Según datos del ESET Security Report, que da a conocer el estado de la seguridad corporativa en Latinoamérica, el Perú ocupa el segundo lugar (16,6%) en detecciones de phishing, un ataque que busca robar usuarios y contraseñas, datos bancarios y de tarjetas de crédito.

Cecilia Pastorino, Security Researcher de ESET Latinoamérica, informó que el estudio también revela que nuestro país registra el 39,9% de las detecciones de Malware en Latinoamérica. “Si un usuario ha sido víctima de un ataque de Ransomware, desde ESET le recomendamos nunca pagar por un rescate, pues debemos recordar que la negociación será con un ciberdelincuente. Pagar por un rescate lo único que genera es que este negocio sea más redituable y continúe. Para no pagar necesitamos estar protegidos”, afirmó.

El Ransomware es un código malicioso que secuestra la información del usuario, bloqueando su acceso o cifrando los archivos, y a cambio piden dinero por el rescate. “En ESET hablamos de detecciones. Si tenemos mayor cantidad de detecciones, podemos creer que la amenaza se propaga más. Solo en el 2016 vimos 48% de detecciones más de familias de Ransomware en Latinoamérica que en 2015”, sostuvo.

En esta era del Internet de las cosas, la conectividad viene en aumento, cada vez tenemos más usuarios conectados. Por ello, Pastorino brinda 5 recomendaciones importantes que no debemos descuidar:

1. Mucho foco en la educación, no esperar otro WannaCry. Necesitamos hablar de seguridad para estar preparados.
2. Tener las herramientas para hacer frente a estas amenazas. Hace falta un buen sistema de seguridad, no solo para computadoras, sino para todos los dispositivos, por ejemplo los móviles.
3. Actualizaciones de seguridad. Los códigos maliciosos no funcionan solos, se basan de vulnerabilidades, si el sistema operativo esta desactualizado, puede comprometer la seguridad del dispositivo.
4. Backup. Tener nuestra información siempre resguardada.
5. Contar con un buen aliado en tecnología y seguridad.

Por su parte, Jorge Zeballos, Gerente General de ESET Perú, recordó que en el Peru la inversión en seguros de activos digitales no supera los cien millones, y menos del 1% del presupuesto de las empresas está destinado a capacitar a sus empleados en ciberseguridad. “ESET cumple 30 años innovando y prestando al mundo tecnología y seguridad. Brindamos soluciones y estategias de mitigación de daños, en cuanto a atques de seguridad”, indicó.

Para conocer de manera gratuita los detalles de cómo los cibercriminales actúan y generan daño a las organizaciones, Zeballos anuncó el ESET Security Day 2017, el ciclo de eventos corporativos de Seguridad de la Información que ESET realiza a lo largo de Latinoamérica por séptimo año consecutivo, y de manera global desde el año 2014. Este jueves 10 de agosto en el Hotel Los Delfines (Lima), el martes 15 de agosto en el Hotel Hilton Garde Inn (Cusco) y el viernes 18 en el Hotel Casa Andina Standard (Arequipa). Mas información: https://www.esetsecurityday.com/

DATO: Historia del Ransomware

• Reveton 2012 – Suplantaban la identidad de la policía del país atacado, bloqueando la pantalla y/o el administrador de tareas.
• Cryptoloka 2013 - Cifrado asimétrico hasta RSA (las claves no estaban dentro del código malicioso) 2048bits (ultimas variantes). El pago del rescate se realiza con Bitcoins.
• CTB Locker 2015 - Más de 200 mil usuarios afectados en Latinoamérica. Usaba algoritmo simétrico para cifrar archivos e incluía un tiempo de pago.
• WannaCry 2017 - Utiliza la vulnerabilidad de Windows para propagarse. Cifra los archivos del usuario infectado, escanea el resto de la red y busca equipos vulnerables. En el ataque del mayo 2017 en los primeros 3 días, se registraron 300 mil afectados en el mundo.

Entrevista a Cecilia Pastorino, Security Researcher de ESET

¿En términos de seguridad informática cuál es el mejor leguaje de programación?

Todos los lenguajes son buenos y cada uno tiene sus pros y contras; depende mucho de lo que busque el programador. Si pensamos en móviles, se usan lenguajes como Java para Android.

Java es muy versátil y puede ser usado en distintos sistemas operativos. Si hablamos de seguridad informática no se trata tanto de un lenguaje de programación sino de una forma de programación: no importa el lenguaje que se utilice sino de que manera se programa. Si programamos de forma segura, usando algoritmos probados y también probamos nuestras propias aplicaciones, ni haciendo las cosas de forma apurada y descuidada entonces estará bien lo que hacemos.

