• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (10)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (117)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (153)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (78)
  • Productos (42)
  • ransomware (11)
  • redes sociales (110)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (289)

• Archivos

  • junio 2013 (18)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Facebook soluciona una vulnerabilidad que permitía tomar el control de cualquier cuenta

De nuevo estamos ante un fallo de seguridad en Facebook que podría hacer que un atacante tomase el control de cualquier cuenta. Hace unos meses vimos cómo, aprovechándonos de un error en el procedimiento de restablecimiento de contraseñas, se podía cambiar la contraseña de cualquier usuario de Facebook sin conocer la anterior, lo que en la práctica llevaría  a acceder a cualquier cuenta.

En esta ocasión, el procedimiento para acceder a cualquier cuenta de esta red social era un poco más elaborado, pero igualmente exitoso. Antes que nada hay que resaltarque esta vulnerabilidad ya se encuentra solucionada gracias a que el investigador Nir Goldshlager, quien la descubrió, avisó a los desarrolladores de Facebook para que tomaran las medidas pertinentes, algo que le honra.

Con respecto al fallo en sí, este se resume en la obtención de los tokens de acceso de los usuarios cuando estos acceden a una web (usando cualquier navegador), sin necesidad de que las víctimas tengan instalada ninguna aplicación en concreto. Al conseguir estos tokens, el atacante podría acceder sin restricciones a las cuentas comprometidas hasta que la víctima cambie su contraseña.

Según ha publicado este investigador en su web, OAuth se usa en Facebook para realizar comunicaciones entre las aplicaciones y los usuarios. Normalmente, los usuarios deben permitir/aceptar la petición de la aplicación para acceder a su cuenta antes de que esta comunicación se realice. Hemos de tener en cuenta que cada aplicación de Facebook puede pedir permisos diferentes.

De esta forma podemos encontrar aplicaciones como Diamond Dash o Texas Hold’em Poker, que solo tienen permisos para acceder a nuestra información básica o publicar en nuestro muro. Este investigador encontró una forma de obtener permisos completos (leer nuestros mensajes, gestionar nuestras páginas, añadir fotos privadas, vídeos, etc.) en la cuenta de la víctima sin que este tenga ninguna aplicación instalada.

Si analizamos una dirección URL de una comunicación OAuth vemos que tiene este aspecto.

https://www.facebook.com/dialog/oauth/?app_id=YOUR_APP_ID&next=YOUR_REDIRECT_URL&state=YOUR_STATE_VALUE &scope=COMMA_SEPARATED_LIST_OF_PERMISSION_NAMES

Observamos varios campos en los que se ha de incluir un valor. El campo APP_ID representa el identificador de la aplicación, siendo este un identificador único para cada una de ellas. Por ejemplo, para la aplicación Diamond Dash el app_id=2 y para Texas Hold’em Poker sería el app_id=3.

El siguiente parámetro NEXT=REDIRECT_URL solo acepta el dominio del propietario de la aplicación. De esta forma, para la aplicación Texas Hold’em Poker solo valdría el dominio zynga.com como válido (p.ej. next=http://zynga.com). Si el dominio no se corresponde en ese parámetro, Facebook bloqueará esa acción tal y como vemos a continuación.

Facebook realiza una comprobación entre el parámetro app_id y el parámetro next, enviando también un token de acceso usando una petición GET al propietario de la aplicación una vez que el usuario ya le ha concedido permiso.

A partir de esta información, el investigador se dedicó a intentar cambiar el parámetro que se había de incluir en el parámetro next a un dominio de su elección sin que Facebook bloqueara esta acción. De esta manera averiguó que, usando un subdominio como xxx.facebook.com, la acción se le aceptaba como válida.

No obstante, si se intenta acceder a alguna carpeta o fichero en este tipo de subdominio x.facebook.com (x.facebook.com/xx/x.php), Facebook lo bloqueaba. Fue entonces cuando se dio cuenta de que facebook.com usa una almohadilla (#) y un símbolo de exclamación en su dirección URL de la siguiente forma: x.facebook.com/#!/xxxx.

