Follow us on:
Perspectives

Miscelánea

Sunday, 22 May 2016 Maria Jose de la Calle Posted in iTTi Views

El DRAE define miscelánea como 'Obra o escrito en que se tratan muchas materias inconexas y mezcladas'. 

Esto es un poco lo que me propongo en este artículo, tratar una serie de aparentemente temas inconexos -de ciberseguridad, por supuesto-, aparecidos en distintos medios en los últimos meses, desde la guerra que han comenzado los publicistas y organizaciones que ponen contenidos gratuitos en la red a cambio de publicidad, contra los desarrolladores de app's que bloquean dicha publicidad; o las nuevas tácticas del ransomware; hasta la disputa de Apple con el FBI.

* *

Los ad-blockers

Los bloqueadores de publicidad -ad blockers, en inglés-, desde hace algunos meses vienen apareciendo en los medios más que como defensores de los usuarios de la web, que en mayor o menor medida somos todos, como enemigos tanto de las empresas de publicidad que utilizan la web como soporte de los anuncios de sus clientes, como de web's que ofrecen contenidos gratuitos financiándose con publicidad.

Los bloqueadores son app's que se añaden a los navegadores como extensiones, y que impiden la aparición molesta de anuncios mientras se visitan las páginas web. Los anuncios consumen recursos y ralentizan la navegación, constituyendo elementos invasivos, y produciendo una experiencia frustrante.

Según un estudio[i] llevado a cabo por Adobe y PageFair, se estima que unos 200 millones de personas utilizan estos bloqueadores en sus navegadores. Por otra parte, las pérdidas en los negocios relacionados con la publicidad debido a los bloqueadores supusieron unos 20.000 millones de dólares en el 2015.

Sumado a esto, en septiembre Apple anunció que iba a permitir los bloqueadores en el Safari del sistema operativo iOS9 para dispositivos móviles, a lo que se le sumó Samsung posteriormente para su propio navegador. Con esto, a los millones de personas -o más bien de ordenadores- que ya disponían de ellos, se le unía ahora la posibilidad de los dispositivos móviles.

En estos dispositivos, el coste en tiempo y dinero es importante, ya que, por una parte, funcionan con batería, con lo que es muy importante la rapidez en la obtención de lo que se busca, y por otro, el coste de la comunicación móvil se factura por cantidad de datos bajados. Muchos de los datos que se bajan pertenecen realmente a anuncios y no a lo que realmente se quiere obtener[ii].

Todo esto ha prendido la mecha en lo que el NYTimes ha dado en llamar la guerra de los bloqueadores en un artículo titulado así "The Ad Blocking Wars"[iii], entre los publicistas y los desarrolladores de las app's que bloquean la publicidad. Tanto en Europa como en EEUU hay iniciativas para parar el uso de este software, desde mostrar mensajes para que el usuario desactive el bloqueador para una página determinada, o una site, o pagar una cantidad si se quiere seguir en la página, caso de Wired o de The Washington Post; o sencillamente no permitir el acceso a los contenidos si está activado un bloqueador, caso de Le Monde o de Le Parisien

En dicho artículo, además de los problemas que causa al usuario la invasión de publicidad en las páginas, se menciona el tema de la privacidad de los datos, ya que, el software que muestra publicidad, recoge información sobre la página que se está visitando, el sistema que estamos utilizando -dispositivo y sistema operativo-, localización, etc. Todos tenemos experiencia de haber estado consultando, por ejemplo, coches o viajes, y que empiecen a inundarnos con publicidad sobre ellos y que nos llenen el correo de spam.

Para evitar esto se puede bien activar en los navegadores el llamado "Do Not Track", o añadir una extensión del mismo nombre, o con el servicio de "navegación privada", ya ofrecido por algunos.

Sin embargo, las piezas de software hechas para mostrar un anuncio no sólo pueden llevar incluido software para recoger datos del usuario que visita una página, también pueden llevar malware, tanto hecho a propósito para ello, cuanto porque cibercriminales lo hayan introducido. 

Ya Elias Manousos, CEO y co-fundador de RiskIQ, comentaba el pasado 4 de agosto de 2015[iv] en el Black Hat de Las Vegas el incremento del 60% en el número de anuncios conteniendo malware -malvertisement, en inglés- durante el primer semestre del año 2015 respecto del año anterior. Además añadía que el mayor incremento de malvertisement en los pasados 48 meses confirmaba que los anuncios digitales se habían transformado en el método preferido para distribución de malware, ya que este es difícil de detectar dentro de los anuncios, no reside en las páginas web y se entrega a través de las redes de publicidad, utilizando la capacidad de dichas redes para segmentar a los usuarios por perfiles y así dirigir diferentes mensajes a objetivos específicos de manera precisa.

