Los 12 peores incidentes de ciberseguridad de 2018 ¡Feliz 2019!

A pocas horas del cierre del año terminamos con los 10 peores incidentes de ciberseguridad de 2018. Una selección ya clásica en nuestro blog de seguridad informática donde -de paso- aprovechamos para desear a todos nuestros lectores salud y prosperidad para 2019.

El resumen de incidentes de 2018 confirma la introducción del malware en todo tipo de plataformas que hemos visto durante los últimos años. También siguen al alza los ciberataques de todo tipo contra servicios comerciales que provocan una enorme fuga de datos empresariales y personales y con ello, una invasión brutal a la privacidad de los usuarios.

Las violaciones se producen por ello y también por las prácticas indeseables de algunas compañías en la búsqueda de un mayor beneficio económico sin la debida transparencia y controles. Los datos son oro en la era de Internet y recuperar la confianza del consumidor en la capacidad de los proveedores de productos y servicios para proteger sus datos será clave para 2019.

Te dejamos con algunos de estos incidentes. Solo es una selección porque el año ha dado para mucho lamentablemente, confirmando lo muchísimo que nos queda por avanzar en materia de ciberseguridad.

Spectre y Meltdown

2018 comenzó con un bombazo que hizo temblar el mundo de la computación. Un artículo publicado en The Register adelantó una serie de vulnerabilidades críticas en procesadores Intel y métodos de ataque de canal lateral que permitían saltarse el ASLR, un mecanismo de protección incluido en los sistemas operativos basado en la aleatorización de ubicaciones de la memoria RAM.

Poco después se conoció que Spectre y Meltdown afectaban a la misma arquitectura de los procesadores y se extendía también en alguna de sus variantes a otros proveedores como AMD y ARM. Las vulnerabilidades afectaban a la seguridad (y al rendimiento) de centenares de millones de dispositivos electrónicos de varios proveedores de chips y sistemas operativos. Y no solo ordenadores personales. Si Meltdown afectaba únicamente a procesadores Intel, Spectre afecta también a AMD y ARM, por lo que varios medios extienden la problemática a móviles inteligentes, consolas de videojuegos y otros dispositivos.

El CERT (Computer Emergency Response Team), el centro de respuesta a incidentes de seguridad en tecnologías de la información y referente absoluto en ciberseguridad, confirmó la situación crítica y emitió unas declaraciones que hicieron saltar las alarmas en todo el planeta: “Debido al hecho de que la vulnerabilidad existe en la arquitectura de la CPU en lugar de el software, los parches no pueden abordarla plenamente en todos los casos. Para eliminar la vulnerabilidad por completo, será necesario reemplazar la CPU afectada“. 

El mismo CERT confirmó la noticia original de The Register y habló de una pérdida de rendimiento de hasta el 30%, lo que sería una auténtica barbaridad y obligaría a reemplazar el procesador en algunos casos de uso. Finalmente no ha sido para tanto. La pérdida de rendimiento existe, aunque varía bastante según la versión del sistema operativo y la plataforma hardware que utilicemos. Solucionar esta vulnerabilidad vía software (al menos para Meltdown) implicaría necesariamente separar los procesos del usuario de la memoria del kernel y con ello variar el funcionamiento del procesador, que en el caso de Intel (y también los de otros fabricantes compatibles) gana rendimiento precisamente con un tipo de técnicas de elevación de privilegios que en las últimas horas ha sido duramente criticadas por el creador de Linux, Linus Torvalds.

Las noticias sobre Spectre y Meltdown se han acumulado a lo largo del año así como sus múltiples parches en el firmware de los procesadores, sistemas operativos y aplicaciones. Los ataques potenciales se han mitigado aunque su solución completa es simplemente imposible como se adelantó. Investigadores del MIT (Instituto de Tecnología de Massachusetts) han desarrollado una forma de particionar y aislar los cachés de memoria con “dominios de protección” y evitar la explotación de la “ejecución especulativa” y este mismo mes, Intel ha anunciado la nueva arquitectura de procesadores Sunny Cove, la primera que llegará al mercado completamente libre de estas vulnerabilidades.