Tras varias pruebas, el investigador comprobó cómo Facebook no consideraba como válido esta dirección dentro del parámetro next (next=x.facebook.com/%23!/). No obstante, si introducía algo entre la almohadilla y el símbolo de exclamación (%23x!), Facebook no lo bloqueaba.

A pesar de esto, si introducimos una dirección del tipo https://beta.facebook.com/#xxx!/messages/ esta acción no se trata de la misma forma que si incluimos los símbolos #! y no nos redirigirá a la pantalla de mensajes. A partir de aquí el investigador empezó a probar diferentes combinaciones de caracteres hasta que descubrió un par que funcionaba en todos los navegadores:
%23~!

%23%09!

Este truco servía para subdominios de Facebook como pudieran ser touch.facebook.com/#%09!/,m.facebook.com/#~!/ o cualquier otro dominio de Facebook mobile o Touch). De esta forma se podría redirigir a un usuario a  cualquier archivo o directorio existente en un subdominio de Facebook. En este punto, el investigador creó una aplicación de Facebook que redirigiera a un usuario a una web externa, acción que le permitiría obtener el token de acceso del usuario.

De esta forma se puede redirigir al usuario a una aplicación maliciosa que, a su vez, redirige a un enlace externo donde se captura y se almacena el token de acceso de la víctima. Por defecto, las aplicaciones solo cuentan con una serie de permisos básicos pero se pueden cambiar y añadir que soliciten nuevos permisos, aunque este método tiene sus limitaciones, ya que se requiere que el usuario acepte todos los permisos.

Esto no parecía lo suficientemente poderoso para este investigador, por lo que intentó conseguir permisos totales (lectura de los mensajes, envío de mensajes, gestión de páginas, acceso a fotos y vídeos privados, etc.) en la cuenta de la víctima sin tener que instalar ninguna aplicación.

De ahí surgió la idea de utilizar un identificador de aplicación diferente al que viene asociado por defecto, por ejemplo el de Facebook Messenger. La pregunta es, ¿necesita un usuario aceptar como aplicación permitida a Facebook Messenger en su cuenta de Facebook? La respuesta es que no.

Esto es debido a que existen aplicaciones incluidas en Facebook que no requieren de los permisos de los usuarios, contando estas aplicaciones con un control total de nuestra cuenta.

Gracias al análisis de este investigador y al haber informado a los responsables de la seguridad de Facebook, este fallo ya se encuentra solucionado. Es importante destacar la labor desinteresada buscando vulnerabilidades que realizan muchos investigadores y agradecer su esfuerzo en hacer de nuestros sistemas e Internet un lugar más seguro.

Josep Albors

Microsoft también cae víctima de un ciberataque

El viernes a última hora Microsoft anunció que algunos de sus equipos se habían visto comprometidos al igual que anteriormente sucedió con Facebook y Apple. Según esta empresa, el ataque presenta muchas similitudes con estos casos anteriores, entre los que incluiríamos también los sufridos por Twitter y varios prestigiosos periódicos estadounidenses.

Según el anuncio de Microsoft, se encontró un pequeño número de ordenadores afectados, entre los que se encuentran algunos incluidos dentro de la división de negocios para Mac. No obstante, la empresa anunció que no se habían visto comprometidos datos de los usuarios, aunque la investigación continua adelante.

Este tipo de ataques han sido la tónica general en las últimas semanas, afectando a grandes empresas como las ya mencionadas pero también a otras que aún no han reconocido esta intrusión, y entre las que posiblemente encontremos algunas relacionadas con sectores críticos como el energético o la defensa.

Aunque algunos medios generalistas (y alguno de los afectados también) hable de ataques muy sofisticados provenientes de China, la realidad es que la técnica usada para comprometer tantos ordenadores en tantas empresas importantes no es especialmente avanzada.

La utilización de vulnerabilidades en Java para propagar amenazas es algo que venimos observando desde hace años. El problema no es tanto el aprovechamiento de estas vulnerabilidades, sino la política de gestión y actualización de estos agujeros de seguridad que la mayoría de empresas aún aplican y que resultan inefectivas.

Entendemos que para los usuarios de una empresa no es fácil desprenderse de una tecnología como Java que es usada de forma muy importante. No obstante, solo con que se deshabilitase Java en el navegador ya se hubieran mitigado la mayoría de estos incidentes.

