Los intentos de estafa pueden llegar vía correo electrónico; se pueden encontrar falsos chollos y gangas a través de búsquedas online; o bien algún amigo o seguidor nos puede recomendar la “compra de nuestra vida“ vía Facebook o cualquier otra red social. En cualquier caso, podría tratarse de ofertas reales… o de engaños.

Para protegerse proactivamente contra los efectos adversos que para la cuenta bancaria de cualquier usuario podría tener ser víctima de un engaño, os ofrecemos unas normas básicas de buenas prácticas a la hora de comprar online que, siguiéndolas, pueden garantizar estar, más o menos, a salvo de los ciberdelincuentes y evitar estafas y fraudes financieros:

• Mantener protegido el ordenador: es importante contar con un antivirus actualizado, un cortafuegos y tener el sistema con las últimas actualizaciones instaladas.
• Realizar las compras en webs de confianza: debemos asegurarnos de que el sitio donde vayamos a realizar la compra tenga una buena reputación, permita pagar usando un protocolo seguro (https://) y tenga una buena atención al cliente en caso de dudas o reclamaciones.
• Cuidado con las gangas: muchos sitios online fraudulentos intentan engañar a los usuarios usando ofertas muy atractivas. Intentemos evitar caer en la trampa y busquemos siempre referencias sobre el sitio web en cuestión.
• Aunque vengan de buenos amigos en Facebook o en otra red social… desconfiemos de las grandes gangas o las “compras de nuestra vida”. El perfil de nuestro amigo puede haber sido hackeado y estar siendo utilizado para distribuir troyanos, phishing, etc., a través de cualquiera de los métodos de comunicación más frecuentes que nos ofrecen estas plataformas.
• Controlar nuestros datos personales: es normal que las tiendas online de confianza pidan sus datos de facturación (nombre, dirección, teléfono, etc.) junto con los datos de la tarjeta de crédito para realizar los pagos. No obstante, es recomendable leer la política de privacidad de la empresa y revisar cómo se van a almacenar y a utilizar estos datos.
• Métodos de pago: los comercios online ofrecen muchos métodos de pago, como tarjetas de crédito, servicios de pago seguro como Paypal o incluso contra reembolso. Es importante asegurarse de usar un método de pago que permita la reclamación de cargos fraudulentos o en caso de no recibir los artículos pedidos.
• Cuidado con el phishing: si bien es habitual que las webs de compras online envíen una factura del pedido por e-mail, muchos ciberdelincuentes también envían durante estas fechas millones de correos falsos suplantando a los grandes comercios online, en los que adjuntan enlaces que llevan a webs maliciosas.
• Comprobar que se cargan las cantidades correctas en su cuenta: el acceso a la banca electrónica nos permite revisar que solo se cobra la cantidad que hemos pactado. En caso de observar cargos incorrectos o que no procedan del comercio donde se ha realizado la compra es necesario contactar con nuestra entidad bancaria lo antes posible para iniciar una investigación.

Esperamos que tengáis unas felices compras online .

Yolanda Ruiz

@yolandaruiz

No obstante, hoy os vamos a hablar de otro tipo de engaños que, si bien tienen el mismo objetivo, utilizan técnicas diferentes. Todo empieza con la recepción de un correo electrónico de una conocida entidad bancaria como el que vemos a continuación:

Como se puede observar, dice lo típico en este tipo de correos: se están realizando unas supuestas mejoras en la seguridad del banco y solicitan que sus clientes accedan a un enlace para comprobar que sus datos personales son correctos. En caso de no realizarse esta operación, se amenaza con suspender la cuenta, para darle más vidilla al asunto.

Lo normal es que accediéramos a una web donde se solicitan nuestros datos, incluyendo el número de nuestra tarjeta de crédito, el código cvv de la misma e incluso todos los campos de nuestra tarjeta de coordenadas, pero en esta ocasión los ciberdelincuentes han pensado que mejor ya recopilan ellos estos datos por su cuenta. Así, lo que sucede tras pulsar sobre el enlace es que nos descargaremos un archivo ejecutable con más peligro que el bautizo de un gremlin.

Efectivamente, el archivo descargado contiene un código malicioso que las soluciones de seguridad de ESET identifican como Win32/Spy.Banker.UCO, o lo que es lo mismo, un troyano bancario que registrará nuestros datos cada vez que realicemos una operación online en nuestro banco.

