Informe de tendències de ciberseguretat – Anual 2018

Informe de tendències de ciberseguretat Anual 2018

1 Informe de tendències de ciberseguretat – Anual 2018

El contingut d’aquesta guia és titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya i resta subjecta a la llicència de Creative Commons BY-NC-ND. L’autoria de l’obra es reconeixerà a través de la inclusió de la menció següent:

Obra titularitat de la Fundació Centre de Seguretat de la Informació de Catalunya.

Llicenciada sota la llicència CC BY-NC-ND.

Aquesta guia es publica sense cap garantia específica sobre el contingut.

Aquesta llicència té les particularitats següents:

Vostè és lliure de: Copiar, distribuir i comunicar públicament l’obra.

Sota les condicions següents: Reconeixement: S’ha de reconèixer l’autoria de l’obra de la manera especificada per l’autor o el llicenciador (en tot cas, no de manera que suggereixi que gaudeix del suport o que dona suport a la seva obra).

No comercial: No es pot emprar aquesta obra per a finalitats comercials o promocionals.

Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir d’aquesta obra.

Avís: En reutilitzar o distribuir l’obra, cal que s’esmentin clarament els termes de la llicència d’aquesta obra. El text complet de la llicència es pot consultar a https://creativecommons.org/licenses/by-nc-nd/4.0/deed.ca L’informe inclou recursos gràfics, com imatges i icones, subministrades des de plataformes de continguts gratuïts de lliure difusió. Agraïments i menció específic a a: https://www.iconfinder.com, https://pixabay.com.

1 Informe de tendències de ciberseguretat – Anual 2018

Aquest document és fruit del seguiment i de l'anàlisi de les tendències en relació amb les amenaces de ciberseguretat detectades durant l’any 2018 per part del CESICAT.

Per a la realització d'aquest informe s'han tingut en compte l’activitat i la documentació pròpies generades pel CESICAT, així com diversos informes de referència i fonts qualificades d’entitats, fabricants, organismes i professionals del món de la ciberseguretat, tant de l’àmbit nacional com internacional.

2 Informe de tendències de ciberseguretat – Anual 2018

Índex

Resum executiu ...... 3

Tendències ...... 7

Ciberamenaces detectades ...... 39

Conclusions ...... 44

1 Informe de tendències de ciberseguretat – Anual 2018

Resum

2 Informe de tendències de ciberseguretat – Anual 2018

Resum executiu

Criptomonedes

Al començament del 2018, la mineria il·lícita s’estava TOP 3 ROBATORIS A PLATAFORMES DE CANVI convertint en un dels atacs predilectes, fins i tot per sobre del . Tanmateix, al tercer trimestre ja s’observava una davallada important dels incidents, proporcional a la caiguda del valor de les criptodivises deguda en gran part a la incertesa generada per les futures regulacions dels Estats.

Destaca el fet que durant el 2018 s’ha detectat el robatori més gran de la història a una plataforma de canvi, CoinCheck, en què es van robar més de 500 milions de dòlars.

Fuita i robatori de dades personals

Les fuites i els robatoris de dades personals han estat una constant i s’han produït molts casos en què dades TOP 3 FUITES DE DADES confidencials s’han vist compromeses. Probablement, l’entrada en vigor del Reglament General de Protecció de Dades (RGPD) ha fet que augmenti el nombre de casos que surten a la llum.

Malgrat que la ciberseguretat millora cada any, els errors i les males configuracions continuen, en concret un 17 % de les fuites de dades es deuen a errors de configuració. En aquest apartat, destaquen els nombrosos incidents d’empreses que utilitzen els serveis en núvol d’Amazon Web Services S3 o que fan ús de bases de dades MongoDB i ElastiSearch.

Intervenció de les institucions

PRIMERES SANCIONS RGPD Pel que fa a les normatives, el 2018 s’ha caracteritzat per ser un any amb moltes iniciatives per regular Internet i la ciberseguretat des de diferents vessants. Es pot dir que ha estat l’any del Reglament General de Protecció de Dades (RGPD), el qual suposa un canvi substancial, ja que incideix en el valor de la privacitat.

També destaca la Directiva Network and Information Systems (NIS), que obliga els estats membres de la UE a adoptar mesures de seguretat a les xarxes de comunicació i sistemes d'informació.

Diversos governs i institucions han estat molt actius en la lluita contra les notícies falses i alguns Estats les han considerat un problema de seguretat nacional. Han estat especialment rellevants les accions de la UE que, davant de les eleccions europees de 2019, han instat les plataformes digitals a signar un codi de conducta que permeti evitar la difusió de desinformació.

3 Informe de tendències de ciberseguretat – Anual 2018

Dispositius mòbils, IoT i encaminadors

Els dispositius mòbils, IoT i encaminadors han estat un dels principals objectius dels ciberatacants, sobretot a causa del menor nivell de protecció en comparació amb altres dispositius de més capacitat computacional, com ara ordinadors, servidors, etc.

Pel que fa als dispositius mòbils, els incidents més rellevants han estat relacionats amb la utilització de específic per a sistema operatiu Android, el qual cobreix el 85 % del mercat. Destaca l’aparició d’un programari maliciós instal·lat en el firmware dels dispositius de fàbrica, pel qual s’han vist afectats uns 100 models de gamma baixa.

Durant l’any ha quedat palès com els ciberdelinqüents utilitzen els dispositius IoT i encaminadors com a mitjà per crear botnets per fer atacs DDoS, i també per introduir-se a les xarxes corporatives, obtenir el control de les comunicacions, instal·lar malware d’anàlisi de xarxa (sniffer) i capturar les dades que hi circulen, com ara contrasenyes, targetes de crèdit o dades personals.

NOVES BOTNETS OBSERVADES AL LLARG DEL 2018

Ransomware

L’activitat del ransomware, en termes generals, ha baixat un 20 %, tot i que ha incrementat un 12 % en l’entorn empresarial. De fet, el ransomware dirigit contra el teixit empresarial ja cobreix el 81 % de totes les infeccions per ransomware.

En l’àmbit empresarial, els objectius preferits dels ciberdelinqüents han estat les infraestructures crítiques, ja que difícilment poden fer front a una aturada en els sistemes d’informació i es veuen especialment empeses a pagar.

Un símptoma de la maduresa de l’amenaça del ransomware es constata per la baixada en el nombre de noves famílies i variants aparegudes d’aquest tipus de malware. Així, segons Symantec, aquest 2018 només han aparegut 10 noves famílies, una tercera part pel que fa a l’any anterior, i l’aparició de noves variants ha caigut a una quarta part.

SamSam, Ryuk i GrandCrab són noms propis de diferents versions de ransomware que han estat especialment actives el 2018 i que cal tenir en compte perquè, de ben segur, seguiran tenint presència en l’agenda d’incidents dels propers mesos.

4 Informe de tendències de ciberseguretat – Anual 2018

Sector financer

L’evolució de la tecnologia i la proliferació de nous TOP 3 ROBATORIS A BANCS serveis digitals fan que els bancs estiguin cada vegada més exposats als ciberatacs. Els ciberdelinqüents són capaços de desplegar un ampli ventall de tècniques d’atac, com ara l’enginyeria social per fer atacs dirigits via phishing, l’ús de malware, atacs a caixers automàtics o contra l’operativa interbancària.

Ara bé, el més rellevant és que els cibercriminals han posat el punt de mira sobre els usuaris a través de les aplicacions per operar amb el banc. Cal destacar el creixement constant dels troians bancaris i l’increment important del frau en les transaccions bancàries fetes des del dispositiu mòbil de la víctima. Entre el 2016 i el 2018, el frau des de dispositius mòbils ha passat del 60 % al 70 % del total de transaccions fraudulentes.

Sector sanitari

El sector sanitari ha estat un altre dels més afectats TOP 3 FUITES DE DADES AL SECTOR SANITARI durant el 2018 per ciberatacs. L’objectiu principal dels cibercriminals és obtenir beneficis econòmics robant dades de pacients, les quals són molt preuades al mercat negre, o realitzar atacs de ransomware. Segons un estudi de Verizon, un 24 % de les bretxes de seguretat són al sector sanitari i el 58 % dels atacs a aquest sector els porten a terme personal intern.

Tot i que els cibercriminals fan ús de tècniques com l’aprofitament de vulnerabilitats de software, errors en el codi dels sistemes o l’accés no autoritzat, el sector sanitari també ha estat víctima d’un gran nombre de fuites de dades per errors de configuració.

Seguretat en el disseny

El 2018 va començar amb una notícia de ciberseguretat que semblava que faria tremolar tota la indústria de la computació: la detecció de les vulnerabilitats Meltdown i Spectre, les quals afecten els processadors INTEL, AMD i ARM fabricats des de fa 19 anys.

Però aquest no ha estat un cas aïllat. L’any 2018 s’ha batut el rècord de vulnerabilitats, arribant a la quantitat de 16 029, la qual cosa representa un increment d’un 9 % en comparació amb el 20171. Per aquest motiu, és urgent assegurar l’aplicació de mesures de seguretat des de l’inici del disseny (Security by design) dels productes tecnològics.

1 https://www.welivesecurity.com/la-es/2018/12/20/vulnerabilidades-en-2018-llegaron-a-nuevo-maximo-historico/

5 Informe de tendències de ciberseguretat – Anual 2018

Tendències

6 Informe de tendències de ciberseguretat – Anual 2018

Tendències

Criptomonedes

Un dels temes més destacats al llarg del 2018 han estat les Una criptomoneda és un mitjà criptomonedes. La mineria il·lícita, els fraus, els robatoris i les digital o moneda virtual que utilitza un control regulacions que els Estats han aplicat són exemples de com les descentralitzat i xifrat (o criptomonedes han estat tendència tot l’any. criptografia, d’aquí el prefix “cripto”) per assegurar les transaccions, controlar la Mineria il·lícita creació de noves unitats i verificar els actius. A principis d’any, en els informes es remarcava que la mineria il·lícita (cryptojacking) s’estava convertint en un dels atacs predilectes dels ciberdelinqüents. Entre setembre de 2017 i gener de 2018, el volum La mineria de criptomonedes o criptomineria és el procés de scripts o programari descarregable de pàgines web amb 2 de validació de les malware de mineria incorporat va augmentar un 725 % . transaccions fetes amb Posteriorment, fins el segon trimestre de 2018, el malware de mineria criptomonedes, fent ús dels va tenir una tendència creixent, fins i tot, per sobre del ransomware. recursos computacionals d’un dispositiu determinat. Però la situació no es va perllongar i la va precedir una tendència a la Amb aquest dispositiu, baixa dels incidents per mineria il·lícita. Comparat amb el primer anomenat miner, s’obté una trimestre, en el segon trimestre el cryptojacking dirigit a usuaris va recompensa en decréixer un 32 % i el dirigit a empreses un 26 %. criptomonedes que pot variar segons la moneda i la transacció.

La mineria il·lícita o cryptojacking és un atac en el qual es fa un ús no autoritzat de la capacitat de càlcul computacional del dispositiu de la víctima per minar criptomonedes i obtenir, com a benefici econòmic, la recompensa corresponent. És una pràctica de difícil detecció perquè té lloc en segon pla, Il·lustració 1. Detecció de malware de criptomineria a usuaris3 tot i que l'usuari pot experimentar alentiment en Cal destacar que aquest descens està directament relacionat amb la l'activitat del seu dispositiu. caiguda del valor de les criptodivises. Quan la mineria ja no dona tant benefici, els cibercriminals deixen d’estar-hi tan interessats. Un dels motius de la davallada és que, diversos Estats com Canadà, la Xina, els EUA o Corea del Sud han establert noves regulacions pel que fa a les criptomonedes. De fet, la cimera del G204 va instar que els Estats les regulessin amb l’objectiu de tenir un major control del seu ús, cosa que ha afectat molt el seu valor. De la mateixa manera, el gran nombre d’incidents de ciberseguretat ha contribuït també en aquesta baixada del valor.

2 https://www.cyren.com/blog/articles/increase-in-cryptocurrency-mining-threatens-more-than-just-your-cpu 3 https://resources.malwarebytes.com/files/2018/10/Malwarebytes_Cybercrime-Tactics-and-Techniques-Q3-2018.pdf 4 https://back-g20.argentina.gob.ar/sites/default/files/media/comunicado_espanol_vf.pdf

7 Informe de tendències de ciberseguretat – Anual 2018

En el següent gràfic s’observa la correlació entre la caiguda del preu del El bitcoin és una bitcoin, criptodivisa de referència, Monero, la criptodivisa preferida pels criptomoneda que no es ciberdelinqüents per a la mineria, i la detecció de malware de mineria de regeix sota les polítiques de criptomonedes per part de Symantec: bancs o governs. Les transaccions es realitzen d’usuari a usuari a través d’Internet de forma anònima, internacional i immediata

Monero és una criptomoneda de codi obert descentralitzada que prioritza la privacitat, ocultant la identitat dels emissors i receptors i les quantitats de les transaccions, cosa que la fa més desitjable per als cibercriminals per portar a terme actes delictius o Il·lustració 2. Correlació entre el volum de malware amb cryptojacking i el valor del Bitcoin i realitzar compres a la dark 5 6 web. No necessita equips Monero especialitzats per ser minada i, per tant, la seva mineria Tot i la baixada, la mineria il·lícita ha estat un dels fets més rellevants permet obtenir beneficis des del 2018. Al segon trimestre va destacar una vulnerabilitat al gestor de de qualsevol tipus de continugts Drupal, anomenada DrupalGeddon27, que permetia infectar dispositiu. el sistema per malware de mineria. Actualment, hi ha aproximadament 1 milió de llocs web que utilitzen el sistema de gestió de continguts de Un exploit és una eina de Drupal. En una de les campanyes més destacades es van veure 8 programari dissenyada per afectades 900 pàgines web , 400 de les quals eren de governs i aprofitar una vulnerabilitat o universitats d’arreu del món9. error i aconseguir el comportament no desitjat, per Els cibercriminals també han estat utilitzant els exploits de la NSA part del seu propietari, d’un filtrats el 2017, com ara EternalRomance o EternalBlue, el qual ja dispositiu. havia estat utilitzat a les campanyes del ransomware WannaCry de 2017. Aquests exploits aprofiten vulnerabilitats de dispositius amb sistemes operatius Windows per infectar els sistemes amb malware de mineria per minar criptomonedes, com ara Monero, amb l’ordinador de la víctima10.

