Captain's log: Promoting process rigor, inside.
Esta es una versión exhaustiva del calendario (impreso) de historias de incidentes reales de ciber-seguridad ocurridos durante el año que pasó. Este calendario es exclusivo para clientes y potenciales clientes. Sirve para recordar el nivel de amenaza y su creciente impacto sobre las organizaciones. Aquí, presentamos los contenidos extendidos vía QR en los calendarios impresos.
FACC, un proveedor austriaco en fabricación de aeronaves, comunicó un importante robo cibernético. Por medio de 48 correos bajo la técnica “Fake President”, los criminales solicitaron a un empleado el transferir € 53M a 18 cuentas en 3 países, al fungir con éxito la identidad de su CEO-fundador Herr Walter Stephan. De ellos, FACC sólo bloqueó € 11M. En febrero, para salir de la crisis de liquidez, FACC AG realizó un aporte de capital como préstamo de accionistas por € 79M. En mayo, la Junta de Supervisión, despidió a Walter Stephen, acusándolo de violar sus responsabilidades. En octubre, el nuevo CEO reportó los gastos legales de reacondicionamiento e investigación del incidente, por € 1.4M, un 3% del monto robado.
¿Cómo combatirlo? Aunque este escenario de riesgo es menos probable en países menos dependientes de servicios financieros digitales, el resultado es el mismo, un CEO despedido y/o el hurto de dinero de las arcas del capital líquido. Considere identificar -si no lo ha hecho aún- sus activos de información, su valor y el impacto al riesgo, con nuestra familia de servicios de consultoría en defensa. Nuestra comprensión en lo que realmente sucede, y en varios otros campos del gerenciamiento orgánico, industrial, de negocios y legal, nos permiten llevar a su compañía más allá del estándar conocido. Déjenos impresionarlo.
Por un golpe de suerte, el Banco de la Reserva Federal de Nueva York bloqueó gran parte de la transferencia de una orden de pago por USD 951M. Sin embargo, USD 88M fueron robados con éxito. Para este fin, los criminales violaron la seguridad informática del Banco Central de Bangladés, desde donde elaboraron las órdenes de pago fraudulentas a través del sistema estándar de transacciones financieras globales, SWIFT. Esta brecha demostró deficiencias de seguridad en ambos bancos. La palabra JUPITER en la dirección de uno de los bancos destinatarios fue el gatillador del escrutinio. JUPITER antes ASTARA, es el nombre de un buque petrolero iraní, sancionado por el Departamento del Tesoro de los EE.UU.
¿Cómo combatirlo? Las organizaciones típicamente confían en el mito de la seguridad por oscuridad, o también llamado oscurantismo de la seguridad. Esto es el no redoblar la seguridad un poco más, porque simplemente creemos que nadie conoce la existencia del activo que poseo. Con la alta rotación laboral de esta década, los profesionales (éticos y no éticos) saben más de casi todo que lo que sabían en el pasado, entre ellos intercambian información acerca de cómo opera una industria de la misma forma que lo hacían sus predecesores laborales, pero esta vez a una mayor velocidad y anonimato. La defensa por capas o defense in-depth, aunque parecería una práctica del pasado, es una necesidad DOBLE en el presente. Todos debemos proteger todos los niveles posibles de intrusión, desde la puerta del ratón de la casa, inclusive. Cada vez más organizaciones con esta visión contratan nuestra familia de servicios de consultoría en fortificación.
Uno de los miembros más prominentes de un foro cibercriminal del bajo mundo anunció la venta de 1.5 millones de registros de clientes de la unidad Enterprise Solutions de la compañía Verizon por USD 100mil o su equivalente por una fracción del precio. Tanto el investigador Brian Krebs como la revista Fortune contactaron a Verizon acerca del hallazgo, y recibieron confirmación de ella que habían descubierto y remediado una falla de seguridad en su portal de clientes de la unidad Enterprise Solutions, y como resultado el agresor habría obtenido datos básicos de contacto de un número no determinado de clientes. Por supuesto, esta información puede ser usada para phishing y otros ataques dirigidos.
¿Cómo combatirlo? Unos de los propósitos de la ley de protección de datos y de su oficina de supervisión, al menos en Perú, es que los afectados por una brecha de datos puedan conocer las posibles fuentes de donde ha provenido su brecha. Conozca más de la ley de protección de datos peruana, y de cómo nivelarse a las directivas de seguridad de la autoridad que vela por ellas, contrate nuestra familia de servicios de consultoría en defensa.
Una revista online hizo pública una brecha de datos personales en Filipinas, a la que catalogó como la peor en la historia de una nación en proceso electoral. Días atrás, el colectivo Anonymous penetró el sitio web del COMELEC (Philippine Commision on Elections) con el fin de persuadir a la comisión a que mejorara las características de seguridad de las máquinas de conteo de voto. Sin embargo, LulzSec no tuvo la misma paciencia, y el 27 de marzo liberó los 55 millones de registros conteniendo, además de lo usual, las huellas digitales de los electores. Desde entonces los filipinos son potenciales víctimas a ciber-ataques. El Perú tuvo dos preludios similares: 2005 con un docente universitario y 2015 con Anonymous.
