Compartir

Noviembre de 2020 … sin ladridos?

Las elecciones presidenciales estadounidenses lograron una victoria retrasada para Joe Biden y Kamala Harris sobre el actual presidente Trump y el vicepresidente Pence. También reveló el alcance de la profunda polarización que divide al país. Muchos especialistas temían que las elecciones estadounidenses estuvieran plagadas de un tsunami de campañas de desinformación, violaciones sobre los datos, manipulación de boletas y ataques a la infraestructura de votación. De hecho, el presidente Trump y sus partidarios emitieron una  oleada de acusaciones sin fundamento alegando que la integridad de las elecciones estuvo comprometida. Sin embargo, contrariamente a las expectativas, el día de las elecciones transcurrió sin evidencias de malversaciones digitales graves, incluyendo la piratería electoral. Por el contrario – fue  descrito como el más seguro en la historia de Estados Unidos. Así como los encuestadores predijeron erróneamente una «ola azul» para los demócratas, ¿es posible que los ciber apostadores exageraron los riesgos de una irrupción importante? 

Si bien no hubo evidencias de pirotecnia digital el día de las elecciones, resulta que la campaña electoral estadounidense experimentó múltiples amenazas digitales a lo largo de 2020. Por ejemplo, Microsoft observó un fuerte aumento de los ataques en los meses previos a la votación. Entre los más destacados fueron liderados por Strontium, un grupo ruso de amenazas avanzadas que estuvo activo en la campaña de 2016, y que lanzó campañas de phishing contra unas 200 organizaciones, incluyendo campañas políticas, grupos de protesta y consultores políticos. Zirconium, un APT (por sus siglas en inglés, Amenaza Avanzada Persistente) chino, lanzó al menos 150 ataques contra docenas de universidades y grupos de reflexión. Y Phosphorus, un APT iraní, fue tras las cuentas personales de las personas asociadas con Donald Trump entre mayo y junio. La mayoría de estos intentos fueron bloqueados antes de que pudieran hacer mucho daño.

La incidencia de ransomware también aumentó dramáticamente en los estados y ciudades de Estados Unidos. Es difícil determinar fueron de naturaleza geopolítica o más como resultado de delincuentes oportunistas. En octubre, por ejemplo, un importante proveedor de software para los gobiernos estatales y locales – Tyler Tech – informó  que fue una víctima de ransomware un mes antes, perdiendo unos USD 1.5 millones. Los gobiernos de Luisiana y el estado de Washington también informaron ser golpeados por ataques de ransomware (similar a los incidentes en 2016). Es difícil saber si estos ataques eran de naturaleza política o criminal: el troyano utilizado para cometer el ataque (conocido como «KimJongRat») estaba vinculado a un grupo afiliado al gobierno norcoreano. El ataque se detuvo en sus primeras etapas y la guardia nacional fue llamada a investigar. Un temor importante era que la infraestructura
electoral  fuera atacada para socavar el proceso de votación. De hecho, los supuestos ataques rusos en octubre de 2020 apuntaron a una amplia franja de redes gubernamentales, incluidas las relacionadas con la salvaguarda de las elecciones en estados como California a Indiana. Algunas de estos ataques fueron lanzados por Energetic Bear (también conocido como Firefly) y surgieron informes de que algunos datos de votantes pudieron haber sido violados. Los grupos respaldados por Irán también fueron sancionados por el Tesoro de los Estados Unidos por intento de interferencia. Una preocupación era que los ataques también pudieran enfocarse en los sitios web que presentarían los resultados de las elecciones (y no las máquinas relacionadas con la emisión y el escrutinio de los votos). Al final, el FBI y el CAAS afirmaron que no había pruebas de que los datos electorales hubieran sido comprometidos.  

Una de las amenazas más peligrosas de la malversación digital no son tanto los ataques sobre infraestructuras críticas y la piratería electoral, como si las campañas de desinformación y las operaciones psicológicas. Hubo pruebas considerables de los intentos de manipular a los votantes estadounidenses a lo largo de la campaña electoral de 2020, y gran parte de ellos se centraron en difundir falsas acusaciones de fraude electoral, pruebas falsas sobre fallas del software y rumores espurios de piratería electoral. Algunos de estos esfuerzos comenzaron mucho antes de que la campaña electoral comenzara, e incluyeron  una serie de sitios web y hashtags falsos  (#stopthesteal) y la propagación de falsas redes sociales por parte de partidarios de Trump como Roger Stone para desacreditar el proceso electoral. Un objetivo especial era el voto postal, incluyendo el socavamiento de capacidad del sistema postal de los Estados Unidos para y esfuerzos para desacreditar el voto por correo por completo.

