26 diciembre 2014

Seguridad: Lo que fue 2014 y lo que viene en 2015



Siempre a final de año, tanto a nivel personal como profesional, hacemos balance de lo que ha significado para nosotros el año que ya nos deja y hacemos todos nuestros buenos propósitos para hacer las cosas bien el año que entra.

En 2014 hemos continuado siendo testigos de ataques a grandes corporaciones, como el último de Sony, en el probablemente nunca sepamos lo que realmente ha pasado y cómo ha sido. 

Ataques altamente sofisticados, de los que ya hemos hablado en incontables ocasiones, del tipo APT, con poderes terroríficos, han seguido apareciendo a lo largo de los últimos años. El último gran conocido ha sido Regin, un malware formado por diferentes módulos, con capacidades hasta para manipular estaciones base GSM, con inteligencia para ocultarse de forma cifrada en los atributos del sistema de ficheros NTFS o en espacio sin usar de la MFT, que se descifra “on demand”,… pensado para extraer información de forma silenciosa, a través de diferentes protocolos o “covert channels”.

Se ponen los pelos de punta al pensar que ciberarmas como estas lleven operando desde hace años, y que recién ahora sean descubiertas. Queda clara la inversión necesaria por parte de gobiernos y de entes con altas capacidades de financiación para llevar a cabo labores de espionaje entre países y a grandes corporaciones.

Otra de las cosas por las que se ha caracterizado 2014, y en mi opinión muy relacionado con el punto anterior, es por ser el año de los grandes bombazos: Vulnerabilidades como Shock shell en BASH, o aquellas involucradas en implementaciones criptográficas como Heartbleed, Poodle, GotoFAIL de Apple, GnuTLS o incluso que el software Truecrypt ya no sea seguro (del que Yago ya sospechó un año antes), son torpedos en la línea de flotación, que han provocado que la confianza en la privacidad en Internet haya decaído totalmente y nos lleve a preguntarnos a nosotros mismos, ¿en manos de quién estamos? ¿Vivimos en un mundo constantemente monitorizado? ¿Es realmente todo esto necesario y a este nivel?

La denigración del término Hacker por parte de la RAE, y la enmiendas aplicadas como Ley Mordaza, hacen plantearse si lo que llevamos haciendo de forma natural, compartiendo conocimientos e investigaciones, compartiendo herramientas, denunciando vulnerabilidades, etc,… sea o no o correcto. 

Llegados a este punto esto da igual, y aunque nosotros sabemos la ética con la que hacemos las cosas, cuando estamos hablando de interpretación de una ley por parte de gente sin el conocimiento técnico necesario, cualquier cosa que salga de /dev/random se puede uno esperar. 


¿Qué nos queda para 2015?

Por estas fechas, muchos fabricantes de seguridad como Fortinet o ESET, etc,… han llevado a cabo un ejercicio de análisis sobre lo que nos trae el año que viene, y la verdad es que en materia de seguridad en Internet, no tiene pinta de ser muy halagüeño. 

  • El Internet de las Cosas: Dada la vertiginosa velocidad con la que estamos conectando todo a Internet, la proliferación de los wearables y la cantidad de información que confiamos a servicios en la nube, los ataques a este tipo de servicios, van a estar a la orden del día.
  • Ataques a sistemas de pago: Donde hay dinero de por medio, ahí habrá ciberdelincuentes intentando llevárselo. Desde que salió a la luz Bitcoin, las criptomonedas alternativas también han estado en auge. Apple Pay y Google Wallet se suman a la fiesta utilizando NFC, por lo que no cabe duda que habrá investigaciones en búsqueda de debilidades de estos "nuevos" medios de pago para desviar fondos a cuentas de otros.
  • Ataques entre gobiernos: La información es poder, y para conocer los planes y la estrategia de otros países, antes era imprescindible infiltrar espías que fotografiasen documentos y robasen “microfilms”, escondidos en los lugares más inverosímiles. Desde hace ya tiempo, además, el 007 de turno, tiene que ser tan hábil con la informática como con saltar por una ventana colgado de su cinturón mientras el edificio estalla tras él.
  • APTs, APTs, APTs everywhere: Ya sea por el canal que sea (correo electrónico, teléfono, páginas web hackeadas, ataques de tipo watering hole, etc...), y ya sea por la motivación que sea (espionaje, robo, pérdida de imagen,…) los ataques de tipo APT en los que se tiene como denominador común la ingeniería social, con el fin de engañar a la víctima, este tipo de ataques seguirán siendo los reyes en 2015. Y si no, atentos a APTNotes, el recopilatorio de información sobre APTs de los que hablamos en Security By Default hace tiempo.
  • El peligro de los dispositivos móviles: Nuestro smartphone guarda nuestra vida, y lo usamos para todo. Robar la información mientras se procesa, se envía o se almacena en estos dispositivos, seguirá siendo el objetivo principal.