Este documento resume los principales eventos de seguridad informática del tercer trimestre de 2014. Durante este periodo hubo ataques aprovechando eventos como el Mundial de Fútbol y la abdicación del Rey Juan Carlos en España. También se descubrieron vulnerabilidades en aplicaciones populares como Android, redes sociales y navegadores web. El ransomware comenzó a afectar a dispositivos Android.
2. www.eset.es
Como suele ser habitual, el tercer cuatrimestre
del año no ha defraudado en cuanto a seguri-dad
informática se refiere.
Durante estos meses hemos sido testigos cómo
los acontecimientos más relevantes del pano-rama
futbolístico y político han sido aprovecha-dos
por los cibercriminales, como han sido el
Mundial de Fútbol de Brasil 2014 y la abdicación
del Rey Don Juan Carlos.
También los sucesos más relevantes de la ac-tualidad
han sido aprovechados como gancho
para conseguir víctimas a través de las redes so-ciales,
como ha sido la lamentable muerte del
actor Robin Williams. O como la fraudulenta
venta de entradas para los conciertos de Ro-lling
Stones en nuestro país.
Las redes sociales han sido protagonistas, una
vez más, por problemas relacionados con la se-guridad
y con la privacidad, al igual que herra-mientas
tan populares como TweetDeck, por
ejemplo. Y sistemas de seguridad como el de
Paypal han sido protagonistas precisamente
por su inseguridad.
INTRODUCCIÓN
Android también se ha llevado la palma por varias
razones, pero quizá la más reseñable ha sido la
de la aparición de ramsonware para este sistema
operativo móvil, hasta ahora, casi desconocido.
El llamado Internet de las cosas sigue dando mu-cho
que hablar. Durante estos meses, nuevos agu-jeros
de seguridad descubiertos en las SmartTV y
en el nuevo sistema de alquiler de bicicletas en la
ciudad de Madrid se han llevado la atención de la
industria.
El spam y el phishing han seguido llevándose su
porción de protagonismo. Sobre todo el protago-nizado,
supuestamente, por Amancio Ortega, que
anunciaba que donaba toda su fortuna. Y el inten-to
de fraude bancario o el distribuido en falsas fac-turas
en pdf han sido otros intentos, infructuosos,
de conseguir víctimas de las que llevarse un bene-ficio
económico.
Los ataques de denegación de servicio a Sony a fi-nales
del mes de agosto, así como los numerosos
parches de seguridad publicados durante estos
meses cierran la crónica de un cuatrimestre esti-val
que lejos de ser tranquilo y relajado ha sido de
lo más movido y entretenido.
3. www.eset.es
Mayo fue un mes intenso en el mundo de la
seguridad informática por varios motivos rela-cionados
con la seguridad de aplicaciones uti-lizadas
por millones de usuarios, la privacidad
de nuestros datos o las estafas y engaños que
empiezan a aparecer con motivos del cercano
Mundial de futbol de Brasil.
Varios fueron los servicios online que vieron
comprometida su seguridad y, por ende, la de
los datos de sus usuarios. A principios de mes,
Bitly, el popular servicio acortador de enlaces
avisó en un comunicado que había sufrido una
brecha de seguridad y se habían visto compro-metidos
emails, contraseñas cifradas, creden-ciales
OAuth y claves API de los usuarios.
No obstante, la brecha de seguridad más co-mentada
durante mayo fue sin duda la sufri-da
por eBay. Al parecer, la empresa sufrió un
ataque que logró comprometer una base de
datos con contraseñas cifradas y otros datos
no financieros. Esto fue posible porque los ata-cantes
lograron obtener las credenciales de
acceso de algunos empleados. Tras anunciar el
incidente, eBay invitó a cambiar las claves a sus
millones de usuarios.
Otro caso parecido fue el de Spotify. La em-presa
anunció que había detectado un acceso
no autorizado a sus sistemas y que se habían
filtrado los datos de un usuario. Esto fue sufi-ciente
para que la empresa recomendara a sus
usuarios la actualización oficial para Android a
pesar de no haberse detectado más casos.
Seguridad en navegadores web
Otros de los protagonistas en las últimas se-manas
fueron varios de los navegadores de
Internet con más cuota de mercado. A prin-cipios
de mes, Microsoft solucionaba la grave
vulnerabilidad en Internet Explorer detecta-da
a finales de abril. No obstante, poco tiem-po
después conocíamos la existencia de una
nueva vulnerabilidad en Internet Explorer 8
con el agravante de que Microsoft había sido
informada de la misma el pasado octubre y la
empresa aún no hubiese corregido el fallo a
mediados de mayo.
MAYO: ataques a webs
populares como eBay
4. www.eset.es
Pero no sólo Internet Explorer fue protagonista en materia de seguridad. Tanto Google Chrome como Safari
publicaron parches de seguridad que solucionaban más de 30 vulnerabilidades cada uno, algunas lo suficiente-mente
críticas como para que un atacante que las aprovechase lograse comprometer la seguridad del sistema.
