All4Sec: “Cualquier situación de crisis, como la COVID-19, acentúa las posibilidades de ciberataques”
Analizamos con All4Sec la evolución de la ciberseguridad y nuevos ciberataques como el “password spraying”.
Hospitales, empresas de logística, aerolíneas… Desde que estalló la crisis del Covid-19 los ciberdelincuentes no han dejado de lanzar sus ciberataques a prácticamente todo la sociedad, aprovechando, una vez más, el desconcierto. Analizamos con Juanjo Galán, Business Strategy de All4Sec, cómo está evolucionando la ciberseguridad en estos momentos y cómo toman fuerza nuevas técnicas de ciberataque como es el “password spraying”.
-Pregunta obligada: ¿Se han incrementado los ciberataques durante la pandemia?
Evidentemente, cualquier situación de crisis acentúa las posibilidades de un ataque. Los ciberdelincuentes suelen hacer del miedo, la incertidumbre o la inquietud una herramienta que actúa en su propio beneficio.
Durante los últimos meses hemos visto cómo se intentaba explotar casi cualquier escenario que tuviera a la COVID-19 como elemento de referencia.
Han proliferados ataques de phishing, el malware y el ransomware integrados en aplicaciones relacionadas con la pandemia, se han registrados miles de dominios en Internet con la COVID-19 como elemento de referencia y, por supuesto, se han intentado aprovechar los cambios introducidos en las organizaciones con el teletrabajo o la gestión remota. Esta ha sido una tendencia generalizada en todos los sectores.
-¿Cuáles son sus principales objetivos? Hemos visto ataques, por ejemplo, a hospitales o a instituciones como la OMS…
En los últimos dos meses se han producido numerosos ciberataques a todos los niveles de la sociedad.
El entorno sanitario ha tenido como objetivo el robo de información sensible sobre el avance de las investigaciones o sobre la propiedad intelectual —por ejemplo, en un solo mes, la OMS vivió como los ataques que recibía se multiplicaban por cinco.
Recientemente la NCSC británica y el CISA norteamericano publicaban un informe en el que resaltaban como los ataques se habían dirigido a compañías farmacéuticas, organizaciones de investigación médicas o incluso a universidades. A ellos se unían hospitales y centros de atención sanitaria que, día a día, veían como los ciberdelincuentes intentaban bloquear sus servicios básicos.
Sin embargo, la sanidad no han sido el único objetivo de los delincuentes. También los elementos de la cadena logística se han visto afectados. Los hackers han percibido en ellos un punto débil por el que acceder a sus objetivos finales ahora que están sometidos a mucha mayor presión.
En paralelo, los ataques a compañías e instituciones de otros sectores (financiero, energía, transporte, telecomunicaciones…) se han incrementado con fines fundamentalmente económicos. Se ha producido un crecimiento muy sensible en el escaneo de portales web buscando vulnerabilidades en sus configuraciones o incluso en las VPN que desplegaban para el trabajo remoto.
Por último, los ciudadanos de a pie han sufrido numerosos ciberataques durante la pandemia. Las campañas de phishing, o incluso las noticias falsas, relacionadas con el covid-19 han sido, y son aún, una constante. Como decimos, ningún sector de la sociedad se ha visto libre de la amenaza.
-Hace unos días, se conocía también el ataque a EasyJet que ha afectado a los datos de 9 millones de clientes de la aerolínea. ¿Cree que vamos a asistir a un incremento en el número de ciberataques de este tipo?
Las líneas aéreas son uno de los principales objetivos de los ciberdelincuentes debido a la criticidad del servicio que prestan. Pero no solo por eso. La información que guardan de los pasajeros las convierte en objetos especiales de deseo.
Una compañía aérea mantiene conexiones con otras entidades y organismos con los que colabora o que le proporcionan servicios externos. Así, por ejemplo, una aerolínea integra sus sistemas con gestores de maletas, con compañías de handling y de mantenimiento, interactúa con gestores de tarjetas de crédito o intercambia información sobre los pasajeros con organismos gubernamentales. Es decir, puede llegar a ser una mina de oro para los ciberdelincuentes.
Al final, debemos de tener en cuenta que los datos son de enorme valor para los delincuentes, y las líneas aéreas, al igual que muchos otros sectores, los tienen en abundancia.
De cualquier forma, el ataque sufrido por EasyJet permanece aún bajo análisis sin que sepamos lo que ha ocurrido realmente. Debemos recordar que no ha sido la primera línea aérea en sufrir un ciberataque. En 2018 British Airways sufrió un ciberataque similar, aunque en menor dimensión (unos 400.000 clientes vieron como sus datos personales y tarjetas de crédito quedaban expuestos) y sufrió una dura sanción.
Una respuesta coordinada contra los ciberataques
-El Consejo de la UE acaba de aprobar extender un año, hasta mayo de 2021, el régimen para poder imponer sanciones en respuesta a ciberataques que constituyan una amenaza externa para la UE o sus estados miembro o para intentar disuadirlos. ¿Cree que es suficiente?
Se trata de un paso importante cuando las medidas defensivas de los Estados no son suficientes. Es decir, además de las acciones individuales de cada país, es evidente que resulta indispensable promulgar medidas colectivas y coordinadas que desincentiven (a través de la penalización) este tipo de ciberataques.