Al igual que en elecciones anteriores, las cuentas automatizadas o los «bots»  estuvieron muy activos en la difusión de noticias falsas. Investigadores de la Universidad del Sur de California  estudiaron 240 millones de tweets relacionados con las elecciones entre junio y septiembre de 2020,  y descubrieron que representaban más del 20 por ciento de todos los tweets que contenían falsedades. Los bots que abogaban por puntos de vista de derecha representaban el 80% de la desinformación reportada y eran «más de 12 veces más propensos a difundir falsas teorías conspirativas».  Algunas amenazas incorporaron campañas de mensajes de texto a teléfonos celulares de baja tecnología  y robocalls para difundir la desinformación. A pesar de las medidas preventivas  (incluidas las líneas de ayuda creadas por WhatsApp) adoptadas por algunas aplicaciones de mensajería privadas, los desafíos persisten con  WhatsApp cifrado de extremo a extremo,  Telegram  y  Signal. Las actividades en estos canales son difíciles de controlar y, por lo tanto, contribuyeron a la llamada «pandemia de desinformación». Mientras tanto, los conservadores descontentos, están migrando a redes sociales alternativas,  incluyendo  Parler,  Rumble  y  Newsmax  (aunque algunos grupos extremos describen estas alternativas como «trampas ocultas o señuelos»).

La desinformación fue generalizada durante el proceso electoral de 2020. Sin embargo, a medida que avanzaba el proceso, una gran cantidad de contenido malicioso también fue desacreditado por los medios de comunicación, las organizaciones de verificación de hechos, las agencias gubernamentales y las plataformas de medios sociales. Por ejemplo, los falsos rumores que circulaban sobre los trabajadores electorales que repartían «sharpies» para privar de derechos a los votantes fueron etiquetados como falsos. Se desacreditaron las especulaciones sobre el uso interno de tecnologías diseñadas por la CIA para espiar y manipular las elecciones extranjeras (es decir, «Hammer» y «Scorecard»). El Director de Inteligencia Nacional y Director del FBI de Estados Unidos también  reveló en octubre de 2020  que derribaron una red de hackers iraníes que se hacían pasar por grupos de extrema derecha responsables de enviar correos electrónicos amenazantes para exigir a los votantes que apoyan al presidente Trump. Dicho esto,  más tarde se supo que los piratas informáticos iraníes hackearon con éxito la base de datos de registro de votantes de al menos un estado.

Una de las razones por las que se evitaron ataques cibernéticos masivos en estas elecciones es porque la arquitectura de inteligencia y seguridad de Estados Unidos estaba mejor preparada para las travesuras digitales que en el pasado. Debido en parte a su participación en el proyecto NCCIC, el Departamento de Seguridad Nacional fue capaz de dar apoyo a los dos partidos políticos, incluyendo muestras de malware, perfiles de actividades de grupos criminales, firmas de campañas de hackeo, y capacitación y apoyo para combatir la piratería digital. El DSN también trabajó en asociación con el Instituto Nacional de Estándares y Tecnología, el Centro para la Seguridad de Internet y la Comisión de Asistencia Electoral para establecer estándares para la seguridad electoral. 

Las agencias de inteligencia y policía de Estados Unidos también trabajaron en estrecha colaboración con las empresas de tecnología para tomar medidas proactivas antes de que las elecciones se pusieran en marcha. Después de emitir advertencias repetidas y el lanzamiento de una página de control de rumores, (rumor control page) el FBI y la Agencia de Seguridad en Ciberseguridad e Infraestructura (CISA) invirtieron en  la detección de ransomware y bloqueo con bastante antelación. Por ejemplo, la acción preventiva dio lugar a la retirada de un trickbot. En octubre, en asociación con Microsoft, el gobierno se apoderó de los servidores de la famosa botnet. El mismo ransomware había infectado al parecer más de un millón de dispositivos desde que fue creado en 2016. Empresas como Microsoft también implementaron un nuevo software llamado ElectionGuard que confirmó a los votantes que sus selecciones estaban siendo registradas con precisión. Mientras tanto Facebook accedió a luchar contra la desinformación bloqueando nuevos anuncios políticos en su plataforma en las semanas previas a las elecciones.  Facebook  también redirigió a los usuarios a resultados electorales precisos para limitar los costos de las declaraciones prematuras de victoria.

Días antes de la elección, Instagram  anunció que eliminaría temporalmente  la pestaña «Reciente» de todas las páginas de hashtags como parte de su esfuerzo por contener la propagación de la desinformación relacionada con las elecciones. Twitter  suspendió las cuentas  de individuos que, según se informa, difundieron información errónea y agregaron  nuevas advertencias sobre la desinformación  para ayudar a los usuarios a protegerse contra las posibles campañas en este sentido. Twitter también dirigió a los usuarios a fuentes de información validadas (por ejemplo, «votación por correo») y recordó a sus usuarios que los resultados de las elecciones podrían retrasarse debido al mayor uso de la votación por correo. TikTok, además  de intensificar la verificación de hechos, también se puso en contacto con un público más joven sobre el proceso de elección y añadió una transmisión en vivo desde La Associated Press. Tanto  TikTok  como  Twitter ya habían prohibido cualquier anuncio político en sus plataformas desde octubre de 2019. Mientras tanto,  Pinterest,  Facebook Messenger,  Google,  YouTube,  Snapchat, Apple News y Google News  adoptaron medidas para frenar la desinformación relacionada con las elecciones. Algunos críticos se quejaron de que estos movimientos  eran contraproducentes  o eran demasiado pocos o muy tardíos


Inminente….

Estados Unidos está entrando a dos meses muy volátiles antes de que el presidente electo Biden y el vicepresidente electo Harris asuman el poder. El presidente Trump aún no ha reconocido el resultado de la elección y ha  recurrido a los canales legales para impugnar los resultados de las elecciones. También ha comenzado a purgar las altas filas militares y amenaza con intensificar su campaña de desinformación  contra el proceso electoral. Sigue insistiendo en que las elecciones fueron amañadas a pesar de que fueron en gran parte libres de incidentes  y sin ningún incidente de ciberataque o señales visibles de cualquier  intervención de gobiernos extranjeros.

El presidente Trump, junto con figuras de los medios de comunicación conservadoras,  insiste en que una compañía de tecnología electoral llamada “Sistema de Votación Dominion” sufrió fallos que «robaron» millones de votos. Si bien es poco probable que se aferre al poder, se teme que sus esfuerzos aceleren la erosión de la confianza pública en las instituciones electorales y la democracia.

Hay varios factores que hacen que la «transición» actual sea más peligrosa. Las preocupaciones incluyen la profundización de las divisiones entre ambos partidos  en todo el país (y el hecho de que el 70% de los republicanos creen que las elecciones no fueron libres y justas). A esto se añaden las preocupaciones sobre un «vacío de poder» político a nivel nacional y el aumento en las tasas de infecciones y muertes por COVID que han entrado en una «tercera ola» sin precedentes.  Las amenazas cibernéticas que existían antes de las elecciones se están  intensificando, según Christopher Krebs, director de la Agencia de Seguridad en Ciberseguridad e Infraestructura (CISA). El riesgo de que China, Rusia, Irán y otros se aprovechen de Estados Unidos en un momento de debilidad está aumentando, a pesar de que Trump siembra dudas sobre la legitimidad de los resultados electorales. Las amenazas cibernéticas que enfrenta Estados Unidos durante los próximos 60 días incluyen amenazas de desinformación e información falsa, y ataques acceso y la disponibilidad de la información.

Los atacantes pueden intensificar los ataques a los mecanismos electorales  para interrumpir los recuentos y llevar a cabo ‘ataques de percepción‘, provocando que la percepción de que las elecciones fueron fraguadas excede por mucho la posibilidad realista de realmente haya ocurrido. Las ansiedades por  el fraude electoral  son  alimentadas casi exclusivamente por Trump. También están recibiendo algún impulso desde de las redes sociales convencionales. Otra preocupación es que el «lavado de información» -tejido de desinformación con medios genuinos- también podría aumentar. GRU  – una agencia de inteligencia militar rusa – es particularmente experta en este espacio. Los temores también están creciendo de un posible correo electrónico blitzkrieg que está difundiendo desinformación. Este tipo de enfoque fue supuestamente desplegado por atacantes iraníes que se hicieron pasar por los Niños Orgullosos con el fin  de amenazar a los votantes  en la batalla por los estados clave. El movimiento ‘Stop the Steal (Paren el Robo)‘ y otros mensajes relacionados con la las elecciones se están  extendiendo rápidamente  a través de las redes sociales a pesar de la prohibición impuesta por las principales redes sociales. Finalmente, mientras que los muy exagerados ‘deep-fakes‘ no jugaron un papel importante en el proceso electoral de 2020, se informó de ‘falsificaciones baratas‘ que fueron útiles en el balanceo de la opinión pública.  


¡Rescatados!

La epidemia ransomware continúa extendiéndose por todo el mundo. Un ejemplo destacado son los actores de las ciberamenazas RansomExx,  que supuestamente estaban detrás de un ataque masivo contra el Tribunal Superior de Justicia de Brasil en la primera semana de noviembre de 2020. El atacante explotó una cuenta de administrador de dominio para acceder a los servidores del tribunal y, según se informa, cifró todos los archivos de casos y copias de seguridad. Defray777 (como  RansomExx  fue llamado una vez) tiene la capacidad de atacar las instalaciones de Linux y ha estado activo desde 2018. Otras víctimas son el sistema de transporte público de Montreal (Société de transport de Montréal, STM),Texas Department of Transportation (TxDOT),Konica Minolta,Tyler Technologies  e  IPG Photonics. Estos ataques son un presagio de lo que está por venir, y algunos especialistas temen una  epidemia ransomware debido a la diversificación de los servicios, el aumento de la ciberdelincuencia como un servicio (CaaS – Crime-as-a-Service) permite que las tecnologías se propaguen rápidamente a través de las organizaciones criminales.

Los atacantes de ransomware están empleando métodos ingeniosos para llevar a cabo ataques que combinan herramientas de automatización con el ingenio humano. Según Mark Loman, Director de Ingeniería de  Sophos, la mayoría del  ransomware puede añadir o cambiar rasgos y cambiar enfoques para evadir los sistemas de protección anti-ransomware. Algunos métodos de evasión incluyen iniciar el sistema operativo en un modo de diagnóstico, cifrar en una parte muy pequeña de archivos del objetivo, o elevar los privilegios de cuenta de usuario para aumentar el tamaño del documento y priorizar las unidades de destino. Con el fin de defenderse de la embestida de ataques ransomware, los expertos recomiendan un enfoque  de 365 grados para la ciberseguridad  que proporciona monitoreo de extremo a extremo de las redes y sistemas para proteger los servicios expuestos, los sistemas sin parches y las credenciales comprometidas.

Otra tendencia preocupante, de acuerdo con el informe de ransomware Q3 2020 de Coveware, es que las bandas ransomware están renegando de las ofertas y recurriendo a la extorsión y la exfiltración de datos independientemente de si las víctimas pagan o no. Ejemplos recientes incluyen,  Sodinobkibi,  Laberinto  (Egregor),  Netwalker,  Mespinoza,  Conti. Tradicionalmente, las bandas ransomware mantenían sus amenazas privadas o las publicaban en la Web Oscura. En los últimos tiempos, algunas  bandas ransomware han comenzado a utilizar Facebook para presionar a sus víctimas a pagar rescates. Recientemente, el  equipo  de Ragnar Locker publicó anuncios en Facebook utilizando cuentas hackeadas para presionar públicamente a Campari Group, un proveedor de bebidas italiano para acceder a su demanda de rescate de USD 15 millones para 2 TB de datos. Estos ataques pueden incluso generar muertes en el mundo real. Si consideramos por ejemplo el ataque ransomware por Ryuk en la red hospitalaria de Servicios Universales de Salud (UHS). Según los informes, este ataque contribuyó a cuatro muertes.


Amenazas emergentes

Infracciones de datos y ataques de phishing

  • El acceso a la red de Pakistan International Airlines se puso a la venta en los foros de Dark Web. Las credenciales robadas incluyen los nombres de los pasajeros, sus números de teléfono y los datos del pasaporte según los expertos en ciberseguridad de Israel,  KELA. Aparentemente, los actores de la amenaza están  vendiendo el acceso de administrador de dominio a la aerolínea por USD 4,000. Fue puesto a la venta en dos sitios web en ruso y en inglés en la Dark Web.  

