Un informe realizado por Sophos, compañía británica de ciberseguridad, revela que casi la mitad de los piratas informáticos recurren a redes seguras para ocultar su rastro. Al parecer, hacen uso del protocolo TLS para no ser detectados.
Sin lugar a dudas, la pandemia ha generado un escenario muy beneficioso para los actores de amenazas cibernéticas. Las técnicas de malware, phishing y ransomware no sólo proliferan cada vez más, sino que se han refinado para ser más exitosas. El teletrabajo es uno de los factores que más ha propiciado esta situación ya que las empresas se han tenido que adaptar a este nuevo modelo rápidamente y sin tiempo para protegerse como es debido. Inevitablemente, esto ha expuesto vulnerabilidades de seguridad que pueden ser aprovechadas por los ciberdelincuentes.
Además de desenvolverse como pez en el agua en estos momentos caóticos, los hackers también se están aprovechando de herramientas, que están diseñadas para defenderse de sus ataques, con la finalidad de pasar desapercibidos. Y es que, según Sophos, este año, ha habido un aumento en el uso del protocolo TLS por parte de los actores de malware.
TLS: un protocolo seguro también para los criminales
Esta Seguridad de la capa de Transporte cifra los datos y, por tanto, protege la transferencia de datos e información de los usuarios para evitar que caiga en malas manos. No obstante, irónicamente, los ciberdelincuentes también pueden utilizarlo con el objetivo de distribuir su malware y comunicarse entre sí sin levantar sospechas. Se trata, por tanto, de un arma de doble filo que beneficia tanto a las víctimas como a los verdugos.
Tal como dice la compañía de ciberseguridad, el uso de este protocolo de seguridad por parte de los piratas informáticos se ha duplicado en tan sólo un año “Hemos visto un crecimiento espectacular durante el año pasado en el malware que usa TLS para ocultar sus comunicaciones. En 2020, el 23 por ciento del malware que detectamos que se comunicaba con un sistema remoto a través de Internet utilizaba TLS; hoy, es casi el 46 por ciento”.
Sophos clasifica estas comunicaciones entre los actores de malware en tres categorías: descarga de malware adicional, robo de datos y envío de instrucciones para activar funciones específicas (mando y control). No obstante, indican que la mayoría del tráfico que analizaron correspondía al primer tipo: «droppers, loaders y otro malware que descargaba malware adicional al sistema que infectaban, usando TLS para evadir la inspección básica de la carga útil.»
Por otro lado, en base a los resultados de su investigación, señalan que ha habido un aumento significativo en el uso de servicios gratuitos como Discord, Pastebin, Github o servicios de la nube de Google para alojar tanto su software malicioso como los datos privados que consiguen robar. Asimismo, cabe destacar que, en los primeros tres meses de 2021, casi la mitad de todas las comunicaciones de malware cifradas se dirigieron a servidores de Estados Unidos e India.
Los delincuentes recurren a HTTPS para ocultar sus movimientos
Como asegura Sophos, “durante la última década, y particularmente a raíz de las revelaciones sobre la vigilancia masiva de Internet, el uso de TLS ha crecido para cubrir la mayoría de las comunicaciones de Internet. Según los datos del navegador de Google, el uso de HTTPS ha crecido de poco más del 40 por ciento de todas las visitas a páginas web en 2014 al 98 por ciento en marzo de 2021.”
Aparte de este TLS, los actores de amenazas cibernéticas recurren por extensión a este protocolo para evitar que sus fechorías sean detectadas. Precisamente, algunos navegadores han habilitado un “modo sólo HTTPS” con el objetivo de proteger los datos de los usuarios frente a terceros.
Sin duda, se trata de una medida que incrementará la seguridad al navegar por Internet, pero también implica beneficios para aquellos que se encuentran fuera de la ley. El protocolo seguro de transferencia de hipertexto previene contra el secuestro de información (ransomware) y otros tipos de ataques, pero, al mismo tiempo, también ayuda a que los ciberdelincuentes se comuniquen entre sí de forma privada, esquivando el control de los profesionales de ciberseguridad.
Si estás interesado en conocer más detalles, puedes leer el informe completo en el sitio web de Sophos.