El año horrible de Facebook

La primera red social por número de usuarios nunca ha destacado en sus aspecto de seguridad y privacidad, pero lo de este año ha supuesto ‘un antes y un después’ como empresa y 2018 cerrará como el año en el que se ha conocido los más graves incumplimientos de Facebook de su deber de proteger los datos de los usuarios, su intimidad y privacidad.

El escándalo de Cambridge Analytica (incluyendo extorsiones al más puro estilo mafioso con sobornos, espías y prostitutas), por el que la consultora tuvo acceso no autorizado a datos e información privada de hasta 87 millones de usuarios, fue seguido de un hackeo más reciente que se convirtió en el error de seguridad más grave de la historia de la compañía, comprometiendo la información personal de 30 millones de usuarios.

Otro de los casos sonados afectó gravemente a la privacidad cuando la red social convirtió la seguridad en negocio  vendiendo los números de teléfono 2FA proporcionados por los usuarios con el objetivo de mejorar la seguridad en el acceso a servicios de Internet, para enviar anuncios publicitarios personalizados.

Este mismo mes un fallo de seguridad comprometió la privacidad de 6,8 millones de usuarios, al revelar fotografías privadas que no habían sido compartidas públicamente en la red social. El fallo de software afectó a millones de usuarios que usaron el inicio de sesión de Facebook para conceder permisos a aplicaciones de terceros y acceder a las fotos. Facebook habló de 1.500 aplicaciones y 876 desarrolladores los afectados por un caso que se produjo durante doce días entre el 13 y el 25 de septiembre.

Y para terminar el año llegó otro caso bien gordo que, de confirmarse, debería obligar a los reguladores de todo el mundo a tomar medidas urgentes y definitivas contra la firma de Mark Zuckerberg.  The New York Times aseguró que Facebook entregó datos y mensajes a Amazon, Microsoft, Netflix y hasta 150 grandes empresas más, sin conocimiento ni consentimiento de sus usuarios,

La información de NYT es gravísima y describe acuerdos secretos con otras tecnológicas para permitirles accesos intrusivos a los datos personales de los usuarios, incluso a sus mensajes privados. Para ello, Facebook se saltó sus propias normas de privacidad y reglas de transparencia, según se recoge en los documentos internos de la propia compañía citados por The New York Times.

Reguladores de medio mundo tienen a Facebook en su punto de mira con múltiples investigaciones, mientras que la compañía ha perdido miles de millones en bolsa. Mark Zuckerberg promete grandes cambios y mejoras. Veremos.

Enorme robo de datos en Marriott

La cadena de hoteles Marriott informó de una de las mayores violaciones de seguridad de la historia, con robo de datos personales y financieros de 500 millones de clientes. La brecha de seguridad se remonta -nada menos- que a 2014 y se habría originado en la cadena de hoteles Starwood adquirida por Marriott en 2016. La brecha no fue detectada ni en el proceso de fusión ni en los años siguientes.

Marriott dice que no tuvo conocimiento del acceso no autorizado a la base de datos de reservas hasta el 19 de noviembre de 2018. La base de datos robada acumuló más de 4 años de información e incluyó una información personal y financiera amplísima, “una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, pasaporte, información de la cuenta, fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación”. 

Para empeorar las cosas, Marriott dice que probablemente también se robaron los números de las tarjetas de crédito. Aunque los números estaban cifradas con el estándar AES-128, Marriott dice que no puede descartar que los piratas informáticos también robaron las claves para descifrar la información de los números de las tarjetas.

The Washington Post dijo que no estaba claro si los piratas informáticos eran “delincuentes que recopilan datos por robo de identidad o espías que recopilan información sobre viajeros de todo el mundo, incluidos posiblemente diplomáticos, empresarios o funcionarios de inteligencia mientras se desplazan por todo el mundo”.