Mayo también fue un mes destacado en cuanto a la seguridad de sistemas y programas de código abierto. Por
una parte se desveló la existencia en GNU/Linux (ya resuelta) de una vulnerabilidad con cinco años de antigüe-dad
que afectaba a la mayoría de distribuciones del sistema operativo. La vulnerabilidad se encontraba en el
propio núcleo de sistema y permitía la ejecución de código arbitrario y la elevación de privilegios.
Por otro lado, el popular software de cifrado de código abierto TrueCrypt fue abandonado por sus desarrolla-dores
en un movimiento inesperado que cogió a todo el mundo por sorpresa. En su web se pueden encontrar
instrucciones para migrar al software de cifrado Bitlocker, alegando que se han encontrado fallos en TrueCrypt
que no lo hacen seguro.
Estafas en redes sociales
Las redes sociales también han sido utilizadas para todo tipo de engaños y estafas. El
falso sorteo de entradas para asistir a conciertos de artistas internacionales como los
Rolling Stones actuó como cebo para que miles de usuarios compartieran contenido
de terceros en sus muros si querían optar a una de las entradas inexistentes.
El laboratorio de ESET España también analizó en mayo otro tipo de engaños más
curiosos pero que sirven igualmente para atraer la atención de usuarios despreve-nidos
y confiados. Tiburones gigantes, fantasmas o todo tipo de extrañas criaturas
son utilizadas para despertar la curiosidad y conseguir que los usuarios descarguen
aplicaciones no deseadas o rellenen encuestas interminables con la excusa de ver un
vídeo impactante.
MAYO: ataques a webs
populares como eBay
5. www.eset.es
Un clásico que vuelve cada cierto tiempo son
las aplicaciones que permiten “descubrir quien
visitó tu perfil en Facebook”. Ciertamente, de
ser posible, esta característica sería una de las
más utilizadas por los usuarios pero de mo-mento
solo es una excusa para despertar nues-tra
curiosidad y hacer que pulsemos donde no
debemos.
Privacidad en entredicho en Android y ran-somware
en Apple
Con lo que respecta a dispositivos móviles,
tanto Android como iPhone fueron protagonis-tas.
Un investigador descubrió como acceder
a la cámara de unestro Smartphone sin que
fuéramos conscientes de ello, tomar fotogra-fías
y subirlas luego a Internet. Sin duda, algo
preocupante si valoramos nuestra privacidad.
En cuando a Apple, varios usuarios de Australia
y Nueva Zelanda informaron que sus disposi-tivos
habían sido bloqueados y mostraban un
mensaje solicitando un rescate. Este hecho,
que podría relacionarse con una variante del
“Virus de la Policía” parece haber sido conse-cuencia
del robo de las credenciales de estos
usuarios y el bloqueo del dispositivo a través
de la característica “find my iPhone” del servicio
iCloud que proporciona Apple a sus usuarios.
Precisamente estos casos de ransomware em-pezaron
a verse también en dispositivos An-droid,
bloqueando los terminales y solicitando
el pago de un rescate a sus usuarios. Si bien es-tas
variantes no estaban tan elaboradas como
las que hemos ido observando en sistemas
Windows y resultaban más sencillas de elimi-nar,
son un aviso de lo que podría pasar si no se
toman las medidas adecuadas.
Para luchar contra las bandas de crimen orga-nizado
y delincuentes que utilizan herramien-tas
para controlar nuestros ordenadores en
contra de nuestra voluntad, el FBI lanzó una
operación en la que consiguieron detener al-rededor
de 100 personas que utilizaban Black-shades,
una herramienta de control remoto.
Acciones como estas ayudan a frenar el avan-ce
de estas actividades delictivas aunque aún
queda mucho camino por recorrer.
MAYO: ataques a webs
populares como eBay
6. www.eset.es
Junio estuvo marcado por el comienzo del
Mundial de Fútbol en Brasil y los delincuentes
no quisieron perderse la cita, por lo que prepa-raron
Fútbol
todo tipo de engaños y amenazas con los
que engatusar a los usuarios más despreveni-dos.
Además de los correos electrónicos con
falsas loterías del Mundial o reventa de entra-das
que vimos en meses pasados, durante ju-nio
observamos también nuevas estrategias
de utilizadas por los delincuentes.
De todos es sabido que el mayor atractivo para
Mundial los aficionados del fútbol es disfrutar de las ju-gadas
de su equipo con sus amigos alrededor
de un televisor. No obstante, a veces es difícil
ver un partido en concreto si no lo emiten en
abierto y se empiezan a buscar alternativas en
páginas web. Conocedores de esto, los delin-cuentes
han estado preparando varias webs
fraudulentas desde donde supuestamente se
pueden ver todos los partidos del Mundial pero
que en realidad descargan un molesto spyware.
