• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (3)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (20)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (41)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (99)
  • Facebook (54)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (18)
  • Linux (1)
  • Mac (23)
  • Malware (288)
  • PDF (1)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (70)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (122)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (54)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (11)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

¿Nueva ciberarma económica? Twitter pone en jaque a la Casa Blanca… y a la Bolsa

Seguramente ya lo habréis oído o visto en el telediario: ayer, un ciberatacante se infiltró en la cuenta de la popular agencia de noticias Associated Press de Estados Unidos y publicó un tweet que durante unos minutos hizo convulsionar a la Casa Blanca, a la Bolsa y a más de una institución más. El tweet era una breve alerta del canal de la agencia de noticias en Twitter que decía “Alerta: dos explosiones en la Casa Blanca y Barack Obama herido”.

Automáticamente, el tweet comenzó a ser retuiteado y compartido por miles de personas, y la noticia corrió como la pólvora. Casi inmediatamente, la agencia de noticias publicaba que su cuenta en Twitter había sido pirateada, para posteriormente suspender rápidamente el servicio: “Advertencia: el Twitter de @AP ha sido pirateado. El tweet de un ataque a la Casa Blanca es falso. Os contaremos más cuando sea posible”, mensaje enviado a través de su otra cuenta corporativa @AP_CorpComm.

Mientras esto pasaba, como es lógico, todos los periodistas miraron hacia la Casa Blanca, y su portavoz, Jay Carney, salió rápidamente a desmentir la noticia. Posteriormente hemos sabido que los ciberactivistas en línea que apoyan el régimen del presidente Sirio, Bashar al Assad, reclamaron más tarde la autoría del ataque, el último de una serie de intervenciones contra grandes empresas de información. Los hackers tienen entre sus objetivos más comunes las cuentas de Twitter de empresas de noticias. De la misma manera, estos activistas sirios reivindicaron el haber pirateado la cuenta de AFP de Twitter en febrero pasado.

El llamado Ejército Electrónico Sirio (Syrian Electronic Army), que afirmó haber pirateado la cuenta de AFP, había reivindicado anteriormente haber pirateado las páginas web de Sky News Arabia y Al-Jazeera Mobile.

El sábado pasado las cuentas de los programas de CBS News “60 Minutos” y “48 Horas” también fueron pirateadas. Un tuit de la cuenta @60 Minutos afirmaba: “Exclusiva: el terror golpea #EEUU y #Obama está descaradamente en la cama con Al-Qaeda”. El tuit fue posteriormente borrado y CBS News afirmó estar teniendo problemas con sus cuentas en la popular red social.

Pero vayamos a fijarnos en lo que nos interesa… Estados Unidos acaba de resolver el ataque terrorista  de Boston, y acaba de salir de un estado de emergencia en buena parte del país. Un solo tweet de 140 caracteres fue suficiente para sembrar el pánico en el país, teniendo en consideración que venía de la cuenta de Associated Press (si no estás familiarizado, AP es como nuestra agencia EFE pero mucho más grande y con más influencia). Pero no solo sembró el pánico entre las instituciones… También lo hizo en la Bolsa, que automáticamente se desplomó durante el período de tiempo que tardó en desmentirse la noticia.

Cuando ayer estaba leyendo lo que había pasado y vi la noticia en el telediario, automáticamente pensé: si no está hecho a propósito, quizá sin saberlo, acaban de inventar una nueva ciberarma económica. Veamos…, no sé si estás familiarizado con la Bolsa y su funcionamiento, pero más allá de terminología económica, las fluctuaciones de los valores se suelen mover a base de rumores y noticias.

Que se rumorea que a una gran constructora que opera en Bolsa  le van a dar un gran contrato para hacer una planta acuífera en África, suben sus valores, porque los accionistas, pensando que dicho contrato puede revalorizar el valor de la compañía, se ponen como locos a comprar acciones. A mayor demanda, menor oferta y, por lo tanto, más cara. Por lo que sube su valor. Y viceversa: si hay una noticia negativa que puede afectar desfavorablemente, los accionistas venden, aumenta por lo tanto la oferta disponible de acciones y el precio baja, para conseguir colocar todos los títulos.

Ahora pensemos… Si este hubiera sido un ataque orquestado para conseguir un beneficio económico, alguien se podría haber llevado mucho dinero. ¿Cómo? Fácil: se publica el tweet, y la Bolsa comienza a caer. Alguien que esté pendiente podría comprar cuando los valores están bajos, y unos minutos después, tras el desmentido y la vuelta a la normalidad, y al volver a subir los valores, venderlos. Si ha comprado a 10 dólares cuando estaba más baja y vende, unos minutos después, a 60, y si las cuentas no me fallan, habría sacado 50 dólares de beneficio por acción en solo unos minutos.

Eso sí, tiene que ser alguien que sepa operar en Bolsa y que tenga la agilidad suficiente como para hacerlo. Me imagino que el Ejército Electrónico Sirio igual necesita financiación para llevar a cabo sus tropelías, ¿no? O algún Gobierno… o algún gran operador económico internacional… Piénsalo. Porque si no, este hecho en sí no deja de ser una gamberrada que no lleva a ninguna otra parte, porque era de prever que el desmentido fuera inmediato.

O quizá fue una prueba de concepto para ver hasta qué punto la Bolsa y sus fluctuaciones son sensibles a las noticias filtradas por la Red. Y, como hemos visto, efectivamente lo es. ¿Qué hubiera pasado si en vez de publicar este tweet hubieran dicho que Corea ha lanzado una bomba atómica sobre Estados Unidos? Puf, mejor no pensarlo…

Y pensar en que la Bolsa no responda ante este tipo de noticias es casi una entelequia, porque sería pretender cambiar por la base el funcionamiento del sistema económico, y eso, disculpadme que os diga, no creo que pase.

Seguro que algún otro espabilado ha pensado ya en esta nueva aplicación del ciberactivismo, porque si se buscan los compinches adecuados, pueden amasar una respetable cantidad de dinero. O bien alquilar sus “servicios” al mejor postor y operador en Bolsa. ¿Que es trampa? Bueno, la historia económica está plagada de trampas y triquiñuelas.

Por eso, ante esta noticia y viendo la reacción en cascada que causó, yo me pregunto: ¿estaremos ante una nueva ciberarma económica? No quiero ser tremendista, pero esto sí podría causar un buen lío internacional…

Yolanda Ruiz Hervás

Anonymous lanza la #OpIsrael con un éxito moderado

Aprovechando el día en el que se recuerda a los judíos víctimas del holocausto, miembros de Anonymous decidieron lanzar el pasado domingo 7 de abril la #OpIsrael. Esta operación tenía como finalidad denunciar la precaria situación humanitaria en la franja de Gaza y buscaba dejar inoperativas el máximo número posible de webs en Israel y obtener datos privados para filtrarlos a continuación.

El ataque ha tenido éxito o no dependiendo de a qué parte le preguntemos. Los hacktivistas han declarado que la operación ha sido un éxito, consiguiendo dejar inaccesibles miles de webs, filtrando miles de datos como 5.000 cuentas de Twitter o 30.000 cuentas bancarias y han contabilizado en 3.000 millones de dólares los supuestos daños ocasionados por estos ataques.

En el bando contrario, representantes del Gobierno de Israel encargados de la ciberseguridad han declarado que estos ataques han producido un daño leve y que ninguna infraestructura crítica del país se ha visto afectada. Es más, según el Gobierno israelí estas acciones tan solo pretenden generar ruido para llamar la atención de la prensa, minimizando los datos filtrados y las webs afectadas por esta serie de ataques.

Como nota anecdótica y en respuesta por estas acciones, un hacker israelí consiguió acceder a la web que Anonymous había preparado para esta operación y consiguió modificarla para que, en lugar de mostrar los mensajes en contra de Israel, reprodujera sin cesar el himno nacional israelí.

Entre las webs afectadas hasta el momento, destacamos la de la Fuerza de Defensa de Israel, la del Ministerio de Salud de Israel, la entidad bancaria Leumi, el proveedor armamentístico Israel Military Surplus y la empresa tecnológica Decell. Todas ellas sufrieron intrusiones y filtraciones de datos privados que los hacktivistas han ido publicando. Además, Anonymous también anunció que el sitio web de la empresa Tase, especializado en el mercado de valores, sufrió un ataque de denegación de servicio que supuestamente les supuso grandes pérdidas.

