Nota Bene

Primero, una breve introducción…

El 10 de septiembre, el ransomware DoppelPaymer cifró 30 servidores de un hospital en la ciudad alemana de Dusseldorf, por lo que el número de pacientes se redujo drásticamente. Hace una semana, debido a esta reducción, el hospital no pudo acoger a una paciente que necesitaba una operación urgente y tuvo que enviarla a un hospital de una ciudad vecina, pero, desafortunadamente, la paciente falleció en el trayecto. Se trata del primer caso conocido de una pérdida humana como resultado de un ataque de ransomware.

La situación es muy triste, sobre todo si lo analizas más de cerca: un “accidente” mortal (asumiendo que los atacantes no previeron que sus horribles acciones causaran una muerte); también hubo un claro descuido del seguimiento de las reglas básicas de higiene de la ciberseguridad y una incapacidad por parte de las autoridades encargadas de cumplir la ley para contrarrestar con éxito a los delincuentes organizados involucrados en el ataque.

Los ciberdelincuentes atacaron la red del hospital a través de una vulnerabilidad (también conocida como Shitrix) en los servidores Citrix Netscaler, que fue parcheada en enero. Parece que los administradores del sistema esperaron demasiado para instalar el parche y, mientras tanto, los malos pudieron penetrar en la red e instalar una puerta trasera.

Eso es todo lo que sabemos. A continuación, continuaremos con una conjetura que no se puede confirmar, pero que parece algo probable…

No se puede descartar que, después de algún tiempo, el acceso a la puerta trasera se vendiera a otros ciberdelincuentes de foros clandestinos como “acceso a una puerta trasera en una universidad”. De hecho, el ataque estaba inicialmente dirigido a la Universidad Heinrich Heine, cercana al hospital. Y a ellos ser dirigían los chantajistas en su correo, en el que exigían un rescate a cambio de restaurar los datos que habían cifrado. Cuando los ciberdelincuentes descubrieron que se trataba de un hospital, no una universidad, rápidamente entregaron todas las claves de cifrado (y desaparecieron). Parece que enviar troyanos a los hospitales no resulta tan atractivo para los ciberdelincuentes: se consideran activos demasiado “tóxicos” (como se ha demostrado de la peor manera: con la muerte).

Es probable que el grupo de habla rusa, Evil Corp, esté detrás de DoppelPaymer, un grupo con docenas de ciberdelincuentes de alto perfil (incluso en la red de Garmin). En el 2019, el gobierno de EE. UU. emitió una acusación contra las personas involucradas en Evil Corp y ofreció una recompensa de cinco millones de dólares por ayudar a atraparlos. Lo curioso es que se conocen las identidades de los delincuentes y hasta hace poco habían estado fanfarroneando y mostrando su vida de gánster ostentoso, incluso en las redes sociales.

Fuente

Seguir leyendo:Ransomware: ¡ya basta de bromas!

Parece que mucha gente piensa que los coches del siglo XXI son dispositivos mecánicos. Sí, se ha añadido algo de electrónica para esto y aquello, en algunos más que en otros, pero, aun así, al final del día, se trata de un trabajo de ingeniería mecánica: chasis, motor, ruedas, volante, pedales… La electrónica, “ordenadores” incluso, simplemente ayudan a toda la parte mecánica. Deben hacerlo; después de todo, los salpicaderos actuales están repletos de pantallas digitales, sin apenas botones analógicos a la vista.

Bueno, pues permíteme que te diga que ¡eso no es así!

Hoy en día, un coche es básicamente un ordenador especializado, un “cibercerebro”, que controla la mecánica y la electricidad que tradicionalmente asociamos con la palabra “automóvil”: el motor, los frenos, los intermitentes, los limpiaparabrisas, el aire acondicionado y todo lo demás.

Por ejemplo, antes el freno de mano era 100 % mecánico. Lo activabas tirando de él literalmente con tu “mano” (¡¿te lo imaginas?!) y emitía una especia de chirrido. Hoy presionas un botón. 0 % mecánica. 100 % controlado por ordenador. Y así con casi todo.

Ahora bien, la mayoría de la gente piensa que los coches sin conductor los conduce un ordenador. Pero si hay un humano detrás del volante de un automóvil moderno, entonces es el humano quien conduce (no un ordenador), “¡por supuesto, tonto!”.

Pues… ¡eso tampoco es así!