JUNIO: ensueño virtual. Anonymous tampoco quiso faltar a la cita
mundialista y ya desde antes de la inaugura-ción
comenzó una campaña contra decenas de
sitios web relacionados de alguna forma con
la celebración de este evento deportivo. Esta
campaña incluía tanto ataques de denegación
de servicio distribuidos (DDoS), que dejó ino-perativas
durante varias horas muchas de las
webs atacadas, como la modificación de las
webs en forma de defacements (cambios in-tencionados
y realizados por terceros en webs
con fallos de seguridad).
Los ataques se han trasladado incluso al Mun-dial
virtual que celebran cada día en sus casas
miles de jugadores en sus videoconsolas y or-denadores.
El popular videojuego FIFA 14 in-cluye
un modo conocido como Ultimate Team
que causa furor entre los aficionados a este
juego. Durante el Mundial vimos cómo los
delincuentes intentan atraer a estos jugado-res
a sitios webs fraudulentos para que intro-duzcan
sus credenciales de acceso con la falsa
promesa de proporcionarles alguno de los me-jores
jugadores disponibles para su equipo de
y ramsonware para Android
7. www.eset.es
Primeros ataques de ransomware en Android
En junio también hemos visto cómo la amenaza del ransomware ha empezado a dar sus primeros pasos en el
sistema operativo Android. A principios de mes analizábamos una de las primeras muestras detectadas de este
tipo de malware que además cifra ficheros en el dispositivo infectado, solicitando el pago de un rescate para
desbloquear el terminal y descifrar los archivos del usuario.
Sólo un par de semanas después volvíamos a analizar variantes de este tipo de amenaza con nuevas funcio-nalidades
código malicioso que afectase a teléfonos móviles. JUNIO: Mundial de Fútbol
que estaban empezando a utilizar un sistema de distribución similar al utilizado durante bastante
tiempo en sistemas de sobremesa. Mediante la descarga de aplicaciones maliciosas procedentes de webs con
contenido para adultos o falsos juegos, los delincuentes son capaces de instalar nuevas variantes de sus crea-ciones
en los terminales previamente infectados, variantes que incluyen funcionalidades como la utilización
de la red Tor o diferentes pantallas de bloqueo del dispositivo.
Por su parte, Google realizó cambios importantes en el funcionamiento de los permisos que solicitan las apli-caciones
al usuario en su sistema operativo Android cuando se instalan. Agrupando los 143 permisos posibles
en 13 categorías, se intenta hacer más sencilla la tarea de reconocimiento y aprobación de permisos por parte
del usuario. Sin embargo, el hecho de que aceptar una categoría otorgue la aprobación de todos los permisos
que incluye puede hacer más difícil la identificación de aplicaciones maliciosas, ya que un atacante puede ca-muflar
un permiso no deseado entre el resto de permisos contenidos en esa categoría.
En este mes también celebramos una conmemoración especial. Nada menos que el décimo aniversario del
descubrimiento de la primera amenaza para teléfonos móviles, el gusano Carib/Caribe. Esta prueba de con-cepto
fue obra de un investigador español perteneciente a un prestigioso grupo de creadores de virus sin fina-lidad
delictiva que demostró lo que hasta ese momento habían sido solo conjeturas: la posibilidad de crear un
y ramsonware para Android
8. www.eset.es
Novedades en los troyanos Zeus y
Cryptolocker
La familia de malware Zeus y sus derivados tam-bién
han tenido un importante protagonismo. A
principios de mes conocíamos la noticia ofrecida
por el Departamento de Justicia de Estados Uni-dos
anunciando que, gracias a esfuerzos interna-cionales,
se había conseguido desbaratar la botnet
GameOver Zeus y la infraestructura detrás del ran-somware
Cryptolocker.
No obstante, a pesar de este logro, Zeus y sus va-riantes
o imitadores siguen dando que hablar y así
se demostró con el descubrimiento a mediados
de mes de Dyreza, un troyano bancario capaz de
saltarse el protocolo SSL para simular conexiones
seguras en webs de entidades financieras. De esta
forma, este troyano consigue interceptar el tráfi-co
entre la máquina infectada y la web a la que se
está conectando, independientemente de si utili-zamos
Internet Explorer, Google Chrome o Mozilla
Firefox.
Otro claro ejemplo de que Zeus se resiste a morir es
que también se han detectado en los laboratorios
de ESET varias muestras de correos electrónicos
con falsas facturas comprimidas con contraseña.
Esta técnica sencilla busca eludir los filtros antis-pam
y antivirus, y puede ocasionar que un usuario
descuidado infecte su sistema.
JUNIO: Mundial de Fútbol
y ramsonware para Android
A pesar de lo simple de esta estrategia no duda-mos
en afirmar que si los delincuentes la siguen
utilizando es porque aún funciona.
