lolloj - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Crecen los ataques para minar criptomonedas en México, revela Fortinet

El malware de criptominería se duplicó al 28% en el primer trimestre de 2018, con mayor frecuencia en América Latina, Medio Oriente y África; en México llegó al 13%, señala estudio de Fortinet.

México tiene el mayor tráfico malicioso de América Latina, y los ataques que más están creciendo son los de cryptojacking o secuestro de computadoras para minar bitcoin. Así lo dio a conocer Derek Manky, estratega de seguridad global de Fortinet, al comentar el más reciente Informe sobre Panorama de Amenazas Global de la compañía.

El reporte mostró que el malware de criptominería más que se duplicó de trimestre a trimestre, del 13% al 28%. Además, el cryptojacking fue bastante frecuente en América Latina, Medio Oriente y África; México fue responsable de 33% de la actividad de criptominería en Latinoamérica.

David Ramírez y Derek Manky de Fortinet.

Adicionalmente, el informe reveló que el malware de este tipo muestra una gran diversidad, es más sigiloso y no tiene archivos para inyectar código infectado en buscadores con menos detección. Los mineros también se dirigen a múltiples sistemas operativos, así como a diferentes criptomonedas como bitcoin y monero. También están ajustando y adoptando técnicas de entrega y propagación de otras amenazas basadas en lo que fue exitoso o no, para mejorar las tasas de éxito en el futuro.

Para el resto del año, Manky señaló que esperan más amenazas de día cero, más cryptojacking, más ataques móviles, más ataques IoT y muchos enfocados en centros de datos (servidores web, servidores de aplicaciones) y la nube.

Empiezan a aparecer amenazas con autoaprendizaje

El ejecutivo señaló que la predicción que hicieran el año pasado sobre la aparición de hivenets y swarmbots con autoaprendizaje está empezando a verse. Los ciberdelincuentes están infectando dispositivos que usan la internet de las cosas (IoT) para encontrar los puntos débiles de otros, usando inteligencia de enjambre para mantenerse activos por más tiempo, sin ser detectados. Estas botnets de enjambre se utilizan para espionaje, robo de información o ataques de denegación de servicio distribuido (DDoS).

Manky dijo que se espera empezar a ver, en tres a cinco años, ataques con autosploit; es decir, que automatizan el proceso de identificación de equipos vulnerables, y entregan el control al atacante de forma automática. El experto detalló que actualmente, usando herramientas como el motor de búsqueda de dispositivos Shodan, y Metaexploit para penetrar la seguridad del sistema (esta herramienta se utiliza en pruebas de seguridad), un cibercriminal podría meterse en equipos con apenas cinco comandos.

El tiempo en que un atacante se mete a un dispositivo y roba información para venderla se reduce”, señaló David Ramírez, ingeniero de ventas de Fortinet México. “El tiempo que le toma a los delincuentes avanzar en la cadena de ataque se reduce”, resaltó Manky.

Una cadena de ataque cuenta con seis pasos:

  1. Planeación y reconocimiento. Que implica investigar el objetivo, construir o adquirir herramientas, y probar las herramientas y la detección.
  2. Ingreso. Entregar exploits y malware de forma remota, establecer puertas traseras para comandos.
  3. Expansión. Moverse lateralmente para aumentar el acceso al sistema, meterse más en un sistema.
  4. Reunión. Identificar y recolectar los datos sensibles, progresar en el ataque a un servidor.
  5. Exfiltración. Extracción de datos a través de servicios de comando y control a una red externa.
  6. Sobrevivir y/o obtener ganancias.

Si bien actualmente aún no hay casos de este tipo de ataque, Manky señaló que han encontrado un precursor en la botnet IoT descentralizada P2P llamada “Hide and Seek”. “Tiene características de enjambre (swarm). Usa un exploit conocido para expandirse a routers TP Link, y toma acción con base en un objetivo. Los dispositivos infectados se comunican comandos simples entre sí y siguen acciones”, dijo el experto.

