• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (100)
  • Facebook (54)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (18)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (70)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (122)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (54)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (13)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Vulnerabilidad en Instagram permite acceder a cualquier cuenta

Se ha descubierto una vulnerabilidad Oauth sobre Instagram que permitiría a un atacante acceder a cualquier cuenta sin permiso de su propietario. Esta vulnerabilidad fue reportada por Nir Goldshlager, quien ya ha descubierto e informado de otras vulnerabilidades en Facebook. Nuestros compañeros de ESET Latinoamérica han comentado esta noticia en un interesante artículo que nos gustaría compartir.

Instagram es una red social que permite a los usuarios compartir fotografías a través de diferentes plataformas, como por ejemplo, Facebook. Usando la vulnerabilidad descubierta recientemente, un atacante que logre explotarla tendría acceso a fotos privadas e incluso podría borrar dicha información. Además, el ciberdelincuente podría subir nuevas imágenes y también editar o borrar comentarios existentes.

La vulnerabilidad puede ser aprovechada de dos formas diferentes. La primera opción es el robo de la cuenta a través de la propia vulnerabilidad Oauth de Instagram, mientras que la segunda opción utiliza el robo de sesión a través de Facebook.

En el primer método, el atacante utiliza el parámetro redirection_uri que valida el sitio web indicado, donde, en primera instancia, parecía que no era vulnerable. Sin embargo, el investigador descubrió que este parámetro podía ser explotado si se modificaba el sufijo del sitio especificado. En otras palabras, si el sitio finalizaba en “.com” podía pasarse como parámetro “.com.es”. Si el ciberdelincuente deseaba llevar a cabo el ataque, debía comprar previamente el dominio con el sufijo modificado. De esta forma, podría robar el token de la propia cuenta.

Mediante el segundo método, el investigador demostró que es posible utilizar cualquier dominio en el parámetro redirection_uri. De esta manera, un atacante podría robar el token de sesión de cualquier usuario de Instagram. Esta vulnerabilidad ya ha sido solucionada por el equipo de seguridad de Facebook tras ser informados de ella.

No es la primera vez que informamos de vulnerabilidades relacionadas con Facebook. Es algo ya conocido la existencia de aplicaciones maliciosas en Facebook, siendo este caso en particular una vulnerabilidad que ya se encuentra solucionada. Sin embargo, más allá de las vulnerabilidades que afecten a las redes sociales, es importante que los usuarios consideren adoptar buenas prácticas de seguridad, prácticas que pueden ser complementadas con herramientas gratuitas como ESET Social Media Scanner para detectar enlaces potencialmente maliciosos en Facebook.

Josep Albors

Microsoft cierra hoy el conocido servicio de mensajería Messenger

No, no se trata de un bulo enviado a través de una nueva cadena de mensajes. Hoy es el día elegido por Microsoft para retirar uno de los servicios de mensajería instantánea más populares. Estamos hablando del conocido actualmente como Windows Live Messenger, un programa que vio la luz un 22 de julio de 1999.

Ha llovido mucho desde entonces y este programa ha pasado de ser algo indispensable para la mayoría  de usuarios a quedar prácticamente relegado al olvido, desplazado por otras soluciones como el chat incorporado por las redes sociales (Facebook o Tuenti, por ejemplo), sistemas de mensajería en dispositivos móviles (WhatsApp y Line) o sistemas de mensajería de la competencia, como Google Talk.

El caso es que las cosas no pintaban nada bien para Messenger desde que el 10 de mayo de 2011 Microsoft anunciara la compra de Skype. Mantener los dos sistemas de mensajería parecía inviable, aunque Microsoft esperó hasta el 7 de noviembre de 2012 para anunciar la retirada de Messenger del mercado. Originalmente, la fecha prevista para retirar el producto era el pasado 15 de marzo aunque esta se extendió hasta hoy, salvo en China, donde se seguirá pudiendo utilizar Messenger debido a que allí Skype es operado por otro proveedor de servicios.

Microsoft ha intentado que el proceso de transición sea lo menos traumático posible para los usuarios y para eso ha permitido que estos se pudieran registrar en Skype usando las credenciales de Messenger.

El problema de seguridad con el que nos podemos encontrar ahora es que muchos usuarios aún desconozcan el fin del ciclo de vida de Messenger, busquen desesperadamente una solución navegando en Internet y encuentren webs maliciosas preparadas para almacenar credenciales de los usuarios.

También es posible, tal y como avisa nuestro compañero Angelucho en su blog, que algunos cibercriminales quieran hacer su agosto ofreciendo descargar nuevas versiones falsas de Messenger y cobren por ello. En cualquiera de estos casos, es importante que avisemos a nuestros conocidos de que el fin del servicio es efectivo desde hoy y debemos ignorar cualquier comunicado que no provenga de una fuente oficial, teniendo especial cuidado con aquellos emails que intentan suplantar identidades de personas o empresas.

Desde el laboratorio de ESET en Ontinet.com nos gustaría rendir homenaje a uno de los servicios de mensajería que ha unido a millones de usuarios de todo el mundo. Con sus virtudes y defectos, ha formado parte de la historia de Internet dejando una huella importante, algo que de lo que no todas las aplicaciones pueden presumir.

Josep Albors

En Semana Santa cuidemos nuestra privacidad

Puede parecer un tópico que se repite cada vez que hay un periodo de vacaciones, como el que muchos estamos a punto de comenzar o algunos ya se encuentran disfrutando desde hace días. Desde los medios de comunicación, agentes de la Policía o de la Guardia Civil, no se cansan de recordarnos la importancia de no mencionar en las redes sociales que nos vamos de vacaciones y vamos a estar ausentes en nuestro domicilio para así evitar robos mientras nuestra vivienda se encuentre vacía.

El mensaje es claro y la idea es buena, pero, admitámoslo, a todos nos gusta publicar los sitios en los que vamos a pasar unos merecidos días de descanso. Es más, una de las principales finalidades por las cuales la gente se crea un perfil en una red social es compartir las experiencias vividas con sus amigos y la inmediatez con la que se comparten también influye. Sí, podemos esperar a volver de vacaciones para subir todas las fotos que hemos tomado, pero entonces perdería ese “encanto” de ir actualizando nuestro estado casi en tiempo real para mostrar a nuestras amistades lo bien que lo estamos pasando.

