• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (29)
  • backdoor (6)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (3)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (20)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (40)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (99)
  • Facebook (54)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (18)
  • Linux (1)
  • Mac (22)
  • Malware (287)
  • PDF (1)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (70)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (122)
  • sorteos (4)
  • Spam (146)
  • spyware (5)
  • telefonía (54)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (10)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

¿Nueva ciberarma económica? Twitter pone en jaque a la Casa Blanca… y a la Bolsa

Seguramente ya lo habréis oído o visto en el telediario: ayer, un ciberatacante se infiltró en la cuenta de la popular agencia de noticias Associated Press de Estados Unidos y publicó un tweet que durante unos minutos hizo convulsionar a la Casa Blanca, a la Bolsa y a más de una institución más. El tweet era una breve alerta del canal de la agencia de noticias en Twitter que decía “Alerta: dos explosiones en la Casa Blanca y Barack Obama herido”.

Automáticamente, el tweet comenzó a ser retuiteado y compartido por miles de personas, y la noticia corrió como la pólvora. Casi inmediatamente, la agencia de noticias publicaba que su cuenta en Twitter había sido pirateada, para posteriormente suspender rápidamente el servicio: “Advertencia: el Twitter de @AP ha sido pirateado. El tweet de un ataque a la Casa Blanca es falso. Os contaremos más cuando sea posible”, mensaje enviado a través de su otra cuenta corporativa @AP_CorpComm.

Mientras esto pasaba, como es lógico, todos los periodistas miraron hacia la Casa Blanca, y su portavoz, Jay Carney, salió rápidamente a desmentir la noticia. Posteriormente hemos sabido que los ciberactivistas en línea que apoyan el régimen del presidente Sirio, Bashar al Assad, reclamaron más tarde la autoría del ataque, el último de una serie de intervenciones contra grandes empresas de información. Los hackers tienen entre sus objetivos más comunes las cuentas de Twitter de empresas de noticias. De la misma manera, estos activistas sirios reivindicaron el haber pirateado la cuenta de AFP de Twitter en febrero pasado.

El llamado Ejército Electrónico Sirio (Syrian Electronic Army), que afirmó haber pirateado la cuenta de AFP, había reivindicado anteriormente haber pirateado las páginas web de Sky News Arabia y Al-Jazeera Mobile.

El sábado pasado las cuentas de los programas de CBS News “60 Minutos” y “48 Horas” también fueron pirateadas. Un tuit de la cuenta @60 Minutos afirmaba: “Exclusiva: el terror golpea #EEUU y #Obama está descaradamente en la cama con Al-Qaeda”. El tuit fue posteriormente borrado y CBS News afirmó estar teniendo problemas con sus cuentas en la popular red social.

Pero vayamos a fijarnos en lo que nos interesa… Estados Unidos acaba de resolver el ataque terrorista  de Boston, y acaba de salir de un estado de emergencia en buena parte del país. Un solo tweet de 140 caracteres fue suficiente para sembrar el pánico en el país, teniendo en consideración que venía de la cuenta de Associated Press (si no estás familiarizado, AP es como nuestra agencia EFE pero mucho más grande y con más influencia). Pero no solo sembró el pánico entre las instituciones… También lo hizo en la Bolsa, que automáticamente se desplomó durante el período de tiempo que tardó en desmentirse la noticia.

Cuando ayer estaba leyendo lo que había pasado y vi la noticia en el telediario, automáticamente pensé: si no está hecho a propósito, quizá sin saberlo, acaban de inventar una nueva ciberarma económica. Veamos…, no sé si estás familiarizado con la Bolsa y su funcionamiento, pero más allá de terminología económica, las fluctuaciones de los valores se suelen mover a base de rumores y noticias.

Que se rumorea que a una gran constructora que opera en Bolsa  le van a dar un gran contrato para hacer una planta acuífera en África, suben sus valores, porque los accionistas, pensando que dicho contrato puede revalorizar el valor de la compañía, se ponen como locos a comprar acciones. A mayor demanda, menor oferta y, por lo tanto, más cara. Por lo que sube su valor. Y viceversa: si hay una noticia negativa que puede afectar desfavorablemente, los accionistas venden, aumenta por lo tanto la oferta disponible de acciones y el precio baja, para conseguir colocar todos los títulos.

