En la última semana, el SANS Internet Storm Center (ISC) ha detectado múltiples amenazas emergentes que afectan desde dispositivos IoT hasta técnicas avanzadas de evasión de datos. Analizaremos los escaneos masivos de cámaras IP Ichano AtHome, el uso de contraseñas por defecto, la manipulación de Alternate Data Streams (ADS) y la esteganografía en imágenes, así como la anticipación de campañas de phishing y recursos formativos.
IoT y credenciales por defecto
Los recientes escaneos para cámaras IP Ichano AtHome evidencian una tendencia creciente de atacantes que identifican dispositivos expuestos en Internet. Al carecer de configuraciones seguras, estas cámaras suelen:
- Utilizar usuarios y contraseñas por defecto fácilmente obtenibles en manuales o foros.
- No recibir actualizaciones de firmware, dejando vulnerabilidades sin parchear.
- Exponer flujos de video y controlar micrófonos para espionaje.
Para mitigar estos riesgos, se recomienda cambiar contraseñas inmediatamente, segmentar redes IoT y aplicar filtros de tráfico para impedir accesos no autorizados.
Técnicas de evasión: ADS y esteganografía
Los adversarios buscan canales ocultos para desplazarse sin ser detectados. Dos métodos destacados:
- Alternate Data Streams (ADS): permiten adjuntar datos maliciosos a archivos legítimos en sistemas NTFS. Con herramientas en Python, un atacante puede crear scripts que replican malware en flujos alternos, eludiendo antivirus.
- Detección: monitoreo de streams con herramientas forenses y verificación de hashes.
- Prevención: restringir ejecución de ADS y auditar cambios en ficheros.
- Esteganografía en imágenes: recientemente se descubrieron JPEG con payload y archivos PNG que ocultan código malicioso dentro de metadatos o bloques de píxeles. Los ataques avanzados:
- Integran scripts ofuscados que se extraen al abrir la imagen.
- Dificultan la inspección en proxies y gateways.
- Contramedida: análisis de firmas de imagen y escáneres especializados en esteganálisis.
Prevención y recursos: phishing y Stormcast
Tras una brecha o incidente, las campañas de phishing suelen comenzar en un plazo aproximado de dos semanas, aprovechando la información filtrada. Para anticiparse:
- Implementar filtros de correo y simulacros de phishing internos.
- Capacitar a usuarios en reconocimiento de URLs y remitentes falsos.
- Suscribirse al podcast ISC Stormcast, donde cada semana se presentan datos críticos y análisis de tendencias bajo licencia Creative Commons, facilitando formación continua.
Al reforzar políticas de contraseñas, auditar flujos de datos y mantenerse informados con fuentes como ISC Stormcast, las organizaciones pueden anticipar ataques y elevar su resiliencia ante las amenazas más recientes.
Conclusión
La evolución de ataques a dispositivos IoT, el empleo de ADS y esteganografía, junto con la previsión de campañas de phishing, exige un enfoque integral de ciberseguridad. Cambiar contraseñas por defecto, auditar flujos de datos y capacitar al personal son pasos fundamentales. Además, aprovechar recursos como el podcast Stormcast del SANS ISC permite mantenerse al día y reforzar la defensa ante las amenazas emergentes.