El malware de mineria ha anat evolucionant durant l’any introduint noves funcions per millorar el seu rendiment i, així, incrementar el retorn econòmic. A les tècniques d’ocultació i de persistència, per tal que l’usuari sigui incapaç de detectar-l o o eliminar-lo, s’hi ha incorporat la capacitat d’eliminar qualsevol competidor i assegurar-se que cap altre malware de mineria està restant potència de computació per minar en el dispositiu infectat11.

5 https://www.symantec.com/content/dam/symantec/docs/infographics/istr-24-big-numbers.pdf 6 https://coinmarketcap.com/es/currencies/ 7 https://ciberseguretat.gencat.cat/ca/detalls/noticia/Nova-vulnerabilitat-critica-a-Drupal 8 https://blog.malwarebytes.com/threat-analysis/2018/05/look-drupalgeddon-client-side-attacks/ 9 https://threatpost.com/cryptojacking-campaign-exploits-drupal-bug-over-400-websites-attacked/131733/ 10 https://www.ccn.com/cryptojacking-is-up-459-in-2018-and-its-the-nsas-fault/ 11 https://www.scmagazineuk.com/cryptocurrency-miner-kills-off-miners/article/1473115

8 Informe de tendències de ciberseguretat – Anual 2018

Frau i robatori

Els fraus i robatoris de criptomonedes també han estat una activitat delictiva en auge. Segons un informe d’EY, un 10 % del capital recaptat en la sortida de noves criptomonedes al mercat acaba sent objecte d’estafa o robatori12. En general, aquests robatoris i estafes es porten a terme durant el procés d’intercanvi o compra de criptomonedes que acostuma a tenir lloc a les plataformes de canvi.

El segon trimestre es va detectar el cas d’estafa més gran de la història de les criptomonedes, portat a terme per Modern Tech. La companyia oferia als inversors un 48 % de rendibilitat mensual a partir d’una inversió mínima de 1000 dòlars. Les oficines van tancar de manera sobtada, havent estafat 32 000 víctimes i recaptat 514 milions d’euros13.

Milions de dòlars recol·lectats D’altra banda, els robatoris més destacats a plataformes de canvi aquest en atacs i fraus 2018 són el de la plataforma CoinCheck, a la qual van robar més de 14 (font: cyphertrace.com) 500 milions de dòlars , convertint-se en el robatori a una plataforma de canvi més gran de la història, el de BitGrail, amb el robatori de més de 190 milions de dòlars15, i el de Zaif, amb 60 milions de dòlars robats16.

Il·lustració 3. Top 3 robatoris a plataformes d’intercanvi en el 2018

Segons un informe de Ciphertrace, durant el 2018 els robatoris a plataformes de canvi de criptomonedes van gairebé quadruplicar el volum en comparació amb el 2017. No obstant això, la tendència ha estat a la baixa: la major part dels casos registrats són del primer semestre, en què es va arribar als 750 milions de dòlars robats, coincidint amb el valor més alt de les criptomonedes.

Una plataforma de canvi és una web que actua com a borsa de valors i des de la qual és possible comprar o vendre criptomonedes a canvi de contraprestacions econòmiques, en monedes de curs legal o altres criptomonedes, d’acord amb les tarifes de les operacions i el valor de les criptodivises

Il·lustració 4. Evolució del total robat a plataformes de canvi des de 2016 fins el 201817

12 http://www.ticbeat.com/innovacion/el-10-del-capital-captado-para-nuevas-criptomonedas-ha-sido-robado-o-estafado/ 13 http://www.ticbeat.com/innovacion/la-estafa-mas-grande-de-la-historia-de-las-criptomonedas/ 14 https://www.xataka.com/criptomonedas/coincheck-detiene-operaciones-de-retirada-de-criptodivisas-y-los-usuarios-estan-empezando-a-temer-lo-peor 15 https://www.scmagazineuk.com/crypto-exchange-bitgrail-and-token-developer-nano-in-coin-theft-dispute/article/743926/ 16 https://www.securityweek.com/japan-digital-currency-exchange-hacked-losing-60-million 17 https://ciphertrace.com/wp-content/uploads/2019/01/crypto_aml_report_2018q4.pdf

9 Informe de tendències de ciberseguretat – Anual 2018

Finalment, cal destacar altres mètodes que han fet servir els Un moneder de cribercriminals per robar criptomonedes. D’una banda, s’han detectat criptomonedes o campanyes de phishing per robar les credencials d’accés als criptomoneder és una eina informàtica mitjançant la qual moneders de criptomonedes, com és el cas de la campanya de els usuaris custodien el seu suplantació del moneder MyEtherWallet anomenada MEWkit. També hi compte personal en el qual ha diversos que fan captures de pantalla i roben les emmagatzemen credencials, com ara SquirtDanger18. A més, el tercer trimestre es va criptomonedes i, a més, es detenir un estudiant de 20 anys per robar 5 milions de dòlars en connecten al blockchain a Bitcoins, fent ús de l’atac de segrest de la SIM19. través d’Internet per autoritzar les transaccions econòmiques.

Fuita i robatori de dades personals

En aquest darrer any, les fuites i els robatoris de dades personals han estat una constant. Des de principis d’any no han estat pocs els casos en què informació confidencial s’ha vist compromesa. A la UE, des de l’aplicació del RGPD s’obliga les empreses a comunicar qualsevol El segrest de la SIM o SIM incident de ciberseguretat relacionat amb dades personals en un hijacking és un atac en què termini de 72 hores, però encara és aviat per afirmar si les un estafador truca a un conseqüències es fan notar amb un increment del nombre d’incidents operador de telefonia mòbil informats. El que sí s’evidencia és que la mitjana de registres filtrats per fent-se passar per una altra incident augmenta cada any. persona i, utilitzant tècniques d’enginyeria social, demana una còpia de la targeta SIM de la víctima, amb l’objectiu de poder accedir a tots els comptes i serveis en què la víctima tingui el número de telèfon mòbil associat.

Una fuita de dades és una exposició no autoritzada de la Il·lustració 5. Històric del nombre mitjà de registres filtrats per incident fins a la primera meitat de informació classificada d’un 2018 ordinador, servidor o base de dades. Aquesta fuita es pot Entre totes les fuites de dades de 2018, destaca la venda de l’accés donar de manera il·legal a 1100 milions de registres de ciutadans al sistema Aadhaar de intencionada o per accident i l’Índia20, tot i que posteriorment s’ha posat en dubte que realment pot implicar greus 21 conseqüències per a succeís . A continuació, amb més de 300 milions de registres, es troba l’organització. l’accés no autoritzat a les dades dels clients de la cadena hotelera Marriott i a les bases de dades de consumidors recollides per Exactis22.

18 https://www.redeszone.net/2018/04/20/protegete-malware-realiza-capturas-pantalla-roba-contrasenas/ 19 https://blog.elhacker.net/2018/08/acusado-de-robar-mas-de-5-millones-de-dolares-en-bitcoins-sim-hijacking.html 20 http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf 21 https://economictimes.indiatimes.com/news/politics-and-nation/gemalto-apologises-for-wrong-aadhaar-data-breach-report/articleshow/66390996.cms 22 https://www.wired.com/story/exactis-database-leak-340-million-records/

10 Informe de tendències de ciberseguretat – Anual 2018

El robatori de dades és una transferència o còpia il·legal de qualsevol informació que sigui de naturalesa confidencial, personal o financera. Es considera una violació greu de seguretat i privacitat, que pot portar conseqüències greus per a les persones o les empreses. Il·lustració 6. Top 3 fuites de dades personals en el 201823

Les galetes o cookies són petits arxius que algunes pàgines web guarden al navegador d’Internet de l’ordinador dels visitants. Les Mala configuració cookies emmagatzemen informació, com pot ser el Un 17 % de les fuites de dades són causades per errors de nom d'usuari, informació de configuració24. Malgrat que la ciberseguretat millora cada any en el registre o preferències d'usuari utilitzada per sector tecnològic, els errors i les males configuracions continuen sent identificar l’usuari quan una constant, facilitant molt la feina als cibercriminals. Aquests errors i navega i poder oferir-li males configuracions sovint es donen després de tasques de continguts apropiats als seus manteniment, actualitzacions o en empreses que, tot i gestionar grans hàbits. volums de dades, no dediquen suficients recursos a la seguretat dels sistemes d’informació. L’exposició de dades més gran per errors de configuració del 2018 ha estat a l’empresa d'agregació de dades i màrqueting Exactis25. Gairebé 340 milions de registres amb dades personals van quedar exposats, amb més de 400 paràmetres per a cada usuari recollits mitjançant 30% galetes (cookies). Les dades exposades contenien informació sobre els Gairebé el 30 % de les empreses gustos i aficions de la persona i, afortunadament, no incloïen targetes de espanyoles que pateixen una fuita crèdit o números de Seguretat Social. de dades acaben acomiadant algú, des de qualsevol empleat fins al Un dels casos més rellevants va ser a l’empresa LocalBlox, amb CEO (Font: cso.computerworld.es) 48 milions de registres exposats, extrets de creuar dades d’usuaris de diverses xarxes socials sense el seu consentiment26. Cada cop són més freqüents els casos d’empreses que, per error, exposen aquest tipus de dades personals recopilades de la xarxa amb finalitats publicitàries o de màrqueting. En alguns casos fins i tot es desconeix qui ha estat l’autor de la base de dades27.

Il·lustració 7. Top 10 fuites de dades per errors de configuració en el 2018

23 https://securityboulevard.com/2018/12/10-of-the-biggest-data-breaches-in-2018-avast/ 24 https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf 25 https://www.wired.com/story/exactis-database-leak-340-million-records/ 26 https://www.zdnet.com/article/data-firm-leaks-48-million-user-profiles-it-scraped-from-facebook-linkedin-others/ 27 https://blog.hackenproof.com/industry-news/new-report-unknown-data-scraper-breach/

11 Informe de tendències de ciberseguretat – Anual 2018

Un dels fets més destacables en aquest apartat ha estat relacionat amb els serveis al núvol d’Amazon Web Services S3. A principis d’any va començar a detectar-se que nombroses empreses que utilitzaven aquest servei no havien configurat bé el seu espai, de manera que van exposar les seves bases de dades. A més, aquesta informació era fàcilment consultable per a tothom via un cercador web creat expressament28. El cas més important va ser a l’empresa Fitmetrix, la qual va exposar més de 113 milions de registres d’usuaris29.

Destaca també, per la sensibilitat de les dades exposades, el cas de Cost total que comporta la filtració d’un registre en els 3 sectors més TeenSafe, l’aplicació per al control parental en mòbils d’adolescents, la afectats qual emmagatzemava a la plataforma dades de més de 10 000 menors (Font: databreachcalulator.mybluemix.net) 30 d’edat sense contrasenya . També usava Amazon Web Services S3.

Il·lustració 8. Incidents d’exposició de dades per mala configuració d’AWS3 (la data correspon a la publicació de l’incident)

De manera similar a Amazon Web Services S3, durant l’any s’han detectat diversos errors de configuració en l’ús de bases de dades MongoDB i ElasticSearch. En aquest cas, el cercador Shodan31 permetia la seva fàcil identificació. Un dels incidents més rellevants detectat va ser el de l’empresa de gestió de dades Veeam32, la qual, després d’uns treballs de manteniment33, va exposar més de 440 milions de registres amb noms, correus electrònics, IP, entre d’altres, convertint-se en l’exposició de major magnitud de l’any. Ara bé, segons indica Veeam, moltes de les dades estaven duplicades i en realitat només hi havia 4,5 milions de correus electrònics. Les males configuracions formen part de les manques de seguretat que han provocat un gran nombre de fuites de dades. Una política de seguretat més estricta per part dels proveïdors de serveis i una major conscienciació de la seguretat per part dels administradors podria haver evitat un gran nombre d’incidents. En aquest sentit, Amazon va prendre mesures per intentar reduir els incidents, amb el desenvolupament d’eines com Zelkova i Tiros, per proporcionar informació més clara sobre qui té accés a les dades i recursos34.

28 https://buckets.grayhatwarfare.com 29 blog.hacken.io/fitmetrix-exposed-millions-of-customers-records-in-a-passwordless-database 30 https://www.cbronline.com/news/teensafe-child-dataleak 31 https://www.shodan.io/ 32 https://www.infosecurity-magazine.com/news/veeam-manages-expose-data-mongodb/ 33 https://www.veeam.com/executive-blog/veeam-data-incident-resolved.html 34 https://www.csoonline.com/article/3298166/cloud-security/what-are-amazon-zelkova-and-tiros-aws-looks-to-reduce-s3-configuration-errors.html

12 Informe de tendències de ciberseguretat – Anual 2018

Altres incidents El javascript és un llenguatge de programació popularment Un dels incidents més important i amb més ressò d’aquest any va ser el utilitzat en el client que de Facebook. Al primer trimestre es va saber que una aplicació de la permet millores en la interfície de l’usuari i dinamització de xarxa social, anomenada ThisIsMyDigitalLife, havia recopilat 35 pàgines web. També es pot informació sense el consentiment de gairebé 87 milions d’usuaris . utilitzar en aplicacions L’aplicació demanava permís a la persona per accedir a la informació del d’escriptori, widgets, entre seu perfil, per tant, no hi va haver cap problema amb els 350 000 usuaris d’altres. que ho havien consentit. El cas és que també es demanava permís per accedir a la informació dels contactes, els quals no en sabien res, i així van aconseguir les dades publicades dels altres milions de perfils. El formjacking és un atac en L’escàndol es va intensificar per l’ús que es va fer de la informació: què el ciberdelinqüent injecta empreses com Cambridge Analytica o AggregateIQ van recol·lectar les codi maliciós en el formulari dades per crear entorns personalitzats per a cada usuari i així influir d’un lloc web d’una botiga en línia, per tal de poder obtenir en la seva decisió perquè votessin Donald Trump a les eleccions 36 37 les dades bancàries que la dels EUA o a favor del Brexit durant el 2016 . víctima introdueix en el formulari de pagament i, més Però aquest no és l’únic incident greu que ha patit Facebook, el setembre endavant, vendre-les a la dark la xarxa social va anunciar que havia descobert forats de seguretat que web o fer-ne un ús fraudulent. havien permès l’extracció de dades de gairebé 30 milions d’usuaris per 38 part de terceres parts . El tercer trimestre de l’any han destacat diversos atacs en què, a partir dels formularis de compra de les pàgines web, utilitzaven javascript per robar informació sensible dels consumidors. Els grups de coneguts amb el nom de Magecart han estat dels més actius en aquest sentit. Magecart s’interessa sobretot per targetes de crèdit, les quals recopila mitjançant el segrest de formularis o formjacking. Aquests grups s’han especialitzat en els atacs contra tercers, proveïdors de serveis o una part de la cadena de subministrament, com softwares o llibreries, cosa que es converteix en el mecanisme ideal per estendre al màxim el nombre d’entitats afectades.

