OpiniónSeguridad

Los ciberdelincuentes recuperan el USB como vector de ataque

Andrew Rose, CISO residente de Proofpoint en EMEA.

Andrew Rose, CISO residente de Proofpoint en EMEA.
Andrew Rose, CISO residente de Proofpoint en EMEA.

Los dispositivos USB llevan con nosotros más de un cuarto de siglo y, sin embargo, siguen siendo una de esas raras tecnologías que triunfan y se mantienen relativamente intactas a pesar de la "Ley de Moore" y de la continua revolución tecnológica. El éxito increíble del USB se debe a su flexibilidad como interfaz de datos, que permite utilizar periféricos y dispositivos de almacenamiento portátiles. Sin embargo, no tiene los controles precisos que los profesionales de la seguridad exigen a un puerto de comunicación moderno. 

Muchos responsables de seguridad consideran que la amenaza de los USB se ha gestionado mediante el empleo de la tecnología DLP (Data Leak Prevention, Prevención de Fugas de Datos en español) para identificar y bloquear la transmisión de datos sensibles; pero por desgracia, no todos los ataques consisten simplemente en la pérdida de datos.

La mayoría de los ciberataques se inician a través del correo electrónico, pero la actividad reciente muestra que los delincuentes también ven valor y oportunidades de éxito en el uso del USB como vector de ataque. Un incidente reciente, atribuido supuestamente a FIN7, un grupo ruso de ciberdelincuentes, utilizaba cajas de regalo atadas con una cinta dorada que incluían vales de Amazon (falsos) con valor de 500 dólares y una memoria USB, lo que demuestra una gran inversión de tiempo y creatividad. Este reciente cambio de táctica ha provocado la intervención del FBI, que ha advertido que esta vía de ataque es una ruta para el ransomware.

 En el caso de España, solo un 41% de las empresas dicen haber sufrido por lo menos un ataque basado en USB

El informe State of the Phish 2022 de Proofpoint también confirma este repunte. Más de la mitad (54%) de las organizaciones mundiales informaron de ataques basados en USB en 2021, un aumento de más del 15% con respecto a 2020. En el caso de España, solo un 41% de las empresas dicen haber sufrido por lo menos un ataque basado en USB, pero un 77% hace simulaciones de este tipo de amenazas como parte de sus programas de formación en materia de seguridad.

Estos sofisticados ataques van mucho más allá de dejar una memoria USB en la recepción de una empresa o de lanzarla por encima de una valla en un aparcamiento. Sin embargo, ambas vías de ataque pueden ser muy eficaces con una etiqueta atractiva en la memoria. Un mensaje tipo "Plan de bonificación anual" puede despertar la curiosidad de la víctima, mientras que "Fotos de la boda de Janice" despertará su generosidad a la hora de devolver los datos a su "propietario".

Modelos de ataque

La mayoría de los responsables de la seguridad no consideran una opción aceptable bloquear o prohibir los USB en su entorno. Muchos componentes informáticos utilizan el USB para introducir el ratón y el teclado, o para la conectividad de la cámara web, y el personal depende de él para cargar sus dispositivos personales. Los CISOs tienden a percibir que la amenaza proviene de la pérdida de datos y se sienten cómodos cuando la DLP está en marcha. Sabemos que no todas las DLP son iguales, y que puede ser una carga mantener una política de DLP decente, por lo que es preocupante que ésta no sea la única vía de ataque.

Históricamente, los ataques por USB eran sólo una vía de transporte alternativa para los archivos maliciosos, pudiendo contener documentos de MS Office con macros maliciosas, o archivos ejecutables que tentaban al usuario a hacer clic en ellos. Su capacidad para eludir varias capas de la infraestructura de control y entregar el malware directamente al punto final era una ventaja enorme (para el atacante), pero esto se veía ligeramente socavado porque los ataques USB tienen una latencia mayor que los que son por correo electrónico, por lo que la protección del punto final podía actualizarse y potencialmente bloquear el ataque antes de que llegara.

Los ataques más recientes se han trasladado al "HID (Human Interface Device) Spoofing", en el que la memoria USB se hace pasar por un teclado. Al insertarlo, se registra como un teclado/ratón y entrega comandos, automatizando un ataque como si el hacker estuviera sentado en un escritorio. Esta técnica de "BadUSB" es la que utilizó FIN7 para iniciar las primeras etapas de su reciente ataque de ransomware.         

Otro ataque que fue aún más destructivo, aunque mucho más localizado, fue el llamado "USBKill". Convirtió la memoria USB en un inyector de voltaje, capaz de provocar una sobrecarga de energía en la placa base que haría irrecuperables los datos del PC. Mientras que esto podría considerarse una pequeña molestia en un entorno corporativo, no debe subestimarse su potencial de interrupción de la actividad en entornos de tecnología operativa (OT).

Solución

Aunque ser consciente del potencial de daño que tiene un puerto USB para la organización es un paso aconsejable, quizás es más importante buscar una solución que sea práctica. Un importante proyecto en el Reino Unido se tomó en serio la seguridad HID y exigió que todos los teclados y ratones se limitaran a un modelo específico, incluido en su lista blanca de dispositivos aceptados. Esto funcionó en un proyecto que tenía una duración limitada, pero sería casi imposible en un entorno corporativo internacional que está en constante cambio.

Otras empresas tratan de crear listas blancas de los controladores de software que se pueden ejecutar. Una vez más, se trata de un control plausible, pero su puesta en práctica es difícil a la hora de gestionar la seguridad de una organización global en rápido movimiento. La prevención de la pérdida de datos es esencial, pero su eficacia debe basarse en sólidos controles técnicos y aplicarse automáticamente en un entorno de datos bien mantenido y gestionado por personal formado en seguridad de datos.

Todo esto nos lleva de nuevo al usuario. La flexibilidad del USB ha mantenido su posición en el mundo tecnológico. En consecuencia, los atacantes buscarán la manera de diseñar su malware, física y socialmente, para aprovechar esa accesibilidad universal. Una plantilla bien formada, conocedora de sus responsabilidades, que comprenda las amenazas y esté continuamente informada de las últimas defensas, proporcionará la mejor protección.

Computing 814