Entonces, si asumimos que estas recomendaciones típicas de no publicar a dónde y cuándo vamos a irnos de vacaciones van a caer en saco roto la mayoría de las veces, ¿qué otros consejos se pueden ofrecer para evitar que nuestro domicilio reciba la visita de los amantes de lo ajeno? La respuesta es más sencilla de lo que muchos creen y todo pasa por aplicar una política de privacidad efectiva en las redes sociales a las que estemos subscritos.

Para empezar, si solo agregamos a amigos que conocemos en persona, ¿por qué publicamos la dirección de nuestra vivienda o nuestro número de móvil? ¿No se supone que nuestras amistades ya deberían conocer esos datos? En el caso de que tengamos agregados a conocidos más que amigos, sigue siendo innecesario que añadamos esos datos. Si quieren averiguar esos datos, será mucho mejor que nos los pregunten por correo electrónico y nosotros decidamos si queremos proporcionárselos a alguien fuera de nuestro círculo de confianza en lugar de hacerlos públicos en una red social.

Este tema, el de los “conocidos más que amigos” en las redes sociales es algo muy frecuente, sobre todo cuando se crea un nuevo perfil. Queremos tener cuantos más contactos mejor y muchas veces agregamos a personas que apenas conocemos solo por ver incrementado el contador de amigos. Algunos usuarios recapacitan a posteriori y, pasada la euforia inicial, hacen limpieza y se quedan solamente con los contactos más allegados, pero hay otros que siguen manteniendo contactos prácticamente desconocidos, con los que, probablemente, no sea buena idea compartir según qué información.

Una manera de organizar con quién compartimos la información que publicamos en las redes sociales es mediante la creación de grupos o círculos de amistades, de forma que nosotros decidamos qué publicación va a ser vista por según qué grupo o si queremos hacerla pública. No obstante, debemos vigilar a qué contacto metemos en cada grupo, ya que de nada servirá tener muchos grupos si luego vamos añadiendo a todos los contactos en uno solo.

Todo esto tiene una finalidad, y es evitar que miradas indiscretas obtengan información privada que pueda ser utilizada en nuestra contra para, por ejemplo, y en el caso que nos ocupa, entrar a robar en una vivienda que se sabe a ciencia cierta que está vacia porque sus propietarios han indicado que se encuentran de vacaciones. Hace unos años no era raro encontrar webs que indicaban qué viviendas se encontraban vacías y durante cuánto tiempo, o que permitían averiguar el domicilio de una persona a partir de información obtenida  de los perfiles de sus usuarios en redes sociales o de fotos subidas a estos.

Estas webs pretendían llamar la atención para evitar que la gente publicase alegremente información privada en Internet, pero no hace falta que existan este tipo de webs, puesto que los ladrones ya se encargan de buscar posibles casas vacías eligiendo a sus víctimas en redes sociales.

Con la publicación de las fotografías también hemos de tener especial cuidado, sobre todo desde que la mayoría de las realizadas desde dispositivos que permiten la geolocalización (móviles, tablets y algunas cámaras, principalmente) pueden aportar información adicional que quizás no es adecuado compartir. Datos como la fecha y el lugar donde se tomó una fotografía pueden poner en riesgo nuestra privacidad si no andamos con cuidado.

El simple hecho de compartir una imagen en Twitter o Facebook de nuestra casa puede desvelar su ubicación y echar por tierra todos los esfuerzos que hayamos realizado para cuidar nuestra privacidad y evitar desvelar nuestro lugar de residencia. Es por ello que se recomienda encarecidamente desactivar la geolocalización a la hora de tomar fotografías y publicarlas en redes sociales.

Si resumimos todo lo que hemos comentado hasta ahora, podremos condensarlo todo en un sencillo consejo: no proporcionemos más información de la necesaria. Esto se aplica a la información que publicamos en Facebook, Twitter, Tuenti, Google Plus o cualquier otra red social y a las fotografías que subamos a Internet. Si seguimos este sencillo consejo podremos disfrutar de unas merecidas vacaciones y además compartir esta experiencia con nuestras amistades en redes sociales sin riesgo.

Josep Albors

Facebook soluciona una vulnerabilidad que permitía tomar el control de cualquier cuenta

De nuevo estamos ante un fallo de seguridad en Facebook que podría hacer que un atacante tomase el control de cualquier cuenta. Hace unos meses vimos cómo, aprovechándonos de un error en el procedimiento de restablecimiento de contraseñas, se podía cambiar la contraseña de cualquier usuario de Facebook sin conocer la anterior, lo que en la práctica llevaría  a acceder a cualquier cuenta.

En esta ocasión, el procedimiento para acceder a cualquier cuenta de esta red social era un poco más elaborado, pero igualmente exitoso. Antes que nada hay que resaltarque esta vulnerabilidad ya se encuentra solucionada gracias a que el investigador Nir Goldshlager, quien la descubrió, avisó a los desarrolladores de Facebook para que tomaran las medidas pertinentes, algo que le honra.

Con respecto al fallo en sí, este se resume en la obtención de los tokens de acceso de los usuarios cuando estos acceden a una web (usando cualquier navegador), sin necesidad de que las víctimas tengan instalada ninguna aplicación en concreto. Al conseguir estos tokens, el atacante podría acceder sin restricciones a las cuentas comprometidas hasta que la víctima cambie su contraseña.

Según ha publicado este investigador en su web, OAuth se usa en Facebook para realizar comunicaciones entre las aplicaciones y los usuarios. Normalmente, los usuarios deben permitir/aceptar la petición de la aplicación para acceder a su cuenta antes de que esta comunicación se realice. Hemos de tener en cuenta que cada aplicación de Facebook puede pedir permisos diferentes.

De esta forma podemos encontrar aplicaciones como Diamond Dash o Texas Hold’em Poker, que solo tienen permisos para acceder a nuestra información básica o publicar en nuestro muro. Este investigador encontró una forma de obtener permisos completos (leer nuestros mensajes, gestionar nuestras páginas, añadir fotos privadas, vídeos, etc.) en la cuenta de la víctima sin que este tenga ninguna aplicación instalada.

