5 de agosto de 2017

El tráfico SSL malicioso se ha duplicado en los últimos 6 meses

La empresa de seguridad en la nube Zscaler acaba de publicar un nuevo informe en el que habla sobre este preocupante hecho. Esta empresa de seguridad nos explica cómo cada vez es más frecuente encontrarse con tráfico malicioso oculto a través de conexiones cifradas SSL/TLS. La empresa de seguridad ha asegurado que de todo el tráfico que filtra, casi el 60% es tráfico malicioso, tráfico que, además, en los últimos 6 meses se ha duplicado.
El protocolo SSL es el encargado de proteger las conexiones que establecemos con otros servidores a través de Internet de manera que estas, además de estar cifradas (evitando que otros puedan hacerse con la información que enviamos) estén autenticadas (aunque no es obligatorio) para evitar ataques MITM donde un atacante pueda modificar la información en un punto intermedio de la conexión. Mientras que el aumento del tráfico SSL es bueno de cara a un Internet más seguro, también aparecen otros problemas, y es que, igual que las conexiones legítimas se cifran, también lo hacen las conexiones del malware.
Los piratas informáticos suelen utilizar las conexiones SSL/TLS para ocultar prácticamente todas sus actividades, desde las conexiones con los servidores C&C de los virus y troyanos que distribuyen por la red hasta para llevar a cabo amenazas mucho más complejas especialmente dirigidas contra empresas.
De todo el tráfico malicioso que detecta y bloquea esta empresa de seguridad, a día de hoy, el 60% de todo él corresponde principalmente a 4 troyanos bancarios: Dridex, Zbot, Vawtrak y Trickbot, mientras que el 25% del tráfico corresponde al ransomware y el 12% a software espía y de robo de datos, quedando un 3% restante repartido entre las demás amenazas.
Actualmente es muy complicado controlar el 100% de los certificados que se emiten
Hace pocos años, implementar conexiones seguras SSL era un proceso muy complicado y, además, costoso, tanto en mano de obra para el servidor como para comprar el correspondiente certificado. Además, las conexiones HTTPS solían ser más lentas que las HTTP y el proceso de cifrado/descifrado de los datos consumir una valiosa cantidad de recursos. Sin embargo (y por suerte), las cosas han cambiado.
Hoy en día el uso de HTTPS no hace que los servidores vayan más lentos (todo lo contrario), ni es complicado implementar estas conexiones en servidores y plataformas web. Además, los certificados, que durante mucho tiempo las CA los han estado vendiendo muy caros, actualmente se pueden conseguir a un precio bastante asequible, e incluso gratis, si los generamos con Let’s Encrypt. Con el auge del IoT, además, la mayoría de las organizaciones no pueden controlar el 100% de los certificados, por lo que no es raro ver cómo muchos dispositivos quedan sin seguridad, poniendo en peligro organizaciones enteras.
Gracias a esto, cada vez son más las páginas web y los servidores que brindan seguridad a los usuarios. Sin embargo, tampoco podemos olvidarnos de que los piratas informáticos están utilizando, cada vez más, certificados HTTPS gratuitos, como los que ya hemos dicho, para hacerse pasar por páginas web fiables y poner más difícil a los usuarios el poder darse cuenta de que se trata de una página web maliciosa y escapar de ella.
Fuente: Redes Zone.net