• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (117)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (153)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (77)
  • Productos (42)
  • ransomware (11)
  • redes sociales (110)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (288)

• Archivos

  • junio 2013 (17)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Proponen el uso de malware para proteger la propiedad intelectual

Que la protección de la propiedad intelectual es llevada a cabo con uñas y dientes por algunos países es algo conocido. Y algunos de dichos países, con EE.UU. a la cabeza, incluso anteponen el interés de grandes empresas a la privacidad de los usuarios. Es por eso que no nos sorprendemos por la noticia que conocíamos hace unos días, en la que un informe elaborado por la comisión para la lucha contra el robo de la propiedad intelectual americana sugería el uso de herramientas que bien podíamos clasificar como malware.

En este informe se sugiere que, como medida de protección para el material protegido con propiedad intelectual, se incluya la posibilidad de que se encuentre protegido por algún tipo de software que tome “ciertas medidas” contra aquellos usuarios que traten de acceder al contenido protegido sin autorización.

Entre estas medidas encontramos  la posibilidad de que un fichero protegido de esta manera no pueda ser reproducido o ejecutado por el usuario pero además que el ordenador quede bloqueado, mostrando una serie de instrucciones para contactar con los organismos legales autorizados y así conseguir una contraseña que desbloquee nuestro equipo.

A nosotros todo esto nos recuerda a varios tipos de ransomware como el “Virus de la policía” pero asociado a empresas de gestión de derechos de autor, algo que, por otra parte, ya ha sido aprovechado por los ciberdelincuentes con anterioridad para infundir temor y conseguir que los usuarios paguen una falsa multa.

El hecho de que esta medida se está planteando siquiera y que haya salido a la luz sin ningún reparo nos debería de hacer pensar que otros mecanismo de control se están aplicando hoy en día en nuestros sistemas, de los cuales no tenemos constancia. No hace mucho provocó cierto revuelo un troyano empleado por el gobierno alemán para espiar a sus ciudadanos. El problema no es tanto que se descubriera ese troyano, sino que esta posibilidad está contemplada por la legislación de ese país.

Está claro que los gobiernos deben poder protegerse frente a ataques y las fuerzas de seguridad del Estado contar con herramientas capaces de ayudarlos en su difícil tarea de perseguir y detener a los ciberdelincuentes. El problema surge cuando se cruza esa fina línea que separa estas acciones del espionaje puro y duro, más aun cuando detrás se ocultan oscuros intereses de ciertas multinacionales y no la seguridad de la sociedad.

Es por ello que nosotros, como usuarios, debemos tomar medidas y negarnos a que nuestra privacidad sea invadida de forma flagrante y que se nos chantajee de forma descarada bloqueando nuestro equipo. Por nuestra parte da igual que el que cree un software malicioso sea un grupo de ciberdelincuentes o un gobierno. Un malware es un malware y como tal ha de ser siempre detectado.

Josep Albors

El robo de cuentas y los engaños en redes sociales se llevan el protagonismo en mayo

¡Cómo pasa el tiempo! Sin darnos cuenta ya estamos a las puertas de junio, del buen tiempo, las terracitas y la playa (si el tiempo nos lo permite, claro). Así que aquí va nuestro resumen mensual de seguridad en mayo: un mes en el que si tenemos que destacar los hechos más significativos en cuanto a seguridad se refiere, sin duda tenemos que hablar de los innumerables intentos de robo de contraseñas de redes sociales y de los numerosos engaños usando las más variadas triquiñuelas que se emplean para conseguir todo tipo de datos.

Si en meses anteriores ya hablamos de vulnerabilidades en Facebook que permitían acceder al contenido privado de un usuario e incluso controlar su cuenta, durante este mes observamos cómo una vulnerabilidad similar en Instagram permitiría a un atacante acceder a nuestra cuenta. Esto le permitiría acceder a nuestras fotos e información privada, pudiendo editar o borrar comentarios y fotografías o subir nuevas imágenes a nuestra cuenta.

Como prácticamente todos los meses, los engaños a través de Facebook se han seguido produciendo y ha habido varias campañas de propagación de noticias falsas y bulos que llamaron la atención de los usuarios. Una de las campañas que más nos llamó la atención, por lo sorprendente de la noticia usada, fue una noticia en la que se aseguraba haber grabado en vídeo a una bruja llorando.

Este tipo de noticias llamativas suelen atraer la atención de los usuarios más curiosos, engañándolos para que accedan a enlaces en los que se puede encontrar casi cualquier cosa. En este caso, además de abrirse numerosas ventanas de publicidad tras pulsar el enlace, se nos solicitará que le demos permiso a una aplicación para que acceda a nuestro perfil, pudiendo así acceder a todos nuestros datos, los de nuestros contactos, direcciones de correo electrónico o teléfono, entre otros.

Precisamente para mejorar la seguridad de nuestras cuentas de Facebook, la red social ha lanzado una nueva funcionalidad que ha denominado como “contactos de confianza”. De esta forma, si perdemos el acceso a nuestra cuenta de Facebook o nos la roban, podremos recuperarla sin pasar por el engorroso procedimiento de verificación de la identidad. Serán nuestros contactos de confianza quienes reciban unos códigos que nos servirán para poder acceder a nuestra cuenta y recuperar el control sobre ella.

También para evitar el robo de cuentas y la suplantación de identidad, Twitter presentó su sistema de doble autenticación. Si se activa, el usuario recibirá un mensaje SMS en su móvil que le será requerido cuando intente acceder a su cuenta. A pesar de ser una buena idea que otros servicios ya han implementado, el hecho de que Twitter permita utilizar SMS para enviar tanto tweets como comandos especiales podría hacer que un atacante utilizara esta característica para bloquear el acceso a la cuenta de su usuario legítimo.

Durante el pasado mes también analizamos un caso de malware que utilizaba los servicios de mensajería Skype y Google Talk para propagarse (como anteriormente ya se hacía con MSN Messenger). Utilizando el sistema clásico de llamar la atención en forma de mensaje con contenido sugerente en forma de fotos y un enlace acortado para que el usuario no sepa qué se esconde detrás. De esta forma tan sencilla, los ciberdelincuentes autores de esta campaña consiguieron infectar a más de 300.000 usuarios de todo el mundo, lo que demuestra que las viejas técnicas siguen funcionando a poco que se adapten.

Graves vulnerabilidades en mayo

Con respecto a vulnerabilidades en sistemas operativos y aplicaciones, Microsoft ha vuelto a ser protagonista durante el mes pasado. Se descubrió una grave vulnerabilidad en el navegador Internet Explorer 8 que había sido utilizada para propagar malware desde páginas web legítimas y que pertenecían a grandes empresas con intereses en la industria aeroespacial, defensa y seguridad, pasando por organizaciones no gubernamentales e incluso llegando a organismos oficiales del Gobierno de los Estados Unidos.