Ransomware es la principal ciberamenaza

El Ransomware mantiene la supremacía como la principal ciberamenaza de malware en la mayoría de los estados miembros de la Unión Europea, según el informe de Europol, Internet Organised Crime Threat Assessment (IOCTA) correspondiente a 2018.

El informe, “tiene como objetivo informar a los responsables de la toma de decisiones a nivel estratégico, político y táctico en la lucha contra la ciberdelincuencia, con el objetivo de dirigir el enfoque operativo para la aplicación de la ley en la UE”, dice el informe de Europol, el órgano encargado de coordinar, apoyar y facilitar las operaciones de los cuerpos policiales europeos a nivel de la Unión.

Al igual que con otros tipos de malware, los ciberataques por Ransomware son cada vez más numerosos, sofisticados, peligrosos y masivos, como mostró WanaCryptor, un ataque bien planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial, poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países.

Si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware tal y como vimos con el ransomware NotPetya.

Recordemos que un Ransomware típico infecta un ordenador personal o dispositivo móvil, bloquea el funcionamiento y/o acceso a una parte o a todo el equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos. Por ello, si el mejor de los consejos en ciberseguridad es la prevención, en el caso del Ransomware es imprescindible para frenarlo siguiendo este tipo de consejos.

Cierra Google+

El gigante de Internet adelantará cuatro meses el cierre de la red social Google+ después que un nuevo bug comprometiera la información de más de 52 millones de usuarios.

Hace un par de meses se anunció una vulnerabilidad en Google+ que expuso los datos personales de hasta 500.000 usuarios entre el año 2015 y marzo de 2018, cuando la compañía la parcheó. El error fue descubierto por Google como parte de una revisión interna llamada Project Strobe y afectaba a una API llamada “People” a la que tuvieron acceso hasta 438 desarrolladores de aplicaciones en Google+.

El error permitió a esas aplicaciones acceso a la información privada en el perfil de usuario de Google+. Ello incluyó detalles como direcciones de correo electrónico, género, edad, imágenes, estados de relaciones, lugares vividos y ocupaciones.  Hasta 438 aplicaciones en Google+ tuvieron acceso a esta API “People”, aunque la compañía dijo que “no tenían pruebas que los desarrolladores fueran conscientes de la vulnerabilidad”.

Según un informe publicado por el Wall Street Journal, la compañía no reveló la vulnerabilidad cuando la reparó en marzo ante los “daños reputacionales” y porque “no quería que los legisladores la sometieran a un examen normativo”. El CEO de Google, Sundar Pichai, fue informado sobre la decisión de no revelar la vulnerabilidad después que un comité interno hubiera decidido el plan, explica WJS. 

Ya en diciembre, Google descubrió un nuevo ‘bug’ que esta vez afectó a una gran cantidad de clientes. El fallo permitió que las aplicaciones que usaban la API vieran la información completa del perfil de los usuarios, incluso si ese perfil estaba configurado como privado. Google solucionó el bug en una semana y aseguró que los datos expuestos “no incluían información sensible” como contraseñas o datos financieros. Sin embargo, para “asegurar la protección de nuestros usuarios”, Google ha decidido cerrar la red social para consumidores en abril de 2019, cuatro meses antes de lo previsto.

Fallo en OpenSSH

Los investigadores en seguridad de Qualys descubrieron en agosto una vulnerabilidad que llevaba presente 19 años en OpenSSH, la implementación más conocida del protocolo SSH y cuyos responsables son los desarrolladores del sistema operativo OpenBSD (aunque también es muy utilizado en Linux, Mac y más recientemente ha llegado a Windows).

Entrando en detalles, se trata de un fallo en la enumeración del nombre de usuario (CVE-2018-15473) que permite a un atacante remoto adivinar nombres de usuario registrados en un servidor OpenSSH (un cliente accede al sistema del servidor con los privilegios determinados por la última parte). El escenario de ataque se basa en que un actor malicioso intenta autenticarse en un endpoint de OpenSSH a través de una solicitud de autenticación mal formada, que puede estar compuesta de un paquete truncado.