Como sabemos que dependiendo de a cuál de los bandos implicados preguntemos obtendremos información diferente, hemos decidido preguntar a nuestros compañeros de ESET Israel para que nos proporcionen información de primera mano.

Según Amir Carmi, responsable del departamento técnico del distribuidor de ESET en Israel, la mayoría de esta información se ha exagerado para magnificar el ataque. Según sus investigaciones, tan solo un puñado de sitios estuvieron caídos o sufrieron un defacement durante pocos minutos. Además, muchos de los datos filtrados son falsos o pertenecen a personas de otros países. Al respecto de los ataques de denegación de servicio y las supuestas pérdidas millonarias ocasionadas, no han visto ningún indicio que demuestre que esta afirmación sea cierta.

Tendremos que esperar a ver si los hacktivistas realizan algún ataque serio a intereses de Israel que pueda ser contrastado y verificado como tal. De momento, lo único que hemos comprobado es que se está generando mucho ruido alrededor de esta operación pero sin graves consecuencias en objetivos israelitas.

Josep Albors

Anonymous asegura haber obtenido datos privados de una web de propaganda norcoreana

Entre los ataques a diferentes webs producidos durante la pasada Semana Santa que comentábamos ayer, vimos cómo alguno de ellos había tenido como objetivo sitios web de Corea del Norte. No hace falta devanarse los sesos para averiguar que estas acciones son una respuesta a las continuas amenazas a la comunidad internacional por parte de su líder, Kim Jong-Un, quien amenaza con desplegar su arsenal nuclear en respuesta a unas recientes maniobras militares realizadas por sus vecinos del sur y el ejército de los Estados Unidos.

En el día de ayer conocimos la noticia de que miembros de Anonymous habrían conseguido, supuestamente, acceder al sitio de propaganda norcoreano Uriminzokkiri.com y obtener más de 15.000 credenciales de sus usuarios. A través de un mensaje que se publicó para informar de esta filtración de datos, estos miembros de Anonymous expusieron sus motivos para lanzar este ataque a esta web norcoreana y pusieron como ejemplo seis cuentas obtenidas de ella que mostraban sus nombres de usuario, direcciones de email, fecha de nacimiento y las contraseñas cifradas.

La web afectada se encuentra alojada en China, no en Corea del Norte, y no es la primera vez que sufre un ataque similar. Ya en 2011, grupos hacktivistas atacaron esa misma web, borrando artículos y publicando mensajes en contra del régimen norcoreano.

En el mensaje dejado por Anonymous se menciona también que los hacktivistas que realizaron este ataque tienen acceso a la Intranet de Corea del Norte, así como también acceso a sus servidores de correo y servidores web. Desconocemos la veracidad de estas afirmaciones y será difícil creerlo si no se presentan pruebas contundentes, puesto que es conocido que la Intranet de Corea del Norte no se encuentra conectada a Internet y es considerada una de las redes de más difícil acceso, algo completamente lógico conociendo la política aislacionista del régimen norcoreano.

Como vemos, de nuevo una escalada de tensión entre naciones en el mundo real tiene su repercusión en Internet. El problema viene cuando estas acciones online son tomadas como ataques equiparables con actos de guerra por las naciones afectadas y se plantea tomar represalias que amenazan la vida de civiles solo por ser considerados “hackers peligrosos”.

Josep Albors

Resumen de ataques a webs y filtraciones en Semana Santa

Mientras volvemos de las merecidas vacaciones de Semana Santa y nos incorporamos de nuevo a nuestra rutina habitual, es hora de hacer balance de lo que ha sucedido en este largo puente. La verdad es que han habido ataques a webs de todo tipo, incluyendo algunas importantes multinacionales y gobiernos.

Empezábamos el Jueves Santo con la noticia de la filtración de más de 200.000 credenciales de usuarios de McDonald’s en Austria y Taiwán. Asimismo, el sitio web oficial de McDonald’s de Corea del Sur fue modificado para que mostrase un mensaje de los perpetradores de este ataque, un integrante del Ajan hacker group conocido como Maxney.