En la mayoría de los coches actuales, la única diferencia entre los que se conducen solos y los que conduce un humano es que, en el último caso, el humano controla los ordenadores a bordo. Mientras que, en el primero, los ordenadores del automóvil están controlados por otra ordenador principal, central y muy inteligente, desarrollado por compañías como Google, Yandex, Baidu y Cognitive Technologies. Este ordenador recibe el destino, observa todo lo que sucede a su alrededor y luego decide cómo navegar hacia él, a qué velocidad, por qué ruta, etc., basándose en algoritmos mega inteligentes, actualizados por nano segundo.

Una breve historia de la digitalización de los vehículos de motor

Entonces, ¿cuándo comenzó el cambio de la mecánica a lo digital?

Algunos expertos en el campo consideran que la informatización de la industria automotriz comenzó en 1955, cuando Chrysler comenzó a ofrecer una radio de transistores como extra opcional en uno de sus modelos. Otros, tal vez pensando que una radio no es realmente una característica automotriz, consideran que fue la introducción de la ignición electrónica, el ABS o los sistemas electrónicos de control del motor lo que marcó el comienzo de la informatización del automóvil (por Pontiac, Chrysler y GM en 1963, 1971 y 1979, respectivamente).

No importa cuándo comenzó, lo que le siguió fue sin duda más de lo mismo: más electrónica; luego las cosas comenzaron a volverse más digitales y ahora la línea entre ambas tecnologías está borrosa. Pero yo sitúo el inicio de la revolución digital en las tecnologías automotrices en febrero de 1986, cuando, en la convención de la Sociedad de Ingenieros de Automoción, la empresa Robert Bosch GmbH presentó al mundo su protocolo de red digital para la comunicación entre los componentes electrónicos de un automóvil: CAN (controlador de red de zona por sus siglas en inglés). Y hay que darles a esos chicos de Bosch lo que les corresponde: y es que todavía hoy este protocolo sigue siendo totalmente relevante, ¡se utiliza en prácticamente todos los vehículos del mundo!

// Un breve resumen sobre la digitalización automotriz posterior a la introducción de CAN:

Los chicos de Bosch nos ofrecieron varios tipos de buses CAN (baja velocidad, alta velocidad, CAN FD), mientras que hoy existe FlexRay (transmisión), LIN (bus de baja velocidad), MOST (multimedia) y, finalmente, Ethernet (hoy 100 Mbps; en el futuro, hasta 1 Gbps). Ahora, cuando se diseñan los coches se aplican varios protocolos de comunicación. Existe la conducción por cable (sistemas eléctricos en lugar de conexiones mecánicas), lo que nos lleva a los pedales de acelerador electrónicos, pedales de freno electrónicos (usados por Toyota, Ford y GM en sus híbridos y electro-móviles desde 1998), frenos de mano electrónicos, cajas de cambios electrónicas y la conducción electrónica (utilizada por primera vez por Infinity en su Q50 en 2014).

Buses e interfaces de BMW

Seguir leyendo:Ciberseguridad: la nueva dimensión de la calidad del automóvil

Ha pasado mucho, mucho tiempo desde que la humanidad no se enfrentaba a un año como este. No creo haber conocido un año con una concentración tan alta de cisnes negros de diferentes tipos y formas. Y no me refiero a los que tienen plumas. Me refiero a esos sucesos inesperados con consecuencias de gran alcance, según la teoría de Nassim Nicholas Taleb, publicada en el 2007 en su libro El cisne negro: El impacto de lo altamente probable. Uno de los principios más importantes de esta teoría es que, en retrospectiva, los eventos sorprendentes que ya han ocurrido parecen obvios y predecibles; sin embargo, antes de que ocurran, nadie los predice.

Por ejemplo, este espantoso virus que ha tenido al mundo encerrado desde marzo. Resulta que hay toda una extensa familia de coronavíridos, varias docenas de ellos, y se encuentran otros nuevos con regularidad. Los gatos, los perros, los pájaros y los murciélagos los tienen. Los humanos, también. Algunos provocan resfriados comunes. Otros se manifiestan… de otra forma. Entonces, seguramente, necesitamos desarrollar vacunas para todos ellos como lo hemos hecho para otros virus mortales como la viruela, la polio y demás. Claro, pero tener una vacuna no siempre ayuda. Mira la gripe: ¿todavía no hay una vacuna que inocule a las personas después de tantos siglos? Y, de todos modos, incluso para comenzar a desarrollar una vacuna, necesitas saber lo que estás buscando, y eso es aparentemente más arte que ciencia.

Pero ¿por qué te cuento todo esto? Cuál puede ser la relación con… bueno, seguramente se tratará de una curiosidad cibernética o un viaje exótico, ¿verdad? Hoy comenzamos con el primero.

