Cuando hablamos de ataques a grandes entidades, nunca se toca el tema del sector de la salud, que también es un objetivo importante para los cibercriminales, allí se pueden encontrar datos personales muy importantes, y más en estos tiempos donde todo está conectado por redes informáticas. En un informe publicado por Raytheon y Websense Security Labs se pudo saber que la salud es uno de los sectores que más ataques recibe y sus vulnerabilidades están en constante crecimiento, esto es por la gran cantidad de dispositivos conectados que se utilizan en los centros asistenciales.

«La rápida digitalización de la industria de la salud, en combinación con el valor de los datos que se manejan en ella, ha aumentado considerablemente el número de ataques dirigidos contra dicho sector», comentaba Carl Leonard, Analista de Seguridad de Raytheon y Websense. «Si bien los sectores de finanzas y venta minorista han perfeccionado por mucho tiempo sus defensas electrónicas, nuestra investigación revela que las instituciones de salud deben fortalecer rápidamente sus estrategias de seguridad para enfrentar los desafíos propios de la economía digital, antes de que se vuelva la principal fuente de información personal robada», finalizó.

Durante el 2014 Websense pudo identificar un aumento del 600% en los ataques cibernéticos contra hospitales en Estados Unidos en un período de 10 meses. Sorprende el gran aumento de este tipo de ataques, se ve que los cibercriminales están buscando nuevos horizontes y encontraron en las instituciones de salud un punto débil. Cuando nos preguntan cuáles son los principales objetivos de un atacante, por lo general siempre se responde lo lógico, una entidad bancaria, entes gubernamentales, inclusive un usuario común y corriente, pero hace un año que los cibercriminales están comenzando a mirar con otros ojos los centros de salud.

Raytheon y Websense Security Labs analizó la telemetría de los ataques contra el sector de la salud y pudo descubrir información de primera mano sobre las herramientas que se utilizan para los ataques, junto con las técnicas más productivas que pueden sacar el mayor provecho a una intromisión en los sistemas de seguridad.

Haciendo un resumen de los datos y descubrimientos de estas dos firmas, se puede destacar lo siguiente; sobre los ataques, en la industria de la salud se reportan un 340% más incidencias de seguridad y ataques que en otras entidades, lo que marca una clara tendencia a ser más afectada por el robo de datos delicados. Los datos que los cibercriminales logran robar, por ejemplo información médica, tiene diez veces más valor en el mercado negro que cualquier otra información. Si recordamos un informe anterior aquí publicado, la información completa de una tarjeta de crédito está rondando los 45 dólares en el mercado negro, y si a eso lo multiplicamos por 10, se podría llegar a pagar 450 dólares por este tipo de información.

La distribución de los expedientes electrónicos da origen a un entorno en el que se mueve una cantidad enorme de información, por lo tanto las redes que conectan a miles de proveedores se traduce como una superficie de ataque muy amplia para los cibercriminales.

Por otro lado, se logró saber que uno de cada 600 ataques cuyo objetivo era un centro de salud estaba siendo realizado con malware avanzado. Los expertos en seguridad señalan que este sector de la industria tiene cuatro veces más posibilidades de sufrir un ataque de este tipo, porque no tienen el presupuesto adecuado, ni cuentan con las habilidades administrativas para montar un sistema de seguridad que permita evitar este tipo de amenaza.

En cuanto al phishing existe un 74% más de probabilidades de sufrir un ataque de este tipo, esto es debido a la falta de capacitación en seguridad efectiva y de programas de concientización sobre seguridad para sus empleados, no educarlos se puede traducir en un grave peligro y el aumento de este tipo de casos para la industria de salud, ya que los usuarios no están correctamente entrenados para saber cómo reaccionar ante un intento de engaño.

El sector de la salud tiene un riesgo 4.5 mayor de sufrir el impacto de Cryptowall y 3 veces más probabilidades de ser afectada por el troyano Dyre. En un principio Dyre era un troyano dedicado a atacar al sector financiero donde se robaron millones y millones de dólares gracias a su gran capacidad de explotación, ahora Dyre está preparado para robar datos de las instituciones de salud en todo el mundo. Sobre Cryptowall no hay nada que decir, es la clásica amenaza que cifra los datos del equipo y pide una suma de dinero para desbloquearlos.

