Los sitios web más confiables, como los motores de búsqueda, sitios de noticias generales y de algunos blogs, están cada vez más en riesgo de alojar enlaces maliciosos que pasan código malicioso a sus visitantes, según los últimos datos recogidos por los investigadores del equipo de seguridad IBM X-Force.

El informe ” X-Force 2009 Mid-Year Trend and Risk Report” de IBM destaca un fuerte aumento de nuevos enlaces web maliciosos y ataques constantes contra las aplicaciones web que podrían socavar la seguridad de algunos servidores de base de datos.

Kris Lamb, Director del equipo X-Force de IBM, dijo que los usuarios que se mantienen fuera de los lugares en la “zona roja” todavía están en riesgo, ya que se ha identificado una gran cantidad de sitios de confianza que albergan código malicioso utilizado en ataques “pasajeros”.

“Hemos llegado a un punto de inflexión en el que cada sitio web debe ser visto como sospechoso y que cada usuario está en riesgo”, dijo Lamb en un comunicado. “La convergencia de amenazas en el ecosistema de Internet está creando una tormenta perfecta de actividad criminal”.

El aumento en sitios web de confianza que alojan vínculos que conducen a páginas web maliciosas podría estar vinculado a un aumento en las herramientas de explotación web, dijo IBM. Una vez que una persona navega a un sitio que aloja estas herramientas, el mismo puede introducir todo el código malicioso a la vez o seleccionar malware específico basado en el URL de referencia, los cookies del navegador o ubicación geográfica.

El informe de amenazas de seguridad en Internet observó un aumento del 508% en el número de nuevos enlaces Web maliciosos descubiertos en el primer semestre de 2009. El número de países que acogen URLs maliciosos también ha aumentado considerablemente desde 2006. Mientras que los sitios web de juegos de azar y pornografía siguen siendo las fuentes principales de contenido malicioso, éstos son seguidos de cerca por las páginas personales y los motores de búsqueda.

Los atacantes también están atacando cada vez más sitios de noticias, blogs, boletines y sitios web de educación, que también fueron identificados como lugares favoritos para los atacantes plantar código malicioso.

“La distribución de los enlaces maliciosos es probablemente más representativa de los tipos de sitios web que los atacantes frecuentan con la esperanza de encontrar un hueco (como una vulnerabilidad o un área que permite contenido suministrado por el usuario) en el que se puede incorporar estos vínculos maliciosos con la intención de comprometer a una víctima inocente “, dijo IBM en su informe.

A pesar de que las notificaciones de vulnerabilidades de inyección de SQL y vulnerabilidades de ActiveX están disminuyendo, de acuerdo con IBM, los atacantes todavía están atacando estas debilidades en forma creciente. Ataques de inyección SQL – el método utilizado por los hackers sospechosos de violar los sistemas de Heartland Payment Systems Inc. – aumentó un 50% entre el último trimestre de 2008 y el primer trimestre de 2009. IBM dijo que los ataques de inyección SQL se dispararon de nuevo esta primavera, saltando del 46% en abril al 76% en mayo.

Muchas vulnerabilidades de inyección SQL se descubrieron en 2008, cuando los atacantes recurrieron a utilizar herramientas automatizadas para descubrir las fallas y explotarlas en sitios web activos, dijo IBM. El troyano Asprox utiliza motores de búsqueda para comprobar automáticamente la existencia de la vulnerabilidad en sitios web.

“Para los administradores e investigadores de seguridad, estas herramientas automatizadas aumentan la presión sobre ellos para encontrar vulnerabilidades de inyección SQL antes de que los atacantes lo hagan”, dijo IBM en su informe.

Los troyanos, diseñados para robar datos, registrar las pulsaciones de teclas y descargar malware adicional, siguen dominando todo el nuevo malware, según el informe. En el primer semestre de 2009, los troyanos representaron el 55% del nuevo malware, un aumento del 9% con relación al primer semestre de 2008. Troyanos que roban información son la categoría de malware más frecuente, dijo IBM. Las puertas traseras, que permiten a un atacante remoto conectarse y ejecutar comandos en un sistema afectado, ocupó el segundo lugar con un 21%.

Los investigadores de seguridad de IBM dijeron que los kits de herramientas disponibles al público en general podría estar impulsando el aumento de los troyanos y puertas traseras.

“Esta tendencia se espera que continúe ya que estas herramientas son muy fáciles de usar y desde la perspectiva de un usuario malintencionado, él / ella sólo necesita utilizarlos para hacer el trabajo sin mucha inversión técnica de su parte”, dijo IBM.