Actualmente, una de las ciberamenazas más peligrosas que existen son las de día cero: vulnerabilidades raras y desconocidas (para la gente de la ciberseguridad y otros) en el software que pueden hacer daños a gran escala, pero que no se suelen descubrir hasta (o a veces después) el momento en el que se explotan.

Sin embargo, los expertos en ciberseguridad tienen medios para lidiar con la ambigüedad y predecir cisnes negros. Y en esta publicación me gustaría hablar sobre uno de ellos: YARA.

En resumen, YARA ayuda a la investigación y detección de malware identificando archivos que cumplen ciertas condiciones y proporcionando una estrategia de reglas para crear descripciones de familias de malware basadas en patrones textuales o binarios. (Oh, eso suena complicado. A continuación, te lo explico un poco mejor). Por lo tanto, se usa para buscar malware similar identificando patrones. El objetivo es poder decir que ciertos programas maliciosos parecen haber sido creados por las mismas personas, con objetivos similares.

Bien, pasemos a otra metáfora, ya que hablamos de cisne negro, sigamos con el agua: el mar.

Digamos que tu red es el océano, que está lleno de miles de tipos de peces y tú eres un pescador industrial que arroja al océano enormes redes para capturar peces, pero solo ciertas especies de peces (malware creado por grupos particulares de ciberlincuentes) que te resultan interesantes. Ahora bien, las redes de deriva son especiales. Cuentan con compartimentos y en cada uno de ellos solo quedan atrapados peces de una determinada especie (características de malware).

Después, cuando acabas el turno, tienes una gran cantidad de peces, todos compartimentados, algunos de los cuales son peces relativamente nuevos y nunca vistos (nuevas muestras de malware), por lo que no sabes prácticamente nada. Pero pueden estar en un compartimento determinado, por ejemplo “Parecido a Especie (grupo de ciberdelincuentes) X” o “Parecido a Especie (grupo de ciberdelincuentes) Y”.

Este artículo relata un caso que ilustra la metáfora del pez/pesca. En el 2015, nuestro gurú de YARA y director de GReAT, Costin Raiu, se metió en el papel de Sherlock para encontrar un exploit en el software Silverlight de Microsoft. Te recomiendo que leas el artículo, pero, en resumen, lo que hizo Raiu fue examinar cuidadosamente cierta correspondencia de correo electrónico filtrada por ciberdelincuentes para establecer una regla YARA a partir de prácticamente nada, lo que ayudó a encontrar el exploit y así proteger al mundo de un gran problema. (La correspondencia era de una empresa italiana llamada Hacking Team: ¡hackers hackeando a hackers!)

Y, en cuanto a estas reglas YARA…

Llevamos años enseñando el arte de crear reglas YARA. Las ciberamenazas que YARA ayuda a descubrir son bastante complejas, por eso siempre impartimos los cursos en persona, sin conexión, y solo para un grupo reducido de los mejores investigadores de ciberseguridad. Por supuesto, desde marzo, las formaciones sin conexión han estado complicadas debido al encierro; sin embargo, la necesidad de educación apenas ha desaparecido, de hecho, no hemos percibido ninguna caída en el interés por nuestros cursos.

Tiene sentido: Los ciberdelincuentes continúan ideando ataques cada vez más sofisticados, incluso aún más tras el encierro. Como consecuencia, mantener nuestros conocimientos especializados sobre YARA para nosotros durante el encierro habría sido todo un error. Por lo tanto, (1) ahora también impartimos nuestra formación en formato online y (2) la hicimos accesible para todos. No es gratis, pero para un curso de este nivel (el más alto), el precio es muy competitivo y está al nivel del mercado.

Aquí está:

Seguir leyendo:Aprende a usar las reglas Yara: cómo predecir cisnes negros

Hace casi 30 años, en 1993, apareció la primera encarnación del juego de culto para ordenador Doom. Y gracias a él, los pocos (¡imagínate!) propietarios de ordenadores domésticos que había por aquel entonces descubrieron que la mejor forma de protegerse de los monstruos era usar una escopeta y una motosierra.

Nunca he sido un gran aficionado a los juegos (siempre he estado demasiado ocupado y sin tiempo); sin embargo, a veces, después de un largo día de trabajo, los compañeros y yo jugábamos durante una hora más o menos a shooters en primera persona, conectados juntos en nuestra red local. Incluso recuerdo los campeonatos empresariales de Duke Nukem: cuyas tablas de resultados debatíamos durante el almuerzo en la cantina, ¡e incluso hacíamos apuestas sobre el ganador! Por tanto, los juegos nunca han estado muy lejos.