Entre los datos filtrados se encuentran las credenciales de acceso a los sitios web de McDonald’s Austria y Taiwán, así como también nombres de usuario, direcciones de correo, contraseñas cifradas, género, dirección de residencia y fecha de nacimiento, entre otros. En total, los datos filtrados suman alrededor de 226.000 en Taiwán y 21.000 en Austria.

El mismo atacante consiguió acceder al sitio web taiwanés de otra importante empresa como es MTV y filtrar más de medio millón de cuentas de sus usuarios, además de modificar su página de inicio. Entre los datos filtrados se encuentran el nombre completo de los usuarios, el correo electrónico y las credenciales de acceso en texto plano.

Otro de los ataques que más webs ha afectado ha sido el realizado por el grupo Algerian to the core. En principio no se ha producido filtración de datos y estos ataques se han limitado a modificar las webs de varias empresas y sitios gubernamentales. Entre las webs afectadas encontramos alguna perteneciente a los Gobiernos australiano y tailandés. También se han visto afectadas muchas webs de empresas de otras nacionalidades, como Israel o Francia.

Pero sin duda, el mayor número de webs atacadas por este grupo pertenecen a empresas españolas con dominios .es y .cat. En el momento de escribir este artículo, aún muchas de ellas se encuentran modificadas. Es posible que este ensañamiento a estas webs de empresas españolas se deba a intereses comerciales que estas empresas puedan tener en el país, pero también podría deberse a una mera coincidencia.

Durante estos últimos días también hemos visto cómo la tensión entre Corea del Norte y sus vecinos del sur aumentaba de forma preocupante, motivo por el cual no es de extrañar que varios grupos hacktivistas hayan decidido tomar cartas en el asunto. Entre esos grupos encontramos a Anonymous_Korea, quien decidió lanzar una serie de ataques contra sitios web de Corea del Norte.

Esto no hace más que añadir tensión entre las dos naciones, aunque las primeras noticias de estos ataques se remontan a mediados de febrero. Más inquietante resulta el anuncio de un supuesto gran ataque que, supuestamente, sería lanzado el próximo 25 de junio, aunque no se ha confirmado que este anuncio sea verdadero.

El último de los ataques de los que hemos tenido constancia es de esta misma madrugada y ha afectado a la web del Banco de la UK Commonwealth, uno de los más importantes de Australia. Entre los datos obtenidos se encuentran 1.900 direcciones de correo, contraseñas cifradas y nombres completos de los usuarios. El hecho de que estos datos hayan sido obtenidos desde la web de una importante entidad bancaria no dice mucho a favor de la seguridad que esta entidad proporciona a sus usuarios.

Como vemos, ha sido un puente de Semana Santa movidito, motivado probablemente por el  hecho de que muchos administradores de los sitios web comprometidos se encontrasen de vacaciones. Asimismo, nos gustaría dar las gracias al sitio Cyberwarnews.info por la gran labor que realiza al recopilar información de este tipo de ataques y que nos permite estar al día sobre ellos.

Josep Albors

Los ficheros secretos y el código de Dexter

Con este nombre cualquiera se resiste, ¿verdad? Pero si además los ficheros secretos corresponden a varios archiconocidos personajes de Estados Unidos, la tentación sí que es irresistible. Con razón el contador de la página registra más de 650.000 visitas, y sigue subiendo, aun a pesar de que todos los que nos dedicamos a esto nos resistimos a darle publicidad a la dirección web que tiene dominio ruso y cuya cabecera nos sorprende con esta imagen:

La noticia ha dado la vuelta al mundo, el FBI, el Servicio Secreto y el Departamento de Policía de Los Ángeles están investigando a fondo, porque entre otras, Michelle Obama, la esposa del presidente de los Estados Unidos, figura en esta lista, y con datos muy jugosos acerca de la situación financiera de, al menos, una de sus cuentas. Muchos son los personajes afectados: Beyoncé Knowles, pasando por el vicepresidente de Estados Unidos, Joe Biden, el secretario de Justicia federal, Eric Holder, la ex secretaria de Estado, Hillary Clinton, o el director del FBI, Robert Mueller… Pero desde que la información vio la luz, el sitio sigue añadiendo personajes: los últimos, Bill Gates y Tom Cruise, entre otros. Pero hay más:

Entre los datos que podemos encontrar siguiendo los links se encuentran las direcciones actuales y pasadas de cada uno de ellos, así como, en algunos casos, un link a la apertura de sesión de sus correspondientes bancos donde se muestra un resumen de sus extractos y movimientos.