Il·lustració 9. Cadena d’un atac d’injecció a formularis o formjacking.

Un dels incidents més impactants ha estat el patit per British Airways, en què es van comprometre les dades bancàries de més de mig milió de clients que van reservar vols entre el 21 d’agost i el 5 de setembre de 2018 després que Magecart injectés un javascript al seu formulari de compra39.

35 https://www.xataka.com/privacidad/facebook-eleva-la-cifra-a-87-millones-de-afectados-por-cambridge-analytica-mientras-admiten-que-tambien-leen- nuestros-mensajes 36 https://www.xataka.com/privacidad/el-escandalo-de-cambridge-analytica-resume-todo-lo-que-esta-terriblemente-mal-con-facebook 37 https://techcrunch.com/2018/07/17/its-official-brexit-campaign-broke-the-law-with-social-medias-help/ 38 https://www.wired.com/story/facebook-scandals-2018/ 39 https://www.infosecurity-magazine.com/news/ba-breach-an-extra-185k-customers/

13 Informe de tendències de ciberseguretat – Anual 2018

Il·lustració 10. Atacs realitzats al llarg de l’any pel grup de hackers Magecart

Tanmateix, no tots els incidents han tingut una afectació tant llunyana i també durant el tercer trimestre hi ha hagut alguns casos rellevants al territori de l’Estat espanyol.

El RGPD (Reglament General És el cas de l’escola de negocis IESE, que va ser atacada pel grup de Protecció de Dades) és el hacktivista “La9”, afectant 41 milions de correus electrònics i 300 000 nou reglament europeu dades personals40. Un altre cas amb cert ressò mediàtic va ser l’error d’obligat compliment a partir del 25 de maig de 2018 que, de programació a l’espai d’usuari del portal web de Movistar que a Espanya, substitueix la Llei permetia accedir a la factura de qualsevol usuari, tan sols canviant els Orgànica de Protecció de últims caràcters de la URL, la qual cosa exposava les dades de més de Dades (LOPD). Estableix 6,8 milions de clients41. També, l’empresa Typeform, especialitzada canvis importants amb relació en enquestes en línia, va patir una fuita de dades emmagatzemades en a la normativa precedent: la una còpia de seguretat, cosa que va afectar múltiples empreses arreu responsabilitat proactiva de del món42. Finalment, la plataforma de cerca de treball Jobandtalent va l’encarregat de tractar les enviar correus electrònics als usuaris, en els quals advertia d’un error dades i l’enfocament de la de seguretat que podria haver fet que els ciberdelinqüents accedissin a seguretat orientada al risc. les dades personals dels més de 10 milions d’usuaris43.

Accions de les institucions

En aquest darrer any la necessitat de regular l’ús d’Internet ha fet que els governs d’arreu del món hagin promogut diferents iniciatives, intentant protegir els drets dels ciutadans i fer la xarxa més segura.

RGPD

El 2018 ha estat l’any de l’entrada en vigor del RGPD. Això suposa un canvi substancial, ja que dona un valor central a la privacitat: les dades personals no només tenen una importància per al negoci, sinó que adquireixen una vàlua addicional lligada als drets fonamentals de

40 http://cso.computerworld.es/alertas/la-nueve-hackea-la-web-de-la-escuela-iese-y-destapa-mas-de-40-millones-de-cuentas 41 https://www.xataka.com/seguridad/brecha-seguridad-web-movistar-expuso-datos-millones-clientes 42 https://www.securityweek.com/typeform-data-breach-hits-many-organizations 43 https://www.redeszone.net/2018/07/12/jobandtalent-expone-datos-millones-usuarios-espana/

14 Informe de tendències de ciberseguretat – Anual 2018

les persones i al seu espai de llibertat, seguretat i justícia44. A l’Estat espanyol, el Reglament es va completar amb l’aprovació de Ley Orgánica 3/2018, de 5 de desembre, de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD)45, la nova LOPD, que, entre altres matisos, estableix detalls de l’aplicació del règim sancionador.

Amb l’entrada en vigor del RGPD, els efectes no van tardar a fer-se evidents. Diverses empreses van aturar indefinidament la seva activitat a la UE per incapacitat de complir amb les seves normes, tot i que havien tingut dos anys per adaptar-s’hi, probablement perquè el seu negoci es basava en el tractament no consentit de dades personals. ICAAN46, empresa dedicada a publicar les dades dels contactes dels dominis a Internet, va deixar d’oferir el servei “whois” per a llocs web europeus, davant del risc de ser objecte de denúncies.

Il·lustració 11. Funcionament del Whois d’ICAAN

Un altre cas particular, relativament diferent, és el dels videojocs en línia Ragnarok i Super Monday Night Combat (SMNC) que, després de diversos anys a Internet, van tancar els servidors i van fer fora els jugadors de la UE47.

En la mateixa línia, diversos mitjans d’informació americans també van tancar el servei a Europa i estan buscant solucions tècniques per poder reprendre’l. Alguns d’aquests mitjans són New York Daily News, Chicago Tribune, LA Times, Orlando Sentinel, Baltimore Sun, Saint Louis Post-Dispatch, Arizona Daily Sun, entre d’altres. Tots han d’assegurar-se que tenen el “consentiment lliure, específic i informat” dels usuaris pel que fa al tractament de les dades personals.

Les denúncies, un cop establert el Reglament, tampoc van fer-se esperar. Gairebé el mateix dia de l’entrada en vigor van arribar les primeres denúncies multimilionàries: Facebook i Google van rebre demandes de 3900 i 3700 milions d’euros, respectivament48. Recentment s’han conegut les 3 primeres sancions per incompliment del RGPD49.

44 https://ciberseguretat.gencat.cat/web/.content/PDF/22062018_Article-RGPD.pdf 45 https://www.aepd.es/prensa/2018-11-23.html 46 https://whois.icann.org/es 47 https://www.rockpapershotgun.com/2018/05/01/super-monday-night-combat-shutting-down/ 48 https://www.eleconomista.es/tecnologia/noticias/9168633/05/18/Facebook-y-Google-enfrentan-demandas-por-7600-millones-de-euros-tras-la-entrada- en-vigor-de-la-GDPR.html 49 https://iberdatos.com/primera-multa-en-portugal-del-400-000e-por-incumplimiento-del-nuevo-rgpd/

15 Informe de tendències de ciberseguretat – Anual 2018

La Directiva NIS (Network and Information Systems) és la Directiva europea en vigor des del 7 d’agost de 2016, la qual ha requerit ser transposada amb lleis estatals per als diferents estats membres, i estableix les Il·lustració 12. Primeres 3 sancions RGPD en el 2018 mesures destinades a garantir un elevat nivell comú de seguretat en xarxes i sistemes Més enllà de les sancions aplicades pel RGDP, durant aquest 2018 d'informació a la UE. també s’han imposat algunes de les sancions econòmiques més importants de la història per fuites de dades. El cas més destacat és el d’Uber, que ha estat sancionat per diferents organismes en l’àmbit mundial, sumant més de 149 milions de dòlars en sancions.

Il·lustració 13. Top 3 sancions per fuita i robatori de dades en el 2018

Directiva NIS

Coincidint amb l’aplicació del RGPD, el mes de maig va començar a desplegar-se la Directiva NIS, la qual obliga els estats membres de la UE a adoptar mesures de seguretat a les xarxes de comunicacions i sistemes d'informació50. Aquesta Directiva ha estat transposada a l’Estat espanyol per mitjà del Real Decreto-ley 12/2018 de seguretat de les xarxes i sistemes d’informació, i fa ús de la definició de serveis essencials present a la Ley 8/2011, del 28 d’abril, segons la qual s’estableixen mesures per a la protecció d’infraestructures crítiques (Ley PIC)51.

Tant el RGPD com la NIS tenen el mateix objectiu: posar en valor la informació, enfortir la Societat de la Informació, reforçar la seguretat i contribuir a homogeneïtzar-la dins la UE. L’objectiu final de tots aquests esforços és incrementar la confiança d’usuaris i empreses en l'ús de les noves tecnologies dins de la UE.

Drets d’autor

Cal destacar la Directiva sobre Drets d'Autor al Mercat Únic Digital52, aprovada el 12 de setembre al Parlament Europeu, tot i que encara tenia per endavant tot un procés de negociació al Consell de la UE abans de l’aprovació definitiva.

50 https://www.dsn.gob.es/es/actualidad/sala-prensa/publicacion-directiva-nis 51 https://www.boe.es/buscar/pdf/2011/BOE-A-2011-7630-consolidado.pdf 52 https://www.europapress.es/cultura/exposiciones-00131/noticia-eurocamara-aprueba-segundo-intento-nueva-directiva-derechos-autor-20180912141530.html

16 Informe de tendències de ciberseguretat – Anual 2018

La Directiva pretén, entre altres coses:

‒ Article 11. Protegir els creadors de contingut i mitjans de comunicació. ‒ Article 13. Controlar que els continguts pujats a plataformes digitals no suposin una violació de drets d'autor.

Iniciatives com aquesta busquen un major control sobre tota l’activitat a Internet a través de mesures restrictives i de control, tot i que comporten polèmica ja que impliquen un risc de retallada de la llibertat d’expressió.

Neutralitat a la xarxa

Una altra mesura que pot suposar una restricció de l’ús lliure i igualitari de la xarxa, com fins ara s’entenia, és la derogació de la reglamentació coneguda com Neutralitat de la xarxa aprovada durant el govern de Barack Obama als EUA. La reglamentació impedia als proveïdors de serveis de banda ampla als EUA bloquejar, alentir o donar prioritat a determinats continguts o usuaris, cosa que ara les operadores sí que podran fer.

En contraposició, a l’Índia es van aprovar lleis que prohibeixen tot tipus de discriminació en el servei a la xarxa, cosa que la converteix en un referent mundial en la defensa de la neutralitat a la xarxa53.

Notícies falses

Els governs i institucions també han estat molt actius en un intent de Les notícies falses, minimitzar la influència de les notícies falses. Segons un estudi del desinformació o fake news MIT (Massachusetts Institute of Technology), les notícies falses es 54 són històries falses que comparteixen el 70 % més que les vertaderes . L’exemple pràctic es semblen notícies, difoses a va poder viure a les eleccions presidencials dels EUA del 2016. través de xarxes socials, portals de notícies o altres mitjans, creades amb l’objectiu d’enganyar o induir a un estat de desinformació deliberada en la ciutadania. La motivació pot ser econòmica, ja que la seva publicació esdevé un reclam de clics per als visitants d’una web. És més greu quan la motivació és obtenir un rèdit polític o un posicionament estratègic privilegiat, a través de la inducció a errors, la manipulació de decisions personals, el desprestigi o l’enaltiment de persones o entitats. Il·lustració 14. Quantitat d’interaccions a Facebook en les 20 notícies més importants sobre les darreres eleccions de 2016 als EUA55

53 https://www.bbc.com/news/world-asia-india-44796436 54 http://news.mit.edu/2018/study-twitter-false-news-travels-faster-true-stories-0308 55 https://thenextweb.com/media/2016/11/17/fake-stories-outperformed-real-political-news-over-the-elections-final-months/

17 Informe de tendències de ciberseguretat – Anual 2018

La lluita contra les notícies falses està sent tractada com un problema de seguretat nacional a molts Estats, ja que es considera una amenaça potencial per la capacitat d’influir en els resultats electorals i en l’estabilitat social. Després de la demostració a les eleccions dels EUA de 2016, la difusió de fake news ha tornat a ser protagonista en la victòria de l’ultra-dretà Jair Bolsonaro en les eleccions generals del Brasil56.

La Comissió Europea va elaborar un informe en el qual parlava d’establir recomanacions per lluitar contra les notícies falses57. L’anunci va fer reaccionar empreses com Facebook, Twitter, Youtube, Google, Microsoft i Snapchat, que s’han adherit a un codi de conducta per lluitar de manera efectiva contra la desinformació58. Per la seva banda, Facebook també va comunicar la intenció d’instal·lar a Barcelona un centre de control de continguts qualificats com a “nocius” 59.

Control de la xarxa

Les accions destinades a fer un ús segur d’Internet, amb finalitats a priori positives, coexisteixen amb altres accions dels Estats que, justificant- se rere d’arguments com la seguretat nacional, deriven en el control i la censura d’Internet60.

