Aprovechando el día del esperado debate electoral que reunió anoche a los candidatos del PP y el PSOE, se filtró información en el ya habitual sitio Pastebin relativa al acceso no autorizado a dos webs del Partido Popular.

Según la información publicada, los atacantes consiguieron obtener los usuarios  y contraseñas de acceso a las bases de datos y han publicado estos datos junto con una lista de las tablas que contienen estas bases de datos y detalles del servidor donde se alojan para demostrar que la intrusión se ha producido realmente.

Pero no solo el Partido Popular parece estar en la mira de esta facción de Anonymous, ya que también se lanzan mensajes contra Telefónica y su presidente César Alierta. Al parecer, y en respuesta al cierre del canal de IRC desde donde supuestamente se coordinaban las acciones de este grupo de activistas, se está planeando realizar un ataque contra esta empresa que implicaría la publicación de datos de las bases de datos y correos electrónicos junto con un defacement de la web principal.

Desde el laboratorio de ESET en Ontinet.com, desconocemos si los atacantes tienen realmente estos datos en su poder o si los harán públicos, aunque experiencias recientes apuntan a que así será. Mientras tanto, seguiremos informando de cualquier novedad al respecto, ya que parece que esta campaña electoral va a estar bastante animada con estas filtraciones.

Josep Albors

En los últimos días hemos estando observando la propagación de diferentes enlaces a través de Facebook que tienen en común determinadas características. Una de ellas es la temática veraniega y los consecuentes efectos de las altas temperaturas, y la otra es que están orientados al público español. Veamos un ejemplo:

Como vemos, el enlace es de lo más sugerente, suficiente para que muchos usuarios decidan pulsar sobre él y pasar un buen rato en los calurosos días (y noches) estivales. Al hacer clic, nos dirige a una web donde, si observamos, comenzamos a percibir cosas extrañas a poco que nos fijemos en los detalles.

Antes de ver el supuesto video se nos muestra un mensaje solicitándonos que confirmemos que somos mayores de edad. Hasta aquí, podría parecer normal. Pero este enlace, a pesar de usar un diseño como el de Facebook, se encuentra fuera de esta red social. Primera señal de alerta.

También resulta extraño que el botón que tenemos que pulsar no esté en nuestro idioma. Aunque a primera vista puede parecer que su significado derive del “ja” alemán, cuyo significado es “sí”, en realidad se trata de una palabra finlandesa cuya traducción literal sería “compartir”, pero que adaptado a Facebook equivaldría a pulsar el botón “Me gusta”.

Si pulsamos sobre la tecla “Jaa” pasaremos a otra web donde se nos pedirá volver a confirmar que aceptamos “compartir” este enlace. Curiosamente, todas las opciones vuelven a estar en finlandés, siendo la opción “Peruuta” la equivalente a “Cancelar”.

Si a pesar de las claras señales de advertencia nos empeñamos en seguir adelante, este enlace se copiará en nuestro muro, provocando que nuestros contactos también puedan caer en la trampa. A todo esto, el usuario seguirá sin poder ver el video, ya que en realidad no existe y sólo se trata de un gancho para atraer a más gente.

Por si fuera poco, no contentos con ensuciar nuestro muro con este tipo de mensajes, se nos abrirá una nueva web en las que se nos ofrece introducir nuestro número de teléfono. Algunos usuarios creerán equivocadamente que al introducirlo recibiremos un código para visualizar el video inexistente, pero lo único que conseguiremos haciéndolo es suscribirnos a un sistema de envío de mensajes premium de elevado coste.

Como siempre, los avezados estafadores buscan engañar a sus víctimas con cualquier tipo de gancho. Sobre todo en verano, cuando estamos más distendidos y nos apetece más ver y compartir otro tipo de contenido. Desde el laboratorio de Ontinet.com, distribuidor en exclusiva para España de ESET, recomendamos extremar las precauciones con los calores estivales y evitemos ser un canal más de distribución de este tipo de amenazas. Tus amigos de Facebook te lo agradecerán .

Josep Albors

De un primer vistazo, lo que podemos decir es que no hay grandes avances tecnológicos si lo comparamos con la plataforma que actualmente utilizan más de 700 millones de personas, Facebook. Tiene un muro donde puedes compartir tus reflexiones; puedes añadir fotos, vídeos, enlaces…; tu red de amigos se llama “círculos” y puedes clasificarlos en amigos, familia, etc., y posteriormente te permite elegir con qué grupo de contactos quieres compartir qué cosas. También incluye una aplicación con chat y vídeo, utilizando la tecnología que ya conocemos de GTalk. Igualmente, puedes subir tus fotos y organizarlas, subir fotos directamente desde Android, ver las fotos de tu círculo de amigos o en las que te han etiquetado.

En definitivas cuentas, y como decía anteriormente, nada nuevo y sorprendente. Pero vamos a lo que nos interesa, nos ocupa y, diría más, nos preocupa: las posibilidades de configuración de privacidad y seguridad.

Lo primero que hemos hecho, tras recibir la invitación y hacer login, es ir a buscar en las opciones de configuración las posibilidades de privacidad y seguridad que nos ofrece Google+. Para nuestra sorpresa, no sólo creemos que no está a la altura de Facebook en cuanto a las cosas que el usuario puede hacer para protegerse, sino que es un sistema bastante más abierto. Es lógico, por otra parte, dado que Facebook lleva años mejorando estas opciones a base de ir parcheando sobre la marcha problemas que les han ido surgiendo.

En Facebook, el usuario puede configurar qué cosas están abiertas (visibles) para amigos de tus amigos, o amigos directos, o para que se vea públicamente en web. Una vez configurado de la forma correcta, el usuario se olvida. En Google+, sin embargo, cada vez que se comparte un estado, una foto, etc., hay que definir para quién se quiere dejar visible: para amigos, familia, todos los círculos, público, etc. Esta medida sería genial si los usuarios fuéramos mínimamente organizados y conscientes de qué contactos tenemos en qué círculo, pero creo que todos sabemos que cuando se utiliza una red social todos somos muy metódicos al principio, pero a medida que vamos recibiendo solicitudes de amistad, irremediablemente acabamos aceptando a todos y no clasificando a nadie. Es cuestión de tiempo y de organización.

Por otro lado, vemos que Google+ no tiene, de momento, aplicación para correo integrada, aunque siendo una aplicación beta es natural que evolucione hacia la fusión de todos los servicios de Google en la nube. Es decir, que servicios como Gmail o Docs estén totalmente integrados en nuestro perfil será sólo cuestión de tiempo. O que sólo con un clic podamos compartir cualquier documentación que tengamos almacenada. Eso sí, siempre definiendo, por cada documento o e-mail, con quién queremos compartirlo.

Sí incluye la posibilidad de configurar quién puede enviar al usuario un correo electrónico: la dirección de e-mail en sí no se mostrará en el perfil público, pero si dejamos la configuración por defecto, es decir, que “cualquiera de la web” me puede enviar un correo, no quiero ni pensar cuánto tardará en aparecer la campaña de spam que distribuye malware, por ejemplo. Dada la novedad, seguro que todos tendremos curiosidad de abrir y saber qué nos han enviado a través de la nueva red social.

Además, Google+ ha incluido en la actualización de estado la posibilidad de que el sistema nos tenga permanentemente geolocalizados. De esta forma, cuando nos conectemos a Google+ desde cualquier sitio, podremos añadir nuestra situación exacta: estemos en la oficina, en nuestra casa, en la playa, etc. La funcionalidad tampoco es nueva, y cierto es que el usuario ha de aceptar, expresamente, la geolocalización, pero una herramienta que puede resultar un juego podría acabar con más de un disgusto si somos demasiado generosos dando demasiada información a través de la nueva red social. Ya hemos tenido precedentes de bandas organizadas que seguían el rastro de usuarios de Facebook para averiguar cuándo no estaban en casa y cometer sus fechorías aprovechando la coyuntura.

Añadir que no hemos visto ningún tipo de medida específica para la protección de menores. Aunque, buscando bastante y a golpe de 3 o 4 clics, hemos averiguado cómo se puede bloquear a una persona, de acuerdo a las normas de su comunidad. El acceso, desde luego, ni es intuitivo ni sencillo, e imaginamos que mucho menos para un menor.

