CUIDADO CON LOS CIBER-REGALOS ENVENENADOS

CUIDADO CON LOS CIBER-REGALOS ENVENENADOS[pic 1]

Por Angel Bahamontes

Los regalos, son siempre bienvenidos por todos, si encima son tecnológicos mejor, pero la picaresca de los ciberdelincuentes se agudiza, cuando los destinatarios no tienen muchos conocimientos y habilidades en investigación digital, desconociendo la gravedad y las consecuencias de estos regalos.

En las parejas que se separan es habitual, regalar al niño un reloj tecnológico, cuyo interior tiene un software espía que activa la cámara, el micro y la geolocalización.

A diario, empresas y particulares consultan, ya que tienen problemas de ciberseguridad, desconociendo el motivo, no cuentan con conocimientos, ni  expertos en Ciberseguridad, alegando que su incidente tecnológico es obra de ataques de hacker, conspiraciones corporativas, olvidando que la manera más fácil de vulnerar digitalmente a una empresa es el factor humano y el analfabetismo digital.

En todas las auditorías de Ciberseguridad, que realizamos, establecemos unos parámetros normales e informamos tanto a socios, directivos, proveedores, clientes y sobre todo a empleados, de las políticas de seguridad que vamos a aplicar, los problemas habituales de los vectores de ataque y es preocupante la falta de sensibilización, pensando de manera analógica, en vez de digital, creen que les hablamos de ciencia ficción, olvidando que los actores son ellos.

La forma más fácil de colar software malicioso en una empresa: dejar pendrives tirándolos en el aparcamiento o en los baños

Gracias a la experiencia adquirida, empezamos suavemente, incluso enviamos algún video para que tengan cuidado en sus comunicaciones, en explicarle que comparten información y datos corporativos que pueden ser usados por ciberdelincuentes, estando en juego la continuidad de la empresa.

Hablamos con los directivos y les explicamos cómo es de fácil entrar en los sistemas y averiguar todo tipo de información utilizando el clásico truco de los pendrives infectados y se lo demostramos, compramos diez memorias USB, las manipulamos  y  las serigrafiamos con logotipos oficiales o de empresas de reconocido prestigio y las llenamos con archivos variados, incluyendo un troyano que una vez ejecutado en un ordenador empieza  a enviar información a nuestros ordenadores, y los vamos dejando «olvidados» en el aparcamiento de la empresa, en zonas de fumadores y otros sitios de la empresa, estando todo el personal de la misma informado de que vamos a realizar la ciber auditoría.

Poca gente puede resistir la tentación: el 80 %, de los que los recogieron enchufaron los pendrives en su ordenador. Si además de eso el pendrive llevaba un «logotipo con aspecto oficial», la cifra aumentaba al 90 por ciento. Una demostración más, de que el punto más débil en la cadena de seguridad de cualquier organización sigue siendo las personas y que luchar contra la ingeniería social es casi tan complicado como hacerlo contra las técnicas más sofisticadas. Tan solo un pendrive no se conectó a la empresa, y se conectó desde su casa, pero el resto se pincharon en ordenadores conectados a la red de la empresa, con lo que es muy fácil entrar en los sistemas y manipular todo tipo de información.

Y eso que los empleados de la empresa estaban sobre aviso de que estaba teniendo lugar la auditoría de seguridad; parece claro que los responsables hacían bien en estar preocupados por el riesgo que suponen las memorias USB.

Lo más sorprendente del método utilizado es el bajísimo coste (78 €) y sin riesgos, ya que basta con dejar algunas memorias de esas por ahí desperdigadas, sin tan siquiera tener que acercarse a la empresa, y confiar en que la curiosidad de la gente termine por hacer el resto. [pic 2]

Hace una semana en una Administración Pública, tuvimos el encargo de auditar los equipos por tres intentos de acceso no autorizados, habían roto el primer anillo de ciberseguridad y el objetivo era infiltrarse. No había  ningún software espía en los equipos, pero en el baño de las mujeres, encontramos dos pen drives con el software malicioso.

Que toda memoria USB desconocida que insertemos en nuestro computador puede contener malware es una lección que ya todos los empleados, deberían de tener aprendida, que  incluso en memorias USB completamente borradas puede almacenarse un malware, también, incluso muchos ataques, se realizan, gracias a la ignorancia en hoteles, imprentas, bibliotecas públicas, colegios, institutos, gestorías, Ayuntamientos, Administraciones Publicas… y lugares, donde inocentemente, alguien solicita la impresión o visón de un pendrive.

Pero la falta de conocimientos, llega desde lo más alto, a modo de ejemplo, La presencia de ordenadores con Windows XP en el Congreso es cada vez más grave. Son sistemas obsoletos e inseguros usados a diario por los diputados, que deciden el futuro de nuestro país y manejan datos demasiados sensibles. Ellos toman decisiones importantes sobre nuestro patrimonio, sobre investigación, seguridad, nuevas tecnologías e irónicamente, lo hacen con tecnologia obsoleta. Cuentan con miles de asesores de todo tipo, incluso para hacerse el nudo de la corbata, pero en cuanto a ciberseguridad, lo dejan en manos del hijo de la portera.

[pic 3]

Al igual que en muchos países de Latinoamérica, los ciber atacantes de Asia, África y China, aprovechan ese fallo para aprovecharse de la información sensible estatal, porque el soporte de Windows XP, termino en 2014.

Alertamos sobre una partida de ordenadores destinada al Congreso con software en la tarjeta de comunicaciones y en el ratón, que enviaba datos a una pagina de China.

Tras el ataque del Servicio Público de Empleo Estatal (SEPE) y a varios Ministerios, el Congreso quieren mejorar su ciberseguridad, invirtiendo 4 millones de euros en total para asegurar sus plataformas online, según consta en  contratos publicados en el Portal de Contratación, siendo desproporcionado.

Durante la cumbre del G-20, que se desarrolló, en San Petersburgo, Putin, entrego a los mandatarios y jefes de Estado, a modo de “regalo”, aparatos que en realidad servían para hackear computadoras y teléfonos. En España tardaron en darse cuenta seis meses, y se enteraron, por la prensa internacional.

Taiwán pidió disculpas por repartir pendrives con malware en una expo de ciberseguridad. La Oficina de Investigaciones Criminales pidió perdón. Y culpó a una empresa por el incidente. El software malicioso había sido utilizado por una red de fraude cibernético. La policía de Taiwán tuvo que pedir disculpas por haber entregado 250 unidades de memoria USB (pendrives) infectadas con malware, que recopilaba datos personales, como premio a las personas que respondían de forma correcta en una exposición de ciberseguridad y  tenían como objetivo destacar la determinación del Gobierno en tomar medidas enérgicas contra el delito cibernético. El malware, identificado con el nombre de XtbSeDuA.exe, fue diseñado para recopilar datos personales y transmitirlos a una dirección IP polaca que luego los repartía en servidores no identificados.

...