Bitcoin, Heartbleed y las vulnerabilidades en el Internet de las Cosas marcan tendencia en 2014
El primer cuatrimestre de este año ha estado plagado de incidentes de seguridad que han dado mucho de que hablar durante estos meses: tanto por la gran cantidad de hechos a destacar como por su importancia e impacto en usuarios finales y en empresas. Todas las plataformas han sido atacadas de una u otra manera: tanto Windows como Linux y Mac, redes sociales, dispositivos móviles, sistemas online de pago y plataformas de juegos. Sin embargo, una tendencia clara y nueva que está destacando este año es el descubrimiento de múltiples vulnerabilidades en lo que llamamos el Internet de las Cosas. El resumen de todo lo sucedido lo ha publicado el Laboratorio de ESET en España en su Informe Cuatrimestral de Seguridad 2014 en España.
Bitcóin, Heartbleed y el Internet de las cosas
Si tenemos que destacar los sucesos más significativos de estos primeros cuatro meses, sin duda tenemos que mencionar los problemas que ha sufrido la moneda criptográfica Bitcóin, pues junto al cierre de Mt. Gox, uno de los mayores mercados de transacción de bitcoines, se unieron los ataques que sufrió el sistema y que tuvieron como objetivo tanto a usuarios de la moneda virtual como a algunas de las plataformas de intercambio y operaciones encargadas de su gestión. Uno de esos ataques consiguió robar –según sus responsables– alrededor de 750.000 bitcoines (unos 450 millones de euros).
El problema de este ataque viene derivado de la gran pérdida de confianza en una plataforma que estaba popularizándose en algunos mercados y que ha visto cómo sus usuarios han dejado de utilizarla. Sin duda un varapalo para sistemas alternativos de intercambio de bienes y servicios a través de la Red. Como también lo ha sido la aparición de Heartbleed: un agujero de seguridad en algunas versiones de OpenSSL que permitiría a un atacante acceder a parte de la memoria de muchos servidores que están conectados en Red. Y como OpenSSL está siendo utilizado por una gran mayoría de servidores con acceso a Internet, se puede imaginar la magnitud del problema.
También destaca durante el inicio de 2014 una tendencia que va consolidándose: los problemas de seguridad derivados del llamado “Internet de las Cosas”. Conforme evolucionamos tecnológicamente, Internet está saltando de nuestros dispositivos móviles y ordenadores a objetos más cotidianos, como los vehículos, los televisores y las neveras, entre otros. Y a medida que tenemos más dispositivos que acceden a Internet, también se multiplican los riesgos de plataformas que se han desarrollado pensando más en la comodidad del usuario que en su seguridad. Así, durante estos cuatro meses, se han descubierto problemas de seguridad en televisores con conexión a Internet y en sistemas tecnológicos conectados a Internet e instalados en vehículos. Esta tendencia, sin duda, continuará creciendo y se convertirá en un nuevo foco de problemas a medida que los usuarios vayamos adquiriendo estos nuevos dispositivos.
Redes sociales, privacidad e ingeniería social
Como no podía ser de otra manera, los intentos de robos de identidad y de engaños han seguido su tónica general de distribución a través de las redes sociales. Y, de nuevo, Facebook ha cobrado protagonismo frente a otras plataformas por seguir siendo, de momento, la mayoritaria. Los temas impactantes son los que siguen funcionando, como el ataque de una serpiente gigante a su cuidador o el supuesto vídeo de la desaparición del vuelo de Malaysia Airlines.
Pero sin duda lo que ha dado que hablar, y mucho, de Facebook, han sido dos acontecimientos destacables: la celebración del 10º aniversario de la red social y la adquisición del popular sistema de mensajería WhatsApp por parte de la empresa. Esto desató todo tipo de rumores sobre la privacidad de los usuarios de la popular aplicación y, cómo no, correos con enlaces maliciosos y todo tipo de intento de timos y estafas utilizando la noticia como gancho.
Y hablando de privacidad, la nueva funcionalidad de Facebook “Nearby Friends” también ha dado de que hablar. Se trata de una aplicación que permite geolocalizar a contactos de los usuarios en la vida real y que la red social tiene pensado lanzar próximamente. Problema que se añade a la vulnerabilidad descubierta en WhatsApp que permite exactamente lo mismo y cuya solución, aunque están trabajando en ella, todavía no está disponible.
Twitter tampoco se ha librado, ya que apareció con mucha fuerza un nuevo phishing que intentaba hacerse con los datos personales de las cuentas de los usuarios. Forbes y el Barça no escaparon tampoco a ataques que consiguieron hacerse con sus cuentas en la popular red social.
Más fugas de datos y fallos en dispositivos móviles
Durante este cuatrimestre también hemos asistido a noticias preocupantes sobre fugas de datos: la Korean Credit Bureau (que dejó al descubierto datos de 20 millones de habitantes de Corea del Sur), la Agencia de Seguridad Alemana (que alertó del robo de datos de 16 millones de cuentas de correo y contraseñas), la NSA, Barclays Bank, Yahoo!, Kickstarter, Electronic Arts… Hasta han intentado suplantar a ESET para intentar conseguir datos de los usuarios. Esta tendencia seguirá siendo protagonista, sin duda, en los próximos meses.
Y si hablamos de protagonistas, no podemos olvidar la gran cantidad de intentos de robos de información en dispositivos móviles utilizando todo tipo de triquiñuelas para ello. Durante estos meses se ha descubierto una grave vulnerabilidad en dispositivos Samsung Galaxy o la nueva amenaza diseñada para Android que se disfraza de sistema de seguridad para acceder a Facebook en forma de aplicación. En lo que se refiere a dispositivos móviles, es preciso hablar de Google Glasses, que aunque todavía no es popular, está demostrando ser una vía de entrada para todo tipo de atacantes dado que su seguridad deja mucho que desear.
Actualizaciones de seguridad y desaparición de XP
Como viene siendo habitual, todos los grandes han lanzado sus habituales actualizaciones de seguridad, teniendo que destacar, como siempre, a Microsoft, Adobe y Apple, que se ha tenido que enfrentar a varios problemas durante estos meses de su nueva versión iOS.
Pero sin duda, una de las noticias más preocupantes ha sido el anuncio del fin del ciclo de vida de Windows XP por parte de Microsoft, lo que quiere decir que los millones de usuarios que todavía utilizan este sistema operativo se van a quedar sin parches evolutivos de ningún tipo, por lo que su seguridad se verá inevitablemente comprometida.
Por último, cabe mencionar que durante estos meses ha habido varios incidentes relacionados con el fútbol, como el supuesto vídeo erótico de la pareja de Neymar utilizado como gancho para la distribución de malware o el spam que tenía como protagonista el Mundial de Fútbol de Brasil.
Un cuatrimestre más que interesante desde el punto de vista de la seguridad que nos da pistas acerca de cómo serán los próximos meses. El Informe Cuatrimestral de Seguridad de ESET España está disponible para su descarga y lectura aquí.
Más información sobre estas y otras amenazas en el Blog de Laboratorio de ESET España.