• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (116)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (152)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (77)
  • Productos (42)
  • ransomware (11)
  • redes sociales (109)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (287)

• Archivos

  • junio 2013 (15)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Esta semana estaremos…

En un montón de sitios y participando en varias actividades. Como queremos conoceros y tomarnos una cañita con vosotros, os dejamos por aquí las coordenadas por si estáis alrededor u os apetece participar de alguno de los eventos:

• Mañana martes, a las 9.00, Josep Albors estará en el Colegio CEIP Martínez Valls dando charlas a alumnos de primaria sobre la privacidad en Internet y el Ciberacoso. Viene Canal 9 a grabarnos, así que nos veréis por la tele si coges el canal. Te avisaremos de cuándo se emite. Como ya te venimos contando, llevamos varios meses dando charlas a menores, padres y profesores sobre los riesgos de Internet, como parte de la campaña de educación y concienciación en el uso seguro de las nuevas tecnologías.

• También mañana martes, nuestro compañero Fernando de la Cuadra estará en Cáceres, con los responsables de administración digital de Extremadura en el seminario “Administraciones locales y TIC en Extremadura”. Esta es, como sabéis, una región muy activa en Tecnología… y solo basta con echar un ojo a “Linex”.

• El próximo jueves, a las 09.30 horas, organizamos con nuestro socio tecnológico Clavei un evento gratuito para empresa, “ProtegeTuEmpresa”, con comida también gratuita incluida . Durante toda la mañana, los compañeros tanto de ESET NOD32 España como de Clavei nos darán las pautas para disfrutar de la máxima seguridad. Se celebra en Elche, así que si quieres apuntarte, sigue el link.

• Y el jueves por la tarde, a las 17.00 horas, impartimos un webinar gratuito para distribuidores llamado “Cómo desarrollar tu negocio con ESET NOD32”. La asistencia es totalmente gratuita, así que si quieres apuntarte, te animamos a que nos envíes un email a marketing(at)ontinet.com.

Y como estamos en verano…

También queremos contarte que acabamos de lanzar dos ofertas para ayudarte a pasar estos “calores” . La primera es para nuestra red de distribuidores: hasta el próximo 14 de julio, si hacéis un pedido de 5 cajas como mínimo del producto ESET NOD32 Smart Security 1 o 3 usuarios, os regalamos el mismo número de cajas del mismo producto y usuarios completamente gratis. O lo que es lo mismo: ¡pagas 5 y te enviamos 10!

Y la otra buena noticia va encaminada a nuestros usuarios finales: ahora, si adquieres online ESET NOD32 Smart Security de 1, 2 o 3 licencias, recibirás totalmente gratis en tu domicilio una copia de seguridad física del producto, para que no tengas problemas si cambias de ordenador, formateas el tuyo o simplemente lo pierdes.

¡Te esperamos si vienes a nuestros eventos o si decides acogerte a nuestras ofertas!

Yolanda Ruiz

Acusan al Reino Unido de espiar las comunicaciones del G20 en 2009

Hace unos días contábamos cómo el exempleado de la NSA, Edward Snowden, había destapado un programa de espionaje de las comunicaciones empleado en los últimos años por Estados Unidos, con la colaboración de las operadoras de telefonía y de las grandes empresas de Internet.

Hoy hemos conocido, gracias al diario The Guardian, que el gobierno británico también ha realizado labores de espionaje, pero no a unos ciudadanos cualquiera, sino a los presidentes de los países y sus correspondientes delegaciones políticas que acudieron a la reunión del G20 en Londres que se celebró en 2009.

Este espionaje parece que fue organizado por la organización británica GCHQ, hermana de la NSA Americana, con la finalidad de obtener una ventaja estratégica en las reuniones realizadas durante la celebración de este evento e incluían también a países aliados.

Según la información recopilada por el periódico británico, se utilizaron varías técnicas para conseguir información confidencial de los delegados asistentes a esta reunión. Entre ellas encontramos vigilancia especial sobre las llamadas y mensajes de algunos delegados en concreto, como el ministro de financias turco o el primer ministro ruso Dmitry Medvedev, llamadas que eran analizadas por hasta 45 analistas las 24 horas del día.

No obstante, también se utilizaron otro tipo de técnicas de espionaje más relacionadas con la seguridad informática, como la configuración de lo que el periódico llama “internet cafés” y que, suponemos, hace referencia a preparar puntos de acceso trampa. Una vez los delegados se conectan a esos puntos de acceso, todo el  tráfico enviado y recibido podía ser capturado y analizado por los analistas británicos. También mencionan el uso de keyloggers para registrar las pulsaciones que los delegados hicieran en sus ordenadores y obtener así información de interés como contraseñas de acceso a todo tipo de servicios web.

Además, también se menciona el acceso no autorizado a los terminales BlackBerry de los delegados para espiar los mensajes de correo enviados y recibidos, así como también sus llamadas. Esto habría implicado vulnerar la seguridad de uno de los sistemas considerados como más seguros en la época en la que se realizaron estas labores de espionaje, aunque falta ver si esto se realizó aprovechando algún tipo de vulnerabilidad conocida, mediante un software espía como FinSisher o FinSpy, o si contó con la colaboración de la empresa desarrolladora de los terminales.

Esta acción podría ser perfectamente condenada por todos los delegados que asistieron a esa reunión (otra cosa es que lo hagan), muchos de ellos pertenecientes a países aliados y entre los que encontramos a nuestro expresidente Zapatero. Es difícil determinar la importancia de la información obtenida de forma ilícita en esas fechas y sus consecuencias en los años posteriores.

Precisamente, durante estos días se celebra una reunión del G-8 en Belfast (Irlanda del Norte), por lo que seguramente este sea un tema del que se vaya a hablar. En realidad, a estas alturas no debería sorprendernos este tipo de casos aunque siempre llaman nuestra atención cuando se producen a este nivel.

La verdad es que Reino Unido tiene una trayectoria de lo más amplia de casos similares con mandatarios extranjeros, algo por otra parte lógico al tratarse de una de las potencias mundiales, con servicios de inteligencia y espionaje de reputación excelente. De hecho, su propia legislación contempla la posibilidad de espiar a diplomáticos, algo que seguramente se haya producido en más casos de los que tenemos constancia.

A nosotros este tipo de sucesos nos pueden parecer lejanos, pero no hemos de olvidar que la mayoría de usuarios no cuenta con la protección y el asesoramiento que suelen tener los diplomáticos por parte de expertos en la materia. Es por eso que la mayoría de casos de espionaje informático, ya sean realizados por ciberdelincuentes o por gobiernos, se producen sobre el ciudadano medio, aquel que piensa que no tiene nada de interés pero que es el primer afectado.

Josep Albors

¿WhatsApp para PC? Más bien un nuevo timo…

He de confesar que soy de las que me he resistido a utilizar WhatsApp. Veía siempre a mis amigos enganchadísimos a los mensajes y no quería caer en esa esclavitud. Pero al final, hay tecnologías que, por mucho que te resistas, te ves abocado a utilizarlas…, sobre todo cuando no te enteras de las cañitas porque “habíamos quedado por WhatsApp” . Y una vez que lo he probado, he de decir que es comodísimo… y que la tecnología no tiene nada que ver con lo pesados que sean tus amigos.

Pues bien, ahora que la popular aplicación es ampliamente conocida y usada por millones de usuarios, no era de extrañar que fuera utilizada para intentar llevar a cabo timos y engaños… ¡Como siempre! Los cibercriminales siempre están a la orden del día e intentan aprovecharse de nombres y marcas bien conocidos, porque ya llevan parte del trabajo hecho. Y claro… ¿a quién no le molesta estar trabajando en el PC y tener que contestar a un mensaje por el móvil pudiendo hacerlo desde el mismo teclado cómodo y espacioso del ordenador?

