Mikko Hypponen se refiere a Zoom, los ataques con tema COVID-19 y el trabajo durante la pandemia
Es el tema que está presente en la mente de todos nosotros: El estado actual de nuestro mundo y a futuro, después de la pandemia global. Mikko Hypponen, Director de Investigación de F-Secure, se incorpora al Episodio 38 de Cyber Security Sauna para hablar de una serie de temas de seguridad relacionados con el coronavirus. En este capítulo: como evitar los hackeos a través de Zoom, las preocupaciones respecto a la TI, los engaños y el spam basados en COVID-19. Además, los ransomware y los hospitales, la actividad APT – red de computadores clandestinos – , las inquietudes respecto a la privacidad de las aplicaciones de seguimiento de coronavirus y cómo infosec puede ayudarnos.
Escucha (en inglés) o sigue leyendo la transcripción. Por favor no olvide suscribirse, evaluarnos y pasar revista!
Janne: Bienvenido, Mikko.
Mikko Hypponen: Bueno, muchas gracias Janne por recibirme.
Es siempre un placer tenerte de invitado. En nuestro último episodio hablamos sobre algunos de los desafíos para la informática con respecto al trabajo a distancia. Actualmente mucha de la información de Twitter es sobre Zoom. La plataforma está creciendo en popularidad, ya que la gente busca formas fáciles para hacer teleconferencias. ¿Es Zoom realmente tan malo?
Bueno no, en realidad no lo es. Me refiero a que las cosas podrían ser mucho peores. De hecho, hay muy buenas razones por las que Zoom está siendo tan popular.
De cierta manera, lo que está sucediendo actualmente con Zoom me recuerda a lo ocurrido el 2003 con Skype. Cuando Skype apareció, no era la primera solución de voz en Internet (voice over IP). Sin embargo, fue la primera que simplemente funcionó, además que era de fiar. Funcionaba siempre y sin necesidad de configurar muchos parámetros, sólo la instalabas y la utilizabas.
Algo similar ocurre hoy en día con Zoom, razón por la cual se está convirtiendo en un éxito masivo. Tanto los usuarios domésticos como los corporativos de todo el mundo lo están utilizando. Esto independientemente de las advertencias referentes a posibles problemas de privacidad o de seguridad y, al parecer, sin importar lo que digan los CIOs o CISOs o cualquier otro miembro del departamento de TI de la empresa.
¿Cuáles son exactamente las preocupaciones respecto a la privacidad?
Han habido muchos problemas menores en los últimos dos años. Si damos un vistazo a la historia de la CVE de Zoom, vemos que han tenido verdaderas deficiencias en seguridad, las que también incluyen problemas de ejecución de código. Sin embargo, Zoom ha sido bastante eficaz al detectarlas después de haber sido reportadas y las ha arreglado.
Precisamente durante la pandemia ha habido denuncias respecto a que cada vez que se inicia una llamada de Zoom, éste informa a Facebook. Eso fue cierto, no parecía ser intencional y ya lo han arreglado. Actualmente recibimos informes sobre casos en los que cuando envías mensajes a través del chat de Zoom, éstos son utilizados para incitarte a hacer clic en cosas que ejecutan archivos en tu propio computador. Asimismo, hacen que el Windows de tu computador intente iniciar sesión en un computador remoto de Windows, lo que puede exponer tus claves, en formato encriptado, pero si ocurre.
¿Puedes darnos algún consejo para que las conferencias de Zoom sean más seguras?
Bueno, sí. Hay cosas que los usuarios pueden hacer y hay cosas que Zoom puede hacer. Al respecto, la empresa ha anunciado haber detenido la programación de funciones adicionales y estár movilizando todos sus recursos de ingeniería para trabajar sólo en temas referentes a la seguridad y la privacidad. Así que cualquier nueva función que planeaban sacar tendrá que esperar. Todo su manpower, todos sus programadores y encargados de los tests, están tratando de mejorar el producto en cuanto a seguridad y privacidad.
Esto me vuelve a recordar lo que pasó el 2003. Entre el 2002 y el 2004 Microsoft fue azotado por brotes de virus masivos como Code Red y Blaster y Sasser. Esta fue la época en la que Bill Gates publicó la famosa carta abierta de Trustworthy Computing, o más bien, una carta dirigida a todos los empleados de Microsoft, que por supuesto se hizo pública. El contenido de ella era básicamente el mismo. Al interior de Microsoft se paralizó la programación de nuevas features y detuvieron todo nuevo desarrollo informático para dedicar todos sus recursos de ingeniería en el arreglo de los problemas de seguridad.