Como ejemplo podemos citar el incidente que tuvo tuvo lugar el fin de semana del 11-12 de marzo de este año, cuando varias de las más grandes websites del mundo, como MSN, The New York Times, BBC, o AOL, expusieron a millones de personas a través de los anuncios en sus páginas, a software malicioso el cual cifraba datos y solicitaba un rescate a cambio de liberarlos, software tristemente famoso por la abundancia de casos, conocido como ransomware.

Tom Simonite, entre otros, se hizo eco de este hecho en su artículo "Are Ad Blockers Needed to Stay Safe Online"[v], en el que afirmaba que esto no es un problema nuevo -incluir software maliciosos en publicidad-, lo que sí es nuevo es el crecimiento alarmante de estas tácticas, tal y como afirmaba Elias Manousos citado en el párrafo anterior, y que, por tanto, sí son necesarios los bloqueadores de publicidad como medida de seguridad.

Es cierto que ciertas webs ofrecen contenidos gratuitos vendiendo espacio en su página para ser ocupado por publicidad; o apps que se ofrecen en dos modalidades, una gratuita con publicidad, y otra de pago sin publicidad. ¿Se podría eliminar la publicidad pagando por los contenidos, las apps o los servicios en general ofrecidos por internet?

En primer lugar, quizás tampoco todos estarían de acuerdo en ello, ya que la publicidad digital debe ser un gran negocio a juzgar por las cifras que se manejan en este sector, como los ya mencionados 20.000 millones de dólares de pérdidas en el 2015 debido a los bloqueadores.

En segundo lugar, si nos atenemos a medios más convencionales del cine o la televisión, las películas que vamos a ver muchas de ellas contienen publicidad, y por ver la película pagamos; en la televisión pasa lo mismo, las cadenas de pago también tienen publicidad, quizás no interrumpan un programa con ella, pero si la hay entre programas. Pagar en estos casos no nos asegura librarnos de ella.

Sin embargo, lo que hay que destacar es que hay una muy importante diferencia entre la publicidad más convencional y la publicidad digital, y esta es el tema de las [ciber]amenazas que pueden llegar a través de ella, como es el caso del ransomware distribuido a través de las redes de publicidad, expuesto anteriormente; o el intrusismo a la privacidad que se puede hacer desde ella.

Ransomware y sus nuevas tácticas

La importancia de este malware es indiscutible, por los daños que causa en organizaciones y particulares. Pero si hasta ahora el software malicioso entraba en el sistema por medio de un click de una persona sobre un fichero adjunto en un correo y en ese momento cifraba los datos de ese ordenador, la nueva táctica se centra en atacar a las organizaciones desde sus redes de ordenadores.

Dicha táctica consiste en que el ataque se realiza en varias fases, primero explotando alguna vulnerabilidad de los elementos conectados -como websites mal configuradas- para entrar, conseguir credenciales de administrador de servidores, y desde ahí extenderse por toda la red, pudiendo lanzar software para cifrar ficheros del sistema en servidores, o en estaciones de trabajo.

Este vector de ataque no es novedoso para otros tipos de malware. La cuestión es que cualquier ataque a una red se puede transformar en un ransomware, con lo que el daño se multiplica. Es posible que algunos ataques sean consecuencia de otros anteriores, aprovechados por quienes los realizaron.

Sobre este tema, Sean Gallagher explica esta nueva modalidad en el artículo "OK, panic—newly evolved ransomware is bad news for everyone"[vi] del 8 de abril, en el cual detalla un vector de ataque iniciado con una herramienta de test de penetración sobre un servidor JBOSS.

Una vez cifrado un fichero, se supone que es imposible, de momento, en un tiempo razonable descifrarlo. Este cifrado, entonces, constituye un medio para que por lo menos se pueda evitar, en el caso de que datos de una organización se roben, que sean utilizados para dañar a la organización. Y esto es una buena noticia para la seguridad, tanto de una organización como de un individuo.

Bueno, con el permiso de ciertos elementos de las fuerzas de seguridad que defienden que el cifrado fuerte no sea utilizado por los ciudadanos porque dificulta la persecución de los delincuentes, ... a los que no les importará utilizarlo. 

Apple y el FBI 

Esto nos conduce a otra noticia que lleva ya por lo menos un mes en los medios, y que parece que ha terminado con el descifrado del iPhone5C en cuestión por parte de una empresa.

La Oficina Federal de Investigaciones (FBI) de los Estados Unidos (EEUU) solicitó  ayuda a Apple con el fin de desbloquear el iPhone que usó  uno de los presuntos terroristas de San Bernardino, California. Apple se negó  a ello, aduciendo, entre otras cosas, [vii] que aquello que hiciera serviría como puerta trasera, que a la postre podría ser utilizada por cualquiera.