Luego, el servidor OpenSSH vulnerable puede reaccionar de dos maneras diferentes. En caso de que el nombre de usuario en la autenticación mal formada no exista, el servidor responderá con el típico error de fallo en la autenticación, sin embargo, en caso de estar ya registrado simplemente se cerrará la conexión sin dar ninguna respuesta. Este comportamiento de OpenSSH permite adivinar los nombres de usuario válidos para acceder de forma remota a un sistema, abriendo así la puerta a ataques de fuerza bruta para adivinar la contraseña.

El fallo fue parcheado en las versiones estables, pero una gran cantidad de dispositivos se vieron expuestos a un posible ataque masivo porque OpenSSH es una de las tecnologías más utilizadas del mundo cuando se trata de acceso remoto y se usa en millones de dispositivos grandes y pequeños, desde servidores a dispositivos IoT.

GitHub sufre el mayor ataque DDoS jamás registrado

GitHub, uno de los grandes servicios de alojamiento mundial para control de versiones, desarrollo e intercambio de software, sufrió en marzo el mayor ataque DDoS jamás registrado: 1,35 terabits por segundo.

Como sabes, los ataques distribuidos de denegación de servicio (DDoS) sobrecargan los recursos computacionales del sistema atacado hasta dejarlo inaccesible. Saturación mediante grandes flujos de información desde varios puntos hasta dejar los servidores fuera de servicio.

El ataque DDoS a GitHub tuvo un nivel desconocido de 1,35 Tbps (126,9 millones de paquetes por segundo), casi el doble de la media de los mayores ataques registrados hasta entonces como el que tumbó Krebs on Security a 620 Gbps, el realizado al proveedor de hosting francés OVH que alcanzó casi los 800 Gbps o el mayor registrado hasta ahora contra el proveedor Dyn a 1,2 Tbps.

El enorme volumen de datos sobrepasó las computadoras de GitHub, lo que provocó que dejaran de responder y se desconectaran. En ese momento, GitHub recurrió al servicio especializado de mitigación de ataques DDos de Akamai para filtrar el tráfico malicioso, finalizando el efecto del ataque en pocos minutos. Hubo un segundo ataque que alcanzó un máximo de 400 Gbps, pero fue absorbido sin que el sitio cayera.

Otro punto a destacar del ataque DDos contra GitHub es que no utilizó botnets como era habitual hasta ahora, si no utilizando los servidores memcached. Alrededor de 100.000 de ellos, propiedad de empresas y otras instituciones, están actualmente expuestos sin protección de autenticación, lo que significa que están al alcance de los atacantes.

GitHub confirmó que la confidencialidad o integridad de los datos de los usuarios del sitios nunca estuvo en riesgo.

Vulnerabilidad en Drupal

También dio que hablar una vulnerabilidad crítica en Drupal, uno de los CMS más conocidos del mercado, segundo más usado tras Word Press y con nicho especial en comercio electrónico.

Se trató de una vulnerabilidad de ejecución de código en remoto localizada en múltiples subistemas de Drupal. Los agujeros de seguridad abrían la puerta a que el sitio web quedara totalmente comprometido, y para explotarlos no se requería de credenciales de acceso ni de ningún privilegio, por lo que cualquier visitante anónimo que tuviera los conocimientos necesarios podía hacerse con el control total del sitio web, pudiendo hasta borrar y manipular datos que no fueran públicos (pertenecientes a la base de datos o al back office).

Drupal parcheó el software, pero no pudo evitar que atacantes explotaran activamente la vulnerabilidad parcheada en Drupal, que recibió el nombre informal de Drupalgeddon2 con código CVE- 2018-7600. Para tomar el control completo del sitio web, incluyendo el servidor que lo está haciendo funcionar, solo había que acceder a la URL de un sitio web vulnerable e inyectarle el código del exploit, que está disponible de forma pública para quien quiera utilizarlo.