La industria de la seguridad también tiene parte de responsabilidad en este aspecto, puesto que las medidas de seguridad que se han venido recomendando desde hace años son insuficientes para detener este tipo de amenazas, más si el usuario hace caso omiso a las actualizaciones del sistema y de productos de terceros como los de Java o Adobe.

Es por ello que se hace necesario aplicar una estrategia de concienciación y educación por parte de todas las partes implicadas. Se ha de conocer el sistema operativo que se usa, con sus puntos fuertes y débiles, y reconocer todos los vectores de ataque que se pueden usar para atacar nuestros sistemas, haciendo hincapié en la formación del eslabón más débil, que suele ser el usuario.

Una vez hecho esto, podremos empezar a preparar una estrategia de defensa eficaz, siempre teniendo en cuenta que la seguridad absoluta no existe, pero podemos mitigar la mayoría de ataques o recuperarnos de uno rápidamente si hemos preparado y aplicado un plan de contingencia eficaz.

Josep Albors

Vulnerabilidad permitiría ejecutar malware en Blackberry Enterprise Server

Aunque Blackberry haya perdido en los últimos años una importante cuota de mercado en el rango de móviles enfocados especialmente al segmento corporativo, aún sigue siendo un referente, especialmente por la buena reputación que tiene la herramienta Blackberry Enterprise Server.

Esta herramienta permite sincronizar dispositivos inalámbricos como teléfonos móviles con servicios tan esenciales en el entorno corporativo como puedan ser el correo electrónico. Entre los servicios que soporta la sincronización encontramos algunos tan usados como Microsoft Exchange o Lotus Domino de IBM.

Recientemente, RIM anunció la existencia de una vulnerabilidad en esta herramienta, y más concretamente en Blackberry MDS Connection Service y BlackBerry Messaging Agent. Esta vulnerabilidad reside en la manera en la que se manejan imágenes con formato TIFF cuando se visualizan en correos electrónicos, páginas web o el propio servicio de mensajería de Blackberry.

Aprovechándose de esta vulnerabilidad, un atacante podría preparar una imagen TIFF de forma especial y enviarla al usuario en forma de enlace o fichero adjunto al correo. Dependiendo del vector de ataque usado, el usuario deberá pulsar sobre el enlace proporcionado o tan solo recibir el mensaje enviado por el atacante sin ninguna otra interacción por su parte para que se aproveche la vulnerabilidad.

Una vez se ha conseguido aprovechar este fallo de seguridad, un atacante podría obtener acceso a ejecutar código en Blackberry Enterprise Server. Dependiendo de la configuración de los permisos disponibles en la cuenta comprometida, el atacante podría obtener acceso a otras secciones de la red.

De esta forma se puede llegar a alojar malware en este tipo de servidores de BlackBerry y acceder de forma remota a ellos o a la propia red de la empresa. También se podría causar, bajo algunas circunstancias, la caída de la red corporativa. Lo que cabe resaltar en este caso es que la vulnerabilidad no se encuentra en los dispositivos móviles, sino en el Blackberry Enterprise Server.

Por su parte, RIM ha informado de que no tienen constancia de que se hayan realizado ataques de este tipo en sus clientes, aunque se recomienda que actualicen el software a la versión más reciente o se realicen una serie de pasos para mitigar el agujero de seguridad en el caso de que no se pueda proceder a la actualización.

Es importante que las empresas tomen conciencia de los peligros a los que se exponen si no toman las medidas adecuadas y responden rápidamente ante incidentes de seguridad como el que acabamos de comentar. Actualmente son un objetivo muy apetecible para los ciberdelincuentes y debemos estar preparados para evitar ser víctimas fáciles de un ataque que pueda comprometer los datos sensibles de nuestro negocio, independientemente de su tamaño.

Josep Albors

Empleados de Apple, nuevas víctimas de ataques dirigidos usando Java

Tras los ataques sufridos durante las últimas semanas por varios periódicos estadounidenses de renombre, Twitter y Facebook, ahora es Apple la que reconoce que algunos ordenadores  de sus empleados fueron infectados por atacantes que responden a un patrón muy similar a los que realizaron los ataques anteriores.