Estafas y  vulnerabilidades

  • Microsoft y Google publicaron parches de seguridad. Microsoft publicó correcciones para 112 vulnerabilidades,  incluidos 24 errores de ejecución remota de código (RCE). Estas correcciones varían para una amplia gama de productos de Microsoft, incluidos Microsoft Edge y Windows Wallet Service, entre otros. Más importante aún, un parche de vulnerabilidad de día cero de Windows, registrado como CVE-2020-17087, fue lanzado. Esta vulnerabilidad de día cero fue supuestamente explotada junto con Chrome de día cero para atacar a los usuarios de Windows 7 y Windows 10. Google lanzó  chrome versión 86.04240.198  para ayudar a parchear dos ataques de día cero de Chrome,  CVE-2020-16013  (relacionado con la implementación incorrecta en Chrome versión 8) y  CVE-2020-16017  (un error de corrupción de memoria).
  • Intel y Adobe publican consejos. Intel  lanzó  40 avisos de seguridad para parchear diferentes vulnerabilidades que afectan a sus productos de tecnología de administración activa (AMT), Bluetooth inalámbrico y dispositivos NUC. Más específicamente, las vulnerabilidades graves incluidas,  CVE-2020-8752  (con una puntuación CVSS de 9.4 sobre 10) y  CVE-2020-12321  (con una puntuación CVSS de 9.6 sobre 10). Adobe  también implementó correcciones para varios errores encontrados en Adobe Reader Mobile y Adobe Connect. Las vulnerabilidades se clasifican como «Importantes» pero no son críticas en la escala CVSS. Incluyen:  CVE-2020-24442  y  CVE-2020-24443, ambos relacionados con problemas de scripting entre sitios reflejados (XSS).
  • Estafando a los amantes del chocolate. Una  estafa a Cadbury recientemente surgió en Facebook. Una cuenta FB falsa, a nombre de Cadbury, fue creada por estafadores para atraer a los usuarios de las redes sociales a compartir sus datos personales y financieros. La página falsa parecía oficial y convincente. Los estafadores prometieron a los participantes premios en efectivo y cestas de chocolate Cadbury para atraerlos a proporcionar información.  Una  estafa similar ocurrió  en  2018.

Sobre esta publicación

La publicación del boletín de Prospectiva de Riesgos Digitales COVID-19 para Latinoamérica y España es el resultado de la alianza CAPSI / SecDev.

¿Quieres saber más? Podemos ayudar.

La Cámara Argentina de Profesionales en Seguridad Integrada — CAPSI — integra actores públicos, privados y académicos en busca de mejorar las políticas y la toma de decisiones, de los sectores público y privado, en materia de Seguridad y Defensa, a través de la investigación y el análisis. Somos una organización sin fines de lucro, no partidista y comprometida con el desarrollo y la evolución de la seguridad.

SecDev utiliza super-prospectiva, analítica avanzada, e inteligencia artificial para mantenerlo adelantado a las noticias, y no ser parte de ellas. Ayudamos a líderes corporativos, de gobiernos, y organizaciones sin fines de lucro a navegar este mundo de incertidumbre y resiliencia digital.

Contáctenos para:

Ideación — Ayudamos a los clientes a identificar los mejores conceptos y enfoques para valorar el riesgo para poner identificar nuevos espacios de oportunidad.

Análisis predictivo — realizamos evaluaciones personalizadas que miden, supervisan, cuantifican el riesgo e identifican oportunidades en las megatendencias que afectan a su negocio.

Evaluaciones de riesgos cibernéticos — mapeamos las vulnerabilidades cibernéticas de su empresa e identificamos soluciones tácticas y estratégicas que impulsan el valor.

Transformación digital — Ayudamos a impulsar la gestión del cambio para minimizar los riesgos digitales y desarrollar la resiliencia digital.
Compromiso con los líderes sénior — ayudamos a garantizar que su junta corporativa y sus líderes directivos estén preparados para participar en la era digital.

Conectar con Secdev en cuatro sencillos pasos

Prospectiva de Riesgos Digitales es una publicación mensual de CAPSI y SecDev.