Ranking de ataques en 2017
Según la investigación realizada por Verizon “2017 Data Breach Investigations Report”, el 88% de los casos de fuga de datos confirmados en el mundo cae dentro de alguno de los siguientes patrones.
Como puede observarse en el gráfico de barras, los Ataques a Aplicaciones Web siguen siendo (respecto a años anteriores) los más prevalecientes, ayudados nuevamente por una multitud de datos obtenidos por botnets que le permite ubicarse en primera posición. Si no fuera por esta variable, el Ciberespionaje ocuparía el primer lugar de la lista y los Ataques a Aplicaciones Web estarían en sexto lugar.
¿Qué son las Aplicaciones Web?
En general cuando se habla de Aplicaciones, muchos todavía piensan en las que se accede haciendo doble clic en el ícono del escritorio de Windows (u otro Sistema Operativo). Este tipo de aplicaciones, como así sus interfaces y bases de datos, suelen instalarse y residir en el equipo local y ser ejecutadas por el Sistema Operativo.
Por otro lado, las Aplicaciones Web son también programas informáticos pero que permiten a los visitantes de un sitio web enviar y recibir datos desde y hacia una base de datos a través de Internet utilizando un navegador web.
Características tales como webmail, newsletters, páginas de inicio de sesión, formularios de soporte y solicitud de productos, carritos de compras y sistemas de administración de contenido, son ejemplos de aplicaciones web, que dan forma a sitios web modernos, brindan a las empresas los medios necesarios para comunicarse con sus clientes y les proveen de un modelo de negocio que, a muchas de ellas, les permite incrementar exponencialmente sus beneficios.
¿Qué son los Ataques a Aplicaciones Web?
A pesar de sus ventajas, algunas aplicaciones web plantean una serie de problemas de seguridad derivados de la codificación incorrecta y el desbaratamiento de los mecanismos de autenticación. De esta forma, vulnerabilidades explotables permiten a los atacantes ganar acceso a bases de datos administradas por aplicaciones web que contienen información valiosa y confidencial (por ejemplo, detalles personales y financieros), por lo que son un blanco frecuente de los piratas informáticos debido a los inmensos beneficios que reciben a cambio de esta información.
De hecho, noticias como esta están a la orden del día.
Gran parte de estos ataques tuvieron éxito gracias a la información recopilada por los contribuyentes involucrados en botnets, como por ejemplo la Dridex.
¿Qué es una botnet y cómo facilita ataques a aplicaciones web?
Wikipedia define una botnet como “un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota.”
Cualquier equipo conectado a Internet puede ser reclutado para pertenecer a una botnet, y una vez que el atacante toma el control puede realizar diversas acciones malintencionadas. Esto involucra la instalación de aplicaciones maliciosas como ser troyanos bancarios, keyloggers y form grabbers, con el fin obtener credenciales u otra información sensible; además, el adversario podría comandar la ejecución de exploits o bien utilizar su red de bots para dirigir ataques a otros equipos. Todo esto sin que el usuario afectado se entere de nada.
El “Reporte Anual de CISCO del 2018” demuestra (entre otras cosas) que es cada vez mayor el número de dispositivos IoT que forman parte de estas redes de “computadoras zombies” ya que son muy fáciles de atacar.
Para potenciar ataques a aplicaciones web se implementa una botnet que busca vulnerabilidades en la tecnología del sitio web y la almacena como un sitio vulnerable, listo para ser explotado. Con esta información, es muchísimo más fácil para los atacantes ingresar y hacerse con toda la información. Inclusive los mismos servidores de aplicaciones web una vez comprometidos podrían formar parte de un conjunto de bots.
La investigación de Verizon del año pasado ya mencionada indica que sacando las botnets, las principales formas de ataque a aplicaciones web serían el uso de credenciales robadas, SQLi y la fuerza bruta; siendo la información robada de carácter personal, credenciales y pagos.
¿Cómo se recluta una computadora para que forme parte de una botnet?
En su blog, la compañía Heimdal Security, comenta que la forma más común de transformar a un equipo en zombie para pertenecer luego a una botnet es a través del Malware:
- Recibido por cualquier medio de comunicación electrónica (email, mensajería, apps, redes sociales) bajo la forma de archivos adjuntos o vínculos a sitios web controlados por los atacantes donde se aloja el código malicioso.
- Por medio de descargas de archivos involuntarios (Drive-by Download) que se producen automáticamente visitando un sitio web, visualizando un mensaje de correo electrónico, pulsando sobre un mensaje emergente que muestre información engañosa, etc.
Algunos de estos ataques son dirigidos a objetivos específicos, mientras otros son masivos.
Una vez infectado el equipo, algunos tipos de malware podrían incluir la funcionalidad de gusano (worm) mediante la cual expandirse infectando el resto de las computadoras de la red vulnerables haciéndolas también parte de la botnet.
¿Cómo podemos protegernos para evitar estas amenazas?
Como se mencionó al inicio de esta publicación, la información y los accesos proporcionados por las botnets están posibilitando los ataques a aplicaciones web que fue la causa más frecuente de fuga de datos en el 2017.
Se sabe que la seguridad al 100% no existe, pero sí se puede hacer algo para tratar de evitar ser reclutados por botnets promoviendo a su vez su reducción y alcance. Desde el punto de vista de las aplicaciones web, también existen medidas que se pueden implementar para disminuir la probabilidad de ser blanco de ataques.