Així, a Rússia s’ha limitat l’ús de Telegram, ja que l’empresa es va negar a facilitar a les autoritats el desxifrat del contingut dels missatges61, Algèria va tancar Internet 3 hores al dia durant el període d’exàmens per evitar que els alumnes copiessin, però perjudicant a totes les empreses del país62, i el Nepal va bloquejar la pornografia a Internet degut a les constants agressions sexuals.63

Seguretat IoT i encaminadors

Cal destacar models com els de l'Estat de Califòrnia (EUA), que va aprovar el projecte de la primera llei sobre la seguretat de la Internet de les coses (IoT) titulada SB-327 Information Privacy: Dispositius connectats. El projecte de llei introdueix normes per a tots els dispositius connectats venuts als EUA i posa pressió als fabricants per garantir que tots els dispositius connectats proporcionin un nivell bàsic de ciberseguretat64. El Regne Unit, ha publicat un manual de bones pràctiques amb relació a la ciberseguretat de les IoT de consum, cosa que pot significar un pas previ a la regulació65. Igualment, l’Oficina Federal Alemanya per la Seguretat de la Informació, ha proposat un llistat de controls de seguretat que haurien de complir els encaminadors del mercat, encara sense forma de llei66.

56 https://www.theguardian.com/world/2018/oct/25/brazil-president-jair-bolsonaro-whatsapp-fake-news 57 https://ec.europa.eu/digital-single-market/en/news/final-report-high-level-expert-group-fake-news-and-online-disinformation 58 https://elpais.com/tecnologia/2016/05/31/actualidad/1464711881_734190.html 59 https://cincodias.elpais.com/cincodias/2018/05/04/companias/1525462790_976730.html 60 https://www.uv.mx/infosegura/general/noti_censura/ 61 http://www.lavanguardia.com/internacional/20180413/442516305605/tribunal-ordena-bloqueo-inmediato-telegram-rusia.html 62 https://www.theguardian.com/world/2018/jun/21/algeria-shuts-internet-prevent-cheating-school-exams 63 https://www.lavanguardia.com/internacional/20181018/452412099668/nepal-prohibe-porno-frenar-agresiones-sexuales.html 64 https://www.digitaltrends.com/home/california-passes-iot-legislation/ 65 https://www.gov.uk/government/publications/secure-by-design/code-of-practice-for-consumer-iot-security 66 https://www.itespresso.es/Sponsor/hay-que-regular-por-ley-la-seguridad-de-los-routers

18 Informe de tendències de ciberseguretat – Anual 2018

Aliances globals

Cal destacar un informe del World Economic Forum que situa els ciberatacs en tercera posició de les amenaces a nivell global, només per darrere de les catàstrofes provocades per les inclemències del temps i els desastres naturals67.

Il·lustració 15. Mapa global de riscos 2018 del World Economic Forum

La ciberseguretat està transcendint més enllà de les capacitats individuals dels Estats o de les entitats. Davant d’un cibercrim globalitzat i tecnològicament ben preparat, s’ha fet imprescindible una coordinació global que garanteixi fer-hi front d’una manera efectiva.

En aquesta línia, 30 companyies tecnològiques i de ciberseguretat (Facebook, Cisco, Hp, Microsoft, Nokia, Oracle, Trend Micro...) han signat un acord, el Cybersecurity Tech Accord, en què es comprometen a treballar a escala global per a la protecció dels usuaris i dels productes davant d’atacs maliciosos68. També s’ha creat la primera Aliança Global de Seguretat entre operadores de telecomunicacions conformada inicialment per Etisalat (Emirats Àrabs Units), Singtel (Singapur), SoftBank (Japó) i Telefónica (Espanya)69.

67 http://www3.weforum.org/docs/WEF_GRR18_Report.pdf 68 https://cybertechaccord.org/ 69 https://www.telefonica.com/en/web/press-office/-/etisalat-singtel-softbank-and-telefonica-create-global-cyber-security-alliance

19 Informe de tendències de ciberseguretat – Anual 2018

Dispositius mòbils, IoT i encaminadors

Al llarg del 2018, els dispositius mòbils, IoT i encaminadors han estat entre els principals objectius dels ciberatacants, degut sobretot al seu menor nivell de protecció en comparació amb altres dispositius amb més capacitat computacional, com ara ordinadors o servidors. En aquest sentit, el 75,2 % dels objectius atacats són encaminadors, seguits a molta distància de les càmeres i els dispositius multimèdia.

Il·lustració 16. Dispositius que són els objectius perferits dels atacs70.

Dispositius mòbils

Els incidents més rellevants han estat relacionats amb la utilització La Internet de les coses o de malware específic per a dispositius mòbils amb sistema operatiu Internet of things (IoT) és la Android, el qual cobreix més del 85 % del mercat. Tenint en compte les xarxa formada per un conjunt 72 d'objectes, com poden ser dades al conjunt de l’Estat , s’estima que podria suposar la gens sensors, maquinària menyspreable quantitat de 7 milions de dispositius només a industrial o electrodomèstics, Catalunya. Amb aquestes xifres, tot i que Google afirma que bloqueja entre d’altres, connectats a el 99 % d’aplicacions malicioses abans de ser publicades, només un Internet que es poden 1 % pot significar milions de descàrregues i dispositius infectats73. comunicar entre si i amb humans, i així transmetre i tractar dades amb intervenció humana o sense.

Un encaminador o router és un dispositiu de maquinari que permet que diverses xarxes o ordinadors es connectin entre si. L'ús més comú del router, és l'ús que se'n fa en una casa o oficina, on diversos sistemes en xarxa aprofiten el router per establir connexió a Internet. Il·lustració 1. Nombre de programaris maliciosos detectats per McAfee des de 2016 a dispositius mòbils74.

70 https://www.symantec.com/security-center/threat-report 72 https://www.esmartcity.es/2018/05/28/espana-registra-52-2-millones-lineas-moviles-mas-80-por-ciento-banda-ancha 73 https://www.welivesecurity.com/la-es/2018/02/02/google-elimino-700000-apps-maliciosas-2017/ 74 https://www.mcafee.com/enterprise/en-us/assets/reports/rp-mobile-threat-report-2019.pdf

20 Informe de tendències de ciberseguretat – Anual 2018

Al marge de les aplicacions malicioses publicades, cal destacar l’aparició del programari maliciós Cosiloon que venia instal·lat en el firmware dels dispositius de fàbrica. Es van comptabilitzat uns 100 models de smartphones de gamma baixa amb sistema Android (des de la versió 4.2 a la 6.0) afectats, entre els quals es trobaven companyies com ZTE, Archos, Prestigio i myPhone75. D’altra banda, tot i que no es tractava exactament d’un malware, cal destacar el cas de l’app de la Lliga de Futbol Professional (LFP). Es va descobrir que l’aplicació podia activar el micròfon per escoltar el so ambient i recopilar informació sobre la ubicació de l’usuari durant els partits de futbol. Efectivament, l’aplicació sol·licitava consentiment per utilitzar el micròfon, tot i que, segons un comunicat de la LFP, no es gravaven converses, sinó fragments en codi binari76.

Dispositius IoT i encaminadors

Els cibercriminals tenen diferents raons per voler atacar la IoT i els encaminadors, però el motiu més habitual és obtenir-ne el control i conformar botnets amb l’objectiu de perpetrar activitat maliciosa a la xarxa, com ara a través d’atacs DDoS. La quantitat d’IoT i encaminadors existents és altíssima, fet que fa que qualsevol incidència en aquest àmbit tingui un impacte elevat. Segons un informe de Kaspersky, a la primera meitat del 2018, es van detectar gairebé quatre vegades més de mostres de malware per a IoT en comparació amb tot el 201777.

El DDoS (Distributed Denial of Service) és un atac originat per una xarxa de dispositius o Il·lustració 2. Mostres de programari maliciós per IoT detectades per Kaspersky78. botnet. L’objectiu és causar la indisponiblitat d’un servei i impedir-hi l’accés als usuaris legítims, amb la saturació del Pel que fa a Espanya, segons publica l’informe The Hunt for IoT de F5 tràfic i el processat Labs, ha estat el país que ha rebut més atacs contra dispositius IoT. computacional que els De fet, la tendència va arribar a assolir el 80 % de tots els atacs servidors són capaços de globals contra IoT79. Aquest fet podria indicar que Espanya té un suportar. problema de seguretat en els dispositius IoT i que la seva implantació no s’està fent amb les mesures de ciberseguretat adequades.

75 https://blog.avast.com/android-devices-ship-with-pre-installed-malware 76https://www.welivesecurity.com/2018/06/12/spains-la-liga-app-phones-detect-illegal/ 77 https://www.ituser.es/seguridad/2018/10/confirmado-los-ataques-contra-dispositivos-iot-baten-un-nuevo-record-en-2018 78 https://www.kaspersky.com/about/press-releases/2018_new-iot-malware-grew-three-fold-in-h1-2018 79 https://www.f5.com/labs/articles/threat-intelligence/the-hunt-for-iot--multi-purpose-attack-thingbots-threaten-intern

21 Informe de tendències de ciberseguretat – Anual 2018

Els cibercriminals també porten a terme atacs contra encaminadors per tal de fer-se amb el control de les comunicacions, instal·lar malware d’anàlisi de xarxa (sniffer) i poder capturar les dades que hi circulen, com contrasenyes, targetes de crèdit o dades personals. Un exemple va ser la publicació de la vulnerabilitat del fabricant DrayTek, que va convertir l’extraordinària xifra de 800 000 encaminadors en objectiu potencial per a atacs maliciosos. El fabricant va anunciar que els seus encaminadors eren vulnerables a un exploit que permetia a un atacant canviar la configuració del sistema de noms de domini i, així, controlar les comunicacions, capturar el tràfic i dirigir les comunicacions a llocs web falsos o maliciosos.

‘Botnets’

La infecció de dispositius IoT i encaminadors ve motivada per la facilitat d’infecció massiva i la seva ràpida integració en botnets. Així ho va comprovar un equip d'investigadors israelians que va descobrir que els dispositius IoT més comuns es poden comprometre i adscriure a una botnet en un termini de 30 minuts. L’atacant només necessita adquirir el dispositiu IoT del model en qüestió i estudiar-lo detingudament per poder obtenir la informació necessària per perpetrar un atac remot80. Encara més, darrere de les botnets s’amaguen importants interessos Un sistema de noms de econòmics, ja que poden ser utilitzades de moltes maneres diferents per domini o DNS (Domain Name obtenir beneficis. Com indica Vectra en el següent gràfic de l’informe System) permet l'accés a Attacker Behavior Industry Report, el Top 3 d’usos són: activitat Internet perquè disposa d’una publicitària, mineria i activitat web diversa. Tenint en compte la base de dades en què hi ha enregistrats els noms de preocupació i els problemes que generen, és sorprenent el poc ús que domini, més fàcils d’utilitzar i es destina als atacs DDoS. recordar (p. ex. “exemple.com”) vinculats amb les adreces IP dels seus servidors web (p. ex. “10.20.30.40”), les quals possibiliten dirigir les comunicacions a la xarxa. L’usuari li envia al DNS una consulta amb l’adreça web a la qual es vol dirigir i el DNS li retorna la IP del servidor corresponent.

Una botnet és un conjunt o xarxa de dispositius infectats Il·lustració 3. Percentatge d’ús dels ciberatacs. (bots) per un programari maliciós que s’instal·la als dispositius i s'executa de manera autònoma i Fortinet va publicar un informe que indicava la persistència o, el que és automàtica. Els bots poden el mateix, quant de temps roman un malware botnet en un dispositiu. ser controlats de forma Així, només un 0,5 % de les infeccions detectades superen els 9 dies remota i utilitzats per dur a de vida i la famosa botnet tan sols té una prevalença mitjana de 6 terme activitats criminals. dies. Per aquest motiu, les botnets han d’estar renovant massivament i de forma contínua la infecció de nous bots.

80 https://www.techrepublic.com/article/new-research-most-iot-devices-can-be-hacked-into-botnets/

22 Informe de tendències de ciberseguretat – Anual 2018

Il·lustració 4. Persistència mitjana del malware botnet en dies82.

La botnet de spam més gran del món, Necurs, segueix evolucionant i incorpora noves tècniques per eludir les defenses. Aquesta botnet havia estat inactiva durant un llarg temps, però a mitjan 2017 va tornar i els darrers mesos ha estat utilitzada per introduir malwares com Locky, Jaff, GlobeImposter, , Scarab i Trickbot83. La botnet Mirai, per la seva banda, continua sent notícia per la contínua capacitat d’actualitzar el seu codi i millorar les prestacions per ser més efectiva. En aquesta mateixa línia es troba Satori que, segons han observat experts de ciberseguretat, és principalment utilitzada pels pirates informàtics per escanejar massivament Internet i minar ethereum84. Però n’hi ha moltes més. El 2018 altres famílies de botnets han estat explotant activament vulnerabilitats per construir la seva xarxa de bots: Mettle, Muhstik, , etc. Ha estat la primera vegada que s’han vist tantes botnets lluitant per un mateix “territori” en tan poc temps.

Il·lustració 5. Botnets de nova detecció observades al llarg del 2018 amb el tipus de dispositius que les conformen

En aquest àmbit, va tenir especial repercussió el comunicat de l’FBI que alertava del malware botnet VPNFilter, una infecció massiva a més de 500 000 encaminadors a 54 països. Alguns dels fabricants afectats van ser Linksys, MikroTik, NETGEAR i TP Link. El comunicat demanava als usuaris que reiniciessin l’encaminador i deixessin la configuració en valor de fàbrica. Segons sembla, aquest malware, al marge de constituir una botnet que infecta encaminadors, permet el robatori de credencials dels llocs web i monitoritzar controls industrials o sistemes SCADA, com els que s'utilitzen en xarxes elèctriques, infraestructures i fàbriques85.

82 https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/Q1-2018-Threat-Landscape-Report.pdf 83 https://threatpost.com/new-trickbot-variant-touts-stealthy-code-injection-trick/136606/ 84 https://securityaffairs.co/wordpress/72651/hacking/satori-botnet-mass-scanning.html 85 https://www.osi.es/es/actualidad/avisos/2018/05/el-fbi-toma-el-control-de-la-botnet-vpnfilter

23 Informe de tendències de ciberseguretat – Anual 2018

També va destacar una nova botnet, descoberta pels investigadors de seguretat d'Akamai, que va fer ús d’una vulnerabilitat del protocol Universal Plug and Play (UPnP) per infectar 65 000 encaminadors, tot i que només representava una petita part d’un total de 4,8 milions d’encaminadors vulnerables repartits en 73 fabricants diferents. El més rellevant d’aquesta vulnerabilitat és que permetia ocultar el tràfic de dades dels atacants i, una vegada els encaminadors quedaven compromesos, eren utilitzats per diverses funcions malicioses86.

Ransomware

El 2017, el ransomware va fer un pas important en la seva evolució quan El ransomware o programari es va convertir en una amenaça massiva a partir de les infeccions de de segrest és un programari WannaCry, Cerber, Locky i , principalment. En aquell punt, els maliciós que restringeix atacs amb ransomware eren pràcticament aleatoris i s’aprofitaven totalment o parcialment d’equips que no estaven degudament actualitzats, tant de particulars l'accés als fitxers d'un dispositiu fins que no es paga com d’organitzacions, amb l’objectiu d’aconseguir el major nombre una determinada quantitat de d’infeccions possible. diners. Aquestes infeccions massives van estimular la conscienciació i, de llavors ençà, s’han actualitzat sistemes, s’han instal·lat pegats i Un pegat és una peça de s’han implementat noves mesures de seguretat. En l’escenari actual, software que s’afegeix a un tot i que no s’ha eliminat del tot el risc, s’ha reduït la probabilitat programa per actualitzar-lo d’infeccions massives. En resposta, el ransomware s’ha especialitzat per amb l’objectiu de solucionar dirigir-se contra organitzacions amb la capacitat de fer front a rescats vulnerabilitats, errors o millorar les seves prestacions. amb preus més elevats.

Atacs dirigits

Durant el 2018, l’activitat del ransomware, en termes generals, ha baixat un 20 %, tot i que s’ha incrementat un 12 % en l’entorn empresarial. De fet, el ransomware contra el teixit empresarial ja cobreix el 81 % de totes les infeccions per ransomware.

Il·lustració 6. A l’esquerra, evolució de les deteccions de ransomware durant el 201888; a la dreta, evolució de les deteccions de ransomware dirigit a empreses durant el 201889.

86 https://www.bleepingcomputer.com/news/security/unpatched-upnp-enabled-devices-left-exposed-to-attacks/ 88 https://resource.elq.symantec.com/LP=6819?inid=symc_threat-report_istr_to_leadgen_form_LP-6819_ISTR-2019-report-main&cid=70138000001Qv0PAAS 89 https://go.malwarebytes.com/q119-state-of-malware-report.html

24 Informe de tendències de ciberseguretat – Anual 2018

La dificultat per aconseguir infeccions massives i el fet que les La còpia de seguretat o víctimes, cada vegada més, descarten pagar el rescat perquè backup és la còpia d'un fitxer disposen de còpies de seguretat que els permeten recuperar les o un conjunt de fitxers, dades, són arguments que obliguen a pujar el cost dels rescats per generalment actualitzada mirar d’obtenir el màxim profit de cadascuna de les infeccions. Així, periòdicament, que permet restaurar les dades originals els ciberdelinqüents han constatat que les organitzacions i empreses són en cas de pèrdua. els objectius capaços de pagar els rescats més lucratius i, per tant, augmentar la rendibilitat. D’aquesta manera, el cost dels rescats no ha parat de créixer i, al final de l’any, el seu valor mitjà arribava als Els vectors d’atac 54 904 dòlars90. corresponen als mètodes tècnics/lògics utilitzats habitualment per materialitzar una amenaça. Poden ser molt diversos, des de la creació de llocs de phishing, el llançament de sql injections o fins a la codificació d’exploits per accedir als sistemes.

La càrrega útil o payload és la part del malware que realitza l’acció maliciosa i s’encarrega d’aprofitar les vulnerabilitats del sistema. Il·lustració 7. Evolució del cost mitjà del rescat requerit pel ransomware en dòlars, des de 02/16 fins a 06/1891.

Els vectors d’atac utilitzats en els atacs de ransomware tradicionalment eren els correus de phishing que, rere l’excusa d’una factura o una comanda, adjuntaven un arxiu infectat.

Ara la situació ha canviat. Segons indica Coveware en el seu informe Global Ransomware Marketplace Report, actualment, el 84,5 % dels atacs de ransomware es perpetren de manera dirigida i manual, cosa que els fa ser molt efectius a l’hora de xifrar els arxius dels diferents entorns d’una xarxa corporativa. Segons aquest modus operandi, l’atacant aconsegueix l’accés als sistemes de la víctima a través d’una infecció inicial amb un troià, l’explotació d’una vulnerabilitat o el robatori de les credencials d’un treballador; posteriorment, estudia la xarxa de la víctima i fa ús de tècniques de desplaçament lateral i escalat de privilegis; finalment, dispersa el payload del ransomware on més escaigui.

90.https://static1.squarespace.com/static/5ab16578e2ccd10898976178/t/5c4675dbaa4a995fe6badb80/1548121568515/Coveware+Global+Ransomware+M arketplace+Report+-+2018+Q4.pdf 91 https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf

25 Informe de tendències de ciberseguretat – Anual 2018

Infraestructures crítiques

En l’àmbit empresarial, els objectius preferits dels ciberdelinqüents han estat les infraestructures crítiques, ja que difícilment poden fer front a una aturada en els seus sistemes d’informació i es veuen especialment empeses a pagar.

En aquesta línia, el darrer any hi ha hagut múltiples atacs amb ransomware contra hospitals i institucions mèdiques perquè, per tal de no posar en perill la vida dels pacients, efectuen el pagament urgent del rescat dels sistemes, encara que sigui elevat. És el cas de l’atac al Hancock Health, un hospital regional d’Indiana, als EUA, que va ser infectat a través d’un portal remot fent ús de l’usuari i la contrasenya d’un proveïdor. El ransomware utilitzat, una variant del SamSam, va xifrar els fitxers i els va canviar el nom per “I’m sorry”, cosa que va derivar en el pagament de 55 000 dòlars com a rescat per recuperar-los92. També als EUA, dos hospitals de l’Ohio Valley Health Services and Education Corp van patir un atac de ransomware que va obligar a treballar manualment i va ser la causa que molts pacients fossin reubicats93.

També han destacat alguns atacs contra infraestructures logístiques, com l’atac a principis d’any contra la indústria naval Maersk94, amb el malware NotPetya, el qual podria ser desclassificat com a ransomware perquè no segresta els arxius, sinó que directament els destrueix95. Un altre cas de ransomware va afectar el mes de juliol a l’empresa de transport de mercaderies COSCO (China Ocean Shipping Company), de la qual es va aturar la pàgina web, la telefonia i les passarel·les VPN i WAN96. Una altra incidència va succeir al port de Barcelona i, si bé no es va fer públic l’abast de l’atac ni quin va ser el tipus de malware, sí que es coneix que va afectar diferents servidors de l’Autoritat Portuària de Barcelona i feia recordar l’incident de Maersk97.

Les ciutats i els seus òrgans gestors també han estat objectius dels cibercriminals, a causa de les greus afectacions que pot provocar la seva inhabilitació. En el cas de la ciutat d’Atlanta, als EUA, el ransomware anomenat SamSam va afectar diversos departaments del govern98 i s’estima que va generar uns costos de 17 milions de dòlars99. Anàlogament, Midland, una petita ciutat de Canadà, a causa d’una infecció per ransomware perpetrada mitjançant un correu de phishing, es va quedar sense sistemes informàtics o de tramitació financera durant 48 hores, per la qual cosa les autoritats es van veure obligades a pagar un rescat que, afortunadament, estava cobert per l’assegurança100. El mateix va succeir a la ciutat d’Anchorage, Alaska, on els funcionaris van treballar amb màquines d’escriure durant una setmana, fins que es van recuperar de l’atac101. Finalment, pel seu gran impacte, també destaca l’incident de ransomware al Ministeri d’Energia d’Ucraïna102, concretament als seus sistemes en línia a Geòrgia, la capital del país103.

92 https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/samsam-ransomware-hits-us-hospital-management-pays-55k-ransom 93 https://www.infosecurity-magazine.com:443/news/two-us-hospitals-hit-with/ 94 https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-due-to-notpetya-attack/ 95 https://www.bbc.com/news/uk-politics-43062113 96 https://nakedsecurity.sophos.com/2018/07/27/nerves-jangled-by-new-ransomware-attack-on-shipping-giant/ 97 https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-due-to-notpetya-attack/ 98 https://www.wired.com/story/atlanta-ransomware-samsam-will-strike-again/ 99 https://www.beckershospitalreview.com/cybersecurity/atlanta-s-ransomware-attack-may-cost-the-city-17m.html 100 https://hotforsecurity.bitdefender.com/blog/ransomware-attack-shuts-down-small-canadian-town-officials-pay-ransom-20331.html 101 https://www.bleepingcomputer.com/news/security/bitpaymer-ransomware-infection-forces-alaskan-town-to-use-typewriters-for-a-week/ 102 https://www.scmagazineuk.com/ukraine-energy-ministry-suffers-ransomware-attack-bitcoins-demanded/article/1472831 103 https://threatpost.com/samsam-ransomware-evolves-its-tactics-towards-targeting-whole-companies/131519/

26 Informe de tendències de ciberseguretat – Anual 2018

Així mateix, cal remarcar l’incident que va afectar una infraestructura Una família és un conjunt de crítica de subministrament d’aigua, el NC Walter Utility, al nord de programaris maliciosos que Califòrnia. En aquest cas, els atacants van aprofitar i van actuar una comparteixen una part setmana després de l’huracà Florence, quan encara s’estaven substancial de codi original i recuperant de les destrosses. De forma similar al ja citat atac contra la inconfusible. ciutat d’Atlanta, la infraestructura crítica va ser infectada amb el troià , molt difícil de detectar, que posteriorment va permetre desplegar el ransomware Ryuk. No es va pagar cap rescat, però es va trigar alguns Una variant és una peça de 104 programari maliciós creada a dies a recuperar la informació perduda . partir de la modificació del codi d’una família específica i En qualsevol cas, tots aquests atacs posen de manifest la importància coneguda. de les mesures de ciberseguretat i els plans de contingència. De fet, el 2018, es calcula que la durada mitjana de l’afectació per un atac de ransomware ha resultat ser de 6,2 dies, cosa que en alguns àmbits i sectors pot implicar gravíssimes conseqüències105.

Variants

Un símptoma de la maduresa de l’amenaça del ransomware es constata per la baixada en el nombre de noves famílies i variants aparegudes d’aquest tipus de malware. Així, segons Symantec, aquest 2018 només han aparegut 10 noves famílies, una tercera part de l’any anterior, i l’aparició de noves variants ha caigut a una quarta part.

Il·lustració 8. A l’esquerra, el nombre de noves variants de ransomware que apareixen cada mes; a la dreta, el nombre de noves famílies de ransomware que apareixen anualment.106

Un altre símptoma de maduresa és l’aparició del RaaS (Ransomware- as-a-Service), un fet que posa la capacitat d’utilitzar aquesta tècnica a l’abast de totes les butxaques i coneixements tècnics. Així, els ciberdelinqüents ofereixen kits de generació de ransomware a la dark web amb un cost d’entre 40 i 200 € en criptomonedes, com és el cas dels Philadelphia, Stampado i Frozz Locker, i un kit específic per atacar mòbils Android107. En alguns casos, inclús s’ofereixen a canvi de comissions per al desenvolupador en funció dels beneficis obtinguts de les víctimes infectades, com és el cas de Saturn108 o un altre identificat per Kaspersky disponible a la dark web109.

104 https://www.darkreading.com/endpoint/nc-water-utility-fights-post-hurricane-ransomware/d/d-id/1333049 105.https://static1.squarespace.com/static/5ab16578e2ccd10898976178/t/5c4675dbaa4a995fe6badb80/1548121568515/Coveware+Global+Ransomware+ Marketplace+Report+-+2018+Q4.pdf 106 https://www.symantec.com/es/es/security-center/threat-report?inid=globalnav_scflyout_istr 107 https://cso.computerworld.es/social-security/la-dark-web-proporciona-kits-de-ciberataques-desde-40-euros 108 https://fossbytes.com/saturn-ransomware-as-a-service-free/ 109 https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/free-ransomware-available-dark-web/

27 Informe de tendències de ciberseguretat – Anual 2018

En qualsevol cas, les variants aparegudes el 2018 han presentat tot tipus de característiques. Scarabei110, per exemple, xifra els documents lentament i puja progressivament el preu del rescat amb l’objectiu de pressionar la víctima, similar a StalinLocker111, el qual bloqueja la pantalla de l’ordinador de la víctima i inicia un compte enrere de deu minuts amb la imatge de Stalin i l’himne de la Unió Soviètica, durant el qual es dedica a esborrar el disc dur de l’ordinador si no es paga un rescat. Una altra variant curiosa és Thanatos112, la primera que accepta la criptomoneda bitcoin cash (BCC) per al pagament del rescat, tot i que posteriorment no retorna claus de desxifrat. RansSIRIA113, en canvi, té la particularitat que dirigeix els ingressos obtinguts a favor dels refugiats de Síria.

Mereix una especial atenció el ransomware Rakhni, el qual examina la configuració del dispositiu de la víctima i, posteriorment, decideix si és més rendible fer ús de funcions de mineria il·lícita o és més propici executar-hi un ransomware114. El cas és especialment rellevant perquè anticipa un futur amb malwares multifuncionals que, per a cada cas, executaran la funció més adequada amb l’objectiu de treure el màxim rendiment de cadascun dels dispositius infectats.

Finalment, cal fer menció del ransomware dirigit a dispositius mòbils. Malgrat que comença a tenir presència i mostra un creixement anual del 33 %, cal deixar clar que encara està en un estat incipient i la quantitat de deteccions és molt baixa.