Pues eso precisamente es lo que han debido pensar estos señores:

 

¡Qué bien! ¡Venga! Una aplicación más de escritorio. Le damos al gran botón de “Descargar”. Lo primero que nos encontramos es que, de primeras, se abre una nueva ventana del navegador para solicitar nuestro número de teléfono con el propósito de enviarnos un código de descarga. Mal empezamos…

Pero como ya estamos muy escarmentados en estas lides, nos decantamos por leer antes los “términos y condiciones”. Y en su segunda cláusula, nos cuenta:

Pues pensábamos que WhatsApp era gratis… Veamos por qué conceptos pretenden cobrarnos…

Bien, ya sabemos que tiene gato encerrado. Además de la ventanita de introducción del número de teléfono, se nos abre otra ventana más que nos indica quién es el desarrollador… La verdad, una aplicación creada por “El_Java” seguro que es buenísima, pero no me fiaría yo mucho… Máxime si leemos las instrucciones que vienen justo debajo:

Nos vamos a cotillear las descargas, y el colmo del descaro, nos ofrecen un sitio con links pero además con un banner que anuncia… ¡sí! ¡El WhatsApp espía!

Si le damos a cualquier link de descarga nos pide el número. Si le damos al banner del espía… ¿a que no sabéis con qué nos sale? ¡Nos pide el teléfono!

Y vuelta a empezar… Si el anterior decía ser una empresa basada en Cataluña, esta es una holandesa… que cobra exactamente por lo mismo:

No dudamos de que en algún caso una de estas aplicaciones lleguen a funcionar, pero lo que está claro es que su principal objetivo no es darnos un servicio, sino suscribirnos a servicios de suscripción Premium para sacarnos el dinero. Imaginaos 6 € al mes por… ¿1.000 víctimas? Vayan ustedes multiplicando. De hecho, el negocio debe de dar muchos beneficios, porque incluso se permiten el lujo de lanzar campañas a través de redes sociales como Facebook, por ejemplo. La página no está activa en este momento, pero seguramente en cuestión de días comenzarán a salir otras que promueven lo mismo:

Las que prometen espiar las conversaciones de nuestros amigos tampoco funcionan, además de que interceptar conversaciones privadas y ajenas es un delito, por mucho que sospechemos que nuestra pareja tiene “amig@s” íntimos.

Así que, sea como sea, nuestro consejo es que evitéis hacer clic en este tipo de reclamos. Pero si lo hacéis, desconfiad en el momento en el que os soliciten el número de teléfono, porque algo irregular van a intentar colarte como sea.

Feliz semana, ¡trop@!

Yolanda Ruiz

Seguridad en dispositivos médicos: un asunto pendiente

No podemos negar que los avances médicos experimentados en las últimas décadas han tenido una conexión directa con el, cada vez más extendido, uso de la tecnología en los tratamientos y prevención de enfermedades. Desde hace años venimos usando todo tipo de dispositivos como marcapasos, órganos artificiales y prótesis de todo tipo, algo que ha mejorado notablemente nuestra calidad de vida y que abre todo un mundo de posibilidades según avanza la tecnología.

Hoy en día no es extraño ver prótesis que reaccionan a los estímulos nerviosos del paciente y que incluso permiten controlar dispositivos mecánicos con la mente o recuperar parcialmente la visión a personas ciegas. Este es un campo donde cada año vemos avances importantes y que seguro que nos depara aún muchas sorpresas.

No obstante, si no se tienen en cuenta algunos factores, este uso de la tecnología en el sector médico puede incluir una serie de riesgos que hasta ahora no habrían sido contemplados. Es por ello que la Administración de Alimentos y Medicamentos (FDA) de los Estados Unidos ha lanzado un aviso donde indica que muchos de los dispositivos médicos usados a diario como desfibriladores, pantallas de monitorización de pacientes y dispositivos de anestesia contienen vulnerabilidades a la hora de acceder a ellos que podrían ser aprovechados por un atacante.

Este tipo de vulnerabilidades afectan a unos 300 dispositivos médicos de aproximadamente 40 fabricantes según dos informes que han sido publicados simultáneamente tanto por la FDA como por el Equipo de Respuesta de los Sistemas de Control Industrial (ICS-CERT).