Mientras tanto, apareció nuestro antivirus, completo con chillido de cerdo incluido (activa los subtítulos en inglés, en la parte inferior derecha del vídeo) para asustar incluso al más temible de los monstruos cibernéticos. Los primeros tres lanzamientos salieron bien. Luego vino el cuarto, con una gran cantidad de tecnologías nuevas y complejas contra las ciberamenazas, pero no analizamos su arquitectura lo suficientemente bien, y tampoco la probamos lo suficiente. El problema principal era la forma en que acaparaba los recursos, ralentizando los ordenadores, ya que cada día el software en general y los juegos en particular demandaban más recursos; por lo que lo último que se necesitaba era un antivirus que limitara la actividad y capacidad del procesador y la RAM.

Teníamos que actuar rápido y eso es lo que hicimos. Y luego, solo dos años después, lanzamos nuestra sexta versión, la gran legendaria, que superó a todos en velocidad (y también en confiabilidad y flexibilidad). Y durante los últimos 15 años, nuestras soluciones se han situado entre las mejores en rendimiento.

Seguir leyendo:¿Tus juegos consumen muchos recursos? Descubre nuestro modo de juego.

¡Lo hemos vuelto a hacer! Por segunda vez estamos en la Derwent Top 100 Global Innovators, una prestigiosa lista de empresas globales que se elabora en función de sus carteras de patentes. Y hablo de prestigio, porque en la lista nos codeamos con empresas como Amazon, Facebook, Google, Microsoft, Oracle, Symantec y Tencent. Además, la lista no es solo una selección de compañías aparentemente sólidas en cuanto a patentes: se forma a partir del titánico trabajo analítico de Clarivate Analytics, que evalúa a más de 14000 (!) compañías candidatas en todo tipo de criterios, entre los cuales el principal es la tasa de citas, también conocida como “influencia”. Y como si eso no fuera lo suficientemente difícil, en cinco años el requisito de umbral para la inclusión en este Top 100 sobre este criterio ha aumentado un 55 %:

Entrando más en detalle, la tasa de citas es el nivel de influencia de las invenciones en las innovaciones de otras empresas. Para nosotros, es la frecuencia con la que otros inventores nos mencionan en sus patentes. Y que te mencionen formalmente en la patente de otra empresa significa que se te ocurrió algo nuevo, genuinamente innovador y útil, que ayuda a su “algo nuevo, genuinamente innovador y útil”. Por supuesto, un sistema tan establecido para reconocer a otros innovadores no es lugar para aquellos que inventan meras patentes de pacotilla. Por eso ninguno de ellos se acerca a este Top 100. Mientras tanto, nosotros nos encontramos ahí, entre las 100 principales empresas innovadoras del mundo que realmente hacen avanzar el progreso tecnológico.

Vaya, ¡qué bien sienta! Es como una palmada en la espalda por todo nuestro arduo trabajo: un verdadero reconocimiento de las contribuciones que hemos estado haciendo. ¡Viva!

Todavía en una nube y resaltando mi carácter curioso, me pregunté serían nuestras cinco tecnologías patentadas más citadas, las más influyentes. Así que eché un vistazo y esto es lo que encontré…

5^o puesto con 160 citas: US8042184B1 – “Análisis rápido del flujo de datos para detectar la presencia de malware”.

Seguir leyendo:El top 5 de las tecnologías K que nos llevaron al top 100 de las empresas más innovadoras del mundo.

Lo más probable es que, si de normal trabajas en una oficina, esta esté todavía bastante vacía o por completo, como la nuestra. En nuestras oficinas centrales, las únicas personas que verás de forma ocasional son los guardias de seguridad y el único ruido que escucharás será el zumbido de los sistemas de refrigeración de nuestros servidores que trabajan a tope, ya que todos están conectados desde casa.

Nunca imaginarías que, sin verlos, nuestras tecnologías, expertos y productos están trabajando las 24 horas, los 7 días de la semana, protegiendo el cibermundo. Y ahí están. Mientras, los chicos malos siguen haciendo de las suyas. Por ello, tenemos un sistema de alerta temprana en nuestra colección de herramientas de ciberprotección. Pero retomaré este tema más adelante…

El papel de un experto en seguridad informática se asemeja en cierto modo al de un guardabosques: atrapar a los cazadores furtivos (malware) y neutralizar la amenaza que representan para los habitantes del bosque, pero, primero tienes que encontrarlos. Por supuesto, puedes esperar a que se dispare el rifle de un cazador furtivo y correr hacia el estruendo, pero eso no excluye la posibilidad de que llegues demasiado tarde y que lo único que puedas hacer sea limpiar el desastre.

