Innovación

El formjacking, la nueva táctica de los ciberdelincuentes

El ransomware y el cryptojacking tuvieron su auge en el mundo del ciberdelito y ahora llegó el turno del “formjacking”. El nuevo reporte de las amenazas a la seguridad en Internet (Internet Security Threat Report o ISTR) Volumen 24 de Symantec , entrega los últimos hallazgos mundiales en cuanto a las amenazas informáticas globales, las tendencias cibercriminales y las motivaciones de los atacantes que son aún más destructivas y ambiciosas.

El formjacking representa una grave amenaza, tanto para los negocios como para los consumidores. Los consumidores no tienen manera de saber si están visitando un sitio infectado en línea, sin usar una solución de seguridad integral, dejando su valiosa información personal y financiera a merced de un potencialmente devastador robo de identidad”, sostuvo Greg Clark, director ejecutivo de Symantec.

Para las empresas, el colosal aumento del formjacking refleja el creciente riesgo de los ataques a la cadena de suministro, sin mencionar los riesgos de reputación y responsabilidad que los negocios enfrentan cuando se ven comprometidos”, amplió Greg Clark.

El informe de este año revela en forma notable que el formjacking (cuando servidores web infectados remueven la información de pago de los consumidores) ha surgido como la amenaza de vanguardia de 2018. El 1% de todos los ataques mundiales de formjacking fueron bloqueados en Argentina en 2018 y, globalmente, uno de 108 de estos ataques fue bloqueados, el año pasado, en nuestro país.

Esta amenaza mostró un crecimiento exponencial (y posiblemente grandes ganancias para los delincuentes) al final del año, pronosticando un posible incremento en 2019 y más allá. Al usar con mayor frecuencia aplicaciones de terceros para infiltrarse en los sitios web, el formjacking también ilustra aún más los peligros de los ataques a la cadena de suministro, una creciente debilidad destacada en el informe del año pasado. Necesitando solo unas cuantas y simples líneas de código cargadas en un sitio web, el formjacking representa una significativa amenaza para los minoristas en línea, o para cualquiera que recopile información personalmente identificable de sus clientes a través de su sitio web.

Aunque ya no generan dinero fácil, el ransomware y el cryptojacking no han desaparecido. El ISTR muestra que, con el declive en el valor de las criptomonedas, hacerse rico rápidamente a través del cryptojacking no es tan fácil como antes, y algunos atacantes se han cambiado a actividades más lucrativas. Sin embargo, los ataques son fáciles de instigar y gestionar, lo que significa que aquellos criminales que participan en el juego a largo plazo todavía pueden hacer dinero. En general, Symantec bloqueó cuatro veces más ataques de cryptojacking el año pasado que en 2017, y continúa siendo una amenaza activa en 2019.

El ransomware sigue ofreciendo la oportunidad de generar grandes sumas de dinero. Se calcula que la banda SamSam ha generado seis millones de dólares gracias a sus ataques de ransomware. De hecho, los delincuentes del ransomware se fijan cada vez más en las empresas, un blanco de alto valor. Las infecciones por ransomware crecieron en los ambientes empresariales en un 12%, mientras que las infecciones en consumidores bajaron. Los consumidores probablemente se beneficiaron debido a su creciente uso de dispositivos móviles, ya que los criminales prefieren archivos adjuntos de Office en mensajes de correo electrónico y scripts de PowerShell, los cuales no funcionan tan bien en dispositivos móviles, para llevar a cabo sus ataques de ransomware.

A pesar de estos descubrimientos, el panorama de amenazas no solo trata sobre crimen y la búsqueda de dinero. Los gobiernos adoptaron rápidamente la Internet para realizar espionaje y la han usado con fines destructivos. A finales del año pasado, Shamoon volvió a emerger en forma notable después de una ausencia de dos años, desplegando malware para borrar archivos en las computadoras de organizaciones específicas en Medio Oriente. De hecho, casi uno de cada diez grupos de ataque dirigido ya usa el malware para destruir y trastornar operaciones comerciales, con un aumento del 25%, comparándolo con el año anterior. También siguen refinando sus técnicas de ataque, prefiriendo el spear-fishing sobre cero días y usando técnicas de «vivir de la tierra» (living off the land o LoTL, por sus siglas en inglés) para mantener un bajo perfil y esconder sus ataques en un mar de procesos de TI legítimos. De hecho, la tecnología de Análisis de Ataques Dirigidos Targeted Attack Analytics (TAA) de Symantec descubrió un grupo de ataque llamado Gallmaker en 2018 que no necesitaba malware para infiltrarse en sus blancos. “Mientras los atacantes siguen usando nuestras propias herramientas contra nosotros, la detección debe evolucionar de identificar malware a determinar intenciones. Soluciones basadas en el aprendizaje automático e inteligencia artificial avanzada, como TAA, son cada vez más cruciales para detectar ataques”, explica Daryan Reinoso, Gerente de Ingeniería para Rest of LATAM.

El ejecutivo agrega que ,“parece que nadie llevaría consigo en forma voluntaria un dispositivo que permitiera que alguien le espiara cada pensamiento, conversación y movimiento. Pero los encabezados de hoy indican que sí lo hacemos. Ese dispositivo es nuestro smartphone, y no solo se trata de maestros espías que buscan información sobre nosotros. Hasta aplicaciones legítimas están espiándonos”.

Para ayudar a entender los riesgos implicados, Symantec analizó las principales 100 aplicaciones para Android y iOS en 2018 y descubrió que casi la mitad de las aplicaciones para Android y una cuarta parte de las aplicaciones para iOS solicitaban el rastreo de la ubicación. Las aplicaciones pedían números telefónicos, direcciones de correo electrónico, acceso a cámaras, micrófonos, fotos y cualquier información personal almacenada en el dispositivo. Es claro que esas aplicaciones quieren información de nosotros, mucho más allá de las necesidades de la aplicación misma.

Ante este panorama, Symantec ha trabajado para robustecer su portafolio de soluciones para este año, donde se destaca la adquisición de Luminate, una empresa privada con tecnología pionera de perímetro definido por software. La tecnología Secure Access Cloud™ de Luminate extiende aún más la potencia de la plataforma de defensa cibernética integrada de Symantec a los usuarios a medida que acceden a las cargas de trabajo y las aplicaciones, independientemente de dónde se implementen esas cargas o la infraestructura a la que se accede, llevando a otro nivel la seguridad en la nube.