. . .
surge-el-cryptojacking-una-nueva-amenaza-avanzada

Entrevistamos a Juan Calderón, Gerente de Seguridad y Data Center de Lumen Perú, acerca del Cryptojacking una nueva modalidad de amenaza avanzada que se está extendiendo por muchas redes corporativas del mundo.

Lima, Perú, 30 de noviembre del 2021.— Se trata del Cryptojacking que tiene que ver con la explotación de vulnerabilidades de red para insertar código malicioso en los servidores de los centros de datos y hacer minería ilegal de criptodivisas, utilizando los recursos de cómputo de sus víctimas. A continuación, les ofrecemos sus declaraciones:

IT/USERS: Dado el creciente uso de la denominada “minería de criptomonedas”, se ha detectado el uso ilícito por parte de los ciberdelincuentes de los recursos computacionales de los usuarios, ¿qué es lo que sabe Lumen de esta tendencia?

J.C.: Lo que nosotros estuvimos viendo, eso comenzó hace un par de años, fue en empresas que su seguridad terminaba siendo vulnerada y en sus servidores, insertaban estas aplicaciones para hacer minería de monedas. Y esto es debido a la gran cantidad de cripto monedas en el mundo, y por su tipo de estructura se hacen muy atractivas para los hackers. También están los mineros ilegales, que a cambio de su complicidad obtienen grandes ganancias.

Lo hacen a través de una aplicación que se instala en el equipo, específicamente un servidor, que está prácticamente secuestrado para seguir colaborando en la plataforma de emisión de cripto monedas y como parte de eso te pueden llegar a retribuir, con más ganancias. Esto en un principio, por la modalidad de cómo trabajan, no parece nada extraño, porque este tipo de actividad es usual, pero deja de serlo cuando utilizo capacidades de cómputo de terceros.

Dónde fueron los primeros sitios donde detectamos actividades de ese tipo: lo detectamos en Servicios de Nube, porqué -nuevamente regresemos a año y medio, dos años atrás- estábamos en inicio de pandemia, muchas empresas comenzaron a hacer adopción acelerada de plataformas de nube. ¿Cuál fue el problema con esa adopción acelerada? Casi todas las empresas comenzaron a adoptarla sin tomar consideraciones de seguridad, como ya las veníamos teniendo en plataformas más estandarizadas como la de los data centers tradicionales.

Entonces, al hacer esa adopción, dejaron huecos de seguridad que eran fácilmente aprovechados por estos terceros, para vulnerarlos, instalarles estas aplicaciones en sus servidores en la nube, y utilizaban esa capacidad de cómputo. La pregunta inmediata es ¿y cómo se enteraron las empresas vulneradas? Pues lamentablemente porque sus costos comenzaros a subir, como estas aplicaciones piratas, venían consumiendo muchos recursos, sobre todo los de procesamiento, sus consumos en la nube ya nos lo podían controlar.

Así fue como los detectaron. Ayudamos a muchas de estas empresas a hacer una mitigación a principios de la pandemia. ¿Qué fue pasando con el transcurso de los meses? Que esto ya no solamente comenzó a producirse en la nube, sino lo empezamos a ver en las plataformas más tradicionales, en los data centers tradicionales, por el tema de administración de acceso, muchos operarios o técnicos externos, comenzaron a acceder a los data centers, porque los gestores de TI trabajaban de manera remota, y probablemente no tenían medidas o capacidades de visibilidad de lo que estaba sucediendo ahí.

IT/USERS: Bueno, qué preocupante esta nueva modalidad porque implica, que a pesar de que hace tanto tiempo que se viene hablando de ciberseguridad, nuestro medio va a cumplir 24 años hablando de ciber seguridad, de las famosas “brechas” o “backdoors” y pareciera que les hubiera entrado por una oreja y salido por la otra, cómo es posible que con el avance que tiene la tecnología, con tantos mecanismos que hay para tener en salvaguarda, las redes empresariales, sucedan estos casos…

J.C.: Antes, la aproximación de muchas empresas eran el poner dispositivos de control de la seguridad y esperaban que con eso fuera suficiente y hasta ahora existen esas empresas que tienen ese tipo de aproximación, mecanismos de control y con su gestión creer que eso era suficiente.

