• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Google Search Plus your World: nuevas oportunidades para los cibercriminales

Ha llegado Google Search Plus your World. ¿Qué es? Pues no es otra cosa que la integración en los elementos de búsqueda de Google de toda la información que está recopilando a través de su red social. Y es que, pensándolo fríamente, cualquier red social -incluyendo Google+- tiene más información de nosotros que quizá nuestros amigos más cercanos. ¿Por ejemplo? Toda la información de nuestra biografía, lo que nos gusta o no, qué cosas seguimos, qué nos interesa, dónde hacemos clic, qué leemos, etc…

Pues bien, ahora, además de tener toda esta información en Google+ y a disposición de los componentes de nuestros círculos, ahora Google ha decidido indexar esta información y ponerla a disposición de los internautas (siempre y cuando los contenidos que hemos compartido sean públicos y hayamos hecho login en la red social antes de las búsquedas).

Este nuevo cambio de Google, dejando aparte temas relacionados con competencia desleal frente a otras grandes redes como Facebook y Twitter, nos plantea dos potenciales problemas:

• Hemos hablado repetidas veces sobre el Black Hat SEO o el posicionamiento e indexación de sitios web falsos que descargan malware o están preparados para cometer cualquier otra fechoría aprovechándose de la inocencia de usuarios que simplemente buscan información en la Red. Y también hemos hablado muchas veces de timos, fraudes o intentos de conseguir víctimas a través de las redes sociales distribuyendo contenidos que viralizan por sí mismos. Pues bien, con este cambio, y para usuarios que hayan hecho login en la red social previamente, lo que se va a potenciar es dar más visibilidad a las fechorías que los cibercriminales intenten cometer a través de Google+, dado que los resultados indexados de contenidos compartidos a través de la red social aparecerán en primer lugar y por encima de otros links posicionados naturalmente en el buscador. Todavía no ha sucedido, pero es solo cuestión de tiempo.

• Y una segunda cuestión… Si no somos cuidadosos en cómo configuramos nuestro perfil de Google+ en cuanto a privacidad (y la red no ofrece muchas opciones de configuración), todo el material que tengamos publicado, incluyendo fotos, vídeos, etc., se indexará en Google y estará a disposición de todo el mundo que haga búsquedas estando previamente validado en la red social. En otras palabras: podemos compartir contenidos con nuestros círculos en la certeza de que solo lo ven ellos, pero en realidad podemos estar apareciendo en un montón de búsquedas.

De esta manera, tenemos nuevas opciones en el buscador, de momento solo disponibles para la versión en inglés. Si quieres probarlas, solo tienes que ir al enlace “Google.com in English” que encuentras en la parte inferior derecha de tu sesión de Google. Algunas de estas nuevas opciones son:

1. Búsqueda de perfiles. Ahora, cuando buscas información de una persona, lo primero que aparece es su perfil en Google+. Para evitar aparecer en estas búsquedas, y que tu perfil de la red sea público, puedes cambiar las opciones desde el menú de configuración de la red social.

2. Búsquedas personalizadas. En el nuevo modo de búsqueda puedes elegir entre buscar añadiendo resultados personales o no. ¿Cuál es la diferencia? Fácil: si tienes perfil en Google+ (y tienes abierta la sesión), incluyendo la opción de obtener resultados personales, el buscador te ofrece en las primeras posiciones la información que tú has compartido o que han compartido otros a través de la red social. ¿Y el resto de resultados? Relegados a las páginas de búsqueda posteriores. Este tipo de búsqueda se aplica a cualquier cosa: la web, imágenes, vídeos, etc. Al igual que en el caso anterior, si no queremos ver nuestras fotos de Google + o de Picassa indexadas y a la vista de todo el mundo te recomendamos que te asegures de que el material que has publicado está reservado solo para un tipo de público específico

3. Recomendaciones personalizadas. Si hacemos búsquedas por determinada palabra clave, además de los resultados Google nos hará recomendaciones de perfiles y personas o páginas que hablan de lo que estoy intentando localizar con el fin de que puedas seguirlas. De nuevo, si tu perfil es privado, no aparecerás en estas recomendaciones, pero si esta es tu elección, recuerda que debes configurarlo.