Entonces, por un lado los usuarios de equipos y/o administradores de sistemas pueden seguir las siguientes recomendaciones para evitar ser parte de las botnets:
- Instalar un Software Antivirus/Antimalware profesional con funcionalidad de Firewall de una fuente confiable y mantenerlo siempre activo, actualizado (software y firmas) y correctamente configurado. Programar análisis periódicos.
- Capacitarse y concientizarse en Seguridad de la Información para generar hábitos seguros. Por ejemplo, acerca del uso adecuado del email y navegación web: cómo identificar enlaces, sitios y archivos adjuntos maliciosos, entre muchas otras cosas.
- Implementar y configurar adecuadamente (en base a políticas) soluciones perimetrales basadas en inteligencia artificial o UTM (Unified Threat Management). Estas soluciones incluyen diversos tipos de herramientas, en general integradas, como ser filtros de contenidos, anti-spam, ATP (Advanced Threat Protection), entre otras, que pueden resultar efectivas contra las amenazas descritas, inclusive de día cero. Algunas de estas características ya vienen incorporadas en los Software Antimalware para equipos de usuario y servidores (Endpoints).
- Mantener todo el software y firmware de los equipos actualizados. En especial Sistemas Operativos, navegadores web, Adobe Flash, Adobe Reader y Java, ya que son los más vulnerables. Actualizar las aplicaciones puede evitar el 65% de los vectores de ataques que apunten a estas.
- Cambiar las claves por defecto de todos los equipos y sistemas.
- No utilizar la cuenta de usuario administrador en los equipos, y si se utiliza desconectar la cuenta luego de un período de tiempo determinado.
Por otro lado, los responsables de la seguridad de las aplicaciones web pueden introducir los siguientes controles:
- Limitar la cantidad de información sensible almacenada en bases de datos accedidas por aplicaciones web al mínimo necesario y protegerla mediante cifrado.
- Implementar un segundo factor de autenticación para el acceso a las aplicaciones web.
- Aplicar parches a CMS y los plug-ins de forma consistente y asegurarse de estar notificados cuando parches fuera de ciclo estén disponibles.
- Realizar escaneos y pruebas sobre las aplicaciones web para encontrar potenciales vulnerabilidades en validaciones de entradas y SQLi.
- Hacer uso de las mejores prácticas en codificación de aplicaciones web (ej. OWASP).
Al día de la publicación de este artículo, muchos organismos financieros y estatales están empezando a implementar tecnologías de cifrado avanzadas para incrementar la protección como ser Blockchain. Por ejemplo, a la fecha “El BBVA español se convierte en el primer banco global en emitir préstamos mediante una cadena de bloques (Blockchain)”
¿Cómo sabemos si nuestro equipo forma parte de una botnet?
Se puede diagnosticar de varias maneras si un equipo pertenece o no a una botnet.
Para empezar, existen bases de datos de algunos sitios web confiables que documentan ataques botnet para evaluar si el equipo en cuestión participó o no de esos ataques, como ser el buscador de SonicWall, entre otros.
Si el equipo no figura en ninguna de las bases de datos mencionadas, hay que realizar otro tipo de diagnóstico:
- ¿La conexión a Internet es más lenta de lo normal?
- ¿La computadora se comporta de forma errática (se reinicia, muestra muchos mensajes y ventanas, alertas y errores)?
- ¿Se activa el ventilador a toda marcha cuando la computadora está inactiva?
- ¿Nota alguna actividad inusual de Internet (como un alto uso de la red)?
- ¿Se cierra el navegador web de forma inesperada?
- ¿La computadora tarda mucho tiempo en iniciarse o apagarse o no se apaga correctamente?
En caso de que la mayoría de las respuestas sean afirmativas, es probable que haya algún programaejecutándose en el equipo que esté utilizando demasiados recursos sin el conocimiento del usuario. En tal caso:
- Realizar un análisis completo con un Software Antivirus/Antimalware profesional actualizado.
- Revisar el Administrador de Tareas (Windows) en busca de algún proceso que utilice una cantidad inusual de recursos.
- Desconectarse de Internet para ver si algo cambia.
- Utilizar una herramienta de análisis de red gratuita como Wireshark o Snort para controlar el tráfico de Internet en busca de actividad inusual.
Al detectar que el equipo (ya sea una computadora o cualquier dispositivo conectado a la red o Internet) es parte de una botnet, la recomendación general sería:
- Computadora: formatear, reinstalar el sistema operativo y las aplicaciones.
- Dispositivos de red o IoT (Smart TV, impresoras, etc.): restablecer los valores de fábrica.
- Siempre realizar respaldos de información importante contenida en los equipos para evitar futuros inconvenientes.
Conclusión
Hoy en día las amenazas (malware, técnicas de captura de información, etc.) han evolucionado y se han depurado tanto que, con frecuencia, las herramientas y consejos de seguridad tradicionales son insuficientes. Por ejemplo, ya no basta con observar la presencia del candado de seguridad en la página de la entidad bancaria para comprobar la autenticidad del certificado de seguridad.
Inclusive, poner en práctica medidas de seguridad acordes pero de manera aislada tampoco es una opción inteligente para alcanzar niveles de protección adecuados. Por esta razón, es siempre una mejor práctica aplicarlas en capas y que estén respaldadas por una política, sin que falte un buen plan de concientización con contenidos actualizados para proteger al eslabón más débil en la seguridad de la información: el usuario.