En esta ocasión, los ciberdelicuentes no han esperado a que el usuario sea el que les proporcione los datos, ya que directamente fuerzan la instalación de un malware para robárselos. En el laboratorio de ESET en Ontinet.com ignoramos si es que los ciberdelincuentes tienen prisa por obtener el dinero y así hacer frente a los regalos de reyes o simplemente están probando diversas estrategias para averiguar cuál  es más efectiva. Lo que sí es seguro es que debemos protegernos de este tipo de amenazas ignorando este tipo de mensajes y contando con una protección adecuada que bloquee estas amenazas.

Josep Albors

En el texto de revisión, se incluye un capítulo entero centrado en el derecho al olvido, que establece nuevas normas de comportamiento en Internet mediante las cuales “la gente debe tener el derecho, y no solo la posibilidad, a retirar su consentimiento al procesamiento de datos personales”, según palabras de Viviane Reding, comisaria de Justicia, Derechos Fundamentales y Ciudadanía.

El texto se centra en el borrado de datos proporcionados previamente por el usuario, pero también recalca el respeto al “ejercicio del derecho de la libertad de expresión”, sin entrar en matices relativos al borrado de datos o a las informaciones publicadas por otras personas.

Esta revisión entra en confrontación directa con el comportamiento que llevan a cabo algunas de las redes sociales más populares, como por ejemplo, Facebook, que hasta hace unos días recopilaba de forma indefinida toda la información de los comportamientos relativos a sus usuarios, identificándolos claramente. Ahora, adaptándose a la Ley irlandesa, país donde tiene su sede central para EMEA, ha dejado de asociar dicha información a perfiles con nombres y apellidos, pasando a ser anónima y solo para usos estadísticos, y también se ha limitado el periodo de tiempo que pueden ser almacenados dichos datos.

Esta medida, sin embargo, solo ha sido aplicada a los usuarios europeos, pero no a los del resto de países.

La revisión de la ley europea contempla el “derecho a acceder” a los datos que tenga cualquier compañía en Internet, así como “el propósito del procesamiento” de los datos, “las categorías”, “los receptores a los que se les revelan”, la “posibilidad de interponer una reclamación” o “el derecho a pedir que se rectifiquen o se borren”. La empresa tendrá hasta 30 días para facilitar los datos o la justificación de por qué no los suministra, y tendrá que permitir al usuario no dar los datos que no sean esenciales para el funcionamiento del servicio y renunciar a ser objeto de programas que analizan y predicen su comportamiento.

La reforma legal prevé también la imposición de importantes multas contra las empresas que no cumplan con los nuevos requisitos europeos, que incluyen el derecho al olvido, pero también otras exigencias en cuanto a la privacidad por defecto o la protección de los menores. Según la gravedad de la infracción, las empresas podrían verse privados de hasta el 5% de su facturación.

Para ello, la ley europea prevé cambiar el ámbito de aplicación legal para intentar que las compañías que prestan servicios a europeos no se salten la legislación argumentando que su sede está en EEUU o en otros países con reglas más laxas.

Desde luego, cualquier medida encaminada a preservar la privacidad y la integridad de los datos personales en la Red debe ser aplaudida y bienvenida siempre y cuando no vulnere los derechos fundamentales a la libertad de expresión y permitan el libre mercado. Sin duda, es un camino que hay que recorrer en aras de un uso saludable de las nuevas tecnologías.

Sin embargo, seguimos echando de menos otro tipo de medidas que también están encaminadas a una mayor seguridad de los usuarios, como restringir las posibilidades de suplantación de la identidad de los usuarios en todo tipo de servicios, pero sobre todo en las redes sociales, o el desarrollo de un marco legislativo adecuado a los nuevos tiempos que contemple vías de colaboración internacional en materia de seguridad informática para la persecución y el castigo del delito.

Ayer mismo nos sorprendía una noticia relacionada con este asunto: un periodista italiano decidió hacer un experimento creando cinco perfiles en Twitter en los que se suplanta la identidad de cinco ministros del Gobierno de Rajoy. A través de estos perfiles se dedicó a lanzar falsos mensajes relacionados con medidas económicas para España: mensajes que fueron recogidos y publicados por medios de comunicación españoles.

Esperamos que, en algún momento, se recoja la realidad que vivimos día a día los internautas y que se establezcan marcos de actuación adecuados para que no solo estemos seguros en la red, sino para que nos informen y eduquen en buenas prácticas y nos sintamos virtualmente arropados por el sistema legislativo y las fuerzas de seguridad al igual que sucede en el mundo real.