¿Cómo combatirlo? El software y la red siguen teniendo problemas serios de madurez en seguridad. Dos son los criterios básicos para asegurarla, (1) saber comprar, ejecutar y dirigir proyectos de desarrollo de software, JaCkSecurity le enseña; (2) saber que la red mueve flujos de datos, y debe monitorear y de ser posible capturar la evidencia de ese flujo (no importa lo que otros piensen al respecto), hablamos de black-box de su red.
Se dio a conocer que el robo de credenciales de LinkedIn reportado por esa compañía en el año 2012 había sido 25 veces más grande. El criminal, de pronto -4 años después- decidió comercializar las 167 millones de cuentas que robó, a 5 bitcoins (US$ 2,200) la copia. En virtud de estos hechos, es pausible que en los próximos años las legislaciones vigentes respecto a notificación de brechas abarquen incluso a los usuarios de un sistema cuyos datos no fueron violados, mientras tanto cada vez que oiga de una brecha de seguridad en un sistema (Ej. un banco), así no sea Ud. notificado, cambie sus credenciales. Por su puesto, las de LinkedIn ya son de dominio público, y Ud. puede verificar su estado es sitios como HAVEIBEENPWNED.
¿Cómo combatirlo? En el proceso de la gestión de la crisis, no hay nada peor que no saber “gestionar la crisis”. La vieja escuela del “negarlo todo” o “no testificar nada” es una práctica que sólo empeora las cosas. En la crisis, lo que quieres es “entender todo y rápido”, para saber cómo decir, qué decir, y sobre todo nada de lo que digas sea mentira o incierto, sino todo lo contrario. Brindamos “crisis-support“, al extraer toda la información de los hechos de una crisis de ciber-seguridad, para que su compañía sea el centro de atención y no los medios.
Por la mañana de un lunes, la corte superior de justicia de un condado en California (EE.UU.) había puesto en línea un “nuevo” sistema web de gestión de casos. Un reportero alertó al oficial de la corte que información sensible y privada estaba abierta al público. Por seis horas, cualquiera que buscaba por un caso criminal podía ver los números de seguro social del acusado, su fecha de nacimiento, su número de licencia de conducir y la dirección de su domicilio. La oficial de la corte comentó que la privacidad no había sido configurada adecuadamente para los usuarios públicos. Esto ocurrió en Sutter County Superior Court, en Yuba City, California, EE.UU. Aunque los sistemas web son un riesgo, estos son mitigables.
¿Cómo combatirlo? Citaba alguien famosos, que es imposible pensar en todas las brechas contractuales. Por eso y desde hace muchos años, existe el ethical hacking, se cumple para los negocios, se cumple para el software.
BBC reporta que datos de clientes de O2, estaban siendo comercializados en la red oscura o web profunda (deep-web). O2 es la subsidiaria de Telefónica y uno de los más grandes operadores en el Reino Unido. A través de una técnica automatizada denominada “Credential Stuffing”, los criminales descubrieron que las credenciales robadas tres años atrás del sitio de juegos “XSplit” coincidían con varias credenciales de acceso a cuentas de O2. Por supuesto, O2 nunca fue hackeado. Esta brecha remarca la importancia de no re-utilizar contraseñas, y de haberlo hecho, cambiarla. En Perú, la brecha de datos al .PE, a LinkedIn, a Twitter y Dropbox componen algunas fuentes para la práctica del “Credential stuffing”.
¿Cómo combatirlo? Te diríamos que te consigas todas las base de datos robadas y tu mismo las pruebes, pero es probable que el ingrato tiempo no te lo permita. Lo mejor, sería que en tu siguiente contratación de ethical hacking, solicites el uso de la técnica para -al menos- atacar al sysadmin, o a un grupo de ellos, sea como parte o no de una evaluación de social-engineerng.
MICROS, el tercer fabricante mundial de POS, que fuera adquirido por Oracle en el 2014, fue víctima de una brecha de datos. Este producto se emplea en más de 330,000 cajas registradoras en hoteles, restaurantes y minoristas en todo el mundo. A través de un debilidad en el portal web que gestiona los POS, una banda criminal rusa (posiblemente Carbanak) logró robar las credenciales de gestión de los equipos. Con esa información, los intrusos consiguieron acceder a los POS y alterarlos remotamente, para habilitar la fuga de datos de las tarjetas de pago. Al respecto, Oracle comentó a KrebsonSecurity.com que había detectado y resuelto un código malicioso en algunos sistemas de esa marca.