La salud tendrá que trabajar muy duro en su seguridad, los ataques cibernéticos están en constante aumento y los cibercriminales no paran de buscar nuevos objetivos. Ahora que todo está conectado, y los médicos utilizan cada vez más computadoras para guardar datos de sus pacientes, se deberá tomar el punto seguridad con más seriedad.

Una vez que los cibercriminales logran sus cometidos y extraen información de sus víctimas, la utilizan para vender los datos en el mercado negro, y no hay cosa que no venga bien. Un informe publicado por Inter Security detalla los precios de cada información robada por los cibercriminales, desde tarjetas de crédito, credenciales de acceso a cuentas bancarias y servicios de pago en línea. Esta información es vendida en el mercado negro de los cibercriminales a precios muy elevados, según los registros hay personas que llegan a pagar cientos de dólares.

El informe de Inter Security lleva el nombre de “The Hidden Data Economy” (La economía oculta de los datos), en el cual se hace público cómo se están comercializando los diversos tipos de datos robados y también los precios de venta que tienen en el mercado negro. “Este mercado de la ciberdelincuencia como un servicio ha sido un factor primordial para el auge en tamaño, frecuencia e intensidad de los ciberataques. Lo mismo puede decirse de la proliferación de los modelos de negocio establecidos para vender datos robados y pagar actos cibercriminales”, explica Raj Samani, CTO de Intel Security en EMEA.

Los análisis realizados por McAfee Labs vierten una clara tendencia a la compra/venta de datos de tarjetas de crédito, que es quizás, algo conocido por todo internauta, por eso el hecho de tener sumo cuidado con las compras por internet. Pasemos a detallar el contenido y los precios de este tipo de datos, una oferta básica en el mercado negro incluye un número válido generado por un software que combina un número de cuenta primario, fecha de caducidad y un número de seguridad CVV2. Los generadores de números de tarjeta válidos pueden comprarse o encontrarse gratuitamente por internet. Pero ¿qué pasa si se incluye información personal del titular? En este caso la cosa cambia, mientras más datos se quieran obtener, el precio de la información es otro, si se quiere saber el número de la identificación de la cuenta bancaria, fecha de nacimiento de la víctima o una información denominada como “Fullzinfo”.

A esta última información se la llama de esa manera porque incluye todo tipo de información para poder controlar la cuenta a gusto y placer, se trata de un paquete que contiene la dirección de facturación de la víctima, su número de PIN, número de seguridad social, fecha de nacimiento, nombre de usuario y contraseña para acceder, gestionar y transformar la cuenta del titular mediante la web. En cuanto a precios, hay de todo tipo, pero el paquete básico que detallamos anteriormente ronda los 25/30 dólares, mientras que el paquete Fullzinfo con la información completa sale 45 dólares.

“Un criminal que tenga en su poder el equivalente digital a la tarjeta física puede comprar o retirar dinero hasta que la víctima contacte con su entidad y reclame los cargos. Si se proporciona al criminal información personal adicional que pueda emplear para “verificar” la identidad del titular de la tarjeta, o en el peor de los casos, permitirle acceder a la cuenta y cambiar la información, las consecuencias para el titular de la tarjeta pueden ser aún peores”, explica Raj Samari.

Vayamos a los precios de los datos de las cuentas de pago online, estas cuentas aumentan o disminuyen su valor según la cantidad de saldo que dispongan. Por ejemplo, el costo de los datos de acceso a una cuenta que tiene un saldo de entre 400 y 1.000 dólares varía los 20 y 50 dólares, si la cuenta está mucho más abultada, hablamos de unos 5.000 u 8.000 dólares, el precio se aproxima a los 200 o 300 dólares por cuenta. Ocurre lo mismo con los datos de acceso a las cuentas bancarias, las que poseen un promedio de 2.200 dólares están cotizándose a 190 dólares. Ahora bien, si lo que se necesita es una cuenta bancaria con la capacidad de transferir fondos de forma opaca a bancos en Estados Unidos con un saldo aproximado de 6.000 dólares, se pueden comprar por 500 dólares, y las cuentas con un saldo de 20.000 dólares se pueden adquirir por 1.200 dólares. Las transferencias al Reino Unido se sitúan en 700 dólares para cuentas con saldos de 10.000 dólares, y 900 dólares para cuentas con saldos de 16.000 dólares.

