Cybercovid: el virus disfrazado de virus
Por: Juan Marino, Gerente de Cyberseguridad, Cisco para América Latina
Mientras que las organizaciones responden al nuevo contexto adecuando sus capacidades para habilitar el trabajo remoto y ya muchos se sorprenden al ver que es posible mantener la productividad, surge una amenaza a la que también podemos ganarle: Me refiero al “virus disfrazado de virus”. No se trata de nuevas formas de virus informático o malware, sino que estamos evidenciando formas de ataque que ya existían pero que ahora aprovechan el interés global por todo lo relacionado a COVID-19.
Concretamente, correos y sitios maliciosos que prometen información relacionada con este asunto para cometer fraudes, robar información o secuestrar sistemas pidiendo rescate (ransomware). Y si #QUEDATEENCASA es una campaña efectiva para intentar controlar la propagación del virus biológico, lamentablemente no lo es para detener el virus informático. A este no lo detiene la cuarentena, ni las mascarillas y está a un click de distancia. Por eso habría que considerar tal vez una campaña adicional: #CLIQUEACONCUIDADO.
Cisco Talos, la mayor organización privada de inteligencia de amenazas del mundo, “continúa viendo a los atacantes tomar ventaja de la situación de coronavirus” tal como lo expresa en su artículo.
Se han observado tres categorías de ataques que involucran la utilización de APTs (Advanced Persistent Threats) conocidos:
- Campañas de malware y phishing utilizando temas relacionados con COVID
- Ataques a organizaciones que realizan trabajos de investigación relacionados a COVID
- Fraudes y desinformación
El rol de Cisco Talos en la lucha contra estas actividades cibercriminales es clave por la capacidad de detección y bloqueo de los dominios, spam, ataques de phishing y archivos maliciosos que se está ejecutando segundo a segundo.
Ahora bien, ¿qué tan real y qué tan grave puede ser esto? Comenzando por lo más grave, ya han adquirido carácter público episodios de ciberataque que han comprometido la atención de la salud, poniendo en riesgo la vida de pacientes. Así fue el caso de uno de los mayores hospitales de República Checa, víctima de un ataque que habría comprometido a sus sistemas.
En términos de realidades y alcance, tal como señaló el especialista Gabriel Agatiello en su blog, “el popular sitio de la Johns Hopkins University (JHU) que es utilizado por miles de personas para acceder a información global de la crisis ha sido clonado y utilizado con intenciones maliciosas en repetidas oportunidades las últimas semanas.”
Si quisiéramos dar un vistazo al “intangible” mundo de la infraestructura maliciosa que están montando en internet los criminales para llevar a cabo sus ataques, podemos valernos de Cisco Umbrella y buscar, por ejemplo, sitios maliciosos que utilizan la palabra “coronamask”. Al hacer esta investigación, me encontré con 10 dominios muy nuevos. Estos dominios podrían ser legítimos o maliciosos. Lo que suceda a cada instante en cuanto al comportamiento de tráfico hacia esos dominios va a determinar si Talos comienza a bloquearlos de un momento al otro.
Las organizaciones hacen sus esfuerzos año tras año por protegerse frente al cibercrímen pero la adopción acelerada del teletrabajo que impulsó la contingencia actual ha hecho que la continuidad del negocio quede por encima de la ciberseguridad. Muchas, sino la mayoría, de las organizaciones no están preparadas para asegurar los mismos controles de ciberseguridad en un nuevo entorno de teletrabajo masivo: Cambia el qué, cómo y dónde protejo los datos y recursos.
Citando nuevamente la publicación de los expertos de Cisco Talos, “debemos reconocer que el trabajo remoto amplifica la superficie de ataque. La seguridad efectiva no necesariamente va a acompañar este cambio en el ambiente de trabajo a no ser que sea reconfigurada con esta mentalidad. El foco en defensas confiables y en capas en conjunto con un fuerte programa de conciencia ayudará a su organización a protegerse de estas y futuras amenazas”.