximos 12 meses.

Hace 10 años, los principales vectores de ataque estaban en adware y spam a través de correo electrónico. Desde entonces, las amenazas han evolucionado y cada vez ponen más en riesgo la información mediante malware, DDoS y ransomware. Los equipos de ciberseguridad tienen la palabra. ¿Cómo defenderse?

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

Si piensas que este post es útil...

¡Síguenos en nuestras redes sociales!

Maricela Ochoa Serafín
Maricela Ochoa Serafín

Reportera de tecnología. Suele buscar temas de innovación, nuevas aplicaciones IT y seguridad de la información. Periodista por la UNAM; estudió Marketing en el ITAM y Branding en la Universidad de Bogotá Jorge Tadeo Lozano. Storyteller apasionada por la astronomía.

email Contácteme