Hoy, la aproximación empezó a cambiar, porque esos mecanismos de control y en lo personal, me gusta hacer paralelos con la seguridad física, y hay que tener en cuenta que esos mecanismos siempre son factibles de ser violados. Siempre habrá alguien que encontrará la forma de sortearlos, no importa que tan buenos sean, no importa que tan evolucionados sean, siempre los delincuentes encontrarán la forma de pasarlos y eso es lo que ha venido sucediendo. ¿Qué es lo que están empezando a hacer las empresas ahora? No es que dejen o descuiden esos mecanismos de control, sino hacerles la vida más difícil a la ciber delincuencia, porque siempre habrá alguien con la capacidad suficiente, con los recursos suficientes, para vulnerarlos.

Entonces, ¿cuál es mi labor? Mi labor es detectar eso lo más pronto posible. Y efectivamente, debes tener en cuenta que te estás enfrentando ya no solo a una persona, típicamente es un grupo de personas…

IT/USERS: Una “organización criminal” …

J.C.: Es una organización que además actúa en complicidad con otras organizaciones, cuyo único fin es buscar y aprovecharse de las vulnerabilidades. No olvidemos que, desde el año pasado, comenzamos a escuchar el concepto de “vulnerabilidades de Día Cero”. Detrás de este concepto se ha descubierto una vulnerabilidad y las compañías liberan sus parches, intentando de reducir las posibilidades que nosotros como clientes, como usuarios, sea el rol que tengamos; pero lo cierto es que cuántos de nosotros tenemos una práctica, una costumbre de pensar en la ciber seguridad, a nivel personal incluso. Entonces a nivel corporativo, que es más difícil, todavía de realizarlos, el nivel de exposición, puede ser de algunos días, esas ventanas de tiempo, generan estas posibilidades de vulneración de las empresas.

IT/USERS: ¿Cuál es el eslabón débil por el cual aprovechan estos ciber delincuentes para ingresar a las redes privadas?

J.C.: Por nuestra experiencia hemos detectado, muchos posibles eslabones débiles…

IT/USERS: ¿Una “coladera”?

J.C.: No lo definiría exactamente así, tampoco afirmaría que entran por el eslabón más débil. Tradicionalmente siempre se ha dicho que el usuario, que es la persona, el eslabón débil; en este nuevo escenario, no es necesariamente el único eslabón débil, son temas muy difíciles de superar como estas “vulnerabilidades de Día Cero”. Piénselo desde el punto de vista de una empresa que sus aplicaciones tienen que trabajar bien entre ellas, si liberas una actualización de seguridad hoy, antes de poderla aplicar, tengo que probar que funcione bien con el resto de mis aplicaciones. Este proceso, claramente puede ser considerado como un eslabón débil, es un momento de posible debilidad…

IT/USERS: Se “baja la guardia” …

J.C.: Efectivamente se baja la guardia, pero no es porque no estés atento, no es porque tus defensas estén bajas, sino porque se está buscando mejorar las mismas y es precisamente en ese momento que te conviertes en vulnerable. Por eso es que la aproximación de la seguridad de las empresas comenzó a cambiar, ya no significa que debo mantener mi guardia siempre arriba, sino que por alguna razón esas defensas son vulneradas, debo enterarme rápidamente que fueron vulneradas…

IT/USERS: Una capacidad de reacción…

J.C.: Claro, para reaccionar, primero tengo que detectar. Recuerdo estadísticas de hace más de dos años, qué se decía: muchas empresas han sido vulneradas y no se enteran que lo han sido sino hasta después de un año. Esa era la estadística. Con la analogía que usted utilizó, es una “coladera” y no se enteraron hasta después de un año. Parece increíble, pero esa es la realidad. Con el tiempo, ese periodo de un año ha comenzado a reducirse porque cambiamos la aproximación, sabemos la posibilidad que tenemos de ser vulnerados, hemos tomado medidas para reforzar los eslabones, claramente y aquí estoy generalizando como la Industria de la Tecnología.