¿Cómo combatirlo? Se dice que en la tierra de los ciegos, el tuerto es el rey. Pero, si el tuerto fuera sabio, sabría que está más cerca de la ceguera que el resto de mortales. Es entendible que hayan cosas que una organización nunca quiera compartir, o de las que no haga falta compartir, pero el criterio del prudent-man (gerente prudente) nos invita siempre a hacer siempre un “due-diligence”. Si su gerencia piensa así, invítenos a investigar tras-bambalinas en la línea del tiempo de los eventos que ocurrieron en su organización, mientras esta dormía, quizás hallemos algo que le sea realmente útil a sus finanzas, como en el incidente que viene a continuación.
Yahoo anuncia el robo de información de 500 millones de cuentas ocurrido dos años atrás. El robo, que se cree fue financiado por un gobierno extranjero, logró obtener contraseñas, fechas, números telefónicos, y preguntas de seguridad. En diciembre, Yahoo comunicó que en el 2013 también habían sufrido otra brecha de datos, con 1,000 millones de cuentas. Dos meses antes, en octubre, Verizon se anticipó inteligentemente al impacto material sobre la compra que celebró con Yahoo en julio de ese año por USD 4.8M, al revelar públicamente su intención de uso de la cláusula de retirada, sea para pagar menos, o ir a los tribunales y librarse de la compra de Yahoo.
¿Cómo combatirlo? Si la intuición fuera una habilidad de negocios de la alta gerencia, las mujeres serían las favoritas cubriendo esa posición. De cualquier forma, si sospecha que algo ya sucedió, es hora de iniciar una cacería de brechas, y no una cacería de brujas (#auditoría-de-sistemas-NuncaMás!) como aquellas que venden las big fours. Mientras tengamos imaginación, las brujas siempre van a existir; pero no las brechas, estas últimas nos roban la sangre, el aire, la imaginación, y finalmente los negocios.
3.2 millones de tarjetas de pago, equivalente a 32 “lakh” en el sistema contable de India, fueron comprometidas por operaciones fraudulentas detectadas en EE.UU. y China. El daño afectó al servicio de conmutación nacional de pagos para ATMs (automatic teller machines) de India, supervisado por el National Payment Corporation of India (NPCI), y supeditado al Reserve Bank of India (RBI). El impacto se extendió a al menos 19 bancos emisores de tarjetas, correspondiente al 20% de la membresía del NPCI o cerca del 5% de bancos existentes en la India.
¿Cómo combatirlo? Si bien algunas organizaciones han creado su virtual océano azúl, y nadie parece ahogarse -todavía- en él, la seguridad se hace más grotesca con cada brecha. Las regulaciones se vuelven más ortodoxas, los negocios se vuelve más costosos, los contribuyentes soportan una mayor carga, y en toda la industrial alrededor se hace más “ineficiente”, haciendo a la fuerza laboral el eslabón débil de la cadena, y el que finalmente soporta todo el peso. En ingeniería, esta ineficiencia es inaceptable. Si su organización se mueve en un océano azúl, permítanos asesorarle un nivel más con nuestras lecciones aprendidas, para que su océano siga azúl un tiempo más.
El sistema de rieles públicos de San Francisco, conocido como el Muni, fue infectado con un malware durante el fin de semana de Acción de Gracias celebrado en EE.UU. Esto provocó que los quioscos y computadoras se bloquearan, y que durante al menos 48 horas se hicieran transportes “GRATIS”. Aproximadamente el 25% del parque de cómputo del Muni fue infectado por un ransomware “no dirigido”, descargado desde un hiperenlace web que llegó a través del correo electrónico, y que fue invocado por un administrador de sistemas desde una computadora con altos privilegios. Un ransomware es un software malicioso diseñado para bloquear el acceso a un sistema hasta que la víctima pague un rescate.
¿Cómo combatirlo? Podemos recomendarle algunos amigos que educan de seguridad para oficinistas. Luego de eso, venga con nosotros. Llegó la hora de probar a sus colaboradores.
Un equipo de inteligencia comercial publica un artículo de 11 páginas donde se evidencia que el grupo ruso de campañas de APT (advanced persistent threats) conocido como Fancy Bear, había infectado los móviles Android de la infantería ucraniana para rastrear sus movimientos durante el conflicto por Crimea (2014). Y, dos navidades atrás (Dic. 2015) otro grupo ruso de APTs, conocido como Sandworm, lanza el primer ataque cibernético exitoso contra tres plantas de energía, de este país, dejando a un cuarto de millón de ucranianos sin energía por hasta 6 horas.
¿Cómo combatirlo? La banca ya dejó de ser la favorita de los incidentes. La aventura hacker (la sana) se ha mezclado muy bien con la codicia, y está dando frutos, donde menos lo imaginábamos. Mientras, la conciencia madura, permítanos enseñarle cómo prepararse.