Il·lustració 9. Nombre de ransomwares dirigits a dispositius mòbils bloquejats cada mes (Symantec)115

110 https://www.ibtimes.co.uk/scarabey-this-ransomware-threatens-slowly-delete-your-files-every-24-hours-until-you-pay-1658742 111 https://www.redeszone.net/2018/05/15/stalinlocker-vaciar-equipo-10-minutos/ 112 https://www.securityweek.com/thanatos-ransomware-makes-data-recovery-impossible 113 https://www.bleepingcomputer.com/news/security/ranssiria-ransomware-takes-advantage-of-the-syrian-refugee-crisis/ 114 https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html 115 https://resource.elq.symantec.com/LP=6819?inid=symc_threat-report_istr_to_leadgen_form_LP-6819_ISTR-2019-report-main&cid=70138000001Qv0PAAS

28 Informe de tendències de ciberseguretat – Anual 2018

Noms propis Una ciberamenaça és qualsevol circumstància o esdeveniment que tingui un El ransomware ha tingut diversos noms propis durant el 2018 que cal impacte potencial negatiu en tenir en compte perquè, de ben segur, seguiran tenint presència en alguna de les dimensions l’agenda d’incidents dels propers mesos. d’un actiu d’informació: confidencialitat, integritat Destaca el cas del ransomware SamSam, que, des de la seva aparició iodisponibilitat. el 2016, és responsable d’haver extorsionat un mínim de 67 víctimes entre hospitals, governs municipals, institucions públiques i empreses, algunes d’elles ja citades, causant pèrdues milionàries i enormes beneficis (de l’ordre de 6 milions de dòlars116) per als ciberdelinqüents. Els atacs amb SamSam eren dirigits i manuals, per això esdevenien especialment efectius. Ara bé, sembla que no se seguiran prodigant, ja que els responsables de les infeccions van ser detinguts per l’FBI117.

Ryuk és un cas de ransomware d’infecció dirigida i manual similar. Les seves afectacions també han estat majors, entre les quals destaca l’atac contra el proveïdor de serveis al núvol DataResolution.net, el qual va afectar les dades de 30 000 clients d’arreu del món i va obligar a restaurar-les118. Un altre atac va impactar severament en dos dels diaris més grans dels EUA, Los Angeles Times i el Tribune Publishing, arribant a causar-los la disrupció de la impressió i distribució dels diaris, així com les conseqüents pèrdues econòmiques119. Un altre incident que apunta a Ryuk, pendent de confirmació, és el cas dels restaurants de la cadena canadenca ChainBut, els quals es van veure obligats a tancar120.

GrandCrab també ha estat un actor important el 2018. Va aparèixer el gener i va viure el seu moment àlgid durant el primer i segon trimestre a través de campanyes de phishing massives que, principalment, han causat maldecaps a usuaris particulars i administradors de sistemes121. La seva activitat es manté a dia d’avui i, tot i que a nivells baixos, representa una autèntica amenaça. De fet, s’ha constatat que aquest tipus de malware és especialment actiu durant els períodes festius amb molta activitat comercial en línia, com les festes de Nadal i les rebaixes, quan els usuaris són més vulnerables als correus de phishing122.

Sector financer

Durant el 2018 s’ha observat com l’interès de la ciberdelinqüència envers el sector financer ha anat creixent. Arran de la dificultat d’obtenir resultats rendibles per altres tècniques, com ara el ransomware o la mineria il·lícita, les ciberamenaces s’han centrat en les entitats financeres.

116 https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf 117 https://www.justice.gov/opa/pr/two-iranian-men-indicted-deploying-ransomware-extort-hospitals-municipalities-and-public 118 https://securityaffairs.co/wordpress/79426/hacking/ryuk-ransomware-infects-dataresolution.html 119 https://www.forbes.com/sites/daveywinder/2018/12/30/north-korea-implicated-in-attack-that-stops-wall-street-journal-and-new-york-times- presses/#e4ba7a420a2b 120 https://www.darkreading.com/attacks-breaches/malware-outbreak-causes-disruptions-closures-at-canadian-restaurant-chain/d/d-id/1332966 121 https://go.malwarebytes.com/q119-state-of-malware-report.html 122 https://www.darkreading.com/attacks-breaches/overall-volume-of-thanksgiving-weekend-malware-attacks-lower-this-year-/d/d-id/1333373

29 Informe de tendències de ciberseguretat – Anual 2018

Atacs als bancs

La vertiginosa evolució de la tecnologia i la proliferació de nous serveis digitals fan que els bancs es trobin en situació de tenir cada vegada més vulnerabilitats. Tenint en compte que els ciberdelinqüents són capaços d’orientar els seus atacs a objectius concrets, de manera molt sofisticada, el resultat és la tempesta perfecta. Durant el 2018, s’ha pogut veure com els atacs a les entitats financeres han crescut. Tot i fer ús d’un conjunt de tècniques d’atac diferents, el phishing ha jugat un paper destacat com a vector d’atac per penetrar en els sistemes del banc. Un cas amb molta rellevància va ser l’atac al Banc de Mèxic, en què un grup organitzat va hackejar el Sistema de Pagaments Electrònics Interbancaris (SPEI) fent ús d’una vulnerabilitat per desviar uns 20 milions de dòlars des de cinc bancs mexicans diferents123.

Il·lustració 10. Top 3 robatoris a bancs en el 2018

Un altre fet important, que demostra la varietat de tècniques i el grau de sofisticació que utilitzen els ciberdelinqüents, és l’atac al Cosmos Bank de la Índia, en el qual els ciberatacants van endur-se 13,5 milions de dòlars. Després d’un primer intent fallit no detectat, van portar a terme tres onades d’atacs durant tres dies mitjançant un malware. Les dues primeres van consistir en la generació de transaccions ATM amb el sistema VISA a 28 països diferents, la tercera, en canvi, va utilitzar el sistema interbancari SWIFT per desviar fons a un compte a Hong Kong124.

Atacs a usuaris

Ja sigui per mitjà del navegador web o d’aplicacions bancàries específiques, des d’un ordinador o un dispositiu mòbil com una tauleta o telèfon intel·ligent, a dia d’avui els usuaris tenen àmplies capacitats per operar amb el banc. Aquestes vies no passen desapercebudes pels ciberdelinqüents que, al mateix ritme que els bancs apoderen els usuaris amb noves eines, s’empesquen diferents formes per robar les credencials de la víctima, amb l’objectiu d’usurpar-li la identitat o desviar-ne les transaccions bancàries.

123 https://www.scmagazineuk.com/third-party-software-vulnerability-results-in-mexican-bank-heist/article/765886/ 124 https://www.securonix.com/securonix-threat-research-cosmos-bank-swift-atm-us13-5-million-cyber-attack-detection-using-security-analytics/

30 Informe de tendències de ciberseguretat – Anual 2018

L’augment de l’ús dels telèfons mòbils durant els darrers anys per realitzar operacions bancàries s’ha convertit en un objectiu suculent i prioritari per als cibercriminals. De fet, segons RSA, s’ha detectat un increment important del frau en les transaccions bancàries realitzades des de dispositius mòbils, entre el 2016 i el 2018 ha passat del 60 % al 70 % del total de transaccions fraudulentes125. Destaca especialment el frau en l’ús d’apps, el qual creix d’un 18 % del total de transaccions fraudulentes, el 2016, a un 40 %, el segon trimestre de 2018. Malgrat que darrerament ha patit una caiguda, és previsible que aquest tipus de frau segueixi en augment.

Il·lustracó 11. Evolució del tipus de transaccions fraudulentes del 2016 al 2018

Dins de les diferents tècniques dels cibercriminals, cal destacar el creixement constant dels troians bancaris. Així, al mateix temps que ha crescut l’ús del mòbil com a eina per gestionar els comptes bancaris, El troià és un programari ho ha fet l’aparició de troians específics. De fet, el nombre d’aquest tipus maliciós que es fa passar de malware s’ha multiplicat per 3 en el darrer any. Els troians bancaris, per un altre de funcions per tant, han esdevingut un dels softwares maliciosos més utilitzats pels legítimes, però, un cop cibercriminals i durant el 2018 han tingut una tendència alcista fins a instal·lat a l'equip de la arribar a màxims a finals d’any. Un dels vectors d’atac més utilitzats per víctima, permet que la difusió de troians bancaris són les aplicacions de mòbil que simulen l’atacant tingui accés no autoritzat al sistema. ser aplicacions legítimes, les quals són retirades de les botigues oficials tan bon punt són descobertes. Així, segons un informe de Com el cavall de Troia, sota Welivesecurity126, entre agost i octubre de 2018, s’haurien descobert 29 una aparença benèvola s’hi troians bancaris que simulaven ser apps legítimes a la botiga Google amaga una amenaça. Play.

125 https://www.rsa.com/en-us/offers/rsa-fraud-report-q4-2018 126 https://www.welivesecurity.com/la-es/2018/10/24/troyanos-bancarios-descubiertos-google-play-simulando-apps-reales/

31 Informe de tendències de ciberseguretat – Anual 2018

Il·lustració 12. Deteccions de troians bancaris per McAfee durant el 2018 (milers) 127.

Sector sanitari

Un dels sectors més afectats durant el 2018 per atacs informàtics ha estat el sanitari. L’objectiu principal que tenen els cibercriminals en aquest sector és obtenir beneficis econòmics, ja sigui robant dades de pacients, les quals són molt preuades al mercat negre, o realitzant atacs de ransomware, amb la corresponent compensació econòmica a canvi de retornar els serveis segrestats. Segons un estudi de Verizon, un 24 % dels forats de seguretat són al sector sanitari i el 58 % dels atacs a aquest sector són duts a terme per personal intern128.

Fuites de dades

Com es reflecteix a l’apartat de Fuita i Robatori de dades personals, el nombre mitjà de registres amb dades personals exposats per incident s’ha incrementat notablement durant els últims anys. En el sector sanitari aquest fet queda ben palès: el 2018 ha tingut un nombre similar d’incidents al 2017, però el nombre de registres filtrats ha seguit una tendència creixent i molt superior.

Il·lustració 13. A l’esquerra, nombre de fuites de dades els anys 2017-2018; a la dreta, nombre de registres de pacients exposats en el sector sanitari els anys 2017-2018129.

127 https://www.mcafee.com/enterprise/en-us/assets/reports/rp-mobile-threat-report-2019.pdf 128 https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf 129 https://www.protenus.com/2019-breach-barometer

32 Informe de tendències de ciberseguretat – Anual 2018

La fuita de dades més important d’aquest 2018 va tenir lloc a Noruega, a l’organització sanitària South-East RHF, que gestiona part important dels hospitals del país. El mes de gener el Helse CERT (Centre Nacional de Seguretat de la Informació del Sector Sanitari de Noruega) va detectar un trànsit inusual a la xarxa interna que comprometia les dades de 3 milions de pacients noruecs, entre els quals es trobaven treballadors del govern, de serveis secrets o militars, entre d’altres130. La segona fuita més important d’aquest any es va donar a l’entitat Atrium Health, que es va veure afectada per una fuita de dades a un dels seus proveïdors, comprometent 2,65 milions registres131. Els atacants, cada cop més, dirigeixen els seus esforços a comprometre entitats proveïdores i, segons un informe de Protenus, els proveïdors de serveis estan involucrats en fins a un 20 % de les fuites al sector sanitari132.

Il·lustració 14. Top 3 fuites de dades al sector sanitari en el 2018133

Tal com es destaca a l’apartat de Fuita i robatori de dades personals, a vegades les fuites són causades per errors de configuració i el sector sanitari no n’ha estat una excepció. El cas més rellevant, que correspon a la tercera fuita més important de l’any en el sector sanitari, ha estat a l’empresa de telemedicina Hova Health dels EUA, en què es van exposar les dades de gairebé 2,4 milions de pacients mexicans. La causa va ser una mala configuració d’una base de dades de MongoDB, la qual estava oberta a Internet134. A Europa, el Servei Nacional de Salut del Regne Unit va exposar les dades de 150 000 pacients durant tres anys per un error de codi del sistema informàtic dels metges de capçalera. Les dades van ser utilitzades per equips de recerca sense autorització dels pacients135. Un altre dels incidents més destacats es va donar al sistema sanitari de Singapur, SingHealth, en què uns actors maliciosos van realitzar un atac dirigit i sofisticat i van aconseguir 1,5 milions de registres de pacients, dels quals 160 000 contenien dades de tractaments. Alguns membres del govern es van veure afectats, entre els quals es trobava el primer ministre, dades sanitàries del qual ja havien estat objectiu dels cibercriminals. Uns cibercriminals també van aconseguir dades dels pacients de la companyia de serveis sanitaris CarePartners, al Canadà, aprofitant la vulnerabilitat d’un software que no s’actualitzava des de feia dos anys. Pretenien publicar 80 000 registres que contenien historials mèdics i dades de targetes de crèdit, però la companyia va acabar pagant un rescat per evitar-ho136.

130 https://securityaffairs.co/wordpress/67922/data-breach/health-south-east-rhf-databreach.html 131 https://www.healthcareitnews.com/news/atrium-health-breach-data-265m-patients-potentially-exposed 132 https://www.protenus.com/2019-breach-barometer 133 https://www.healthdatamanagement.com/list/the-12-largest-health-data-breaches-of-2018 134 https://www.linkedin.com/pulse/draft/AgF9Ma3EceoC2AAAAWUOuL48hIy2sW_c_L-Ul4I3UC26TKyeMXuq2VKLRNhlqJ3It9pngg8 135 https://www.securityweek.com/nhs-digital-erroneously-reveals-data-150000-patients 136 https://nakedsecurity.sophos.com/2018/07/20/hackers-hold-80000-healthcare-records-to-ransom/?