¿Eso es suficiente? Claramente eso no es suficiente, entonces también decimos: si nuestros atacantes trabajan de manera coordinada, ¿qué tenemos que hacer nosotros como Industria? Tenemos que trabajar de manera coordinada, entramos a tallar nosotros proveedores de servicios complementando con lo que vamos aprendiendo y que voy viendo en la realidad, para que esto siga funcionando bien. Además, se crea todo el ecosistema de lo que se puede llamar “Inteligencia de Amenazas”, donde si tu empresa detectó un incidente, pasas de pensar que el resto de la comunidad no va a tener la necesidad de enterarse a comenzar a compartir ese conocimiento para que la comunidad tome precauciones y además te ayude a ti a defenderte mejor. Si el atacante no es uno solo, es una comunidad de atacantes, nosotros también debemos comportarnos como una comunidad.

Esta nueva modalidad de ataque hacia las empresas también se detectó en páginas en Internet que la están utilizando. Como usuario visito una página y resulta extrañamente que esta página no tiene mucha publicidad, o casi nula; pero también comienzo a notar un indicador que parece trivial, cuando navego por esa página mi máquina comienza a calentarse, porque el procesador de mi PC, de mi Laptop, de mi teléfono, comienza consumir más. En realidad lo que está haciendo, mientras tú vas viendo estas aplicaciones tipo JavaScript, dentro de eso te están poniendo fragmentos de código para hacer cripto mining , entonces tú como visitante, estás consumiendo un contenido, válido probablemente, pero detrás de esa página está utilizando el procesador de tu Laptop sin tu autorización.

IT/USERS: ¿A quiénes les están robando las cripto monedas?

J.C.: No se trata de robo de las cripto monedas, se trata de la utilización de tus recursos de procesamiento…

IT/USERS: Viene a ser como utilizar a un millón de PCs para hacer minería de cripto monedas… Esto no es un concepto nuevo, antes se hacía para propagar spam, o virus, qué capacidad de los hackers de reinventarse…

J.C.: Efectivamente, por eso es que el cliente mencionaba, que éstas son organizaciones que trabajan de manera conjunta. Hay organizaciones que su única labor es encontrar problemas de seguridad, en algún equipo, sea de una empresa, sea de una persona, sea lo que sea, e introducir en este equipo un aplicación que espere un comando, para recibir otra aplicación, esa otra aplicación la pone otra organización criminal, Por ejemplo, yo soy una organización que me dedico a robo de información y te voy a poner ransonware, tú la capturaste, eres el primer eslabón de esa cadena criminal, que ya vulneraste a alguien. Entonces yo entro a instalar Ransomware, o instalo una aplicación que va a lanzar ataques a terceros, no, ahora yo uso una empresa que hace cripto mining, son cadenas. Son modalidades parecidas a las que veíamos antes, claramente son similares, porque comienzas a verificar para qué realmente las usan los ciberdelincuentes.

IT/USERS: Antes se usaban, para, por ejemplo, propagar spam con enlaces maliciosos… pero esas cripto monedas son ¿legales o ilegales?

J.C.: Son legales, entonces cuál es el concepto, todas estas plataformas de emisión de cripto monedas tienen una plataforma de emisión que es legal, y tiene un procedimiento legal en el cual, uno como colaborador puedes optar por el rol de “minero”, o “criptominero”. Haciendo una analogía con el mundo físico, uno como minero trabaja para extraer el mineral. Entonces, ahora cómo yo trabajo como un minero de monedas digitales: trabajo contribuyendo con mis capacidades de cómputo, la plataforma tiene mecanismos de recompensa para los mineros que colaboran con ella, piénselo, ese es el modelo formal, legal y autorizado.