Podrías volverte completamente paranoico: colocando sensores y cámaras de vídeo en todo el bosque, pero podrías acabar reaccionando a cualquier susurro (y pronto perderías el sueño y, después, la cabeza). Pero cuando te das cuenta de que los cazadores furtivos han aprendido a esconderse realmente bien, hasta el punto de no dejar rastro de su presencia, queda claro que el aspecto más importante de la seguridad es la capacidad de diferenciar los eventos sospechosos de los normales e inofensivos.

Cada vez son más los cibercazadores furtivos que se camuflan con la ayuda de herramientas y operaciones perfectamente legítimas.

Por ejemplo: abriendo un documento en Microsoft Office, otorgando acceso remoto a un administrador del sistema, iniciando un script en PowerShell y activando un mecanismo de cifrado de datos. Luego está la nueva ola del llamado malware sin archivo, que no deja ni un solo rastro en un disco duro, lo que limita seriamente la efectividad de las estrategias tradicionales de protección.

Algunos ejemplos son (i) el actor de la amenaza Platinum que utilizó tecnologías sin archivo para penetrar en los ordenadores de las organizaciones diplomáticas o, por otro lado, (ii) los documentos de Office con carga maliciosa que se utilizaron para las infecciones por phishing en las operaciones de la APT DarkUniverse; y hay muchos más. Un ejemplo más: el cifrador de ransomware sin archivo “Mailto” (también conocido como Netwalker), que utilizó un script de PowerShell para cargar código malicioso directamente en la memoria de los procesos de confianza del sistema.

Ahora bien, si la protección tradicional no está a la altura, se puede intentar y prohibir a los usuarios una amplia gama de operaciones e introducir políticas estrictas sobre el acceso y el uso del software. Sin embargo, tanto los usuarios como los malos probablemente acabarían encontrando la forma de sortear estas prohibiciones (al igual que pasa con la prohibición del alcohol).

Lo mejor sería encontrar una solución que pueda detectar anomalías en los procesos estándar y que informe al administrador del sistema sobre ellas. Pero lo que es crucial es que esta solución pueda aprender a determinar automáticamente y con precisión el grado de “sospecha” de los procesos en toda su gran variedad, para no atormentar al administrador del sistema con constantes falsos positivos.

Bueno, lo has adivinado, tenemos esa solución: Adaptive Anomaly Control, un servicio basado en tres componentes principales: reglas, estadísticas y excepciones.

Seguir leyendo:Un sistema de alerta temprana (alias, Control de anomalías adaptativo).

Los primeros años posteriores a la fundación de la compañía fueron los más difíciles de todos, ya que tuvimos que dedicar muchos esfuerzos, es decir, reventarnos. Era como si estuviéramos comprimiendo un muelle que solo se lanzaría más tarde para llevar a la compañía a lo más alto y en la dirección correcta de nuestros sueños más inimaginables (ten cuidado con lo que sueñas :). Después del registro formal de KL en 1997, con muy poco conseguimos mucho. No teníamos dinero ni recursos, pero el transportador de ciberseguridad no esperaba a nadie: se necesitaban nuevas tecnologías y el mercado demandaba nuevos productos. Así que trabajamos sin descanso, incluso los fines de semana y casi sin vacaciones. Pero ¿en qué estábamos trabajando? Aquí te dejo un ejemplo…

Junio ​​de 1998: la epidemia mundial del virus Chernobyl (CIH). Todas las demás compañías de AV no lo notaron o no se molestaron en ello o, simplemente, estaban de vacaciones; fuimos casi los únicos que lanzamos un producto que no solo atrapaba, sino que también curaba los sistemas infectados con este patógeno. La red informática mundial (es decir, ya no solo Runet) estaba repleto de enlaces a nuestro sitio. Así es como fuimos recompensados ​​por nuestras rápidas reacciones a las nuevas amenazas, eso y nuestra capacidad de lanzar actualizaciones rápidas con procedimientos para el tratamiento de amenazas específicas. Esta amenaza de virus específica se instalaba de forma astuta en la memoria de Windows, interceptaba las llamadas de acceso a archivos y los archivos ejecutables infectados, por lo que requería un proceso de disección diseñado a medida que hubiera sido imposible de entregar sin una funcionalidad flexible de actualizaciones.