33 Informe de tendències de ciberseguretat – Anual 2018

‘Phishing’ El phishing és un atac d'enginyeria social en el Cal destacar que una de les portes que més utilitzen els cibercriminals qual l’atacant imita una per accedir a les dades de les víctimes és el phishing. Segons Verizon, organització de confiança actualment un 78 % de les persones mai clica sobre un correu de simulant l’entorn habitual phishing, però un 4 % hi cau recurrentment137. Malgrat que sembla d'interacció que l'usuari una xifra petita, només una víctima que hi cliqui pot causar que l’atacant tindria (pàgina web, correu obtingui accés a sistemes amb milers de registres de dades sensibles. electrònic, aplicació, etc.). Els atacs de phishing són habituals en el sector sanitari. Els L’objectiu del phishing és cibercriminals dirigeixen els atacs d’aquest tipus a empleats per fer-los enganyar l’usuari i obtenir- clicar en enllaços maliciosos, per robar les seves credencials mitjançant ne un benefici econòmic o un engany o per injectar programari maliciós, normalment ransomware. una informació Durant els últims mesos de l’any s’ha detectat un increment d’atacs de determinada. phishing en què s’atrau l’atenció de la víctima amb factures o pagaments pendents, tal com es mostra en el següent gràfic.

El malware, badware o programari maliciós és un tipus de programari que té com a objectiu infiltrar-se o malmetre un equip o sistema informàtic sense el coneixement del propietari. En funció de l’efecte que causi sobre l’equip es classifiquen en: virus, cucs, troians, rootkits, scareware, spyware, Il·lustració 15. Top 3 dels tipus de correus de phishing més utilitzats en el sector sanitari138 adware, crimeware, etc. Amb les credencials d’accés als sistemes o al correu electrònic dels treballadors, els cibercriminals poden obtenir moltes dades de pacients, com ara les seves adreces electròniques i altra informació sensible. És el cas de l’entitat UnityPost, la qual va veure exposades les dades de més d’1,4 milions d’usuaris. Es tracta d’una de les fuites de dades més grans de la història al sector sanitari als EUA. En aquest darrer any, els atacs de phishing han afectat molts altres centres sanitaris dels EUA. El primer de l’any va ser al centre Medicaid139 de Florida, on va quedar exposada la informació de 30 000 pacients. Un altre cas va ser a Buffalo, al centre Onco360140, en el qual es van exposar les dades de 53 000 pacients. Al mes d’octubre, l’Hospital infantil de Philadelphia també va notificar dos accessos no autoritzats a comptes de correu electrònic que contenien informació sensible dels pacients141. El mateix va passar al centre mèdic de Catawba, en què es va accedir a la informació de tres comptes de correu electrònic del personal142.

137 https://ciberseguretat.gencat.cat/web/.content/PDF/20180801_Analisi-Tendencies-2018_2T.pdf 138 https://healthitsecurity.com/news/payment-notification-is-top-healthcare-phishing-attack-subject 139 https://www.engadget.com/2018/01/07/florida-phishing-attack-exposes-data-for-30-000-medicaid-recipie/ 140 http://www.healthcareitnews.com/news/53000-patient-records-breached-after-phishing-hack-onco360-caremed 141 https://www.databreaches.net/childrens-hospital-of-philadelphia-provides-notice-of-two-email-incidents/ 142 https://www.databreaches.net/nc-notice-to-catawba-valley-medical-center-patients-of-a-phishing-email-incident/

34 Informe de tendències de ciberseguretat – Anual 2018

‘Malware’ El SamSam és una varietat de ransomware que xifra Un dels tipus d’atac amb malware més freqüent al sector sanitari és els fitxers de la víctima i el ransomware, ja que es tracta d’una infraestructura crítica que no que s’utilitza en atacs es pot permetre aturades de servei i això fa que en molts casos s’acabi dirigits contra objectius pagant el rescat. De fet, durant el tercer trimestre, el 37 % d’atacs de concrets, habitualment ransomware van estar dirigits al sector sanitari143. després que els atacants hagin monitoritzat els Un exemple es va donar a principis d’any, quan el Hancock Health, als sistemes de la víctima EUA, es va veure afectat per un atac amb el ransomware SamSam. durant un temps per saber L’hospital va pagar 55 000 dòlars als cibercriminals per recuperar les 144 de quina manera es pot dades . causar el major dany. Un altre cas de gran impacte va tenir lloc a dos hospitals d’Ohio, el Valley Health Services i l’Education Corp, on un atac de ransomware va

bloquejar les peticions de transport urgent. Com a conseqüència de l’atac Una vulnerabilitat és una els hospitals van haver de tornar als registres manuals i molts feblesa o un error d'un pacients van haver de ser reubicats145. sistema d’informació que, En la mateixa línia, però amb menys afectació, al mes de gener un davant les amenaces a servidor del St. Peter’s Surgery and Endoscopy Center, a Nova York, què està exposat, pot va ser víctima d’un atac de malware i les dades personals de gairebé permetre que un atacant 135 000 pacients, com ara noms, adreces, expedients mèdics, comprometi la integritat, diagnòstics, entre d’altres es van veure exposades146. disponibilitat o confidencialitat de la D’altra banda, el mes de febrer es va detectar el primer atac a un informació, motiu pel qual hospital per mineria de criptomonedes, en concret a l’hospital de ha de ser detectada i Tennessee. Sembla ser que les dades que contenien els servidors eliminada al més aviat afectats no van quedar compromeses. En qualsevol cas, en aquest possible. sector, la criptomineria es tracta d’una tècnica poc habitual d’aconseguir beneficis econòmics147.

Seguretat en el disseny

El 2018 va començar amb una notícia inquietant sobre ciberseguretat que semblava que faria tremolar tota la indústria de la computació. Es van detectar les vulnerabilitats Meltdown i Spectre, les quals tenen l’origen en el disseny dels processadors INTEL, AMD i ARM fabricats durant els darrers 19 anys. Aquestes vulnerabilitats afecten tant ordinadors com smartphones, ja que els processadors ARM són utilitzats en la majoria d’aquests dispositius. Finalment, després d’alguns problemes148, es van publicar els pegats corresponents i les conseqüències pràcticament no es van fer notar. Més enllà d’aquest cas anecdòtic, l’any 2018 ha batut el rècord de vulnerabilitats, arribant a la quantitat de 16 029, la qual cosa representa un increment del 9 % en comparació amb el 2017149. En conseqüència, al llarg de l’any s’ha observat un aprofitament continu per part dels ciberdelinqüents de les vulnerabilitats originades per un disseny poc segur del maquinari i/o programari.

143 https://news.softpedia.com/news/healthcare-targeted-by-37-percent-of-all-ransomware-attacks-in-q3-2018-523661.shtml 144 https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/samsam-ransomware-hits-us-hospital-management-pays-55k-ransom 145 https://www.infosecurity-magazine.com:443/news/two-us-hospitals-hit-with/ 146 http://www.healthcareitnews.com/news/malware-attack-causes-breach-134512-patient-records 147 https://www.darkreading.com/attacks-breaches/tennessee-hospital-hit-with-cryptocurrency-mining-malware/d/d-id/1331014 148 https://www.wired.com/story/meltdown-and-spectre-patches-take-toll/ 149 https://healthitsecurity.com/news/payment-notification-is-top-healthcare-phishing-attack-subject

35 Informe de tendències de ciberseguretat – Anual 2018

Il·lustració 16. Històric de vulnerabilitats150

És evident que les praxis que no tenen en compte la ciberseguretat han estat una tendència per part dels fabricants en els darrers anys i no és estrany que s’identifiquin vulnerabilitats que porten molts anys en els sistemes. Hi contribueixen diversos factors: des de la urgència per la posada en el mercat del producte (time-to-market), passant per la manca de possibilitats del programari o maquinari que pugui sostenir eines de seguretat addicionals, fins a la voluntat de no incrementar els costos de disseny. És imprescindible introduir metodologies de treball que tinguin en compte la seguretat des de l'inici del disseny del producte i durant tot el seu cicle de vida. La bona notícia és que, com a conseqüència de la quantitat d'incidents, cada vegada més s’estén el concepte del disseny segur. Representa la voluntat de concebre la seguretat des de l'inici (Security by design) i deixar enrere el concepte “prova/error” per millorar els productes, ara bé, no s’espera que els resultats siguin definitius o immediats La situació és urgent, especialment davant de la proliferació de dispositius IoT que han d’inundar les xarxes els propers anys. Així, un informe de Trend Micro pronostica “un augment de les vulnerabilitats en la Internet de les Coses (IoT) a mesura que es fabriquen més dispositius sense seguir les normes de seguretat o els estàndards de la indústria”151.

150 https://www.welivesecurity.com/la-es/2018/12/20/vulnerabilidades-en-2018-llegaron-a-nuevo-maximo-historico/ 151 http://blog.trendmicro.es/?p=3248

36 Informe de tendències de ciberseguretat – Anual 2018

37 Informe de tendències de ciberseguretat – Anual 2018

Ciberamenaces detectades

38 Informe de tendències de ciberseguretat – Anual 2018

Ciberamenaces detectades

A continuació es mostren les cinc amenaces més rellevants del 2018 i se’n destaquen els esdeveniments més significatius.

Amenaces152

1 Compromís i/o pèrdua d’informació

2 Atacs deliberats

3 Saturació i/o pèrdua de serveis essencials

4 Frau econòmic

5 Coacció, extorsió o corrupció

1. Compromís i/o pèrdua d’informació

L’amenaça de “compromís i/o pèrdua d’informació” inclou la publicació d’informació i credencials d’accés als sistemes d’informació. Habitualment encapçala les posicions de rellevància perquè molts tipus d’amenaces poden implicar que la informació quedi compromesa i, per tant, entrarien també en aquest grup. Durant el 2018 són nombrosos els incidents, alguns ja detallats a l’apartat de Fuita i Robatori de Dades, que l’han convertit en l’amenaça més rellevant. Al marge d’aquests, ha destacat el tancament accelerat de Google +. En primer lloc, a l’octubre, després d’una exposició de Un programari espia o mig milió de registres dels usuaris, la xarxa social va anunciar el spyware és un malware que tancament previst per a agost de 2019153. Però tan sols un mes més recopila informació sobre una tard, amb l’anunci d’una possible fuita de dades de més de 50 milions persona o organització sense d’usuaris, la companyia va decidir que es tancaria la xarxa social 4 el seu consentiment ni mesos abans del previst154. coneixement. Els spyware solen robar dades sobre Tanmateix, aquest any han destacat especialment els spywares, o l'usuari per beneficiar-se programaris espia, i els insiders threat o amenaces internes. Cada cop econòmicament, per utilitzar- són més habituals les aplicacions de les botigues oficials amb spyware los amb finalitats publicitàries incorporat que, tot i que són retirades tan bon punt es detecten, no és o simplement per fàcil eradicar-les totes. Un informe de l’empresa tecnològica Adguard emmagatzemar-los per a un assegura que milions d’usuaris podrien estar infectats i algú podria possible ús en el futur. capturar-ne l’historial de navegació de forma no consentida155.

152 Catàleg d’amenaces del CESICAT 153 https://www.csoonline.com/article/3312636/security/rip-google-plus-shutdown-announced-after-api-bug-exposes-500000-users-details.html 154 https://eu.usatoday.com/story/tech/2018/12/11/google-plus-leak-social-network-shut-down-sooner-after-security-bug/2274296002/ 155 https://www.ocu.org/tecnologia/telefono/noticias/apps-movil-spyware

39 Informe de tendències de ciberseguretat – Anual 2018

Pel que fa l’insider threat, segons Code42, un 15 % dels professionals de ciberseguretat assegura que és la seva principal preocupació156. Segons una altra enquesta, gairebé la meitat de professionals de seguretat assegura que podria realitzar un atac perfecte contra la seva organització des del seu lloc de treball157. Com a casos més rellevants destaquen el de Suntrust, en què un antic treballador va robar dades d’1,5 milions de clients158, i el de Tesla, en què un empleat va filtrar grans quantitats de dades altament sensibles a tercers, gràcies al fet que les mesures de control no van funcionar o eren inexistents159.

2. Atacs deliberats L’amenaça “atacs deliberats” recull qualsevol difusió i/o execució de programari maliciós, l’accés lògic o físic no autoritzat i l’abús de privilegis d’accés als sistemes d’informació. Es tracta d’una de les amenaces amb major presència, que engloba tots els mitjans pels quals els ciberdelinqüents propaguen malware o realitzen atacs de manera intencionada. La motivació econòmica és el principal al·licient per als cibercriminals L’insider threat és l’amenaça en la difusió de malware. Durant la primera meitat de 2018, com es interna d'una organització tracta en l’apartat dedicat a les Criptomonedes, va destacar la difusió provinent dels seus empleats de malware de mineria il·lícita amb un paper destacat de l’script de o exempleats que tenen mineria CoinHive. Alguns informes especialitzats remarquen un informació privilegiada de increment de la mineria il·lícita del 4000 % el 2018162. l'organització. Aquest tipus d'amenaça afecta totes les Durant aquest any s’ha detectat un increment de troians bancaris, companyies i és molt difícil de entre els quals destaquen el Panda i l’Emotet. Aquest tipus de malware predir. A més a més, a causa es distribueix sobretot per mitjà d’aplicacions de mòbil, dels privilegis d’accés actualitzacions o programari fraudulent. d’alguns empleats, és molt També ha destacat la difusió de malware per a l’obtenció senzill causar un incident i les conseqüències que provoca d’informació, ja sigui per motius polítics o comercials. Un dels són de pes. casos més destacats va ser la difusió del programari espia , creat per l’empresa NSO i que va ser distribuït a 45 països d’arreu del món163. Un script és un conjunt Una de les evolucions detectades durant aquest 2018 és la difusió de d’instruccions escrites en malwares multifuncionals, els quals decideixen quin és el payload o algun llenguatge de càrrega útil més adequada segons el dispositiu infectat per tal de programació que executa diverses funcions a l'interior treure’n el màxim profit. Així, l’ús de malwares multifuncionals com d'un programa de computació. Rakhni, miner i ransomware, o MisteryBot, troià bancari, keylogger i ransomware, és cada cop més habitual164.

