2020 fue un año difícil por muchas razones, entre las que se encuentran las infracciones y los ataques que afectaron a los usuarios finales, los clientes y las organizaciones a las que se dirigió. La amenaza del ransomware dominó los titulares, con un flujo interminable de compromisos que afectaron a escuelas, gobiernos y empresas privadas cuando los delincuentes exigieron rescates por millones de dólares. También hubo un flujo constante de violaciones de datos. También aparecieron varias adquisiciones masivas de cuentas.
Lo que sigue son algunos de los aspectos más destacados. En buena medida, también estamos lanzando un par de trucos notables que, aunque no se usaron activamente en la naturaleza, fueron impresionantes más allá de toda medida o traspasaron los límites de la seguridad.
El hack de SolarWinds
2020 dejó la brecha más devastadora para el final. Los piratas informáticos que, según varios funcionarios públicos, están respaldados por el gobierno ruso, comenzaron comprometiendo el sistema de distribución de software de SolarWinds, el fabricante de software de monitoreo de redes que utilizan decenas de miles de organizaciones. Luego, los piratas informáticos utilizaron su posición para entregar una actualización oculta a unos 18.000 clientes. A partir de ahí, los piratas informáticos tenían la capacidad de robar, destruir o modificar datos en las redes de cualquiera de esos clientes.
A los investigadores les llevará tiempo evaluar el daño. Esto se debe a que no todos los que instalaron la actualización maliciosa recibieron ataques posteriores. Hasta ahora, la firma de seguridad FireEye ha dicho que los piratas informáticos buscaron información sobre sus clientes gubernamentales y también robaron herramientas del equipo rojo que se utilizan para probar las defensas de seguridad de los clientes. Mientras tanto, los funcionarios estadounidenses han dicho que docenas de cuentas de correo electrónico del Departamento del Tesoro también han sido pirateados.
Si bien los efectos completos de la infracción no se conocerán hasta dentro de unos meses, ya está claro que el ataque de SolarWinds es uno de los ataques de espionaje más dañinos visitados en los EE. UU. En la última década, si no de todos los tiempos. Se llevó a cabo atacando una cadena de suministro de software que es vital para algunas de las empresas y agencias gubernamentales más grandes del mundo. Luego, los atacantes usaron esa tubería para excavar profundamente en las redes de las entidades más interesantes.
Además de la pérdida de tantos datos valiosos, el hack de SolarWinds es notable por el arte comercial de primer nivel que utilizó. Los atacantes, según Yahoo News, tenía el control del sistema de actualización SolarWinds a más tardar en octubre de 2019. Comenzaron a publicar actualizaciones maliciosas en marzo. El compromiso de toda la industria salió a la luz no por las agencias gubernamentales encargadas de descubrir tales cosas, sino más bien debido a la investigación que hizo FireEye.
Compromisos masivos de Twitter, cuentas de Nintendo
En julio, Twitter perdió el control de sus sistemas internos debido a que los piratas informáticos empujaban una estafa de Bitcoin. La violación fue notable porque comprometió cuentas pertenecientes a políticos, celebridades y ejecutivos de negocios, muchos con millones de seguidores.
Si bien el daño fue modesto, alrededor de $ 100,000 en pagos falsos de promoción de Bitcoin y algunos datos personales robados de algunos titulares de cuentas, un truco como este podría haberse utilizado para hacer cosas mucho peores (piense en un anuncio del gobierno o líderes empresariales que manipula el mercado de valores o aviva tensiones geopolíticas).
Otra cosa que hizo que esta violación fuera significativa fue la gente que la perpetró y las tácticas que utilizaron. Las autoridades acusaron a un joven de 17, 19 y 22 años de usar un ataque de spear phishing que robó una contraseña administrativa de un empleado de Twitter que trabajaba desde su casa durante la pandemia de COVID-19.
Un finalista de otro truco que llevó al compromiso masivo de cuentas fue el que golpeó a Nintendo en abril.
Ataques de ransomware en el Hospital Universitario de Dusseldorf, Garmin y Foxconn
Estas son brechas separadas, pero juntas subrayan el costo que los ataques de ransomware están exigiendo, no solo en las organizaciones objetivo sino en los millones de personas que dependen de ellos.
Durante un apagón que afectó a uno de los hospitales cerca de Dusseldorf, Alemania, una paciente que buscaba un tratamiento que le salvó la vida fue rechazada y murió mientras intentaba obtener servicios en un centro más distante. Es posible o incluso probable que el el paciente habría muerto de todos modos, pero el compromiso, no obstante, ilustra el papel potencialmente fatal que pueden tener el ransomware y otros tipos de ataques dañinos.
Mientras tanto, el ataque de Garmin provocó una interrupción de cuatro días que dejó sin servicio de GPS a millones de personas, algunas de ellas pilotos de aviones planificación y cartografía de vuelos.
Otro ataque de ransomware que llamó la atención fue el violación del gigante de la electrónica Foxconn. Los atacantes exigieron 34 millones de dólares por la devolución de los datos, lo que lo convierte en el rescate más alto jamás buscado.
Violaciones de datos que afectan a Marriott y EasyJet
Estos también fueron ataques separados, pero llevaron a comprometer datos personales que pertenecen a cientos de millones de personas.
Para Marriott, la pérdida de información de 5,2 millones de huéspedes fue la segunda vez en tres años había sufrido un ataque de esa magnitud. UN incumplimiento de EasyJet afectó a nueve millones de pasajeros.
Un exploit de iPhone sin hacer clic y la extracción de una clave criptográfica de CPU Intel
No todos los trucos son malos. La mayoría de las veces, los hacen los buenos. Y, en ocasiones, son tan elegantes que solo hay que admirarlos por el ingenio que se les dio.
El truco más impresionante de este año provino de Ian Beer, miembro del equipo de investigación de vulnerabilidades del Proyecto Cero de Google. Él ideó un ataque que, hasta que Apple emitió una actualización, le dio acceso completo a todos los iPhone dentro del alcance de su punto de acceso Wi-Fi malicioso.
Su ataque no requería que el usuario de iPhone hiciera nada, y era desparasitable, lo que significa que las vulnerabilidades podían propagarse de un dispositivo cercano a otro. El exploit es una de las hazañas de piratería más impresionantes en la memoria reciente y muestra el daño que puede resultar de una sola vulnerabilidad de variedad de jardín. Apple corrigió una falla de desbordamiento de búfer después de que Beer lo informó en privado.
Otro truco importante de este año fue la extracción de una clave secreta utilizada para cifrar microcódigo en una CPU Intel, una novedad en los anales de la seguridad y la ingeniería inversa.
La clave permite descifrar las actualizaciones de microcódigo que proporciona Intel para corregir vulnerabilidades de seguridad y otros tipos de errores. Tener una copia descifrada de una actualización puede permitir a los piratas informáticos realizar ingeniería inversa y aprender con precisión cómo explotar el agujero que está reparando. La clave también puede permitir a terceros distintos de Intel, por ejemplo, un pirata informático malintencionado o un aficionado, actualizar los chips con su propio microcódigo, aunque esa versión personalizada no sobreviviría a un reinicio.
Hay un viejo dicho en los círculos de seguridad que dice que los ataques solo mejoran. 2020 demostró que el dicho es cierto una vez más, y sin duda 2021 hará lo mismo.