Fue duro: sí; pero empezábamos a crecer y a recoger nuestros frutos. Y luego, dos meses después, recibimos una mano amiga (¿del destino?) y de lo más inesperada…

Agosto de 1998: la crisis financiera rusa, que supuso la devaluación del rublo y el incumplimiento de la deuda rusa. Esta crisis perjudicó a la mayoría de los rusos, pero tuvimos mucha suerte: todos nuestros socios extranjeros nos pagaron por adelantado en moneda extranjera. Éramos un exportador. Nuestra moneda operativa/en circulación: un rublo muy devaluado; nuestros ingresos: dólares, libras esterlinas, yenes, etc. ¡Estábamos ganando mucho dinero!

Pero no descansamos en medio de esta crisis financiera. Usamos este período para incorporar nuevos gerentes profesionales, ¡muy caros! Pronto tuvimos directores comerciales, técnicos y financieros. Y un poco más tarde, comenzamos a contratar también gerentes de nivel medio. Esta fue nuestra primera “reestructuración”, cuando el “equipo” se convirtió en una “empresa”; cuando las relaciones amistosas y orgánicas fueron reemplazadas por una estructura organizacional más formal, de subordinación y responsabilidad. La reestructuración pudo haber sido dolorosa, pero afortunadamente no fue así: simplemente seguimos adelante sin sentir demasiada nostalgia por los viejos tiempos más familiares.

// Para todo este tema de reorganización-reestructuración-“reingeniería”, recomiendo este libro realmente bueno de Michael Hammer y James Champy. Para más libros interesantes, no te pierdas este artículo.

En 1999 abrimos nuestra primera oficina en el extranjero, en Cambridge, Reino Unido. Pero, si el mercado británico es posiblemente uno de los más difíciles de descifrar para los extranjeros, ¿por qué elegimos ese sitio? En realidad, fue pura casualidad (te contaré cómo a continuación). Aun así, teníamos que comenzar por algún lugar y, de todos modos, nuestras primeras experiencias en el Reino Unido, que incluyen muchos errores y lecciones aprendidas, ayudaron a que el desarrollo de la empresa en otros países fuera mucho más fácil…

Nuestra primera gira de prensa tuvo lugar en Londres, pues ya estábamos en la capital británica para una conferencia de seguridad informática (InfoSecurity Europe). En esa gira de prensa, anunciamos con orgullo nuestra intención de abrir una oficina en el Reino Unido. Pero, como los periodistas simplemente se limitaron a preguntar el por qué, dado que ya estaban cómodamente establecidos en el país Sophos, Symantec, McAfee, etc., rápidamente cambiamos el discurso al modo geek: les contamos todo sobre la innovación de nuestra empresa y sobre nuestras tecnologías y productos únicos y cómo, gracias a ellos, éramos mejores que la competencia que acababan de mencionar. La reacción fue de interés y sorpresa (y otra de las ventajas fue que ¡desde entonces nunca se hemos recibido este tipo de preguntas tontas!). Mientras tanto, en InfoSecurity Europe pronuncié mi primer discurso ante una audiencia de habla inglesa compuesta por… dos periodistas, que resultaron ser de nuestros amigos de Virus Bulletin que ya sabían mucho sobre nosotros. Aun así, esa fue la primera, y la última, vez en la que no llenamos una representación (por cierto: más información, aquí).

En cuanto a nuestra primera conferencia de socios, así fue como sucedió…

En algún momento del invierno de 1998-1999 fuimos invitados a la conferencia de socios de nuestro socio OEM F-Secure (Data Fellows). Y así es como aprendimos el formato completo de este tipo de conferencias y cuál es la idea principal: reunir a todos, compartir toda la información más reciente sobre las tecnologías y productos, escuchar las preocupaciones y problemas de los socios y discutir nuevas ideas. Así que, un año después (en 1999) organizamos nuestra propia conferencia, invitando a unos 15 socios de Europa, Estados Unidos y México a Moscú. Aquí estamos todos, en la Plaza de la Revolución al lado de la Plaza Roja y el Kremlin:

Seguir leyendo:El ciberpasado, octava parte: 1998-2000 (3 primeras veces: restructuración, oficina en el extranjero, conferencia de socios).

El código malicioso llega a todas partes…

Es un poco como el gas, que siempre llena el espacio en el que se encuentra, solo que diferente: siempre atravesará los “agujeros” (vulnerabilidades) de un sistema informático. Por tanto, nuestro trabajo (más bien, uno de ellos) es encontrar esos agujeros y taponarlos. Nuestro objetivo es hacerlo de forma proactiva; es decir, antes de que el malware los haya descubierto. Y, si encuentra los agujeros, estaremos esperando, listos para eliminarlo.

