• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Miles de sitios web vulnerables infectan a los usuarios

A día de hoy es importante para cualquier empresa, por pequeña que sea, o incluso para muchos particulares, contar con presencia en la red. La posibilidad de generar nuestra propia web usando un gestor de contenidos de fácil manejo ha permitido que muchos usuarios elaboren su propia página web para promover su negocio o sus inquietudes.

Por desgracia, muchos de estos sitios terminan descuidados y con unos agujeros de seguridad preocupantes. Los ciberdelincuentes se aprovechan de esto e introducen malware en este tipo de webs para que, a su vez, infecten a todos los usuarios que las visiten. Se calcula que el ataque que analizamos en esta ocasión ha conseguido afectar a más de seiscientas mil páginas según la empresa Armorize, que fue la que dio la voz de alarma.

Tal y como podemos ver en la imagen a continuación, bastantes de los resultados que arrojan las búsquedas en Google en el momento de escribir estas líneas pertenecen a webs españolas:

En esta ocasión, los cientos de miles de webs vulnerables redirigen a los usuarios a otros sitios preparados para aprovechar vulnerabilidades en versiones antiguas de Adobe Flash Player, Java o en el propio navegador web. Esto nos recuerda una vez más la importancia de contar con las versiones más recientes de los programas que usamos en nuestro sistema.

Básicamente, el ataque consiste en inyectar código en las webs vulnerables de manera que redirigen de forma silenciosa al usuario. Este código apunta a dos páginas web en concreto: http://nbn[xxx].com/urchin.js y http://jjg[xxx].com/urchin.js, y se inyecta en el código fuente de la web vulnerable de la siguiente forma:

Estas webs redirigen a su vez a otros enlaces donde se lanzan una serie de ataques contra versiones vulnerables de aplicaciones ampliamente usadas. Tal y como queda patente, la intención es la de afectar al mayor número de usuarios posible.

Como vemos, descuidar la seguridad de nuestro sitio web puede tener graves consecuencias tanto para nosotros como para aquellos que la visitan. Es por ello que, desde el laboratorio de ESET en Ontinet.com, recomendamos revisar periódicamente en busca de actualizaciones de nuestro gestor de contenido y contar con un antivirus en nuestro servidor web para detectar y eliminar posibles intrusiones.

Josep Albors

Atacan el canal de Youtube de Barrio Sésamo y lo llenan de vídeos pornográficos

Los miles de internautas que visitan a diario el canal de Youtube de Barrio Sésamo (Sesame Street en el original) se vieron sorprendidos ayer por contenido especialmente desaconsejado para su audiencia. Durante 20 minutos se estuvieron mostrando vídeos de alto contenido pornográfico a todos aquellos que accedían a dicho canal.

Además de los daños morales y de las quejas de multitud de padres sobre lo que estaban viendo sus hijos, hay que analizar cómo pudo producirse ese ataque. Todo apunta a que los responsables de gestionar el canal descuidaron la seguridad de sus contraseñas, lo que permitió a los atacantes acceder y subir contenido inadecuado.

Desde Youtube, tardaron cerca de 20 minutos en darse cuenta del incidente y bloquear el contenido del canal, el cual, en el momento de escribir estas líneas, seguía bloqueado por mostrar imágenes que no enseñaremos para no dañar sensibilidades.

Si bien este tipo de contenido pornográfico está terminantemente prohibido en Youtube, no es la primera vez que aparecen vídeos de este tipo. En varias ocasiones, usuarios del sitio 4chan (uno de los lugares donde empezó a formarse Anonymous) consiguieron inundar Youtube de este tipo de material simplemente subiendo de forma masiva vídeos para saturar el servicio de Google, tardando este una cantidad considerable de tiempo en retirarlos todos.

En esta ocasión parece que el ataque lo han realizado dos personas y la motivación no parece ser otra que la de realizar una gamberrada cibernética. No obstante, uno de los supuestos atacantes se ha desmarcado de todo este asunto alegando que no tuvo nada que ver y que alguien ha usado su nombre sin su consentimiento.

Incidentes como este demuestran que incluso sitios pensados para los más pequeños de la casa pueden ser objetivos de ataques. Desde el laboratorio de ESET en Ontinet.com, recomendamos a todos los padres preocupados por los contenidos que ven sus hijos en Internet que dediquen más tiempo a navegar con ellos. Solamente educándolos para saber reconocer y bloquear los peligros de Internet podrán disfrutar de una experiencia provechosa y educativa.

Josep Albors

Infecciones en instalaciones militares

Cuando hablamos de infecciones y ataques a páginas web normalmente damos una serie de consejos a los usuarios para que tomen medidas con las que protegerse. Pero, ¿qué ocurre cuando los afectados son departamentos de defensa, instalaciones militares o grandes empresas que trabajan como contratistas militares para algunos gobiernos?

Este fin de semana se ha conocido la noticia de que algunos de los sistemas que se encargan de dirigir la flota de aviones no tripulados de los Estados Unidos usados en operaciones militares (conocidos como drones) habían sido infectados por un código malicioso. La noticia de por sí ya es impactante, pero adquiere tintes preocupantes al escuchar las declaraciones de uno de los encargados de la seguridad de esos sistemas:

“Los eliminamos, pero vuelve a aparecer”. Esta declaración podría aplicarse a multitud de casos de infecciones que se producen diariamente y a las que la mayoría nos enfrentamos en algún momento. Según los responsables de eliminar esta amenaza, aún no están de acuerdo en si la funcionalidad de keylogger que incorpora este malware se introdujo de forma consciente o fue simplemente un accidente. Esto denota una falta de control en cuanto a quién o qué accede a estos sistemas y acerca de los permisos que dispone para realizar según qué acciones.

Lo que está claro es que declaraciones como: “Creemos que es benigno, pero no lo sabemos seguro”, no ayudan a tranquilizarnos. Por lo menos podemos especular sobre si la noticia de la infección y estas declaraciones han salido a la luz debido a que, muy probablemente, estemos ante un caso de infección accidental de un sistema crítico, pero no ante un ataque dirigido.

Un ejemplo de ataque dirigido fue el que experimentó la empresa Mitsubishi Heavy, donde los atacantes consiguieron acceder e infectar varios ordenadores y sustraer información confidencial relacionada con el armamento que produce esta empresa. Entre otros, esta empresa se encarga de la fabricación de misiles tierra-aire y aire-aire, alas para los aviones Boeing 787 e incluso submarinos. Huelga decir que esta información tiene un gran valor para empresas competidoras y no pocos gobiernos.

Pero cuando hablamos de la confidencialidad de secretos de Estado, militares o corporativos, debemos recordar que el eslabón más débil sigue siendo el usuario. De nada sirve tener un sistema seguro si luego los datos que se almacenan se pueden obtener robando un portátil de un alto cargo o encontrando un pendrive olvidado en un taxi. Por no hablar de las “sofisticadas técnicas” de ocultación de material confidencial que permiten saltárselas a cualquiera que sepa copiar y pegar información desde un documento PDF.

Como vemos, nadie está a salvo de ataques, pero, más aun, nadie está exento de cometer errores. Desde el laboratorio de ESET en Ontinet.com creemos que la protección de la información confidencial debe empezar por concienciar a los usuarios que la manejan. Solo así podremos centrarnos en proteger los sistemas adecuadamente sin temor a que un fallo humano suponga una filtración de datos.

Josep Albors

[Podcast] Certificados fraudulentos

El pasado mes de septiembre una de las noticias más destacadas fue la emisión de certificados falsos de conocidas empresas como Google o Microsoft por parte de pequeñas entidades certificadoras como DigiNotar. Estas empresas fueron comprometidas y los atacantes aprovecharon la posibilidad de emitir certificados fraudulentos para engañar a los navegadores y hacer creer a los usuarios que se encontraban en sitios seguros.

En el siguiente podcast analizamos estos ataques, cuáles son sus posibles consecuencias y cómo prevenirlos.

Josep Albors

MySQL.com fue comprometido y estuvo sirviendo malware

Ayer por la tarde saltaba la noticia de que la web del conocido y extendido software de bases de datos había sufrido un ataque y estaba sirviendo malware a todos aquellos usuarios que la visitaban.

Sabiendo que la web mysql.com recibe alrededor de 400.000 visitas diarias, resulta un objetivo muy suculento para un atacante que quiera propagar malware entre un gran número de usuarios. Así pues, ayer nos podíamos encontrar con el siguiente código Javascript oculto en esta web:

Dicho y hecho: durante unas horas, todos aquellos que visitaron mysql.com fueron redirigidos de forma transparente por un script hacia un sitio web preparado para lanzar una serie de ataques sobre los usuarios en busca de vulnerabilidades, utilizando para ello una herramienta automatizada conocida como BlackHole exploit pack.

Esta herramienta intenta aprovechar posibles vulnerabilidades en el navegador del usuario y sus complementos, así como también en diversos programas de Adobe, Java, etc. En resumidas cuentas, lo que se intentaba era encontrar un agujero por el que colar código malicioso, aprovechando alguna vulnerabilidad presente en las aplicaciones que usara todo aquel que accediese a mysql.com.

Un ataque a una empresa de esta magnitud da mucho que pensar y, según el investigador Brian Krebs, es posible que todo se comenzara a fraguar el pasado 21 de septiembre. Ese día, este investigador encontró un mensaje en un foro de hackers rusos en el que se vendía un acceso a mysql.com con permisos de administrador (root) por solo 3000 dólares.

La hipótesis de que esa venta finalmente se produjera y el acceso haya sido aprovechado para inyectar código malicioso en mysql.com es bastante realista, y nos da una idea del mercado actual de tráfico de vulnerabilidades.

Por su parte, Armorize, la empresa de seguridad que descubrió este ataque, ha publicado un interesante vídeo en el que se observa cómo se producía la infección de un usuario que accediera al sitio con un navegador vulnerable mientras se estaba propagando malware.

Este tipo de ataques a grandes empresas viene siendo demasiado habitual desde hace unos meses, ya sea en la forma de filtraciones de datos privados, defacements (alterar el contenido de una web) o sirviendo malware a los usuarios que las visiten. Desde el laboratorio de ESET en Ontinet.com seguimos recomendando mantener nuestro sistema y aplicaciones actualizados (especialmente nuestro navegador web) para evitar vernos afectados por ataques similares en el futuro.

Josep Albors

Hijackthis.de sufre una inyección de código

Una de las herramientas más usadas por aquellos que nos dedicamos a analizar malware y a eliminarlo de los equipos, es Hijackthis. Esta pequeña aplicación resulta muy útil para detectar entradas del registro de Windows que se han visto alteradas por un código malicioso, así como también para detectar posibles archivos dañinos.

Se trata de una herramienta bastante manual que requiere de conocimientos para saber detectar qué aplicaciones o entradas del registro son dañinas, puesto que si por error eliminamos algo que no debemos, podemos causar graves daños en el sistema.

Para facilitar el reconocimiento de entradas del registro o archivos maliciosos, existe una web en la que los usuarios pueden introducir los informes generados por esta herramienta y, viendo la calificación otorgada por otros usuarios, hacerse una idea bastante acertada de si tienen o no algún malware en el sistema.

Esta web cuenta con miles de accesos al día, por eso no es de extrañar que hoy nos hayamos encontrado con la siguiente imagen:

Antes de que el usuario pueda pegar el resultado del informe generado por la aplicación, aparece una de las típicas encuestas online a las que tan acostumbrados estamos a ver últimamente en Facebook.

Esto se debe a que esta web se ha visto afectada por una inyección de código, muy probablemente realizada de forma automática por un bot, y que ha añadido una línea al final de su código fuente. Concretamente, esta:

Dicha línea de código es la que hace que aparezcan este tipo de encuestas, pero también podría usarse para descargar malware al ordenador del usuario. El ataque se agrava si tenemos en cuenta que la mayoría de usuarios acceden a esta web en busca de ayuda para solucionar posibles infecciones en su sistema, y la herramienta Hijackthis pertenece a una conocida casa antivirus.

Desde el laboratorio de ESET en Ontinet.com recomendamos tomar precauciones cuando veamos comportamientos inusuales en páginas web. Siempre que sea posible, la mejor opción consiste en cerrar la web sospechosa y, si somos asiduos a ella, informar a los responsables. Asimismo, extensiones como NoScript para Firefox pueden evitar que este tipo de scripts maliciosos nos afecten.

Josep Albors

Datos de escoltas de la presidencia publicados tras un ataque al Ministerio del Interior

Los ataques de supuestos miembros de Anonymous se han vuelto una constante y ya no nos extrañan las noticias de filtraciones de datos desde empresas, organizaciones o como en este caso, gobiernos.

El último ataque del que nos hacemos eco, gracias a la información proporcionada por investigadores como Chema Alonso, es el que se ha conocido esta misma tarde y que afectaría al Ministerio del Interior. Según la información publicada en Pastebin (información que ya ha sido eliminada), se trataría de datos relacionados con la identidad de los escoltas del gobierno del presidente Zapatero, aunque falta verificar que estos datos sean reales.

Aun es pronto para valorar el alcance de este ataque y comprobar si se han accedido a más datos, aunque todo parece apuntar a que así ha sido. En el mismo archivo donde se publican los datos de los escoltas se anuncia en breve la publicación de datos del Grupo Especial de Operaciones (G.E.O) y, en el momento de escribir estas líneas, la web de la policía se encontraba inaccesible.

Los datos que han sido revelados son el nombre y apellidos del agente, su D.N.I., categoría, sede del puesto, código/denominación y el órgano de adscripción del puesto. Estos datos son especialmente sensibles debido a las actividades de escolta que realizan estos agentes y que requieren del máximo anonimato posible.

Desde el laboratorio de ESET en Ontinet.com esperamos que se realicen las investigaciones necesarias para encontrar y cerrar los agujeros de seguridad usados para realizar este ataque. Con respecto a los datos robados, poco se puede hacer a estas alturas para evitar su difusión pero un incidente como esté bien puede servir para replantearse si la seguridad de este tipo de información sensible está realmente a la altura.

Josep Albors

Fallo de seguridad en Kernel.org

Las noticias de acceso no autorizado a sitios webs que pertenecen a importantes empresas u organizaciones son algo a lo que últimamente nos estamos acostumbrando. El último de estos fallos de seguridad que hemos conocido afecta a Kernel.org, el repositorio oficial de los kernel de Linux.

Según informa la propia página web, el pasado 28 de agosto descubrieron que un número de servidores de su infraestructura habían sido comprometidos. Desde entonces se encuentran revisando que los repositorios que almacenan el código fuente no se han visto afectados, mientras que, a su vez, mejoran la seguridad de su infraestructura.

Entre las consecuencias de esta intrusión se destaca el acceso con permisos de root, en al menos un servidor (Hera), usando unas claves de acceso que habrían sido obtenidas por los atacantes. Asimismo, se añadió un troyano para que se ejecutase al iniciar el sistema y que fue descubierto gracias a un mensaje de error.

A pesar de la gravedad de este fallo de seguridad, desde Kernel.org aseguran que es bastante improbable que cualquiera de los cerca de 40.000 archivos que componen el kernel de Linux se haya visto afectado, debido sobre todo al sistema de integridad SHA1 utilizado para identificar el contenido exacto de un archivo.

Como vemos, cualquier empresa u organización, sea grande o pequeña, es susceptible de sufrir este tipo de ataques. Por esto, desde el laboratorio de ESET en Ontinet.com recomendamos tomar todas las medidas necesarias tanto para evitar intrusiones como fugas de datos no autorizadas.

Josep Albors

Certificado fraudulento de Google. La historia se repite

El descubrimiento de un certificado falso siempre causa un revuelo importante por el elevado alcance que puede tener, sobre todo si los sitios que quieren suplantarse con ese tipo de certificados pertenecen a empresas tan importantes como Google. Si echamos la vista atrás, no hace mucho comentamos en este mismo blog un caso similar con la empresa Comodo como protagonista.

Para aquellos usuarios que desconozcan para qué sirven estos certificados, simplemente se recuerda que son una especie de sello de autenticidad que los navegadores consultan cuando acceden a un sitio web para verificar que son quienes dicen ser.

Estos certificados son emitidos por una serie de entidades autorizadas y, en este caso, el origen del problema viene desde la empresa holandesa Diginotar. Esta entidad certificadora lleva experimentando intrusiones de ciberdelincuentes desde mayo de 2009, y, aun así, tiene la potestad de emitir este tipo de valiosos certificados.

El pasado 27 de agosto se descubrió mediante una entrada en Pastebin, donde se mostraba el falso certificado de Google. Con estos datos, un atacante podría redirigir a un usuario a un sitio falso que sea un subdominio de google.com, como, por ejemplo, Gmail (mail.google.com), Google Maps (maps.google.com) o Google Docs (docs.google.com), y hacerlos pasar por auténticos.

No obstante, para conseguir esto es necesario que todo el tráfico de los usuarios a los que se desee atacar pasen por un servidor controlado por los atacantes. Eso se puede conseguir infectando el sistema de la víctima y cambiando sus DNS, o directamente atacando a los proveedores de servicios de Internet. Esto último suele ser más accesible para los gobiernos autoritarios, ya que son los que ejercen mayor presión sobre los contenidos de la web a los que pueden acceder sus ciudadanos.

Todo apunta a que el ataque proviene de Irán, y sabiendo que el certificado falso se emitió el pasado 10 de julio, se han tenido casi dos meses para usarlo en actividades de dudosa legalidad. Cabe recordar que el Gobierno Iraní no tiene potestad para emitir este tipo de certificados.

Por su parte, las tres empresas detrás de los navegadores más usados han hecho públicos sus anuncios al respecto de esta incidencia:

- Google anunció en su blog de seguridad un resumen del ataque y también confirmó que los usuarios de su navegador Chrome estaban a salvo de este tipo de ataques. Asimismo, anunció que iban a eliminar el certificado de Diginotar hasta que todo este asunto se aclare.

- Microsoft ha lanzado una alerta de seguridad por la que anuncia la eliminación del certificado de Diginotar de su navegador Internet Explorer, lo que mostrará una alerta si un usuario intenta acceder a una web firmada con ese certificado falso.

- La fundación Mozilla ha anunciado nuevas versiones de Firefox y ha publicado unas instrucciones para que los usuarios puedan eliminar a Diginotar como entidad certificadora de confianza.

Con este ya son dos los casos similares en lo que llevamos de año, y si tenemos en cuenta que antes de 2011 tan solo se había producido una revocación de un certificado en 2001, vemos cómo es posible que suframos casos similares en el futuro.

Desde el laboratorio de ESET en Ontinet.com aconsejamos seguir las recomendaciones proporcionadas por el fabricante del navegador que usemos y actualizarlo si fuera necesario.

Josep Albors

[Podcast] Hacking de dispositivos tecnológicos

Vivimos rodeados de ellos. Tan solo con girar levemente la cabeza veremos cómo tenemos cerca un teléfono móvil, un televisor de alta definición o el mismo ordenador desde el que escribimos estas líneas. Pero, ¿pueden todos estos dispositivos tecnológicos ser usados con otros fines distintos a aquellos por los que fueron diseñados?

En el podcast de hoy analizamos este punto y comentamos diferentes ejemplos, que van desde aspiradoras autónomas reprogramadas para aumentar su funcionalidad, pasando por televisores que ven aumentadas sus posibilidades, hasta llegar a cafeteras que sirven como vector de propagación de malware.

Las posibilidades son muchas y estos dispositivos pueden usarse con diferentes fines, incluidos aquellos que afectan a nuestra seguridad. Desde el laboratorio de ESET en Ontinet.com, esperamos que disfruten de la escucha de este podcast y los esperamos en próximas entregas.

Josep Albors

« Artículos Posteriores — Artículos Anteriores »