Yolanda Ruiz

@yolandaruiz

Es por eso que, en el podcast de hoy comentamos aquellas amenazas que se aprovechan de estas fechas destacadas para afectar a usuarios desprevenidos.

¡Felices fiestas!

En las recientes actualizaciones de seguridad de Microsoft lanzadas el segundo martes de cada mes, como ya viene siendo habitual, se solucionaba una vulnerabilidad especialmente crítica. Los detalles han salido a la luz en el boletín MS11-083 y permitiría a un atacante ejecutar código remoto aprovechando una vulnerabilidad en el protocolo TCP/IP.

Esta vulnerabilidad permitiría a un usuario malicioso lanzar una serie de paquetes UDP a un puerto cerrado de nuestro sistema Windows vulnerable (Windows Vista, Windows Server 2008, Windows 7, y Windows Server 2008 R2) permitiendo que se ejecute código arbitrario. Una vulnerabilidad podría ser aprovechada por un código malicioso causando efectos parecidos a los clásicos Sasser o Blaster, con todo lo que ello implica.

Desde el laboratorio de ESET en Ontinet.com os recomendamos que actualicéis todos vuestros sistemas para prevenir males mayores cuanto antes. Recordemos que la vulnerabilidad que aprovecha Conficker fue solucionada en octubre de 2008 y aun hoy sigue siendo una de las amenazas más detectadas.

Josep Albors

Aprovechando el día del esperado debate electoral que reunió anoche a los candidatos del PP y el PSOE, se filtró información en el ya habitual sitio Pastebin relativa al acceso no autorizado a dos webs del Partido Popular.

Según la información publicada, los atacantes consiguieron obtener los usuarios  y contraseñas de acceso a las bases de datos y han publicado estos datos junto con una lista de las tablas que contienen estas bases de datos y detalles del servidor donde se alojan para demostrar que la intrusión se ha producido realmente.

Pero no solo el Partido Popular parece estar en la mira de esta facción de Anonymous, ya que también se lanzan mensajes contra Telefónica y su presidente César Alierta. Al parecer, y en respuesta al cierre del canal de IRC desde donde supuestamente se coordinaban las acciones de este grupo de activistas, se está planeando realizar un ataque contra esta empresa que implicaría la publicación de datos de las bases de datos y correos electrónicos junto con un defacement de la web principal.

Desde el laboratorio de ESET en Ontinet.com, desconocemos si los atacantes tienen realmente estos datos en su poder o si los harán públicos, aunque experiencias recientes apuntan a que así será. Mientras tanto, seguiremos informando de cualquier novedad al respecto, ya que parece que esta campaña electoral va a estar bastante animada con estas filtraciones.

Josep Albors

Una de las características que hacen de este malware un ejemplar singular es que se parece bastante a Stuxnet, uno de los gusanos más sofisticados (si no el que más) de los detectados en los últimos años. Ahora nos encontramos en el proceso de diseccionar  los binarios de Duqu.

Tras unos primeros análisis preliminares es evidente que Duqu está basado en el código fuente de Stuxnet. Desde el punto de vista de la arquitectura del malware, Duqu es prácticamente idéntico a Stuxnet: en esencia, hay un driver en modo kernel que inyecta una librería DLL en procesos específicos del sistema. Esta DLL incluye la carga maliciosa en su interior y exporta una serie de rutinas que realizan unas acciones específicas. Además de las similitudes en la arquitectura, los módulos de Duqu son muy similares a Stuxnet desde un punto de vista binario: se usaron las mismas clases y estructuras para compilar tanto Stuxnet como Duqu. Obviamente, estos módulos no son 100% idénticos, pero hemos encontrado patrones idénticos de código.

Desde que los investigadores empezaron a analizar Duqu se han formulado muchas preguntas, muchas de las cuales permanecen sin respuestas. En concreto, no tenemos ninguna información (pública) sobre el archivo que descargaba Duqu ni de cómo y cuándo se instaló en las máquinas infectadas. Esta información es vital a la hora de realizar un análisis forense. Con respecto a la fecha en la que este malware fue  instalado, esta puede encontrarse en el archivo de configuración. Debido a que Duqu tiene especificado permanecer en el sistema solo durante un periodo de tiempo (después del cual se elimina del sistema), creemos razonable asumir que la fecha de la infección se almacenaba en algún lugar del archivo de configuración. No fue difícil averiguar el código responsable de implementar este almacenamiento y, por tanto, determinar qué ubicación se usaba  en los datos de configuración para almacenar la fecha de la instalación.

