(Por El Microsaurio) Breve informe, como para que no se les enfríe el café. Primero, tomen todos los pronósticos del año pasado. Léanlos si tienen ganas. Ahora vamos con lo que los insáiders creen que nos pasará este año. ¿De qué habrá de cuidarse? Malware ladrón de datos, listo para desplumarte; alguna extorsión destinada a sacarle plata a una empresa; la discutible seguridad del ebanking, el súper teléfono también será una ventana de entrada. ¿Moraleja? Más de lo mismo, con alguna cosa original, pero poco. Leé ahí abajo.
Como la información es más que abundante, busqué un marco de análisis. Me gustó el del Instituto Tecnológico de Georgia (USA) que podrás ver aquí ¿Por qué lo tomé? Uno de los autores es directivo de Barracuda, otros dos trabajan para la omnipresente National Security Agency. No son precisamente vendedores de antivirus, esos que todo el mundo toma por propagandistas del ciberapocalipsis inminente (a menos que se use alguno de sus productos). Un problema: ese instituto educativo vende software de seguridad para grandes corporaciones. En fin…
Después busqué información entre varios proveedores de software de seguridad que cuyos clientes son empresas y usuarios finales: Pandasoftware, Symantec, Kaspersky, ESET, Trend Micro, McAfee, y agregué comentarios encontrados en material de Microsoft y de IBM/X-Force. Presentada la bibliografía, vamos al malware.
Posibles puntos de ataque:
- Botnets: mayor cantidad, sofisticación del código empleado. Los usuarios particulares se perjudican ya que les usan las máquinas, pero los que sufren el ataque son empresas. A mejor software de Comando y Control, más efectividad del ataque. Alguna empresa podría llegar a pagar un rescate para dejar de sufrir un Denial of Service. Y no sería la primera vez.
- Equipos de comunicación portátiles con gran poder de cálculo. Una frase para recordar: “el mundo de los smartphones se parecerá cada vez más al mundo de las máquinas de escritorio”. La parte fulera de esta oración es que los ejecutivos se desviven por tener teléfonos que entran y salen de la red corporativa, y los departamentos comerciales están cada vez más encantados con la idea de tener terminales móviles para hacer ventas en la calle. Además de la posibilidad de usar un celular como terminal POS para cargar un gasto en una tarjeta, y que las vías de entrada a un súperfonito son el email, el navegador web, un mensaje de texto, que hay posibilidad de falsear el número de llamada mostrado… Como la variedad de sistemas operativos es poca (los contás con los dedos de una mano) y encima circulan SDK para todos, andá haciendo cuentas.
- Otra afirmación: “los websites de difusión de aplicaciones para telefonía móvil constituyen el más grande sistema de distribución de malware inventado por el hombre”. Suena exagerado, claro, porque el autor tiene una empresa de seguridad destinada a filtrar ese tipo de software. Pero… ¿cuántas personas que vos conocés revisan el código de una aplicación web antes de instalarla? (No, yo tampoco)
- Los medios de almacenamiento extraíbles como transmisores de malware. Nada nuevo bajo el sol, antes eso se hacía con disquetes.
- Ataques por medio de redes sociales. No, no se trata de voltear Facebook o Twitter; se trata de voltearte por medio de ellos. Se supone que aumentará el uso de “ganchos para incautos” con el fin de obtener contraseñas válidas, a fin de emplear cuentas legítimas para hacer sp*m. De paso, si algún usuario acepta poner su número de cuenta bancaria o tarjeta de crédito donde no debe, más contento se pondrá el delincuente de turno.
- Ciber ataques destinados a sistemas físicos. Esto me hace acordar a ese viejo engaño que decía que si no difundías determinada alarma a todos tus contactos, se te quemaría la compu. En este caso, el tema es absolutamente real. A partir del certero ataque a las centrales atómicas iraníes realizado por una potencia enemiga, el mundo empresario se desayunó. Un clic en un email los podría dejar con la producción parada, no porque se le llenaron de virus las compus de las secretarias, sino porque “misteriosamente” se les quemaron los motores de determinadas máquinas importantísimas.
Les recomiendo calurosamente (verano mediante) que repasen la bibliografía. Les conseguí en castellano (Panda, Symantec, ESET) y en inglés. Además, pueden repasar lo que pronosticó a Tecnozona Ryan Naraine (en la segunda mitad de la nota) y agregar que Chema Alonso apuesta por los ataques a móviles, coincidiendo con uno de los ítems ahí arriba. Y recordar que los websites de los bancos son razonablemente seguros para hacer e-banking… pero una mitad de la comunicación se está haciendo desde tu computadora. Que puede estar llena de gente.
Ah, sí, me olvidaba. La moraleja: no hay computadora más segura que la computadora apagada. Agregado: recordar que un celular está apagado solamente diez segundos después de sacarle la batería.