De la misma forma que en el caso de Facebook, los empleados de Apple fueron infectados al visitar una web legítima dirigida a desarrolladores de iPhone. Como es de esperar, en este caso y al tratarse de empleados de Apple, el malware estaba pensado para infectar ordenadores Mac, aprovechando de nuevo una vulnerabilidad en Java como vector de ataque.

Junto con los casos anteriores podemos decir que estamos ante una nueva campaña de ataques a objetivos importantes que incluyen, además de los ya mencionados, a otras empresas entre las que se encuentran contratistas de defensa. No obstante, aún es difícil decir cuándo empezaron los ataques, qué porcentaje de éxito han tenido los ataques, si estos aún siguen activos o si se han identificado todas las máquinas infectadas.

Como medida de prevención para evitar que se repitan este tipo de ataques, tanto Oracle como Apple han lanzado actualizaciones de Java para solucionar el agujero de seguridad que se ha aprovechado para infectar un indeterminado número de máquinas. Independientemente del sistema operativo que utilicemos, si tenemos Java instalado y su uso es necesario, es de vital importancia que actualicemos lo antes posible.

Según Charlie Miller, un reputado investigador especializado en la seguridad de productos Apple, este tipo de incidentes demuestran que los ciberdelincuentes están destinando cada vez más recursos en atacar el sistema Mac OS/X y así conseguir más víctimas entre los usuarios de Apple.

“El único motivo por el cual los Mac eran seguros anteriormente era que nadie se preocupaba por atacarlos. Esta seguridad termina cuando alguien se fija en esta plataforma y decide que son un objetivo interesante”, declaró Miller.

A pesar de estos ejemplos de infecciones y que las vulnerabilidades en software multiplataforma siguen siendo un importante vector de ataque, aún hay muchos usuarios que confían en su seguridad solamente por usar un sistema operativo determinado. Casos como el que acabamos de comentar deberían servir para cambiar esta mentalidad y empezar a aplicar medidas de seguridad adaptadas a las amenazas actuales.

Josep Albors

Infectan ordenadores de empleados de Facebook usando vulnerabilidad de Java

Hace unas semanas informábamos de una serie de ataques dirigidos que tuvieron como objetivo algunos de los más prestigiosos periódicos estadounidenses y a la conocida red de microblogging Twitter. Muchos investigadores apuntan a la utilización de una vulnerabilidad 0-day (para la cual no existía solución en el momento de ser utilizada) en Java como método de acceso usado por los atacantes para conseguir introducir malware en los ordenadores de las víctimas.

Ahora hemos conocido que Facebook también sufrió una intromisión similar en varios ordenadores de sus empleados en las mismas fechas. En un comunicado hecho público por esta red social, han confirmado que la intrusión se llevó a cabo durante el pasado mes de enero y que se realizó utilizando un ataque “sofisticado” al visitar los empleados una página web que contenía un exploit para una vulnerabilidad de Java.

 Tras descubrir y analizar la intrusión se pudo comprobar que no se accedió a datos de usuarios de Facebook, ya que los ordenadores pertenecían a ingenieros de la empresa sin acceso a ellos. Tampoco se ha mencionado el sistema operativo atacado, más allá de comentar que se encontraba totalmente actualizado y contaba con protección antivirus, aunque siendo un ataque que aprovechaba una vulnerabilidad en un software multiplataforma como es Java, el sistema operativo utilizado es irrelevante.

Con respecto al ataque en sí, de nuevo vuelve a mencionarse la palabra “sofisticado” para referirse a la técnica utilizada que logró infectar estos ordenadores. Últimamente se está utilizando mucho esta excusa para salir del paso, presentando un ataque como altamente elaborado siendo prácticamente inevitable que este consiguiera su objetivo.

¿Pero son estos ataques tan sofisticados como se dice? La realidad es bien distinta y, si bien una vulnerabilidad 0-day le permite a un atacante jugar con cierta ventaja, no es menos cierto que el uso de Java en aquellos entornos en los que no sea estrictamente necesario (y más aun en los navegadores) se viene desaconsejando desde hace meses y es algo que hubiera evitado un ataque de este tipo.