De hecho, es la protección proactiva y la capacidad de prever las acciones de los atacantes y crear de antemano una barrera lo que distingue una ciberseguridad excelente y de alta tecnología del marketing de pacotilla.

Hoy quiero hablarte sobre otra de las formas que utiliza nuestra protección proactiva para protegerte contra otro tipo de malware particularmente astuto. Sí, quiero hablarte de algo que se llama código malicioso sin archivo (también conocido como sin cuerpo): una clase de malware fantasma muy peligrosa que ha aprendido a usar los inconvenientes en la arquitectura de Windows para infectar ordenadores. Y también sobre nuestra tecnología patentada que combate esta ciberenfermedad cibernética. Y lo voy a hacer como te gusta a ti: explicando cosas complejas de una forma simple, a la luz, como un apasionante ciberthriller con elementos de suspenso).

En primer lugar, ¿qué significa sin archivo?

Bueno, el código sin archivo, una vez que se introduce dentro de un sistema informático, no crea copias de sí mismo en forma de archivos en el disco, evitando así la detección por métodos tradicionales, por ejemplo, con un monitor antivirus.

Entonces, ¿cómo existe ese “malware fantasma” dentro de un sistema? En realidad, ¡reside en la memoria de procesos confiables! ¡Oh sí, oh no!

En Windows (bueno, en realidad, no solo en Windows), siempre ha existido la capacidad de ejecutar código dinámico, que, en particular, se utiliza para la compilación en tiempo de ejecución; es decir, convertir el código del programa en código máquina no de forma inmediata, sino cuando sea necesario. Este enfoque aumenta la velocidad de ejecución en algunas aplicaciones. Y, para disponer de esta funcionalidad, Windows permite que las aplicaciones ubiquen código en la memoria de proceso (o incluso en otra memoria de proceso confiable) y lo ejecuten.

Desde el punto de vista de la seguridad no es la panacea, pero ¿qué puedes hacer? Es la forma en la que millones de aplicaciones escritas en Java, .NET, PHP, Python y otros lenguajes y para otras plataformas han funcionado durante décadas.

Como era de esperar, los ciberdelincuentes aprovecharon la capacidad de usar código dinámico, inventando varios métodos para abusar de él. Y uno de los métodos más prácticos y, por lo tanto, más extendidos que usan es algo llamado inyección de PE con reflexión. ¡¿Un qué?! Déjame que te lo explique (en realidad es bastante interesante, así que ten paciencia conmigo) …

Para lanzar una aplicación simplemente hay que hacer clic en su icono: bastante simple y directo, ¿verdad? Parece sencillo, pero detrás de ese movimiento hay mucho más: se activa un cargador del sistema, que toma el archivo respectivo del disco, lo carga en la memoria y lo ejecuta. Y este proceso estándar es controlado por monitores antivirus, que comprueban la seguridad de la aplicación sobre la marcha.

Ahora, cuando se produce una “reflexión”, el código se carga sin pasar por el cargador del sistema (y, por lo tanto, sin pasar por el monitor antivirus). El código se coloca directamente en la memoria de un proceso confiable, creando una “reflexión” del módulo ejecutable original. Dicha reflexión puede ejecutarse como un módulo real cargado por un método estándar, pero no está registrado en la lista de módulos y, como ya he dicho antes, no tiene un archivo en el disco.

Además, a diferencia de otras técnicas para la inyección de código (por ejemplo, mediante una shellcode), una inyección de reflexión permite crear código funcionalmente avanzado en lenguajes de programación de alto nivel y marcos de desarrollo estándar sin apenas limitaciones. Entonces, lo que obtienes es: (i) cero archivos, (ii) ocultación detrás de un proceso confiable, (iii) invisibilidad frente a las tecnologías de protección tradicionales y (iv) vía libre para causar estragos.

Así que, evidentemente, las inyecciones de reflexión tuvieron un gran éxito entre los desarrolladores de códigos maliciosos: al principio aparecían en paquetes de exploits y, más tarde, los ciberespías entraron en el juego (por ejemplo, Lazarus y Turla), después los ciberdelincuentes avanzados (ya que es una forma útil y legítima de ejecutar código complejo) y, por último, los pequeños ciberdelincuentes.

