Blog
Bueno, primero que nada, habemus papa. "Eh, pará esto no iba de ciberseguridad?". Si exactamente, según esta noticia, podemos ver como para el cónclave (que fue más corto de lo esperado) se implementaron un montón de medidas de protección a nivel de señales para evitar la comunicación con el exterior.
Creo que se habla mucho del secreto del proceso, se le da un tinte hasta siniestro, cuando en realidad tiene todo el sentido del mundo ya que, en general, las votaciones tienen cierto grado de secretismo y además tampoco estamos hablando de un procedimiento de democracia. Es como que a alguien le pueda llamar la atención que no se publiquen los votos del directorio de una empresa, a menos que los obligue la ley, están en todo su derecho de mantener su privacidad en ese sentido.
Pero en realidad, la principal razón por la cual se bloquean las comunicaciones, que básicamente es el equivalente moderno del encierro en sí que da origen a la palabra "cónclave", es que los cardenales electores, no reciban información o se vean influenciados DESDE el exterior y no HACIA el exterior.
Más allá del clickbait, es interesante ver como organizaciones que se mantienen operando durante miles de años se adaptan a las nuevas tecnologías para seguir cumpliendo con determinados requisitos.
A nivel más cotidiano, podemos ver como muchas empresas tienen no miles, pero si decenas de años de operación y les cuesta mucho más adaptarse a las nuevas realidades de la tecnología y a la implementación de las medidas de seguridad que esta nueva tecnología requiere.
Ah sí, y ya que hablamos del vaticano, no se olviden que los informáticos le rezamos a santa tecla. Si hay una santa que se llama tecla y cuyo día de celebración es el 23 de setiembre, te vas con un dato nuevo y gratis.
Mientras tanto, en Argentina, detuvieron a integrantes de una banda de ciberdelito que robó al menos ARS 300.000.000 con malware de origen ruso.
El malware en cuestión era el famoso mekotio que permitía el acceso remoto y se enfocaba en el robo de credenciales bancarias, mediante las cuales efectuavan los robos. Es lo que se conoce como troyano bancario y se propagaba mediante correos de phishing.
Un punto interesante de este caso es que tenían una especie de modelo "freelance", habían distintos grupos que se encargaban de distintas tareas en forma independientes. El desarrollo de malware, el movimiento del dinero, la ejecución de los ataques de phishing, la concreción del robo, etc.
Algo importante a tener en cuenta, es que las víctimas fueron pequeñas y medianas empresas seleccionadas estratégicamente. No atacaban a cualquiera, sino que buscaban empresas con un nivel de facturación que les permitiera pagar, pero no tanto como para tener equipos de ciberseguridad funcionando. Así que si sos una pyme que factura un buen dinero y pensás que no facturas tanto como para ser un objetivo, lamento decirte que si lo sos, y estos atacantes lo demuestran.
Además de estudiar a las empresas víctimas tambien estudiaban a los empleados a engañar, en lo que se conoce como ataque se spear-phishing. Este tipo de ataques implican el estudio de las víctimas, para enviar correos de phishing personalizados y dirigidos que tienen mayor probabildad de engañar a las personas.
Por último, en lo que, en mi opinión, es una irresponsabilidad periodística, nos cuentan parte de la clave detrás de estos arrestos. Básicamente cuál fue el error que cometió uno de los delincuentes que lo llevó a su arresto. Así como para advertir a los próximos delincuentes y que no cometan los mismos errores ¿no?
Y hablando de atacantes, Google corrigió una vulnerabilidad en Android que está siendo explotada activamente por atacantes.
Se publicó una actualización que corrige 46 fallos de seguridad en Android, entre los que se encuentra una vulnerabilidad de alta gravedad en el componente System que podría llevar a la ejecución de código local sin contar con permisos de ejecución adicionales. Además se trata de una vulnerabilidad zero-click, es decir, que no requiere interacción del usuario.
Así que como siempre, a actualizar se ha dicho, y ya que estás seguinos para no perderte ninguna noticia y estar más protegido.
Pero no solo a Google le pasan cosas, y también le tocó a IOS, no el de Apple, sino el de Cisco, que solucionó una vulnerabilidad que permite a los atacantes tomar control de los dispositivos.
Esta vulnerabilidad tiene una puntuación de 10 en la escala CVSS, lo que la convierte en crítica.
A nivel técnico, se trata de un JSON Web Token (JWT) que está hardcodeado, por lo que cualquier persona que obtenga este token puede acceder a cualquier dispositivo. Por eso es tan crítica y tan grave.
Además de crítica, es una verguenza, que empresas como Cisco sigan teniendo este tipo de errores en sus herramientas. Vulnerabildades tan obvias se pueden detectar automáticamente con herramientas de análisis estático de código, pero claro, después de ejecutar las herramientas, alguien tiene que leer los reportes y solucionar los errores, no es tan fácil.
Esta vulnerabilidad ya está solucionada, así que si tenés algún dispositivo afectado por esta vulnerabilidad, actualizalo lo antes posible.
Y en nuestra sección, hackers hackeados, esta semana le tocó el turno al grupo de ransomware lockbit, el cual no solamente fue hackeado, sino que también se filtró una base de datos del grupo que incluye direcciones de criptomonedas, mensajes de negociación con las víctimas, entre otros.
Si bien desde lockbit dicen que no se filtraron datos críticos o importantes, el hecho en sí a nivel de reputación es bastante complicado. No solo porque queda mal el grupo "en el ambiente" sino porque también hace que las proximas posibles víctimas se lo piensen dos veces antes de negociar y pagar el rescate si es posible que terminen escrachados en una filtración por un hackeo de sus hackers.
Bastante entreverado, pero creo que se entiende.
La recomendación siempre es no negociar con los grupos de ransomware, pero si la única forma en que tu negocio puede seguir operando es con los datos cifrados, no hay muchas opciones. Por eso es importante estar preparados, tener buenos respaldos físicamente separados de la red principal y que los probemos regularmente para asegurar que funcionen cuando los necesitemos. Obviamente, además de esto, tener buenas medidas de seguridad para que no se materialice el incidente, pero como última barrera, un buen respaldo es lo que te salva de tener que pagar un rescate.
En Estados Unidos, mientras tanto, obligaron a NSO Group a pagar 168 millones de dólares a Meta por el hackeo a WhatsApp. Y puede que te estés preguntando ¿Quién es NSO Group?
No, no es un grupo de ransomware, es una empresa que se dedica al desarrollo de herramientas de ciberespionaje para todo tipo de gobiernos en todo el mundo. Y cuando digo todo tipo, digo todo tipo. Esos que asumís que lo usan para fines "legítimos" y también de los otros. Bueno y también países "serios" pero que después lo usan para espiar periodistas...
Hay dos cosas que me parecen irónicas de todo esto. Primero que Meta se "indigne" de que haya software de espionaje, cuando básicamente su modelo de negocio se basa en espiar a los usuarios para vender esa información al mejor postor. Pero lo que me parece peor aún es que la condena contra NSO haya sido pagarle a Meta y no a las verdaderas víctimas del espionaje. Al final parece que la demanda de Meta es porque les robaron datos que ellos iban a robar y no tanto por el espionaje en sí.
Cosas a recordar con esta noticia. Si bien estas herramientas avanzadas muchas veces utilizan vulnerabilidades zero-day, la actualización de los dispositivos es clave para reducir la superficie de ataque. Además, en muchos casos, el reinicio de los dispositivos evita que se mantenga la infección, por lo que si te movés en entornos críticos o creés que podés haber sido víctima de un ataque de este tipo, es buena idea reiniciar tus dispositivos.