Sin embargo, esta práctica de jugar a la ruleta rusa con el riesgo de la información ha demostrado ser el talón de Aquiles para muchas organizaciones que probablemente se encontraban en una postura similar. Si analizamos los incidentes sufridos por TJX, Heartland, RBS Worldpay y otras instituciones que han sido víctimas de las brechas de datos más grandes de la historia, las cuales han ocasionado pérdidas multi-millonarias y han puesto a las mismas al borde de la quiebra, podemos especular que las mismas probablemente no preveían un ataque de este tipo, probablemente nunca fueron advertidas, no tenían experiencia previa con incidentes de esta magnitud ni se imaginaban que podían estar siendo atacadas o en la mira de los criminales. Los hechos indican, que tanto en el caso de TJX como de Heartland, los hackers habían comprometido los sistemas hacía meses, y se encontraban capturando datos silenciosamente.

Dónde estuvo la falla? La respuesta puede radicar en cualquier fase del ciclo de seguridad, pero lo que podemos inferir por los detalles revelados sobre estas brechas, es que probablemente no detectaron correctamente las amenazas, la actividad sospechosa en la red y las vulnerabilidades en sus sistemas. Tal vez subestimaron el riesgo, tal vez no tenían las herramientas, procesos o personas para basar sus análisis de riesgo en datos concretos. Quizás no sabían lo que estaba pasando en su red y consideraron que la falta de noticias eran buenas noticias. La falla pudo haber estado en la detección, capacidad de respuesta y/o prevención. Lo que sí sabemos es que el atacante encontró una debilidad y la aprovechó.

Otra vez, me parece que Schneier está en lo cierto. Él dice que en seguridad el atacante tiene la ventaja, ya que los que defienden tienen que proteger contra cada posible vulnerabilidad, mientras el atacante sólo tiene que encontrar una vulnerabilidad para comprometer el sistema completo.

Aún estas empresas nunca hayan sido atacadas, lo que es muy poco probable, la estrategia de depender de la suerte para permanecer desapercibido es una mala práctica de seguridad que raya en la negligencia. La próxima vez que nos veamos tentados a pensar que no nos puede pasar a nosotros, pensemos que en todos estos grandes casos probablemente los atacantes no necesitaron hacer inteligencia por varios meses, orquestar el ciberataque más sofisticado de toda la historia, y quizás no escogieron estos objetivos por considerarlos el “Santo Grial”. Probablemente todo lo que necesitaron fue un día, un hueco, y dejaron como resultado una enorme brecha.

TJX Companies, Inc., que ha sido sometido a un aluvión de demandas judiciales como consecuencia de una violación masiva de los datos de sus sistemas, acordó pagar US$9.75 millones, solucionando una demanda presentada por los Procuradores Generales de 41 estados.

La empresa matriz de las tiendas T.J. Maxx y Marshall, publicó en enero de 2007 que sus sistemas habían sido hackeados, exponiendo por lo menos 45.7 millones de tarjetas de crédito y débito a un posible fraude. Bajo los términos del acuerdo, la compañía pagará $2.5 millones de dólares para crear un fondo de seguridad de datos para los estados y una suma de $5.5 y $1.75 millones de dólares para cubrir los gastos relacionados con las investigaciones del estado.

Además, TJX dijo que acordó certificar que el sistema informático de TJX cumple con requisitos detallados de seguridad de datos especificados por los Estados Unidos, y fomentan el desarrollo de nuevas tecnologías para hacer frente a vulnerabilidades sistémicas en el sistema de tarjetas de pago de EEUU.

“En virtud de este acuerdo, TJX y los Procuradores Generales se han puesto de acuerdo para asumir papeles de liderazgo en la exploración de nuevas tecnologías y enfoques para buscarle solución a los problemas sistémicos de la industria de tarjetas de pago de los EEUU que continúan afectando a empresas e instituciones, y que hacen de los consumidores en los Estados Unidos en todo el mundo los objetivos para el aumento de la delincuencia cibernética”, dijo en un comunicado Jeffrey Naylor, director financiero y administrativo de TJX.

Naylor reiteró la postura de TJX a lo largo del incidente que la empresa no violó ninguna ley de protección al consumidor o de seguridad de datos. “La decisión de entrar en este acuerdo refleja el deseo de TJX de concentrarse en su negocio principal, sin distracciones, y de promover medidas de ciber-seguridad que beneficiarán a todos los consumidores”, dijo la compañía.

Según los investigadores, a lo largo de un período de 18 meses, hackers se aprovecharon de un agujero en la red Wi-Fi de TJX y utilizaron una versión modificada de un programa sniffer para vigilar y capturar los datos transaccionales de TJX. Investigadores dijeron que TJX estaba utilizando el protocolo de encriptación Wired Equivalent Privacy (WEP), un estándar de seguridad anticuado. El Wi-Fi Protected Access (WPA) sustituye a la norma original de seguridad WEP. Además, es compatible con el último estándar, IEEE 802.11i, también conocido como WPA2.

Once acusaciones fueron anunciadas por el Fiscal de los Estados Unidos en el 2008. Hasta la fecha, dos de los acusados se han declarado culpables y otros dos se declararon culpables de cargos relacionados.

“Este fue una herida auto infligida, y TJX ha hecho mucho trabajo desde entonces, pero está claro que la violación fue el resultado de procesos deficientes y de negligencia”, dijo Jon Oltsik, analista senior, Enterprise Strategy Group.