Además de esta vulnerabilidad en el popular navegador de Internet, uno de los ingenieros de Google con más experiencia a la hora de encontrar fallos de seguridad anunció haber descubierto una grave en las versiones actuales de Windows, desde XP a Windows 8. Según este investigador, esta vulnerabilidad podría ser usada para escalar privilegios, provocar un cuelgue del sistema o ejecutar código arbitrario.

También en mayo, Microsoft presentó su consola de nueva generación, XBOX One. Con este anuncio ya se han presentado las consolas de las tres grandes casas (Nintendo, Sony y Microsoft) que se van a disputar la siguiente generación de consolas de videojuegos. No obstante, la arquitectura similar a la de un PC tanto de la Playstation 4 como de Xbox One nos hace plantearnos si no estaremos ante los posibles nuevos objetivos de los ciberdelincuentes.

Ciberataques: el género de moda de la primavera

Otro tipo de ataques, los dirigidos a grandes empresas, organizaciones o gobiernos también fueron protagonistas durante las últimas semanas. En el laboratorio analizamos una amenaza detectada en Pakistán y con muchos puntos para haber sido generada en la vecina India. Esta amenaza, que también afectó a algunos ordenadores españoles, tenía como objetivo robar información de los ordenadores que infectaba. El hecho de que la mayoría de ordenadores afectados se encontrasen en Pakistán y que, tras analizar el código del malware, se encontrasen cadenas de texto en hindi nos hace sospechar de un caso de ciberespionaje entre estos dos países.

Asimismo, el prestigioso periódico The Wall Street Journal informó de supuestos ciberataques contra la red eléctrica de Estados Unidos, con todas las sospechas apuntando hacia Irán, según algunas fuentes del Gobierno norteamericano. En nuestro blog analizamos las posibilidades reales de que un ataque de ese tipo se produjese también en España y de las medidas adoptadas por nuestro gobierno para evitarlo.

El uso ya habitual de la tecnología por parte de los delincuentes se hizo patente una vez más cuando conocimos la noticia del robo de más de 45 millones de dólares aprovechando la existencia de varias vulnerabilidades en el actual sistema de seguridad financiera. En una operación que duró apenas diez horas, todos los miembros de una banda repartidos por varios países lograron retirar de varios cajeros alrededor de 40 millones de dólares, cantidad que se sumó a otros cinco millones obtenidos en una operación similar realizada en diciembre.

También en mayo hemos visto cómo monedas virtuales como Bitcoin era lo que precisamente estaba buscando algún empleado deshonesto de ESEA, una importante comunidad de juegos online, cuando modificó el software cliente antitrampas de esta empresa para incluir una opción que se encargaba de utilizar los recursos del ordenador para minar bitcoins, algo que la propia empresa había estado probando de forma interna pero que terminó descartando.

El hecho de que los jugadores más exigentes sean los que dispongan de los equipos más adecuados para conseguir procesar este tipo de monedas virtuales los hace especialmente atractivos como víctimas a los ciberdelincuentes que aprovechan la gran potencia de cálculo de sus equipos para hacerse ricos a su costa.

En nuestro país vimos también cómo se consiguió detener a un ciudadano de Zaragoza, acusado de espiar a sus vecinos utilizando para ello las cámaras web de sus portátiles. Aprovechando las redes Wi-Fi de sus vecinos conseguía infectar sus equipos con un malware que le permitía controlar la cámara web de sus ordenadores y procedía a grabarlos sin su consentimiento. Por si fuera poco, este individuo también fue acusado de almacenar en su ordenador pornografía infantil.

Por último, no nos olvidamos de los sistemas Mac OS, y es que durante mayo analizamos una nueva muestra de malware para esta plataforma que, además de robar información del ordenador infectado, realizaba capturas de pantalla periódicas del escritorio. Este malware tenía también la peculiaridad de encontrarse firmado con un identificador de desarrollador de Apple y fue además descubierto por un investigador en un evento celebrado para ayudar a protegerse a los activistas de varias organizaciones del espionaje gubernamental.

Esto es lo que ha dado de sí el mes… Vamos a ver cómo se nos presenta junio, que todo indica que no nos va a dejar mucho tiempo al relax .

Feliz jueves!

Yolanda Ruiz

Josep Albors

Los cuatro primeros meses del año han estado protagonizados por numerosos agujeros de seguridad

Si tuviéramos que hacer balance de lo que han sido los cuatro primeros meses del año en cuanto a incidentes de seguridad se refiere, sin duda tenemos que afirmar que los agujeros de seguridad en conocidas aplicaciones y sistemas operativos han marcado la tónica. Java se ha llevado la palma, aunque también Microsoft ha tenido que lanzar bastantes parches para soluciones graves problemas de su navegador y de su sistema operativo. Y Oracle no se ha quedado atrás…

Vulnerabilidades que han sido aprovechadas por colectivos asiáticos para lanzar diferentes ataques contra objetivos occidentales. Los primeros que dieron la voz de alarma fueron algunos de los periódicos más importantes a nivel mundial como New York Times, Washington Post o Wall Street Journal. Pero no fueron los únicos, también les siguió tanto Facebook como Twitter, que también denunciaron en febrero de intrusiones en su red. No ha quedado clara la autoría, aunque se apuntaba a coletivos chinos.

Y hablando de vulnerabilidades y redes sociales, Facebook y Twitter también han protagonizado serios incidentes con errores de programación que suponían riesgos contra la privacidad de los usuarios, que sumados a otros problemas derivados de scams y amenazas que utilizan las conocidas plataformas para distribuirse, han supuesto más de un quebradero de cabeza. El supuesto vídeo de Justin Bieber con su novia o el falso sorteo de varios Samsung Galaxy SIII son solo dos ejemplos de cómo la ingeniería social sigue siendo una de las técnicas más lucrativas de los ciberdelincuentes que buscan un alto número de víctimas muy rápidamente.

Y hablar de Twitter supone, irremediablemente, hablar de la cantidad de cuentas de marcas muy conocidas que han sido hackeadas, como ha sido el caso de la de Burger King y Jeep. Pero sin duda, la que ha conseguido desplomar al índice bursátil norteamericano Dow Jones ha sido el secuestro de la cuenta de la agencia de noticias Associated Press, que mostró durante unos minutos un tweet que aseguraba que había habido varias explosiones en la Casa Blanca y que Barack Obama había resultado herido. Tweet que fue desmentido solo unos minutos después pero que fue suficiente para convulsionar un país que venía de sufrir los recientes atentados de Boston.

Y aún a pesar del excelente trabajo realizado por los cuerpos policiales deteniendo a algunos miembros que estaban detrás de la trama del “Virus de la Policía“ (aquel que secuestra el ordenador por haber visto pornografía y solicita un rescate para poder acceder a los archivos), durante estos meses hemos visto cómo proliferaban muchas nuevas variantes que utilizando otros argumentos, como la pedofilia, buscaban el mismo fin: el dinero del usuario que, asustado, preferiría pagar a enfrentarse a una supuesta denuncia por sus actividades online.

Igualmente, estos meses hemos visto multitud de robos de datos personales. Quizá los más sonados han sido los cometidos en Estados Unidos: personas tan conocidas como Michelle Oba­ma, Beyoncé, Hillary Clinton, Tom Cruise o Bill Gates, entre otros, vieron cómo varios de sus datos privados eran accesibles a cualquie­ra que visitara la web preparada a tal efecto. Entre esta información encontramos varios lugares de residencia, números de teléfono e incluso movimientos de sus cuentas bancarias.

Por supuesto, el colectivo hacktivista Anonymous ha seguido haciendo de las suyas durante este tiempo, atacando tanto a objetivos nacionales como internacionales. Todo ello en un contexto en el que el sistema de monedas virtuales Bitcoin volvía a ser vulnerado y en el que se aprovechaban los atentados de Boston para distribuir una red de botnets.

Un cuatrimestre intenso que no hace más que evidenciar que los incidentes en materia de seguridad, lejos de solucionarse, siguen creciendo y evolucionando, y más en tiempos de crisis.

Yolanda Ruiz Hervás

PokerAgent y el robo de 16.000 contraseñas de Facebook

El siguiente post es una traducción y adaptación de “PokerAgent botnet stealing over 16,000 Facebook credentials” publicado en el blog de ESET Norteamérica por nuestro compañero Robert Lipovsky.

La red de “bots” llamada “PokerAgent”, a la que le seguimos la pista desde 2012, fue diseñada para conseguir datos de acceso a Facebook. También recogía datos de las tarjetas de crédito ligadas a cuentas de Facebook y estadísticas de los jugadores de “Zynga Poker”, supuestamente con la intención de estafar a las víctimas. Israel ha sido el país donde la amenaza ha sido más activa, con 800 ordenadores infectados y más de 16.000 credenciales de Facebook robadas.

Introducción

Hace aproximadamente un año, el laboratorio de investigación de ESET descubrió un troyano que le llamó la atención. Todo parecía indicar que había algo interesante: referencias a Facebook y a la aplicación Zynga Poker (que aparecían en cadenas de texto dentro del código), el código ejecutable “PokerAgent” y características de botnet, ya que el troyano contactaba con una red de control remoto.

ESET ha estado detectando diferentes variantes del troyano, denominado genéricamente MSIL/Agent.NKY. Tras el descubrimiento inicial, fuimos capaces de encontrar otras variantes del troyano, unas más antiguas y otras más modernas. También se consiguieron estadísticas de detección, que revelaron a Israel como el país con mayor actividad del código malicioso.

Hemos llevado a cabo un análisis profundo del código del troyano (tarea fácil, ya que estaba programado con C#, muy fácil de descompilar) e iniciamos la monitorización de la botnet. Los resultados se presentan a continuación y se encuentran ampliados en el whitepaper que analiza esta amenaza.

Funciones del malware

El autor del malware tiene una gran base de datos con credenciales de Facebook robadas (nombres de usuario y contraseñas). Al principio, no sabíamos cómo las había conseguido, pero al continuar la investigación se aclaró. Cuando el bot se conecta al centro de mando y control, le solicita tareas para llevar a cabo. Una de esas tareas equivale a un usuario de Facebook. El troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir la siguiente información:

1. Estadísticas de Zynga Poker de la cuenta de Facebook en cuestión
2. Número de métodos de pago (p.ej. tarjetas de crédito) almacenadas en la cuenta de Facebook.

Las estadísticas del usuario en Zinga Poker se consiguen pasando la respuesta de la URL http://facebook2.poker.zynga.com/poker/inc/ajax/profile_popup.php?zid=1:%_FACEBOOK_ID%&signed_request=%_SIGNATURE% &platform=1.

Los datos devueltos se asemejan mucho a los mostrados más abajo, y tienen  información sobre el usuario, como su nombre, género, imagen del perfil de la cuenta, clasificación y puntos en Zynga Poker, número de amigos y estadísticas sobre cada mano jugada.

Al troyano solamente le interesa el género del usuario, sus puntos y su clasificación. Esta información se envía de vuelta al centro de mando y control.

Hay que tener en cuenta que para hacer la consulta el atacante solo necesita el identificador numérico de la cuenta de Facebook y un parámetro válido firmado por la aplicación Zynga Poker. En diferentes versiones del bot hemos detectado que se usaban diferentes parámetros.

Se puede encontrar más información sobre el popular juego Zynga Poker  aquí.

Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el bot primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante. Entonces, el troyano busca en https://secure.facebook.com/settings?tab=payments&section=methods y simplemente consigue el número que hay entre las etiquetas HTML en la cadena “You have <strong>X</strong> payment methods saved.” que se devuelve en HTML.

Siempre recomendamos que se sea muy cauteloso a la hora de almacenar datos de tarjetas de crédito en una aplicación, no solo en Facebook. De nuevo, toda la información se manda al centro de mando y control para actualizar la base de datos de víctimas.

El sistema infectado puede llevar a cabo diversas tareas en nombre de una víctima de Facebook:

1. Publicar enlaces en el muro del usuario de Facebook.

El propósito de esta función es llevar a otros usuarios de Facebook (por ejemplo, amigos de los usuarios a los que se les ha robado las credenciales de acceso) a una página falsa de acceso a Facebook, para robarles también a ellos su nombre de usuario y contraseña.

La tarea mandada al bot, aparte de un nombre de usuario y contraseña de Facebook, también contiene una URL (mandada de manera cifrada) y posiblemente algún texto de acompañamiento para publicarla (aunque no hemos visto que esta característica la use la botnet). El troyano, una vez iniciada sesión en Facebook, publica el link descifrado en el muro del usuario.

Aquí pueden verse unos cuantos ejemplos.

El enlace apuntará a una página web similar a la que aparece en la imagen más abajo. Durante la monitorización del botnet, hemos visto que redirecciona a diferentes páginas web. Tanto desde nuestra telemetría como desde el texto de las páginas web, podemos ver que los ataques están dirigidos mayormente a usuarios de Israel. Las páginas ofrecen noticias de prensa amarillista, que el usuario puede sentir curiosidad por ver.

Independientemente del tema de la página a la que redirigen, todas tienen un factor común: cada imagen tiene un enlace HTML a una página falsa de Facebook en la que iniciar sesión, como se puede ver más abajo. De nuevo, se han ido usando diferentes URL a lo largo del tiempo.

Como cabría esperar, cuando una víctima rellena sus datos en esta página falsa de Facebook, sus datos son mandados al atacante.

El análisis del código también revela una interesante característica de la lógica de programación del troyano. El código contiene una función llamada “ShouldPublish”, que determina si los enlaces a las páginas de phishing deben ser publicados en el muro del usuario. Esto dependerá de si la víctima tiene alguna tarjeta de crédito vinculada a su cuenta y su clasificación en Zynga Poker. Aparentemente, si se cumple una de las condiciones, el atacante lo considera un éxito, y, si no (no hay tarjetas y tiene una clasificación baja), el troyano buscará otras víctimas.

¿Cómo funciona el ataque?

Hay que aclarar que, a diferencia de otros troyanos que hemos visto propagarse frecuentemente por Facebook, este no intenta entrar ni interferir con la cuenta de Facebook del usuario que está infectado (de hecho, podría no tener una cuenta en Facebook). La botnet sirve más bien como un proxy, por lo que las actividades ilegales (las tareas ordenadas a los bots) no se ejecutan fuera del ordenador infectado.

Una vez dicho esto, todo lo anterior nos lleva a la conclusión de que el propósito de la botnet es:

1. Aumentar el tamaño de la base de datos de usuarios y contraseñas robados de Facebook.
2. Actualizar la base de datos: comparar los datos de los usuarios de Facebook con las estadísticas de Zynga Poker y las tarjetas de crédito almacenadas.

Solo nos cabe especular acerca de cómo el atacante emplea los datos robados. El código sugiere que el atacante busca usuarios de Facebook con cosas de valor que merezcan la pena robar, determinándolo por las estadísticas del juego de poker y los datos de la tarjeta de crédito almacenados en su cuenta de Facebook. Posteriormente, el cibercriminal puede usar para sí los datos de la tarjeta de crédito o quizá vender la base de datos a otros delincuentes.

Vector de propagación

Antes hemos visto la página falsa de Facebook que el atacante emplea para hacer que las víctimas le den sus datos de Facebook. Por lo que se refiere a la distribución del troyano “PokerAgent”, no hemos tenido la suerte necesaria para pillarle “con las manos en la masa”. Cuando monitorizamos la botnet en marzo de 2012, esta no seguía propagándose activamente. Lo que sí sabemos, sin embargo, es que el troyano se descarga en el sistema por algún otro componente (de los que hemos visto varias versiones). Este componente de descarga fue visto en la web, (en varias URL que cambiaban dinámicamente) y las víctimas han sido engañadas para descargarlo.

Por las técnicas que utiliza el troyano, es lógico suponer que el downloader también se distribuyó por Facebook, haciendo también uso de técnicas de ingeniería social.

Escala de los ataques y acciones llevadas a cabo

Hemos estado detectado el troyano MSIL/Agent.NKY desde el 3 de diciembre de 2011. Poco después nos dimos cuenta de que era algo que requería más atención y llevamos a cabo un análisis a fondo del código. Así, iniciamos el seguimiento de la amenaza y tras analizar el protocolo de su centro de mando y control, empezamos la monitorización de la botnet.

Gracias a nuestra detección genérica, pudimos conseguir tanto versiones iniciales como más modernas del troyano. En total encontramos 36 versiones distintas de “PokerAgent” con fechas de compilación comprendidas entre septiembre de 2011 y marzo de 2012. Los “hashes” MD5 se pueden encontrar al final del documento. Por tanto, comprobamos cómo el creador del malware estaba desarrollando activamente su proyecto.

El seguimiento de la botnet reveló que al menos 800 ordenadores habían sido infectados con el troyano, y el atacante tenía al menos 16.194 entradas únicas en su base de datos de credenciales de Facebook el 20 de marzo de 2012. Estos números no se corresponden exactamente con el número de credenciales válidas robadas, ya que puede haber muchas más que no hemos visto. Sin embargo, por lo que comprobamos, no todas las entradas eran válidas, y muchos usuarios que intentaron ser engañados introdujeron nombres de usuario y contraseñas visiblemente falsos.

Tal y como muestra la evolución de detecciones en nuestro ESET LiveGrid®, el autor del malware dejó la propagación activa del troyano a mediados de febrero de 2012.

Los ataques se concentran en un solo país. Nuestra telemetría indica que precisamente el 99% de todas las detecciones de MSIL/Agent.NKY de los productos de seguridad de ESET provienen de Israel.

En cuanto conseguimos información fidedigna de estas actividades delictivas, cooperamos tanto con el CERT de Israel como con la Policía. Los detalles de la investigación no pueden ser hechos públicos por razones de confidencialidad.

También hemos avisado a Facebook, y ha llevado a cabo tareas de prevención para frustrar futuros ataques en las cuentas robadas.

Conclusión

El caso “PokerAgent” representa un ataque con éxito a los usuarios de la red social más grande del mundo y a los jugadores del mayor sitio de Poker del mundo. Hay, sin embargo, varias prácticas de seguridad, además de la obvia recomendación de utilizar un antivirus actualizado, que habrían evitado que los atacantes tuvieran tanta suerte.

• No solo son necesarias medidas técnicas, sino que también la vigilancia del usuario es una protección contra todos los ataques que emplean ingeniería social. Aunque a simple vista la página falsa de Facebook es una copia perfecta de la auténtica, el usuario puede reconocerla como una copia si comprueba la barra de direcciones, aunque la mayoría de las víctimas fueron engañadas por la página.
• Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios. En concreto, el doble factor de autentificación podría haber evitado que los bots entraran en las cuentas de Facebook de las víctimas.
• Queremos insistir en que hay que ser cauteloso antes de permitir a los navegadores “recordar” contraseñas de servicios importantes, y mucho más si se están almacenando los datos de la tarjeta de crédito en cualquier aplicación, no solo en Facebook.

Con las redes sociales más populares siendo atacadas por malware, spam, phishing y otros propósitos nefastos, es muy recomendable asegurarse de que estamos protegidos de estos vectores de ataque también. Para mantener la cuenta de Facebook limpia, ESET ha presentado la aplicación ESET Social Media scanner.

Traducido y adaptdo por Yolanda Ruiz, Fernando de la Cuadra y Josep Albors

 

El primer mes de 2013 ha sido el de las vulnerabilidades

Si tuviéramos que asignar un nombre propio al mes de enero relativo a la seguridad le llamaríamos “vulnerabilidad”, porque esta ha sido la tónica general de los acontecimientos con mayor repercusión, entidad y alcance durante enero. Facebook y Twitter, siguendo la tónica de los últimos meses, también han estado en el punto de mira, tanto por problemas de seguridad como de privacidad.

Empezábamos el año con el descubrimiento de una nueva vulnerabilidad en el navegador Internet Explorer, vulnerabilidad que se estaba aprovechando para, por ejemplo, propagar malware desde la web de la importante organización Council on Foreign Relations. Esta vulnerabilidad estaba presente en las versiones 6, 7 y 8 de Internet Explorer, por lo que el número potencial de víctimas era muy elevado.

A pesar de no haber lanzado un parche de seguridad en las actualizaciones periódicas que Microsoft publica cada segundo martes de cada mes, la solución solo tardó unos pocos días más, lo que, aparentemente, ha ayudado a contener el número de usuarios afectados. A día de hoy, la vulnerabilidad se encuentra solucionada, pero esto no evita que muchos usuarios sigan vulnerables, ya que aún no han aplicado el parche que la soluciona.

Otro de los principales protagonistas en temas de seguridad del primer mes del año ha sido Java. El descubrimiento de una nueva vulnerabilidad en la versión más reciente hasta ese momento del software de Java activó todas las alarmas, puesto que se comprobó que estaba siendo incluida en los principales kits de exploits para así explotarla de forma activa.

Una de las primeras amenazas que no dudó en aprovecharse de esta nueva vulnerabilidad para propagarse fue una variante del conocido como “Virus de la Policía”, incluyendo variantes destinadas a usuarios españoles. Como ya vimos en casos anteriores, estas amenazas utilizaban sitios legítimos que habían visto comprometida su seguridad para propagarse e infectar al mayor número de usuarios posible.

A los pocos días de conocerse la noticia de esta nueva vulnerabilidad, Oracle lanzó una actualización que, aparentemente, la corregía. No obstante, el análisis a fondo de este parche desveló que solo se solucionaba parcialmente el problema y que la vulnerabilidad seguía presente, pudiendo ser explotada. A raíz de esto, pudimos ver cómo en varios foros underground se empezaba a vender una nueva vulnerabilidad para Java a un precio relativamente bajo.

Asimismo, esta vulnerabilidad junto con la anteriormente mencionada en Internet Explorer se usó en un supuesto caso de ciberespionaje a organizaciones no gubernamentales, organismos oficiales y empresas discrepantes con el Gobierno chino. Alojando un malware en el sitio web de la organización francesa “Reporteros sin fronteras” se consiguió afectar a objetivos  como organizaciones de derechos humanos del pueblo tibetano y la etnia uigur, así como también partidos políticos de Hong Kong y Taiwan, entre otras.

Este mes también ha sido bastante prolífico en cuanto a agujeros de seguridad en dispositivos. Por una parte se anunció una vulnerabilidad en cierto modelo de routers de la marca Linksys. Según los investigadores que la hicieron pública se podría tomar el control de este modelo de router incluso con la última versión del firmware disponible instalada. No obstante, la información incompleta proporcionada (fácilmente manipulable) y el hecho de que se trate de un modelo antiguo del cual muchas unidades no llevan el firmware oficial, limitaba mucho los efectos de esta vulnerabilidad.

Asimismo, hicimos un repaso a la seguridad de millones de dispositivos conectados a Internet y que se encuentran expuestos a ataques o intrusiones no autorizadas. En meses anteriores hemos comentado los casos de cámaras IP, Smart TVs o impresoras. Aunque no son pocos los avisos que se han realizado al respecto en los últimos meses, aun hoy hay una cantidad importante de dispositivos vulnerables expuestos en Internet.

De nuevo, Facebook

Durante el pasado mes, las redes sociales también tuvieron su parte de protagonismo con varios temas relacionados con su seguridad y privacidad. Facebook, por ejemplo, solucionó una vulnerabilidad que, de forma muy sencilla, permitía cambiar la contraseña de cualquier usuario de Facebook sin conocer la anterior.

Siguiendo con Facebook, en una presentación realizada el 15 de enero se anunció Facebook Graph Search. Este nuevo sistema de búsqueda se aprovecha de la gran cantidad de información que esta red social posee de sus usuarios para mostrar resultados basándose en diferentes perfiles de personas, su ubicación y sus aficiones. Esto, que en principio puede ser usado por todos los usuarios para conocer a gente con gustos similares cerca de nosotros, también puede ser usado por empresas de marketing para bombardearnos con publicidad personalizada o de forma maliciosa por atacantes para recopilar información de sus víctimas.

Twitter también ha sido vulnerable

Por su parte, Twitter también solucionó una vulnerabilidad que permitía que aplicaciones de terceros tuvieran acceso a nuestros mensajes privados, aunque no hubiesen pedido permiso para ello en el momento de su instalación. Esta vulnerabilidad fue solucionada por parte de Twitter sin avisar a los usuarios, aunque sigue siendo recomendable que revisemos las aplicaciones a las que hemos concedido permisos en nuestra cuenta de Twitter para no llevarnos sorpresas desagradables.

Los ciberdelincuentes siguieron usando Twitter para seguir propagando sus amenazas, y durante el mes pasado detectamos casos de phishing, propagando un enlace acortado malicioso usando mensajes directos entre usuarios en el que se indicaba que se estaba hablando mal de nosotros. Todo esto estaba diseñado para robar credenciales de los usuarios y disponer de cuentas de Twitter desde las cuales seguir propagando amenazas.

En enero también vimos el resurgir de Megaupload, justo cuando se cumplía un año de su cierre. Este nuevo servicio, conocido simplemente como Mega, promete muchas novedades entre las que se incluye una mayor seguridad y privacidad aunque varios investigadores se encargaron de revisar estos aspectos y descubrieron que habían fallos importantes que solucionar.

Otro tema que dio bastante que hablar durante el pasado mes fue el descubrimiento de nuevos certificados fraudulentos de Google. Y también analizamos en nuestro laboratorio otro tipo de vulnerabilidades, como la que afectó al complemento de Foxit PDF Reader para el navegador Firefox

Uno de los servicios gratuitos de correo electrónico más usados en Internet, Yahoo Mail, vio cómo un investigador demostraba mediante una prueba de concepto que era posible realizar un ataque XSS. En caso de haberse usado de forma maliciosa, hubiera podido llegar a afectar a cerca de 400 millones de usuarios.

Durante las últimas semanas también analizamos un caso de malware diseñado para Linux y que utilizaba una versión troyanizada del conocido demonio SSH para abrir puertas traseras en los sistemas que infectaba y permitir que un atacante accediera a ellos y los controlase. Esta versión maliciosa se estaba sirviendo desde algunos repositorios que habían visto comprometida su seguridad debido al uso de versiones  vulnerables de aplicaciones o unas contraseñas demasiado débiles.

En cuanto a los ejemplares de malware que más se han distribuido, este es el top 10 de las amenazas informáticas que más se han distribuido durante este mes de enero:

Como ves, hemos tenido de todo. Sin ninguna duda, ha sido un mes muy intenso desde el punto de vista de la seguridad y un avance de lo que, probablemente, va a seguir siendo el resto del año. ¡Estaremos muy atentos!

¡Feliz semana, trop@!

Josep Albors

Yolanda Ruiz

Resumen anual de seguridad informática: Facebook y Twitter protagonizaron incidentes de seguridad durante todos los meses de 2012

¡Madre mía qué mal lo hemos pasado este año haciendo el resumen! Hay que reconocer que la práctica ayuda, pero cuando tienes que seleccionar entre los 350 artículos que hemos publicado este año, todos ellos referentes a temas de seguridad y/o privacidad, el ejercicio es arduo. Siempre se queda algo fuera, y seguro que importante, pero al menos está todo lo que es más relevante a nivel internacional.

El pasado año ha seguido la estela de actividad en cuanto a seguridad informática se refiere, ya que todos los meses han sucedido hechos internacionales que han tenido sus efectos y una gran repercusión mediática. Si echamos un vistazo al Resumen Anual de Seguridad 2012 que nos hemos currado, veremos que hay nombres propios que se repiten a lo largo de cada uno de los meses y que protagonizan repetitivos incidentes de seguridad de forma reincidente.

En el capítulo de hacktivismo, Anonymous se ha mostrado especialmente activo este año operando en el frente tanto nacional como internacional. A nivel local, los miembros de este colectivo han publicado los datos privados de los responsables de la Ley Sinde a principios de año, han aprovechado los premios Goya para introducirse en los servidores de la Academia del Cine y obtener multitud de datos profesionales y personales, han protestado junto al colectivo sanitario por los recortes en Sanidad y han atacado, también en señal de queja por la situación económica, varias webs de partidos políticos.

Con respecto a actuaciones internacionales e intrusiones no autorizadas, numerosos organismos, instituciones y grandes empresas privadas han visto su seguridad e integridad vulneradas por una razón u otra. La realidad es que la NASA, varias universidades, entidades gubernamentales americanas, Sony, Amazon.com, T-Mobile, Nissan y VMWare, por solo citar unos ejemplos, se han convertido en blanco durante el pasado año de los cibercriminales.

Respecto a la aparición de nuevas amenazas informáticas, tanto la plataforma Mac como Android se han llevado la palma, sin desmerecer para nada a Windows, que sigue ostentando la gran cifra récord de 250.000 nuevos ejemplares mensuales. Otro dispositivo, como el eReader Kindle Touch, también ha tenido algún susto.

En cuanto a las técnicas de ingeniería social utilizadas para la distribución de spam o phishing, también hemos visto cómo se han seguido utilizando los hechos más internacionales y representativos, como los Juegos Olímpicos y la Supercopa, pero también han hecho mella otros ganchos como el de Michel Teló y su éxito del verano, servicios como SkyDrive de Microsoft o relacionados con juegos muy conocidos como League of Legends.

También 2012 ha sido el año en el que se han descubierto varias redes de botnets, algunas relacionadas con el espionaje internacional y con ataques dirigidos, como es el caso de Medre o de Flashback. A lo que se añaden las múltiples vulnerabilidades críticas en los programas habituales, como Adobe, Java y Windows.

Los problemas de privacidad derivados del uso de plataformas online especialmente diseñadas para enriquecerse a costa de los datos del usuario han dado mucho de qué hablar durante el pasado año, y hemos visto cómo prácticamente todos los grandes han tenido problemas en uno u otro sentido al enfrententarse a quejas y demandas justificadas que luchan por mantener la intimidad de la información personal de los usuarios compartida a través de este tipo de portales.

Pero ha habido más… Noviembre ha marcado un antes y un después en cuanto a actualidad mediática relacionada con la seguridad de la información, ya que el robo de la agenda de Pipi Estrada y su posterior publicación online puso a muchos famosos en jaque durante varios días. Igualmente, el supuesto bulo de las fotos eróticas de las chicas de Deusto puso en duda la integridad de la conocida universidad, aunque todo pareció más un invento que otra cosa.

Un año en el que hemos tenido prácticamente de todo y cuya información se encuentra resumida, mes a mes, en nuestro Informe Anual de Seguridad 2012.

¡Que la seguridad nos acompañe en 2013!

 

Yolanda Ruiz Hervás

 

Josep Albors

 

 

La tentación hacia irresistibles ofertas online puede suponer un riesgo cibernético para una de cada tres mujeres internautas

Se acerca época de compras y la situación de la economía española nos va a empujar a buscar las mejores ofertas. Seguramente, cualquier internauta pensará que las mejores ofertas se encuentran en la Red, pero unas son verdaderas y otras pueden resultar un disgusto.

Un estudio llevado a cabo por ESET[1] evidencia lo que ya sospechábamos: algunas ofertas online resultan totalmente irresistibles para las mujeres internautas. El laboratorio de ESET quería conocer hasta qué punto la fuerza de voluntad cede ante un asunto realmente atractivo para nosotros, aun a pesar de sospechar de su origen o su consecuencia.

Para estudiar la reacción, se escogió una muestra de asuntos y de ganchos que son, frecuentemente, utilizados en emails spam, en anuncios de Adwords o en ganchos distribuidos a través de las redes sociales, se dividió por temáticas y se preguntó a una muestra de los internautas si harían clic en un link que viniera acompañado de textos con estos asuntos, aun sospechando que podrían acabar en una infección o ser un timo. También se preguntó a la muestra sobre su sexo y edad. Y estas son las principales conclusiones del estudio llevado a cabo:

• La mayoría de los representantes masculinos de esta muestra han respondido que no harían clic sobre ninguno de estos temas si sospechan que puede tener consecuencias, dato que contrasta enormemente con el de las mujeres, que han respondido de manera afirmativa.
• Cuando se trata de súper ofertas online, solo uno de cada cuatro hombres ha confesado que haría clic en el link, que contrasta con el dato de las mujeres: una de cada tres caería, irresistiblemente, en la tentación.
• Los roles se cambian, sin embargo, cuando se trata de descargar contenidos, ya sea música, películas o juegos de sitios no muy fiables. En este caso, es el 20% de los hombres los que harían clic frente a tan solo el 12% de las mujeres.
• Los ganchos que utilizan la actualidad y los desastres (naturales, accidentes, etc.) son igual de golosos para hombres que para mujeres, ya que en ambos casos el 25% (uno de cada cuatro) ha afirmado que sí seguirían el link si tiene que ver con algo que ha sucedido recientemente.
• En el lado positivo, parece que los cotilleos no nos obsesionan tanto como parece, aunque los resultados de esta pregunta no convencen del todo. Así, solo el 12% cedería ante la tentación de consultar el último cotilleo de un famoso o de descargar alguna foto. Pero esto es solo en teoría…

Boxer: primer troyano SMS para Android que envia SMS Premium de 63 países, entre ellos españoles, desde los teléfonos de los usuarios sin su conocimiento

El sistema que utiliza no es nuevo en sí mismo, pero sí lo es el hecho de que sea capaz de diferenciar en qué país se encuentra la víctima infectada… Bueno, no quiero empezar la casa por el tejado… déjame que empiece por el principio .

El Laboratorio de Investigación de ESET de Latinoamérica ha descubierto el primer troyano SMS diseñado específicamente para usuarios de Android que suscribe a las víctimas a servicios Premium locales de 63 países sin su conocimiento ni consentimiento. En el caso de usuarios españoles, envía mensajes SMS Premium. Se trata de Boxer, y está distribuyéndose de forma masiva, ya que va camuflado en 22 falsas aplicaciones de juegos o de salud que los usuarios se descargan de sitios no oficiales.

Sí, ya sé, ahora mismo estás repasando mentalmente cuándo ha sido la última vez que has descargado un app para tu teléfono desde el sitio no oficial… Bueno, si ese es tu caso, y para que salgas de dudas, sigue leyendo: te damos más pistas.

Para formentar su descarga e instalación, utiliza títulos tan sugerentes como “Sim City Deluxe Free”, “Need for Speed Shift Free”, “Assassin’s Creed” y algunos accesorios para “Angry Birds”. Dichos títulos estaban disponibles hasta hace poco tiempo para su descarga a través de Google Play, y aunque se ha procedido a su eliminación, se siguen pudiendo descargar desde repositorios y tiendas no oficiales.

Bueno… asume que quizá lo has descargado o quizá no. En cualquier caso, quizá lo que hace te dé más pistas…

Una vez descargado e instalado en el terminal Android, el troyano suscribe a la víctima a números de mensajería Premium locales a partir de la obtención de los códigos numéricos de identificación por país y operador MCC (Mobile Country Code) y MNC (Mobile Network Code). Tras determinar en qué país reside la víctima y cuál es la compañía telefónica a la que pertenece, procede a enviar SMS a números Premium de tarificación especial, de acuerdo a la información recopilada anteriormente.

La mayoría de los troyanos SMS solo son capaces de afectar a determinados países porque los servicios de mensajería Premium a los que suscriben al usuario varían de acuerdo a cada operador y nación. La información recopilada sobre Boxer nos permite afirmar que no solo se trata de un troyano SMS capaz de afectar usuarios de España y de Latinoamérica, sino que también se trata de una amenaza con un amplio potencial de propagación y gran rango de acción…

Ahora ya quizá te estés acordando de algún cargo raruno que puedes haber visto en tu factura de tu proveedor de telefonía.. ¿es así? Pues sigue, que quizá puedes despejar más dudas con un poquito más de información…

En el caso de España, Boxer envía mensajes SMS Premium a sus víctimas al 35969, número que está siendo utilizado para diferentes fines, pero que se vincula de forma muy directa a un servicio de Tarot de Tenerife. Una vez se instala, envía 3 mensajes SMS Premium a dicho número cada vez que la aplicación se ejecuta, dando como resultado altos cargos económicos cargados a la cuenta de la víctima sin que esta sea consciente de que se están produciendo dichos envíos desde su terminal móvil y quedándose sin derecho a ningún tipo de reclamación o devolución.

Dicho número pertenece a la compañía World Premium Rates, que no tiene ningún tipo de vinculación con este fraude y que se limita a proveer la numeración sms conforme a las normales legales. Cautelarmente, la compañía WPR ha cortado el acceso a la numeración afectada. Además, estamos colaborando conjuntamente para intentar averiguar más sobre este troyano y facilitar la máxima información a las autoridades competentes con el fin de localizar cuál de sus clientes es el que está llevando a cabo este tipo de acciones. Su Consejero Director General, Sr. D. Antonio Hernández, se ha puesto en contacto con nosotros para esclarecer el hecho, afirmando que “World Premium Rates es un operador de telecomunicaciones que desde hace más de 11 años provee servicios de tarificación adicional a empresas (entre ellos números cortos SMS), de acuerdo con la legalidad vigente y con una reputación intachable” .

¿Es tu caso? ¿Has detectado algo raro? Si lo has detectado, empieza a olvidarte de reclamar: a todos los efectos, tu teléfono móvil ha enviado esos mensajes SMS Premium, así que, por lo que hemos visto en foros de Internet, es prácticamente imposible que la empresa telefónica quiera devolverte nada… Y si no has detectado nada, te damos dos pistas para que evites caer en este tipo de trampas que utilizan la inteligencia social para engañarte.

La primera: te recomendamos que pierdas un rato leyendo los contratos de licencia o los permisos que una aplicación está solicitando para instalarse. Ya, ya sé, a veces es farragoso y aburrido, pero si lo leemos, probablemente seremos capaces de frenar aplicaciones con condiciones sospechosas.

La segunda, y para que te quedes más tranquilo, analiza tu teléfono móvil Android en busca de amenazas. Y si puedes instalar una buena solución de seguridad que te prevenga de estos problemas en el futuro, mejor que mejor: así podrás descargar lo que quieras desde donde quieras y, en el caso de que sea malware, el antivirus actuará por ti. Nosotros ponemos a tu disposición ESET Mobile Security, que puedes probar gratuitamente al menos para quedarte más tranquilo.

Y para los que tenéis curiosidad por ampliar más información, os dejo el análisis técnico de nuestros chicos de laboratorio:

Aumenta el gasto en compras online en España, pero se mantiene la desconfianza

El Observatorio Nacional de las Telecomunicaciones y de la Seguridad de Información, ONTSI, de Red.es, acaba de publicar su estudio “Comercio Electrónico B2C 2011”. Este estudio, que tiene carácter anual, analiza mediante encuestas los hábitos y comportamientos que tienen los internautas españoles frente a las marcas que operamos y vendemos online (B2C son las siglas de Business to Consumers, es decir, venta a usuario final). La verdad es que todos los que nos dedicamos a este mundo esperamos siempre ansiosos la publicación de esta información, por lo que nos aporta no solo como indicador de nuestra economía digital, sino porque incluye otros parámetros como son el índice de confianza que muestran los usuarios a la hora de comprar online, así como cuáles son las principales barreras o frenos de entrada al comercio electrónico.

Las buenas noticias económicas (que se agradecen en el contexto en el que nos movemos) es que el comercio electrónico en España ha crecido dos puntos porcentuales, ya que generó un volumen de negocio en 2011 de 10.917 millones de euros, registrando una tasa interanual de crecimiento del 19,8%.

 

Pero si hay un dato que realmente nos ha llamado la atención, y que lógicamente va unido al volumen de facturación, es la cantidad de usuarios de Internet que compran: en 2010 era del 50,7%, es decir, 13,2 millones de personas, cifra que ha aumentado hasta 25,9 millones de personas, representando un 66,3% de los navegantes. Eso sí, su gasto medio ha bajado un poquito, de 831 € a 828 €, pero con la que está cayendo, es normal que todos tengamos tendencia a ahorrar, aunque sea un poquito.

Si nos fijamos en los métodos de acceso a las webs de compra, vemos que aunque son varios los puntos de entrada, lo más común es acceder a través de un buscador:

 

Por otro lado, el 66,2% ha utilizado la tarjeta de crédito como medio de pago, ya sea de débito o de crédito, bajando el porcentaje a otros métodos quizá más seguros, como la tarjeta prepago.

Porcentaje que aumenta si tenemos en consideración todo el volumen de comercio electrónico.

 

Ahora, vamos a pararnos un momento en lo que ONTSI detecta como frenos al comercio electrónico. Es decir, por qué la gente que todavía no lo hace no compra online…

A poco que eches un vistazo verás que hay dos motivos que se repiten en cada una de las casuísticas: desconfianza hacia la formas de pago e incertidumbre a la hora de facilitar datos personales y su tratamiento posterior.

Al igual que nosotros, los cibercriminales conocen perfectamente los perfiles de los internautas, y por eso todas y cada una de sus acciones van encaminadas a cazar a sus víctimas allí donde saben que están. Lamentablemente hemos visto muchísimos casos de robos de información, de contraseñas, de información personal y financiera, y también conocemos muchos casos de sustracción de dinero o de suplantación de identidad a la hora de realizar compras cuyo producto nunca recibes. Y también hemos visto, y hemos hablado, acerca de cómo muchísimas plataformas se quedan con nuestros datos y los utilizan posteriormente con fines comerciales o de marketing, o…

Pero esto es como la vida misma: la vida tiene sus luces y sus sombras. Si lo piensas bien, salir a la calle también es peligroso, porque te puedes encontrar con locos que te pueden robar, hacer daño…, o te puede atropellar un coche. Pero no por eso dejamos de salir a la calle. Eso sí, salimos sabiendo las consecuencias y tomando nuestras precauciones.

Lo mismo sucede con la Red. Existen muchos peligros, sí, es verdad, y muchos desalmados cibercriminales que andan a la caza y captura de una víctima a la que robarle hasta la ropa interior si se deja. Y también muchos sitios fraudulentos de comercio electrónico, y muchos links que parecen lo que no son, y un larguísimo etcétera. Pero todo ello junto no debe ser óbice para no disfrutar de las grandes ventajas que nos ofrece Internet. Simplemente, nos indica que tenemos que recorrer un camino de aprendizaje que nos haga estar cada día más seguros, a evitar los sitios más peligrosos y a saber que si un desconocido viene hacia nosotros con gabardina, sombrero de detective y gafas de sol, igual no es lo que parece.

Nos encanta ver datos positivos, y os animamos a todos aquellos que tenéis problemas de confianza a atreveros a la aventura online. Pero eso sí, hacedlo con precaución, con una formación, educación y concienciación previa en seguridad y con una buena protección de seguridad instalada en el equipo. Y poco a poco, según nuestros conocimientos crezcan, según veamos que no pasa nada si realizamos compras en sitios de confianza y según nos convirtamos en un internauta que sigue buenas prácticas en seguridad, te irás dando cuenta de que Internet es genial, y que hay muchísimas cosas de las que podemos disfrutar en  total libertad y confianza.

Por una Internet más sana y por nuevas noticias como esta.

Yolanda Ruiz

El troyano diseñado para Mac, OSX/Flashback, se convierte en el más distribuido hasta la fecha

Desde que hace unos meses comenzamos a informar sobre Flashback, el troyano específicamente diseñado para Mac, nuestros técnicos de laboratorio han seguido investigándolo dadas sus características. De hecho, sigue estando en nuestro radar porque hemos visto cientos de miles de sistemas infectados que forman ya parte de una gran red de bots, y eso teniendo en consideración que lleva solo un año distribuyéndose.

Tuvimos un pico de infecciones que comenzó a hacerse notar en marzo de 2012, cuando esta amenaza se empezó a propagar gracias a una vulnerabilidad del intérprete de Java que incluye el sistema operativo de Apple. Durante los primeros días de abril, desplegamos un sistema de monitorización para que nos ayudara a entender el tamaño de la red de botnets que estaba formando. Justo un par de semanas después, a principios de mayo de 2012, el último servidor de centro de mando y control  (C&C) desde el que se gestionaba la red de ordenadores infectados desapareció. Desde entonces, podemos decir que esta red de botnets está efectivamente muerta.

La verdad es que decidimos investigar el troyano OSX/Flashback por varios motivos. Primero, porque utiliza técnicas novedosas para espiar a los usuarios cuando están navegando. Además, este ejemplar de malware también hace uso de múltiples métodos para conectar con sus centros de control (C&C) de manera redundante, generando nombres de dominio de forma dinámica y buscando hashtags en Twitter. Finalmente, la escalada de infecciones hizo este ejemplar bastante interesante, porque no había precedente de una red de botnets con tal cantidad de equipos Mac infectados.

En la investigación han participado varios equipos de ESET. En nuestra central en Bratislava un equipo creó el algoritmo de detección genérico para el bot, mientras que otros equipos localizados en Praga y en Montreal hicieron ingeniería inversa con el código de OSX.

Nuestro primer objetivo ha sido siempre la mitigación de la amenaza, y dada la magnitud de OSX/Flashback, necesitamos llevar a cabo dos tipos de actividades. Primero, informar a los usuarios para que pudiesen analizar sus sistemas y, en caso de encontrar infecciones, proceder a su limpieza. Segundo, necesitamos colaborar con otros investigadores de la industria de seguridad para registrar el mayor número posible de nombres de dominios aleatorios generados por el bot, impidiendo de esta manera que el dueño de la botnet enviase comandos a sistemas ya infectados.

Os dejamos el análisis técnico que nuestros compañeros de laboratorio han llevado a cabo.

Como vemos, las amenazas para Mac han dejado de ser algo anecdótico para pasar a ser un riesgo real. Con más de 600.000 sistemas infectados, Flashback ha demostrado que es perfectamente posible portar el malware que estamos acostumbrados a ver en Windows a Mac con buenos resultados. Por eso es necesario que tanto los usuarios como la propia Apple tomen medidas ahora que aún están a tiempo para protegerse proactivamente y evitar más infecciones de este tipo.

Yolanda Ruiz Hervás
@yolandaruiz

Artículos Anteriores »