La fecha en la que Duqu se ejecuta por primera vez en el sistema infectado se almacena en format UTC, en el offset 0×123 desde el principio del archivo de configuración. Basándose en estos datos, es posible determinar la fecha en la que Duqu penetró en el sistema.

En el informe “Duqu: el precursor del siguiente Stuxnet”, el autor menciona que una de las modificaciones de Duqu que ellos analizaron tiene una esperanza de vida de 36 días y, cuando alcanza esa fecha, el malware se elimina a si mismo del sistema.

Para obtener este valor necesitamos descifrar el archivo de configuración con el siguiente criptoalgoritmo personalizado:

Resulta interesante destacar que el array gamma usado para descifrar los datos consiste en 8 elementos, de los cuales solo los 7 primeros son usados. A pesar de que esto puede ser intencionado, consideramos que es más probable que se trate de un pequeño error en su implementación.

Basándonos en el análisis de varias muestras, observamos que la esperanza de vida es diferente según la muestra analizada. Este valor se define en los datos de configuración (palabra en el offset 0x124E). En las imágenes mostradas a continuación se pueden ver fragmentos de archivos de configuración mostrando información acerca de la esperanza de vida.

• Datos de configuración resaltando la fecha en la que infectó el sistema: 11/08/2011 a las 07:50:01 y con una esperanza de vida de 36 días.

Si bien la mayoría de antivirus hace tiempo que venimos detectando y bloqueando este tipo de malware, este movimiento por parte de Microsoft ayudará a eliminar uno de los códigos maliciosos más extendidos de los últimos tiempos: SpyEye, un malware que transforma a los ordenadores que infecta en parte de una botnet, y que los mantiene a la espera de recibir órdenes de sus centros de comando y control (C&C).

La cantidad de usuarios que forman parte de este tipo de redes varía diariamente, notándose un fuerte descenso cuando se realiza alguna operación que logra desactivar alguno o varios de los centros de control. No obstante, el código de este malware, la manera de gestionar su propagación y los ordenadores infectados se encuentran disponibles por precios muy accesibles, por lo que los ciberdelincuentes siguen usándolo como una de sus armas principales.

La inclusión de la familia de malware SpyEye, junto con la familia de backdoors Poison, en la última actualización de MSRT, denota una apuesta firme por parte de Microsoft para acabar con este tipo de malware, que alcanza ahora la cifra de 165 familias de malware detectadas.

No obstante, desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que la mejor protección es la prevención. Contar con un antivirus actualizado puede evitar que nuestro sistema se vea afectado por estas y muchas otras familias de malware.

Josep Albors

La cantidad y calidad de las charlas que se realizan en este evento suele ser tan elevada que muchas veces tenemos serios problemas para elegir a cuál asistir, ya que se dividen entre las que tienen un componente más técnico, y aquellas con un enfoque más corporativo.

Como patrocinador Platinum del evento, ESET también dispone de un espacio en el que informar a los asistentes de las soluciones de seguridad disponibles. Asimismo, disponemos de una máquina de air-hockey a disposición de todos aquellos que quieran echar unas partidas, ya que vienen muy bien para despejar la mente después de las charlas.

Con la finalidad de informar a nuestros lectores, los miembros del laboratorio de ESET en Ontinet.com que asistimos a Virus Bulletin 2011 recopilamos toda la información acerca de las tendencias del malware más recientes que los investigadores comparten en este evento.

Josep Albors

¿Cómo surge la idea de crear SecuritybyDefault?

Lo cierto es que siempre nos había rondado por la cabeza la idea de hacer un ‘algo’ donde pudiésemos plasmar ideas y conceptos que comentábamos de una forma más informal. Un día dijimos ¿abrimos un blog? Y ahí empezó todo.

¿Cómo os definís y en qué os diferenciáis con respecto a otros blogs de seguridad?

En España hay muchos y muy buenos blogs sobre seguridad, pero tal vez la mayoría están enfocados más a publicar trabajos de investigación cada cierto tiempo, sin una continuidad definida. Nuestro objetivo fue añadir a eso, más enfoques que permitiesen llegar a un ritmo de publicación diario. Nosotros hacemos mucho I+D, hemos publicado decenas de herramientas, publicado investigaciones llevadas a cabo por nosotros, pero además también tenemos espacio para novedades y noticias que nos resultan interesantes.

Un punto fuerte y uno débil de vuestro lado más bloguero

La parte fuerte tal vez sea el compromiso y esfuerzo en el proyecto, y el punto débil que SbD es un blog relativamente nuevo, no pertenece a la hornada de blogs pioneros como Microsiervos o error500 que son los decanos del blogging en España

Sois el Premio Bitácoras al Mejor Blog de Seguridad de 2010, ¿ha cambiado en algo a SbD?

Lo cierto es que esa experiencia fue altamente positiva, ver cómo semana tras semana encabezábamos el ranking de votaciones era algo realmente emotivo. En la fase final (por votación de jurado) esperábamos que el premio fuese para alguno de los otros blogs nominados (Kriptopolis y ‘el lado del mal’) cuando salimos nosotros, ni siquiera teníamos un discurso preparado. Fue toda una sorpresa

En términos generales, ¿cómo ves el cibercrimen?

El cibercrimen, como muchas otras disciplinas, está sujeto a un tipo de ‘darwinismo’ muy acelerado. Evoluciona de una forma muy rápida y sofisticada. Mirando hacia atrás, recuerdo discursos de hace 5 años donde se enumeraban las amenazas informáticas del momento con frases tipo ‘increíblemente sofisticadas, casi de ciencia ficción’. Hoy, después de relativamente poco tiempo, todo lo que se relataba en ese momento ya está obsoleto y ampliamente superado por nuevas ciber-amenazas

¿Qué piensas del estado de la seguridad en España, desde el nivel usuario a la gestión de infraestructuras críticas?

No creo que España se diferencie, en líneas generales, a cualquier otro país europeo en cuanto a amenazas hacia los usuarios. Respecto a infraestructuras críticas, creo que España tiene a su favor no estar bajo la misma presión que otros países más representativos internacionalmente. Evidentemente EEUU, Inglaterra o Irán y Rusia sí son objetivos marcados ‘en rojo’

¿Cómo ves el nivel de los investigadores españoles?

Cada vez más arriba dentro del panorama internacional, el nivel técnico ha subido exponencialmente y ya no es nada raro encontrar Españoles dando charlas en los foros más importantes a nivel mundial

¿Algún consejo para aquellos que quieran encaminar sus estudios a este campo?

Yo creo que hemos pasado de una fase más ‘underground’ donde los conocimientos se adquirían de una forma autodidacta a un momento en el que ya existe formación reglada y certificaciones oficiales.

Los principales peligros actuales, en materia de seguridad informática, para SbD… ¿cuáles son?

A nivel usuario, el principal problema puede llegar por algún fallo en alguno de los muchos servicios ‘en la nube’ que empleamos habitualmente. Ya no es suficiente con la auto-protección, ahora también hay que tener cuidado con el tipo de servicios que empleamos. Por ejemplo, WhatsApp es una aplicación muy popular y de la que nosotros ya hemos publicado varios fallos que permiten robar cualquier cuenta. Ante eso poco se puede hacer por parte del usuario.

A nivel empresa, las principales amenazas son los ataques elaborados con objetivos bien definidos. En este momento ese tipo de amenazas parece que son solo un problema para empresas grandes como Google o EMC, pero no tardaremos en ver incidentes hacia empresas menos conocidas.

Tu sueño, en materia de seguridad informática, es……

Supongo que, una sociedad donde ser profesional de la seguridad no sea visto como un ‘bicho raro’, o asociado a películas tipo ‘Operación Swordfish’, sería un avance positivo

¿Y personalmente?

Me atrae mucho la idea de integrarme profesionalmente en algún equipo orientado al I+D en seguridad.

¿Crees que en algún momento estaremos seguros en la Red?

Se avanzará, de eso no me cabe duda, pero no tengo muy claro si a costa de amenazar ciertas libertades personales. Creo que mucha gente intenta ‘regular’ la red y una de las excusas dadas es para ‘proteger’ a los usuarios

Para finalizar, ¿cual es tu top 3 de consejos de seguridad?…

• Intentar limitar la exposición en servicios que no gestionas tu (correo, redes sociales, almacenamiento remoto…)

• Pensar de una forma ‘defensiva’ y asumir los menores riesgos posibles

• Aplicar el sentido común

Josep Albors