Si miramos con detención lo que ha estado sucediendo con Microsoft desde entonces, debo decir que fue el inicio del camino hacia los niveles de seguridad que tenemos hoy en Windows. El resultado final es bastante bueno, Windows es bastante bueno.
¿Hay algo más que le recomiendas a los usuarios de Zoom?
Claro. Los usuarios también pueden hacer más de alguna cosa. Hay diferentes tipos de ideas. Una de ellas es evitar lo que se conoce como el bombardeo de Zoom. Eso se manifiesta cuando estás en medio de una reunión y un extraño encuentra tu reunión y simplemente se deja caer. Si eso ocurre es porque no hemos sido lo suficientemente precavidos. Puede ser que los invasores encuentren tu número de identificación de la reunión porque lo publicaste en un lugar público. Las identificaciones de meeting pueden ser códigos, es decir, nueve números seguidos, o puede ser un nombre para usuarios registrados. Hay que tener conciencia de que si el ID de la reunión es pública y no hay una clave para ella, eso significa que cualquiera puede ingresar.
Otra manera es que los “bombarderos” busquen reuniones abiertas de Zoom y se unan a ellas para causar daños. Eso se conoce como “marcación de guerra”, es decir, básicamente los atacantes prueban diversos ID de reunión de Zoom para encontrar aquellas que no estan protegidas por un password.
¿Entonces qué puedes hacer para evitarlo? Usar una clave. Cada vez que tengas una reunión de Zoom pónle un password. Es increíble lo simple que es protegerse de los bombarderos de Zoom, por eso, es lo que deberías hacer en cada oportunidad.
Otro hecho importante de saber es que cuando tienes una reunión de Zoom, especialmente a nivel corporativo, es decir, en las que puedes estar discutiendo cosas delicadas, es posible que invasores se unan a la reunión no a través de una conexión de vídeo, sino que por teléfono. Esa situación suele pasar desapercibida porque cuando alguien llama por teléfono, puede que no no te des ni cuenta de que participa de ella, así que es bueno tenerlo presente. Piensa que toda la gente que conozca los detalles de la reunión puede participar de ella o que un extraño puede estar escuchando y que ni siquiera sabrás de que está ahí.
Algo similar ocurre con el chat durante una reunión de Zoom. Tenemos que asumir que todo lo que escribas en el chat público o en uno privado durante una reunión se hará público, así que no pongas cosas delicadas en el chat. De esta manera, es como elevas el nivel de seguridad de tus reuniones en Zoom.
Ese es seguramente un consejo útil para cualquier plataforma. Otra cosa que notado es que los fraudes relacionados con COVID-19 y las campañas de spam están en aumento. ¿Hay algo destacable respecto a eso, algo que te llame la atención?
Me sorprende constatar que volvemos a ver más bromas, tales como las absurdas cartas en cadena que la gente sigue reenviando sin comprobar los hechos. Por alguna razón, estos engaños parecen tener más éxito en tiempos de crisis.
Por ejemplo, actualmente durante la pandemia hemos detectado múltiples mensajes en cadena transmitidos por WhatsApp, donde la gente se advierte mutuamente de cosas que no suceden. Algunos ejemplos son el caso llamado “Martinelli” o el mensaje de la “Danza del Papa”. Son mensajes en los que la gente advierte de que si recibes el vídeo de la “Danza del Papa”, éste va a destruir tu aparato electrónico y supuestamente la BBC o la policía lo han dado a conocer.
Lo que todos nosotros podemos hacer para luchar contra peligros de este tipo es informar a la gente cercana y a los usuarios en general de que cuando reciban una advertencia sobre alguna amenaza de seguridad cibernética o algo así, que no la reenvíen sin pensar. Estos engaños están compuestos de un mensaje y una fuente, pero no hay ningún link hacia ella. Así que sólo comparta mensajes de fuentes de confianza y olvídese de rumores no confirmados.
Un amigo me contactó a causa de un mensaje específico y me preguntaba: “¿Es esto algo que debería compartir?” Yo sólo lo miré y dije: “Esto me suena a estafa”.