“Esta vulnerabilidad podría ser aprovechada para cambiar parámetros críticos o modificar el firmware de los dispositivos” afirman desde el ICS-CERT. “ICS-CERT y FDA no tienen consciencia de que esta vulnerabilidad haya sido explotada ni de que algún paciente haya sufrido daños por este tipo de vulnerabilidades”.

Bueno, en la vida real puede que aún no tengamos conocimiento de ataques a ese tipo de dispositivos con la finalidad de causar daño a un paciente, pero las series de ficción ya se han encargado de hacerlos realidad. No tenemos más que echar un ojo a alguna de las series recientes de más éxito como Homeland y veremos cómo alguno de sus guionistas ya ha contemplado la posibilidad de un ataque a distancia y hacer que un marcapasos deje de funcionar (ojo, para quien no haya visto la segunda temporada hay un spoiler de los gordos).

Obviamente, en la práctica no resulta tan sencillo como conocer el número de serie del dispositivo que se desea atacar (y menos realizarlo a través de Internet desde miles de kilómetros de distancia). No obstante, existen precedentes como el que comentamos hace unos meses en este mismo blog, donde un investigador consiguió demostrar cómo podía alterar el funcionamiento de varios marcapasos en un área en concreto.

Tanto FDA como ICS-CERT se encuentran trabajando directamente con los fabricantes de estos dispositivos médicos para mitigar la amenaza. Esta vulnerabilidad afecta a la mayoría de fabricantes de estos dispositivos, según informe de Ars Technica. ICS-CERT sugirió que los hospitales “deberían tomar medidas para limitar el acceso a los dispositivos solamente a usuarios de confianza, especialmente en aquellos dispositivos encargados de mantener con vida a los pacientes o que puedan ser conectados directamente a la red de un hospital”.

Lo que está claro es que los avances tecnológicos aplicados a la medicina deberían contemplar entre sus características básicas la seguridad a la hora de acceder a ellos, evitando así accesos malintencionados que podrían poner en riesgo la vida del paciente.

Josep Albors

 

Seguridad en iOS 7: una de cal y otra de arena

Cuando se presentó iOS 7 el pasado lunes, muchos usuarios quedaron sorprendidos por la cantidad de nuevas características que incorporaba, aunque algunas de ellas estén incluidas en otros dispositivos desde hace tiempo (sí, te estamos mirando a ti, Control Center).

No obstante, como apasionados de la seguridad que somos, nos centramos en revisar qué nuevas opciones incorporaba esta versión de iOS para mantener seguro nuestro iPhone. Es en este aspecto donde tenemos que informar de una noticia de cal y otra de arena.

En la parte positiva tenemos el Activation Lock, una nueva característica que evita que un usuario no autorizado pueda desconectar nuestro iPhone del servicio de Apple Find my iPhone. Hasta ahora, si nos robaban el móvil podíamos intentar recuperarlo usando este servicio, pero, por desgracia, muchos amigos de lo ajeno descubrieron que apagando el dispositivo y devolviéndolo a sus valores predeterminados de fábrica se podía evitar su localización.

Para evitar esta situación nace Activation Lock, una nueva funcionalidad que obliga a proporcionar nuestro usuario y contraseña de iCloud siempre que queramos desconectarnos del servicio Find my iPhone o queramos restaurar el terminal a sus valores predeterminados de fábrica. En caso de no proporcionar los datos correctos, el terminal quedaría bloqueado y sin ninguna utilidad para el ladrón, más allá de ser un elegante y caro pisapapeles.

Pero no todo iba a ser tan bonito, y conociendo la experiencia de Apple y su dispositivo estrella en materia de bloqueo del terminal, no nos extraña que ya se haya conseguido saltar la pantalla de  bloqueo y se permita acceder a nuestra galería fotográfica. En esta ocasión ha sido un investigador español quien, a las pocas horas de haberse publicado la versión beta para desarrolladores de iOS 7, consiguió saltarse la pantalla de bloqueo y acceder a las fotos almacenadas, pudiendo también borrarlas, enviarlas por email o twittearlas, todo ello sin conocer la contraseña del dispositivo.

