• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (27)
  • adware (3)
  • Anuncios (15)
  • Botnets (13)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (39)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (7)
  • Ingenieria social (57)
  • Malware (161)
  • Phishing (32)
  • Piratería (4)
  • Productos (27)
  • redes sociales (28)
  • rogue (14)
  • Scam (2)
  • scareware (2)
  • seguridad (20)
  • Spam (69)
  • telefonía (3)
  • Tutoriales (18)
  • Vulnerabilidades (127)

• Archivos

  • Septiembre 2010 (7)
  • Agosto 2010 (24)
  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

¿El uso del DNI-electrónico es totalmente seguro?

En pleno auge del uso del DNI electrónico como herramienta para realizar de forma rápida cualquier gestión personal a través de Internet, y con la cantidad de dinero invertida para publicitar y formar al ciudadano en el uso de este nuevo recurso, nos encontramos con varios problemas comentados en el blog de kriptopolis.org.

El principal problema es el de la seguridad, tal y como comenta el usuario naw en esta entrada. La página de descarga de los drivers para el correcto uso del DNI electrónico no está cifrada con protocolo seguro (https), por ello no se garantiza que estemos accediendo al lugar correcto para la descarga de este software necesario.

Otro problema comentado en esta entrada, es el del software de descarga. Si se realizara un ataque man-in-the-middle, esto podría causar que nos bajáramos una versión infectada del driver. Existe un sistema de comprobación, a través de los archivos .sign disponibles en la web, que nos informa de si los archivos descargados son los correctos. Pero esta opción no es la idónea para la mayoría de usuarios no avanzados.

En una disyuntiva parecida nos encontramos también con la página del la DGT, en la cual podemos acceder con o sin certificado. Tal y como comentaba Samuel Parra hace algún tiempo en su a blog, el acceso sin certificado puede suponer una vulneración de la privacidad, ya que los datos de DNI y fecha del carnet de conducir pueden ser conseguidos con facilidad.

Las nuevas tecnologías pueden ayudarnos y mucho a la hora de evitar colas interminables para realizar cualquier gestión administrativa. Pero si esto supone que la privacidad pueda ser vulnerada o que el software para utilizarla pueda estar manipulado, nos exponemos a riegos muy importantes. A modo de guía, desde el departamento técnico de Ontinet.com, aconsejamos leer el siguiente artículo sobre el uso correcto del DNI electrónico.

David Sánchez

Humano infectado por virus informático

El científico británico Dr. Mark Gasson, ha realizado una serie de investigaciones relacionadas con la inserción de chips en el cuerpo humano. En una de esas investigaciones, el Dr. Gasson afirma que se introdujo en la mano un chip infectado.

Ese chip introducido, que es una versión mejorada del chip insertado en animales de compañía, le permite pasar a través de puertas de seguridad y activar el teléfono móvil.

Según la entrevista realizada por la BBC, el Doctor admite que el experimento es una prueba de concepto, pero que puede tener importantes implicaciones para el futuro en dispositivos médicos, como marcapasos e implantes más sofisticados y el riesgo de ser infectados por otros implantes humanos.

“Con los beneficios de este tipo de tecnología pueden venir riesgos. Deberíamos mejorarnos en algunos aspectos, como en las mejoras con otras tecnologías. Los teléfonos móviles, por ejemplo, son vulnerables a riesgos como problemas de seguridad y virus informáticos.”

También añadió, “Muchas personas con implantes médicos también consideran que estos están integrados dentro del concepto de su cuerpo, y además, en este contexto, es apropiado hablar en términos de personas siendo infectadas por virus informáticos”.

El peligro inmediato es que alguien pueda acceder online a modificar dichos implantes. “Este tipo de tecnología ha sido comercializada en los Estados Unidos como una especie de brazalete de alerta médica, de modo que si usted es encontrado inconsciente, este brazalete puede ser escaneado y así obtener su historial médico.”

Pueden acceder al artículo completo desde el siguiente enlace.

La tecnología, como pueden comprobar, avanza a pasos agigantados y con ella aparecen nuevos métodos para corromperla. Todo esto parecía inimaginable hace poco tiempo y nos hace recordar esas películas donde los protagonistas eran ciborgs. ¿Será necesario en el futuro incorporar un software de seguridad también en nuestro cuerpo?