Si analizamos una dirección URL de una comunicación OAuth vemos que tiene este aspecto.

https://www.facebook.com/dialog/oauth/?app_id=YOUR_APP_ID&next=YOUR_REDIRECT_URL&state=YOUR_STATE_VALUE &scope=COMMA_SEPARATED_LIST_OF_PERMISSION_NAMES

Observamos varios campos en los que se ha de incluir un valor. El campo APP_ID representa el identificador de la aplicación, siendo este un identificador único para cada una de ellas. Por ejemplo, para la aplicación Diamond Dash el app_id=2 y para Texas Hold’em Poker sería el app_id=3.

El siguiente parámetro NEXT=REDIRECT_URL solo acepta el dominio del propietario de la aplicación. De esta forma, para la aplicación Texas Hold’em Poker solo valdría el dominio zynga.com como válido (p.ej. next=http://zynga.com). Si el dominio no se corresponde en ese parámetro, Facebook bloqueará esa acción tal y como vemos a continuación.

Facebook realiza una comprobación entre el parámetro app_id y el parámetro next, enviando también un token de acceso usando una petición GET al propietario de la aplicación una vez que el usuario ya le ha concedido permiso.

A partir de esta información, el investigador se dedicó a intentar cambiar el parámetro que se había de incluir en el parámetro next a un dominio de su elección sin que Facebook bloqueara esta acción. De esta manera averiguó que, usando un subdominio como xxx.facebook.com, la acción se le aceptaba como válida.

No obstante, si se intenta acceder a alguna carpeta o fichero en este tipo de subdominio x.facebook.com (x.facebook.com/xx/x.php), Facebook lo bloqueaba. Fue entonces cuando se dio cuenta de que facebook.com usa una almohadilla (#) y un símbolo de exclamación en su dirección URL de la siguiente forma: x.facebook.com/#!/xxxx.

Tras varias pruebas, el investigador comprobó cómo Facebook no consideraba como válido esta dirección dentro del parámetro next (next=x.facebook.com/%23!/). No obstante, si introducía algo entre la almohadilla y el símbolo de exclamación (%23x!), Facebook no lo bloqueaba.

A pesar de esto, si introducimos una dirección del tipo https://beta.facebook.com/#xxx!/messages/ esta acción no se trata de la misma forma que si incluimos los símbolos #! y no nos redirigirá a la pantalla de mensajes. A partir de aquí el investigador empezó a probar diferentes combinaciones de caracteres hasta que descubrió un par que funcionaba en todos los navegadores:
%23~!

%23%09!

Este truco servía para subdominios de Facebook como pudieran ser touch.facebook.com/#%09!/,m.facebook.com/#~!/ o cualquier otro dominio de Facebook mobile o Touch). De esta forma se podría redirigir a un usuario a  cualquier archivo o directorio existente en un subdominio de Facebook. En este punto, el investigador creó una aplicación de Facebook que redirigiera a un usuario a una web externa, acción que le permitiría obtener el token de acceso del usuario.

De esta forma se puede redirigir al usuario a una aplicación maliciosa que, a su vez, redirige a un enlace externo donde se captura y se almacena el token de acceso de la víctima. Por defecto, las aplicaciones solo cuentan con una serie de permisos básicos pero se pueden cambiar y añadir que soliciten nuevos permisos, aunque este método tiene sus limitaciones, ya que se requiere que el usuario acepte todos los permisos.

Esto no parecía lo suficientemente poderoso para este investigador, por lo que intentó conseguir permisos totales (lectura de los mensajes, envío de mensajes, gestión de páginas, acceso a fotos y vídeos privados, etc.) en la cuenta de la víctima sin tener que instalar ninguna aplicación.

De ahí surgió la idea de utilizar un identificador de aplicación diferente al que viene asociado por defecto, por ejemplo el de Facebook Messenger. La pregunta es, ¿necesita un usuario aceptar como aplicación permitida a Facebook Messenger en su cuenta de Facebook? La respuesta es que no.

Esto es debido a que existen aplicaciones incluidas en Facebook que no requieren de los permisos de los usuarios, contando estas aplicaciones con un control total de nuestra cuenta.

Gracias al análisis de este investigador y al haber informado a los responsables de la seguridad de Facebook, este fallo ya se encuentra solucionado. Es importante destacar la labor desinteresada buscando vulnerabilidades que realizan muchos investigadores y agradecer su esfuerzo en hacer de nuestros sistemas e Internet un lugar más seguro.

Josep Albors

Guía de consejos de seguridad informática: en San Valentín, ¡precauciones mil! [Infografía]

Hoy es el día de San Valentín. Esperamos que hayáis tenido muchísimas muestras de amor . Y como no podía ser de otra manera, esta fecha señalada es utilizada por los cibercriminales para intentar capturar nuevas víctimas, eso sí, disfrazados para la ocasión. Además, Internet se ha convertido en la plataforma elegida por millones de personas tanto para encontrar el amor como para demostrarlo, lo que complica aún más la tarea de diferenciar entre felicitaciones reales y amenazas escondidas tras tiernas frases de amor.

Por eso, desde ESET NOD32 España queremos ayudar a disfrutar de un bonito Día de los Enamorados, y bajo el lema  ”En San Valentín, ¡precauciones mil!”, ofrecemos una guía de consejos básicos de seguridad.