Ahora, piénselo como un delincuente; ahora como incremento yo mi capacidad de ser recompensado, mientras más capacidad de cómputo tenga, y yo no la quiero pagar, porque soy un delincuente, entonces capturo capacidad de terceros, ése es el espacio que están aprovechando. Otra vez, esto no es una modalidad de estafa, no son monedas ilegales, el robo consiste en sacar provecho personal, de las capacidades de cómputo de terceros.

IT/USERS: Volviendo a las analogías con el mundo físico, es como una especie de parasitismo, un parásito que se te mete dentro del organismo, como si tuvieras una lombriz, te alimentas, pero nunca subes de peso…

J.C.: Efectivamente, es como una especie de parasitismo, claramente.

IT/USERS: ¿Y qué está haciendo Lumen?, ¿con qué herramientas Lumen está ayudando a sus usuarios a mitigar estas amenazas avanzadas?

J.C.: Nosotros estamos trabajando en dos frentes; el primero es nuestra Unidad de Investigación de Amenazas Lumen Black Lotus Labs, lo que estamos consiguiendo es que la Industria comience a comportarse de una manera colaborativa para compartir información. El alcance de nuestra Unidad es a nivel global y colabora con otras unidades equivalentes de otras empresas, instituciones del Estado, de diferentes Estados de la región y del Mundo, para indagar, hacer análisis y ver la forma de como detener este nuevo tipo de amenaza. Si tú no puedes parar la consecuencia, paras el origen, eso es parte de lo que estamos haciendo: investigación y colaboración.

Lo segundo que estamos haciendo ya es parte de nuestra actividad, como proveedor de servicios de allí lo que estamos haciendo es ayudar a las empresas a hacer estas tres cosas que típicamente las empresas tienen que hacer: protegerse, generar barreras que sean lo suficientemente difíciles de flanquear para aminorar tus riesgos, uno; dos, si te han llegado a vulnerar ayudarte también a la pronta detección y tres, cómo te ayudamos a recuperarte de esa vulneración.

IT/USERS: Una pregunta algo futurista: está no tan a la vuelta de la esquina, pero quizás dentro de muy poco, quizás antes de cinco años, comencemos a ver los primeros ordenadores cuánticos, ¿Qué va a pasar cuando los ciberdelincuentes utilicen el poder de la computación cuántica?… Sí ahora con los actuales procesadores, ya estamos hablando de por debajo de los 7 nanómetros y GPUs de miles, hasta cientos de miles de cores, y todo eso es un preludio de lo que se viene. Hace poco publicamos una noticia acerca de Amazon, sobre su primer ordenador cuántico… ¿qué va a pasar cuando esta tecnología caiga en manos de los ciberdelincuentes?

J.C.: ¿Qué va a permitir un ordenador cuántico? Tenemos un archivo que contiene información importantísima y la encripto, de forma que, si alguien toma una copia, no pueda saber de qué se trata, o el disco duro de mi laptop, también lo tengo encriptado para que, si alguien se llega a robar mi laptop y quiere usar ese disco para ver qué cosa tengo yo guardado, no lo pueda leer.

Entonces, los mecanismos de encriptación que es la codificación de los datos, que nosotros guardamos en nuestros dispositivos, hoy son muy difíciles de romper, porque con la capacidad de cómputo que manejamos hoy. Tomarían muchísimos años, estoy hablando de decenas de años, en poder romper esa clave y poder decodificar eso que está encriptado.

Entonces es un desincentivo importante, porque que si resulta que de acá a 15 años esa información ya no tiene validez y nadie va a gastar esa capacidad de cómputo y ese tiempo en algo que ya no tendrá validez, cuál es el riesgo de la Computación Cuántica, que Usted menciona, esta diferencia de decenas de años se reduce a unos días. ¿Cómo me protejo contra eso?  Se tiene que cambiar la forma cómo almaceno la información, porque si la sigo almacenando de la misma forma va a ser muy difícil, con estas formas de trabajo tipo blockchain.

