• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (56)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (72)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (123)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (55)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (285)

• Archivos

  • mayo 2013 (17)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Hacking navideño: Filtrados datos de HP, Verizon y organizaciones de Oriente Medio

En estas fechas en las que la mayoría de nosotros nos disponemos a reunirnos con la familia para pasar una Nochebena y Navidad lo más alegre posible (lo que incluye comer hasta reventar y beber cantidades excesivas de alcohol en algunos casos), podríamos pensar que todo se detiene durante unos días para celebrar estas fiestas. Pero como ya hemos comentado en anteriores ocasiones, no hay descanso para la seguridad informática y buena prueba de ello son las numerosas noticias que hemos ido recopilando estos últimos días, gracias sobre todo, a sitios como Cyberwarnews.

De nuevo, las grandes empresas y los gobiernos son los objetivos de los atacantes, que han conseguido obtener y hacer públicos suculentos datos. Comenzamos con la información obtenida en la campaña más reciente de Anonymous, conocida como Project Mayhem. En esta campaña se pretendía filtrar el mayor número posible de datos pertenecientes a empresas y gobiernos.

Entre los datos que se han filtrado hasta el momento encontramos cuentas de administradores e información de bases de datos pertenecientes a diversos países como Egipto e Irán. Asimismo, englobado también en esta operación, se han filtrado datos desde el sitio web pertenecientes al mercado de valores de Oriente Medio.

Otra de las filtraciones de datos más importantes producidas durante el fin de semana ha sido la que ha afectado a la empresa de telefonía Verizon,  la cual ha visto cómo se han hecho públicos los datos de hasta 3 millones de sus clientes. Hay que aclarar que el robo de datos no se produjo directamente desde Verizon si no desde un servicio conocido como FiOS y que la empresa proporciona a sus clientes con iPhone, iPads, etc.

Pero el ataque que más ha dado que hablar en las últimas horas ha sido el que ha afectado a la filial china de la conocida empresa HP, que ha hecho públicos miles de datos confidenciales cómo emails, teléfonos, nombres de usuario y otra información personal entre los que se encuentran más de 26.000 direcciones de correo electrónico.

Además, cómo dato curioso, habián fichoros filtrados que estaban infectados con una variante del malware Win32/Parite, malware que los atacantes niegan haber colocado, lo que significaría que la seguridad de los servidores vulnerados ya dejaba que desear antes de producirse este ataque.

Como vemos, este tipo de ataques y filtraciones no se toman un descanso ni siquiera en Navidad. Es más, es precisamente durante festividades cuando se debe estar más alerta puesto que el poco personal que suele quedarse de guardia hace que sea más difícil reaccionar ante un ataque de estas características.

Josep Albors

Vulnerabilidad en Smart TV de Samsung permite tomar el control de nuestro televisor

A estas alturas a nadie debería sorprenderle ya que muchos de los electrodomésticos de los que disponemos en nuestros hogares cuenten con conexión a Internet. Ya sea porque permite aumentar los contenidos disponibles, recibir actualizaciones de software o interactuar con otros dispositivos, el caso es que la conexión a Internet se está convirtiendo en un requisito indispensable.

Uno de los electrodomésticos que más se han beneficiado de esta conectividad han sido los televisores, concretamente aquellos conocidos como Smart TV. La posibilidad de conectar nuestro televisor a Internet y navegar, descargar aplicaciones o reproducir contenido multimedia compartido en nuestra red local ha abierto todo un mundo de posibilidades para los usuarios más tecnológicos.

No obstante, estas interesantes características también  implican riesgos si no se toman las medidas de seguridad necesarias, empezando estas por el propio fabricante. Investigadores de la empresa ReVuln (conocidos por ser descubridores de varias vulnerabilidades) han encontrado un agujero de seguridad en algunos modelos no especificados de televisores de la marca Samsung, agujero que han aprovechado para ganar acceso total al televisor y a cualquier dispositivo USB conectado a él.

Entre las posibilidades que ofrece esta vulnerabilidad se encuentran algunas como acceder a la configuración del televisor y a su lista de canales, acceso a las particiones del disco duro del televisor, la instalación y configuración de los programas compatibles con el televisor o el ya mencionado acceso a unidades extraíbles conectadas mediante USB.

En el siguiente vídeo preparado por los desarrolladores se pueden observar todas las acciones que se pueden realizar al aprovechar esta vulnerabilidad:

El acceso a información confidencial contenida en medios extraíbles conectados al televisor es probablemente el mayor problema. Una gestión inadecuada de los contenidos que almacenamos en estas unidades extraíbles permitiría a un atacante obtener datos privados muy interesantes accediendo a estos dispositivos USB conectados a nuestros televisor.

También cabría la posibilidad de instalar malware de forma remota, lo que permitiría obtener el acceso completo al televisor y robar, por ejemplo las cuentas creadas en los servicios que proporciona Samsung y que permiten, entre otras cosas, alquilar películas y series. El investigador Luigi Auriemma apunta también a la posibilidad de espiar al usuario del televisor haciendo uso de la webcam que algunos Smart TV tienen instalada.

Asimismo, es posible controlar el televisor mediante un mando remoto virtual que suplante al mando físico que estemos usando, obteniendo resultados curiosos cuando veamos cómo nuestro televisor parece tener voluntad propia.

No obstante, y a pesar de la publicación de esta vulnerabilidad, los usuarios de este tipo de televisores pueden respirar tranquilos de momento, puesto que se trata de una prueba de concepto realizada en una red local. Esto no quita que en el futuro podamos ver casos de malware en estos dispositivos si Samsung y otros fabricantes no se ponen a trabajar en solucionar estos agujeros de seguridad. Aun así, creemos que todavía es pronto para pensar en instalar un antivirus también en nuestro televisor, aunque no vendría mal aunque solo fuera para evitar la visualización de contenidos de bastante mal gusto que abundan en la programación actual

Josep Albors

2012: el peor año en ciberataques contra altas instituciones del Gobierno español

Este año que termina en breve ha sido muy malo para muchas cosas… no creo que haga falta que hagamos una lista exhaustiva, sobre todo porque este blog va de seguridad informática y privacidad. Pero también lo ha sido para los responsables de seguridad de instituciones como La Zarzuela, La Moncloa, el Ministerio de Hacienda, el de Defensa, el Congreso de los Diputados, los sindicatos y también organizaciones empresariales.

¿El motivo? Según leemos en El Confidencial Digital, que recoge datos oficiales, 2012 ha sido el peor año en cuanto a ciberataques contra las altas instituciones del Gobierno español. 

Y no nos extraña… basta con echar un vistazo a nuestro blog para darnos cuenta de la intensidad de ciberataques y atentados contra la seguridad que se han producido en nuestro país. Los datos nos los da el Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), encargado de la seguridad informática del Estado, que afirma haber  investigado en 2012 hasta un centenar de estos ataques muy peligrosos contra estructuras sensibles del Estado.

Y nos consta que el CCN no investiga cualquier cosa, sino aquellos hechos que por su trascendencia y modus operandi, significan realmente una amenaza para la seguridad nacional. Los ataques se han dirigido tanto a dispositivos de uso personal de altas personalidades gubernamentales, como móviles, portátiles y tablets, como contra servidores clave de las instituciones mencionadas anteriormente.

El porqué debemos buscarlo en la situación del país: la presión contra el Gobierno y su política no solo se hace sentir en la calle, sino también a través de Internet. Entre los más de cien ataques investigados, la mayoría son atribuibles, según el CCN, al grupo hacktivista Anonymous, de cuyas acciones hemos ido puntualmente informando en este blog y que responden a su pública intención, repetida muchas veces, de realizar todos los ataques que estuviesen a su alcance contra las estructuras del Estado español.

Sinceramente, nos sorprende que el CCN haga pública esta información, especialmente cuando España no es un país que destaque por tener un plan de contingencia contra los ataques cibernéticos a escala nacional. Pero nos alegramos saber que están poniendo -o proponiendo, todavía no se sabe- los medios para implantar medidas que permitan a los efectivos de los organismos oficiales competentes poder luchar contra este tipo de amenazas.

Una de ellas es el aumento de la partida presupuestaria de este organismo para mejorar la capacidades operativas contra estas intrusiones. Debe ser, de hecho, de las pocas partidas presupuestarias que el Gobierno ha decidido aumentar. Por otro lado, también están llevando a cabo, según confirman, un plan para implementar rigurosas medidas de seguridad en los dispositivos móviles de las personas más representativas de la Administración Pública, la Casa Real y el presidente del Gobierno, entre otros.

Por último, se están planteando seguir la estela de otros países como Estados Unidos o Corea del Sur en el sentido de contratar hackers especialistas en seguridad y entrenarlos para la defensa del Estado.

Cualquier medida que se tome al respecto para mejorar la seguridad de nuestro país será siempre positiva y bienvenida, porque estará garantizando no solo la integridad de la información y la seguridad de los datos, sino otros ataques tan serios como los que podrían llegar a producirse contra infraestructuras críticas, por solo citar un ejemplo.

Yolanda Ruiz Hervás

Fotos filtradas en Deusto: ¿es hacker todo lo que reluce?

Mucho se está hablando en los últimos días acerca de dos casos de vulneración de la privacidad en la que los móviles son los protagonistas. Primero tuvimos el caso de la filtración de parte de la agenda del periodista Pipi Estrada y la publicación de varios números de teléfono de personajes famosos de la vida pública española.

En los últimos días ha aparecido otro caso en varios medios de comunicación que tenía como protagonistas a varios supuestos estudiantes de la universidad de Deusto que habían visto cómo varias fotografías suyas subidas de tono se estaban difundiendo entre el alumnado. En primera instancia, algunas fuentes afirmaban que las fotografías se estaban difundiendo a través de la propia Wi-Fi de la universidad a todos los smartphones de los alumnos, hecho que rápidamente fue desmentido por la propia universidad.

En las noticias de las últimas horas han habido novedades al respecto de este tema, ya que no solo han recibido estas fotografías alumnos de esta universidad, sino también otras personas que no tienen relación alguna con ella. Tampoco se ha podido demostrar que todas las fotos publicadas hasta el momento pertenezcan a alumnos de ese centro, y, aunque han habido alumnos que han presentado denuncias, no se ha podido confirmar una relación directa con este tema. Lo que sí se ha propagado a los cuatro vientos es la noticia de que esta “travesura” (entre comillas porque podría acarrear consecuencias legales) es obra de un hacker.

La verdad es que hay muchas teorías además de la que habla de una intrusión no autorizada en todos y cada uno de los móviles de las víctimas. Por ejemplo, se nos ocurre que esas fotos estuvieran subidas a un servidor privado gestionado por algunos alumnos y que alguien con acceso a este hubiera obtenido las fotos y las  haya difundido entre un reducido grupo de alumnos primero, que luego pasarían a ser muchos más conforme se fuera corriendo la voz. Los motivos para realizar este acto son variados y pueden ir desde la venganza personal hasta la humillación de ciertos alumnos por motivos que desconocemos.

También es probable que las fotos no hayan sido robadas de los propios móviles, sino de las cuentas de correo usadas para enviarlas, algo parecido a lo que pasó con el caso Scarlett Johansson. Recordemos que, en ese caso, el ladrón solo tuvo que adivinar la contraseña de la cuenta de Gmail, algo fácil sabiendo que era un dato publicado en el perfil de la actriz.

Pero una hipótesis que está cobrando fuerza en las últimas horas es la que sugiere que no todas las fotos son de estudiantes de la universidad y algunas han sido tomadas de sitios web que las tenían publicadas desde hace tiempo y, posteriormente, haber sido enviadas a los alumnos. A partir de ahí la pelota de nieve se ha ido haciendo más y más grande llegando a afirmarse categóricamente que todas las fotos pertenecían a estudiantes de la universidad cuando solo un puñado de personas dicen reconocer a alguien en las fotos.

Como ejemplo, al buscar una de las fotos filtradas en Google nos aparecen publicadas desde hace meses en otros sitios web:

Es más, si pasamos una de esas fotografías a través de una herramienta de análisis de metadatos como la Foca, obtendremos información más jugosa cómo que alguna de las fotos se realizó hace más de 4 años:

Lo que resulta curioso es que, últimamente, cualquier noticia sin una explicación aparente parece que es automáticamente atribuida a los hackers, desde casos de vulneración de la privacidad como estos que comentamos, hasta la desaparición de decenas de miles de euros en un ayuntamiento en el que, ¡oh, sorpresa!, no eran pocos los funcionarios que conocían los datos necesarios para realizar operaciones bancarias.

En primer lugar, aclarar que el término hacker se utiliza muchas veces de manera incorrecta, ya que los hackers son personas con altos conocimientos informáticos, sobre todo relativos a seguridad, cifrado de la información, etc. Tradicionalmente un hacker ha intentado ir mucho más allá de lo que puede poner en el manual de un sistema, buscando agujeros, puertas traseras, errores… pero sin hacer un uso malicioso de ello. Lo que diferencia a un hacker ético de un ciberdelincuente es el uso que se hace de dicho conocimiento.

El caso es que es muy fácil echar las culpas a otro, y si este otro tiene un halo de misterio, mejor que mejor. Por supuesto que existen métodos de acceder a un móvil ajeno y robar información de él (Chema Alonso nos comentó hace poco diez maneras, nada menos). Es algo a lo que los investigadores en seguridad informática nos enfrentamos día a día y pasa mucha más veces de lo que la gente se piensa. No obstante, en casos como los mencionados anteriormente, conviene andarse con pies de plomo y preguntarse si no se estará optando por la excusa fácil para ocultar una falta de medidas de seguridad en dispositivos móviles (por no hablar de un pobre manejo de la privacidad).

Luego tenemos la costumbre de matar al mensajero, en este caso WhatsApp, aplicación que no ha destacado nunca por su seguridad pero que, al contrario de lo que hemos leído en algunos medios, desde finales de agosto sí cifra los mensajes que se envían a través de dicha aplicación. Otra cosa son los varios agujeros de seguridad que aún mantiene (cómo la generación de contraseñas de cada usuario) y que le alejan mucho de ser el paradigma de la seguridad en aplicaciones de mensajería instantánea.

Pero en el fondo de toda esta vorágine de inseguridad en dispositivos móviles hay un problema mucho más importante y es la poca protección con la que gestionamos los datos confidenciales o privados que almacenamos en ellos. ¿Qué motivos hay para almacenar fotos y vídeos íntimos en un dispositivo que puede ser robado o perdido con mucha facilidad? Si queremos que esos datos sigan siendo privados, tratémoslos como tal y protejámoslos como se merecen.

Josep Albors

Yolanda Ruiz

Fernando de la Cuadra

Segurinfo España 2012: una jornada intensa que evidencia los grandes retos a superar en materia de ciberseguridad

Como ya te habíamos informado, ayer el equipo de ESET España se desplazó a Segurinfo España 2012, un Congreso que lleva acumulando éxitos en diferentes países de Latinoamérica y que se realizaba por primera vez en España. Fue en el Palacio de Congresos y el evento superó todas las expectativas. Unos 450 profesionales del sector de la seguridad, tanto de Administraciones Públicas como de empresas, se dieron cita en una jornada donde se evidenciaron la mayoría de las amenazas a las que estamos expuestos a la par que se buscaban vías de colaboración internacional y de soluciones para un problema que abarca a todos los estamentos de la sociedad y que amenaza con convertirse en un reto todavía más difícil y más real que nunca para nuestro país.

Así, durante todo el día, se celebraron en dos salas diferentes sesiones paralelas siguiendo un programa muy intenso, tanto desde el punto de vista de los contenidos que allí se compartieron como desde la perspectiva de la influencia en la ciberseguridad de los asistentes. ESET España fue patrocinador, y también tuvimos nuestro stand, desde el que sorteamos al final del día nuestro fantástico portátil tuneado que se llevó uno de los participantes del evento .

El evento fue inaugurado por Ignacio Ulloa, Secretario de Estado para la Seguridad, que afirmó que “es necesario trabajar en una cultura de la ciberseguridad para tener una seguridad completa en la vida diaria de empresas, ciudadanos y servicios públicos”. De hecho, Ulloa recordó que el Gobierno tiene avanzado un Plan Nacional de Seguridad, en el que se incluyen las políticas de ciberseguridad para garantizar los derechos de los ciudadanos y que se aprobará a lo largo de 2013. Según el Secretario de Estado, es clave tomar una serie de medidas, entre las que destacó la necesidad de que empresas y Administraciones Públicas colaboren, que las personas responsables de la seguridad en las organizaciones se encuentren correctamente capacitados y “sobre todo, que existan campañas de sensibilización para ciudadanos, corporaciones y sector público”.

La sesión inaugural contó también con la presencia de Belisario Contreras, responsable de proyectos de seguridad cibernética de la Organización de Estados Americanos (OEA), que animó a las instituciones españolas e iberoaméricanas a “intercambiar ideas y compartir caminos para que todos los países de habla hispana estén preparados ante un ataque cibernético de cualquier tipo”.

Coordinación internacional de la información para incrementar la seguridad

En el encuentro se contó con expertos internacionales en ciberseguridad, como Charles Roberts, portavoz del Cuerpo Real de Comunicaciones del Ejército británico; Mike Popham, vicepresidente ejecutivo del Centro de Ciencias de la Seguridad y de Estrategia para el Ciberespacio (CSCSS), una de las organizaciones de investigación y análisis de ciberseguridad más importantes del mundo; o Chema Alonso, experto en seguridad. Los portavoces de instituciones como la Guardia Civil o el Ejército español expusieron también las políticas internas con las que cuentan y la forma en la que luchan contra los ciberataques que reciben o contra posibles casos de ciberespionaje o ciberguerra. Todos ellos coincidieron en que es básico que los servicios de inteligencia de cada país compartan información con sus socios para evitar los ataques procedentes de otros Estados pero, como resaltó Roberts, “lo que interesa es que la información que se produzca sea comprensible por máquinas y no necesariamente por humanos para que, ante un ataque ciberterrorista o contra una infraestructura crítica, las decisiones se tomen rápidamente y de forma automática”.

En el mismo sentido, el Teniente Coronel del Ejército español Luis F. Hernández, afirmó que “la amenaza terrorista es real y permanente y supone de hecho la mayor amenaza para la paz y la seguridad mundial”. Según el Teniente Coronel, Internet es clave en la radicalización y el adoctrinamiento terrorista con ejemplos claros como el de Al-Qaeda, que utiliza la Red para captar adeptos, señalar objetivos estratégicos, adoctrinar e incluso formar en el manejo de explosivos. En nuestro país, operaciones recientes en Valencia o Burgos evidencian también el uso de Internet para captar adeptos: “gente con vida normal pero que luego dedican 8 ó 16 horas a estas tareas de proselitismo”, afirma el Teniente Coronel.

En lo que se refiere a la protección de infraestructuras, Fernando José Sánchez Gómez, del CNPIC, destacó la importancia de la coordinación de políticas de seguridad entre todas las infraestructuras críticas, ya que la caída de un sistema puede provocar la caída de otros servicios dependientes, “pero más importante aún es la concienciación de trabajadores, de proveedores y de legisladores para tomar las medidas necesarias, para regular, para compartir información o para establecer metodologías, guías y estándares que eviten o, al menos nos preparen, ante cualquier ciberatentado en una infraestructura crítica”, añadió. Según comentó Alberto López, de INTECO, “en 2009, el CERT de Estados Unidos sólo detectó nueve vulnerabilidades en infraestructuras críticas mientras que en 2011 se llegó a 198, lo que demuestra el interés de los ciberdelincuentes en atacar este tipo de activos nacionales”.

Desde el punto de vista legal, Elvira Tejada, Fiscal Delegada en Criminalidad Informática resaltó en su ponencia “Ciberseguridad desde los Órganos de Persecución del Estado” la necesidad de atajar los problemas relacionados con ciberdelitos de forma común debido a su dimensión internacional. En España, la recientemente creada Unidad de Delitos relacionados con las TIC de la Fiscalía General del Estado abrió 6.600 procedimientos, de los cuales el 64% tenían relación con contenidos patrimoniales (estafas); el 13% con la identidad sexual de menores (cuatro veces más que hace cinco años); el 11% con el honor o la intimidad; y el resto con daños informáticos o con el uso de la red para difusión de crímenes de odio. Según el proyecto de ley existente en España, se está incrementando la tipificación de los delitos relacionados con la tecnología para incluir el acceso (y no sólo la posesión) a la pornografía infantil, las amenazas a menores o la incitación a cometer delitos de orden públicos desde medios sociales.

Implicación del usuario en la seguridad cibernética

En Segurinfo 2012, se reunieron por primera vez en España los responsables de asuntos legales de Facebook, Google y Tuenti en una mesa redonda en la que se debatió sobre el estado actual de la privacidad en Internet y las necesidades existentes en nuestro país. Según un informe de Deloitte encargado por Facebook, la red social generó 232.000 puestos de trabajo en la UE en 2011 y un impacto económico de 15.200 millones de euros; en el caso de España, Facebook generó unos 20.000 puestos de trabajo directos e indirectos y tuvo un impacto de económico 1.400 millones de euros (un 9% del total de la UE), por lo que, según Natalia Basterrechea, portavoz de la compañía, es necesario “un marco regulatorio que estimule la inversión tanto local como internacional para seguir ayudando al crecimiento de la economía en una coyuntura desfavorable como la actual”. De la misma opinión es Francisco Ruíz, portavoz de Google, que también cree que “es necesario modificar la legislación para hacerla menos proteccionista y fomentar así la innovación en nuestro país y para estimular el crecimiento a partir de sectores que pueden generar riqueza como Internet”. Para Óscar Casado, de Tuenti, “en un mundo globalizado y transfronterizo como el actual, necesitamos una regulación estándar e internacional de privacidad que genere confianza y certidumbre y que derribe las barreras hacia la inversión en innovación”.

Por su parte, Óscar de la Cruz, portavoz de la Unidad de Delitos Telemáticos de la Guardia Civil comentó que “la parte que conocemos de Internet, lo que encuentran los buscadores, supone tan sólo una cuarta parte de lo que existe. El resto es lo que se conoce como ‘deep Internet’ y ahí es donde se encuentran los verdaderos peligros de la Red: desde compra de seguidores en Twitter o Facebook a listas de correo para enviar spam o documentación legal falsa que puede ser utilizad en países con escasos controles de seguridad”.

La seguridad desde el punto de vista de la empresa

Una de las tendencias más en boga durante el último año desde la perspectiva de la seguridad ha sido el fenómeno denominado BYOD según el cual los profesionales utilizan sus dispositivos personales para acceder a la información corporativa de sus empresas. Para Josep Albors, director del laboratorio de ESET España, “BYOD no sólo supone riesgos a la seguridad de la empresa desde el punto de vista de fuente de infección del malware sino también a la posible fuga de datos”. Las amenazas principales que supone BYOD son la propagación de malware desde dispositivos con pocas medidas de seguridad; el robo de datos por pérdida del dispositivo o por malestar del empleado; el espionaje desde redes wifi públicas; incremento del spam; o aumento del riesgo del phishing a través de acortadores de enlaces o códigos QR.

Empresas que se enfrentan a acciones que van un poco más allá de la simple infección a la que pueden estar expuestos por la entrada de amenazas por cualquiera de los vectores de infección habituales. Ahora la acción de los cibercriminales van un poco más allá, ya que los casos más extremos de extorsión han llegado incluso a afectar al tejido empresarial español, tal y como indicó David Barroso, de Telefónica: “hemos notado un incremento de casos en los que los ciberdelincuentes piden hasta 10.000€ a Pymes para no lanzar un ataque DDoS a su web; eso, para una pyme con enfoque de negocio en Internet puede suponer su desaparición”.

Tendremos Segurinfo España 2013

Durante el último año, más de 6.000 personas han acudido a las diferentes ediciones de Segurinfo en Argentina, Colombia, Chile, Ecuador y Uruguay, por lo que el congreso se ha convertido en el mayor referente de habla hispana en materia de seguridad informática. El comité de expertos que forma Segurinfo España 2012 está presidido por Alberto Ruíz, Security Manager de Ericsson en Iberia; y formado por, entre otros, Alberto Chehebar, presidente de Usuaria, y otros profesionales españoles del ámbito de la tecnología de la seguridad pública y privada.

Dado el resultado que ha tenido esta primera experiencia piloto en nuestro país, todo el equipo de organización ya está preparando Segurinfo España 2013, que tendrá lugar más o menos dentro de un año. Estaremos esperando a esta nueva edición, porque creemos que la ciberseguridad es una labor de todos porque afecta a todos y a cada uno de los ciudadanos, empresas u organismos y administraciones.

Yolanda Ruiz Hervás

Josep Albors 

El grave problema de seguridad de Skype se soluciona… a medias

Hace unos días te informábamos de un grave problema de seguridad en Skype de forma que los usuarios, al utilizar VoIP Skype, se exponían a ser hackeados y la integridad de su cuenta quedaría vulnerada. Skype, que os recordamos que cuenta con 250 millones de usuarios y que fue adquirido por Microsoft, figura como eje central de la estrategia del gigante norteamericano, ya que planea la suspensión de Live Messenger en favor de este servicio.

Bueno, pues como no tenían ninguna solución “a mano”, los usuarios hemos estado expuestos durante más de dos meses a este error de diseño que permitía a cibercriminales acceder a las cuentas de los usuarios, a ver todo su historial de chat y de mensajería y a cambiarles la contraseña. Así que Microsoft decidió desactivar la funcionalidad de cambio de contraseñas de Skype de forma temporal, y posteriormente ha enviado un correo electrónico a todas las cuentas que han sido hackeadas (que no sabemos, de momento, cuántas son) comunicándoles su nueva contraseña.

No han debido de hacerlo todavía para todos, porque esta mañana estamos viendo varias protestas de usuarios a través de Facebook y de Twitter que afirman no poder acceder al servicio y a los que tampoco les funciona el restablecimiento de contraseña. Si es este tu caso, echa un vistazo a la carpeta de spam o de correo electrónico no deseado por si la comunicación de Microsoft se hubiera ido a otra carpeta. Y si no tienes ni rastro de este correo, tendrás que esperar.

Sí tenemos que decir que enviar por correo electrónico una contraseña de acceso a un servicio que ha sido vulnerado solo puede provocar una avalancha de envío de correos electrónicos de spam o de phishing buscando nuevas víctimas que igual no habían sido afectadas ni alcanzadas por el fallo de seguridad en sí. Es decir, que es quizá peor el remedio que la enfermedad. Y mucho peor lo es no solo comunicarse por este problema por correo electrónico, sino enviar la nueva contraseña… Eso sí, con un enlace que permite al usuario afectado cambiarla rápidamente.

Y tampoco entendemos cómo, a pesar de que el problema ha sido grave, no hay ningún tipo de aviso ni de instrucción en el site en castellano de Skype. ¡Si ya nos hemos enterado del problema! Sería muy recomendable que publicaran en el site, bien visible, un aviso que pudiera ayudar a los usuarios afectados por el problema. También hemos echado un vistazo a los foros de soporte técnico, y aun a pesar de haber muchos usuarios con el mismo problema, los moderadores del foro recomiendan a los usuarios chequear si su solución de seguridad está, de alguna manera, impidiendo el correcto funcionamiento del producto, sin que funcione en casi ninguno de los casos. Pero no hay ni rastro ni mención (que haya encontrado, tampoco me he recorrido el foro entero) de la problemática de seguridad generada.

Ante esta situación, recomendamos a todos los usuarios:

1. Si has recibido el correo electrónico de comunicación, restablece la contraseña rápidamente. Eso sí, comprueba la dirección del remitente. Y cuando sigas el link proporcionado por Microsoft, asegúrate de que pertenece a un dominio legítimo y no tiene otro tipo de caracteres raros que pudiera ser evidencia de que el sitio al que te estás dirigiendo es una web falsa.
2. Si no lo has recibido, comprueba las carpetas de spam y de correo electrónico no deseado, por si acaso.
3. Siendo cliente, en este link te publican las diferentes posibilidades de comunicación con el equipo de Skype, aunque visto lo visto, no sabemos si os ayudará en mucho. Al menos, que quede constancia del asunto para que os puedan orientar acerca de otras vías de solución.

¡Que tengáis un muy buen fin de semana, trop@!

Yolanda Ruiz Hervás

Intensa actividad hacktivista de Anonymous en la convocatoria #OpJubilee, #OpVendetta y #Nov5

Si hace unos días te contábamos en este mismo blog la convocatoria del grupo hacktivista Anonymous, bautizada como #OpJubilee y prevista precisamente para hoy, dado que se celebra la festividad de la noche de Guy Fawkes, personaje histórico en el que se basa la máscara característica que usa este grupo y que fue popularizada en el cómic y posterior adaptación cinematográfica “V de Vendetta”, hoy te tenemos que contar bastantes novedades acerca de esta iniciativa.

En principio, la operación #OpJubilee, también llamada #OpVendetta y #Nov5, tiene muchos frentes abiertos en cuanto a la lucha activa: están lanzando consignas a favor de cancelar la deuda externa de los países más pobres, detener la guerra, redistribuir el suelo y eliminar la pobreza. Recordemos que también están intentando protestar contra las respuestas desproporcionadas de la policía al enfrentarse a manifestantes en diferentes países, incluyendo España.

Pues bien, la actividad en torno a esta iniciativa no se está haciendo esperar, y ya son varios los grupos que están reportando diferentes acciones y actividades que se están llevando a cabo en diversos países.

Así, el grupo de Anonymous Stun ha publicado el código fuente del kernel de VMware ESX Server, uno de los buques insignia de la compañía VMware, plataforma de virtualización a nivel de centro de datos. En su tweet titulado “WILD LEAKY LEAK. FULL VMware ESX Server Kernel LEAKED” se proporciona un torrent  de aproximadamente 1.89MB llamado “VMware ESX Kerner LEAKED”, con el contenido del kernel de la aplicación. Según cuentan, aunque la filtración sea de la versión de VMKernel de entre 1998 y 2004, dicen que dichas secciones no cambian mucho en los programas, ya que las posteriores versiones se basan en núcleos previos a los cuales simplemente se les extiende la funcionalidad básica.

Por otro lado, el grupo HTP (Hack the Planet) afirma haber conseguido hackear la red social Imageshack así como a una importante compañía de seguridad, teniendo acceso  a miles de datos de sus usuarios que habrían publicado en diferentes sitios. Lo que es más preocupante, es que también afirman haber lanzado un exploit 0-day que tendría como objetivo ZPanel.

Además, y a través de la cuenta oficial de Twitter del colectivo, @AnonymousIRC, están publicando diferentes confirmaciones de accesos a sitios, instituciones y personalidades que están dando como resultado la filtración de diferentes fragmentos de información a modo de ejemplo y como prueba de su efectividad. Entre ellos, han filtrado la información de 60 tarjetas de crédito que dicen pertenecer a miembros del Gobierno norteamericano. Y eso solo a modo de ejemplo, ya que afirman tener en su poder mucha más información:

En este mismo comunicado, también establecen como objetivo a Strategic Forecasting, Inc., más conocida por el acrónimo StratFor, la empresa privada estadounidense especializada en servicios de inteligencia y espionaje. Asimismo, también han filtrado más de cinco mil direcciones de email del sistema de prisiones colombiano. 

Y para todos aquellos que quieran seguir en directo la convocatoria de la marcha pacífica que recorrerá las calles de Londres hasta llegar al parlamento británico, han habilitado un sistema de streaming que permite seguir la manifestación en vivo:

Estaremos muy atentos a todas las novedades que se sucedan para manteros puntualmente informados.

Yolanda Ruiz Hervás

“Tratar con crueldad”. La brecha de Carolina del Sur evidencia un lamentable estado de la seguridad de la información a nivel gubernamental

Hoy nos hacemos eco en este blog de un artículo escrito por nuestro compañero Stephen Cobb, Security Evangelist en ESET, porque nos ha llamado poderosamente la atención: no solo por el hecho en sí, sino por sus consecuencias…

El título ya casi lo dice todo: ¿Tratar con crueldad? Pues sí, resulta que la gobernadora de Carolina del Sur ha reaccionado de forma un tanto desmesurada contra el cibercriminal que ha sido capaz de traspasar la seguridad del Departamento de Hacienda de Carolina del Sur (SCDOR) exponiendo públicamente los números de la seguridad social y otra información relativa a 3,6 millones de personas, así como 387.000 números de tarjetas de crédito y débito. Y su gobernadora, Nikki Haley, hablando con la prensa del suceso, ha manifestado en declaraciones públicas: “Quiero a esta persona estampada contra un muro… Quiero tratar con crueldad a este hombre”. Fuerte, ¿verdad?

Volveremos después a esta declaración de la gobernadora Haley en unos momentos, porque si contemplamos este suceso, que ha sido ampliamente descrito en detalle en Computerworld y en WBTV, veremos que la magnitud de la brecha de seguridad ha focalizado, de nuevo, la atención en la ciberseguridad a nivel de estado y de administraciones públicas. Y la situación que vemos no es muy halagüeña.

Las personas que están a cargo de la protección de nuestros datos, su procesamiento y almacenamiento son conocidos como CISOs, es decir, Chief Information Security Officers en inglés (Directores de Seguridad de la Información). Esta gente ha sido encuestada recientemente sobre el tema de ciberseguridad. Cuando les preguntamos si reciben el compromiso apropiado por parte de los ejecutivos así como la financiación o recursos para salvaguardar la seguridad de la información, apenas un 14% contestan afirmativamente. Incluso si tenemos en consideración que cualquiera que esté al cargo de algo normalmente siente que no tiene los recursos necesarios, el número es bastante alarmante. Y sin embargo, la respuesta es consistente con otra pregunta: el 86% de los CISOs que trabajan para los estados identifican “la falta de recursos o financiación suficiente” como una de las barreras clave para poder abordar, de la forma correcta, el problema de la ciberseguridad.

Veamos otra estadística que me ha sorprendido: la mitad de todos los CISOs tienen un equipo de cinco profesionales de la ciberseguridad o menos. Mientras que seguramente estás pensando que este número es bastante pequeño, déjame que te advierta de la fuente de estos datos: la National Association of State Chief Information Officers (NASCIO) y la firma Deloitte, que han trabajado conjuntamente en la elaboración del informe “State goverments at risk: A call for collaboration and compliance” (“Los estados en riesgo: una llamada a la colaboración y al cumplimiento”). El informe también se conoce como 2012 Deloitte-NASCIO Cybersecurity Study y está disponible para su descarga libre en formato PDF.

Creo que cualquiera que esté familiarizado con la contratación de personal en el sector privado coincidirá conmigo que media docena de personas gestionando la seguridad de millones de datos privados de un estado completo es una situación sorprendentemente desproporcionada. De acuerdo, probablemente estas personas no son las únicas que trabajan en proteger los datos –seguro que más de uno tenemos la esperanza de que cada agencia del estado dedica parte de sus recursos humanos a este fin-, pero piensa por un momento en la cantidad de datos que cada estado almacena sobre nosotros: todo tipo de información privada y confidencial de sus habitantes, incluyendo nombre, dirección, fecha de nacimiento, número de la seguridad social, número del permiso de conducir, foto, peso, color de ojos, lista de propiedades, ingresos e impuestos pagados. Casi nada, ¿verdad?

Incluso en los estados menos poblados de Estados Unidos, Wyoming y Vermont, tienen más de medio millón de residentes cada uno. Intenta comparar mentalmente los Estados a compañías hipotéticas cuyos negocios pueden significar el procesar grandes cantidades de datos privados y confidenciales de, al menos, medio millón de clientes, o de cerca de seis millones, que es la población media de los estados de US. Es duro imaginar a estas compañías trabajando en la protección de tal cantidad de datos con solo seis profesionales de la ciberseguridad. Lo que es más, otro 28% de los CISOs solo tienen entre 6 y 15 personas en el equipo. Deloitte, en el informe, señala este dato como preocupante, ya que en una compañía del sector de servicios financieros, lo típico es tener al menos una cantidad cercana a 100 personas para manejar toda la seguridad de los datos. Quizá por todo esto, aquí la noticia no es tanto el hecho en sí que te estamos contando, sino que no haya más violaciones de la seguridad en otros Estados…

Si esto te parece preocupante y quieres saber más, espera a conocer otra perla del estudio bianual de Deloitte-NASCIO, que encontramos en algunas métricas interesantes que comparan datos de 2010 y 2012. Lamentable… Una de las comparativas dice en su edición de 2010 que el 88% de los CISOs que trabajan para las administraciones públicas consideran la falta de recursos como la gran barrera de la seguridad de la información, comparado con el 86% de 2012: es una mejora, evidentemente, pero no mucho si tomamos en consideración que han pasado dos años entre uno y otro estudio.

Volviendo a Carolina del Sur, la gobernadora Haley ha revelado que sabe perfectamente de dónde proviene el ataque, pero que no lo ha compartido con su equipo de gobierno. Sin embargo, sí está dando algunas pistas, sobre todo sobre el género del atacante al afirmar: “Quiero tratar con crueldad a este hombre”. No sé si el trato con crueldad es legal en Carolina del Sur, pero sí sé que el impacto de esta brecha de seguridad en los presupuestos del Estado puede ser brutal. Tomemos de referencia y con cuidado el cálculo realizado por Larry Ponemon acerca del coste que supone cada dato personal hackeado: unos 200 dólares. Si lo multiplicamos por los 3,6 millones de registros a los que el atacante ha tenido acceso, nos encontramos con la bonita cifra de 720,000,000 millones de dólares. Para ponerlo en perspectiva: es mucho más que las partidas presupuestarias destinadas a universidades y colegios de Carolina del Sur, que fue de 568,870,814 millones de dólares para el año fiscal 2010-2011.

Por mucho que la Hacienda de Carolina del Sur diga que buena parte de la información que ha sido filtrada estaba cifrada, este hecho, por sí mismo, no les exime de los costes de notificación y de solución. Los datos robados afectan a personas que no residen ya en Carolina del Sur, pero que han estado pagando sus impuestos entre 1998 y 2012. Y esto también significa en este caso que probablemente habrá otras leyes de otros Estados que también se tengan que aplicar. Teóricamente se supone que el cifrado de la información pudiera ralentizar el proceso de convertir los datos en dinero contante y sonante mediante la suplantación de identidad o el acceso fraudulento a cuentas bancarias y similares, pero el que esto sea una realidad depende de la fortaleza del cifrado.

Es curioso: esta brecha de seguridad en la hacienda pública llega menos de diez semanas antes del comienzo del nuevo año fiscal, que entra en vigor el próximo 1 de enero de 2013. Este es el momento en el que los americanos empiezan a rellenar y a entregar sus declaraciones, muchos de ellos solicitando la devolución de los impuestos pagados de más durante el año. Así que muchas de las peticiones de devolución fiscal solicitadas electrónicamente podrían crearse con números de la seguridad social robados, lo que podría suponer un gran problema para las arcas del Estado.

Para los criminales no sería nada complicado presentar versiones falsas de declaraciones de la renta utilizando los populares formularios W-2 y simular que el empleado en cuestión ha estado pagando más impuestos de la cuenta. Muchos empleados no suelen hacer su declaración de la renta hasta varios meses después de que haya comenzado el nuevo año. Y sorprendentemente, el organismo competente (Internal Revenue Service, IRS, el equivalente a nuestro Departamento de Hacienda) no suele verificar los datos aportados a los formularios W-2 recibidos hasta que la devolución no ha sido satisfecha. En otras palabras: primero devuelven el dinero y luego lo revisan. Y si hablamos de locuras… el servicio de Hacienda podría, bajo demanda, reintegrar el dinero a una tarjeta de débito pudiendo perder, de esta manera, el rastro de los datos. De hecho, esta es la receta para el fraude, lo que está costando al Departamento del Tesoro de Estados Unidos pérdidas de millones de dólares al año. Curioso, precisamente el mismo tipo de estafa que se puede cometer con los datos robados en Carolina del Sur.

Ya, ya sé qué estás pensando: nos pilla muy lejos, es Estados Unidos… Bueno, miedo me da preguntar al Gobierno español cuánta gente trabaja en la seguridad de la información salvaguardando nuestros datos. Si tienes el dato, compártelo. Ojalá estemos en este punto mucho mejor preparados que en el otro continente.

Solo te dejo unos apuntes para que juzgues por ti mismo: el Gobierno español ha publicado en 2011 un documento titulado “Estrategia Española de Seguridad“. El documento es público y libre para la descarga. Si echas un vistazo al índice, verás que se habla de las ciberamenazas en la página 65: apenas cuatro páginas donde, después de describir los diferentes organismos que tenemos en nuestro país encargados de este tema, pasa a relatar una serie de buenos deseos donde encontramos expresiones como “Mejorar la ciberseguridad pasa por fortalecer la legislación…”, “Además, hay que concienciar a las Administraciones Públicas, empresas y ciudadanos sobre el riesgo…”, “(…) debemos, a nivel nacional, crear más medios y coordinarnos mejor”…

Da la sensación de que queda todo por hacer, ¿verdad? Espero que sea solo una sensación y que no tengamos disgustos por el camino…

Yolanda Ruiz Hervás

Virus informáticos y marcapasos: una combinación de alto voltaje

En este blog hemos hablado en múltiples ocasiones de amenazas informáticas que se salían de lo habitual y que en lugar de infectar ordenadores domésticos, dispositivos móviles o estaciones de trabajo en empresas, estaban dirigidos específicamente a sistemas de control industrial (SCADA). Este tipo de ataques normalmente tienen una complejidad muy elevada y su descubrimiento suele producirse meses después de que hayan realizado su cometido.

Además de los sectores críticos como energía, defensa o comunicaciones, tenemos el sector de la sanidad, algo vital y necesario para el correcto funcionamiento de una sociedad moderna. No podemos negar que los avances tecnológicos en esta área han permitido mejorar la calidad de vida de muchos enfermos con avances tan importantes como la implementación de tecnología Wi-Fi en instrumentos tan vitales como puede ser un marcapasos.

No obstante, algo que en principio supone una ventaja para el paciente, puesto que permite informar inmediatamente a un doctor acerca de cualquier problema así como también realizar revisiones periódicas conectándose remotamente a casa del paciente, también puede convertirse en un vector de ataque.

En una reciente conferencia de seguridad, el investigador Barnaby Jack consiguió modificar mediante ingeniería inversa un emisor de marcapasos, permitiéndole realizar descargas eléctricas de elevada potencia a aquellos marcapasos en un radio de 9 metros aproximadamente, además de permitirle sobrescribir su firmware.

En su demostración, el investigador utilizó un portátil conectado a un marcapasos de un fabricante cuyo nombre prefirió no desvelar, para realizar una serie de descargas de 830 voltios. Un “ataque” similar en un entorno real podría causar la muerte de todos aquellos pacientes con un marcapasos vulnerable en un radio a la redonda de la fuente emisora.

Todo esto es posible debido a que algunos instrumentos médicos incorporan una funcionalidad secreta que puede ser utilizada para activar, por ejemplo, todos los marcapasos y desfibriladores en una radio de nueve metros a la redonda. El investigador incluso comentó la posibilidad de que el código malicioso causante de la descarga saltase de marcapasos en marcapasos si estos se encuentran en un radio de acción lo suficientemente cercano.

Este descubrimiento hace pública una grave vulnerabilidad que incluso podría convertirse en un nuevo tipo de asesinato si llegase a caer en malas manos. Solo hay que pensar en la cantidad de gobernantes, dirigentes de grandes empresas o personas relevantes que utilizan actualmente un marcapasos para darse cuenta de que esta amenaza debe ser tomada en serio por los fabricantes de estos dispositivos.

Ante este panorama supuestamente desalentador, nuestro compañero David Harley aporta su punto de vista, especialmente interesante debido a su experiencia de 11 años trabajando en el Servicio Nacional de Salud Británico. Aun a pesar de la publicación de esta vulnerabilidad, dudamos mucho que llegue a ser aprovechada de forma masiva puesto, por desgracia, que hay formas más sencillas de infringir daño físico que hackeando un marcapasos.

Josep Albors

Septiembre, una “vuelta al cole” con una más que agitada actividad cibercriminal

¡Vaya mes que llevamos! La “vuelta al cole” siempre genera mucho ruido: que si los libros, que si los uniformes, que si las matrículas, la ruta escolar… ¡Un sin vivir! Si tienes hijos, seguro que te suena familiar. Y pensábamos que solo pasaba en el ámbito escolar… pero no, en el sector de seguridad hemos vivido un mes más que agitado. Y es que los cibercriminales parece que se han tomado muy en serio esto de la vuelta a la actividad, y no nos dejan parar…

En el mes de septiembre hemos visto cómo se han producido multitud de incidentes relacionados con la seguridad informática y la privacidad. No es que durante los meses veraniegos se haya notado un descenso especialmente significativo de la actividad de los ciberdelincuentes, pero septiembre ha mostrado una pauta que, de seguir así, promete un otoño movidito. Así que te traemos un resumen para que, de un vistazo, sepas todo lo que ha pasado . 

Facebook ha sido objeto de varias críticas durante este mes por varias noticias con respecto a la privacidad de los usuarios. Por una parte, la red social anunció una nueva funcionalidad para los usuarios de cuentas Premium de publicidad, que otorga la potestad a las empresas de verificar si los usuarios de los que ya tienen datos previos se encuentran en Facebook y así conseguir acceso a los perfiles individuales para enviarles publicidad personalizada.

Además, también conocimos un fallo de diseño en Facebook que permitiría a un usuario colgar una foto o publicación comprometida en nuestro muro para, seguidamente, proceder a bloquearnos, de forma que nosotros no veríamos esa publicación pero tampoco podríamos eliminarla. El problema radica en que todos nuestros círculos de amistades sí que tendrían acceso a esa publicación y, en el caso de que esta sea algo que no nos deje muy bien parados, nuestra reputación online se vendría al traste.

Durante este mes pasado hubo también un ataque de ingeniería social que usó a Facebook como gancho. Se detectaron una gran cantidad de mensajes en Twitter que nos advertían de la publicación de un vídeo comprometido en Facebook. Si pulsábamos sobre el enlace seleccionado se nos redirigía a un enlace que simulaba ser la web de YouTube pero que nos indicaba la necesidad de instalar un códec para poder visualizar el vídeo. Obviamente, el vídeo como tal no existía, y la finalidad es que instalásemos el falso códec que en realidad era un código malicioso.

El popular WhatsApp sigue causando problemas de seguridad

Una de las aplicaciones estrella en dispositivos móviles, como es WhatsApp, también fue usada como gancho en Facebook para atraer a usuarios desprevenidos y alentarlos a que instalasen una versión falsa de esta conocida aplicación. No obstante, lo único que conseguían era tener que realizar interminables encuestas y solicitudes de redes de contactos que inundaban sus muros de basura.

También tuvo esta aplicación una gran cobertura mediática al convertirse en protagonista involuntaria en la difusión del vídeo erótico de la concejal socialista de Los Yébenes, población de Toledo, Olvido Hormigos. Y con respecto a su privacidad y seguridad, si bien desde hace semanas ya cifra los mensajes que los usuarios enviamos, varios investigadores demostraron que los mecanismos usados para generar la contraseña de nuestra cuenta eran, cuanto menos, muy débiles, tanto en sistemas Android como iOS de Apple. Conociendo estos mecanismos se podrían lanzar una serie de ataques que van desde el envío masivo de spam hasta el robo de nuestra cuenta.

Numerosas filtraciones y robo de datos

Las filtraciones y el robo de datos también tuvieron mucho protagonismo durante el pasado mes. Empezábamos con el robo de 12 millones de datos identificativos de usuarios de Apple. Al principio se dijo que esta información se obtuvo del ordenador de un agente del FBI pero, posteriormente, una empresa de Florida asumió la culpa. Otra filtración de datos sensibles que vieron la luz fue la de datos fiscales del candidato norteamericano por el partido republicano, Mitt Romney, supuestamente cometida por uno o más hackers.

Siguiendo con filtraciones, a finales de mes nos hicimos eco de que más de 100.000 nombres de usuario y contraseñas de personal de Apple, Google, IBM, Oracle y Samsung, entre otros, se habían hecho públicos al descubrir un investigador un fichero en texto plano alojado en un servidor FTP con acceso público. Y, de nuevo, el sistema de moneda virtual Bitcoin vio cómo se comprometía su seguridad al sufrir una intrusión en varios de los servidores donde los atacantes consiguieron acceder a una copia de seguridad sin cifrar de los monederos donde se almacenan las monedas que los usuarios han obtenido. De esta forma, los ladrones consiguieron robar cerca de 24.000 Bitcoins, que al cambio en la fecha cuando se produjo el robo, equivaldría a 208.000€.

Los ataques a empresas y Gobiernos se han ido sucediendo a lo largo del mes. Quizás uno de los más importantes fue el que dejó a GoDaddy, uno de los mayores registradores de dominios del mundo, fuera de servicio durante unas horas. Aun hoy no queda claro si realmente se trató de un ataque de denegación de servicio que algún supuesto miembro de Anonymous se atribuyó o un fallo interno en los servidores como informó la empresa.

Intenso hacktivismo en la Red: revueltas árabes por satirizar a Mahoma y apoyo al 25S

Pero si tenemos que referirnos a actividades hacktivistas no podemos dejar de hablar de todo el revuelo provocado tras la publicación de un vídeo y unas viñetas satíricas del profeta Mahoma. Muchos grupos hacktivistas musulmanes empezaron a realizar ataques, dejando varias webs inaccesibles y colgando sus mensajes de protesta. Incluso el semanario humorístico español El Jueves se vio afectado tras publicar una portada que hacía referencia a toda esta polémica.

Tras las protestas y los incidentes producidos en las manifestaciones de los días 25 y 26 en Madrid, otro grupo de hacktivistas españoles lanzó una amenaza a entidades gubernamentales españolas. En un escueto comunicado avisaba del inicio de una campaña contra las webs oficiales del Gobierno y la policía, entre otros, aunque, en el momento de escribir este resumen, aún no hayamos visto ningún indicio de que hayan cumplido su amenaza.

Septiembre: el mes de las vulnerabilidades

Pasando al campo de las vulnerabilidades, septiembre ha sido un mes prolífico. El software de Java se ha visto especialmente afectado al descubrirse a principios de mes una vulnerabilidad crítica que permite la ejecución de código. Esta vulnerabilidad estaba siendo aprovechada y, debido a la característica multiplataforma de Java, afectaba a múltiples sistemas operativos. El problema sigue tras publicarse los respectivos parches a esta y otras vulnerabilidades descubiertas a lo largo del mes y, todavía en el momento de escribir estas líneas, la versión más reciente de Java presenta fallos de seguridad.

Microsoft tampoco escapó a las vulnerabilidades durante el mes pasado y vio cómo su navegador Internet Explorer presentaba un grave agujero de seguridad que estaba siendo aprovechado para distribuir malware. La importante cuota de mercado de la que aún dispone el navegador y la inexistencia de un parche que solucionase la vulnerabilidad hizo cundir el pánico durante algunos días, llegando a algunos Gobiernos como el alemán a recomendar dejar de usarlo. Por suerte para los usuarios, a los pocos días de hacerse pública esta vulnerabilidad, Microsoft publicó un parche fuera de ciclo que la solucionó.

Microsoft también fue noticia en nuestro blog debido a un cambio en sus políticas de seguridad que, en resumen, representa la cesión de Microsoft de toda nuestra información y contenidos para que lo cotillee, analice, distribuya y hasta lo borre si sospecha que estamos incumpliendo algún punto de su Directiva de Privacidad y seguridad.

Pero no todo iban a ser malas noticias para la multinacional del software. En septiembre también nos hicimos eco de que Microsoft había participado activamente en la desmantelación de una botnet emergente. Gracias a la autorización que recibió consiguió interrumpir la propagación de más de 500 ejemplares de malware con capacidad de infectar a millones de sistemas. Dentro de esta operación también se descubrió que los ciberdelincuentes se habían infiltrado en las cadenas de suministros de montaje de ordenadores que vendían versiones ilegales de Windows y que contenían malware.

Otro sospechoso habitual en el tema de vulnerabilidades es Adobe, que este mes también ha tenido su dosis de protagonismo. Por una parte, una serie de vulnerabilidades críticas en varios productos de la compañía como Photoshop CS6, ColdFusion y Flash Player fueron solucionadas a mediados de mes. Estas vulnerabilidades podían ser aprovechadas incluso en el próximo sistema operativo de Microsoft, Windows 8.

Adobe sufrió además una intrusión en uno de sus servidores de desarrollo con acceso a la infraestructura de firma de código. Los atacantes pudieron sustraer un certificado de Adobe para firmar sus propias herramientas y que pasaran desapercibidas, probablemente para ser usadas en ataques dirigidos. La empresa ya ha anunciado una revocación del certificado comprometido para evitar males mayores.

Por su parte, Apple ha vuelto a ver cómo el malware OSX/Imuler volvía a hacer acto de presencia en su sistema Mac OS/X. De nuevo este código malicioso se propaga usando aplicaciones camufladas de fotografías, para así confundir a los usuarios. Nuestros compañeros del laboratorio de ESET también nos ofrecieron un completo análisis del troyano Flashback, hasta la fecha el malware más extendido en sistemas Mac.

Los dispositivos móviles también sufrieron importantes vulnerabilidades descubiertas en varios de los congresos de seguridad que se celebran en estas fechas. Tanto los iPhone de Apple como varios modelos de teléfonos con sistema Android de varios fabricantes vieron cómo se presentaban agujeros de seguridad graves. Especialmente destacable ha sido la presentación en Ekoparty de la vulnerabilidad que permite dejar inutilizado a varios teléfonos Android (incluyendo el Samsung Galaxy S3) con solo visitar un enlace malicioso especialmente preparado.

El spam ha seguido haciendo acto de presencia y son varios los correos que hemos recibido en nuestro laboratorio con ficheros adjuntos o enlaces maliciosos. Especialmente destacable fue la oleada de spam que sufrimos durante la última semana del mes y que, haciéndose pasar por facturas impagadas, proporcionaba enlaces que redirigían a archivos maliciosos alojados en webs legítimas comprometidas.

Por último, no nos gustaría despedirnos sin felicitar a nuestros compañeros de Virustotal por haber sido adquiridos por Google. El trabajo que les ha convertido en un referente a nivel mundial ha dado su fruto y esperamos que en el futuro sigan ofreciéndonos un servicio como el que nos han dado hasta ahora.

Los datos de septiembre en España

Estos son los datos de los ejemplares de malware más distribuidos en el mes de septiembre:

Y como esto no tiene pinta de que vaya a parar, los que habitualmente hacemos este blog estamos desayunando bien y tomando vitaminas, porque octubre presenta una pinta de lo más interesante. Así que te lo contaremos, todo, como siempre, en este blog .

Josep Albors

Yolanda Ruiz

« Artículos Posteriores — Artículos Anteriores »