Como vemos en el vídeo anterior, acceder a nuestra galería de fotografías es realmente sencillo y se reduce a ejecutar la aplicación de la calculadora desde el nuevo Control Center y, a continuación, ejecutar la aplicación de la cámara. Con esos simples pasos, cualquiera podría tener acceso a nuestras imágenes privadas y, lo que es peor, borrarlas o difundirlas.

Somos conscientes de que este fallo se encuentra presente en una versión preliminar del nuevo sistema operativo iOS 7 y que, ahora que se ha hecho público, es más que probable que Apple lo solucione antes de su lanzamiento el próximo otoño. No obstante, esto no deja de ser una llamada de atención para que, además de presentar nuevas e interesantes características, Apple se centre también en mejorar la seguridad de sus dispositivos.

Josep Albors

Prueba la beta de las nuevas versiones 7 y llévate una licencia de regalo

Sabedores de la importancia que tienen nuestros usuarios a la hora de ayudarnos a mejorar nuestras soluciones de seguridad, desde ESET España nos complace anunciar el lanzamiento de las betas de las futuras versiones 7 de nuestras soluciones de seguridad más conocidas: ESET NOD32 Antivirus y ESET NOD32 Smart Security.

Siguiendo  en la línea de las versiones anteriores, se han mejorado algunas de las funciones ya presentes e incluido nuevas e interesantes características. La interfaz gráfica, por su parte, no ha sufrido grandes cambios y se mantiene tan intuitiva y con la facilidad de acceder a todas las opciones de la versión anterior.

Entre las novedades encontramos importantes incorporaciones que, de forma transparente para el usuario, mejoran notablemente la detección y eliminación de amenazas. Son las siguientes:

El Análisis Avanzado de la Memoria, que es capaz de detectar aquellas amenazas conocidas y desconocidas que utilizan técnicas de evasión para evitar ser detectadas el máximo tiempo posible. Para ello, esta nueva característica revisa el comportamiento de los procesos mientras son ejecutados, permitiendo analizar aquellos  ficheros ofuscados directamente en la memoria antes de que logren infectar el equipo.

Por su parte, la Protección frente a Vulnerabilidades protege a los usuarios frente a cualquier código malicioso que trate de aprovecharse de aquellas vulnerabilidades conocidas en protocolos de red. Este tipo de vulnerabilidades incluyen aquellas que intentan romper contraseñas usando la fuerza bruta en protocolos de autenticación de Windows. En caso de detectarse uno de estos ataques, las soluciones de ESET lo detectará y bloqueará automáticamente.

También se ha mejorado el módulo de limpieza de amenazas, algo que sin duda agradecerán muchos usuarios a la hora de eliminar ciertas amenazas, especialmente aquellos rootkis para los que se necesitaba utilizar herramientas de limpieza especialmente dedicadas.

Además de estas nuevas características, muchas de las presentes en la versión anterior incorporan mejoras que hacen que mejore el funcionamiento general del programa al haberse optimizado su rendimiento.

Desde ESET España nos gustaría invitaros a todos a probar la beta de esta nueva versión de forma gratuita. ¡Y a que nos comentéis vuestras impresiones! Estas versiones se pueden descargar desde el enlace http://betas.eset.es/betatester.

Nos gustaría agradecer desde ya vuestra colaboración, ya que con vuestras opiniones y comentarios seguro que conseguiremos afinar aún más esta nueva versión. Es por eso que, durante todo el período beta, ESET sortea semanalmente 100 licencias del producto completo final entre todos sus betatesters. Para ello, solo es necesario participar en el programa de betatesters de ESET NOD32 España, cuyo registro puede realizarse a través de su página web

Josep Albors

El malware Zeus resurge con fuerza durante este 2013

Una de las amenazas que más ha dado  que hablar en los últimos años por su propagación y variantes ha sido Zeus (también conocido como zbot). Este malware, especializado en robar información de los ordenadores o dispositivos móviles que infecta, ha sido uno de los que con más frecuencia hemos tenido que lidiar en nuestro laboratorio desde hace más de 3 años.

Durante ese tiempo, hemos visto cómo los ciberdelincuentes que lo han utilizado para robar información de los usuarios han ido adaptándolo a los nuevos tiempos, incluyendo nuevas técnicas de propagación. Estas técnicas incluyen desde campañas de spam con ficheros adjuntos infectados o enlaces maliciosos a la distribución de enlaces por los servicios de mensajería de redes sociales como Facebook.

Además, desde principios de 2011, el código fuente de este malware es de dominio público, lo que ha originado nuevas variaciones y su integración en kits de crimeware como Citadel. Su propagación ha sido tal durante los últimos años que también representa una de las mayores amenazas para dispositivos Android.

Algunos pensaban que, tras las diversas operaciones contra este tipo de botnets basadas en Zeus, y el tiempo pasado desde su aparición, este tipo de malware estaba condenado a desaparecer en detrimento de nuevas amenazas. No obstante, tanto nosotros en nuestro laboratorio como compañeros de otras empresas antivirus han notado un repunte en el número de muestras de Zeus detectadas en los últimos meses.

Este resurgimiento parece estar provocado por la aparición de nuevas versiones de este malware clásico. Si hasta ahora Zeus era conocido por el robo de información de todo tipo (datos bancarios, de acceso servicios online como redes sociales  o cuentas de correo), así como por ser capaz de registrar las pulsaciones de nuestro teclado, tomar periódicamente capturas de pantalla o descargar malware adicional, las nuevas versiones permiten hacer eso y además añadir una serie de interesantes características. Las resumimos a continuación gracias a nuestros compañeros de DragonJar:

• Comunicación P2P: tras infectar un sistema, el malware roba los datos y los envía a su centro de mando y control (C&C). Los cambios en la configuración y las nuevas versiones se descargan desde el C&C.
• DGA: en caso de no poder comunicarse con la red P2P, el troyano genera automáticamente nuevos dominios, basándose en varios factores, aunque los más usados son el día y el mes.
• Firma de los ficheros: las nuevas versiones de este malware utilizan una clave RSA para evitar la distribución de bots por alguien que no sea el Botmaster.
• Cambio en el algoritmo de compresión: se sustituye el uso de ULC, una implementación Open Source del algoritmo NRV, por funciones de una librería zlib.
• Cifrado adicional: los datos almacenados se guardan con una sola clave.
• Es capaz de lanzar ataques de tipo DDoS.
• HTTP vía P2P: es capaz de usar servidores P2P para las comunicaciones HTTP.
• Implementa PCRE para la creación de reglas.

Por todas estas nuevas características, es normal que estemos observando una elevada propagación de este malware. No obstante, las medidas de protección siguen siendo las mismas que con las versiones anteriores: desconfiar de enlaces o adjuntos sospechosos, utilizar nuestro sistema con una cuenta de privilegios restringidos, actualizar nuestro sistema y las aplicaciones que en él tengamos instalados y contar con una solución antivirus capaz de detectar y eliminar este tipo de amenazas.

Josep Albors

Apple y Microsoft publican parches de seguridad para Mac OS X y Windows

Apple y Microsoft han publicado estos días varias actualizaciones de seguridad para las diversas versiones de sus sistemas operativos Windows y Mac OS. Microsoft sigue con su periodicidad de publicar estas actualizaciones cada segundo martes de cada mes y, en esta ocasión, son cinco los boletines de seguridad.

De estos cinco boletines, tan solo uno tiene consideración de crítico y afecta a versiones de Internet Explorer de la 6 a la 10, solucionando fallos que podrían permitir la ejecución remota de código. El resto de boletines son calificados como importantes y afectan, además de a Internet Explorer, a Microsoft Office y a diferentes versiones de Windows.

El parche de seguridad para Office soluciona un agujero de seguridad en esta aplicación que podría permitir a un atacante ejecutar código de forma remota en Office 2003 para Windows y Office 2011 para Mac.