Ahora pensemos… Si este hubiera sido un ataque orquestado para conseguir un beneficio económico, alguien se podría haber llevado mucho dinero. ¿Cómo? Fácil: se publica el tweet, y la Bolsa comienza a caer. Alguien que esté pendiente podría comprar cuando los valores están bajos, y unos minutos después, tras el desmentido y la vuelta a la normalidad, y al volver a subir los valores, venderlos. Si ha comprado a 10 dólares cuando estaba más baja y vende, unos minutos después, a 60, y si las cuentas no me fallan, habría sacado 50 dólares de beneficio por acción en solo unos minutos.

Eso sí, tiene que ser alguien que sepa operar en Bolsa y que tenga la agilidad suficiente como para hacerlo. Me imagino que el Ejército Electrónico Sirio igual necesita financiación para llevar a cabo sus tropelías, ¿no? O algún Gobierno… o algún gran operador económico internacional… Piénsalo. Porque si no, este hecho en sí no deja de ser una gamberrada que no lleva a ninguna otra parte, porque era de prever que el desmentido fuera inmediato.

O quizá fue una prueba de concepto para ver hasta qué punto la Bolsa y sus fluctuaciones son sensibles a las noticias filtradas por la Red. Y, como hemos visto, efectivamente lo es. ¿Qué hubiera pasado si en vez de publicar este tweet hubieran dicho que Corea ha lanzado una bomba atómica sobre Estados Unidos? Puf, mejor no pensarlo…

Y pensar en que la Bolsa no responda ante este tipo de noticias es casi una entelequia, porque sería pretender cambiar por la base el funcionamiento del sistema económico, y eso, disculpadme que os diga, no creo que pase.

Seguro que algún otro espabilado ha pensado ya en esta nueva aplicación del ciberactivismo, porque si se buscan los compinches adecuados, pueden amasar una respetable cantidad de dinero. O bien alquilar sus “servicios” al mejor postor y operador en Bolsa. ¿Que es trampa? Bueno, la historia económica está plagada de trampas y triquiñuelas.

Por eso, ante esta noticia y viendo la reacción en cascada que causó, yo me pregunto: ¿estaremos ante una nueva ciberarma económica? No quiero ser tremendista, pero esto sí podría causar un buen lío internacional…

Yolanda Ruiz Hervás

La botnet Kelihos busca nuevas víctimas aprovechando la tragedia de Boston

Los atentados del pasado lunes en la maratón de Boston han llenado los titulares durante los últimos días. Por desgracia, era cuestión de tiempo que los ciberdelincuentes aprovecharan esta cobertura mediática para propagar sus amenazas, tal y como hemos venido observando en nuestro laboratorio en las últimas horas. Desde la mañana de ayer estamos recibiendo varios correos con un asunto relacionado con el atentado terrorista y un enlace.

Parece claro que el objetivo de los ciberdelincuentes es provocar la curiosidad de los usuarios para que pulsen sobre el enlace. Si lo hacemos, accederemos a una web donde se recopilan algunos de los vídeos de las explosiones y, aunque esta web parece no contener nada más, guarda una sorpresa desagradable.

Si analizamos el código fuente de esta web veremos que solo contiene los enlaces a los vídeos del atentado y, al final de todo, un iframe apuntando a otra dirección sin relación aparente con las anteriores. Este iframe es el que se encarga de redirigir a los usuarios a una página donde se aloja un kit de exploit de la familia Redkit.

Es en esta web maliciosa donde se activa la cadena de infección que termina instalando una variante del malware Win32/Kelihos (del que contamos con más información en el blog We Live Security de ESET), pasando el sistema infectado a formar parte de esta red de ordenadores zombis. Cabe destacar que esta variante del malware tan solo afecta a sistemas Windows, por lo que si visitamos la web que contiene los vídeos desde un ordenador con Linux o un Mac, no sucederá nada fuera de lo normal. No obstante, no cuesta mucho preparar una nueva variante que afecte también a estos sistemas, por lo que debemos ser precavidos.

Si contamos con una solución de seguridad como ESET Smart Security 6, capaz de bloquear las páginas web que contienen las amenazas, veremos cómo se nos impide el acceso al sitio malicioso y, en su lugar, nos aparece un mensaje de alerta como el que mostramos a continuación:

En los últimos meses parecía que las noticias de impacto ya no eran usadas tan frecuentemente por los ciberdelincuentes para propagar sus amenazas, pero casos como el que acabamos de analizar demuestra que esta técnica sigue vigente y cosechando bastante éxito. Es de suponer que en los próximos días sigan apareciendo nuevas amenazas que se aprovechen de esta u otra noticia que haya despertado una importante cobertura mediática, por lo que debemos permanecer alerta y evitar pulsar sobre enlaces sospechosos.

Josep Albors

Google te avisa en caso de intento de piratería en tus cuentas… Pero, ¿lo evita?

Hoy me he levantado con un mensajito de Google. No iba a hacerle caso, porque utilizo tantos servicios que muchas veces el bombardeo de notificaciones es muy alto. Pero claro, con un asunto que dice “Se ha evitado un inicio de sesión sospechoso”, pues lo he abierto. Y efectivamente, me han enviado dos notificaciones que dicen lo siguiente:

Bueno, trabajando en seguridad durante tantos años, ya no me extraña nada. Y no, no era yo. A esas horas, aunque despierta, no andaba trasteando con el ordenador. Automáticamente mis alarmas se han disparado, porque utilizo muchísimos servicios diferentes de Google donde guardo todo tipo de información, tanto valiosa como no. La primera pregunta que me ha asaltado es si habrán conseguido finalmente entrar y qué habrán hecho. Y por encima de todo… ¿de dónde habrán sacado la contraseña? Como te puedes imaginar, mis contraseñas no son ni “admin” ni “12345”… Es bastante más compleja.

He revisado mis perfiles y mis publicaciones de Google+, he revisado los archivos que tengo guardados, también mis cuentas de Adwords y de Analytics… Pero claro, es evidente que si alguien ha entrado a buscar información, probablemente no habrá dejado ningún rastro de lo que ha hecho. Por un momento, he pensado seriamente en que lo que Google calificaba como un intento, pudiera haberse convertido en una realidad.

Pero después me he acordado de Google Cuentas, un servicio que Google pone a disposición de todos sus usuarios para gestionar de forma centralizada la mayoría de los servicios del gigante de Internet y que facilita, entre otras cosas, poder cambiar la contraseña una sola vez y que aplique a la mayoría de productos de Google. Pues bien, he hecho login y efectivamente, lo primero que me esperaba era un mensaje en la parte superior:

He seguido el link, y me cuenta lo siguiente:

Entre la información, me proporciona ahora un dato más, un dominio. Curiosamente, es un dominio que pertenece a una empresa de servicios informáticos de Zaragoza. Pero cuando me voy a whois a buscar a quién pertenece la dirección IP que me está dando Google, con la esperanza de que alguien la tenga contratada como IP fija, veo que efectivamente es así. Sé quién la tiene registrada y dónde vive (por cierto, es en Valencia). Lo cual me hace pensar qué lleva a una persona que tiene una IP registrada a su nombre a hacer estas cosas si averiguar la procedencia es tan sencillo como hacer una consulta en Internet…

Iniciaré acciones… aquí lo dejo. Porque señores, el intento de acceso a una cuenta privada, es un delito contra la intimidad y la privacidad personal.  Si estás leyendo esto, ya sabes lo próximo que vas a recibir.

Pero sigamos con Google Cuentas. Al confirmar a Google que efectivamente este acceso no es mío, de forma automática me guía a través del proceso para hacer más segura mis cuentas, empezando por cambiar la contraseña, evidentemente.

No sé si has recibido en alguna ocasión este tipo de mensajes (¡ojalá que no!), pero por si acaso lo has hecho, hay un par de configuraciones de Google Cuentas que deberías conocer para evitar  males mayores. La primera, es solicitar que cuando te conectas a cualquier servicio de Google desde un ordenador diferente, o un teléfono distinto, Google te envíe un código de verificación a tu teléfono móvil. Sí, puede ser un poco pesado, pero esta acción tan simple te garantiza que nadie que pueda dar con tu contraseña pueda finalmente acceder a tu contenido. Y que conste que no soy nada amiga de dejar mi número de teléfono por cualquier sitio, pero en este caso, es una medida de seguridad recomendada.

Hay algunas aplicaciones que no admiten la configuración de comprobación de la seguridad en dos pasos, y para las cuales Google te solicita que crees otras contraseñas individuales. Estos servicios son el Editor de Adwords, el sincronizador de Google, los clientes de correo electrónico, los clientes de chat y las aplicaciones móviles.

Por otro lado, también puedes configurar qué tipo de notificaciones quieres que Google te envíe en caso de que alguien intente cambiar tu contraseña o entrar de forma sospechosa a tu cuenta, información muy útil que puede ponerte sobre la pista para llevar a cabo las acciones anteriormente mencionadas.

Bueno, como ves, trabajes o no en seguridad, ninguno somos inmunes a tener un problema de estas características. Pero hay algo que quien se dedique a esto debería aprender: mejor apuntar a gente que no sepa de seguridad o que no tenga a su lado un gran equipo de técnicos especializados en seguridad informática, y si lo haces, cuídate de no dejar rastro y no cometas errores de principiante. Porque, repito, esto es un delito. Ya os contaré en qué acaba todo.

Y a los demás… aumentad la seguridad de vuestra cuenta de Google en cuanto podáis, y no os olvidéis de utilizar contraseñas robustas de verdad. Si lo haces, podrán intentar entrar, pero Google les impedirá el acceso con la verificación en dos pasos.

¡Feliz San Juernes, tropa! ¡Me voy a cambiar el resto de mis contraseñas!

Yolanda Ruiz

Controlando un avión desde un dispositivo móvil: ¿realidad o ficción?

En este blog nos gusta estar de todo lo que se comenta en las múltiples conferencias de seguridad informática que se realizan durante todo el año en todo el mundo. En ocasiones tenemos la suerte de poder acudir en persona a alguna de ellas como la Rooted Con en España o BlackHat y Defcon en Estados Unidos. Nos gustan esas conferencias porque se habla de lo que realmente nos interesa en el laboratorio, desvelando las nuevas vulnerabilidades y fallos de seguridad descubiertos por los investigadores que dan sus ponencias ante un público principalmente técnico.

Una de esas conferencias, la conocida como “Hack in the box” tuvo lugar la semana pasada en Amsterdam y hubo una charla que destacó entre el resto, sobre todo por el revuelo mediático que ha ocasionado. Nos estamos refiriendo a la charla que dio el investigador Hugo Teso y que consistió en tomar el control de los sistemas de navegación y de cabina de un avión, usando para demostrarlo un laboratorio que simulaba un entorno real.

Hugo, quien además de investigador de seguridad es piloto comercial, ha programado un conjunto de herramientas de explotación llamada Simon y una aplicación complementaria para dispositivos Android. Según este investigador, se pueden usar estos programas para modificar casi cualquier cosa relacionada con la navegación de la aeronave, algo que a más de uno le causará sudores fríos.

Para realizar sus investigaciones, Hugo adquirió una serie de componentes, tanto software como hardware, para replicar los sistemas de un avión comercial. Estos componentes están al alcance de cualquiera que quiera comprarlos en portales como Ebay y no son especialmente difíciles de encontrar. Una vez preparado el laboratorio sobre el que realizar las pruebas, Hugo utilizó las vulnerabilidades presentes en los sistemas de comunicación ACARS y ADS-B (del cual ya hablamos largo y tendido tras asistir a la charla de Renderman en la pasada Defcon) para tomar el control del avión virtual.

En respuesta a esta investigación, la Administración Federal de Aviación (FAA por sus siglas en inglés) asegura que no es posible tomar el control del sistema de navegación de un avión real usando esta técnica. No obstante, tras estas declaraciones Teso anunció que tanto la FAA como la Administración Europea de Seguridad Aerea ya estaban trabajando para resolver estas vulnerabilidades.

Independientemente de quién lleve la razón en este tema, y aun sabiendo que la mayoría de las veces los investigadores que presentan sus descubrimientos en este tipo de eventos suelen acertar, es difícil afirmar categóricamente que la prueba de concepto realizada en un entorno simulado funcione de la misma manera en un entorno real. De cualquier forma, es reconfortante saber que los organismos responsables de gestionar la seguridad de estos sistemas ya están trabajando en una posible solución.

Josep Albors

Nuevos ataques a los servicios alrededor de Bitcoin

Para quien no la conozca todavía, Bitcoin es una moneda electrónica independiente de cualquier emisor central como pueda ser un banco y que los usuarios pueden obtener a través de la realización de costosos cálculos computacionales en sus ordenadores. Creada en 2009 por el japonés Satoshi Nakamoto, se ha convertido, a día de hoy, en una alternativa real a los sistemas de pago tradicionales y su cotización sigue aumentando cada día que pasa.

Esta popularidad ha hecho que, desde hace tiempo, los ciberdelincuentes tengan como uno de sus objetivos la obtención de estas monedas, por ejemplo robando el fichero wallet.dat que almacena las bitcoins obtenidas por los usuarios, actuando como una cartera electrónica.

Estos ataques se han venido produciendo desde hace años y ya hace casi dos  anunciábamos en nuestro blog los primeros casos de malware diseñados pensando en el robo de Bitcoins. Este tipo de malware se ha seguido viendo desde entonces en varias ocasiones pero también hemos notado una tendencia cada vez mayor por parte de los ciberdelincuentes a atacar las webs encargadas de comprar y vender los datos criptográficos que representan a las Bitcoins e intercambiarlas por divisas reales.

Estos ataques se están multiplicando desde que a principios de año comenzara a revalorarse esta moneda de forma vertiginosa, pasando de cambiarse a menos de 20 € por Bitcoin a finales de 2012 a los más de 100 € por Bitcoin que marca el cambio en el momento de escribir este artículo. Dos de los más recientes son los sufridos por dos de los servicios que los usuarios utilizan para conocer la cotización de la moneda y almacenar las Bitcoins obtenidas.

El primer caso consiste en un ataque de denegación de servicio a la web basada en Japón, mtgox.com, responsable de, según anuncia en su web, manejar alrededor del 80% de todos los cambios de monedas Bitcoin en todo el mundo. Las declaraciones de la compañía apuntan principalmente a dos motivos para realizar estos ataques: desestabilizar a Bitcoin como divisa virtual, y hacer que su valor decrezca para así comprar estas divisas en gran cantidad y venderlas cuando vuelva a subir su valor.

El segundo caso es bastante más grave y afecta a uno de los servicios de almacenamiento de Bitcoins más importantes, Instawallet. Según podemos observar si tratamos de acceder a su web, este servicio ha sido suspendido indefinidamente debido a un ataque realizado contra su base de datos que ha comprometido su seguridad.

En el mismo comunicado anuncian a sus clientes que aceptarán peticiones de los usuarios para que, en el caso de contar con menos de 50 Bitcoins en su cuenta en el momento de producirse este ataque, sus carteras digitales vuelvan a ser restauradas. Todos aquellos casos que sobrepasen esta cantidad serán tratados de forma individual para tratar de conseguir la mejor solución posible.

Ya en septiembre del año pasábamos comentábamos un caso similar con el sitio Bitfloor.com, que terminó con el robo de 24.000 Bitcoins que representaban, en aquel entonces, alrededor de 208.000 €. La misma cantidad de Bitcoins ahora supondría un valor de casi 2.500.000 €, más de diez veces el valor que tenía hace apenas 7 meses.

Viendo la escalada que está teniendo el valor de esta divisa digital, que muchos analistas consideran una nueva burbuja económica, no es de extrañar que veamos incrementados los ataques por parte de los ciberdelincuentes para robar la mayor cantidad posible de esta moneda. Es por ello que, si nos dedicamos a obtener y almacenar Bitcoin, no sería mala idea cifrar el fichero wallet.dat en nuestro sistema y asegurarnos de que si utilizamos algún servicio online de almacenamiento, este cuenta con unas medidas mínimas de seguridad.

Josep Albors

Vulnerabilidad permite acceder a sistemas Windows al estilo Hollywood

Hace una semana Microsoft lanzó sus parches de seguridad mensuales entre los que se incluía uno calificado como “Importante”. Este parche solucionaba una vulnerabilidad en sistemas Windows que requería acceso físico a la máquina pero que permitía saltarse los controles de seguridad del sistema con solo utilizar un pendrive USB.

Si somos seguidores del cine de Hollywood o las series americanas veremos que eso ya se lleva haciendo desde hace años en estas producciones, donde espías, super-hackers y forenses de todo tipo solucionan casos con tan solo insertar un pendrive en el sistema y apretando muchas teclas lo más fuerte posible. Como muestra, un botón:

La realidad, no obstante, es bien diferente y el acceso a un sistema para obtener información del mismo es, normalmente, un trabajo que requiere su tiempo y la utilización de muchas herramientas.

