Felices fiestas, prepárense para cyberataques

Desafortunadamente se ha creado una nueva tradición a nivel mundial donde hackers de muchas latitudes especialmente, chinos o koreanos, han comenzado a aprovecharse de las épocas decembrinas para comenzar sus ataques. Esto, aunque no es nuevo, yo personalmente lo he experimentado. Hace 1 año exactamente el 25 de diciembre una de mis apps comenzó a dejar de funcionar. Los datos de acceso habían sido eliminados, las bases de datos violadas y los backups destruidos. El acceso al programa no estaba comprometido y el código estaba intacto pero los datos habían sido secuestrados por un grupo de chinos que lo único que dejaban era un registro con un hash de bitcoin. El monto era de 0.5 bitcoin que para el tiempo era poco, pero de todos modos nada nos daba la seguridad de recuperar la información. Para el día 31 de diciembre ocurrió lo mismo con muchos más de otros de nuestros productos. Las horas de operación son cercanas a las horas de festejos (7PM en adelante, en hora de US América Central). Afortunadamente nuestro sistema de respaldo alterno funciono y logramos recuperar las estructuras básicas y después de unas semanas restablecer todos los sistemas.

Definitivamente esto ira al alza año con año y que con el precio de bitcoin creciendo los grupos de ciberataque ven una buena oportunidad para aprovecharse durante la época floja del año. De ahora en delante debe ser necesario tener precaución adicional al momento de tomar un pequeño descanso durante esas fechas en específico. Los ataques más comunes son los siguientes:

Bruteforce : Básicamente otro sistema prueba una por una usuarios y contraseñas. Permite mediante el acceso usando de listas de passwords bien seleccionadas. Para solucionarlo es requerido que todo lo que accedamos sea mediante 2Auth o ssh. También hay técnicas antiguas de “port knocking” que pueden funcionar. Wordpress, sistemas de db, de administración como phpmyadmin, django admin, mongo son muy susceptibles a esto. Les recomiendo usar firewalls y desactivar siempre la salida de paneles de administración. Se ha reportado un aumento enorme en sistemas de Wordpress en este tipo de ataque.

RootKits o Plug ins infectados: Esto ocurre cuando por usar algún plug in de dudosa procedencia o una librería esta viene con código malicioso que afecta a nuestro sitio o da acceso a alguien tercero. Por ejemplo un plug in de wordpress con monero para minar usando las visitas de tu website o que redirija a otro sitio usando inyección de javascript. Tenemos que tener mucho cuidado y ver que librerías usamos especialmente revisar su código si estas son open source.

Fallo por usar configuración por defecto o siguiendo tutoriales: Muy noob, aunque a todos les ha pasado. Si seguimos un tutorial en internet muchas veces copiamos el código de configuración del ejemplo. Al copiar no nos fijamos y dejamos configuraciones que muchas veces los profesores dejan para facilitar a los estudiantes el entendimiento del concepto. Por ejemplo si activan https desactiven http, o dejar habilitada la contrasena por defecto.

DDOS : Últimamente muy comunes. “Hackers” suele enviar correos amenazando de ataques DDOS. Al no depositar el dinero atacan a este sitio a cambio de una cantidad en bitcoin. No es un hackeo pero si es muy molesto tener que lidear con esto. Yo siempre recomiendo usar cloudflare para blindar la ip del producto y redirigir el trafico de DDOS en caso de que se decidan atacar. Desde mi punto de vista los hackers latinos no tienen un gran poder de DDOS que no podamos defender.

Malaware: Este crece día con día. Es el método más popular entre las personas físicas. El uso de memorias USB y p2p han hecho que se prolifere software que eventualmente se ejecuta y convierte a nuestro equipo en una máquina de ver ads, minar bitcoin o un zombie para DDOS. Ahora está la nueva modalidad de Ransomware que básicamente encripta nuestros datos y solicita recompensas. Les recomiendo tener cuidado de no instalar software del que no confían. Este tipo de software siempre se activa cercano a fechas decembrinas y puede bloquear fuertemente sistemas empresariales.

Llaves filtradas en repositorios: Este es el más fácil de evitar pero es muy común. Ocurre cuando a un desarrollador deja en código las llaves de el acceso a un sistema de mail a las db, u otro server por ssh o a un ip con apiKey. Los bots de los hackers en GitHub no dejan de escapar ninguna oportunidad y la copiaran para que en el futuro las usen para enviar spam o robar y secuestrar tus datos a cambio de dinero. Con un push mal intencionado ya se encuentran vulnerables. Usen variables locales y eviten usar GitHub público para proyectos de clientes.

Personalmente he pasado por todos estos casos que les menciono. Nada es seguro al 100% y si tienen el suficiente cuidado pueden evitarlo, pero asegúrense de que esta correctamente bien configurado su sistema para que pasen unas lindas fechas decembrinas.

Like what you read? Give Arturo Jamaica a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.