Manky espera ver en los próximos años ataques que combinen la inteligencia de enjambre con inteligencia artificial real. “Las redes de enjambre están basadas en intenciones, pero la IA se comporta de forma diferente a cómo piensa un humano. Solo busca lograr un objetivo, sin importar cómo lo haga”, explicó.

Ante el enjambre, la colmena

Ante estas amenazas, Manky señaló que Fortinet lleva cinco años trabajando en una estrategia de seguridad de defensa en forma de colmena (hive), cuyos componentes se comuniquen entre sí, que reconozca las amenazas y pueda defenderse en consecuencia.

Así, su ecosistema de seguridad Hive Defense es una infraestructura completa, de punto final a punto final, que se basa en objetivos. Como parte de ella, Fortinet Security Fabric funciona como una colmena que protege los recursos al ser una red que se autolimpia.

La idea es que la red sea capaz de protegerse sola, con componentes de seguridad que hablan entre sí para que se tome la acción requerida frente a un ataque, de forma automatizada”, indicó Ramírez. La solución también incluye tecnología de aprendizaje profundo, para que pueda aprender y mejorar de forma proactiva.

 “La automatización también nos ayudará con la cuestión de la falta de suficientes especialistas de seguridad con experiencia”, declaró Manky.

De acuerdo con el informe de Fortinet, 58,5% de las infecciones por botnets se detectan y limpian en el mismo día; el 17,6% persiste por dos días y el 7,3% lo hace por tres días. Alrededor del 5% duró más de una semana. A modo de ejemplo, la red de bots de Andromeda se eliminó en el cuarto trimestre de 2017, pero los datos del primer trimestre lo posicionan como una amenaza destacada, tanto en volumen como en prevalencia.

Principales ataques en México

De acuerdo con datos recogidos por Fortinet en los últimos 30 días, México tiene cuatro veces más malware móvil en Android que el promedio global de malware móvil, y representa 28% de todas las amenazas avanzadas que se detectan en América Latina.

Asimismo, México es el país donde se detectan más casos de botnets como FinFisher, ZeroAccess y Sality Botnet, representando alrededor del 20-30% de las detecciones generales para la región. “Estas amenazas se enfocan alrededor de herramientas o troyanos de acceso remoto (RAT, por Remote Access Tool o Remote Access Trojan) y se utilizan para espionaje, especialmente FinFisher, la cual cuenta con técnicas anti análisis y anti sandbox”, dijo Martínez. El ejecutivo explicó que el malware reúne inteligencia de la computadora de la víctima y la almacena cifrada en ubicaciones de la máquina antes de la exfiltración.

Manko dijo que la atribución de estos ataques es difícil, pero se estima que la mayoría vienen de dentro de México, aunque los exploits están fuera y dentro de México. “Eso no significa que quien mandó a realizar el ataque está en México”, señaló.

El experto subrayó que uno de los principales problemas de seguridad que tienen las empresas en México es la falta de visibilidad de sus sistemas. “Muchas empresas no han invertido en visibilidad y tienen una falsa sensación de seguridad”, apuntó.

Otra clave que aporta a estas cifras es la falta de asignación de responsabilidades –o accountability– para las empresas. Esta responsabilidad no solo tiene que ser responsabilidad del CISO o del CIO, indicó Manko, sino que tiene que ir hasta el usuario final. “La seguridad tiene que ser una parte crítica del negocio, no de la parte de operaciones o de legal”, puesto que sin seguridad habría afectaciones a los objetivos del negocio. “La seguridad pasó de ser un tema de operación a ser un tema de continuidad de negocios”, manifestó Ramírez.

El estudio de Fortinet se basa en datos que los clientes comparten con ellos desde los 3,8 millones de dispositivos que tiene instalados en todo el mundo, así como el análisis de 80 mil millones de eventos de seguridad diarios.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close