Así pues, la mayor “sofisticación” que han usado los ciberdelincuentes en este ataque ha sido conseguir infectar una web legítima (algo que sucede todos los días en miles de webs) y usar una vulnerabilidad en un software cuya descripción gráfica de seguridad más acertada sería la de un colador.

Por desgracia, este tipo de ataques siguen cosechando importantes éxitos entre usuarios de todos los perfiles, desde el más descuidado hasta aquellos con acceso a datos clasificados como importantes. Mientras no apliquemos medidas de seguridad adicionales a las usadas hasta ahora como la limitación del uso de aplicaciones con conocidos y repetidos fallos de seguridad, la aplicación inmediata de parches de seguridad que solucionan graves vulnerabilidades y el conocimiento a fondo del sistema operativo usado con sus fortalezas y puntos débiles, el éxito de estos ataques está garantizado.

Josep Albors

 

Nueva vulnerabilidad en Adobe Reader

Si la semana pasada comentábamos en este blog cómo Adobe había publicado un parche que solucionaba dos vulnerabilidades en Flash Player, hoy tenemos que volver a hablar de una vulnerabilidad en otros productos de la misma empresa, Adobe Reader y Acrobat.

La empresa de seguridad FireEye ha anunciado el descubrimiento de una vulnerabilidad 0-day que, supuestamente, estaría siendo aprovechada en las versiones de Adobe PDF Reader 9.5.3, 10.1.5 y 11.0.1. Tras conseguir aprovechar esta vulnerabilidad, los atacantes descargan dos librerías DLL. La primera de ellas muestra un mensaje de error y abre un documento pdf usado como cebo para que el usuario no sospeche. La segunda librería descarga un componente que se conecta a un servidor remoto.

De confirmarse la información proporcionada por FireEye supondría el primer caso de malware que se salta la protección sandbox que incluye Adobe Reader en sus últimas versiones. Esta protección se diseñó para mitigar el daño ocasionado por este tipo de ataques, aislando el contenido web de las partes más sensibles del sistema operativo. De esta forma, el malware ocasionaría que la aplicación fallase pero evitaría que se ejecutase código malicioso en los sistemas.

Adobe ha anunciado que se encuentra analizando las muestras recibidas y que actualizarán la información al respecto de esta nueva vulnerabilidad tan pronto como sea posible. Mientras tanto, se aconseja a los usuarios tener mucha precaución a la hora de abrir documentos PDF y evitar usar Adobe Reader en la medida de lo posible hasta que se solucione este fallo, pudiendo usar un lector de PDF alternativo mientras tanto.

Josep Albors

Microsoft publica un mega-parche de actualizaciones

Siguiendo su periodicidad habitual de publicar boletines de seguridad el segundo martes de cada mes, Microsoft lanzó ayer sus 12 actualizaciones de seguridad con los que soluciona hasta 56 vulnerabilidades, muchas de ellas críticas. Este número puede parecer una cantidad elevada pero no es el más elevado que se haya lanzado puesto que este honor recae en las 64 actualizaciones publicadas en abril de 2011.

Uno de los programas de Microsoft que más parches ha recibido ha sido el navegador Internet Explorer. Tras haber recibido un parche fuera de ciclo en enero por la grave vulnerabilidad que estaba siendo aprovechada activamente en las versiones 6, 7 y 8 del navegador, este mes son trece los parches que le afectan directamente.

El resto de las actualizaciones afectan al sistema Windows en general, Exchange Server, Office, Windows Server y FAST Search Server 2010 para Sharepoint. Al respecto de los sistemas Windows operativos afectados por estas actualizaciones, estos son todos los que actualmente soporta Microsoft, incluyendo Windows RT,  diseñado para la versión de la tableta Surface basada en arquitectura ARM.

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows RT
• Windows Server 2003
• Windows Server 2008
• Windows server 2008 R2
• Windows Server 2012

Las actualizaciones ya se encuentran disponibles para todos los usuarios desde Windows Update. No hace falta decir que la aplicación de estos parches de seguridad es altamente recomendada para evitar que se sigan aprovechando los agujeros de seguridad que se solucionan.