Sorprende que aun a pesar de haber dado la voz de alarma y haber anunciado a bombo y platillo una investigación a fondo, el sitio sigue activo y operativo desde el pasado lunes, y sus autores, de los que no se tiene ninguna pista de momento, siguen añadiendo datos de nuevos personajes públicos y no se han cortado los accesos o cambiado las credenciales de acceso a los extractos bancarios. Cabe la posibilidad de que no sean reales, pero por una información ficticia no se da la alarma mundial.

La única pista, poco consistente, consiste en la supuesta admiración del pirata –o grupo de piratas informáticos- hacia la popular serie de televisión Dexter, ya que la frase que encabeza la web es de su protagonista y en el código de la página hay un enlace a un vídeo de YouTube que contiene los títulos de crédito de la producción americana. Por si no la habéis visto, Dexter es un forense de la policía que se dedica a matar a otros asesinos, siguiendo un código de honor que le lleva a tomarse la justicia por su mano.

Tendremos que esperar para ver novedades en torno a este caso, que se produce justo tres meses después de que Christopher Chaney fuera condenado a 10 meses de prisión por piratear las cuentas de correo electrónico de Scarlett Johansson, Mila Kunis y Christina Aguilera. Esperemos que las investigaciones den sus frutos y que el daño no llegue más allá, porque publicar las direcciones privadas de algunos famosos pudiera acarrear algún que otro susto.

Yolanda Ruiz Hervás

Evernote cambia la contraseña de 50 millones de usuarios tras ver comprometida su seguridad

El conocido servicio de archivo de notas en la nube, Evernote, informó el pasado fin de semana a sus más de 50 millones de usuarios de haber sufrido una intrusión no autorizada en sus sistemas. Según la empresa, los atacantes consiguieron obtener datos como el nombre de usuario, el email asociado a su cuenta y una copia de las contraseñas cifradas.

Por suerte, aparentemente no se obtuvieron datos como los de las tarjetas de crédito de los usuarios ni se obtuvo acceso a las notas almacenadas en el servicio. Esto, unido a que las contraseñas obtenidas se encontraban cifradas, hace que los atacantes solo hayan obtenido datos de menor relevancia pero que igualmente pueden ser usados con malas intenciones.

Los atacantes pueden usar estos datos, por ejemplo, para preparar campañas de envío masivo de correos electrónicos, haciéndose pasar por la propia Evernote y dirigirlos a sitios web maliciosos.

De hecho, el correo enviado por Evernote a los usuarios podría pasar perfectamente por un caso de phishing si no fuera porque los datos de la cabecera del mensaje son los correctos. Veamos un ejemplo:

No es solo por el lenguaje usado, o por las faltas de ortografía  presentes en todo el texto. Lo más paradójico de este correo es que se nos proporciona un enlace para reestablecer nuestra contraseña al servicio cuando, unas líneas más tarde, se nos avisa de lo siguiente:

“Nunca haga clic en correos electrónicos que piden que cambie o reajuste su contraseña – En ves, diríjase directamente al sitio”.

Una recomendación de seguridad muy acertada pero que ellos mismos no aplican en ese mensaje.

Si somos usuarios de este servicio debemos tomar precauciones y cambiar lo antes posible nuestra contraseña. Obviamente, debemos generar una contraseña robusta y que no repitamos en ningún otro servicio, para evitar males mayores en caso de que uno de estos servicios se vea comprometido.

Josep Albors

Infectan ordenadores de empleados de Facebook usando vulnerabilidad de Java

Hace unas semanas informábamos de una serie de ataques dirigidos que tuvieron como objetivo algunos de los más prestigiosos periódicos estadounidenses y a la conocida red de microblogging Twitter. Muchos investigadores apuntan a la utilización de una vulnerabilidad 0-day (para la cual no existía solución en el momento de ser utilizada) en Java como método de acceso usado por los atacantes para conseguir introducir malware en los ordenadores de las víctimas.

Ahora hemos conocido que Facebook también sufrió una intromisión similar en varios ordenadores de sus empleados en las mismas fechas. En un comunicado hecho público por esta red social, han confirmado que la intrusión se llevó a cabo durante el pasado mes de enero y que se realizó utilizando un ataque “sofisticado” al visitar los empleados una página web que contenía un exploit para una vulnerabilidad de Java.

 Tras descubrir y analizar la intrusión se pudo comprobar que no se accedió a datos de usuarios de Facebook, ya que los ordenadores pertenecían a ingenieros de la empresa sin acceso a ellos. Tampoco se ha mencionado el sistema operativo atacado, más allá de comentar que se encontraba totalmente actualizado y contaba con protección antivirus, aunque siendo un ataque que aprovechaba una vulnerabilidad en un software multiplataforma como es Java, el sistema operativo utilizado es irrelevante.

Con respecto al ataque en sí, de nuevo vuelve a mencionarse la palabra “sofisticado” para referirse a la técnica utilizada que logró infectar estos ordenadores. Últimamente se está utilizando mucho esta excusa para salir del paso, presentando un ataque como altamente elaborado siendo prácticamente inevitable que este consiguiera su objetivo.

¿Pero son estos ataques tan sofisticados como se dice? La realidad es bien distinta y, si bien una vulnerabilidad 0-day le permite a un atacante jugar con cierta ventaja, no es menos cierto que el uso de Java en aquellos entornos en los que no sea estrictamente necesario (y más aun en los navegadores) se viene desaconsejando desde hace meses y es algo que hubiera evitado un ataque de este tipo.

Así pues, la mayor “sofisticación” que han usado los ciberdelincuentes en este ataque ha sido conseguir infectar una web legítima (algo que sucede todos los días en miles de webs) y usar una vulnerabilidad en un software cuya descripción gráfica de seguridad más acertada sería la de un colador.

Por desgracia, este tipo de ataques siguen cosechando importantes éxitos entre usuarios de todos los perfiles, desde el más descuidado hasta aquellos con acceso a datos clasificados como importantes. Mientras no apliquemos medidas de seguridad adicionales a las usadas hasta ahora como la limitación del uso de aplicaciones con conocidos y repetidos fallos de seguridad, la aplicación inmediata de parches de seguridad que solucionan graves vulnerabilidades y el conocimiento a fondo del sistema operativo usado con sus fortalezas y puntos débiles, el éxito de estos ataques está garantizado.

Josep Albors

 

Información privada de miembros de la Academia de Cine filtrada por hacktivistas

Anoche se celebró la entrega de los premios Goya del cine español y, como viene siendo costumbre durante los últimos años, los hacktivistas volvieron a ser protagonistas al hacer públicos datos de los miembros de la Academia de Cine.

Mediante un tweet publicado por miembros de LulzEs se comunicó la filtración de estos datos, los cuales incluyen correos electrónicos y números de teléfono de varios de los asistentes a la gala de entrega de los premios Goya.

Parece mentira que haya vuelto a ocurrir algo tan similar a lo que ya ha pasado en ocasiones anteriores, y eso demuestra, como bien apuntan nuestros compañeros Chema Alonso en su blog y los chicos de Security by Default, que no se toman las medidas de seguridad necesarias para proteger datos privados como estos.

Este no es un caso de publicación de una agenda telefónica sustraída de algún famoso, como ocurrió con Pipi Estrada. Se trata de datos privados de artistas, directores, productores y otras personas que han confiado en la Academia de Cine y su sistema informático y ahora ven cómo cualquiera puede acceder a ellos.

Por suerte, no se han publicado los nombres asociados a cada email o teléfono, pero solo con que analicemos los correos electrónicos publicados podremos asociar muchos de ellos a la persona que hay detrás, lo que puede derivar en cientos de llamadas a actores famosos por parte de gente que ha consultado estos datos filtrados.

Viendo que este tipo de filtraciones se producen una y otra vez, podríamos decir que los personajes famosos e importantes disponen ahora de menos privacidad que nunca, aunque a veces ya se encargan ellos mismos de hacer públicos datos privados.

Los usuarios que no somos personajes famosos podemos aprender una lección de esta noticia, y es asumir que nuestros datos privados no están seguros en ninguna empresa u organización. Si aceptamos esta realidad, podemos empezar a limitar la cantidad de datos que proporcionamos y, de esta forma, limitar nuestra exposición a este tipo de incidentes.