Pel que fa a accessos lògics no autoritzats, destaca per sobre de tots La càrrega útil o payload és el cas de la base de dades Aadhar, a l’Índia, on uns investigadors van la part del malware que comprar l’accés a la informació de 1100 milions d’habitants per realitza l’acció maliciosa i menys de 8 dòlars, com es detalla a l’apartat Fuita i robatori de dades s’encarrega d’aprofitar les vulnerabilitats del sistema. personals. Tanmateix, no ha estat un cas aïllat de venda d’accessos a sistemes durant aquest 2018. En alguns casos, aquesta amenaça ha afectat infraestructures crítiques, com en el cas dels accessos als sistemes de seguretat d’un aeroport internacional venuts per menys de 10 dòlars a la dark web165.

156 https://www.code42.com 157 https://www.imperva.com/blog/2018/08/report-nearly-half-of-security-professionals-think-they-could-execute-a-successful-insider-attack-on-their-organization/ 158 https://www.securityweek.com/former-suntrust-employee-steals-details-15-million-customers 159 https://www.securityweek.com/tesla-breach-malicious-insider-revenge-or-whistleblowing 162 https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-dec-2018.pdf?clickid=0g- 2NcXSPw3EQc9V3qSG4zQCUkgW1%3Ayc1z8Ly00&lqmcat=Affiliate:IR:null:74047:10078:10078:null&sharedid= 163 https://www.schneier.com/blog/archives/2018/09/pegasus_spyware.html 164 https://www.redeszone.net/2018/06/14/cuidado-este-malware-uno-afecta-android/ 165 http://www.ibtimes.co.uk/aadhaar-data-breach-indias-national-id-database-details-1-2-billion-citizens-leaked-1654014

40 Informe de tendències de ciberseguretat – Anual 2018

3. Saturació i/o pèrdua de serveis essencials

L’amenaça de “saturació i/o pèrdua de serveis essencials” Github és una plataforma impossibilita l'accés als serveis i recursos durant un període creada per facilitar el indefinit de temps, de forma intencionada o no. Durant el 2018, desenvolupament aquesta amenaça ha estat molt destacada. col·laboratiu de software. En aquest sentit, cal destacar que aquest any s’ha produït l’atac de Permet allotjar projectes de DDoS més gran de la història. Els ciberdelinqüents van aprofitar una forma pública a la web 166 gratuïtament, tot i que també vulnerabilitat dels servidors memcached per atacar i utilitzar-los es poden allotjar de forma per generar un flux de dades d’1,3 terabits per segon contra la privada pagant una plataforma Github167. Aprofitant la mateixa vulnerabilitat, una setmana subscripció mensual. A més tard es va realitzar un nou atac, aquesta vegada amb una intensitat Github es pot trobar tot tipus d’1,7 terabits per segon, el més gran mai registrat168. de codi, fins i tot codi de programari maliciós.

Il·lustració 17. Intensitat màxima dels atacs de denegació de servei més grans registrats els darrers anys

Un altre cas destacable és el de la plataforma de correus electrònics xifrats Protonmail que, després de burlar-se d’uns hackers, va ser víctima d’un atac de DDoS de 0,5 terabits per segon que va causar diverses interrupcions del servei169. L’ús de dispositius IoT per fer atacs DDoS ha augmentat un 29 % des de 2017170. Com s’explica a l’apartat Dispositius mòbils, IoT i encaminadors, amb la proliferació de les botnets l’amenaça dels atacs DDoS esdevé molt significativa. Així, les autoritats estan decidides a prendre mesures, com el passat mes d’abril, quan l’Europol va aconseguir tancar la pàgina web WebStresser128, el portal més gran del món de serveis DDoS per encàrrec, el qual es calcula que havia estat el responsable de 4 milions d’atacs171.

166 https://memcached.org/ 167 https://www.wired.com/story/github-ddos-memcached/ 168 https://asert.arbornetworks.com/netscout-arbor-confirms-1-7-tbps-ddos-attack-terabit-attack-era-upon-us/ 169 https://tecnonucleous.com/2018/06/28/hackers-realizan-un-ataque-ddos-a-protonmail/ 170 https://www.bleepingcomputer.com/news/security/dramatic-increase-of-ddos-attack-sizes-attributed-to-iot-devices/ 171 https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-biggest-marketplace-selling-internet-paralysing-ddos-attacks-taken-down

41 Informe de tendències de ciberseguretat – Anual 2018

No obstant això, els atacs de DDoS no són els únics que poden causar la saturació del servei, sinó que d’altres, com el cryptojacking, també poden. El mes de novembre, la universitat canadenca Saint Francis Xavier va haver de tancar la xarxa per un atac de mineria il·lícita172. Tanmateix, no ha estat un cas únic, sinó que algunes infraestructures crítiques d’Europa també s’han vist afectades, com és el cas d’una instal·lació de subministració d’aigua sense especificar173.

4. Frau econòmic

L’amenaça de “frau econòmic” inclou els atacs que, mitjançant l’engany, busquen aconseguir un benefici econòmic. Durant el 2018 els atacs de frau econòmic més destacats han estat relacionats amb troians bancaris, robatoris a bancs, robatoris de criptomonedes a usuaris i plataformes de canvi, i fraus en plataformes ICO. Els incidents més rellevants es poden trobar en els apartats de Criptomonedes i Sector financer d’aquest informe. Ara bé, si alguna tècnica destaca entre les que utilitzen els cibercriminals per perpetrar el frau econòmic és el phishing. Els ciberdelinqüents han estat aprofitant esdeveniments importants per portar a terme campanyes de phishing, com ara a l’època de la declaració de la renda, en què a Espanya es van propagar diversos correus electrònics i missatges SMS que instaven la gent a introduir el número de la targeta bancària per rebre una presumpta quantitat de diners en concepte de devolució174, cosa que ja havia succeït als EUA anteriorment175. A Islàndia, una campanya de phishing va afectar milers d’habitants. Els cibercriminals es feien passar per la policia nacional i demanaven omplir un qüestionari i accedir a un enllaç en el qual les víctimes obtenien un document protegit amb contrasenya. Però, en realitat, les víctimes descarregaven l’eina d’accés remot Remco, que els ciberdelinqüents van utilitzar per accedir a la informació bancària de l’ordinador de les víctimes176. També cal destacar el frau amb targetes de crèdit. En aquest sentit, avui dia, aproximadament el 80 % del frau de targetes es fa en línia. És el cas d’unes botigues fraudulentes en forma de pàgines web i aplicacions mòbils per al Mundial de futbol177 i, més endavant, per al Black Friday i el Nadal178. Darrere d’aquesta activitat s’hi troben autèntiques organitzacions criminals. Cal destacar el descobriment per part de l’Europol de dos grups diferents que realitzaven transaccions en línia fraudulentes a partir de targetes de crèdits compromeses. En un dels casos la xifra defraudada arribava als 18 milions d’euros179 i, en l’altre a 8 milions180.

172 https://bitcoinexchangeguide.com/canadas-st-francis-xavier-university-forced-to-power-down-network-after-cryptojacking-attack/ 173 https://www.securityweek.com/cryptocurrency-mining-malware-hits-monitoring-systems-european-water-utility 174 https://www.adslzone.net/2018/04/06/renta-2017-estafas-mail-phishing/ 175 https://www.forbes.com/sites/kellyphillipserb/2018/02/13/irs-issues-urgent-warning-on-new-tax-refund-scam-and-its-not-what-youd-expect/#7a282bc7f4b2 176 https://www.bleepingcomputer.com/news/security/largest-cyber-attack-against-iceland-driven-by-complex-phishing-scheme/ 177 https://asociacioncontraelfraude.com/los-ciberfraudes-mas-comunes-en-el-mundial-de-futbol-2018/ 178 https://www.elperiodico.com/es/sociedad/20181122/mossos-investiga-webs-fraudulentas-black-friday-7162251 179 http://www.ticbeat.com/seguridad/europol-desmonta-una-red-de-estafadores-online-despues-de-35-000-fraudes-y-18-millones-de-euros-en-danos/ 180 https://www.europol.europa.eu/newsroom/news/biggest-hit-against-online-piracy-over-20-520-Internet-domain-names-seized-for-selling-counterfeits

42 Informe de tendències de ciberseguretat – Anual 2018

5. Coacció, extorsió o corrupció

L’amenaça de “coacció, extorsió o corrupció” inclou els casos en què El sextorsió o sextortion és la víctima és enganyada per mitjà d’amenaces que la coaccionen, una forma d’explotació ja sigui per ciberassetjament, extorsió, ransomware o sextorsió. sexual en la qual es fa El casos més freqüents d’extorsió detectats durant el 2018 tenen a xantatge a una persona veure amb ransomware, com es detalla a l’apartat de Ransomware, el amb una imatge o vídeo qual ha afectat sobretot a empreses i entitats que no es poden permetre sexual seu, en el qual aturar la seva activitat i, per tant, sovint decideixen pagar el rescat. En apareix despullat o altres casos, els atacants utilitzen tècniques per pressionar les víctimes realitzant actes sexuals, per forçar-les a pagar el rescat, com els programaris maliciosos que que generalment ha estat juguen amb els límits de temps per tal de forçar el pagament del compartit prèviament rescat181. mitjançant sexting. El 2018 també ha estat testimoni de diversos casos de coacció a través de la tècnica de l’angler phishing, cosa que demostra que, a mans d’uns criminals especialment imaginatius i hàbils, les dades personals L’angler phishing és una permeten portar a terme atacs per aconseguir beneficis de formes varietat d’atac de phishing imprevisibles. En aquest sentit, el mes de juliol es van detenir 24 en què els atacants es fan persones per frau a un centre de trucades de l’Índia. Fent ús de passar per un servei dades personals robades, trucaven a immigrants residents als EUA i es d’atenció al client per tal feien passar per empleats del servei d’immigració del govern. Amb d’aconseguir informació la trucada, els comunicaven que tenien deutes pendents amb el sobre la víctima o govern i que si no pagaven els deportarien. D’aquesta manera, van perpetrar algun tipus aconseguir gairebé 9 milions de dòlars182. d’estafa. Pel que fa a casos de sextorsió, durant el 2018 s’ha detectat un increment d’incidents, sobretot en la segona meitat de l’any. En un dels casos més rellevants, els ciberdelinqüents enviaven una amenaça a adreces de correu electrònic, obtingudes a partir de fuites de dades, i feien creure a les víctimes que estaven en possessió de vídeos on se’ls veia contemplant contingut per a adults183. Un dels països més afectats va ser Espanya, on la policia va descobrir una campanya massiva d’aquest tipus de sextortion184.

181 https://www.bleepingcomputer.com/news/security/stalinlocker-deletes-your-files-unless-you-enter-the-right-code/ 182 https://www.darkreading.com/attacks-breaches/24-sentenced-in-india-based-call-center-operation/d/d-id/1332354 183 https://securityaffairs.co/wordpress/77572/cyber-crime/aaron-smith-sextortion-campaigns.html 184 https://news.sophos.com/es-es/2018/08/13/la-policia-nacional-alerta-sobre-una-campana-de-sextortion/

43 Informe de tendències de ciberseguretat – Anual 2018

Conclusions

44 Informe de tendències de ciberseguretat – Anual 2018

Conclusions

L’activitat dels ciberdelinqüents fa evident la persecució constant de fonts de finançament, amb especial predilecció per aquelles més lucratives i rendibles. La relació és tan clara que, fins i tot, és possible entendre les tendències del món de la ciberseguretat en funció dels interessos del cibercrim.

El 2017 va ser el boom dels atacs amb programari de segrest (ransomware) que van agafar milers d’usuaris per sorpresa i van poder aconseguir un gran nombre de víctimes i beneficis. Posteriorment, la conscienciació de les víctimes, l’aparició de noves mesures de protecció i la manca de noves famílies de codi han estat un fre per a les infeccions massives i han provocat un canvi de tendència.

A l’inici del 2018, el ransomware va deixar lloc a la mineria il·lícita (cryptojacking), ja que l’explotació de vulnerabilitats per perpetrar infeccions massives i l’elevada cotització de les criptomones permetien obtenir grans beneficis. Ara bé, el ciberespai va molt ràpid i aquesta situació només es va mantenir fins al segon trimestre. El cryptojacking era un bon negoci quan les criptomonedes tenien un alt valor al mercat, però quan la seva cotització va caure i van aparèixer nous pegats i versions de software que dificultaven la seva activitat, l’esforç va deixar de ser rendible.

Des de mitjan 2018, davant la necessitat de buscar nous incentius econòmics, la ciberdelinqüència ha posat l’ull en el sector financer, especialment a través de troians bancaris, que ja són el malware més utilitzat en les campanyes de difusió contra els usuaris. La nova operativa bancària, en què els usuaris administren els seus comptes des dels seus dispositius, ofereix moltes possibilitats d’atac als ciberdelinqüents. Per ara, aquesta situació no sembla que hagi de canviar.

Més enllà de tots els canvis en l’activitat de la ciberdelinqüència, hi ha un mecanisme d’atac que sempre hi és present: el phishing. Rere correus electrònics enganyosos, que sol·liciten les dades personals de les víctimes o adjunten fitxers maliciosos, el phishing ha esdevingut la via d’atac més utilitzada entre els ciberdelinqüents. Tot i que l’escenari no és nou i es repeteix any rere any, el phishing està experimentant una autèntica evolució i, progressivament, esdevé més elaborat, difícil de distingir i, en conseqüència, molt més perillós.

És difícil protegir-se de l’activitat permanentment canviant de la ciberdelinqüència, però donar resposta a l’omnipresent phishing és una tasca més factible. Primerament, cal emprendre programes de formació i conscienciació amb l’objectiu de tenir una ciutadania capacitada digitalment, tot i que, atès el perfeccionament del phishing, això no serà suficient. A continuació, serà imprescindible apostar per regulacions que traslladin una major responsabilitat als proveïdors per tal que desenvolupin solucions basades en una intel·ligència artificial que assisteixi les persones, a temps real i de forma efectiva, per poder discernir quan un correu electrònic és phishing. Tenir èxit en aquest àmbit significarà una reducció radical i immediata del nombre de ciberatacs reeixits.

45

ciberseguretat.gencat.cat @ CESICAT a maig de 2019

15