Es bueno recordar que la entrada en vigor de este régimen sancionador afectaba a aquellos ciberataques que tenían una repercusión importante y que se originaban o se cometían desde el exterior de la UE, o que utilizaban infraestructuras exteriores o eran ejecutados con el apoyo de personas o entidades externas.
Este último matiz es importante porque permitía sancionar a aquellos que aportaran apoyo financiero, material o técnico desde el exterior. Y aquí es donde encontramos el principal elemento de debate. ¿De dónde son y qué tipo de apoyo reciben los ciberdelincuentes? Las conjeturas sobre posibles respuestas son de sobra conocidas.
Lo cierto es que muchas de estas medidas no llegarían a ser necesarias si hubiera una verdadera cooperación internacional entre Estados. Pero, no nos llevemos a engaños, a menudo esas amenazas son el resultado de elementos que los mismos Estados han creado o consentido. De ahí que las medidas sancionadoras sean difíciles de demostrar o se encuentren sometidas a intereses geopolíticos cruzados lo que reduce su aplicación a meras declaraciones de condena.
-Otra de las claves de estos meses es el teletrabajo. ¿Cómo ha afectado a la ciberseguridad?
El teletrabajo ha abierto la puerta a una nueva forma de prestar y recibir servicios en la que intervienen personas, dispositivos y recursos (servidores y fuentes de datos).
Durante la pandemia, el trabajo en remoto se ha convertido en un modelo que muchas empresas han intentado adoptar. Y decimos “han intentado” porque la realidad es que muchas compañías se han enfrentado a la realidad de que no disponían de un plan prediseñado para el teletrabajo. De hecho, según estudios de Eurostat, apenas el 4% de los empleados de las empresas en España lo utilizaban de forma habitual.
Las personas, los dispositivos, los servidores y los datos han sido objeto de interés por los ciberdelincuentes. Por eso resultaba indispensable pensar en ellos cuando se intentaba llevar a buen término las medidas de ciberseguridad.
Factores múltiples de autenticación (MFA), rede VPN y servicios en la nube han sido herramientas de uso cotidiano. Al final, la idea era transmitir que la ciberseguridad iba a servir para que la dispersión geográfica que provocaba el teletrabajo no se percibiera como una debilidad en el servicio de una compañía. Es decir, que las empresas descubrieran que era necesario proteger todos sus activos independientemente de dónde se encontraran. En ese sentido, parece que se está consiguiendo.
Nuevas técnicas de ciberataque
-Entre las técnicas que utilizan los ciberdelincuentes hay una que parece estar cobrando cada vez un mayor protagonismo: el password spraying. ¿En qué consiste?
Un ataque de “password spraying” es una variante del tradicional ataque de fuerza bruta por el que un delincuente trata de acceder a un sistema de información a través de un procedimiento repetido de prueba y error en las contraseñas de un usuario.
La mayor parte de las compañías, conocedoras de esta técnica, establecen limitaciones en el número de intentos fallidos que un usuario puede llevar a cabo para conectarse a un sistema durante un determinado intervalo de tiempo. De esta manera evitan que se hagan pruebas de forma extensiva con un diccionario de contraseñas previamente definido o incluso con un generador aleatorio de claves.
Ahora bien, en el “password spraying”, el ciberdelincuente escapa a esa limitación, planteando un esquema de ciberataques inversos en el que una misma contraseña es utilizada en tantas cuentas de usuarios como le sea posible. Ello le da un periodo de tiempo suficiente para superar la limitación en el número de intentos. Lo único que necesita es un número amplio de cuentas con las que probar la misma contraseña. Normalmente se trata de contraseñas sencillas y ampliamente utilizadas con lo que las probabilidades de éxito con al menos una de ellas pueden ser elevadas.
-¿Es una técnica habitual?
Se trata de una técnica bastante habitual que se utiliza cuando se dispone de un buen número de candidatos con los que probar.
Debemos de tener en cuenta que no necesariamente todos los usuarios tienen que pertenecer a la misma organización y que cuanto mayor sea el número de posibles víctimas, mayor será la probabilidad de éxito. Por eso, una de las primeras acciones que el atacante suele llevar a cabo una vez conseguido su objetivo es recopilar las direcciones de correo de los contactos de la víctima para en el futuro intentar comprometer a más personas.
Esta es una de las múltiples razones por las que un usuario con una contraseña sencilla, como “123456”, no solo puede comprometer su propia seguridad sino también “poner en el radar” a toda su lista de contactos. Un caso evidente de este tipo de ataque lo sufrió, por ejemplo, Citrix hace un par de años cuando los delincuentes lograron permanecer en sus sistemas durante varios meses.
-¿Cómo podemos hacerle frente?
La forma práctica de combatir este tipo de amenazas ha sido largamente divulgada por las compañías dedicadas a la ciberseguridad. El uso de contraseñas robustas se encuentra entre las recomendaciones más habituales. Contraseñas que combinan letras, números y símbolos y que tienen una longitud no inferior a ocho caracteres.
También está la revisión periódica de los procedimientos de gestión de contraseñas, la sensibilización y concienciación de los usuarios e incluso la habilitación de mecanismos de doble factor de autenticación. Asimismo, la compañía debe disponer de un procedimiento eficiente para el cambio de contraseñas y para el bloqueo de cuentas de usuarios en caso necesario. Poniendo en práctica estas propuestas seguramente se reducirá la posibilidad de éxito de este tipo de ataques.