Josep Albors

Adobe publica un parche que soluciona dos vulnerabilidades en Flash Player

Ayer por la tarde recibíamos la noticia de una actualización de emergencia para Flash Player por parte de Adobe que solucionaba dos vulnerabilidades 0-day (que ya estaban siendo aprovechadas por atacantes). Según la información proporcionada por la propia Adobe, al menos una de estas vulnerabilidades estaba siendo utilizada para descargar malware en sistemas Windows y Mac.

Estamos de nuevo en una situación similar a ocasiones anteriores, en las que un agujero de seguridad se está usando de forma activa por atacantes para descargar malware en los ordenadores de los usuarios mediante un contenido malicioso de Flash. Este contenido malicioso suele alojarse en sitios webs (legítimos o no), o convenciendo al usuario para que abra un documento de Word que se incluye como adjunto de un email.

Debido a que este fallo de seguridad está siendo aprovechado activamente, se recomienda la actualización de Flash Player a todos los usuarios que lo tengan instalado. Estas actualizaciones están disponibles para Windows, Linux, Mac y Android.

Tanto Adobe como Oracle han lanzado actualizaciones críticas para sus productos esta semana, lo que demuestra que siguen siendo una de las principales puertas de entrada del malware a nuestros sistemas. La funcionalidad multiplataforma de este software las hace idóneas también para propagar amenazas a diferentes sistemas operativos sin realizar un excesivo esfuerzo adicional por parte de los ciberdelincuentes.

Tal y como se ha recomendado en muchas ocasiones anteriores, la actualización de Flash Player es altamente recomendable, puesto que, de no hacerlo, estaremos dejando una puerta abierta a peligrosas amenazas.

Josep Albors

¿Son seguras las conexiones seguras?

Esta pregunta, cuya respuesta parece más que obvia, no lo es tanto si nos paramos a pensar en qué confiamos o llamamos seguro cuando hablamos de comunicaciones a través de Internet.

Actualmente, muchos de nosotros estamos cansados de recibir consejos del tipo “un sitio es seguro si este lleva un candadito en la barra de direcciones del navegador”. Durante años, este consejo no ha parado de repetirse hasta la saciedad y no le falta razón, aunque se ha demostrado que es posible colocar este “candadito” en un sitio no precisamente seguro.

Esta seguridad venía dada por los protocolos usados, SSL primero y TLS después, quienes se aseguraban de que la información que se enviaba entre dos puntos a través de Internet se encontraba convenientemente cifrada, de forma que si alguien estuviese espiando solo vería un flujo de datos sin sentido aparente.

No obstante, estos protocolos de cifrado puede que no sean tan seguros como creíamos, y es que unos investigadores británicos han descubierto un fallo de seguridad en el protocolo TLS (el más usado actualmente). Tranquilos, no acudamos en masa a sacar nuestro dinero del banco y a refugiarnos en un búnker, puesto que ya se está trabajando en una solución y, actualmente, aún es difícil realizar un ataque aprovechando esta vulnerabilidad.

Cuando pensamos en una conexión segura, lo primero que se nos viene a la cabeza es la banca online, tan útil hoy en día pero que también conlleva numerosos robos por parte de los ciberdelincuentes. Si un fallo así fuese aprovechado de forma masiva, se pondría en jaque todo este sistema de confianza, ya que cualquiera que estuviese espiando nuestras comunicaciones podría averiguar nuestras credenciales de acceso y vaciar nuestra cuenta corriente.

El ataque del que estamos hablando y que se ha denominado Lucky Thirteen es la evolución de otro ataque anterior (Padding Oracle Attack) que ya fue solucionado y se aprovecha de un fallo en la verificación del código de autenticación del mensaje (MAC), siendo la mayoría de las implementaciones actuales de TLS vulnerables.

Por suerte y previsión de los descubridores de este fallo de seguridad, las principales empresas y organizaciones (entre las que encontramos a Microsoft, Apple, Opera, Oracle, Cisco o Google) que implementan o han desarrollado software basándose en TLS/DTLS ya han sido informadas y se encuentran desarrollando parches para solucionar esta vulnerabilidad.