Finalmente, una preocupación más general que particular: el famoso “+1”. A poco que se navegue en Internet, vemos en muchos sitios el botón “Me gusta” (en periódicos online, en blogs, etc.). Ese botón indica que de alguna manera recomendamos dicho sitio, o dicho contenido. De momento, no hace falta ni tener perfil en Facebook ni nada parecido. Pero una de las funcionalidades del OpenGraph de Facebook es recoger todo ese tipo de información y almacenarla, de manera que no sólo pueda tener información estadística de los usuarios en general, sino que si estás logado en otra sesión del navegador en Facebook, también se almacena como datos de tu perfil. De momento, datos privados. Pero llegará un momento en que Facebook, con millones y millones de registros y creciendo, con información de compañías enteras en las FanPages, se convertirá en un multibuscador que permitirá segmentaciones de público hasta ahora inauditas. Esto respecto a Facebook.

Google, hasta ahora, es un buscador, pero ahora saca su red social. Con millones de personas utilizando su servicio básico todos los días, a los que hay que añadir las cuentas de gmail, las de adwords, las de Google Docs, etc., sería lógico pensar que su comunidad crecerá de forma muy rápida. Y, además, ahora en sus resultados de búsqueda, además del tradicional link con el resumen del sitio y demás, encontraremos un botón “+1”. Este botón significa lo mismo que el “Me gusta” de Facebook: una recomendación entre usuarios. Recomendación que también se almacena en nuestro perfil de Google+. Además de que haya posibilidades o no de secuestrar dicho botón (técnica conocida como clickjacking, puesta ya en práctica con el de Facebook), cualquiera que esté en nuestro círculo podrá ver a qué le hemos dado +1.

En definitivas cuentas, buena iniciativa de Google, a la que deseamos mucha suerte. Pero sobre todo, y para evitar males mayores, pedimos que hasta que el servicio sea totalmente público, trabajen más en pro de la seguridad y la privacidad facilitando a los usuarios no sólo las opciones de configuración necesarias para conseguir dicho fin, sino que además éstas sean intuitivas y de fácil acceso. Y que tengan en consideración cualquier problema de seguridad que pueda surgir sobre la marcha, que los habrá, para prevenir mejor que curar.

Desde Ontinet.com, el laboratorio de ESET, recomendamos y animamos a todos los usuarios que estén probando la beta que se fijen en las diferentes mejoras que se puedan implementar para mejorar la seguridad y la privacidad de los usuarios reportando a Google cualquier sugerencia. Y que, como siempre decimos, utilicemos el sentido común, que muchas veces, es el menos común de los sentidos.

Yolanda Ruiz

No obstante, hay campañas de propagación de este tipo de aplicaciones que consiguen un notable éxito y hacen que su propagación sea elevada entre los usuarios de Facebook. Justo en estos días estamos viendo como una gran cantidad de usuarios está cayendo en la trampa del botón “No me gusta”, posiblemente porque es una funcionalidad que a muchos usuarios les gustaría tener.

El método usado para propagar esta amenaza es bastante clásico. Primero se publica en el muro de algún usuario la falsa noticia de la aparición de esta nueva funcionalidad, los usuarios empiezan a picar, movidos principalmente por la curiosidad, y pulsan rápidamente sobre la opción que les invita a instalar este botón. Seguidamente se les dirige a una web donde se explica como realizar la instalación de esta nueva característica, que incluye copiar y pegar código javascript en nuestro navegador. Es en este punto cuando, al tener una sesión de Facebook iniciada, el mensaje se propaga a nuestros contactos, haciendo que el número de afectados aumente. Además, en algunos casos se ha visto como los afectados son redirigidos a una web de envío de mensajes sms premium, de alto coste y mucha difícultad para darse de baja.

Pero esta aplicación maliciosa no ha sido la única en obtener un alto número de afectados. Otro mensaje se empezó a propagar el pasado fin de semana anunciando una nueva funcionalidad que permitía averiguar que usuarios estaban visitando nuestro perfil. Si nos fijamos en la imagen, el lugar donde se nos invita a pulsar para ver quién nos “acosa” es donde, originalmente, se encuentra el botón de Compartir, por lo que publicaríamos esa información en nuestro muro, haciendo que esta amenazas se siguiera propagando. Se trata de un nuevo caso de clickjacking, donde se engaña al usuario camuflando la intención real del atacante.

Como vemos, este tipo de engaños están a la orden del día en Facebook por lo que es necesario que los usuarios prestemos más atención antes de caer en la trampa. Desde el laboratorio de ESET en Ontinet.com recordamos que toda nueva característica será anunciada debidamente por los responsables y debemos desconfiar de este tipo de mensajes.

Josep Albors

Juraj Malcho, Responsable del laboratorio de ESET en Bratislava, informa:

“Acabamos de descubrir lo que parece un nuevo ejemplo de scam en Facebook que se está propagando por esta red social. En estos momentos no hemos observado que se esté ofreciendo contenido malicioso, pero este cambia incluso mientras escribo este informe y es muy probable que pronto empiece a propagar malware. Se propaga añadiendo un enlace en el muro de Facebook como este:”

“Si un usuario registrado pulsa sobre el enlace, el mismo mensaje se mostrará en su muro. Hace unos minutos no pasaba nada más tras pulsar sobre el enlace y el sitio web que, presumiblemente, tenía que descargar el código malicioso nos devolvía una redirección a un IFRAME vacío. No obstante, en estos momentos muestra un juego de pulsaciones que contabiliza cuantas veces eres capaz de pulsar tu ratón en 5 segundos.”

“Recomendamos tener cuidado y evitar pulsar enlaces similares mientras se navega por los muros de otros usuarios de Facebook. Como en otros casos de ingeniería social vistos anteriormente, es muy probable que aparezcan falsos antivirus y otras aplicaciones de dudosa procedencia y que intenten engañar a los usuarios para que las instalen.

Por supuesto, seguiremos informando conforme evolucione la situación.”

Otros expertos en seguridad como Mikko Hypponen de F-Secure y Graham Cluley de Sophos han escrito también acerca de este tema en sus blogs. Mikko, incluso llegó a llamar a un número de teléfono que, aparentemente, estaba asociado al sitio malicioso en cuestión. Pueden obtener mas información sobre la investigación de Mikko en su blog.

Desde ESET seguiremos informando de cualquier evolución que pueda tener este tema.

Josep Albors

Este tipo de aplicaciones son muy famosas entre los usuarios de esta red social, variando desde simples juegos a aplicaciones mas complejas. El problema radica en que muchos usuarios de Facebook utilizan aplicaciones de terceros que no han sido verificadas, posiblemente creadas por ciberdelincuentes para obtener los datos de acceso a las cuentas de los usuarios.

Normalmente, cuando se requería el acceso a los datos del usuario por parte de este tipo de aplicaciones, Facebook avisaba con una ventana de los peligros que esta acción podría acarrear. Sin embargo, desde el cambio en la política de privacidad, estas aplicaciones no requieren mostrar el mensaje de advertencia. Con este cambio de política, Facebook añade una mayor cantidad de aplicaciones de otras compañías en su red social pero a costa de omitir la verificación de las mismas exponiendo así a los usuarios a posibles ataques.

Según el investigador Shlomi Narkolayev se pueden preparar ataques del tipo clickjacking para secuestrar cuentas de Facebook usando ingeniería social para redirigir a los usuarios a webs con contenido malicioso. Este investigador ha publicado en su blog un video donde muestra un ejemplo de como sería un ataque de este tipo.

Clickjacking es una técnica usada con fines maliciosos que engaña a los usuarios, permitiendo revelar información confidencial de estos o tomar el control de sus sistemas, por el mero acto de pulsar sobre enlaces aparentemente inofensivos. Esta vulnerabilidad puede encontrarse en casi todos los navegadores y plataformas.

Sabiendo que muchos usuarios simplemente se limitan a coleccionar este tipo de aplicaciones sin comprobar su origen y, lo que es peor, promocionarlas entre sus amistades, la velocidad de propagación de este tipo de amenazas suele ser bastante elevada.

Desde aquí recomendamos verificar siempre el origen de estas aplicaciones e instalarlas únicamente si se ha comprobado que el autor es de plena confianza.

Josep Albors