¿Por qué se le ocurre a la gente este tipo de engaños? Es un fenómeno raro, ya que claramente los iniciadores de ellos no se benefician de ninguna manera. Esto no es como una estafa de phishing o de malware. Se trata de rumores que circulan por ahí y las personas que lo lanzaron ni siquiera saben quién puede verlos o leerlos. Como no obtienen provecho de estos engaños, no entiendo realmente por qué la gente lo hace.
¿Hay algo diferente que estén haciendo los ciberdelincuentes ahora mismo?
Bueno, sí. Estamos detectando mucho mayor número de estafas por correo electrónico, ataques de phishing y de mensajería móvil por coronavirus. Esto a pesar de que no sea de gran interés periodístico, en el sentido de que estas cosas ocurren paralelamente a cada noticia de peso. Cuando algo de envergadura sucede, los estafadores utilizan automáticamente estos temas en sus mensajes y correos electrónicos fraudulentos.
La última vez que observamos esto a gran escala fue debido a la tragedia de Kobe Bryant. Inmediatamente comenzamos a ver mucho spam y mails de fraude basándose en la noticia. Actualmente, estamos viendo toneladas de spam usando mensajes o temas relacionados al coronavirus. Por ejemplo, registramos ataques de phishing con correos que dan la impresión de venir de la organización mundial de la salud o estafas con mensajes de texto que prometen haber recibido una donación del gobierno como ayuda durante estos tiempos difíciles. Todo lo anterior son estafas, pero las noticias importantes siempre suelen ser utilizadas en ataques como estos.
Seguramente. Entonces, las preocupaciones referentes a la privacidad y la seguridad en las diversas plataformas, los engaños, las estafas y el spam, ¿son estas la materias de las que las empresas deben ocuparse ahora que la mayoría de sus empleados trabaja de forma remota?
Son tiempos difíciles para el departamento de TI y seguridad de las empresas. Hoy en día estamos viviendo “la época dorada” del trabajo a distancia. Esta materia fue discutida en detalle en el episodio anterior del Cyber Security Sauna, por eso no voy a hablar mucho de eso aquí. Sin embargo, es importante estar conscientes de que no se trata sólo de empleados que trabajan desde casa con sus laptops y teléfonos celulares. Muchos de ellos se han llevado sus computadores de la oficina a la casa. Pensemos en el típico programador que solía estar sentado en su cubículo en una oficina con su buen escritorio. Ahora él se ha trasladado de la oficina a su hogar y está conectado al internet utilizando su red doméstica.
Oh, wow
Quiero hacer notar que eso es lo que está pasando en todas las empresas. Los sistemas normalmente no tienen VPNs instaladas porque esos empleados siempre han estado dentro de la red corporativa. Actualmente ellos usan un router doméstico que podría tener una clave del 2009 y quizás en una red Wi-Fi sin clave alguna. Así que hay temas que abordar y cosas que deben ser revisadas por los departamentos de TI cuando los empleados se van de la oficina.
Usted mismo llamó a los delincuentes a mantenerse alejados de las organizaciones de atención médica e incluso algunos prometieron hacerlo. ¿Qué pasó con eso? ¿Estamos viendo ataques? ¿Los hackers están cumpliendo su promesa?
Este es un tema delicado. Los hospitales siempre han sido blancos lucrativos para los hackers. Estoy en posesión de un documento de Europol al respecto, donde se analiza qué tipo de blancos tienen las actividades criminales de rescate y se llega a la conclusión de que las instalaciones de salud como los hospitales son muy rentables en cuanto a rescates.
Esto es bastante lógico si pensamos en entornos críticos como los hospitales porque cuando sus sistemas informáticos se apagan debido a un ataque, éstos tienen que reestablecerlos rápidamente de una manera u otra. Si la única forma de reactivarlos es pagar un rescate, es muy probable que lo hagan.
Hoy en día, los establecimientos de salud están llenos de computadores. Si miras las imágenes referentes al coronavirus de las clínicas u hospitales verás que al lado de cada cama hay un laptop. Si se mira con detención se puede ver que muchos de ellos tienen aún Windows 7 o similar, sistemas que ya están desactualizados y no tienen soporte.