Por aquí no queda la cosa, porque los cibercriminales también ponen en venta los datos de acceso a contenidos premium, hablamos de videos en streaming, televisión cable y membresías a canales de deportes, el precio de venta en este caso no supera los 15 dólares. Los servicios en línea para acceder a programas de fidelización del sector hotelero y a las cuentas de subastas online también son un punto fuerte en las redes criminales, la compra de estos datos permite al portador hacerse pasar por otra persona y así realizar compras en su lugar. Desde McAfee Labs pudieron interceptar una cuenta perteneciente a una comunidad de subastas en línea de gran reputación, el precio para adquirirla era de 1.400 dólares.

Los cibercriminales roban todos estos datos delicados gracias a sus métodos de phishing y malware en general, por eso siempre se le recuerda a los usuarios que nunca deben ingresar a enlaces de dudosa procedencia, y mucho menos escribir sus datos personales en sitios no seguros. Una vez que un atacante roba los datos de su víctima, no necesariamente los usa para su conveniencia, aquellos datos que se introducen en sitios interceptados por cibercriminales pueden ir a parar al mercado negro, donde se ponen en venta al mejor comprador.

La firma Cisco Talos fue con todo para desmantelar las estructuras de Angler Exploit Kit, uno de los exploits más peligrosos de los últimos tiempos, y con una fuente internacional de ingresos bastante elevada gracias a su capacidad de infección. Esta amenaza es uno de los más grandes kits de exploit en la actualidad, hace ya varios meses que se viene relacionando con varias campañas de publicidad maliciosa. Angler, catalogado como una amenaza de alto perfil, fue hasta hace unos días el más avanzado y preocupante exploit en el mercado, su desarrollo inteligente le permitía eludir los más complejos dispositivos de seguridad y atacar un gran número de equipos para que caigan en sus redes maliciosas.

La actividad que tenía Angler era descomunal, el informe publicado por Cisco aclaró que la gran mayoría de los servidores proxy utilizados por Angler estaban alojados en los servidores del proveedor de servicios Limestone Networks, donde estaba el principal foco de actividad, cerca del 50% de la actividad maliciosa que iba dirigida a 90.000 víctimas por día, y generando una suma de 30 millones de dólares por año. Si a estos valores se le suma toda la actividad que tenía el exploit en todo el mundo, los ingresos se elevan hasta superar los 60 millones de dólares por año. El equipo de Talos, principal colaborador de Cisco en este desmantelamiento, ha ganado visibilidad adicional en la actividad global de la red mediante la colaboración con el Nivel 3 de Threat Research Labs, y gracias a la colaboración de Cisco con OpenDNS se pudo ver a fondo la actividad del dominio asociado a los competidores.

El cese de operaciones de Angler es un duro golpe para la economía emergente de hackers donde el ransomware y la venta de IPs en el mercado negro, información de tarjetas de crédito e información de identificación personal robada generan ingresos de cientos de millones de dólares por año.

Angler Exploit Kit era una amenaza de alto calibre, todas las semanas estaba en las noticias, ya sea por el Domain Shadowing, su integración en 0-Days o haciendo campañas de publicidad maliciosa por todo el mundo, pero algo es seguro, siempre se mantuvo en las primeras posiciones. Los datos publicados por Cisco comenzaron originalmente en julio de 2015 e incluyen información de todas las fuentes posibles, este mes fue clave ya que Angler pasó por varias fases de desarrollo, inclusive modificando la estructura de las URL y la aplicación de varias vulnerabilidades sin parches de Adobe Flash. La peligrosidad de Flash sigue siendo un dolor de cabeza para cualquier ingeniero informático, quién sabe qué otra amenaza pueda estar aprovechándose de alguna vulnerabilidad en Flash para infectar a los usuarios, pero por suerte, Angler ya no es una de ellas. El completo análisis de los investigadores cubrió todos los campos de batalla; referers, exploits, payloads y hosting, siendo este último donde se encontraron los descubrimientos que llevaron al objetivo.