• Sé precavido con los enlaces en correos electrónicos y publicados a través de redes sociales con ofertas llamativas. Todos los mensajes de dudosa procedencia que, en relación a San Valentín, promocionen ofertas exclusivas o regalos especiales deben evaluarse con precaución para evitar caer en una estafa o infectar el equipo. Lo más recomendable en este caso es no hacer clic directamente sobre los enlaces que llegan y, en lugar de esto, dirigirse directamente al sitio web desde el navegador y verificar la veracidad de la información.
• Evita abrir mensajes de felicitaciones o de postales provenientes de remitentes desconocidos: de este modo, te asegurarás de que tu equipo no sea infectado por códigos maliciosos a través de esta estrategia de ingeniería social. La misma recomendación aplica a la hora de descargar archivos adjuntos.
• Al realizar el envío de postales online, elige páginas web de confianza: si quieres enviar una postal por el Día de los Enamorados, recurre a sitios conocidos. Así evitarás brindar información personal –como, por ejemplo, correos electrónicos- a ciberatacantes que luego podrían utilizarla para enviar spam.
• Ojo con los enlaces acortados en mensajes de amor enviados a través de redes sociales antes de hacer clic: los hipervínculos maliciosos continúan siendo una de las principales técnicas de propagación de amenazas informáticas, motivo por el cual se recomienda revisar los enlaces que nos pueden llegar vía Facebook, Twitter e incluso WhatsApp entre otros antes de hacer clic en ellos. Para ello, te recomendamos que te instales ESET Social Media Scanner, antivirus gratuito para la detección de amenazas que utilizan Facebook para distribuirse.
• No compartas información personal con desconocidos a través de Internet: en el caso de frecuentar sitios de citas online, evita revelar contraseñas, datos de acceso o cualquier información sensible durante el chat o el intercambio de correos electrónicos.
• Compra tus regalos de San Valentín a través de sitios de reputación comprobada: para evitar ser estafado al realizar una compra o ser víctima de un robo de datos bancarios y personales es aconsejable realizar las compras a través de servicios con una buena reputación.
• No permitas que postales o imágenes de San Valentín descarguen aplicaciones en tu sistema: además de infecciones por códigos maliciosos, pueden ocasionar la aparición de publicidades no deseadas durante la navegación.
• Precaución con los contenidos con temática de San Valentín indexados en los motores de búsqueda: si haces búsqueda de temas relacionados con este día, cuidado con los resultados, ya que podrían ser falsos y te llevarían a sitios falsos o infectados. Intenta siempre visitar sitios que sean reales y que ya conozcas. Asimismo, es mucho mejor que escribas la dirección en el navegador directamente a que hagas clic en un enlace que pudiera ser verdadero… o no.

También hemos preparado esta amorosa infografía para que, entre todos, hagamos hoy de la Red un sitio más seguro .

Por último, y para evitar riesgos innecesarios, te recomendamos que instales una suite de seguridad en tu ordenador que lo proteja en caso de que alguna amenaza informática intente entrar en él por cualquier vía. Puedes probar gratuitamente ESET NOD32 Smart Security 6 en www.eset.es.

Yolanda Ruiz Hervás
Josep Albors

PokerAgent y el robo de 16.000 contraseñas de Facebook

El siguiente post es una traducción y adaptación de “PokerAgent botnet stealing over 16,000 Facebook credentials” publicado en el blog de ESET Norteamérica por nuestro compañero Robert Lipovsky.

La red de “bots” llamada “PokerAgent”, a la que le seguimos la pista desde 2012, fue diseñada para conseguir datos de acceso a Facebook. También recogía datos de las tarjetas de crédito ligadas a cuentas de Facebook y estadísticas de los jugadores de “Zynga Poker”, supuestamente con la intención de estafar a las víctimas. Israel ha sido el país donde la amenaza ha sido más activa, con 800 ordenadores infectados y más de 16.000 credenciales de Facebook robadas.

Introducción

Hace aproximadamente un año, el laboratorio de investigación de ESET descubrió un troyano que le llamó la atención. Todo parecía indicar que había algo interesante: referencias a Facebook y a la aplicación Zynga Poker (que aparecían en cadenas de texto dentro del código), el código ejecutable “PokerAgent” y características de botnet, ya que el troyano contactaba con una red de control remoto.

ESET ha estado detectando diferentes variantes del troyano, denominado genéricamente MSIL/Agent.NKY. Tras el descubrimiento inicial, fuimos capaces de encontrar otras variantes del troyano, unas más antiguas y otras más modernas. También se consiguieron estadísticas de detección, que revelaron a Israel como el país con mayor actividad del código malicioso.

Hemos llevado a cabo un análisis profundo del código del troyano (tarea fácil, ya que estaba programado con C#, muy fácil de descompilar) e iniciamos la monitorización de la botnet. Los resultados se presentan a continuación y se encuentran ampliados en el whitepaper que analiza esta amenaza.

Funciones del malware

El autor del malware tiene una gran base de datos con credenciales de Facebook robadas (nombres de usuario y contraseñas). Al principio, no sabíamos cómo las había conseguido, pero al continuar la investigación se aclaró. Cuando el bot se conecta al centro de mando y control, le solicita tareas para llevar a cabo. Una de esas tareas equivale a un usuario de Facebook. El troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir la siguiente información:

1. Estadísticas de Zynga Poker de la cuenta de Facebook en cuestión
2. Número de métodos de pago (p.ej. tarjetas de crédito) almacenadas en la cuenta de Facebook.

Las estadísticas del usuario en Zinga Poker se consiguen pasando la respuesta de la URL http://facebook2.poker.zynga.com/poker/inc/ajax/profile_popup.php?zid=1:%_FACEBOOK_ID%&signed_request=%_SIGNATURE% &platform=1.

Los datos devueltos se asemejan mucho a los mostrados más abajo, y tienen  información sobre el usuario, como su nombre, género, imagen del perfil de la cuenta, clasificación y puntos en Zynga Poker, número de amigos y estadísticas sobre cada mano jugada.

Al troyano solamente le interesa el género del usuario, sus puntos y su clasificación. Esta información se envía de vuelta al centro de mando y control.

Hay que tener en cuenta que para hacer la consulta el atacante solo necesita el identificador numérico de la cuenta de Facebook y un parámetro válido firmado por la aplicación Zynga Poker. En diferentes versiones del bot hemos detectado que se usaban diferentes parámetros.

Se puede encontrar más información sobre el popular juego Zynga Poker  aquí.

Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el bot primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante. Entonces, el troyano busca en https://secure.facebook.com/settings?tab=payments&section=methods y simplemente consigue el número que hay entre las etiquetas HTML en la cadena “You have <strong>X</strong> payment methods saved.” que se devuelve en HTML.

Siempre recomendamos que se sea muy cauteloso a la hora de almacenar datos de tarjetas de crédito en una aplicación, no solo en Facebook. De nuevo, toda la información se manda al centro de mando y control para actualizar la base de datos de víctimas.

El sistema infectado puede llevar a cabo diversas tareas en nombre de una víctima de Facebook:

1. Publicar enlaces en el muro del usuario de Facebook.

El propósito de esta función es llevar a otros usuarios de Facebook (por ejemplo, amigos de los usuarios a los que se les ha robado las credenciales de acceso) a una página falsa de acceso a Facebook, para robarles también a ellos su nombre de usuario y contraseña.

