Fortinet ha dado a conocer sus predicciones de seguridad de cara al 2011. En líneas generales, desde Fortinet se señala que la colaboración a nivel internacional contribuirá a aumentar el control del cibercrimen. Asimismo, el precio de los servicios criminales se verá elevado debido a su creciente demanda. Esta tendencia alcista también se reflejará en la mayor demanda de desarrolladores de malware y de todo tipo de proveedores de servicios relacionados con el cibercrimen. Durante 2011 es previsible que aumente el número de cibercriminales que utilizarán código ya existente para realizar sus propios fraudes.
1. Mayor cooperación global contra el cibercrimen
El ciberespacio no tiene fronteras lo que complica la labor de sentar a los cibercriminales ante la justicia. Si bien hay ejemplos de acciones conjuntas de varios países para desmantelar organizaciones como el caso de la Operación Bot Roast (iniciativa del FBI), Conficker Working Group y el reciente virus Mariposa/Pushdo/Zeus/Bredolab, estas operaciones están centradas en los fraudes más mediáticos y visibles y en muchas ocasiones su impacto es temporal. Por ejemplo, aunque las autoridades acabaron con la botnet Koobface en Noviembre, los servidores fueron reconfigurados y puestos en funcionamiento tan sólo una semana después.
En 2011, predecimos que las autoridades consolidarán sus esfuerzos de colaboración global y se unirán a las fuerzas de seguridad locales para acabar con las operaciones del cibercrimen, que seguirán aumentando. La European Electronic Crime Task Force dio un importante paso en 2009 aunque todavía tiene mucho camino por recorrer. La operación contra el troyano Zeus en este año, dirigida por Estados Unidos y Reino Unido es un claro ejemplo de cómo la colaboración interestatal da resultados.
2. Aumento de las máquinas infectadas
Hace un tiempo, los sistemas infectados por malware eran utilizados como juguetes de usar y tirar, normalmente eran destruidos o se convertían en dispositivos inservibles. En el nuevo milenio, hay una constante batalla entre los distintos operadores de botnets, como Skynet vs. MyDoom/Bagle y Storm vs. Warezov/Stration, donde una infección puede localizar y destruir el malware anterior simplemente por venganza. Actualmente, hay una gran preocupación entre los cibercriminales por crear su propio imperio del malware, en el que el control sobre las infecciones realizadas puede convertirse en dinero. Se han implementado “bot killers” dentro de los nuevos bots para eliminar otras amenazas que puedan encontrarse en el mismo sistema. Por ejemplo, nos podemos encontrar con un bot que busca comandos utilizados por bots residentes como IRC. Cuando encuentra procesos que utilizan estos comandos, los elimina ya que los considera una amenaza territorial.
A medida que los atacantes infecten más máquinas en 2011, el valor de éstas se irá incrementando. Las consecuencia fundamental es que se producirá un incremento en el precio de los servicios criminales, como es el alquiler de bots que permiten cargar software malicioso en máquinas; o malware que incluirá el mantenimiento de la máquina para maximizar el tiempo de funcionamiento de la máquina infectada.
3. Incremento de los ataques que eluden los sistemas de protección
Las tecnologías de seguridad para prevenir o limitar el uso abusivo del software en los sistemas operativos modernos (ASLR, DEP, sandboxing…) son cada vez más comunes, al igual que las máquinas sobre las que se ejecutan. Esta evolución ha restringido enormemente el espacio para el malware, que en 2011 tratará de liberarse de estas ataduras. En 2010, se extendieron rootkits como Alureon, que eludía a algunos sistemas de protección, concretamente corrompiendo la fase de startup del sistema. En 2011 esperamos que más rootkits entren en nuevas máquinas, y que haya nuevos ataques contra los sistemas de protección como ASLR/DEP, y ejemplos de sandboxing, como los lanzados por Google Chrome y Adobe en 2010.
4. Los cibercriminales buscarán más apoyos
Paralelamente al aumento de trabajos cibercriminales, es previsible que crezca el número de desarrolladores de paquetes y plataformas personalizadas, servicios de hosting para datos y zonas de asalto, trasgresores de CAPTCHA, aseguradores de calidad (no detectables) y distribuidores (afiliados) para extender el código malicioso. Se crearán nuevos programas de afiliación dirigidos a contratar gente que se comprometa a distribuir código malicioso. Los operadores de las redes zombie, que hasta ahora eran los encargados de aumentar los miembros de sus propias botnets, comenzarán a delegar este trabajo a sus afiliados en 2011. Botnets como Alureon y Hiloti son dos claros ejemplos de este nuevo estilo de trabajo, pagando a cualquiera que les ayude a infectar más sistemas. A través de este ejército de distribuidores, las botnets continuarán creciendo.
5. Propagación de Código
El malware puede mostrarse bajo diversos nombres y alias. La detección cruzada entre los distintos proveedores de seguridad añade más confusión. Es el resultado de una creciente comunidad de desarrolladores que se alimenta de código y librerías disponibles que puede “tomar prestadas” para crear y vender su nuevo malware. Con frecuencia, en Fortinet hemos evaluado dos piezas de malware que son casi idénticas en su naturaleza excepto por un pequeño componente interno que varía. Este tipo de malware “copy and paste” es un indicativo del gran número de desarrolladores que han adoptado el mismo código.
En 2011, creemos que habrá un mayor número de cibercriminales que entrarán en este juego con el objetivo de hacer dinero utilizando código reciclado. Mientras que el código público continuará generando problemas de seguridad, el código privado incrementará su valor. Asimismo, es previsible que haya más colaboración a la hora de implementar el control de fuentes como haría cualquier compañía de desarrollo de software o proyecto open source (SourceForge).