La vulnerabilidad fue explotada para múltiples propósitos, entre los que se puede mencionar la instalación de cargas maliciosas como mineros maliciosos y software para provocar denegaciones de servicio. Las cargas maliciosas se propagaron a modo de gusano, por lo que los sitios web infectados se dedicaron a buscar otros que no lo estuvieran y fueran vulnerables.

Motores de búsqueda alternativos desafían a Google

En la batalla de las búsquedas y publicidad en línea, Google es un gigante comparado con todas las demás grandes tecnológicas. Y no digamos con las pequeñas empresas europeas. Sin embargo, la reacción popular sobre la recopilación masiva de datos personales, no siempre realizada con la necesaria transparencia, ofrece nuevas esperanzas a una serie de motores de búsqueda poco conocidos que enarbolan la bandera de protección de la privacidad del usuario.

DuckDuckGo es un ejemplo. “el motor de búsqueda que no te rastrea”, acaba de alcanzar 30 millones de búsquedas diarias. Muy lejos del líder, Google, pero llama la atención que en una época en la que parece que casi todos los principales servicios de Internet buscan vender los datos personales, un motor de búsqueda pro-privacidad esté experimentando un crecimiento masivo. Además, es interesante observar que el nuevo registro de búsqueda diaria de DuckDuckGo se produjo días después de que se conociera la violación de datos en Google+ y su ocultación por el gigante de Internet. Sucedió lo mismo cuando Google cambió su política de privacidad en 2012 y cuando se conocieron las actividades de vigilancia masiva de la NSA por Edward Snowden.

A lo que está consiguiendo DuckDuckGo es a lo que aspiran sitios como Mojeek de Gran Bretaña, Qwant de Francia, Unbubble en Alemania o la suiza Swisscows. Todos tienen algo en común, no rastrean los datos de los usuarios, ni filtran los resultados ni muestran anuncios según “comportamiento”. Estos sitios están creciendo en medio de la implementación de las nuevas regulaciones de privacidad europeas (GDPR) y los numerosos escándalos de tráfico de datos y violación de derechos que han despertado la conciencia pública sobre las montañas de información personal que algunas empresas recopilan y venden a los anunciantes.

La sospecha generalizada en Europa sobre el dominio de Google en las búsquedas en Internet también ha ayudado a hacer del continente un lugar de desove para una búsqueda segura. Europa es particularmente sensible a los problemas de privacidad. Todavía no son populares, pero no hay duda que los motores de búsqueda europeos están desafiando a Google con la bandera de la privacidad, un derecho fundamental que el gigante de Internet tendrá que garantizar si quiere mantener su situación de privilegio.

Telemetría de Microsoft Office y Windows 10

Investigadores del regulador oficial holandés, han publicado un informe donde identificaron una “recopilación de datos personales a gran escala y encubierta” en las suites ofimáticas de Microsoft, Office 2016 y Office 365 de ProPlus. 

Microsoft recopila datos con fines ‘funcionales y de seguridad’ en todas sus soluciones de software. Sin embargo, el informe aseguran que ocho apartados descubiertos en la telemetría de Microsoft Office y Window 10 Enterprise incumplirían el nuevo reglamento de protección de datos de la UE, GDPR, y la propia privacidad de los usuarios.

Privacy Company, compañía que realizó la investigación en nombre del gobierno holandés, asegura que Microsoft realiza “procesamiento de datos a gran escala y en secreto”, encontrando recopilación de datos privados como asuntos de correo electrónico y frases completas recopiladas por las herramientas de traducción y corrector ortográfico de Microsoft. El informe también dice que la telemetría de Microsoft Office envió datos de usuarios holandeses a servidores de EE. UU., lo que deja abierta la posibilidad que las autoridades de ese país aprovechen los datos.

El gobierno holandés dice estar extremadamente preocupado de que Microsoft hubiera recopilado sus propios datos, incluidos los de 300.000 empleados gubernamentales que usan productos del gigante del software. El regulador de datos holandés dijo que si Microsoft no avanzaba en su procesamiento de datos, consideraría medidas de cumplimiento. O multas que el GDPR establece en el 4% de los ingresos. 