La empresa proveedora de servicios Limestone Networks era la “culpable” de más del 50% de la actividad de Angler. Es así como Talos se puso en marcha y colaboró con Limestone para recopilar información sobre la actividad maliciosa que estaba siendo operada desde sus servidores.

Angler estaba construido sobre una configuración de proxy/servidor, pero solo hay un único servidor exploit que se encarga de servir a la actividad maliciosa mediante múltiples servidores proxy. El servidor proxy es el sistema con el que se comunican los usuarios, por lo que le permite al contrincante cambiar velozmente mientras que protege el servidor exploit de ser descubierto y expuesto.

Dentro de esta campaña de detección y desactivación, se activó un servidor de vigilancia que llevaba a cabo controles, recopilando información sobre los hosts que estaban siendo explotados y que borraba remotamente los archivos de registro cuando la información había sido extraída. Gracias a este servidor encargado de realizar dichas acciones, se pudo estimar el alcance de esta campaña y las cifras monetarias que estaba manejando.

Únicamente un servidor se vio monitoreando a 147 servidores proxy en un período de tiempo de un mes, generando más de 3 millones de dólares de ganancias. En un solo día se logró encontrar aproximadamente 9.000 direcciones IP únicas con alrededor de 3.600 usuarios comprometidos, por día, se estima que los usuarios pagaron un promedio de 300 dólares para recuperar sus archivos como causa de la infección con ransomware. Los números fríos quedarían de la siguiente manera; por día se estaba recaudando 95.153 dólares, por mes 2.854.593 dólares, y por año 34.255.116 dólares.

Por suerte y con el trabajo de varias firmas aliadas se están desmantelando grandes amenazas y redes maliciosas que ponen en riesgo la seguridad de los internautas. Seguramente en este momento hay muchas más amenazas por ser descubiertas y los investigadores estarán haciendo lo posible por poner fin a las creaciones que no le hacen ningún bien a los usuarios.

Una vez más, Android y sus vulnerabilidades vuelven a salir a la luz, en este caso se trata de Stagefright 2.0, una variable del Stagefright original descubierta hace unos meses. El fallo detectado es de suma gravedad ya que no necesita que el usuario interactúe con ningún tipo de archivo, permite la ejecución de código remoto y la escalada de privilegios, lo cual hace que el atacante tome el control del dispositivo móvil sin el consentimiento del usuario.

Allá por el mes de Julio, Joshua Drakelos, del grupo de investigadores de Zimperium Mobile Security hizo una predicción sobre Stagefright, ya sea ellos, u otros investigadores, encontrarían nuevas vulnerabilidades en este motor de reproducción perteneciente a Android. Y como si de brujería se tratase, luego de que Google parchea la vulnerabilidad original, se descubre al poco tiempo dos nuevos fallos de seguridad (CVE-2015-6602 y CVE-2015-3876), con las mismas características que la vulnerabilidad original. La primera corresponde a la primera versión de Android, mientras que la segunda se introdujo en las versiones 5.0. Actualmente está afectando a todas las versiones de Android, inclusive la 5.1.1.

Si vamos a los riesgos causados por las vulnerabilidades, tanto Stagefright 2.0 como su antecesor causan el mismo daño para el usuario, se diferencian en que el vector de ataque para la primera vulnerabilidad fue parcheado por parte de Google. En caso de que un atacante logre explotar el fallo de seguridad, puede ejecutar código malicioso de forma remota y así escalar privilegios dentro del dispositivo, de esta manera puede hacerse con el control total del aparato en cuestión teniendo acceso a datos personales, fotos, videos, grabar conversaciones, ver mensajes, instalar aplicaciones, y una infinidad de posibilidades más.

Desde la firma Zimperium, responsables del descubrimiento de ambas variables de la vulnerabilidad, afirman que la nueva versión encontrada es tan peligrosa como la descubierta meses atrás.