Se desconoce si entre los parches que se han publicado para solucionar varias vulnerabilidades en diferentes versiones de Windows se encuentra el que soluciona la vulnerabilidad descubierta recientemente por el ingeniero de Google Tavis Ormandy.

Por su parte, Apple también ha publicado hace poco varios parches de seguridad para su sistema Mac OS X. Nada menos que 33 son las vulnerabilidades solucionadas por esta segunda actualización importante en lo que va de año, además de las 26 que soluciona el navegador Safari.

Estas actualizaciones van dirigidas a los sistemas Lion y Mountain Lion, solucionando tanto fallos de seguridad del sistema como de aplicaciones de terceros. Además, desde esta actualización se comprueba que las aplicaciones Java Web Start descargadas desde Internet se encuentran firmadas antes de ejecutarse en el sistema. En caso de no estarlo, Gatekeeper impedirá su ejecución.

Esta última medida es bastante significativa, y se agradece que se adopte tras comprobar que muchas de las amenazas que más se han propagado recientemente han utilizado agujeros de seguridad en Java para conseguir infectar a un elevado número de sistemas.

Como siempre que se publican este tipo de actualizaciones de seguridad, es importante que estas se apliquen en nuestros sistemas lo antes posible para evitar que las amenazas que se aprovechan de estas vulnerabilidades nos afecten.

Josep Albors

Microsoft y el FBI desmantelan centenares de botnets Citadel

De un tiempo a esta parte, Microsoft ha conseguido (junto con otras organizaciones públicas y privadas) llevar a cabo con éxito una serie de operaciones contra algunas de las botnets más extendidas. Entre las operaciones más destacadas encontramos las que desmantelaron cientos de botnets basadas en Nitol, Zeus o Bamital.

Ahora le ha tocado el turno a una de las redes de ordenadores zombis más usadas en la actualidad, como es Citadel. Microsoft, en una operación conjunta con el FBI y otras organizaciones, ha conseguido desactivar la nada despreciable cantidad de 1462 botnets, cada una de ellas con cientos o miles de ordenadores infectados a su cargo.

Citadel es una aplicación conocida como “Kit de crimeware”, es decir, un conjunto de herramientas que permiten a todo tipo de delincuentes realizar actividades delictivas por Internet, sin necesidad de que tengan conocimientos previos o de que se creen su propio malware.

De esta forma, cualquiera que pague la cantidad establecida por los ciberdelincuentes en los foros donde se suelen distribuir este tipo de kits, puede llevarse un completo pack de herramientas que permite infectar a miles de máquinas y usarlas en beneficio propio. Todo esto incluido en un servicio orientado a la delincuencia y el crimen organizado y que, en no pocas ocasiones, cuenta con una infraestructura que nada tiene que envidiar a grandes multinacionales.

Debido a la estructura que suelen utilizar este tipo de redes de ordenadores zombis, resulta vital identificar los centros de mando y control (C&C) que gestionan los sistemas infectados y les dicen quée deben hacer. De esta forma, al desactivarlos los ordenadores afectados quedan libres de su control y dejan de realizar actividades maliciosas como el envío de spam, malware, ataques DDoS o el robo de contraseñas.

No obstante, también resulta vital que los usuarios afectados sepan reconocer cuándo su sistema está infectado por uno de estos bots, puesto que una de las características de Citadel (y de muchas otras botnets) es la redirección DNS de los sistemas infectados. Esto permitiría que los ordenadores infectados se volviesen a conectar a otros C&C si los principales cayeran, además de redirigir a los usuarios a webs falsas de bancos o de servicios web como Gmail, Facebook, Twitter, etc., para seguir robando sus credenciales.

Para ello es vital contar con una solución antivirus y un cortafuegos capaces tanto de detectar el malware que convierte nuestra máquina en un bot como de analizar el tráfico de red y bloquear las órdenes enviadas y recibidas al C&C. Esto, unido a un mejor conocimiento de nuestro sistema y estando informado de las amenazas actuales, ayudará a evitar que nuestro sistema se convierta en un esclavo de los ciberdelincuentes.