Es curioso observar que los investigadores descubrieron que la recolección de datos de telemetría de Microsoft Office (hasta 25.000 tipos de datos de eventos de Office a los que pueden acceder al menos 30 equipos de ingeniería) es mucho más amplia que la efectuada en Windows 10, otro software polémico en sus aspectos de privacidad y que Microsoft ha tenido que mejorar en las últimas actualizaciones.

Violación masiva de datos en Quora

Los ciberataques a grandes compañías se sucedieron a lo largo del año y otro caso afectó a 100 millones de usuarios de la red social Quora, uno de esos grandes éxitos silenciosos de Internet tras convertirse en uno de las mayores fuentes de información en la Web junto a Wikipedia. Como todos los grandes servicios está en el punto de mira de los piratas informáticos y como otros antes, su seguridad ha sido vulnerada.

Quora ha informado que tuvo conocimiento de un acceso no autorizado el 30 de noviembre. Puso en marcha una investigación interna, contrató a una “firma forense y de seguridad digital líder” y notificó a los usuarios que fueron afectados. No ha entrado en más detalles, pero apunta a robo de datos de terceros comprometiendo información personal de:

• Información de la cuenta: Nombres, direcciones de correo electrónico, contraseñas cifradas (con hash).
• Datos importados de redes sociales vinculadas como Facebook y Twitter en los usuarios que lo hubieran autorizado.
• Contenido y acciones públicas, como preguntas, respuestas, comentarios y votaciones.
• Contenidos y acciones no públicas, incluyendo solicitudes de respuesta, votaciones y mensajes. 

El número de usuarios potencialmente afectados es de 100 millones, la mitad del total de la red social. Quora dice estar “tomando las medidas adecuadas para evitar este tipo de incidentes en el futuro”. Y está muy bien, pero parece que las grandes compañías tendrían que invertir más en seguridad para prevenir antes de que sucedan estas violaciones masivas que buscan el oro puro de nuestra era: datos.

GDPR

No podemos terminar este resumen sin citar el GDPR. No es un incidente de ciberseguridad sino todo lo contrario ya que se trata del Reglamento General de Protección de Datos, una nueva normativa de la Unión Europea, que desde el 25 de mayo es de obligada aplicación en todos los estados miembros, afectando a todo tipo de empresas, grandes o pequeñas, organizaciones de cualquier índole o instituciones gubernamentales públicas de todos los niveles de administración.

Desde los años 90 existen normas nacionales de privacidad de la información basadas en varias directivas europeas de protección de datos y de privacidad en las comunicaciones electrónicas. Una legislación creada en tiempos donde no existía una red global como Internet, ni la multitud de servicios y usuarios conectados, ni los grandes centros basados en la nube que manejan una cantidad de datos incuantificables.

Los avances tecnológicos, Internet y la era de la conectividad, junto al incumplimiento general de reglas legales y éticas en manejo de datos personales, han dejado todas las normativas simplemente obsoletas y de ahí la necesidad de esta regulación cuyo objetivo principal es dotar de un mayor control de sus datos personales a los ciudadanos de la UE y también beneficiar a las empresas al ofrecer un entorno más transparente para operar, simplificando el entorno regulador de los negocios internacionales y unificando la regulación dentro de la UE.

La nueva normativa afecta a todas las empresas e instituciones que manejen y utilicen datos de cualquier persona física de la Unión Europea. El reglamento de protección de datos amplía el ámbito de su aplicación a empresas no europeas que tengan su residencia en cualquier parte del mundo, siempre que procesen datos de residentes de la UE. Es decir, la norma afecta por igual a una pequeña empresa española que a un gigante como Facebook o Google en cuanto al tratamiento de datos de personas físicas de la UE.

GDPR es una de las normas más restrictivas de su ámbito y contempla elevadas sanciones por infracciones que pueden alcanzar los 20 millones de euros o el 4% del volumen de ingresos anuales de una empresa.

Aprovechamos el último artículo del año para desear a todos nuestros lectores salud y prosperidad para 2019.