Es por eso que esta vulnerabilidad llamó la atención cuando Microsoft lanzo el parche que la solucionaba, porque permitiría a un atacante realizar (aunque no con tanta parafernalia) un ataque a un sistema usando una memoria USB cargada con el exploit y saltarse, de ese modo, los controles de seguridad. De hecho, esta vulnerabilidad permitía acceder al sistema aun si el sistema de autoarranque de este tipo de dispositivos se encontrase desactivado y la pantalla bloqueada.

Esta vulnerabilidad aprovecha un fallo a la hora de enumerar los dispositivos conectados por lo que no se requiere interacción alguna por parte del usuario, permitiendo a un atacante con acceso a la máquina obtener una elevación de privilegios aun con el sistema bloqueado. A pesar de ya haber sido solucionada, Microsoft advierte de que esta vulnerabilidad podría abrir nuevos vectores de ataque sin tener que acceder físicamente al sistema.

Mientras tanto, si no queremos sufrir un ataque al estilo Hollywood, será mejor que actualizamos nuestro sistema Windows con los últimos parches de seguridad. Solo así evitaremos que un aprendiz de Jason Bourne acceda a nuestro sistema y robe la información que allí almacenamos.

Josep Albors

Mi nuevo móvil, seguramente seguro (II)

Tras mi publicación de hace un par de días, he recibido varios comentarios de personas sobre la posibilidad de que alguien tenga tanto interés como para robar la información de su móvil. Se quedaban sorprendidos al pensar que allí pudiera haber algo que le interesara a alguien.

Y lo más curioso, sobre la técnica de congelar el móvil para obtener información, es que dudaban que alguien pudiera llegar a conseguir temperaturas tan bajas. Aquí hay dos errores fundamentales. El primero, el desconocimiento de qué es un congelador. Yo en casa tengo uno, y no es que sea especialmente “friki”. Me gusta tener cubitos de hielo, y conservo comida en él. ¿Su temperatura? -18º C, menos de los -10ºC que emplearon para la prueba.

Y el segundo error, el despreciar la información personal que tenemos. Recientemente ha aparecido una noticia que dice que los “Me gusta” de Facebook pueden desvelar mucha información del usuario. No por obvio ha dejado de sorprender. Si digo “Me gusta” a un vídeo de AC/DC y no lo digo de un vídeo de Justin Bieber “puede” intuirse algo de mis gustos musicales.

En nuestro teléfono tenemos, de entrada, un estupendo registro de las llamadas. Se puede saber a quién hemos llamado y cuándo. Con las fotos podemos saber dónde hemos estado, y mucho más si tenemos activada la georreferenciación de las imágenes. Y si hablamos de los SMS y los MMS (o Whatsapp), ya no solo tenemos información de con quién hablamos, sino el contenido de las conversaciones.

¿Hablamos de los documentos que hay almacenados? Como el móvil sea de uso profesional, la probabilidad de que haya información interna de nuestra empresa es prácticamente 1. Y si el teléfono es personal, no perderíamos mucho si apostamos a que hay algo que no queremos que los demás vean. Todos tenemos información que no debe ser pública en nuestro teléfono.

Aunque no lo creamos, todos esos datos pueden ser una golosina para un cibercriminal, y pueden hacernos daño. Evidentemente, es mucho más tentador el móvil de Barak Obama, el de Charlize Theron o el de Hugo Silva que el nuestro, pero estamos expuestos y debemos tomar todas las precauciones posibles. Solamente hay dos tipos de usuarios de móviles: los que ya han visto comprometida su información y los que van a verla comprometida próximamente. ¿En qué grupo estás?

Fernando de la Cuadra

@ferdelacuadra

Java, IE 10, Chrome y Firefox caen en el primer día de la PWN2OWN

Durante estos días se está celebrando la PWN2OWN 2013, un evento en el que se buscan vulnerabilidades  principalmente en navegadores, con la peculiaridad de que existen premios en metálico para aquellos que descubran primero un fallo de seguridad.

Este evento adquiere mucha atención por parte de los empresas puesto son informados inmediatamente de las vulnerabilidades que allí se descubren. Obviamente, ninguna empresa quiere serla primera en caer ni ser la que más fallos de seguridad tenga, por lo que en los días previos a esta competición es bastante común que aparezcan nuevas versiones del software que va a ser analizado.