Josep Albors

El spam a través de las redes sociales: el que no corre, ¡¡vuela!!

Hace unos días estaba cotilleando redes sociales de otros países y por pura curiosidad me registré en VKontakte, el Facebook ruso, para que nos entendamos. Esta red ha tenido muchísimos problemas de spam, por lo que presume de haber implementado soluciones de seguridad revolucionarias. Bueno, eso es lo que dicen, porque lo que en realidad han hecho es solicitar el teléfono para enviar un código por mensajería SMS. Vamos, lo normal, lo que ya tiene Facebook y Twitter, por solo poner unos ejemplos.

Como iba simplemente a cotillear, ni siquiera me esforcé en rellenar nada, sino que hice login con Facebook y listos. No me pidió ningún teléfono (y en Facebook tampoco lo tengo introducido), pero como solo creé el perfil y anduve echando un vistazo, seguramente no me ha llegado a pedir el número porque no he hecho mucho más. Hasta aquí llegó mi aventura rusa.

Pero a los dos días, me llegaron dos solicitudes de contacto. ¡Vaya! Sin hacer nada más que tener una foto (la mía) ya me he ganado dos seguidores . Dos seguidores que, además, me escribieron sendos mensajes, a cada cual más tentador…

El trabajo-chollo de mi vida

El primero que me llegó procedía de un tal David Williams, en inglés.

Aunque ya me imaginaba por dónde iban los tiros, me decidí a contestarme un escueto “tell me more” o “dime más”, para que nos entendamos todos. El siguiente correo tardó solo unos minutos, y sí, era el chollo de mi vida: me ofrecía convertirme en una flamante mulera siendo parte de una cadena de blanqueo de dinero a cambio de suculentas comisiones… Y todo ello simplemente por registrarme en una red en un solo minuto .

El siguiente email que recibí estaba lleno de instrucciones y de datos que, aparentemente, y para un profano en la materia, darían veracidad al contenido:

Me encantó esa frase de “Can I trust you and can you work with me?”, es decir, ¿puedo confiar en ti y tú puedes trabajar conmigo? Le respondí: muy señor mio, si usted se dedica a estos menesteres, debería hacer una pequeña investigación previa, porque a poco que hubiera buscado mi nombre, hubiera visto que trabajo en seguridad. Nunca más recibí respuesta suya, evidentemente…

¡También he encontrado al amor de mi vida!

Más gracioso si cabe fue el segundo mensaje que recibí. En este caso se trataba no del negocio del siglo, sino del amor de mi vida . El email no tenía ningún desperdicio:

¡Vaya! No he tenido tanto éxito ni cuando era adolescente . Le respondí: “Muchas gracias, cuéntame algo más” y en su mensaje de vuelta, además de más piropos, empezó a decir lo que le gustaba España y lo que le gustaría viajar a mi país. Quitando el dulzor y la candidez de los mensajes, no deja de ser una variante más del famoso timo de las rusas, solo que esta vez en masculino. Si hubiera seguido la conversación, en un momento determinado me hubiera pedido dinero para venir a verme… Resultado: hubiera perdido el dinero… y el novio, que nunca llegaría .

Las estrategias son las mismas de siempre, pero están cambiando los métodos de distribución. Evidentemente, es mucho más personal y dirigido recibir un mensaje personalizado en una red social que un mensaje de spam no solicitado que llega a tu email y que no sabes de dónde viene.

De momento, en el Facebook español yo no he tenido la mala suerte de encontrarme con esta mala práctica, pero no descarto ni que esté pasando ni que vaya a generalizarse. Así que si os llega el novio o la novia de vuestra vida, o el negocio que os retirará, acordaros de que “aunque la mona se vista de seda, mona se queda” y que podrán cambiar las vías de propagación, pero que el timo sigue siendo el mismo.

¡¡Feliz lunes, trop@!!

Yolanda Ruiz

Artículos Anteriores »