David Sánchez

Nueva versión de Chrome corrige vulnerabilidades

El navegador de Google estrena versión, en este caso la 5.0.375.55, ocasión que los desarrolladores han aprovechado para solucionar 6 vulnerabilidades. Estas vulnerabilidades son consideradas de gravedad media y alta y pueden ser consultadas, por ejemplo, en el informe publicado por Inteco.

Se recomienda la actualización del programa, bien mediante la opción incluida en el propio navegador (menú Herramientas > Actualizar) o descargándolo desde su web. No obstante, debemos recordar que aún quedan varias vulnerabilidades por resolver, como por ejemplo, la descubierta por el investigador español Manuel Fernandez, que permite saltarse el bloqueo de Javascript que Chrome activa al acceder a ciertas webs. Se puede ampliar la información acerca de esta vulnerabilidad en el blog de Chema Alonso, MVP de Microsoft y uno de los mayores expertos en seguridad de España.

¿Significa esto que Google Chrome es inseguro y deberíamos dejar de usarlo? No necesariamente. Navegadores de Internet hay varios y para todos los gustos. A pesar de la mala fama (muchas veces de forma injustificada ) que siempre ha tenido Internet Explorer, se han de reconocer los esfuerzos realizados en materia de seguridad por Microsoft en las últimas versiones. Internet Explorer 8 puede considerarse un navegador robusto en términos generales y que no tiene nada que envidiar a la competencia que ha ido apareciendo estos años. Firefox se presenta como su mayor alternativa y gana adeptos día a día. La posibilidad de personalización del navegador llevada a extremos insospechados hace pocos años parece ser una de sus principales bazas. Otros competidores como Opera, Safari y el mencionado en esta noticia, Google Chrome, también tienen cosas que aportar al mercado de los navegadores.

Una vez revisadas las distintas opciones, es tarea del usuario elegir la que más le convenza. Desde hace unos meses, Microsoft ofrece la posibilidad de elegir el navegador predeterminado tras instalar el sistema operativo, por lo que la elección se simplifica. Debemos recordar que la seguridad a la hora de navegar por Internet no solo depende del navegador si no que el usuario también forma parte activa de esa navegación segura, y es este el que, en la mayoría de ocasiones, representa la diferencia entre exponer nuestro sistema a una amenaza o mantenerlo a salvo.

Josep Albors

Google permite las búsquedas cifradas

Desde hace unos días tenemos la posibilidad de realizar búsquedas seguras a través de Google, mediante el protocolo SSL. Este protocolo seguro nos ayudará a proteger los términos de búsqueda y los resultados de la búsqueda de terceros.

Según informan en el blog de Google, este servicio de acceso a las búsquedas por https incluye un logotipo modificado para ayudar a distinguirlo de la búsqueda normal. También se añade la etiqueta “BETA” por algunas causas, como por ejemplo, que solo está disponible actualmente para el dominio google.com y no para el resto de dominios de otros países, como pueden ser, google.es o google.fr. Tampoco está disponible para las búsquedas de imágenes, vídeos o de mapas.

Por ello, desde el departamento técnico de Ontinet.com, hemos creído conveniente informar a nuestros lectores de esta nueva funcionalidad añadida por Google para realizar las búsquedas de forma segura.

Pueden comenzar a utilizarlo haciendo clic aquí.

David Sánchez

Nuevas posibilidades en ataques de phishing

Aza Raskin, investigador y empleado de Mozilla Firefox ha publicado en su blog lo que podríamos definir como una evolución en los ataques de phishing. Este investigador ha demostrado como se puede preparar código en Javascript que, añadido a cualquier web, hace que se pueda modificar el contenido y apariencia de la misma. Tal y como este investigador explica en su blog el funcionamiento es bastante simple:

1. Un usuario navega hasta una web aparentemente normal.
2. Se detecta cuando esa página ha perdido el foco y el usuario no ha estado navegando por la misma durante un tiempo.
3. El favicon original (icono que aparece en la pestaña del navegador mostrando el logotipo de la web a la que accedemos) puede ser reemplazado, por ejemplo, por el de Google, el título de la web por “Gmail: Email from Google” y la   web por una similar a la original de Gmail. Todo esto se puede conseguir con un poco de Javascript y se ejecuta al instante.
4. Mientras el usuario revisa las múltiples pestañas que tiene abiertas en su navegador, el favicon y el título actúan como una potente señal visual. Pensemos que la memoria del usuario es moldeable y este puede pensar que, simplemente, se dejó una pestaña de Gmail abierta. Cuando pulse sobre la falsa pestaña de Gmail, encontrará la página de registro de Gmail estándar, asumiendo que ha cerrado su sesión y proporcionando sus datos para acceder a su cuenta. El ataque se aprovecha de la percepción de los usuarios de que las pestañas del navegador son algo inmutable.
5. Una vez que el usuario ha introducido su información de registro y está ha sido reenviada a nuestro servidor, se le redirige a Gmail. Debido a que el usuario nunca se registró, aparecerá como que el registro fue satisfactorio.

El propio Aza Raskin ha creado un vídeo demostrativo donde puede verse un ejemplo práctico

Puesto que esta técnica es adaptable a cualquier tipo de página que requiera un registro, no es de extrañar que se empiece a usar para casos de phishing a entidades bancarias, cuentas de redes sociales o cualquier otra que pueda resultar de interés a los creadores de malware. El propio investigador apunta a la posibilidad real de personalizar los ataques a un usuario específico, analizando el historial de navegación y preparando ataques a las páginas frecuentadas por el mismo. Incluso se puede preparar una web que muestre un error de tiempo de sesiónexpirado para engañar más fácilmente al usuario.

Como se observa, las posibilidades son muy amplias y, aunque esta noticia hable de una prueba de concepto, es muy probable que veamos casos aplicados dentro de poco por lo que debemos asegurarnos de introducir datos sensibles únicamente en aquellas webs a las que hayamos accedido nosotros de forma directa.

Josep Albors

Antigua vulnerabilidad de Safari aun afecta a Mac OS

La política de publicación de parches de los diferentes sistemas operativos y aplicaciones, en respuesta a las vulnerabilidades que aparecen constantemente, varía dependiendo de cada empresa. Algunas como Microsoft (y recientemente Adobe) distribuyen una serie de actualizaciones de forma mensual, exceptuando aquellas que son de carácter urgente debido a que la vulnerabilidad es demasiado crítica como para esperar al siguiente ciclo. Otras empresas como Apple lanzan sus actualizaciones de seguridad cuando estas están disponibles, sin seguir un calendario concreto, aunque el periodo de reacción puede variar y nos podemos encontrar con varias actualizaciones unidas para descargar en un gran paquete.

Lo extraño es que una empresa como Apple decidiera solucionar una vulnerabilidad detectada en su navegador Safari en Mayo de 2008 pero únicamente para la versión Windows de ese navegador, dejando vulnerable la versión para Mac OS. Así pues, casi dos años después de aplicar el parche en plataformas Windows, Safari para Mac OS sigue siendo vulnerable a un tipo de ataque conocido como “carpet-bombing”. Al contrario que otros navegadores, Safari sobre Mac OS no pide permiso para descargar archivos desde una web que ha podido ser comprometida o preparada para descargar malware. De esta forma, al acceder a un sitio malicioso preparado para aprovechar esta vulnerabilidad, Safari sobre Mac OS descargaría automáticamente cualquier tipo de archivo en nuestra carpeta de descargas predeterminada.

Obviamente, tras descargar los archivos, el usuario debería ejecutarlos con permisos de administrador para que la infección afectara a su sistema, limitando el alcance de este ataque. No obstante, la capa adicional de protección que sí proporcionan otros navegadores puede ser una excelente línea defensiva contra los ataques que provienen de los enlaces maliciosos.

Esperamos que Apple corrija esta vulnerabilidad en su navegador, tal y ha hecho con las que afectaban a Java en su sistema Mac OS.

Josep Albors

Mas enlaces maliciosos en Facebook

David Harley, uno de los investigadores que escribe en el blog de ESET.com nos avisa una nueva amenaza en Facebook que se esta propagando rápidamente. A continuación procedemos a traducir esta noticia.

Juraj Malcho, Responsable del laboratorio de ESET en Bratislava, informa:

“Acabamos de descubrir lo que parece un nuevo ejemplo de scam en Facebook que se está propagando por esta red social. En estos momentos no hemos observado que se esté ofreciendo contenido malicioso, pero este cambia incluso mientras escribo este informe y es muy probable que pronto empiece a propagar malware. Se propaga añadiendo un enlace en el muro de Facebook como este:”

“Si un usuario registrado pulsa sobre el enlace, el mismo mensaje se mostrará en su muro. Hace unos minutos no pasaba nada más tras pulsar sobre el enlace y el sitio web que, presumiblemente, tenía que descargar el código malicioso nos devolvía una redirección a un IFRAME vacío. No obstante, en estos momentos muestra un juego de pulsaciones que contabiliza cuantas veces eres capaz de pulsar tu ratón en 5 segundos.”

“Recomendamos tener cuidado y evitar pulsar enlaces similares mientras se navega por los muros de otros usuarios de Facebook. Como en otros casos de ingeniería social vistos anteriormente, es muy probable que aparezcan falsos antivirus y otras aplicaciones de dudosa procedencia y que intenten engañar a los usuarios para que las instalen.

Por supuesto, seguiremos informando conforme evolucione la situación.”

Otros expertos en seguridad como Mikko Hypponen de F-Secure y Graham Cluley de Sophos han escrito también acerca de este tema en sus blogs. Mikko, incluso llegó a llamar a un número de teléfono que, aparentemente, estaba asociado al sitio malicioso en cuestión. Pueden obtener mas información sobre la investigación de Mikko en su blog.

Desde ESET seguiremos informando de cualquier evolución que pueda tener este tema.

Josep Albors

Diseccionando un ataque

En el laboratorio de Ontinet.com analizamos varios malware a diario y, en ocasiones, lo que al principio parece algo sencillo, termina desembocando en algo que no es lo que parece a primera vista.

El malware que vamos a analizar a continuación nos llegó en forma de correo electrónico a nuestro buzón de correo. En él se nos indicaba que se había detectado un ataque desde Internet hacia nuestro sistema y que era recomendable realizar un análisis con una herramienta que podríamos descargar desde el enlace proporcionado.

En el instante de abrir ese correo como una página web, el antivirus nos bloqueaba el intento de acceso a una web desde la cual descargaríamos la falsa herramienta de desinfección.

Incluso si ponemos el cursor sobre el enlace, vemos la dirección a la que apunta y lo que descarga. Hasta aquí todo normal ya que son los pasos de infección que siguen habitualmente los falsos antivirus para hacer que el usuario los instale en su sistema.

No obstante, si pulsamos sobre el enlace para descargar el archivo setup.zip al que hacía referencia, vemos como el navegador nos dirige a una página que nada tiene que ver con los enlaces mostrados anteriormente. Se trata de una web dedicada a la venta de monedas de coleccionistas que no tiene relación con la propagación de malware y tampoco contiene código malicioso en ella.

Nos encontramos en un punto muerto de la investigación así que decidimos deshacer nuestros pasos y seguir buscando en otra dirección. Si recordamos el aviso del antivirus, se nos indicaba una página web desde la cual se intentaba lanzar un ataque, así que decidimos investigar en esa dirección. Sin más dilación, decidimos acceder a la web www.removeonline.com para comprobar si realmente se intenta descargar malware.

En esa web comprobamos como se nos ofrece una herramienta para eliminar códigos maliciosos. Los cabos empieza a atarse y la situación se asemeja de nuevo a la descarga de un falso antivirus.

No obstante, el archivo que nos descargamos no es la aplicación en sí, si no un instalador que se comunica con un servidor y que descarga la aplicación SpyNoMore en nuestro sistema.

Esta aplicación descargada es un fichero ejecutable que instala, esta vez sí, un falso antivirus en el ordenador. Esta aplicación es detectada por varios antivirus y se desaconseja encarecidamente su instalación en nuestro sistema.

El porqué este falso antivirus resulta más complejo de descargar que otras variantes es un misterio. Lo sencillo hubiera sido que el enlace que proporcionaba el correo electrónico descargara directamente el instalador, en lugar de dirigirnos hacia una web que nada tiene que ver con la finalidad de la amenaza y que no descarga ningún tipo de malware.

No obstante, puede que los creadores de este código malicioso decidieran hacer que su creación pareciese mas autentica y abortaron la descarga directa desde el enlace, prefiriendo que el usuario fuera dirigido a una web para que no desconfiara tanto. La inclusión del instalador también puede ser un síntoma de este intento por ganarse la confianza del usuario.

Como vemos, las estrategias usadas para infectar a los usuarios son muchas y variadas. Algunas, como en este caso, se abortan y se decide optar por otras que pudieran ser mas efectivas. Es por ello que no debemos bajar la guardia y desconfiar de cualquier descarga sospechosa, revisando los archivos con un antivirus o enviándolos a servicios de análisis como Virustotal.

Josep Albors

Lanzamiento de Twitter para iPhone aprovechado para propagar malware

En el día de hoy se produjo el anuncio oficial del lanzamiento de la aplicación Twitter for iPhone, anuncio que fue rápidamente usado por los creadores de malware para propagar sus últimas creaciones. En esta ocasión, en lugar de usarse los enlaces publicados en Twitter para propagar falsos antivirus, tal y como viene siendo habitual últimamente, se descargaba un malware con funciones de gusano y que también descargaba un troyano con la finalidad de robar credenciales de entidades bancarias.

El mensaje propagado por Twitter enviaba el enlace a un supuesto video y aprovechaba para incluir la noticia acerca del lanzamiento de la aplicación. De esta forma se aseguraba que muchos usuarios cayesen en la trampa cuando buscasen información sobre este esperado lanzamiento.

Si se pulsa sobre el enlace malicioso, se accede a una página desde la que se descarga un archivo que infectará nuestro sistema si decidimos ejecutarlo. En las últimas horas, el servicio de acortamiento de enlaces bit.ly ha sido advertido del uso fraudulento que se le estaba dando a muchos de estos enlaces y avisa a los usuarios del peligro de acceder a los sitios desde donde se descarga el malware.

Los ciberdelincuentes, no obstante, no cesan en su empeño de infectar a la mayor cantidad de usuarios posibles y ya han cambiado el asunto de la búsqueda por otros temas de actualidad como el vertido de petróleo en el golfo de Mexico:

Este tipo de amenazas son cada vez mas habituales por lo que los usuarios de este tipo de redes deberían extremar las precauciones, sobretodo a la hora de pulsar sobre enlaces cortos. Como última línea de defensa, un buen antivirus actualizado puede ser capaz de bloquear el archivo malicioso y evitar que nuestro sistema se infecte pero siempre es recomendable usar también el sentido común para evitar caer en este tipo de trampas.

Josep Albors

Envío de Spam a través de Youtube

Muchos usuarios son propietarios de un canal de Youtube, como nosotros que disponemos del canal de Ontinet.com, necesario para poder subir sus vídeos a este portal. Además de ser de fácil registro, el canal es una página que contiene información del perfil, vídeos y mucho más.

Dentro de nuestro canal, disponemos de una bandeja de entrada propia, donde recibimos los avisos de los comentarios realizados a nuestro canal, avisos de Youtube y correos de otros usuarios que contactan con nosotros.

Hemos detectado durante el día de hoy el envío de varios correos masivos de usuarios reales de Youtube, los cuales parecen estar infectados, que automáticamente envían correos como el que se muestra a continuación:

En este correo, con algunas faltas claras de ortografía, se indica que pueden ayudarnos a aumentar de forma muy fácil las visitas a nuestro canal y que entremos a la página indicada, donde en primer lugar, se nos pide un correo electrónico:

A continuación se nos indica que nos suscribamos a los 10 canales de Youtube indicados. Una vez hagamos clic en cada botón de esa lista, nos dejará pasar a la ventana siguiente:

En esta ventana se nos pide que introduzcamos nuestro nombre de usuario de Youtube:

Y por último, se nos indica que por cada encuesta realizada recibiremos subscripciones a nuestro canal de Youtube. Los enlaces de las encuestas aparecen en la parte inferior, en “Surveys”:

Al hacer clic en cada uno de esos enlaces, aparece una página de publicidad distinta, pero tienen en común que en todas ellas se nos pide nuestro número de móvil para que posteriormente enviemos un mensaje, con un determinado coste, para terminar la encuesta.

Con lo cual, todo el proceso realizado para intentar subir las visitas de nuestro canal y de nuestros vídeos ha quedado en una simple estafa. Este modo de actuar se llama Scam. Para evitarlo, desde Ontinet.com, aconsejamos desconfiar de métodos de pago poco utilizados a través de Internet, como puede ser el SMS, y desconfiar de todo correo recibido no fiable o no solicitado.

David Sánchez

Artículos Anteriores »