No olvidemos que las instituciones de atención médica suelen estar financiadas por fondos públicos, por la comunidad o el municipio, lo que implica estar sometidas a políticas presupuestarias estrictas. Si tienes presupuestos limitados terminas usando sistemas antiguos, lo que significa que tienes menos seguridad. Por ende, hemos registrado docenas de organizaciones médicas que han sido blanco de ataques de rescate en los últimos años.
Por supuesto. Usted ha previsto a la comunidad de infosec – Comité de Seguridad del Consejo de la Unión Europea – como un tipo de unión para cazar a los criminales que dañan las instalaciones médicas que salvan nuestras vidas durante esta pandemia. Cabe la pregunta: por qué no es algo permanente? ¿De qué otro tipo de esfuerzos adicionales seremos testigos?
Actualmente mucha gente está sentada en sus hogares, sintiéndose indefensos y asustados y esperando poder ayudar de alguna manera. Sin embargo, la mayoría de ellos no puede ayudar directamente a los “héroes” que están luchando día a día contra el virus, los médicos, enfermeras etc. Pero quienes trabajamos en Infosec, podemos y queremos ayudar. Creo que todos los que trabajan en seguridad informática están de una manera u otra más que dispuestos a ayudar a combatir los ataques contra dichas entidades. Aquí no me refiero sólo a los hospitales, también a las instituciones que, por ejemplo, intentan encontrar una cura para la enfermedad, como los institutos de investigación médica.
Es exactamente por eso que hice una declaración, a mediados de marzo, dirigiéndome a las bandas criminales dedicadas al chantaje de rescates. El mensaje fue básicamente que se alejen de los hospitales, ya que serán perseguidos con el mayor esfuerzo posible si se atreven a atacar a las instituciones médicas en medio de esta pandemia. Hay tantos voluntarios e investigadores en empresas de todo el mundo que están muy deseosos de luchar contra la gentuza que ataca hospitales durante la pandemia.
Por supuesto. Pero uno pensaría que todo el mundo respalda a estos héroes que salvan vidas a diario. ¿Quiénes son las personas que los atacan? ¿Hay un perfil criminal que haya sido capaz de establecer?
Si le damos un vistazo a las bandas de rescates más activas, grupos como Ryuk o Maze, sabemos bastante sobre las organizaciones detrás de ellas, por lo que podemos decir que un gran número operan con el modelo de ”rescate como servicio”. Es decir, tenemos los jefes, los programadores y el software de rescate en cuestión, pero dichas bandas delegan los ataques prácticos a terceros. Todo esto está siendo organizado a través de sitios en la dark web, donde ellos ejecutan estas operaciones. Es un problema difícil de resolver porque los ataques reales son efectuados por terceros que no tienen nada que ver con el ransomware.
También es importante mencionar que a pesar de que mucha gente cree que todas estas bandas de rescate vienen de Rusia, no todos ellos provienen de allí. Las hay en todo el mundo. Los estados ex-soviéticos tienen un mayor porcentaje de pandillas de rescate que el resto del mundo, pero es un problema global.
Respecto al tema de los grupos ATP ¿es sólo mi impresión o estamos viendo mucha actividad en ese ámbito?
Sí, estamos viendo algo de actividad en cuanto a ataques estado-país, pero a menor nivel en este momento. Es interesante ver que hemos detectado ataques de este tipo basándose en el coronavirus para engañar a los usuarios y para que éstos hagan clic a los links o abran archivos adjuntos. Así que incluso ellos se están aprovechando de grandes noticias como la del virus.
Lo bueno es que éste es probablemente un momento más tranquilo en ese ámbito comparado con lo que vimos hace un mes. En realidad es una locura pensar en todo lo que está sucediendo al mismo tiempo – quiero decir que marzo de 2020 fue el marzo más largo de la historia.
Por supuesto. ¿Cree que la baja actividad se debe a que estos grupos se están tomando un break, ya que ellos mismos están siendo afectados por el virus, cree que la actividad del los estado-país se enfoca a la lucha contra la pandemia en lugar de los ataques cibernéticos?
Es imposible saberlo, pero eso creo. Tal vez algunos de los recursos destinados a hacer hackeos o reunir información de gobiernos extranjeros, están ahora siendo destinados a otra cosa, ya que todo el mundo está tratando de hacer frente a esta pandemia.