Aunque TJX se ha convertido en la muestra de lo que podría suceder cuando una compañía sufre una violación masiva, Oltsik dijo que es probable que haga falta una violación de propiedad intelectual u otros datos que pongan a una empresa fuera de negocio, antes de todas las empresas tomen en serio la seguridad de los datos. Desde entonces, ha habido otras violaciones masivas. El Heartland Payment Systems Inc. se encuentra en medio de una investigación de violación de datos que afecta a millones de titulares de tarjetas y los investigadores de supermercados Hannaford descubrieron que los programas maliciosos habían saqueado 4.2 millones de números de tarjetas de crédito y débito de los sistemas de la tienda.

“La diferencia entre TJX y cualquier otra empresa no es más que la suerte del sorteo. Tenían zonas donde no se cumplía con el DSS de PCI, pero la mayoría de las empresas si cumplen, si las ves lo suficientemente de cerca”, dijo Ed Moyle, cofundador de consultoría de seguridad de IT Security Curve. “Algunos de estos entornos son bastante complejos, especialmente las compañías con muchos puntos de venta.”

Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) se ocupan de la seguridad de los datos de clientes de tarjetas de pago. Sin embargo, Oltsik dijo que no queda claro qué tanto es el fraude en el proceso de auditoría, ya que hay relativamente poca supervisión por entidades fuera de la industria de transacciones de pago.

“PCI es un buen comienzo, pero hay mucho margen para abusos y fraudes”, dijo Oltsik.

Los legisladores se han envuelto con docenas de estados pasando normas para la notificación de violación de datos, y con dos estados, Massachusetts y Nevada, enfocándose en la seguridad de los datos y las normas de encriptación. El gobierno federal ha abordado el problema por industria, empujando a la industria de la salud con fuertes normas HIPAA y abordando los problemas en la industria financiera. Por el contrario, la Unión Europea ha abordado la cuestión con un enfoque en la privacidad.

En diciembre de 2007, TJX concluyó una demanda de decenas de bancos, acordando pagar US$40.9 millones para cubrir los gastos relacionados a la violación masiva de los datos. Los grupos de banca alegaron en una demanda que la violación comprometió 94 millones de cuentas, muchas más que las 45.7 millones anunciadas por TJX.

La empresa también concluyó varias demandas colectivas hechas por los clientes que afirmaron que fueron víctimas de la violación. La empresa aceptó ofrecer a los clientes afectados tres años de servicios de monitoreo de crédito y seguro contra robo de identidad.

Heartland Payment Systems Inc. reveló que estaba experimentando pérdidas este trimestre como resultado directo de la brecha masiva de datos anunciada en enero, cuando investigadores descubrieron un programa malicioso capturando datos de tarjeta de crédito en sus sistemas.

La empresa dijo que tuvo una pérdida de $ 2.5 millones en el trimestre como resultado de gastos por más de $ 12.6 millones en facturas legales, multas de MasterCard y Visa y gastos administrativos.

El anuncio fue hecho durante la conferencia sobre resultados financieros de la empresa, Carr dijo que los costos asociados con la violación podrían seguir aumentando.

“Nuestra defensa de las reclamaciones en relación con la intrusión en el sistema de procesamiento sigue en curso”, dijo. “Gran parte de la labor jurídica queda por hacer y es difícil prever cuando estas cuestiones llegarán a una conclusión.”

Carr también admitió por primera vez que desde que Heartland anunció la violación de sus sistemas, algunos de los clientes del procesador de pago han cambiado a los competidores como consecuencia de la brecha. Dijo que algunos procesadores competidores de Heartland han recurrido a tácticas de miedo. “Hemos tenido muchos competidores que han sido muy profesionales y de gran apoyo, y no queremos medir a todos nuestros competidores con la misma regla”, dijo Carr. “Hemos tenido casos de competidores diciéndoles falsamente a los clientes que sufrirán una multa de $10,000 dólares por día si se quedan con Heartland. Pensamos que hemos atravesado por lo peor de eso”.

Carr afirma que menos de $1 millón de los gastos de la brecha fueron multas impuestas por MasterCard y Visa en contra de los bancos patrocinados por la empresa. Las multas están siendo refutadas, dijo. Más de 500.000 dólares se refiere a una multa de Mastercard contra bancos en los que la compañía de tarjetas dice que Heartland no adoptó las medidas oportunas al enterarse de que se sospechaba de una violación. Carr dijo que la multa está en violación directa de las normas de MasterCard y la ley.

“Heartland considera que respondió adecuadamente ante toda la información que obtuvieron acerca de la posible violación del sistema y una vez se descubrió la intrusión se tomaron medidas extraordinarias para hacer frente a la intrusión”, dijo Carr. “Además, Heartland cree que durante los acontecimientos de 2008 y 2009 ha cooperado plenamente con la investigación de MasterCard sobre la sospecha y, posteriormente, el hecho de que se había producido una intrusión”.