Temas de ciberseguridad del 2019 que seguirán siendo decisivos el 2020

La reinante inseguridad en los sistemas digitales estuvo constantemente presente en los titulares el 2019, reafirmando la tendencia de los últimos diez años.

El primer año de la década pasada se detectó Stuxnet, un gusano informático pionero en la “carrera de armas cibernéticas” que intentó perjudicar el programa nuclear de Irán. Éste fue el primer brote de malware del orden de los 10.000 millones de dólares en el mundo, dando paso a un torrente constante de filtraciones de datos. El enfoque pasó entonces a centrarse no sólo en la prevención de los ataques sino también en la detección y respuesta a ellos.

Sin importar si se trata de la banca, de elecciones o de política exterior, la forma en la que protegemos nuestros dispositivos electrónicos, nuestra identidad y nuestras redes afecta a todo el mundo.  Asimismo, los peligros a los que estamos expuestos aumentan en complejidad con cada nueva “comodidad” digital que la sociedad añade a nuestras vidas.

Al comenzar un nuevo año es bueno recordar algunas de las historias que han sido noticia y que han puesto de manifiesto los problemas de seguridad cibernética más preocupantes.

773 millones de direcciones de correo electrónico y 21 millones de claves divulgadas desde un sitio llamado ‘Colección #1’

La masiva filtración de datos publicada en el sitio de Troy Hunt “Have You Been Pwned” a comienzos del 2019 no era nueva. Pero un buen ejemplo de los desafíos a los que las empresas se enfrentan al intentar asegurar datos. Lo mismo con respecto a los riesgos a los que los consumidores se enfrentan debido a las continuas filtraciones.

Probablemente miles de millones de personas se hayan visto afectadas por las filtraciones detectadas el año pasado.

Las grandes cantidades de datos que compartimos sólo harán que sea cada vez más difícil proteger nuestra identidad.

Norsk Hydro fue objeto de un “amplio ciberataque que afectó las operaciones de diversas áreas de negocio de la empresa”

El fabricante noruego de aluminio Norsk Hydro, intentando luchar contra el software de chantaje conocido como LockerGoga en marzo último, pasó sus sistemas inmediatamente a modo de emergencia. Con el extraordinario esfuerzo de sus empleados la empresa reanudó sus operaciones, sin embargo, aún así sufrió daños por unos 75 millones de dólares.

Este ataque difiere de WannaCry y NotPetya, los conocidos brotes globales de rescate en el 2017, en un aspecto esencial: “No hay ningún mecanismo de replicación, esto no es un gusano, sino un ataque dirigido por cibercriminales”, explicó Mikko Hypponen, director de investigación de F-Secure, a WIRED. La motivación fue exclusivamente el dinero”.

Aunque el virus pide rescate ha disminuido como riesgo latente para los consumidores, los hackers han centrado su uso en entidades más inclinadas a pagar, como son las pequeñas empresas, las fabricas y los gobiernos.

Unos 200 a 600 millones de usuarios de Facebook almacenaron sus claves de acceso como un texto más

Los problemas de privacidad de Facebook siguieron haciendo noticia el 2019. O hubo problemas con la forma en que el sitio asegura las claves o se trataba de la filtración de 419 millones de números telefónicos y los datos privados de 267 millones de usuarios, de diferentes maneras, la red social más grande del mundo continuó demostrando lo difícil que es proteger la privacidad de las personas mientras se intenta sacar provecho de sus vidas privadas.

Lo más probable es que este tipo de problemas continúen el 2020. La pregunta es si las consecuencias de estos descuidos serán tan graves como para cambiar la interacción entre los usuarios y los gobiernos con el sitio.

Microsoft publicó correcciones para un defecto crítico en la ejecución de código remoto llamado “BlueKeep”.

“CVE-2019-0708 podría permitir a un hacker ejecutar código remoto en un dispositivo electrónico vulnerable vía Protocolo de Escritorio Remoto (RDP)”, reveló Teemu Myllykangas de F-Secure en mayo pasado.

Pocos meses después, en noviembre, ya había pruebas de que podía haber graves consecuencias si no se corregía BlueKeep.

“F-Secure cuenta con informes tanto públicos como privados relacionados con un nuevo foco de malware que aprovecha la vulnerabilidad CVE-2019-0708, conocida como BlueKeep”, advirtió F-Secure. “La existencia de malware que se vale de BlueKeep aumenta el riesgo en todas las empresas, independientemente del nivel de riesgo propio”.

Debido a lo que nuestro CEO, Samu Konttinen, llama “efecto de goteo” debilidades conocidas y desconocidas, como BlueKeep, continuarán siendo un peligro en el futuro inmediato.

El GDPR celebra su primer cumpleaños

Tanto si se le adora como si se le odia es imposible negar el impacto del GDPR – reglamento general de protección de datos europeo – ya en su primer año de existencia.

“La sensibilización registrada ha sido inmensa”, recalca Eric Andersen, asesor de empresas en el cumplimiento de la normativa GDPR, en nuestro podcast de la Ciber Sauna. “Todo el mundo está hablando de cómo proteger los datos al interior de las empresas”.

Las primeras multas de peso, emitidas en diciembre del 2019, indican que los reguladores intensificarán la aplicación de la ley. Pero el mayor impacto de ella es la versión “ligera” de GDPR adoptada por California. La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el 1 de enero de 2020.

La CCPA es la primera ley que funciona a partir del modelo europeo de regulación de datos, pero no será la última.

IoT y las preocupaciones de los hogares conectados crecen

“Para nadie es sorpresa que los dispositivos electrónicos inteligentes son uno de los mayores temas y, a la vez, el principal impulsor de los ataques por internet en el primer semestre del 2019“, constató Melissa Michael de F-Secure en septiembre último.

La red de Honeypots -también conocidos como servidores señuelo – que F-Secure utiliza para monitorizar los ataques cibernéticos en todo el mundo registró más malware tipo Mirai (que tiene como objetivo a dispositivos IoT inseguros como cámaras web y routers) que cualquier otro tipo dirigido a PC o teléfonos inteligentes. Los nuevos dispositivos IoT lanzardos al mercado contribuyeron a producir caos y F-Secure Consulting continúa encontrando vulnerabilidades en los dispositivos smart que están llenando las oficinas y los hogares.

El equipo rojo de expertos de F-Secure, mientras realizaba ejercicios para detectar filtraciones en redes de oficinas, se percató de la popularidad del sistema ClickShare – un sistema de presentación inalámbrico líder – y terminó identificando numerosas vulnerabilidades en él. Nuestros investigadores también revelaron debilidades en una cerradura inteligente – Smart Lock – y en un SMART Android proyector en las últimas semanas del 2019.

Las inquietudes respecto a la privacidad del timbre “inteligente” de Amazon Ring demuestran la sensación abrumadora que tienen los usuarios al ver las complicaciones asociadas a asegurar una vida en la que casi todo se conecta al internet.

En el transcurso de este año, California también pondrá en marcha la SB-327, la primera ley que intenta regular la seguridad IoT, sin embargo, sólo abarca a los nuevos dispositivos. Debido a ello, F-Secure está trabajando en conjunto con los proveedores de seguridad Internet para proteger los dispositivos domésticos smart y las identidades, lo que va más allá de lo estipulado por la ley.