La tarea mandada al bot, aparte de un nombre de usuario y contraseña de Facebook, también contiene una URL (mandada de manera cifrada) y posiblemente algún texto de acompañamiento para publicarla (aunque no hemos visto que esta característica la use la botnet). El troyano, una vez iniciada sesión en Facebook, publica el link descifrado en el muro del usuario.

Aquí pueden verse unos cuantos ejemplos.

El enlace apuntará a una página web similar a la que aparece en la imagen más abajo. Durante la monitorización del botnet, hemos visto que redirecciona a diferentes páginas web. Tanto desde nuestra telemetría como desde el texto de las páginas web, podemos ver que los ataques están dirigidos mayormente a usuarios de Israel. Las páginas ofrecen noticias de prensa amarillista, que el usuario puede sentir curiosidad por ver.

Independientemente del tema de la página a la que redirigen, todas tienen un factor común: cada imagen tiene un enlace HTML a una página falsa de Facebook en la que iniciar sesión, como se puede ver más abajo. De nuevo, se han ido usando diferentes URL a lo largo del tiempo.

Como cabría esperar, cuando una víctima rellena sus datos en esta página falsa de Facebook, sus datos son mandados al atacante.

El análisis del código también revela una interesante característica de la lógica de programación del troyano. El código contiene una función llamada “ShouldPublish”, que determina si los enlaces a las páginas de phishing deben ser publicados en el muro del usuario. Esto dependerá de si la víctima tiene alguna tarjeta de crédito vinculada a su cuenta y su clasificación en Zynga Poker. Aparentemente, si se cumple una de las condiciones, el atacante lo considera un éxito, y, si no (no hay tarjetas y tiene una clasificación baja), el troyano buscará otras víctimas.

¿Cómo funciona el ataque?

Hay que aclarar que, a diferencia de otros troyanos que hemos visto propagarse frecuentemente por Facebook, este no intenta entrar ni interferir con la cuenta de Facebook del usuario que está infectado (de hecho, podría no tener una cuenta en Facebook). La botnet sirve más bien como un proxy, por lo que las actividades ilegales (las tareas ordenadas a los bots) no se ejecutan fuera del ordenador infectado.

Una vez dicho esto, todo lo anterior nos lleva a la conclusión de que el propósito de la botnet es:

1. Aumentar el tamaño de la base de datos de usuarios y contraseñas robados de Facebook.
2. Actualizar la base de datos: comparar los datos de los usuarios de Facebook con las estadísticas de Zynga Poker y las tarjetas de crédito almacenadas.

Solo nos cabe especular acerca de cómo el atacante emplea los datos robados. El código sugiere que el atacante busca usuarios de Facebook con cosas de valor que merezcan la pena robar, determinándolo por las estadísticas del juego de poker y los datos de la tarjeta de crédito almacenados en su cuenta de Facebook. Posteriormente, el cibercriminal puede usar para sí los datos de la tarjeta de crédito o quizá vender la base de datos a otros delincuentes.

Vector de propagación

Antes hemos visto la página falsa de Facebook que el atacante emplea para hacer que las víctimas le den sus datos de Facebook. Por lo que se refiere a la distribución del troyano “PokerAgent”, no hemos tenido la suerte necesaria para pillarle “con las manos en la masa”. Cuando monitorizamos la botnet en marzo de 2012, esta no seguía propagándose activamente. Lo que sí sabemos, sin embargo, es que el troyano se descarga en el sistema por algún otro componente (de los que hemos visto varias versiones). Este componente de descarga fue visto en la web, (en varias URL que cambiaban dinámicamente) y las víctimas han sido engañadas para descargarlo.

Por las técnicas que utiliza el troyano, es lógico suponer que el downloader también se distribuyó por Facebook, haciendo también uso de técnicas de ingeniería social.

Escala de los ataques y acciones llevadas a cabo

Hemos estado detectado el troyano MSIL/Agent.NKY desde el 3 de diciembre de 2011. Poco después nos dimos cuenta de que era algo que requería más atención y llevamos a cabo un análisis a fondo del código. Así, iniciamos el seguimiento de la amenaza y tras analizar el protocolo de su centro de mando y control, empezamos la monitorización de la botnet.

Gracias a nuestra detección genérica, pudimos conseguir tanto versiones iniciales como más modernas del troyano. En total encontramos 36 versiones distintas de “PokerAgent” con fechas de compilación comprendidas entre septiembre de 2011 y marzo de 2012. Los “hashes” MD5 se pueden encontrar al final del documento. Por tanto, comprobamos cómo el creador del malware estaba desarrollando activamente su proyecto.

El seguimiento de la botnet reveló que al menos 800 ordenadores habían sido infectados con el troyano, y el atacante tenía al menos 16.194 entradas únicas en su base de datos de credenciales de Facebook el 20 de marzo de 2012. Estos números no se corresponden exactamente con el número de credenciales válidas robadas, ya que puede haber muchas más que no hemos visto. Sin embargo, por lo que comprobamos, no todas las entradas eran válidas, y muchos usuarios que intentaron ser engañados introdujeron nombres de usuario y contraseñas visiblemente falsos.

Tal y como muestra la evolución de detecciones en nuestro ESET LiveGrid®, el autor del malware dejó la propagación activa del troyano a mediados de febrero de 2012.

Los ataques se concentran en un solo país. Nuestra telemetría indica que precisamente el 99% de todas las detecciones de MSIL/Agent.NKY de los productos de seguridad de ESET provienen de Israel.

En cuanto conseguimos información fidedigna de estas actividades delictivas, cooperamos tanto con el CERT de Israel como con la Policía. Los detalles de la investigación no pueden ser hechos públicos por razones de confidencialidad.

También hemos avisado a Facebook, y ha llevado a cabo tareas de prevención para frustrar futuros ataques en las cuentas robadas.

Conclusión

El caso “PokerAgent” representa un ataque con éxito a los usuarios de la red social más grande del mundo y a los jugadores del mayor sitio de Poker del mundo. Hay, sin embargo, varias prácticas de seguridad, además de la obvia recomendación de utilizar un antivirus actualizado, que habrían evitado que los atacantes tuvieran tanta suerte.

