• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Fallo de diseño pone en peligro la seguridad de Internet

Si hace poco nos hacíamos eco de una grave vulnerabilidad en el protocolo DNS, que fue solucionada con una actualización coordinada por varias empresas, ahora es otro de los protocolos en los que se basa Internet el que presenta un grave fallo de diseño. Este error en el diseño del protocolo BGP permitiría a un atacante desviar tráfico desde cualquier lugar del mundo a un centro de control para, posteriormente, reenviarlo (con algún cambio) a su destino original.

Cabe destacar que no se trata de una vulnerabilidad descubierta en el protocolo usado para el intercambio de tráfico en la red, si no una manera de sacar un provecho (para el cual no estaba pensado originalmente) a la arquitectura de BGP.

Varios investigadores están estudiando la manera de solucionar este problema (igual que se hizo con la vulnerabilidad DNS) aunque no se espera que la solución sea inmediata.

Si nuestros lectores desean aprender como funciona este protocolo, existen documentos que lo explican con detalle, así como también sitios web que se hacen eco de esta noticia y explican el riesgo que podría suponer aprovechar la arquitectura de este protocolo con fines maliciosos.

Josep Albors

Código malicioso afecta a la ISS

Por extraño que parezca, ni siquiera los astronautas en misiones fuera de la atmosfera terrestre están a salvo de los códigos maliciosos. Los últimos informes enviado por los astronautas en la Estación Espacial Internacional indican que se detectó un código malicioso del tipo Win32/PSW.OnLineGames (según la nomenclatura usada por ESET).

Al parecer, la infección se produjo al introducir uno de los astronautas una tarjeta de memoria que contenía el malware. Por suerte para los tripulantes, esta amenaza solo se dedica a robar datos de registro de usuarios de juegos online, por lo que no supuso mayor problema para el correcto funcionamiento de los ordenadores afectados.

Resultó curioso saber que muchos de los ordenadores usados por los astronautas no disponían de antivirus. En esta ocasión la amenaza no fue grave pero una buena protección les hubiese ahorrado quebraderos de cabeza que hubiesen podido representar un coste monetario elevado para solucionarlos.

Josep Albors

Correo de agencias de transporte usado para enviar malware

Uno de los métodos para propagar códigos maliciosos mas extendido durante este verano es el envío masivo de correos que pretenden ser una agencia de transporte, informando de una incidencia en la entrega de un paquete urgente. Agencias como UPS, Fedex o, recientemente, Western Union han sido usadas como anzuelo para despertar la curiosidad de los usuarios y hacer que ejecuten el fichero adjunto a los emails.

Normalmente, el usuario recibe un correo en su bandeja de entrada como el que mostramos a continuación:

Si intentamos abrir el fichero adjunto, vemos el contenido del mismo, donde se nos muestra un ejecutable que contiene el código malicioso:

A fecha de hoy, casi todos los antivirus del mercado detectan este malware y sus variantes por lo que la infección se ve reducida a aquellos usuarios que no dispongan de un sistema antivirus o no lo tengan actualizado. ESET NOD32 detecta esta amenaza y sus variantes con la nomenclatura Win32/Spy.Agent.

Josep Albors

Secuestro del portapapeles usando archivos Flash

En las últimas horas venimos observando una curiosa, a la vez que molesta, forma de propagación de códigos maliciosos. Consiste en aprovechar una vulnerabilidad del reproductor Flash de Adobe al visualizar anuncios preparados especialmente, mientras navegamos, para que nuestro portapapeles únicamente muestre la dirección de descarga de una variante del falso antivirus del que hablamos recientemente. Este secuestro del portapapeles solo podrá solucionarse cuando cerremos nuestro navegador o la pestaña desde la que estamos visualizando el anuncio malicioso.

Esta vulnerabilidad afecta a todos los navegadores que tengan instalado el complemento de Adobe y en cualquier sistema operativo, aunque únicamente los sistemas Windows que no estén protegidos podrán infectarse con el malware que se descarga.

Estos banners maliciosos pueden encontrarse en cualquier web que visitemos, no necesariamente sitios sospechosos, incluidos los portales de noticias mas visitados.

A día de hoy no existe una actualización por parte de Adobe que solucione el problema, aunque puede mitigarse si usamos el navegador Firefox con el complemento NoScript instalado.

Josep Albors

La ciberguerra entre Georgia y Rusia

Ahora que las hostilidades entre Georgia y Rusia parecen haber cesado resulta interesante analizar la “otra guerra” que se ha librado en la red entre estas dos naciones.