Josep Albors

Datos privados de la familia Bush al descubierto

Dentro de lo que catalogaríamos como una intromisión en la privacidad de una persona famosa, la familia de los expresidentes Bush (padre e hijo) ha visto como datos personales han salido a la luz pública tras haber sufrido varios de sus miembros el acceso no autorizado a sus cuentas de Aol Mail.

El atacante, que se identificó como Guccifer consiguió acceder a varias de las cuentas de la familia Bush como las de Dorothy Bush, el hermano de la exprimera dama Barbara Bush y la cuñada de George H.W. Bush.

Obviamente, como se cabe esperar de una familia tan ligada a la política como esta, entre los correos a los que se tuvo acceso hay información interesante entre la que se encuentran varias fotografías, direcciones de residencia y varias direcciones de correos electrónicos de los miembros de la familia Bush.

Entre los datos obtenidos más curiosos encontramos fotografías que George W. Bush habría hecho a dos cuadros en los que se encontraba trabajando. Aparentemente, estos cuadros son auto-retratos  del expresidente de los Estados Unidos tomando una ducha y un baño. Una pena que el expresidente no tenga el mismo sex-appeal que Scarlett Johansson.

Como vemos, ni siquiera el que una vez fuera hombre más poderoso del planeta se libra de ser víctima de este tipo de intrusiones y posterior filtración de datos privados. Casos como este deberían servirnos para proteger debidamente nuestra información ya que, aunque la mayoría no somos famosos, sí que tenemos datos interesantes para un ciberdelincuente.

Josep Albors

El Departamento de Energía de los EE.UU. sufrió un importante ciberataque

De nuevo tenemos que hablar de un objetivo estratégico que ha sufrido un importante ciberataque y con el que se obtuvo información personal de centenares de empleados. Si la semana pasada fueron tres importantes e influyentes periódicos los que anunciaron que su seguridad se había visto comprometida, ahora le toca el turno al Departamento de Energía de los Estados Unidos.

Según hemos podido saber gracias a una publicación realizada por The Washington Free Beacon, agentes del FBI se encuentran investigando una serie de ciberataques realizados durante las últimas semanas y que han tenido como consecuencia el acceso no autorizado a la información de cientos de trabajadores de este organismo.

Al parecer, el ataque consiguió afectar a 14 servidores y 20 estaciones de trabajo durante el tiempo que duró la intrusión. De nuevo se habla de un ataque elaborado y complejo y se  apunta a China como principal sospechoso.

El hecho de que China esté siempre en el punto de mira cada vez que un caso similar sale a la luz tiene su explicación. El gigante asiático cuenta, probablemente, con el ciberejercito más grande y mejor preparado actualmente y es por todos conocido su interés en acceder a sistemas de otros países para obtener sus secretos mejor guardados y tener así una ventaja estratégica.

No obstante, también podemos caer en la tentación de acusar sin más solo porque nos parece el sospechoso más evidente. Por mucho que, tras analizar un caso de ciberataque, este sea clasificado como “muy sofisticado”, esto no significa que realmente lo sea ni que haya sido lanzado por un Gobierno.

Actualmente, existen muchos individuos que, sin estar bajo las ordenes de ningún Gobierno, son perfectamente capaces de lanzar este tipo de ataques, incluso haciendo creer que este procede de una ubicación en concreto (por ejemplo, China). Además, lo que algunos califican como ciberataques muy sofisticados podrían tratarse de medidas básicas de seguridad mal implementadas o el aprovechamiento de la ingeniería social para engañar a las víctimas de forma eficaz. Tenemos como ejemplo el reciente ataque que sufrió la Reserva Federal de los EE.UU. y que ha sido atribuido a miembros de Anonymous.

Independientemente de quién esté detrás del ataque, lo realmente preocupante es la frecuencia con la que salen a la luz últimamente. Además, hay otros ataques similares que tienen éxito y de los que no nos enteramos hasta bastante tiempo después. Es por ello que se hace necesario la creación de cuerpos de ciberdefensa para proteger aquellos servicios e infraestructuras críticas, algo que ya se está empezando a realizar en algunos países, España incluida.

Josep Albors

Artículos Anteriores »