Fallos en Tweetdeck
Con respecto a vulnerabilidades destacables du-rante
el pasado mes, muy probablemente la que
más repercusión obtuvo fue la aprovechada por
varios usuarios en la popular aplicación de ges-tión
de cuentas y listas de Twitter, Tweetdeck.
Bastaron unas pocas horas para que miles de
usuarios en todo el mundo empezaran a ver ven-tanas
emergentes en su aplicación simplemente
al visualizar tweets de otros usuarios que conte-nían
código y que Tweetdeck ejecutaba cuando
no debería.
Este incidente se saldó como una anécdota, pero
podría haber sido mucho más grave si la respues-ta
de los desarrolladores no hubiera sido rápida y
si alguien hubiese decidido aprovechar esta nueva
“característica” para obligar a todos los que visua-lizasen
un tweet especialmente modificado a que
accedieran a la descarga de un código malicioso.
9. www.eset.es
Otra herramienta muy utilizada y que vio comprometida su seguridad fue el complemento All in One SEO Pack
de Wordpress. La empresa responsable de este complemento tuvo que lanzar una actualización para corregir
una vulnerabilidad que permitía escalar privilegios a un usuario sin derechos de administrador, pudiendo así
llegar a cambiar parámetros como el título de un post, su descripción o las etiquetas utilizadas, algo que haría
descender su posicionamiento en los motores en búsqueda y, en consecuencia, la cantidad de visitas recibidas.
El Internet de las cosas y las noticias de actualidad, fuente de amenazas
El Internet de las cosas siguió dando de que hablar en cuanto a seguridad y uno de sus dispositivos más re-presentativos,
las SmartTV, demuestran que aún están lejos de alcanzar una seguridad adecuada. Una de las
características más interesantes de estos televisores es la posibilidad de utilizar aplicaciones interactivas. Sin
embargo, una mala implantación de estas características permite que muchas de las SmartTV que hay actual-mente
puedan ser susceptibles a ataques como el robo de credenciales.
Una de las noticias más destacables del mes y de lo que llevamos de año ha sido,
sin duda, la abdicación del Rey Juan Carlos I en favor de su hijo Felipe VI. Sabedores
de la relevancia de esta noticia, los delincuentes no han perdido el tiempo y la han
aprovechado, por ejemplo, para mostrar la imagen del nuevo rey en los casos más
recientes del ransomware conocido popularmente como “Virus de la Policía”.
El phishing sigue intentando engañar a los usuarios de banca online con diferentes
resultados. Por un lado tenemos a delincuentes que preparan webs prácticamente
idénticas a las originales y las propagan en correos electrónicos bien redactados
como el caso que analizamos y que suplantaba a Bankia.
En el otro lado tenemos a aquellos delincuentes que no se esmeran y que dedican
poco esfuerzo confiando en que algún incauto picará. También analizamos casos
de este estilo en las últimas semanas, como el de una campaña de phishing que
intentaba suplantar a la entidad Cajamar con poco éxito.
JUNIO: Mundial de Fútbol
y ramsonware para Android
10. www.eset.es
Este mes también se descubrió un fallo en la biblio-teca
donde esté. JUNIO: Mundial de Fútbol
para comunicaciones seguras GnuTLS. Esta
biblioteca es utilizada en varios de los sistemas
GNU/Linux más populares como Ubuntu, Red Hat
o Fedora y permite que estos sistemas dispongan
de una forma segura de comunicarse en un medio
inseguro. El fallo descubierto y resuelto permitiría
que se truncara la comunicación cliente – servidor,
provocando un desbordamiento de memoria y pu-diendo
llegar a ejecutar código de forma remota.
La privacidad de los usuarios volvió a estar de ac-tualidad
con nuevas filtraciones de documentos
de Snowden que demostraron que, para las agen-cias
de espionaje gubernamentales como la NSA,
nuestra imagen es igual de importante que la in-formación
que compartimos en Internet. El uso de
tecnologías avanzadas de reconocimiento facial
permite que, a partir de fotografías como los po-pulares
“selfies”, se pueda generar una base de da-tos
a nivel mundial con la que contrastar informa-ción
y reconocer a un individuo en segundos allá
y ramsonware para Android
11. www.eset.es
Muchas y variadas han sido las noticias relacionadas con la seguri-dad
informática durante el pasado mes de julio, lo que demuestra
una vez más que los ciberdelincuentes no detienen su actividad ni
en verano. Como cada mes, se han descubierto vulnerabilidades
en varias aplicaciones y sistemas utilizados por una elevada can-tidad
de usuarios. El conocido sistema de pago online PayPal vio
cómo su sistema de autenticación de doble factor tenía un fallo
que podría permitir a un atacante acceder a las 143 millones de
cuentas que la compañía tiene actualmente. El agujero de segu-ridad
se encontraba en la versión para móviles de PayPal, que se
está utilizando cada vez más y que no siempre incorpora las me-didas
de seguridad adecuadas.
En su ciclo mensual de publicación de parches de seguridad Microsoft resolvió varias vulnerabilidades, mu-chas
de ellas relacionadas con su navegador Internet Explorer. Especialmente destacable es la relacionada
con una vulnerabilidad que permitía a un atacante ejecutar código remotamente cuando el usuario navega-se
con Internet Explorer por una web especialmente modificada.
Adobe también aprovechó para publicar parches de seguridad en su programa Flash que solucionaba varias
vulnerabilidades en las diferentes versiones disponibles para Windows, GNU/Linux y Mac OS. Siguiendo con
vulnerabilidades, una de las que más llamó la atención fue la que publicó Microsoft alertando de la existen-cia
de certificados falsos de Google. Este descubrimiento provocó que Microsoft publicara una actualización
de emergencia que revocara estos certificados fraudulentos. De no haberlo hecho, estos certificados fraudu-lentos
podrían hacer pasar una web maliciosa por otra de plena confianza para la mayoría de navegadores.
Gobiernos contra la privacidad en la red
La conocida red Tor, utilizada para mejorar la privacidad cuando navegamos por Internet también se vio
afectada al descubrirse que, durante cinco meses, un numero elevado de sus nodos intermedios eran mali-ciosos
y esto podría llevar a identificar a los usuarios y la información que se estaba compartiendo mediante
esta red. Ransomware bancario
JULIO: amenazas nigerianas
y fallos en aplicaciones
12. www.eset.es
Respecto a los casos de malware que analizó el laboratorio de ESET durante el mes de julio destacan los rela-cionados
con los troyanos bancarios. Por ejemplo, Zeus, uno de los troyanos bancarios más veteranos pero que
se resiste a desaparecer y que ha evolucionado de robar información personal -como credenciales bancarias- a
aliarse con otro tipo de malware bastante popular hoy en día como es el ransomware. Prueba de ello es el recien-te
desmantelamiento de la botnet Gameover Zeus que tendría entre 500.000 y un millón de sistemas afectados
y habría obtenido un beneficio de 27 millones de dólares.
También llamó la atención el descubrimiento por parte de investigadores de ESET de un troyano bancario orien-tado
principalmente a usuarios japoneses. Esta amenaza identificada como Win32/Aibatook se aprovecha de
una vulnerabilidad en Java e infectaba a usuarios de Internet Explorer cuando estos visitaban sitios web con
contenido pornográfico de Japón.
Fallos resueltos en redes sociales
Facebook, la conocida red social también se anotó un tanto al colaborar en el desmantelamiento de Lecpetex,
una botnet con más de 250.000 sistemas infectados dedicada al robo de bitcoines. Mediante el uso de publi-caciones
en Facebook e ingeniería social, los delincuentes conseguían que los usuarios se descargasen ficheros
que se hacían pasar por fotografías inofensivas. Sin embargo, estos ficheros contenían aplicaciones Java mali-ciosas
que infectaban la máquina del usuario que las abriese.
Precisamente Facebook fue utilizada por criminales sin escrúpulos para propagar engaños camuflados de fal-sas
webs de homenaje a las víctimas del vuelo MH17 abatido en Ucrania. En estos perfiles falsos se aseguraba
disponer de vídeos inéditos de la tragedia aérea pero en realidad se perseguía redirigir a los usuarios a otro tipo
de contenido que va desde farmacias online a webs con contenido pornográfico, pasando por las repetitivas e
interminables encuestas online.
Instagram, red social especializada en compartir fotografías, se vio afectada por un fallo en su aplicación para
dispositivos móviles que permitía interceptar en una red WiFi insegura buena parte de las comunicaciones reali-zadas
por los usuarios, algo que podría llevar incluso a tomar el control de una cuenta. Para demostrar el riesgo
y darle la importancia que tiene, el investigador que descubrió la vulnerabilidad ha desarrollado una herramien-ta
conocida como Instasheep que permite automatizar el robo de esta información privada.
JULIO: amenazas nigerianas
y fallos en aplicaciones
13. www.eset.es
Malware evolucionado desde el PC al móvil
Los dispositivos móviles, especialmente los que cuentan con Android, siguen viendo cómo las amenazas
orientadas a esta plataforma aumentan cada vez. Uno de los casos más preocupantes que va apareciendo
cada vez con más frecuencia es el ransomware “Virus de la Policía”, algo conocido desde hace año en ordena-dores
de sobremesa pero que recientemente ha dado el salto a dispositivos móviles.
Simplocker es una de esas amenazas que ha ido evolucionando rápidamente en los últimos meses y que es
capaz de bloquear nuestro dispositivo y mostrar mensajes amenazantes para conseguir que paguemos un
rescate. En el análisis que realizó el laboratorio de ESET, se observó cómo había evolucionado en poco tiempo
y ahora se hace pasar por una notificación del FBI para conseguir que la víctima muerda el anzuelo.
Además del malware desarrollado para Android también hay que tener en cuenta los fallos propios del siste-ma.
Uno de los que más ha dado que hablar recientemente es el que anuncia a los cuatro vientos el histórico
de ubicaciones donde hemos estado y las últimas 15 redes WiFi a las que nos hemos conectado, incluso aun-que
tengamos el móvil en reposo, con la pantalla apagada y sin conectar a una red WiFi.
Servicio público de alquiler de bicicletas como gancho para ciberdelincuentes
A principios de mes, se ponía en funcionamiento en Madrid una iniciativa para el alquiler público de bici-cletas.
Este proyecto, que ya ha resultado exitoso en otras localidades españolas, demostró tener graves
problemas de seguridad a la hora de gestionar los datos de los usuarios e incluso porque permitiría a un ata-cante
enviar notificaciones falsas a quien tenga la aplicación móvil instalada. Por si fuera poco, los kioskos
interactivos dispuestos para darse de alta en la calle fueron fácilmente vulnerados y mostraron contenido
pornográfico durante varias horas.
Otro dispositivo que vio cómo era utilizado con otro propósito distinto al original fue un cajero automático
que unos hackers consiguieron modificar para poder jugar al clásico Doom. Con unos pocos ajustes, estos
investigadores aprovecharon el sistema operativo que incorporan muchos de estos cajeros (un Windows XP
modificado) y los rudimentarios teclados para poder jugar a un clásico de los videojuegos.
JULIO: amenazas nigerianas
y fallos en aplicaciones
14. www.eset.es
El spam sigue dando que hablar
El conocido spam también dio que hablar con
dos ejemplos de cómo técnicas antiguas siguen
siendo efectivas. En el primero de los casos que
se analizó en el laboratorio de ESET, los delin-cuentes
se hacían pasar por la Hacienda de El
Salvador y adjuntaban un supuesto documen-to
PDF con las instrucciones necesarias para
evitar una sanción administrativa. En realidad,
ese documento se trataba de un fichero ejecu-table
pero, gracias a una propiedad de los ca-racteres
Unicode, los delincuentes conseguían
hacer creer que la extensión verdadera era la
del popular formato de documento de Adobe.
También clásico fue el caso de spam que se
analizó en el blog de ESET según el cual un ci-berdelincuente
se hacía pasar por el millonario
propietario de la cadena Inditex, Amancio Or-tega,
y nos ofrecía una importante cantidad
de dinero a cambio de proporcionar nuestros
datos y ayudar a realizar una iniciativa en favor
de niños desfavorecidos. Este nuevo caso de las
conocidas como estafas nigerianas suplanta
la identidad de un personaje reconocido para
engañar a los usuarios, dando la casualidad de
que en esta ocasión se tratara de un ciudadano
español.
El conflicto entre Israel y los palestinos de la
franja de Gaza también estuvo presente cuan-do
se supo que se habían filtrado documentos
confidenciales sobre el sistema de defensa
anti-misiles de Israel, también conocido como
“Cúpula de Hierro”. De nuevo todos los dedos
apuntan a China, quien ya ha sido protagonis-ta
de casos similares, como principal sospe-choso
de haber accedido a las redes de tres de
los contratistas militares a los que el gobierno
de Israel compra material bélico.
Por último, hay que destacar la iniciativa “Pro-ject
Zero” de Google para crear un grupo de
expertos en seguridad informática que se en-cargarán
de buscar vulnerabilidades críticas
en sistemas y alertar de las mismas a los fabri-cantes
antes de que puedan ser aprovechadas
por los delincuentes. Entre los integrantes de
este grupo de expertos en seguridad encon-tramos
a rostros tan conocidos como George
“GeoHot” Hotz o avis Ormandy.
JULIO: amenazas nigerianas
y fallos en aplicaciones
15. www.eset.es
Agosto ha sido un mes cargado de noticias relacionadas con la seguridad informática, especialmente por-que
es el mes en el que se celebran las dos conferencias más importantes de la industria: BlackHat y Defcon,
conferencias que reúnen durante unos días a miles de investigadores de todos los rincones del planeta para
analizar las tendencias que se verán en los próximos meses o años. El tema estrella este año en las dos con-ferencias
fue, sin duda, el Internet de las cosas.
El auge de todo tipo de dispositivos conectados a Internet no es ninguna novedad pero su expansión está
pillando desprevenidos a la mayoría de usuarios y fabricantes. De eso se están empezando a aprovechar los
delincuentes y, gracias a la labor de los investigadores, se pueden reconocer cuáles son los puntos débiles de
nuestros dispositivos conectados a Internet para tratar de solucionar sus vulnerabilidades o, por lo menos,
mitigarlas.