El equipo de investigadores de Zimperium ya reportó las dos nuevas vulnerabilidades a Google y desde el gigante de internet se dio una solución en forma de parches a sus socios. Google, que actuó rápidamente, como no podía ser de otra manera ya que la vulnerabilidad era crítica, tiene una actualización de seguridad programada para el 5 de octubre que a su vez coincide con el lanzamiento de la versión final de Android 6.0. De ahora en adelante, será cuestión de tiempo para que cada fabricante comience a lanzar los parches de seguridad en forma de actualización, si llegado el día no tienes ninguna notificación, revisa manualmente las actualizaciones de tu equipo, aunque no todos los fabricantes proveerán la actualización el mismo día.

Como la manera de explotar la vulnerabilidad todavía es un secreto para los cibercriminales, no hay que alarmarse tanto, pero lo cierto es que es algo muy grave. Zimperium detalla que no publicará los datos técnicos de su descubrimiento hasta que los dispositivos cuenten con la actualización pertinente y estén protegidos.

También explicaron que planean actualizar su aplicación gratuita Stagefright Detector, que permite identificar este tipo de defectos en el sistema operativo de cada dispositivo.

Al parecer el fabricante de equipos portátiles no tiene paz, Lenovo ha vuelto a instalar un software de dudosa finalidad en uno de sus equipos y despierta una oleada de comentarios y desconfianza en todo el mundo. Según un experto en tecnología de la revista Computerworld, la firma Lenovo incluye un software espía de forma predeterminada en sus equipos.

Según el investigador Michael Horowitz, quien redactó el artículo para la revista Computerworld, acababa de comprar un equipo de la marca Lenovo, y para su sorpresa, terminó descubriendo un programa llamado “Lenovo Customer Feedback Program 64” que viene instalado por defecto en los equipos y se ejecuta diariamente.

El programa en cuestión se muestra como “Lenovo.TVT.CustomerFeedback.Agent.exe” dentro de los procesos, y según su descripción en el Administrador de Tareas de Windows indica que “sube datos del Customer Feedback Program a los servidores de Lenovo”. Aquí es donde el investigador comienza a sospechar, porque en ningún momento se le pidió permiso para compartir información privada con Lenovo, y así fue como siguió investigando el programa más a fondo. Dicho programa sospechoso se aloja en una carpeta de Lenovo en los archivos del sistema, donde se puede encontrar otro programa de nombre Omniture Site Cataclyst, ejecutado bajo el nombre “Lenovo.TVT.CustomerFeedback.OmnitureSiteCataclyst.dll”.

Michael Horowitz, curioso por saber qué era ese programa, realizó una búsqueda en Google donde encontró que SiteCataclyst es una herramienta de análisis web desarrollada por Omniture, una compañía que recopila información de la actividad de los usuarios en la red para luego hacerle ofertas en base a sus intereses.

Si vamos al sitio web de asistencia técnica de Lenovo, se advierte que sus productos pueden incluir programas que se comunican con servidores de internet, dentro de esos programas se encuentra el Customer Feedback Agent. En cambio, Horowitz fue muy duro con la firma por esconder esta información en las profundidades del acuerdo de licencia en vez de hacerla más clara, y por no informar como es debido sobre la desactivación de estos programas espía.

Según Lenovo, la actividad del programa se puede desactivar en “Configuración”, pero el investigador nunca logró encontrar dicha opción. Ante la poca privacidad que le ofrecía este programa espía tuvo que recurrir a otro método, desactivó la tarea en el Administrador de Tareas y cambió el nombre de la carpeta en la ruta “C:/Program Files(86)/Lenovo”, donde se aloja el programa por defecto.

Por el momento Lenovo no ha dicho nada más al respecto, y tampoco le conviene seguir dándole más vueltas al asunto, ya explicó que hay programas que se comunican con servidores de internet y para ellos no se trata de un espionaje. Recordemos que la firma ya viene muy golpeada por los recientes casos de programas espía que venían preinstalados en sus equipos, donde sí se logró demostrar que violaban la privacidad de sus usuarios.