Según el informe de SonicWall sobre Ciberamenazas, en 2020 hubo casi cinco mil millones de intentos de intrusión cibernética, cinco mil quinientos millones de ataques de malware y trescientos millones de ataques de ransomware. Esto es alrededor de ochocientos veinte mil ataques de ransomware al día. La mala noticia, es que este año estos números serán mayores.
El cibercrimen es una industria en sí misma y un negocio muy lucrativo, donde los ciberdelincuentes monetizan el acceso a las redes corporativas de las empresas y entidades públicas aprovechando debilidades organizativas y vulnerabilidades técnicas. La forma de monetizar que más ha crecido en este último año ha sido el ransomware, frente a otro tipo de monetización como el fraude con tarjetas de crédito. El crimen organizado siempre ha estado ahí, pero tecnologías como el Blockchain y las criptomonedas son el impulsor principal del crecimiento actual con un alcance nunca visto. Como en cualquier industria reinvierten los ingresos obtenidos, pero en este sector se reinvierte en infraestructura cibernética para futuros ataques, mejorando continuamente su estrategia de ciberataques. No tenemos que ponerles las cosas más fáciles a los ciberdelincuentes y movernos a la velocidad de la tecnología, siendo innovadores con respuestas rápidas y actualizando nuestras estrategias de ciberdefensa de manera continua.
Los vectores de ataque más usados son a través de correo electrónico comprometido BEC (Business Email Compromise) o aprovechando vulnerabilidades técnicas. Al final el ciberdelincuente puede comprometer información personal CDB (Computer Data Breach), roban datos confidenciales de las organizaciones y amenazar con divulgarlos públicamente o secuestran información corporativa y servicios gestionados de Tecnología de la Información con un ransomware como en el caso de Kaseya. El gran olvidado son los vectores de ataque que se producen vía USB. Esto ocurre normalmente porque estamos confiados que nuestros sistemas de antivirus podrán detectar cualquier tipo de malware cada vez que introduzcamos un pendrive en nuestro PC o conectemos nuestro teléfono, que es posible que ocurra, pero no es completamente seguro. En ciberseguridad no basta con confiar, debemos estar seguros.
La realidad es que los ciberataques vía USB son ataques dirigidos a organizaciones seleccionadas, bien preparados y no se realizan con un malware que cualquier antivirus actualizado puede identificarlo mediante la firma. Suelen desarrollarse programas a medida, modificando el controlador del pendrive para que, en el caso de conectarlo al USB de un PC, esté crea que es un teclado y pueda introducirse en la red corporativa sin que el usuario lo detecte. La persona que conecta el pendrive verá que este no contiene ningún archivo porque después de introducirse en la red se ha autodestruido. Está tecnología de ataque se denomina badUSB y fue anunciada en 2014 en blackhat USA por Security Research Labs (BADUSB – on accesories that turn evil).
¿Qué puede hacer el ciberdelincuente entrando en las redes corporativas con este este tipo de ataque? Pues todo lo imaginable y mucho más, por ejemplo:
• Recoger información del Sistema Operativo
• Robar información de navegadores y cookies
• Capturar la pantalla del escritorio
• Robar contraseñas de conexiones WIFI
• Subir información a través de servidor FTP
• Agregar usuarios con privilegios de administrador y borrar usuarios
• Bloquear programas en el Sistema Operativo de forma silenciosa
• Infectar el sistema descargando un binario de Internet,..etc.
¿Qué estrategia de ciberdefensa contra los ciberataques vía USB deben aplicar las empresas y organizaciones públicas?
La estrategia del ciberdelincuente para acceder a la red se basa por un lado en la ausencia de procedimientos de uso aceptable de dispositivos USB en las organizaciones, y por otro lado se aprovechan del exceso de confianza que supone, con un grado de error alto, que nuestra actual ciberdefensa detectará cualquier tipo de intrusión vía USB.
Tanto en empresa privadas con redes IT (Information Technology) y OT (Operational Technology), en el que proveedores pueden acceder a las máquinas de producción para actualizar el software vía USB, o en entidades públicas donde los ciudadanos pueden aportar información a la Administración por medios electrónicos con un pendrive, es necesario definir un procedimiento de detección y respuesta a las amenazas vía USB con un equipo frontera de hardware antes de introducir la información del USB en la red corporativa.
Existe productos en el mercado español como Safe Door de authUSB, que actúan como equipo frontera para ayudar a detectar malware, badUSB e incluso USBKiller que envía sobretensiones de alto voltaje al dispositivo al que está conectado para destruirlo eléctricamente. Para este tipo de amenazas, las empresas y entidades públicas tienen que mejorar continuamente la estrategia de ciberdefensa, con formación interna en estas ciber amenazas, definiendo procedimientos de actuación para el uso interno de dispositivos USB e implementando dispositivos hardware que hagan de equipos frontera para la detección y respuesta de los ciberataques vía USB.