Ahora, al otro lado de las barricadas, encontrar una infección sin archivo no es nada fácil en el mundo cibernético. Por lo tanto, no es de extrañar que la mayoría de las marcas de ciberseguridad no pongan solución a este problema. Algunas apenas pueden hacerlo.

Seguir leyendo:El juego del escondite con el malware sin archivo.

Vuelvo con otro episodio de cibernostalgia de la historia K, esta publicación nos lleva a un año muy especial para la compañía, ¡el año de su fundación! Y, como puedes ver por la fecha que aparece en nuestro certificado de registro de empresa, ese momento tuvo lugar el 26 de junio de 1997:

Y por eso celebramos una megafiesta de aniversario cada mes de junio, menos este año: la primera vez que nos hemos quedado sin fiesta. Una pena, ¿verdad? Pero ¿qué se va a hacer?

Recuerdo nuestra primera fiesta de aniversario en 1998, en una bolera bastante accidentada. No muy impresionados con el entorno, compensamos al año siguiente: y nos ramificamos aún más en el campo que rodea Moscú, donde ha tenido lugar el evento todos los años desde entonces, y donde espero que vuelva el año que viene.

Y otro dato curioso de este cuento de K del verano de 1997…

Seguir leyendo:El ciberpasado, séptima parte: 1997 (la fundación de Mi Lab).

A mediados de esta pasada primavera, cuando todos estábamos encerrados en casa, se hizo evidente que las cosas se veían turbias para el mundo y se mantendrían así durante mucho tiempo. Las empresas se verían muy afectadas, por decirlo suavemente, mientras que la industria del turismo acabaría bastante devastada, y muchas de sus empresas no superarían la crisis. Así que en K hicimos lo que a menudo siempre hacemos: pensar seriamente y encontrar una solución para ayudar a las industrias más afectadas.

A principios de mayo anuncié que el acelerador de turismo “Kaspersky Exploring Russia” había comenzado a aceptar solicitudes. Pero nunca pensé que recibiríamos más de 500, desde 47 países (¡casi una cuarta parte de todos los países del mundo!) de los cinco continentes (¡todos menos la Antártida!). Al analizar todas estas propuestas, me di cuenta del potencial que hay en la industria del turismo: tantas ideas y tantas empresas emergentes y proyectos. En el caso de las solicitudes, no pusimos ningún tipo de limitación geográfica: podrían haber venido, y de hecho así fue, de cualquier parte del mundo, pero tenían que describir ideas turísticas que pudieran aprovechar el potencial del turismo ruso o aplicarse en Rusia. Revisamos todas las aplicaciones para elegir las 10 mejores ideas, y esas 10 se introdujeron en el programa acelerador.

Y durante dos semanas, los 10 proyectos participaron en clases magistrales y conferencias online. Cada equipo tenía una serie de reuniones especialmente diseñadas con mentores. Las principales figuras de la industria compartieron sus experiencias y conocimientos con los participantes para construir un negocio de éxito. Entre los mentores se incluían: Vikas Bhola, director regional de Booking.com; Gemma Rubio, fundadora de Define the Fine; Vadim Mamontov, director general de Russia Discovery; y otros profesionales de la industria. Durante esas dos semanas, los participantes pulieron sus presentaciones, que acabaron presentando ante el jurado, entre los que me encontraba yo mismo.

La semana pasada, los finalistas hicieron sus presentaciones y respondieron nuestras preguntas en el último día de demostración del acelerador. De entre los participantes, elegimos a tres ganadores, que recibieron premios por parte de nuestros socios. Déjame contarte un poco sobre cada uno de ellos…

El primer puesto lo ocupó 360 Stories, una aplicación de realidad aumentada con visitas guiadas en vivo. Afirman que su misión es “modernizar la experiencia del turismo tradicional impulsando los tours interactivos en vivo utilizando visitas en tiempo real”. Con 360 Stories, la gente ahora puede recorrer de forma remota sus ciudades y atracciones favoritas registrándose para una experiencia turística personalizada con un guía local en tiempo real.

Por cierto: ¡360 Stories casi acaba perdiendo, se durmió y desapareció! Su presentación se realizó a las 5:30 de la mañana, hora local de Nueva York. Dado el madrugón, el Sr. 360 Stories se durmió, a pesar de haber puesto la alarma. Finalmente se despertó y llamó a los organizadores para preguntar por qué tenía 20 llamadas perdidas en su teléfono: “¡Has ganado!, ¿dónde estás?”.

Seguir leyendo:Explorando Rusia: Turismo ÷ encierro × acelerador = ¡podio de ganadores!