4. Contenidos exclusivos para usuarios de Google+. Junto a los resultados de búsqueda podría aparecer una figura similar a un “hombrecillo”. Esto quiere decir que son contenidos exclusivos para usuarios registrados y operativos en Google+, y necesitas hacer login en la red social para poder acceder a dicho contenido.

De momento no ha llegado a España, pero Google ha confirmado que en las próximas semanas irá implementando las nuevas funcionalidades a nivel internacional. Como siempre, recomendamos extremar las precauciones en cuanto a qué tipo de información compartimos a través de las redes sociales, y en este caso en concreto a través de Google+, y cómo configuramos dicho contenido para que este sea privado o público, según nuestro criterio.

Y también insistimos en la necesidad de tener mucha precaución con los enlaces que se comparten a través de las redes, sobre todo teniendo en consideración que estos últimos cambios pueden potenciar la distribución de engaños basados en ingeniería social.

Yolanda Ruiz

@yolandaruiz

Nos colamos en la beta privada de So.cl, la nueva red social de Microsoft, y suspende en seguridad y privacidad

Después de la resaca de las Navidades y de las emociones de los Reyes Magos (esperamos que os hayan traído muchos caprichos), volvemos a nuestro quehacer diario. Ya sabéis que siempre andamos trasteando con nuevos sistemas y herramientas, y en estas estábamos cuando nos llegó una invitación para probar de forma privada la beta de la nueva red social de Microsoft, So.cl (pronunciado como “Social”). Si hace poco hablábamos del nuevo TimeLine de Facebook y de cómo las condiciones de seguridad y privacidad se podrían ver resentidas por los cambios que se están implementando, en esta ocasión evaluamos la nueva red desde la misma perspectiva.

So.cl no aporta realmente nada nuevo al mundo de las redes sociales, con la salvedad de que ha unificado su buscador Bing con la aplicación, por un lado, y que ha incluido un nuevo desarrollo que llaman “Video Parties”, que permite compartir vídeos con los seguidores y comentarlos en directo.

Lo primero que nos llama la atención es el login con el ID de Facebook. Este sistema es ampliamente utilizado por muchos sitios, hasta aquí nada nuevo, pero considerando que Google ha lanzado su propia red social, Google+, y ya ha anunciado una unificación de sus servicios, donde el buscador sigue siendo el rey, el que Microsoft facilite su login con Facebook e incluya Bing como parte del servicio nos hace sospechar un movimiento de acercamiento al gigante de las redes sociales.

Pero hay más… utilizar el ID de Facebook para hacer login implica, según confirman en su Política de Privacidad, que a partir de ese momento el sistema recoge todas y cada una de las actividades que llevas a cabo en la red social cuyos datos van a parar no sólo a Microsoft, sino también a Facebook, que almacena dicha información recolectando cada vez más información asociada a tu perfil.

¿Y qué información recogen? Según declaran en su web, cualquier búsqueda que hagas a través de Bing, cualquier comentario que hagas, cualquier link que sigas, cualquier tipo de interés que etiquetes (una forma que la red social brinda a sus usuarios para marcar favoritos), las páginas que visitas mientras mantienes la sesión abierta, los complementos de tu navegador, la información que tu navegador puede enviar a través de la Red tipo a tu dirección IP, la versión de tu sistema operativo, la versión de tu navegador, el idioma y el origen, el tiempo de acceso, algunos ID de tu hardware…

¿Para qué utilizan dicha información? Según apuntan los responsables, la información se utiliza para poder ofrecer una experiencia de usuario más personalizada y adecuada a tus necesidades, además de compartir dichos datos con terceras partes.

Revisamos las configuraciones de privacidad del sitio, para averiguar si hay alguna forma de poder regular qué tipo de información guarda el sistema o cuál es el mecanismo que nos ofrece para elegir qué información compartimos y cuál no. Ciertamente, hay que tener en cuenta que la versión es beta, y suponemos que la mejorarán a la hora de lanzarla abiertamente. Porque hoy por hoy, en cuestiones de privacidad, la red social de Microsoft suspende: sólo podemos borrar el historial guardado de nuestra actividad o borrar la cuenta.

Entendemos que al integrar el motor de búsqueda Bing en su totalidad, también aparecerán a los usuarios los links de Black Hat SEO que hayan posicionado de forma maliciosa los ciberdelincuentes para conseguir víctimas, y que estos links viralizarán más dado que compartimos nuestra actividad a través de la red social de forma pública con otros usuarios. Además, cuando vas a compartir una actualización de estado, el sistema te permite elegir entre “Público” o “Privado”, pero no queda muy clara la diferencia entre ambas, dado que los seguidores no pueden ser clasificados de ninguna manera de momento.

Así como los desarrolladores intentan llegar a la carrera de lanzar redes sociales incluyendo cada vez más innovaciones que su competencia, siguen olvidándose de una asignatura tan importante como delicada: la seguridad y la privacidad de los usuarios. Seguiremos de cerca la evolución de estas nuevas aplicaciones y os mantendremos informados de todas las novedades.

Yolanda Ruiz

@yolandaruiz

 

Disfruta de los videojuegos, pero no bajes la guardia.

Durante estos días, algunos afortunados disfrutan de unas merecidas vacaciones navideñas, vacaciones que se suelen usar para viajar, estar con la familia y los amigos o realizar tareas pendientes que no hemos podido hacer durante el resto del año. Los jugones, por ejemplo, dedicamos estos días a disfrutar de aquellos grandes juegos que han ido saliendo durante el año (especialmente en los meses previos a la Navidad) y que, por un motivo u otro, no hemos podido disfrutar como se merecían.

Pero esta actividad lúdica no debe hacernos bajar la guardia, puesto que los cibercriminales siempre están al acecho preparando nuevos engaños con los que propagar sus amenazas. Nuestros compañeros del laboratorio de ESET Latinoamérica han analizado estos días dos amenazas orientadas claramente a los jugones, y que nosotros pasamos a comentar a continuación.

La primera de ellas es un clásico entre los engaños orientados a jugadores de juegos online, y no es otro que una versión actualizada del típico phishing de World of Warcraft. Este popular juego tiene más de 10 millones de jugadores suscritos, por lo que suele ser uno de los más usados en este tipo de engaños.

En este correo se nos indica que estamos intentando vender nuestra cuenta asociada al juego. Estas cuentas son personales e intransferibles, por lo que Blizzard, la desarrolladora detrás de dicho juego, persigue estas actividades. Este correo amenaza al jugador con cancelar su cuenta si no se revisa esta y se proporciona un enlace que simula ser auténtico y al que el usuario debe acceder si no quiere que su cuenta se cierre permanentemente.

No obstante, el análisis realizado por nuestros compañeros de ESET Latinoamérica muestra que ni el correo se enviaba desde una dirección de Blizzard (usando técnicas de spoofing para camuflar la auténtica dirección de Hotmail que enviaba el correo) ni la página a la que accedíamos tras pulsar el enlace era oficial, además de contener algunos fallos de diseño.

Este caso de phishing es uno más entre otros tantos a los que los usuarios veteranos de World of Warcraft se han ido acostumbrando. No obstante, los ciberdelincuentes cuentan con la continua entrada de nuevos jugadores inexpertos para propagar sus engaños y amenazas.

Otra de las amenazas detectada y analizada por nuestros compañeros al otro lado del charco son archivos que simulan ser cracks de juegos recientes y populares. Estos archivos suelen sustituir el ejecutable original, que tiene un icono característico, y suelen tener un tamaño superior al que corresponde.

Obviando la polémica que supone usar este tipo de cracks para utilizar software comercial sin pagar, nos vemos en la obligación de decir que, en la actualidad, muchos de estos archivos contienen malware, y este caso no es una excepción. La mayoría de cracks son fácilmente detectables por usuarios experimentados, puesto que suelen tener un tamaño de unos pocos Kilobytes. No obstante, el que hemos analizado tiene un tamaño superior al del fichero original (de varios Megabytes), por lo que se consigue pasar por alto ese filtro inicial.

Si caemos en la trampa y ejecutamos uno de estos archivos infectados, veremos cómo el proceso empieza a ejecutar varios subprocesos, lo que ocasiona un incremento en el consumo de memoria en nuestro sistema que puede llegar a colapsarlo.

Se han detectado varios archivos de este tipo que simulan ser cracks de algunos de los juegos más populares del momento, por lo que su tasa de propagación puede ser relativamente elevada. Con respecto a las amenazas que contienen estos archivos, estas varían desde los molestos adware a todo tipo de troyanos, tal y como vemos en el análisis de estos ficheros realizado con las soluciones de seguridad de ESET.

Hace tiempo que los jugadores de videojuegos empezaron a ser uno de los objetivos de los ciberdelincuentes, y no esperamos que esto cambie a corto y medio plazo. En el laboratorio de ESET en Ontinet.com somos varios los que disfrutamos jugando a videojuegos, y con artículos como este queremos ayudar a todos nuestros usuarios, algunos de ellos compañeros de partidas, como nuestros amigos del club de videojugadores profesionales X6tence.ESET, a disfrutar de sus juegos favoritos sin poner en riesgo su seguridad.

Josep Albors

¿Sales en un vídeo? No, es otro engaño en Facebook

Ya no cabe duda de que Facebook se está convirtiendo en uno de los campos favoritos de actuación de los cibercriminales. Cada semana vemos varios casos de enlaces maliciosos y todo tipo de estafas que se intentan propagar por los muros de los usuarios.

En esta ocasión vamos a comentar un caso que está afectando a usuarios de habla hispana desde el pasado fin de semana. Se trata de un enlace en el que supuestamente se muestra un vídeo en el que aparece el usuario y que es enviado por uno de los contactos de ese usuario.

Como vemos en la imagen, la frase usada para captar la atención es bastante genérica, aunque ha habido muchos casos en los que se ha personalizado añadiendo el nombre del usuario. Por desgracia, la curiosidad del ser humano y el hecho de que este supuesto vídeo provenga de un contacto hace que muchos bajen la guardia y pulsen sobre el enlace.

Al hacer clic se nos redirigirá a una web que simula el diseño de Facebook, pero que en realidad se encuentra alojada en un dominio de Blogspot, que pertenecen a Blogger de Google. Esta popular plataforma de blogs está siendo usada para almacenar diversas páginas donde se almacenan los enlaces maliciosos.

Como vemos en la imagen, lo primero que se nos pide es instalar un complemento para nuestro navegador, pero esto solo sucede en los navegadores que permitan la instalación de estas extensiones. Este complemento es una supuesta extensión para visualizar vídeos de Youtube pero en realidad es un código malicioso que se usa para propagar esta amenaza a otros usuarios. Además proviene de un sitio no verificado, sitio que luego revisaremos.

El paso final es mostrarnos una web donde se nos invita a introducir nuestro número de móvil para recibir un supuesto código. Este tipo de webs se lucran a base de suscribir al usuario a un servicio de tarificación especial de recibo de mensajes sms, lo que supone una importante molestia económica para los afectados.

Con respecto al sitio desde el que se descarga el complemento para nuestro navegador, si accedemos a su web lo primero que vemos es una ventana en la que se nos solicita nuestro usuario y contraseña de Messenger con la finalidad de almacenar estos datos y usarlos para enviar spam desde estas cuentas robadas.

Esta amenaza ha tenido bastante repercusión durante el fin de semana y no son pocos los usuarios que han sido afectados. Como hemos visto en anteriores ocasiones, la propagación de enlaces maliciosos a través de Facebook no solo utiliza mensajes en inglés; cada vez más se ven engaños preparados específicamente para usuarios de habla hispana, sea en España o en Latinoamérica.

Desde el laboratorio de ESET en Ontinet.com recomendamos evitar pulsar sobre este tipo de enlaces y restringir la publicación de contenido en nuestro muro a nuestros contactos de mayor confianza. De esta forma, minimizaremos las posibilidades de caer afectados por engaños de este tipo.

Josep Albors

Nuevo ataque a Facebook publica imágenes pornográficas y violentas en miles de perfiles

Hoy nos hemos despertado con las noticias de un ataque a Facebook que está inundando miles de perfiles de imágenes pornográficas y violentas. Varios medios, tanto especializados nacionales e internacionales como generalistas, se han hecho eco de este nuevo ataque a la red social más famosa.

Todavía no se sabe exactamente cómo se ha producido este ataque aunque ya han surgido diversas teorías: desde la que sugiere que se trata de un nuevo gusano generado por miembros de Anonymous hasta la que apunta a una intrusión en los servidores de Facebook.

Lo que está claro es que los usuarios afectados se cuentan por millares, si hacemos caso a la gran cantidad de comentarios en Twitter que se han generado tras este ataque. Lo que no cabe duda es que la seguridad del sistema está en entredicho. Pero… ¿de qué sistema? Cuando nos conectamos a Facebook, el sistema está formado por tres elementos: el servidor de Facebook, el ordenador del usuario y el usuario en sí.

Por la parte que le toca a Facebook, la seguridad es la que es, y no podemos hacer nada por mejorarla aparte de quejarnos si no nos gusta. Son sobradamente conocidas las carencias presentes por defecto con respecto a la privacidad de la información compartida por los usuarios y la posibilidad de una intrusión en los servidores de Facebook no resulta descabellada si nos atenemos a incidentes recientes.

El segundo elemento es el ordenador del usuario. Nunca nos cansaremos de repetir que los sistemas deben estar protegidos y configurados correctamente. Una adecuada protección y un conocimiento de las medidas de seguridad que el propio sistema incorpora, unido a una pizca de sentido común, pueden evitar que el malware haga de las suyas en nuestro ordenador.

Y por último, el elemento más débil y peligroso: nosotros, los usuarios. Cualquier red social incluye una serie de puntos para proteger nuestros perfiles, para respetar nuestra intimidad en la red… que no siempre conocemos o no aplicamos porque, reconozcámoslo, muchas veces limitan las posibilidades de “cotilleo”.

Aunque la cantidad de perfiles afectados es elevada no se han observado patrones claros que nos indiquen cuáles son más propensos de verse afectados. Lo que sí está claro es que aquellos usuarios con una configuración de su cuenta más estricta, que impidan publicar comentarios en su muro a desconocidos o ser etiquetados de forma automática en una foto, tienen menos posibilidades de verse afectados por lo que, desde el laboratorio de ESET en Ontinet.com recomendamos modificar (al menos temporalmente) la configuración de nuestro perfil para evitar publicaciones no deseadas.

Fernando de la Cuadra y Josep Albors

Detenido el ladrón de las fotos de Scarlett Johansson y desvelada la técnica usada

Últimamente se está hablando bastante de los ataques sufridos por famosos que ven cómo información privada, sus agendas de teléfono o incluso imágenes comprometidas salen a la luz. El último caso con gran repercusión mediática fue el del robo de fotos posando desnuda de la actriz Scarlett Johansson. Afortunadamente, el ladrón de estas y otras fotografías de famosos ya ha sido detenido.

A pesar de que este tipo de robo de información pueda parecer ser obra de expertos hackers que usan complicadas técnicas de intrusión, la realidad es bien diferente. La técnica usada por el atacante consistía en analizar la información que la actriz tenía publicada en redes sociales y realizar un seguimiento de los hábitos de navegación y preferencias para intentar averiguar sus contraseñas a partir de ellos.

Esta minería de datos no se ha usado solamente con Scarlett Johansson, ya que otros personajes famosos habrían sido víctimas de la información que ellos mismos proporcionan. Pero no hace falta ser famoso para ver nuestra información privada comprometida. Cualquiera puede ser víctima de este tipo de ataques si no se anda con cuidado y genera contraseñas débiles a partir de información fácil de averiguar.

Pongamos, por ejemplo, que nuestras contraseñas de acceso al correo electrónico se basan en algo tan “complejo” como el nombre de nuestra mascota o de algún familiar. Si, como muchos de nosotros, publicamos información de ese tipo en redes sociales, le estamos proporcionando valiosa información a cualquiera que decida lanzar un ataque dirigido contra nuestros datos confidenciales, ya estén almacenados en un dispositivo móvil o en una cuenta de correo en la nube.

Como vemos, la protección de los datos depende, en gran parte, de las medidas que apliquemos para protegerlos. Una parte importante de esa protección consiste en evitar accesos no autorizados, y las contraseñas fuertes y difíciles de averiguar juegan un papel vital en ese aspecto. También es posible que el proveedor de servicios que almacena nuestros datos privados sufra un ataque, pero, estadística en mano, es mucho más probable que el robo se produzca por un descuido nuestro.

Desde el laboratorio de ESET en Ontinet.com no nos cansaremos de recordar la importancia de contar con unas buenas contraseñas para la protección de datos sensibles. Asimismo, también hemos de tener especial precaución con los dispositivos móviles. Al fin y al cabo, los llevamos encima todo el tiempo y son mucho más fáciles de robar que nuestro ordenador personal.

Josep Albors

Códigos QR como vector de ataque

Venimos hablando desde hace algunos meses del creciente número de amenazas para dispositivos móviles, como los smartphones, que tan comunes se han vuelto en nuestra vida diaria. Hemos comprobado cómo los creadores de malware utilizaban diversas estrategias para conseguir infectar nuestros teléfonos, pero, recientemente, hemos visto que han empezado a usar un vector de ataque bastante peculiar.

Según informa el investigador Denis Maslennikov, se han empezado a usar códigos QR para propagar enlaces maliciosos entre los usuarios que descargan troyanos. Este tipo de códigos están usándose cada vez más con fines publicitarios, debido sobre todo a que los terminales móviles hace tiempo que tienen la capacidad de leerlos e interpretarlos.

Aprovechándose de esta circunstancia, los ciberdelincuentes están usando estos códigos QR para publicar enlaces en los que se aloja malware. Realmente solo se está reutilizando una vieja técnica como la de introducir un enlace en un contenedor como puede ser un correo electrónico, una publicación en Facebook, una imagen o incluso un archivo multimedia.

Además de para propagar malware, un uso malintencionado de este tipo de códigos puede emplearse para preparar ataques de phishing, como nos demuestran desde el blog de spamloco.net. También puede usarse la ingeniería social para obtener datos de los usuarios que capturen un código especialmente preparado con su móvil, muy útil para conseguir números de teléfono de chicas guapas, como apuntan en el blog de Flu Project.

Como vemos, cualquier vector de ataque puede ser aprovechado por los ciberdelincuentes para propagar malware. Desde el laboratorio de ESET en Ontinet.com recomendamos evitar acceder a enlaces proporcionados por códigos QR de origen desconocido (enviados por SMS, email o impresos en papel y colocados en lugares con gran afluencia de gente). Asimismo, instalar una solución antivirus en nuestro dispositivo móvil puede ayudarnos a evitar problemas si nos puede la curiosidad.

Josep Albors

Ransomware policial: Historia de una molesta amenaza

A pesar de que la gran mayoría de malware actual intenta pasar desapercibido el mayor tiempo posible, para poder robar así más datos confidenciales del usuario infectado, aun vemos ejemplos de códigos maliciosos que intentan obtener beneficios por la vía rápida.

Uno de estos ejemplos es el de un ransomware (o código malicioso que “secuestra” nuestro sistema operativo hasta que paguemos un rescate) que intenta suplantar a la Policía Nacional. Durante los últimos meses hemos visto varios casos de usuarios infectados por este malware e incluso algunos han cedido al chantaje y han abonado la cantidad solicitada por los ciberdelincuentes.

Una vez nuestro sistema ha sido infectado, cada vez que intentemos iniciar sesión en el mismo se nos mostrará un mensaje de aviso, como el que puede verse en el video preparado por Hispasec hablando de esta amenaza o en la siguiente captura de pantalla:

En la pantalla de alerta se nos comunica que hemos realizado múltiples infracciones como la posesión de pornografía infantil o el envío masivo de spam. Para dar más credibilidad al mensaje se proporcionan datos reales de nuestra conexión a Internet como la IP, el sistema operativo usado o el navegador. Este tipo de datos no son difíciles de obtener y crean en el usuario la sensación de estar siendo vigilado.

Seguidamente se nos insta a abonar una cantidad de dinero para poder acceder a nuestro sistema. En caso contrario se nos amenaza con eliminar todos los datos que almacenemos. Como método de pago, los delincuentes nos invitan a usar Ukash, que es una de tantas plataformas de pago online.

Este tipo de amenaza es algo que lleva tiempo propagándose y, en este caso en concreto, podemos observar como se hace referencia a la legislación alemana pese a suplantar a la policía española. Esto es debido a que los creadores detrás de este ransomware han usado como base otro muy similar que apareció tiempo atrás y lo han modificado ligeramente. Sin ir más lejos, en este mismo blog ya comentamos un caso similar que extorsionaba a los usuarios haciéndose pasar por asociaciones de derechos de autor.

De hecho, el ransomware está muy presente en determinados países. Investigadores de ESET descubrieron que existen multitud de variantes de este tipo de amenazas en Rusia y países limítrofes, siendo una de las amenazas más detectadas por el sistema de alerta temprana ThreatSense.Net en esos paises.

A pesar de ser una amenaza muy vistosa y que no pocos usuarios cederán al chantaje, la manera de eliminarla es relativamente sencilla. Si bien, la mayoría de soluciones de seguridad son capaces de detectar y eliminar este ransomware, aquellos usuarios que han sido infectados y quieran desbloquear su sistema tan solo deben seguir los siguientes pasos:

1.Reiniciar el sistema.
2.Iniciar Windows en modo seguro
3.Una vez iniciado el sistema, se debe acceder al registro del sistema escribiendo “regedit” en la línea de comandos y localizaremos la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

4.Buscar la clave “Shell” y reemplazar el valor que haya por Explorer.exe
5.Reiniciar el sistema

Como vemos, a veces las amenazas más simples y poco elaboradas son igualmente efectivas si se consigue llamar la atención de un usuario poco precavido. Desde el laboratorio de ESET en Ontinet.com recomendamos contar siempre con un sistema antivirus actualizado para evitar infecciones molestas como esta.

Josep Albors

Malware se propaga usando, de nuevo, el nombre de Correos

No es la primera vez que tratamos un tema de suplantación de una entidad española que se usa para propagar malware. En esta ocasión, nos gustaría analizar la última variación que hemos recibido en nuestro laboratorio, la cual intenta infectar al usuario haciéndose pasar por la empresa Correos.

Todo empieza cuando recibimos en nuestra bandeja de entrada mensajes que parecen provenir de Correos. A primera vista puede parecer que el mensaje es verídico, puesto que usa el logotipo de la empresa, se usa una dirección (info@correos.es o similar) que no levanta sospechas e incluso se añade el sello de una conocida empresa Antivirus para conseguir que el usuario se sienta más seguro a la hora de abrir el mensaje.

No obstante, si nos paramos a pensar, veremos que hay cosas que no encajan. Lo primero que debemos preguntarnos es: si realmente Correos tiene un mensaje importante para entregarnos, ¿cómo ha conseguido nuestra dirección de email? Además, si nos paramos a revisar la cabecera del mensaje, veremos que la dirección original no tiene nada que ver con Correos.

Todo este montaje forma parte de un engaño para ganarse la confianza del usuario que recibe el mensaje y que este descargue y ejecute un archivo malicioso. Si prestamos atención a la pantalla de descarga veremos cómo el supuesto correo certificado extraviado tiene doble extensión y es, en realidad, un archivo ejecutable.

Como vemos, los ciberdelincuentes que han preparado esta amenaza han optado por el camino fácil, confiando en que muchos usuarios no prestarán atención a esta doble extensión del fichero y lo ejecutarán igualmente.

No obstante, si intentamos descargar este archivo infectado y contamos con nuestra solución de seguridad de ESET actualizada, se nos mostrará una ventana de alerta en la que se indica la detección del troyano Win32/VB.QAE.

Desde el laboratorio de ESET en Ontinet.com hemos observado que este tipo de campañas y similares (como las del envío de mensajes suplantando a la Policía Nacional o a la Guardia Civil) se repiten cada cierto tiempo, y que mejoran en cada nueva campaña para resultar más efectivas.

Es por eso que resulta vital contar con una buena solución antivirus actualizada que sea capaz de detectar estas amenazas, por si nuestro sentido común no está al tanto y pulsamos sobre el enlace malicioso que se envía en este tipo de mensajes.

Josep Albors

Atentados de Noruega y muerte de Amy Winehouse: nuevos timos en Facebook

Que los creadores de malware, spam y otros tipos de engaños online aprovechan cualquier noticia o suceso para llamar la atención no es novedad. En el pasado ya vimos cómo, tras el terremoto y tsunami de Japón o la boda real del príncipe Guillermo, surgieron multitud de enlaces falsos que nos prometían imágenes impactantes o nunca antes vistas.

Por desgracia, pocos son los sucesos, por muy trágicos que sean, que no son usados como cebo para atraer la curiosidad de los usuarios y hacer que pulsen donde no deben. Este fin de semana hemos visto dos ejemplos de engaños que se han propagado rápidamente por Facebook.

El primero de ellos se aprovecha del atentado cometido en Oslo el pasado viernes y promete mostrarnos una grabación de una cámara de seguridad que, supuestamente, registró el momento de la explosión. La magnitud de la tragedia ha hecho que no pocos usuarios hayan pulsado sobre el enlace y hayan contribuido a propagar este engaño.

No obstante, no ha sido el único caso de este fin de semana. La muerte de la cantante Amy Winehouse el sábado por la tarde también ha actuado como cebo para propagar enlaces maliciosos, de nuevo a través de Facebook.

Al pulsar sobre estos enlaces, se nos dirige a una dirección externa que, si bien mantiene la apariencia de una web de Facebook, no tiene relación alguna con esta red social. En ella se nos muestra un mensaje en el que se nos pide que confirmemos que tenemos más de 13 años. De nuevo vemos el botón “Jaa”, tan usado últimamente en este tipo de engaños, y que, al pulsarlo, hará que se publique este enlace en nuestro muro.

El usuario que siga los pasos no obtendrá el vídeo esperado y será redirigido a otro tipo de vídeos que nada tienen que ver con la noticia original o a tediosas encuestas online de las que los delincuentes obtienen beneficios.

Como vemos, los creadores de este tipo de engaños no tienen ningún respeto ante las desgracias ajenas. Cualquier noticia, por trágica que sea, será susceptible de ser usada como cebo para engañar a los usuarios desprevenidos.

Es por ello que, desde el laboratorio de ESET en Ontinet.com, recomendamos ignorar este tipo de enlaces y acudir siempre a periódicos y agencias de noticias online que tengan una probada reputación.

Josep Albors

Artículos Anteriores »