Prueba de ello fueron charlas como la del español Jesús Molina, quien, mientras estaba alojado en un lujoso
hotel en China, consiguió acceder al sistema que controlaba toda la domótica de su habitación, demostran-do
que podía modificar varios parámetros, como la intensidad de la luz, el control remoto de la televisión y
la radio o las persianas. Otra de las charlas que más expectación generó fue la del investigador Charlie Miller
que continuó su investigación del año anterior y analizó las vulnerabilidades en los coches modernos desde
el punto de vista informático. Esta vez fueron varios los modelos analizados y se descubrieron nuevos vecto-res
de ataque, como los navegadores integrados en el sistema de entretenimiento e incluso los puertos USB.
Por su parte, el español Rubén Santamarta, presentó su investigación sobre los fallos de seguridad en los
sistemas de comunicación por satélite, especialmente en los receptores. Santamarta demostró que muchos
de los sistemas de recepción no se encuentran lo suficientemente aislados y seguros, con lo que un atacante
puede modificar el firmware de los dispositivos para realizar acciones maliciosas o incluso interferir en otros
sistemas que estén interconectados. Como último ejemplo de que el Internet de las cosas es un campo en el
que queda mucho trabajo por hacer en materia de seguridad, Gene Bransfield explicó cómo convertir a un
perro y a un gato en temibles ciberarmas usando herramientas de bajo presupuesto.
AGOSTO: el Internet de las
cosas y sus fallos de seguridad
16. www.eset.es
En lo que se refiere a las amenazas relacionadas con los dispositivos móviles, también en BlackHat, un par de
investigadores demostraron como aprovecharse de vulnerabilidades en el sistema OMA, que integran alre-dedor
de 2.000 millones de teléfonos móviles en todo el mundo, para ejecutar comandos de forma remota y
mediante los cuales un atacante podría tomar el control del dispositivo.
En ambas conferencias se habló en detalle de las vulnerabilidades en los dispositivos USB, que permitirían
infectar sistemas con tan sólo conectar cualquier dispositivo USB, desde un pendrive a un teclado, y sin solu-ción
disponible actualmente. No obstante, la dificultad para conseguir modificar el firmware necesario para
hacer este tipo de ataques limita mucho su alcance, aunque no debemos bajar la guardia.
Robos de información confidencial
Durante el mes de agosto hemos asistido a numerosos casos de robo de información confidencial. Comen-zaba
el mes con la noticia de la filtración de unas 76.000 cuentas de desarrolladores de la fundación Mozilla.
Al parecer, un fallo en un proceso de desinfección de la base de datos de la web Mozilla Developer Network
(MDN) terminó con la exposición accidental de las direcciones de correo de los desarrolladores y de varios
miles de contraseñas cifradas.
Al poco tiempo saltó la noticia de que un misterioso grupo de delincuentes rusos había robado alrededor de
1.200 millones de usuarios y contraseñas y más de 500 millones de direcciones de correo electrónico. Entre
estos datos se encontraban usuarios y empresas de todo tipo, datos obtenidos del mercado negro, redes so-ciales
o incluso procedentes de vulnerabilidades en sitios web para robar los datos de sus usuarios.
Además, UPS, la mayor empresa de logística y transporte del mundo también comunicó que había sufrido
un ataque debido al cual se había robado la información bancaria de sus clientes en 51 oficinas en Estados
Unidos en una operación que había durado 7 meses, entre enero y agosto. Aunque la empresa afirmó no ser
consciente de que se hubieran producido fraudes relacionados con este incidente, es más que probable que
estos datos ya estén en el mercado negro o en manos de algún delincuente.
Sin embargo, el robo de datos más impactante del que tuvimos constancia el mes pasado fue el que se pro-dujo
en los sistemas relacionados con la investigación del vuelo MH370. Según se supo, se trató de un ataque
dirigido a algunos de los responsables de esta investigación realizado desde una IP en China. Aunque la so-
AGOSTO: el Internet de las
cosas y sus fallos de seguridad
17. www.eset.es
fisticación del malware tampoco era excesiva, el atacante consiguió su objetivo al propagar un mensaje con
información falsa en los momentos posteriores a este accidente aéreo.
Vulnerabilidades móviles en Android y iOS
Los dispositivos móviles también han tenido una importante cuota de protagonismo. Desde el laboratorio
de ESET se ha analizado todo tipo de malware, dirigido especialmente a Android, como Krysanec.
Este malware suplanta varias aplicaciones legítimas para Android en tiendas oficiales e instala una herra-mienta
de control remoto que permite al atacante tener casi el control total del dispositivo.