Es difícil decir cuándo estará completamente solucionado este fallo, puesto que la implementación de TLS es tan grande que resulta difícil asegurar que todas las empresas podrán solucionarlo en un corto espacio de tiempo. A pesar de ello, es improbable que veamos ataques de este estilo a corto plazo, ya que, por una parte, los investigadores han necesitado meses para poder desarrollar una herramienta de ataque y, por otra, el atacante necesita ubicarse muy cerca del servidor TLS para poder obtener los datos cifrados, aunque puede usarse una red Wi-Fi para acceder a una red local y no depender de un acceso directo a la máquina a la que se quiera atacar.

Se agradece que investigadores como los que han descubierto esta vulnerabilidad hayan alertado de ella y proporcionen toda la información necesaria para mitigarla. Esto ayuda a evitar que los ciberdelincuentes se aprovechen de este fallo de seguridad en beneficio propio y a nosotros a seguir contando con comunicaciones seguras, o casi.

Josep Albors

El primer mes de 2013 ha sido el de las vulnerabilidades

Si tuviéramos que asignar un nombre propio al mes de enero relativo a la seguridad le llamaríamos “vulnerabilidad”, porque esta ha sido la tónica general de los acontecimientos con mayor repercusión, entidad y alcance durante enero. Facebook y Twitter, siguendo la tónica de los últimos meses, también han estado en el punto de mira, tanto por problemas de seguridad como de privacidad.

Empezábamos el año con el descubrimiento de una nueva vulnerabilidad en el navegador Internet Explorer, vulnerabilidad que se estaba aprovechando para, por ejemplo, propagar malware desde la web de la importante organización Council on Foreign Relations. Esta vulnerabilidad estaba presente en las versiones 6, 7 y 8 de Internet Explorer, por lo que el número potencial de víctimas era muy elevado.

A pesar de no haber lanzado un parche de seguridad en las actualizaciones periódicas que Microsoft publica cada segundo martes de cada mes, la solución solo tardó unos pocos días más, lo que, aparentemente, ha ayudado a contener el número de usuarios afectados. A día de hoy, la vulnerabilidad se encuentra solucionada, pero esto no evita que muchos usuarios sigan vulnerables, ya que aún no han aplicado el parche que la soluciona.

Otro de los principales protagonistas en temas de seguridad del primer mes del año ha sido Java. El descubrimiento de una nueva vulnerabilidad en la versión más reciente hasta ese momento del software de Java activó todas las alarmas, puesto que se comprobó que estaba siendo incluida en los principales kits de exploits para así explotarla de forma activa.

Una de las primeras amenazas que no dudó en aprovecharse de esta nueva vulnerabilidad para propagarse fue una variante del conocido como “Virus de la Policía”, incluyendo variantes destinadas a usuarios españoles. Como ya vimos en casos anteriores, estas amenazas utilizaban sitios legítimos que habían visto comprometida su seguridad para propagarse e infectar al mayor número de usuarios posible.

A los pocos días de conocerse la noticia de esta nueva vulnerabilidad, Oracle lanzó una actualización que, aparentemente, la corregía. No obstante, el análisis a fondo de este parche desveló que solo se solucionaba parcialmente el problema y que la vulnerabilidad seguía presente, pudiendo ser explotada. A raíz de esto, pudimos ver cómo en varios foros underground se empezaba a vender una nueva vulnerabilidad para Java a un precio relativamente bajo.

Asimismo, esta vulnerabilidad junto con la anteriormente mencionada en Internet Explorer se usó en un supuesto caso de ciberespionaje a organizaciones no gubernamentales, organismos oficiales y empresas discrepantes con el Gobierno chino. Alojando un malware en el sitio web de la organización francesa “Reporteros sin fronteras” se consiguió afectar a objetivos  como organizaciones de derechos humanos del pueblo tibetano y la etnia uigur, así como también partidos políticos de Hong Kong y Taiwan, entre otras.

Este mes también ha sido bastante prolífico en cuanto a agujeros de seguridad en dispositivos. Por una parte se anunció una vulnerabilidad en cierto modelo de routers de la marca Linksys. Según los investigadores que la hicieron pública se podría tomar el control de este modelo de router incluso con la última versión del firmware disponible instalada. No obstante, la información incompleta proporcionada (fácilmente manipulable) y el hecho de que se trate de un modelo antiguo del cual muchas unidades no llevan el firmware oficial, limitaba mucho los efectos de esta vulnerabilidad.