Esta ciberguerra comenzó un tiempo antes que la guerra vivida en el mundo real. Concretamente, el fin de semana del 19 y 20 de Julio se registraron ataques de denegación de servicio contra la web del presidente georgiano.

Estos ataques tan solo eran la punta de la lanza de aquellos que vendrían mas tarde, coincidiendo con el inicio de las hostilidades entre ambos países. Así pues, además de la web del presidente georgiano sufrieron ataques las webs del Gobierno Central, Ministerio de Exteriores y Ministerio de Defensa entre otras. Los sitios civiles tampoco se libraron de este ataque, tal y como observamos en la captura de pantalla siguiente de un importante portal web georgiano, donde se indica a los usuarios que se encuentran bajo un constante ataque DDoS.

Estos ataques estuvieron altamente coordinados y se realizaron siguiendo unas reglas prefijadas para hacerlos mas efectivos. Entre estas reglas podemos destacar:

• Distribución de una lista de objetivos fijos y eliminación de una coordinación centralizada del ataque.
• Mejorar la capacidad de ataque del usuario medio de Internet, dándole herramientas de ataques DoS de fácil manejo.
• Distribución de listas de sitios georgianos vulnerables a una inyección SQL
• Envío de spam de forma masiva a las direcciones de email de los políticos georgianos.
• Destrucción de la habilidad de comunicarse del adversario usando los canales habituales.

Una vez firmado el alto el fuego no se ha informado de un número de ataques tan elevado como durante los días que duró el conflicto pero se espera que en un futuro estos se repitan, debido principalmente a la tensa relación que se vive entre estos dos países.

Para la realización de esta entrada se ha contado con la inestimable información proporcionada por el experto en seguridad Dancho Danchev en su blog. Recomendamos a todos aquellos de nuestros lectores que se defiendan en la lengua de Shakespeare la visita a su sitio dado la valiosa información que proporciona a todos aquellos que nos interesa la seguridad informática.

Josep Albors

Antivirus falso se propaga masivamente

Durante los últimos días hemos observado un incremento muy notable en la recepción de muestras de un falso programa antivirus (o rogue, como se le conoce comúnmente) que insta a los usuarios a que se lo descarguen y analicen su sistema supuestamente infectado.

Esta amenaza suele venir en forma de correo electrónico con múltiples asuntos y contenidos pero todos invitan al usuario a descargar el instalador de este falso antivirus. En la captura de pantalla mostrada a continuación, observamos un ejemplo de un correo de este tipo así como el enlace de descarga del fichero ejecutable:

Si procedemos a descargar e instalar este fichero ejecutable en nuestro sistema, habremos caído en la trampa de los creadores de este código malicioso. El programa se instalará como cualquier otro, de forma normal, y para nada sospechosa de cara al usuario.

Una vez el programa se encuentre instalado empezará un falso análisis de nuestro ordenador donde irá mostrando falsas amenazas:

Si, al intentar descargar este código malicioso o analizar un sistema ya infectado, ESET NOD32 mostrará una alerta detectando esta amenaza como Win32/TrojanDownloader.FakeAlert

Recomendamos a nuestros lectores desconfiar de este tipo de herramientas que solo intentan infectar los sistemas de aquellos usuarios desprevenidos. Asimismo, aconsejamos la lectura del documento Rogue: falsos antivirus gratis, elaborado por nuestros compañeros de ESET Latinoamerica y la visualización del video educativo donde se describe como actúa esta nueva amenaza y como debería actuar el usuario para evitar ser infectado.

Josep Albors

Falsas noticias propagan códigos maliciosos

En los últimas días hemos recibido bastantes correos supuestamente procedentes de los servicios de noticias de la CNN y, mas recientemente MSNBC. Los correos seguían siempre el mismo esquema y proporcionan varios enlaces. Un ejemplo de correo de este tipo sería el siguiente:

Al colocar el cursor sobre el primer enlace proporcionado vemos como la dirección a la que se nos envía no es la original sino una especialmente preparada para mostrarnos la pantalla que vemos a continuación:

En esta pagina se nos avisa de que nos hace falta un ActiveX para poder visualizar el video. En realidad se trata de un fichero ejecutable detectado por ESET NOD32 como Win32/Agent.ETH.

Si pulsamos sobre el botón Continue, procederemos a la descarga de esté código malicioso en nuestro sistema, habiéndonos infectado a menos que nuestro antivirus se encuentre correctamente actualizado y configurado, en cuyo caso detendrá esta amenaza.

Ante este tipo de amenazas se recomienda desconfiar de aquellos sitios que nos ofrecen descargar actualizaciones y complementos para visualizar archivos de video o audio y descargar este software únicamente desde la web del fabricante.

Josep Albors