Eso tiene mucho sentido. Pero, ¿qué ocurre con los gobiernos que utilizan tecnologías como datos de localización para rastrear a las personas con el fin de frenar la propagación del coronavirus?
Estamos viendo iniciativas interesantes en cuanto a las aplicaciones en diferentes países. Singapur es un buen ejemplo porque tienen una aplicación que los ciudadanos instalan voluntariamente y que rastrea sus movimientos y les notifica si se acercan demasiado a una persona que dió positivo por coronavirus. Por ejemplo, recibirías una notificación si estuvieras sentado en el mismo bus con alguien que una semana después resultara estar contagiado. Eso es realmente valioso, útil y es algo que me gustaría tener a mi mismo.
¿Tiene eso repercusiones en la privacidad? Claramente. Pero esto es un trueque y uno que estaría dispuesto a hacer sin pensarlo dos veces, es más, creo que la mayoría de la gente estaría dispuesta a hacerlo. Enviar tu ubicación física a un tercero en todo momento sólo para saber si estás en riesgo, es útil y probablemente provechoso.
El riesgo es que si concedemos ahora derechos adicionales a ciertas entidades, ¿cómo los cancelamos cuando la pandemia se acabe?
Por supuesto. Tú y yo vivimos en Finlandia y tú además mencionaste Singapur. Gobiernos como estos dan un buen ejemplo. Pero los hay de otro tipo también. Cuando Irán presentó su aplicación de rastreo hubo preocupación respecto a posibles intereses ocultos.
Es cierto. Cuando se recolectan grandes cantidades de información como la médica, de ubicación, de identificación de la persona etc. hay que cuestionarse ¿cómo se almacena? ¿dónde? ¿cómo la encriptas? ¿cómo la borras? Todas ellas son preguntas de peso y no podemos ignorarlas, incluso en medio de una pandemia. Tenemos que poner atención a la forma cómo la información es recogida, almacenada y eliminada.
No obstante, la pregunta clave es ¿cómo evitar que los derechos especiales otorgados actualmente a las autoridades no se conserven en el tiempo?
Por supuesto. Nada es más permanente que las soluciones temporales…
Eso es muy cierto, Janne.
Pensando a largo plazo, ¿cómo va a cambiar el coronavirus nuestra economía o nuestro mundo?
Para ser sincero, no tengo ni idea. No podría decírtelo con certeza. Es imposible predecir el futuro y ni siquiera voy a intentarlo. Tampoco quiero mentirme a mí mismo en cuanto mi productividad actual comparada con la de tiempos normales, pero estos no son tiempos normales. Tenía la esperanza de poder hacer cosas que simplemente no he podido hacer en la cuarentena y éste no es 100% el trabajo diario de la oficina. Bueno, no he sido tan productivo como esperaba, pero no creo que ninguno de nosotros lo sea y creo que eso está bien. Pienso que deberíamos tener un poco de misericordia con nosotros mismos, porque no sólo estamos trabajando a distancia, sino que además en medio de una pandemia mundial.
Que alivio escucharte porque tengo un ejemplar de Anna Karenina en mi velador, quería leerlo y ni siquiera lo he abierto.
Sí, bueno, si quieres te cuento el final. Puedo decirte quién cometió el asesinato.
No spoilers por favor.
El mundo cambiará y esto pasará a los anales de la historia. Ésta es la noticia más importante de la década y será una de las mayores del siglo y la estamos viviendo ahora mismo.
Concuerdo contigo. Pasando a un plano más personal, tú estás acostumbrado a estar en movimiento, volando por el mundo, en conferencias y eventos. ¿Cómo sobrevellas el aislamiento en casa?
Bueno, la situación es muy diferente. No he viajado durante semanas y no lo haré en muchas más. Es muy diferente porque normalmente me desplazo a algún lugar cada semana, incluso tal vez dos veces por semana, pero es genial ahora. Quiero decir que me gusta mucho, sin embargo, la vida volverá probablemente a la normalidad y pienso que volveré a viajar.
Estoy seguro de que será así. Gracias por acompañarnos.
Muchas gracias, buena suerte en tu trabajo y no olvides lavarte las manos.
Ese fue nuestro programa de hoy, espero que haya sido de su agrado. Por favor no olvide suscribirse al podcast y también puede hacernos preguntas o comentarios en Twitter @CyberSauna. Gracias por su atención.
Categorías