No fue el único caso de malware para Android que se analizó en agosto, ya que el ransomware o “Virus de
la Policía” volvió a hacer acto de presencia con una versión renovada y más elaborada que las anteriores. En
este caso, los delincuentes muestran mensajes de alerta mientras el usuario navega a través de su móvil y le
incitan a descargar aplicaciones de seguridad que son en realidad un troyano. Una vez conseguido su obje-tivo,
el malware bloquea el terminal y cifra los datos almacenados, pidiendo un rescate al usuario si quiere
volver a tener el control del dispositivo.
De diferente manera, pero con el mismo objetivo de ganar dinero a costa de usuarios de iOS (iPhone, iPad)
con Jailbreak infectados, se analizó Adthief. Este malware suplanta la identidad del creador de una aplicación
y consigue que los beneficios por publicidad de la misma vayan a parar al delincuente en lugar de al desarro-llador.
Se calcula que 75.0000 dispositivos iOS con jailbreak se han visto afectados y que los delincuentes
habrían obtenido el beneficio de unos 22 millones de anuncios vistos por los usuarios.
Para terminar con los temas de seguridad en dispositivos móviles, durante este mes se presentaron los re-sultados
de una investigación en la que se demostraba cómo una aplicación maliciosa puede capturar datos
de otra instalada en el dispositivo, a pesar de que, supuestamente, esto no estaría permitido. Las pruebas se
realizaron en Android pero los investigadores creen que otros sistemas como iOS o Windows Phone también
podrían verse afectados.
AGOSTO: el Internet de las
cosas y sus fallos de seguridad
18. www.eset.es
Actualizaciones de seguridad
En su ciclo de actualizaciones periódicas cada
segundo martes de mes, Microsoft corrigió
varias vulnerabilidades pero también provocó
que algunos sistemas se colgasen y entraran
en un bucle infinito de reinicios por culpa de un
parche defectuoso. Tras confirmar este proble-ma,
Microsoft retiró el parche temporalmente
para volverlo a lanzar a finales de mes.
Por su parte, Google publicó la versión 37 de su
navegador Chrome, solucionando así 50 aguje-ros
de seguridad y mejorando su estabilidad y
funcionalidad. También anunció un cambio de
política a la hora de priorizar los resultados en
su buscador, permitiendo que aquellos sitios
web que utilicen el protocolo HTTPS aparezcan
en los primeros puestos.
Tanto Google como Microsoft anunciaron en
agosto la colaboración que habían realizado
con las fuerzas de seguridad para ayudar en la
detención de dos pedófilos. Al parecer, los de-tenidos
habían utilizado Gmail y Onedrive para
almacenar imágenes de pornografía infantil.
Esta operación despertó, no obstante, los rece-los
de algunos usuarios al confirmarse que las
dos empresas revisan los correos de sus usua-rios.
La muerte de Robin Williams fue utilizada en
redes sociales por usuarios sin escrúpulos que
afirmaban poseer un vídeo con las últimas pa-labras
del actor antes de morir. Aquellos usua-rios
que pincharan en el falso vídeo eran re-dirigidos
a todo tipo de webs sin relación con
la noticia y terminaban rellenando encuestas
kilométricas, viendo cómo les ofrecían medi-camentos
de forma ilegal o suscribiéndose a
servicios de mensajes SMS de tarificación es-pecial.
A finales de mes, tanto Sony como Microsoft
(en menor medida) vieron cómo sus servicios
de juego online Playstation Network y XBOX
Live sufrían ataques de denegación de servi-cio.
Por los comentarios lanzados por algu-nos
usuarios de Twitter, los motivos fueron
demostrar la pobre infraestructura con la que
contaban estas plataformas en materia de se-guridad.
No obstante, fuera del mundo virtual
también se emitió un falso aviso de bomba
que provocó que el avión en el que volaba en
ese momento el presidente de Sony Online En-tertainment
tuviera que aterrizar en un aero-puerto
antes de llegar a su destino.
AGOSTO: el Internet de las
cosas y sus fallos de seguridad
19. www.eset.es
¡¡SÍGUENOS EN LAS REDES!!
SOBRE ESET
Fundada en 1992, ESET es un proveedor global de software de seguridad para empresas y consumidores.
El líder de la industria en detección proactiva de malware, ESET NOD32 Antivirus, posee el récord mundial en nú-mero
de premios VB100 de Virus Bulletin, sin haber dejado de detectar nunca ni un solo gusano o virus “in the wild”
(activo en el mundo real) desde la fundación de las pruebas en 1998.
ESET tiene sus oficinas centrales en Bratislava (Eslovaquia) y oficinas en San Diego (EE.UU.), Buenos Aires (Argen-tina),
Praga (República Checa) y una amplia red de partners en 160 países. En 2008, ESET abrió un nuevo centro de
investigación en Cracovia (Polonia).
ESET fue incluida en la lista Technology Fast 500 de Deloitte como una de las compañías tecnológicas de más rápido
crecimiento en la región de Europa, Oriente Medio y África.