Asimismo, hicimos un repaso a la seguridad de millones de dispositivos conectados a Internet y que se encuentran expuestos a ataques o intrusiones no autorizadas. En meses anteriores hemos comentado los casos de cámaras IP, Smart TVs o impresoras. Aunque no son pocos los avisos que se han realizado al respecto en los últimos meses, aun hoy hay una cantidad importante de dispositivos vulnerables expuestos en Internet.

De nuevo, Facebook

Durante el pasado mes, las redes sociales también tuvieron su parte de protagonismo con varios temas relacionados con su seguridad y privacidad. Facebook, por ejemplo, solucionó una vulnerabilidad que, de forma muy sencilla, permitía cambiar la contraseña de cualquier usuario de Facebook sin conocer la anterior.

Siguiendo con Facebook, en una presentación realizada el 15 de enero se anunció Facebook Graph Search. Este nuevo sistema de búsqueda se aprovecha de la gran cantidad de información que esta red social posee de sus usuarios para mostrar resultados basándose en diferentes perfiles de personas, su ubicación y sus aficiones. Esto, que en principio puede ser usado por todos los usuarios para conocer a gente con gustos similares cerca de nosotros, también puede ser usado por empresas de marketing para bombardearnos con publicidad personalizada o de forma maliciosa por atacantes para recopilar información de sus víctimas.

Twitter también ha sido vulnerable

Por su parte, Twitter también solucionó una vulnerabilidad que permitía que aplicaciones de terceros tuvieran acceso a nuestros mensajes privados, aunque no hubiesen pedido permiso para ello en el momento de su instalación. Esta vulnerabilidad fue solucionada por parte de Twitter sin avisar a los usuarios, aunque sigue siendo recomendable que revisemos las aplicaciones a las que hemos concedido permisos en nuestra cuenta de Twitter para no llevarnos sorpresas desagradables.

Los ciberdelincuentes siguieron usando Twitter para seguir propagando sus amenazas, y durante el mes pasado detectamos casos de phishing, propagando un enlace acortado malicioso usando mensajes directos entre usuarios en el que se indicaba que se estaba hablando mal de nosotros. Todo esto estaba diseñado para robar credenciales de los usuarios y disponer de cuentas de Twitter desde las cuales seguir propagando amenazas.

En enero también vimos el resurgir de Megaupload, justo cuando se cumplía un año de su cierre. Este nuevo servicio, conocido simplemente como Mega, promete muchas novedades entre las que se incluye una mayor seguridad y privacidad aunque varios investigadores se encargaron de revisar estos aspectos y descubrieron que habían fallos importantes que solucionar.

Otro tema que dio bastante que hablar durante el pasado mes fue el descubrimiento de nuevos certificados fraudulentos de Google. Y también analizamos en nuestro laboratorio otro tipo de vulnerabilidades, como la que afectó al complemento de Foxit PDF Reader para el navegador Firefox

Uno de los servicios gratuitos de correo electrónico más usados en Internet, Yahoo Mail, vio cómo un investigador demostraba mediante una prueba de concepto que era posible realizar un ataque XSS. En caso de haberse usado de forma maliciosa, hubiera podido llegar a afectar a cerca de 400 millones de usuarios.

Durante las últimas semanas también analizamos un caso de malware diseñado para Linux y que utilizaba una versión troyanizada del conocido demonio SSH para abrir puertas traseras en los sistemas que infectaba y permitir que un atacante accediera a ellos y los controlase. Esta versión maliciosa se estaba sirviendo desde algunos repositorios que habían visto comprometida su seguridad debido al uso de versiones  vulnerables de aplicaciones o unas contraseñas demasiado débiles.

En cuanto a los ejemplares de malware que más se han distribuido, este es el top 10 de las amenazas informáticas que más se han distribuido durante este mes de enero:

Como ves, hemos tenido de todo. Sin ninguna duda, ha sido un mes muy intenso desde el punto de vista de la seguridad y un avance de lo que, probablemente, va a seguir siendo el resto del año. ¡Estaremos muy atentos!

¡Feliz semana, trop@!

Josep Albors

Yolanda Ruiz

« Artículos Posteriores — Artículos Anteriores »