Apple argumenta que tendría que haber construido una herramienta para hackear sus propios teléfonos. Las investigaciones realizadas para hacer un cifrado fuerte y proteger la información se transformarían ahora en investigaciones para debilitar dicho cifrado.

Según el FBI, la técnica utilizada para desbloquear el iPhone 5C, sólo sirve para él. Así que a vuelto ha solicitar a Apple ayuda por vía judicial para desbloquear un teléfono iPhone en un caso contra un narcotraficante en una corte de Nueva York. Otra petición similar fue presentada ante un juez de Boston. Parece que el Gobierno de EEUU quiere conseguir un precedente judicial que obligue a compañías tecnológicas como Apple a colaborar con las fuerzas de seguridad cuando sea requerido por un juez. 

Pero la actitud del Gobierno de los EEUU no es única. El Gobierno Británico también apoya que las fuerzas del orden sean capaces de acceder a las comunicaciones de delincuentes y terroristas para prevenir actos criminales[viii]. Si los dispositivos no son seguros, no lo son en ningún sitio ni para nadie.

La postura de Apple es apoyada por otras empresas como Google, Facebook o Twitter, y ha abierto un debate que habrá que resolver antes o después. El Gobierno de Obama lleva buscando el apoyo de las empresas tecnológicas desde hace algún tiempo, con reuniones en Silicon Valley, al parecer sin resultados muy satisfactorios.

¿Está la privacidad reñida con la seguridad de las personas? ¿Estará cada vez menos segura la información de los ciudadanos?

Conclusión

Para cerrar, una última reflexión.

La seguridad de la información que debería ser una prioridad para todos ya que la falta de ella nos expone, tanto a ciudadanos como a organizaciones a muchos peligros, cuando se quiere implementar en cada una de sus facetas, surgen grupos -empresas de publicidad y Gobiernos, en los casos tratados- que se ponen en contra de ella, como si a las personas que forman parte de dichos grupos no les pudiera afectar la falta de seguridad.

Lo malo es que no sabemos en qué grado ni cuándo puede llegar a hacerlo. Por ello hay que seguir trabajando para encontrar una solución satisfactoria, sin menoscabar la privacidad y la libertad. Si nos quedamos sin ellas, ya no necesitaremos la seguridad.

* * * 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", mayo-2016, nº 311, pg.66, Ciberseguridad – "Miscelánea" – María José de la Calle.    

---------------------------------

[i] "The 2015 Ad Blocking report", Ago.10, 2015. PageFair. url [a 11-04-2016]       https://blog.pagefair.com/2015/ad-blocking-report/ 

[ii] Gregor Aisch, Wilson Andrews, Josh Keller, Oct.1, 2015. "The Cost of Mobile Ads on 50 News Websites", The New York Times. url [a 11-04-2016] http://www.nytimes.com/interactive/2015/10/01/business/cost-of-mobile-ads.html?_r=1  

[iii] Kate Murphy, Feb.20, 2016. "The Ad Blocking Wars", The New York Times. url [a 11-04-2016] http://www.nytimes.com/2016/02/21/opinion/sunday/the-ad-blocking-wars.html?_r=0 

[iv] "RiskIQ Reports 260 Percent Spike in Malicious Advertisements in 2015", Ago.4,2015. RiskIQ. url [a 11-04-2016] https://www.riskiq.com/resources/press-releases/260-percent-spike-in-malicious-advertisements-2015 

[v] Tom Simonite Mar.16,2016. "Are Ad Blockers Needed to Stay Safe Online?". MIT Technology Review. url [a 11-04- 2016] https://www.technologyreview.com/s/601057/are-ad-blockers-needed-to-stay-safe-online/#/set/id/601060/ 

[vi] Sean Gallagher, Apr.8,2016. "OK, panic—newly evolved ransomware is bad news for everyone". ars technica. url [a 11-04-2016] http://arstechnica.com/security/2016/04/ok-panic-newly-evolved-ransomware-is-bad-news-for-everyone/

[vii]  Tim Cook, Feb.16,2016 "A Message to Our Customers". Apple. url [a 11-04-2016] http://www.apple.com/customer-letter/ 

[viii] Eduardo Archanco, 6, Nov. 2015. "Reino Unido también quiere obligar a Apple a espiar nuestros dispositivos". Applesfera. url [a 11-04-2016] http://www.applesfera.com/apple-1/reino-unido-tambien-quiere-obligar-a-apple-a-espiar-nuestros-dispositivos  

 

Comments (0)

Leave a comment

You are commenting as guest.

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk