¿Recuerdas el 5 de mayo del 2000?
Luis Corrons, Evangelista de Seguridad en Avast: En ese momento estaba trabajando en el equipo de soporte técnico de otra empresa de seguridad. Recuerdo muy bien lo que pasó ese día. Estaba programado para trabajar el turno de noche de 10pm a 8 am, así que estaba en casa cuando la noticia llegó a Europa. No podía creer que un ataque de malware estaba haciendo las noticias cada hora, como eso nunca había sucedido antes. Fui a trabajar temprano ese día a las 6 de la tarde y terminé trabajando hasta las 10 de la mañana. Recuerdo haber enviado faxes, porque los sistemas de correo electrónico y el internet de las empresas estaba inhabilitado, preparando discos con una actualización de definición de virus que tuvimos que enviar a través de mensajería.
Martin Hron, Investigador Senior de Seguridad en Avast: La cuenta de la empresa para la que estaba trabajando en ese momento recibió el correo electrónico y, por desgracia, el contador abrió el archivo adjunto. Me vi obligado a codificar mi primer antivirus, que era más como un removedor / limpiador. En realidad, recientemente, encontré el programa mientras limpiaba mis archivos antiguos, y todavía es funcional, incluso hoy en día. Llamé al programa el antivirus “Te odio”.
¿Crees que algo similar podría suceder de nuevo, como WannaCry o el virus ILOVEYOU?
Luis Corrons: Creo que es más probable que veamos un ataque similar a WannaCry en el futuro, pero no creo que vamos a ver un ataque como el virus ILOVEYOU.
El malware hoy en día puede propagarse a un ritmo rápido, mucho más rápido que el virus ILOVEYOU hace 20 años, pero las cosas han cambiado desde entonces.
Hace veinte años, nadie había visto un .vbs (secuencia de comandos básica visual) archivo utilizado con fines maliciosos, causó que muchas personas hicieran clic en el archivo. Desde el punto de vista de la infraestructura, la capacidad de las redes afectadas, que incluía redes pertenecientes a gobiernos y empresas, no era nada comparado con la actualidad, por lo que todo se derrumbó cuando un network se infectó. Además, el correo electrónico era la única herramienta de comunicaciones digitales utilizada por las empresas hace veinte años, no había aplicaciones de chat como Slack, por lo que estaban completamente aisladas. Las empresas antivirus tuvieron que enviar instrucciones por fax para clientes, ya que no podían recibir ningún correo electrónico y la cantidad de tráfico generado por el virus que se enviaba a sí mismo obligaba a las empresas a desconectarse.
Unos años después de que el virus ILOVEYOU hiciera sus rondas, vimos gusanos que se propagaban mucho más rápido sin interacción del usuario, afectando a millones de personas en todo el mundo, sin embargo, las redes se mantuvieron firmes durante ataques como Blaster.
Martin Hron: Estoy de acuerdo, creo que vamos a ver más ataques llevados a cabo por botnets y más “automatizado” WannaCry como ataques, pero sobre amenazas de tiempo se han convertido en bestias complejas, llevando a cabo ataques en múltiples etapas. Incluso hoy en día, un ataque puede ser desencadenado por un usuario simplemente abrir un correo electrónico de phishing o hacer clic en un enlace de phishing. Hemos visto casos en los que la apertura de un enlace malicioso por parte de un usuario se ha visto comprometida con el router de las redes. Eso podría abrir más puertas traseras al sistema del usuario o en última instancia redirigir las sesiones de navegación del usuario a sitios web maliciosos que pueden llevar más amenazas que van desde ransomware, al ladrón de contraseñas, y escanearla Internet para más víctimas potenciales.
La motivación detrás de los ataques ha cambiado significativamente en las últimas dos décadas. El primer virus que encontré fue Michelangelo en 1991, que sobre escribió los primeros cien sectores de un disco duro haciendo que la máquina no pudiera arrancar. Mientras que en ese entonces los virus eran más como una prueba de concepto y una fuente de orgullo para sus autores, hoy en día el panorama de amenazas es una máquina de hacer dinero bien engrasada, la difusión de ransomware a las empresas, banqueros diseñados para robar dinero, y noticias falsas para apoyar la propaganda y las guerras cibernéticas patrocinadas por el estado.
¿Qué se abusaría para permitir que un virus se propagara tan ampliamente y rápidamente?
Luis Corrons: Hoy en día, hay miles de millones de dispositivos conectados a Internet. Para que un gusano malicioso se propague ampliamente y rápidamente, el malware tendría que explotar una vulnerabilidad que le permite infectar y propagarse sin la interacción del usuario, similar a cómo Wannacry se comportó. Un gusano que tomó ventaja de múltiples vulnerabilidades de IoT que podría causar un ataque global apuntando a hogares y empresas por igual.
Martin Hron: Creo que los dispositivos IoT han añadido una gran superficie de ataque, listo para ser mal utilizado. Si lo piensas, ahora estamos conectados 24/7, dejando que estos dispositivos estén disponibles para un ataque en todo momento. Esto combinado con el número de dispositivos vulnerables con seguridad débil por ahí hace que un ataque a gran escala inevitable. Como dijo Luis, el caos global siempre comienza con una ley ampliamente presente. Lo que hemos visto en los últimos años es una explosión masiva de ataques llevados a cabo en el nivel de firmware de dispositivos IoT u ordenadores sin interacción del usuario, como VPN Filter, LoJack, o varios ataques contra versiones del firmware del motor de administración de Intel. La razón de esta tendencia es que estos ataques por lo general permanecen por debajo del radar y son difíciles de descubrir por los usuarios no expertos en tecnología.
¿Qué se debe hacer para evitarlo?
Luis: La clave para prevenir cualquier ataque es la seguridad. Windows era muy vulnerable en el pasado, pero ahora es mucho más seguro. Sin embargo, los malos actores son y seguirán descubriendo vulnerabilidades y riesgos en el sistema operativo Windows e intentan abusar de ellos. Cuando se trata de dispositivos IoT, la mayoría de los dispositivos están en una etapa de Windows 95 en términos de seguridad. La seguridad, rara vez, se considera cuando se diseñan dispositivos IoT, lo que hace que todo desde el software de IoT, cómo se transmiten los datos y la seguridad del puerto sea vulnerable.
Martin: También añadiría que el conocimiento del usuario de las amenazas prevalentes, cómo se ven y cómo manejarlas, así como los usuarios que se mantienen al día con los problemas de seguridad, y el uso de soluciones de seguridad, también es clave para prevenir ataques. La industria de la seguridad, por supuesto, es responsable de proteger a las personas mediante la mejora de los mecanismos de detección en los productos de seguridad, proporcionando varias soluciones y educando a los usuarios. Sin embargo, en última instancia, depende de ellos para aprender acerca de la seguridad y tomar las decisiones correctas para asegurarse, pero también especialmente importante que toman la decisión correcta cuando se conduce a una estafa de ingeniería social que puede conducir a la instalación de malware o ellos renunciar a la información sensible.