• No solo son necesarias medidas técnicas, sino que también la vigilancia del usuario es una protección contra todos los ataques que emplean ingeniería social. Aunque a simple vista la página falsa de Facebook es una copia perfecta de la auténtica, el usuario puede reconocerla como una copia si comprueba la barra de direcciones, aunque la mayoría de las víctimas fueron engañadas por la página.
• Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios. En concreto, el doble factor de autentificación podría haber evitado que los bots entraran en las cuentas de Facebook de las víctimas.
• Queremos insistir en que hay que ser cauteloso antes de permitir a los navegadores “recordar” contraseñas de servicios importantes, y mucho más si se están almacenando los datos de la tarjeta de crédito en cualquier aplicación, no solo en Facebook.

Con las redes sociales más populares siendo atacadas por malware, spam, phishing y otros propósitos nefastos, es muy recomendable asegurarse de que estamos protegidos de estos vectores de ataque también. Para mantener la cuenta de Facebook limpia, ESET ha presentado la aplicación ESET Social Media scanner.

Traducido y adaptdo por Yolanda Ruiz, Fernando de la Cuadra y Josep Albors

 

El nuevo Facebook Graph Search vuelve a sacar la privacidad a escena

Seguramente lo sabrás, porque ha sido la sensación de los pasados días. Ya sabíamos que Facebook tenía algo grande que contar el día 15 de enero, y lo sabíamos porque además coincidía con la fecha del lanzamiento mundial de nuestras nuevas soluciones ESET NOD32 Antivirus 6 y ESET NOD32 Smart Security. Y también sabíamos que algo se andaba cociendo, viendo sobre todo los últimos movimientos de la popular red social.

Pues bien, llegó el tan esperado día del anuncio y Facebook se descolgó con lo que muchos profesionales llevábamos ya tiempo apuntando: su buscador, Facebook Graph Search, es el arma secreta de la guerra en la Red, que está librándose entre dos grandes, Google contra Facebook, uno aprovechando al máximo el gran poder que le otorga ser el buscador más utilizado en el mundo occidental con más de un 80% de cuota de mercado, y al otro lado, quien probablemente tiene más información personal y profesional de todos y cada uno de nosotros y que buscaba una vía de monetizar esa mina de oro.

Para contextualizar, vamos a hacer primero un poco de resumen. No sé si te has dado cuenta de cuál es de verdad, y en mayúsculas, el gran negocio de Internet. Tampoco sé si en alguna ocasión te has parado a reflexionar sobre ello, pero cuando lo pregunto a mis alumnos o en charlas y me responden, no llegan a ser del todo conscientes. El gran negocio de Internet es la información. Más allá de páginas web, de tiendas online, de la comodidad que otorga el uso y dominio de las nuevas tecnologías, de los chollos de última hora y de los grandes ofertones o de los concursos, por detrás de todo, está el afán cada vez mayor de recopilar información sobre todos y cada uno de nosotros. Y de poder utilizar dicha información, claro está.

Pero ese objetivo no viene solo de las compañías lícitas, sino también de todos y cada uno de los cibercriminales, de las organizaciones mafiosas que operan en Internet y de otras asociaciones o movimientos ciudadanos: todos, absolutamente todos, van a la caza y captura de nuestros datos. Unos para monetizarlos desde el punto de vista del marketing y de la publicidad. Otros para cometer delitos, fraudes financieros, suplantaciones de identidad, etc. Y en medio, también existe una categoría de gamberr@s que solo lo quieren para perseguir, acechar, vengarse o gastar bromas. Pero al final de todo, siempre está ese codiciado tesoro: la información.

Si vienes de la rama del periodismo o de la comunicación, y si no, seguro que también lo has oído, probablemente te sabes aquella frase que dice “la información es el cuarto poder”, llevada a su máximo exponente por Joseph Goebbels, ministro de la propaganda nazi, quien también dijo, por cierto, que “una mentira repetida cien veces, se convierte en verdad”, herramienta empleada muy a fondo durante los fatídicos tiempos del genocidio.

Bien, ahora veamos la actividad de marketing y de publicidad desde un punto de vista práctico y pragmático… De toda la vida, se ha definido al marketing como la manera de “crear necesidad sobre un producto o servicio entre la población”, generando entre los ciudadanos el deseo real de adquirir el bien… A poco que analicemos la evolución de la publicidad, veremos que continuamente se han creado necesidades más o menos reales, pero que han dado resultado en determinados nichos de población.

Pero no era igual la publicidad en los años 50 que en los 60, ni tampoco es lo mismo que ahora. Antes, había muy pocas marcas de cada cosa, y además, el mercado estaba totalmente virgen, salvaje. Los consumidores de aquella época no voy a decir que fuéramos idiotas, pero hay un hecho indiscutible, y es que antes no éramos tan inteligentes como ahora. El simple hecho de la abundancia de información que recibimos por los diferentes canales a los que estamos expuestos y que tengamos la posibilidad de, en cualquier momento, coger Internet y consultar algo, nos hace que seamos mucho más inteligentes y que hayamos pasado de un papel de consumidor pasivo a totalmente activo, que busca, se informa, contrasta y recomienda o no antes de decidirse a comprar algo.

Ante este nuevo papel, los profesionales del marketing y de la comunicación necesitan conocer, cada vez más, al individuo en cuestión para intentar que se convierta en cliente, y es en esta carrera por saber hasta qué tipo de ropa interior usa donde entra en escena Internet.

¿Quién sabe más de ti, de tus gustos, de tu vida y de tu entorno?

Seguramente muchos de vosotros ahora estáis pensando en vuestra pareja, en vuestra madre o padre o en vuestros hijos. Y probablemente todas las personas que rodean tu entorno saben mucho de ti. Pero todos tenemos cosas que no le contamos a nadie: cosas que pensamos, que hacemos, que medramos, que cocinamos y nos guisamos solitos en ocasiones. A veces son poca cosa, a veces son cosas mucho más inconfensables por el motivo o la razón que sea, que ni entro a juzgar ni a decidir por los demás.

(más…)

¡¡Lanzamos los nuevos ESET NOD32 Antivirus 6 y ESET NOD32 Smart Security 6!!

¡¡Esta semana estamos de enhorabuena!! ¡Presentamos nuestra nueva gama de soluciones de consumo: ESET NOD32 Antivirus® 6 y ESET NOD32 Smart Security® 6!

Nuestra nueva y sexta generación de protección para usuarios domésticos y profesionales incorpora múltiples novedades: un nuevo motor de análisis y desinfección, totalmente optimizado, que es todavía más rápido analizando los ordenadores y más efectivo eliminando códigos maliciosos, lo que otorga una mayor protección para el usuario doméstico. Además, incorpora un nuevo módulo de protección específica antirrobo, nuevas tecnologías de protección antiphishing y ESET Social Media Scanner, aplicación que proporciona protección adicional y complementaria específicamente contra aquellas amenazas que utilizan la popular red social Facebook para su distribución.

Otra innovación importante que incluye la nueva generación de soluciones de ESET NOD32 es el mejorado módulo de limpieza. Gracias a un trabajo continuo focalizado en la detección de familias de malware, ahora el módulo de limpieza de amenazas informáticas es todavía más efectivo eliminándolas, borrando todos los archivos, entradas de registro, cambios en el sistema y cualquier otro rastro que hubieran podido dejar en el ordenador, según ha confirmado el laboratorio independiente AV-Comparatives que ha probado las nuevas soluciones:

“La puntuación final de ESET NOD32 de 86 puntos en el último test de eliminación de amenazas informáticas realizado por AV-Comparatives sitúa a los nuevos productos de ESET NOD32 (versión 2013) entre el top de soluciones más eficientes en el test de eliminación de malware. Esta mejora y el incremento en los ratios de detección de sus soluciones es una muestra del continuo compromiso de ESET NOD32 en el desarrollo y la investigación de nuevos métodos de protección”, dice Andreas Clementi, director general del laboratorio independiente AV-Comparatives.

Nuevo ESET Social Media Scanner y nuevo módulo Antirrobo

Por otro lado, ambas soluciones incorporan el totalmente nuevo ESET Social Media Scanner, aplicación desarrollada para proteger específicamente a los usuarios de contenido malicioso que aprovecha la popular red social Facebook para distribuirse y buscar nuevas víctimas potenciales que caerán en la trampa al provenir dichos contenidos de contactos conocidos o cercanos. Esta aplicación es capaz de analizar y neutralizar amenazas que se distribuyen utilizando el perfil de los usuarios, su muro, el módulo de últimas noticias así como mensajes privados, incluso aunque el usuario no tenga su sesión abierta en Facebook. Si se encuentra cualquier tipo de intento de infección, ESET Social Media Scanner informa vía correo electrónico para que se tomen acciones de forma inmediata.

Igualmente, es capaz de analizar no solo los perfiles de Facebook de los usuarios que instalen la aplicación, sino también los muros de todos sus amigos, analizando sus contenidos en busca de links peligrosos.

Asimismo, el nuevo módulo Antirrobo ayuda a la localización de ordenadores portátiles perdidos o robados y permite la monitorización de su actividad de forma remota, permitiendo saber con exactitud sus coordenadas GPS si el dispositivo se conecta a cualquier red. De esta manera, los usuarios que hayan perdido o a los que les hayan robado el portátil pueden rastrearlo y conseguir la información necesaria para su recuperación. Además, también posibilita el bloqueo de cuentas de usuario en el dispositivo de forma remota.

 

Además, no consideramos que nuestros usuarios tengan que pagar más dinero por módulos de protección que consideramos que son básicos para su protección personal completa. Por eso, estamos entre los primeros fabricantes de soluciones de seguridad que en vez de ofrecerlo como una solución independiente lo hemos añadido como parte de nuestros productos sin ningún tipo de coste adicional. Todos los clientes de versiones anteriores pueden actualizar, también de forma totalmente gratuita, su versión en nuestra web.

Además, tanto ESET NOD32 Antivirus 6 como ESET NOD32 Smart Security 6 han recibido la certificación de Windows 8 así como el logo “Compatible con Windows 8”.

¿Quieres saber qué más incluye? Este es un resumen de las principales nuevas características y beneficios de ESET NOD32 Smart Security 6:

•  Antirrobo: permite hacer un seguimiento del ordenador perdido o robado en el momento en que este se conecta a una red. Además, permite el borrado de la información contenida en el ordenador o el bloqueo remoto permitiendo a los usuarios proteger su información personal o profesional.
• Antiphishing: protege a los usuarios de los intentos de robo de su identidad digital, como nombres de usuario, contraseñas o detalles de tarjetas de crédito, bloqueando su acceso a aquellos falsos sitios que parecen reales y lícitos.
• Cortafuegos personal: previene a los usuarios de accesos no autorizados a su ordenador y, por lo tanto, a su información personal. Los usuarios pueden, de esta manera, navegar sin preocupaciones mientras realizan compras, utilizan la banca online o las redes sociales.
• Control parental: ayuda a la protección de los menores mientras navegan en la red bloqueando sitios según su clasificación y la edad de los pequeños.
• Análisis en reposo: lleva a cabo análisis en profundidad de los equipos en los que está instalada la solución aprovechando los momentos en los que el ordenador está inactivo y permitiendo la localización de códigos maliciosos inactivos que pudieran llegar a causar daño en algún momento, eliminando así la exposición del usuario al riesgo de ser infectado.

Además, tanto ESET NOD32 Antivirus 6 como ESET NOD32 Smart Security 6 también incluyen:

• ESET NOD32 Social Media Scanner: protege a los usuarios de las amenazas que se aprovechan de Facebook para distribuirse, incluyendo el análisis de contenidos maliciosos compartidos a través del perfil personal, el muro, el módulo de últimas noticias y mensajes privados.
• Antivirus y Antispyware: protege de forma proactiva a los usuarios contra todo tipo de amenazas informáticas y previene de su difusión a otros usuarios.
• Análisis desde la nube: gracias a la información almacenada en la base de datos de ESET NOD32 alojada en la nube, en Internet, con listas blancas de ficheros seguros, el análisis del ordenador ahora es mucho más rápido.
• Análisis de ficheros durante su descarga: las nuevas soluciones son capaces de analizar ficheros en busca de amenazas informáticas mientras se descargan, eliminando riesgos al bloquearlos si son potencialmente peligrosos incluso antes de que se almacenen en nuestro ordenador.

¿Todavía no las has probado? ¡¡Pues no lo pienses!! Descarga tu nuevo producto gratis desde nuestra web.

Yolanda Ruiz Hervás

Josep Albors

 

 

Resumen anual de seguridad informática: Facebook y Twitter protagonizaron incidentes de seguridad durante todos los meses de 2012

¡Madre mía qué mal lo hemos pasado este año haciendo el resumen! Hay que reconocer que la práctica ayuda, pero cuando tienes que seleccionar entre los 350 artículos que hemos publicado este año, todos ellos referentes a temas de seguridad y/o privacidad, el ejercicio es arduo. Siempre se queda algo fuera, y seguro que importante, pero al menos está todo lo que es más relevante a nivel internacional.

El pasado año ha seguido la estela de actividad en cuanto a seguridad informática se refiere, ya que todos los meses han sucedido hechos internacionales que han tenido sus efectos y una gran repercusión mediática. Si echamos un vistazo al Resumen Anual de Seguridad 2012 que nos hemos currado, veremos que hay nombres propios que se repiten a lo largo de cada uno de los meses y que protagonizan repetitivos incidentes de seguridad de forma reincidente.

En el capítulo de hacktivismo, Anonymous se ha mostrado especialmente activo este año operando en el frente tanto nacional como internacional. A nivel local, los miembros de este colectivo han publicado los datos privados de los responsables de la Ley Sinde a principios de año, han aprovechado los premios Goya para introducirse en los servidores de la Academia del Cine y obtener multitud de datos profesionales y personales, han protestado junto al colectivo sanitario por los recortes en Sanidad y han atacado, también en señal de queja por la situación económica, varias webs de partidos políticos.

Con respecto a actuaciones internacionales e intrusiones no autorizadas, numerosos organismos, instituciones y grandes empresas privadas han visto su seguridad e integridad vulneradas por una razón u otra. La realidad es que la NASA, varias universidades, entidades gubernamentales americanas, Sony, Amazon.com, T-Mobile, Nissan y VMWare, por solo citar unos ejemplos, se han convertido en blanco durante el pasado año de los cibercriminales.

Respecto a la aparición de nuevas amenazas informáticas, tanto la plataforma Mac como Android se han llevado la palma, sin desmerecer para nada a Windows, que sigue ostentando la gran cifra récord de 250.000 nuevos ejemplares mensuales. Otro dispositivo, como el eReader Kindle Touch, también ha tenido algún susto.

En cuanto a las técnicas de ingeniería social utilizadas para la distribución de spam o phishing, también hemos visto cómo se han seguido utilizando los hechos más internacionales y representativos, como los Juegos Olímpicos y la Supercopa, pero también han hecho mella otros ganchos como el de Michel Teló y su éxito del verano, servicios como SkyDrive de Microsoft o relacionados con juegos muy conocidos como League of Legends.

También 2012 ha sido el año en el que se han descubierto varias redes de botnets, algunas relacionadas con el espionaje internacional y con ataques dirigidos, como es el caso de Medre o de Flashback. A lo que se añaden las múltiples vulnerabilidades críticas en los programas habituales, como Adobe, Java y Windows.

Los problemas de privacidad derivados del uso de plataformas online especialmente diseñadas para enriquecerse a costa de los datos del usuario han dado mucho de qué hablar durante el pasado año, y hemos visto cómo prácticamente todos los grandes han tenido problemas en uno u otro sentido al enfrententarse a quejas y demandas justificadas que luchan por mantener la intimidad de la información personal de los usuarios compartida a través de este tipo de portales.

Pero ha habido más… Noviembre ha marcado un antes y un después en cuanto a actualidad mediática relacionada con la seguridad de la información, ya que el robo de la agenda de Pipi Estrada y su posterior publicación online puso a muchos famosos en jaque durante varios días. Igualmente, el supuesto bulo de las fotos eróticas de las chicas de Deusto puso en duda la integridad de la conocida universidad, aunque todo pareció más un invento que otra cosa.

Un año en el que hemos tenido prácticamente de todo y cuya información se encuentra resumida, mes a mes, en nuestro Informe Anual de Seguridad 2012.

¡Que la seguridad nos acompañe en 2013!

 

Yolanda Ruiz Hervás

 

Josep Albors

 

 

Facebook soluciona vulnerabilidad en el restablecimiento de contraseñas

El descubrimiento de una vulnerabilidad en una aplicación usada por tanta gente como Facebook suele causar gran revuelo por el número de posibles afectados. Si además esta vulnerabilidad resulta tan fácil de explotar como la que descubrió recientemente el investigador Sow Ching Shiong, deberíamos empezar a preocuparnos.

Esta vulnerabilidad que ya ha sido solucionada por Facebook permitía cambiar la contraseña de cualquier usuario de Facebook sin conocer la contraseña anterior. Este grave fallo de diseño consistía en acceder a una dirección que Facebook pone a disposición de los usuarios para cambiar su contraseña:

https://www.facebook.com/hacked

Esta web redireccionaba a los usuarios a otro enlace donde, si observamos bien la URL, se incluía un parámetro [userid]. Este parámetro corresponde con un código único de cada usuario y que un atacante podía usar para cambiar la contraseña de ese usuario en particular.

https://www.facebook.com/checkpoint/checkpointme?f=[userid]&r=web_hacked

Una vez en este enlace comprobábamos que no pedía ningún tipo de autentificación y solo necesitábamos pulsar sobre un botón para poder acceder a cambiar la contraseña.

En el siguiente enlace se nos permitía introducir una nueva contraseña pero en ningún momento se nos preguntaba por la contraseña anterior, por lo que, técnicamente, nos apoderábamos de la cuenta del usuario al cambiarle sus credenciales de acceso.

Por suerte, Facebook ha cambiado este mecanismo y si ahora deseamos cambiar la contraseña, primero se nos pide identificarnos e introducir la contraseña actual antes de proceder al cambio.

Aunque esta vulnerabilidad ya se encuentre solucionada es difícil saber durante cuánto tiempo ha sido conocida y cuántas cuentas de usuarios podrían haber sido víctimas de un cambio de contraseña. No obstante, al tratarse de algo que un usuario notaría enseguida cuando intentase acceder a su cuenta sin éxito, dudamos que haya sido usado de forma masiva.

Josep Albors

Artículos Anteriores »