XSS es un tipo de vulnerabilidad que usa a los navegadores web para engañar a los usuarios y esto es conocido hace muchos años; sin embargo, muchas páginas web siguen siendo vulnerables a esto. Debemos de incluir en nuestra política de testing, los test de seguridad para corregir todas las vulnerabilidades lo antes posible.

Muchos desarrolladores prefieren tener un código sofisticado, no legible, ¿qué podría causar esto?

Es importante que el código sea seguro. La ofuscación nos permite dificultar que terceros lean el código; sin embargo, si un programador quiere demostrar que tiene un buen nivel, debe pensar en la seguridad. Su código ofuscado, difícil de leer, que nadie más lo pueda entender, pero lleno de vulnerabilidades, tarde o temprano los atacantes podrán explotar su software.

Las vulnerabilidades que más encontramos son por medio de herramientas automatizadas, una gratuita es WPScan para WordPress. En OWASP podemos encontrar herramientas de este tipo.

En casos de equipos de trabajo, los códigos legibles son especialmente importantes porque no sabemos quienes lo van a mantener a futuro.

Un buen programador no debería de preocuparse por esconder su código sino por hacerlo robusto y seguro, pensando a futuro, que sea posible que otras personas lo puedan actualizar.

¿Cuáles son los límites de los lenguajes de programación, todos tienen el mismo nivel de acceso al sistema?

Todos van a tener librerías que de alguna manera tienen control del sistema operativo. En el caso de Android, si yo desarrollo un juego sencillo, esta aplicación no tiene por qué solicitar acceso a la cámara y archivos del dispositivo ya que esto no es necesario.

Muchas veces en Android los programadores desarrollan una aplicación pero por las dudas solicitan permisos innecesarios. Hay lenguajes de bajo nivel y de alto nivel, pero todos al final se traducen en assembler.

Cuando nosotros hacemos ingeniería reversa de código malicioso, vemos los códigos fuente y en algunos casos vemos el código ofuscado, en este caso la única forma de continuar es llegando a assembler.

La mejor forma de programar seguro es usando sólo lo necesario no pedir acceso innecesario.

¿En términos de seguridad informática debemos pensar en lenguajes únicamente disponibles para Windows o también para macOS?

Hemos visto código maliciosos para macOS. Algo que estamos viendo mucho son códigos maliciosos programados en un lenguaje llamado AutoIt que es fácil de ofuscar.

Algo que sabemos es que los lenguajes compatibles con macOS son mucho más limitados que los lenguajes compatibles con Windows por ello se ve menos códigos maliciosos.

La cantidad de usuarios en Windows es mucho mayor por eso los atacantes se centran principalmente en este sistema operativo.

¿Qué tipo de formación académica deben tener las personas que desean ser parte del equipo de análisis de malware de ESET?

Deben tener conocimientos de programación, muchas ganas de aprender y también una base en cuanto a sistemas operativos porque debemos saber sobre manejo de memoria y el uso de recursos del sistema operativo.

Nosotros tenemos un curso online de Análisis de malware en la Academia de ESET. En el análisis dinámico, ejecutamos los códigos maliciosos en un entorno controlado, podemos comparar los cambios en el sistema operativo con herramientas.

El análisis estático sí requiere de conocimientos profundos de programación ya que aplicaríamos ingeniería reversa del código. En el caso de malware creado con AutoIt es posible ver su código y determinar qué es lo que hace el programa.

La otra forma más avanzada es pasar todo a assembler para ver instrucción por instrucción lo que hace ese código malicioso al ejecutarse en el equipo, así determinamos los valores en memoria que son modificados y todas sus acciones.

No necesario que estas personas sean ingenieros de sistemas, pueden tener otras carreras, pero lo importante es tener ganas de aprender ya que se pasan muchas horas analizando las amenazas.

Kaspersky lanzó la versión gratuita de su antivirus, ¿cómo responderá ESET?

Sin referirme directamente a Kaspersky, los antivirus gratuitos suelen tener una protección básica que no es suficiente. Ya no hablamos de antivirus sino de soluciones integrales de seguridad porque se trata de un conjunto de protección que impide la infección de nuestro equipos.

Contamos con un antimalware, también se actualizan los equipos con parches de seguridad, detectamos páginas fraudulentas, tenemos módulos antispam, etc.

Windows Defender no es suficiente, porque los equipos que no estaban actualizados y tenían Windows Defender igual eran afectados por WannaCry.

Es mejor tener un antivirus gratuito a no tener nada; sin embargo, para nosotros esto no es suficiente porque vemos más de 300 variantes de malware por día, esto es algo que crece muy rápido y es imposible tener firma para todo.