TIC    CIBERSEGURIDAD

Pensar como los cibercriminales

Derek Manky, director de Security Insights en Fortinet, alerta de un contexto marcado por las viejas y nuevas ciberamenazas en la batalla

7 minutos
Derek Manky, director de Security Insights en Fortinet
Derek Manky, director de Security Insights en Fortinet

La ciberseguridad parece una de las pocas constantes que permanecerán con nosotros entre el viejo mundo y la nueva nueva normalidad. Como mucho, parece que los criminales se adaptarán -como lo han hecho siempre- a nuevos focos de infección y a objetivos que resulten más lucrativos en función del contexto que nos toque vivir.

"Seguimos viendo la misma pirámide de desafíos tradicionales en materia de ciberseguridad", explica Derek Manky, director de Security Insights y Global Threat Alliances en Fortinet. "No hay variaciones en que los ciberdelincuentes usan masivamente los ataques a los nombres de dominio, los de denegación de servicio, el ransomware y la ingeniería social para expandirlos". En lo que sí ve algunas diferencias este experto es, como adelantábamos, en quiénes son las víctimas potenciales: "En enero, por ejemplo, teníamos un pico de actividad en el sector industrial. Pero ya veíamos, y yo lo adelanté en un paper hace diez años, que el ransomware por ejemplo iba a poner sus miras en los gobiernos y en aquellos nichos críticos que si no pagan el rescate tendrían que volver a sistemas manuales". Recuerden la crisis cuando el sistema de salud británico se vio abocado a lo analógico para comprender las implicaciones de este vaticinio.

Precisamente en torno al ransomware estamos asistiendo a una particular evolución que complica más su respuesta, al emplear tecnologías como el blockchain no sólo para los pagos, sino para completar la cadena completa de la intromisión: "Tenemos casos de amenazas de hace ya unos años, incluso de 2011, que ahora están explotando nuevas vulnerabilidades y que no sólo usan el bitcoin para procesar los rescates, sino que emplean la cadena de bloques para acceder a los sistemas de comando y control, cifrar esa información y enviarla a los equipos de los criminales", detalla Manky. Según las cifras que maneja Fortinet, esta clase de incidentes son ya los más predominantes en Europa (con un 10% del total) y los segundos a escala global.

Pero que nadie se olvide de los clásicos que, al igual que en la música o en el cine, perduran con plena vigencia con el paso de los años. Derek Manky y su equipo se muestran especialmente preocupados por la proliferación de exploit que aprovechan fallos comunes en Windows o en cámaras WiFi, así como en las redes de bots que posibilitan los ataques de denegación de servicio, entre otros. "Mirai sigue representando en torno al 30% de las botnets en EMEA, pero también hay otras redes muy potentes como  Gh0st.Rat (20%), Bladabindi, Andromeda, Zeroaccess, Conflicker, Saily.... Este tipo de amenazas siguen muy fuertes".

Ransomware, botnets, los típicos exploits en Windows... ¿qué más podemos pedir? Manky nos pone sobre la pista de un vector de ataque que no suele ser demasiado comentado: las redes sociales y los populares memes como forma de propagar campañas de forma masiva. "Cada vez vemos más aplicaciones de almacenamiento cloud y redes sociales, como Twitter, Dropbox o GitHub, que sirven para entregar el malware", detalla el experto. "Es el caso de Berbomithum, que se propaga gracias a los memes, Revengerat, presente en macros y scripts en blogs, o el ransomware que impera en GitHub".

Y ante esta ola de amenazas por doquier, la propuesta de Manky para hacerle frente es sencilla: pensar como los criminales. "Tenemos que crear equipos que imiten y recopilen las técnicas, herramientas y pasos de los enemigos. Nosotros ya hemos hecho algunos ejercicios, incluso consiguiendo entrar en bancos de todo el mundo con 15 vulnerabilidades y 86 patrones de ataques", indica. "Gracias a ello, podemos saber cómo se mueven y anticipar qué debemos proteger".

Futuros retos

Para Derek Manky, el panorama futuro de las ciberamenazas estará marcado por un auge de los ataques de día cero que aprovecharán el aumento de la superficie de ataque, "cada vez más porosa", el uso criminal de la 5G y la pugna en el uso de la inteligencia artificial con fines positivos o negativos

COVID-19 La industria de la ciberseguridad no es ajena al impacto de la crisis sanitaria ocasionada por la COVID-19. "Es una amenaza global en ciberseguridad. Desde el comienzo de la pandemia, hemos detectado 119 incidentes graves relacionados con la enfermedad, el primero de ellos el mismo tres de marzo", reconoce Manky. "Ha habido un incremento de los ataques por el aumento del teletrabajo y por: el aprovechamiento de la ingeniería social para sacar valor del miedo al coronavirus". Entre las familias de amenazas más usadas figuran Formbook, Trickbot, Guloader, AgentTesla, Lokibot y Hakeye Infostealer.