Durante el primer día de la edición de este año se han descubierto vulnerabilidades en los navegadores Internet Explorer 10, Chrome y Firefox, todos ellos funcionando en Windows. Sorprendentemente, uno de los primeros en caer en anteriores ocasiones, Safari bajo Mac OS/X, ha aguantado los intentos de los investigadores de descubrir posibles vulnerabilidades, aunque aun queda tiempo para que también se vea comprometido.

Hay que tener en cuenta que, en esta competición, se ha de conseguir un ataque con éxito, entendiendo por esto que no debe haber interacción del usuario. De esta forma, las vulnerabilidades descubiertas podrían descargar y ejecutar malware con tan solo visitar un enlace malicioso. Se pueden ver los resultados actualizados en la siguiente web.

Java, uno de los protagonistas indiscutibles recientemente en temas de seguridad informática, ha visto su seguridad comprometida no una sino tre veces en esta competición. Esto, unido a las recientes y constantes vulnerabilidades descubiertas demuestra que el software de Oracle no está pasando por su mejor momento precisamente.

La realización de este tipo de competiciones es importante viendo el panorama actual de comercialización con vulnerabilidades. El dinero que ganan los investigadores y la información sobre los agujeros de seguridad descubiertos que obtienen los fabricantes es beneficioso para ambos lados. En el lado opuesto, el comercio de este tipo de vulnerabilidades en el mercado negro solo beneficia a aquellos investigadores que quieran un beneficio neto rápido, poniendo en riesgo la seguridad de muchos usuarios.

Dejando aparte las típicas discusiones sobre la publicación de una vulnerabilidad de forma “responsable” o “pública”, lo importante aquí es destacar que hay personas dedicadas a investigar posibles fallos de seguridad en las aplicaciones que usamos a diario. Lo mínimo que podemos hacer (premios monetarios aparte) es reconocerles este mérito a estos investigadores y hackers, puesto que ellos ayudan a hacer de Internet y nuestros sistemas algo más seguro.

Josep Albors

La web NBC.com, entre otras, infectada por malware durante más de 24 horas

Una vez más hemos visto cómo otra web de las importantes ha sido hackeada para redirigir a sus visitantes mediante enlaces maliciosos a webs que solo buscaban infectarles. Si la semana pasada fue Facebook, esta vez ha sido el turno de la popular cadena de televisión Americana NBC (National Broadcasting Company), cuya web, www.nbc.com, ha sido bloqueada por maliciosa por algunos navegadores, pero no por todos, por lo que muchos usuarios han estado expuestos a ser víctimas de una infección.

Todo parece indicar que el sitio de la NBC ha estado infectado al menos las últimas 24 horas. Si echamos un vistazo a ESET LiveGrid observamos que los primeros reportes recibidos de esta infección son del día 20 de febrero, a partir de las 17 horas (CET). Después hay un vacío de reportes de infecciones hasta la tarde del día 21, en que comienzan a aparecer de nuevo. No está claro si la web estuvo o no infectada durante este tiempo, pero pudiera ser que hubiera estado infectada durante un tiempo pero con un iframe que apuntaba a una localización que no existía (en cuyo caso, nuestros procesos no habrían encontrado ningún tipo de contenido malicioso).

Este tipo de ataques utilizan iframes como el que hemos encontrado en www.nbc.com para redirigir a los visitantes legítimos de NBC.com a otro sitio infectado que estaba distribuyendo un exploit.

También otras webs han sido comprometidas durante este ataque y estaban apuntando al mismo iframe. Es decir, NBC.com no es más que uno de ellos, pero hay más. En ESET NO32 hemos estado actualizando toda la lista de sites infectados para bloquear los accesos y evitar así las infecciones de los usuarios. Aunque no es el listado completo, algunas de estas web infectadas son:

 

Durante el ataque, los productos de ESET NOD32 han bloqueado el sitio de la NBC para evitar que los usuarios se infectaran. Ahora mismo el sitio está totalmente limpio, y por lo tanto, se ha eliminado el bloqueo. El resto de las webs infectadas que todavía no han solucionado el problema siguen bloqueadas por nuestros productos, hasta que no se limpien totalmente. Si quieres saber qué pasa si tienes instalados nuestros productos e intentas entrar a alguno de los sitios todavía infectados, no tienes más que echar un vistazo al pantallazo:

En este caso en particular, además, el contenido peligroso al que se refiere el aviso de peligro del producto es un kit de exploits ya conocido como RedKit, ampliamente utilizado por cibercriminales para explotar vulnerabilidades muy comunes en software como la de Java (CVE-2012-0507) que permitió en los últimos meses al troyano Flashback colarse en ordenadores Mac.

El exploit intenta descargar diferentes ficheros a los ordenadores de sus víctimas, y todos ellos son altamente sospechosos. De hecho, uno de los ficheros que descarga es un downloader llamado Win32/TrojanDownloader.Vespula.AY, que a su vez intenta descargar otros componentes que todavía están siendo analizados. También detectamos otros ficheros como Trojan.JS/Exploit.Agent.NCX. Muchas de las direcciones presentes en el site de la NBC también apuntan a sitios afectados por Redkit, y al menos uno de ellos apuntaba a la web infectada por otro de los “sospechosos habituales” en cuanto a kits utilizados con fines maliciosos: Styx Exploit Pack.

Te sugerimos que compruebes que tu antivirus está actualizado y que tienes activado el filtrado web. Y si ves un aviso de peligro en tu navegador, mejor que no visites la web a la que intentas acceder, aunque sea una tan grande, conocida y reputada como la de la NBC.

 

Yolanda Ruiz

 

Infectan ordenadores de empleados de Facebook usando vulnerabilidad de Java

Hace unas semanas informábamos de una serie de ataques dirigidos que tuvieron como objetivo algunos de los más prestigiosos periódicos estadounidenses y a la conocida red de microblogging Twitter. Muchos investigadores apuntan a la utilización de una vulnerabilidad 0-day (para la cual no existía solución en el momento de ser utilizada) en Java como método de acceso usado por los atacantes para conseguir introducir malware en los ordenadores de las víctimas.

Ahora hemos conocido que Facebook también sufrió una intromisión similar en varios ordenadores de sus empleados en las mismas fechas. En un comunicado hecho público por esta red social, han confirmado que la intrusión se llevó a cabo durante el pasado mes de enero y que se realizó utilizando un ataque “sofisticado” al visitar los empleados una página web que contenía un exploit para una vulnerabilidad de Java.

 Tras descubrir y analizar la intrusión se pudo comprobar que no se accedió a datos de usuarios de Facebook, ya que los ordenadores pertenecían a ingenieros de la empresa sin acceso a ellos. Tampoco se ha mencionado el sistema operativo atacado, más allá de comentar que se encontraba totalmente actualizado y contaba con protección antivirus, aunque siendo un ataque que aprovechaba una vulnerabilidad en un software multiplataforma como es Java, el sistema operativo utilizado es irrelevante.

Con respecto al ataque en sí, de nuevo vuelve a mencionarse la palabra “sofisticado” para referirse a la técnica utilizada que logró infectar estos ordenadores. Últimamente se está utilizando mucho esta excusa para salir del paso, presentando un ataque como altamente elaborado siendo prácticamente inevitable que este consiguiera su objetivo.

¿Pero son estos ataques tan sofisticados como se dice? La realidad es bien distinta y, si bien una vulnerabilidad 0-day le permite a un atacante jugar con cierta ventaja, no es menos cierto que el uso de Java en aquellos entornos en los que no sea estrictamente necesario (y más aun en los navegadores) se viene desaconsejando desde hace meses y es algo que hubiera evitado un ataque de este tipo.

Así pues, la mayor “sofisticación” que han usado los ciberdelincuentes en este ataque ha sido conseguir infectar una web legítima (algo que sucede todos los días en miles de webs) y usar una vulnerabilidad en un software cuya descripción gráfica de seguridad más acertada sería la de un colador.

Por desgracia, este tipo de ataques siguen cosechando importantes éxitos entre usuarios de todos los perfiles, desde el más descuidado hasta aquellos con acceso a datos clasificados como importantes. Mientras no apliquemos medidas de seguridad adicionales a las usadas hasta ahora como la limitación del uso de aplicaciones con conocidos y repetidos fallos de seguridad, la aplicación inmediata de parches de seguridad que solucionan graves vulnerabilidades y el conocimiento a fondo del sistema operativo usado con sus fortalezas y puntos débiles, el éxito de estos ataques está garantizado.

Josep Albors

 

Artículos Anteriores »