Cómo puedo desencriptar algo fácilmente es que, si lo tengo todo junto, como Usted sabe, estas redes distribuidas como el Blockchain, la emisión de monedas digitales y demás en donde la información no está consolidada en ningún lado y que para reconstruir algo, tienes que juntar a múltiples nodos o equipos que colaboran como parte de esa red, que son todos estos nodos que contienen esa información distribuida. ¿Eso hace imposible que con la computación cuántica esto se pueda romper? No, para evitar que se pueda violar esa data, haces la información tan compleja para que se vuelva impráctico. Por eso que se comienza a ver mucho impulso desde ese lado: vuelo a reiterar, blockchains, redes de computadores colaborativos, que finalmente lo que terminaba haciendo es hacer más difícil una actividad de este tipo.

Es muy innovador, claramente no, estás utilizando conceptos antiguos.

IT/USERS: Ya desde hace 10 años atrás se hablaba del Grid Computing…

J.C.: Pero incluso viendo los sistemas de discos actuales, no los que tenemos en nuestras laptops sino los que utilizamos en nuestros servidores corporativos, parten de ese principio múltiples discos en el sistema, cada dato que yo escribo, lo parto en sub-pedazos y lo grabo en múltiples de estos discos, gano performance, pero también gano seguridad. Si se roban un disco no hay nada que se pueda reconstruir, porque se tendrían que robar todos los discos. Pero qué pasa cuando este sistema de discos está en una sola instalación, sino es un sistema distribuido, que une múltiples equipos que están dispersos en la red, por ahí alguno puede ser vulnerado, vas a ingresar, pero no vas a poder utilizar nada de lo que ese dispositivo tenga, porque para hacerlo tendrías que comprometer a toda la red.

IT/USERS: ¿Cómo le llaman a este concepto, más allá de la colaboración?

J.C.: Se le conoce como computación distribuida.

IT/USERS: En este caso, la “unión haría la fuerza” …

J.C.: Claramente, definitivamente.

IT/USERS: Para finalizar su reflexión, hay mucho interés en la gente por las cripto monedas. Hay un país centro americano que ha adoptado como divisa al Bitcoin, nos imaginamos que ahora deben estar “arrancándose los pelos” de desesperación porque seguramente por ahí, por algún lado deben estar robando a alguien, sin que ellos los sepan, sus capacidades computacionales…

J.C.: Efectivamente, y como reflexión final es que nosotros tenemos que invertir en una cadena de protección. No es que haya un solo eslabón débil, nosotros tenemos que asegurarnos que todos los eslabones sean fuertes, cuáles son: tenemos que profundizar en las medidas de protección, tenemos que invertir en nuestra capacidad de detección, tenemos que invertir en nuestra capacidad de resolución, pero también necesitamos de gente que esté en capacidad de utilizar correctamente toda esa tecnología y eso parte de nuestros usuarios, de nuestros especialistas. Además, no “estamos solos”, no somos “entes aislados”, somos parte de un ecosistema, mientras mejor y más rica sea la información que compartimos, como ecosistema, mejores barreras y capacidades de protección vamos a tener ante las organizaciones criminales, que nunca descansan y siempre están al acecho para vulnerarnos y hacernos daño.

Acerca de Juan José Calderón

Juan José Calderón se desempeña como Gerente de Seguridad y Data Center, dentro del área de ciberseguridad y centro de datos desde el año 2012. En este cargo, es líder de soporte de ventas para estos servicios. Bajo su cargo, el Data Center de Lumen Perú recibió la Certificación Tier III de Documentos de Diseño concurrentemente mantenibles del Uptime Institute. La certificación reconoció los altos estándares de diseño en la infraestructura y capacidad del data center.

Calderón estudió ingeniería de tecnología de la información en la Pontificia Universidad Católica del Perú. Además cuenta con un MBA en Gerencia Empresarial Estratégica de Centrum.

Apoya al Periodismo Independiente


Dona-con-Yape-itusers

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuarlo!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Translate »
A %d blogueros les gusta esto: