Con la llegada del año nuevo es momento de fijar nuevos objetivos y emprender nuevos proyectos. No obstante, también es un momento adecuado para hacer balance del tiempo que dejamos atrás. Por ello, en Áudea Seguridad de la Información han querido hacer un resumen de los incidentes de ciberseguridad más destacados de 2016. ¿Fue aquel un año “ciberseguro”?
Objetos cotidianos hackeables
En 2016 hemos visto como casi cualquier dispositivo conectado a Internet es potencialmente hackeable. Desde hace ya varios años venimos viendo cómo muchos usuarios optan por tapar su webcam con un post-it o un trozo de papel para evitar que les espíen por esta vía, pero en este año que dejamos atrás hemos descubierto que otros objetos cotidianos como algunos altavoces, coches y juguetes infantiles pueden ser hackeados.
Y es que los altavoces (y también cascos y auriculares) pueden ser utilizados como dispositivos de entrada de audio aprovechando una característica de los chips de Realtek, que permiten tanto la salida como la entrada de audio. Así lo ha demostrado un grupo de investigadores, lo que indica a su vez la existencia un vector de ataque que previsiblemente será o estará siendo utilizado por hackers malintencionados para espiar las conversaciones de los usuarios.
Otro grupo de investigadores también logró hackear el Tesla S y activar el freno y otros elementos del coche de forma remota. Los detalles técnicos de las vulnerabilidades descubiertas fueron reportados a la marca automovilística, que confirmó las deficiencias y tomó acciones para repararlas.
Por otro lado, algunos modelos de juguetes conectados a Internet presentan severas vulnerabilidades. Es el caso de Mi amiga Cayla, una muñeca en la que es posible que una persona, de forma remota y a través de su smartphone, pueda hablar a través de ella y escuchar lo que se está diciendo en el entorno de la misma. Este juguete conectado a Internet, y otros como el robot I-Que y Hello Barbie, siguen en el mercado a pesar de que la Organización de Consumidores y Usuarios (OCU) recomienda a los padres no comprar este tipo de juguetes a sus niños y pide a las autoridades españolas que investigue si violan la normativa europea de protección de datos.
Campañas de phishing y bulos
El phishing, los bulos transmitidos a través de aplicaciones de mensajería instantánea, los emails fraudulentos y los enlaces engañosos forman parte del día a día de Internet. En 2016 en el blog de Audea se informó de diversas campañas de phishing que utilizaban como cebo la imagen de marcas como Mercadona, Carrefour, Netflix, Microsoft, Apple o WhatsApp con fines diversos como adquirir sus datos personales, sus credenciales de acceso, su información bancaria o incitar al usuario a hacer click en un enlace que dirige a un virus… Si eres cliente de Apple, aprende cómo evitar el phishing en tu cuenta.
También se ha informado de la circulación de bulos construidos en torno a historias de lo más variopintas, en relación a los cuales solo podemos hacer nuestra la recomendación de Policía Nacional: #StopBulos, por favor. En definitiva, campañas como estas nacen y mueren cada día y nada apunta a que en 2017 vaya a ser diferente.
Ciberseguridad en empresas
Incluso las grandes corporaciones son un blanco habitual de los ciberatacantes. Así pues, en diciembre de 2016 Yahoo confirmó haber sido víctima de un hackeo a gran escala en el que los atacantes habrían conseguido robar información de más de mil millones de cuentas de usuario. 2016 también fue el año en el que dos grandes portales de citas, Ashley Madison y BeautifulPeople, fueron hackeados y la información de miles de sus usuarios, filtrada y publicada. También presenciamos lo que muchos consideran el mayor ciberataque de los últimos años: una ofensiva contra la empresa Dyn (dedicada a la gestión del DNS) afectó a la disponibilidad del servicio de grandes de Internet como Spotify, Amazon, Twitter, NetFlix, PayPal, la CNN o The New York Times. The World Hackers se atribuyó la autoría, al igual que también dijeron estar detrás del hackeo a la National Security Agency (NSA) en agosto del año pasado, en el que se vieron filtrados algunos de los exploits de la agencia americana.
Asimismo en 2016 supimos que la red bancaria global SWIFT, usada para transferencias millonarias, estaba sufriendo una serie de incidentes cibernéticos y que las campañas de phishing también se ejecutan sobre emails corporativos. Y es que un grupo de cibercriminales defraudó alrededor de tres millones de euros enviando correos a empleados del departamento financiero de diversas empresas en los que se hacían pasar por altos cargos de la compañía en la que trabajan y les solicitaban que hicieran una transferencia a una cuenta.