En los últimos meses hemos analizado una campaña de ataques dirigidos que intentó robar información confidencial de diferentes organizaciones de todo el mundo, pero especialmente en Pakistán. Durante el transcurso de nuestras investigaciones descubrimos varias pistas que indicaban que esta amenaza tenía su origen en India y ha estado activa durante dos años por lo menos. Nuestra investigación empezó con un certificado de firma de código y un exploit, ampliándose el alcance de la investigación desde entonces.

Certificado de firma de código

Para realizar parte de esta campaña de ataques se utilizó un certificado de firma de código para poder firmar archivos ejecutables y mejorar su potencial para propagarse. Este certificado fue otorgado a finales de 2011 a una empresa India llamada Technical and Comercial Consulting Pvt. Ltd., con sede en Nueva Delhi.

Cuando empezamos nuestra investigación comprobamos que el certificado había sido retirado para aquellos archivos firmados después del 31 de marzo de 2012. Contactamos con VeriSign con pruebas de que este certificado había sido usado de forma maliciosa desde que fue generado y este se retiró de forma rápida e incondicional. En total, encontramos más de 70 ejecutables maliciosos que habían sido firmados usando este certificado. Debido a que cada muestra firmada viene con una marca de tiempo autorizada, nos es posible dibujar una línea temporal que representa cuándo fueron producidos estos archivos.

Imagen 1: línea temporal de las fechas de firmado. Las líneas negras representan la fecha de firma de una muestra.

A partir de la información recopilada descubrimos que los atacantes se encontraban firmando códigos maliciosos de forma activa desde marzo hasta junio de 2012. Así pues, hay un hueco en la línea temporal desde principios de julio hasta principios de agosto de 2012. Posteriormente vimos un pico en el uso de certificados (aunque este ya había sido retirado) en agosto y septiembre de 2012. Hay varias posibles explicaciones acerca de por qué hay un hueco durante el verano de 2012, pero es probable que sea debido a que tanto los atacantes como sus objetivos estuviesen de vacaciones.

A pesar de que la investigación comenzó con este certificado de firma de código, luego descubrimos varias muestras similares sin firmar que fueron usados en esta campaña. Algunos de ellos fueron recopilados en fechas tan lejanas como comienzos de 2011.

Documentos señuelo y descargadores de malware

El primer vector de infección que vimos usaba la famosa vulnerabilidad CVE-2012-0158. Esta vulnerabilidad puede ser explotada aprovechando un documento de Microsoft Office especialmente modificado y permite la ejecución de código arbitrario. En el caso que analizamos se ejecutaba un shellcode en dos fases cuando el usuario abría un documento RTF. Primero el shellcode envía información sobre el sistema al dominio feds.comule.com y luego descarga un binario malicioso desde digitalapp.org.

El otro vector de infección que encontramos usaba ficheros PE camuflados como documentos de Microsoft Word o PDF, siendo distribuidos mayoritariamente por email. Cuando el usuario ejecuta el archivo el programa malicioso descarga y ejecuta archivos maliciosos adicionales (hablaremos de esos ejecutables más adelante). Para evitar cualquier sospecha por parte de la víctima se muestra al usuario un señuelo en forma de documento Word. Hemos identificado varios documentos diferentes con diferentes temáticas.

Una de esas temáticas eran las fuerzas armadas de la India. No contamos con información interna que nos pueda decir que organizaciones o individuos eran los objetivos de estos ficheros. No obstante, basándonos en nuestras métricas de detección, asumimos que tanto algunas personas como instituciones de Pakistán fueron considerados como objetivos.

El texto en el primer documento parece ser un la unión de información de varias fuentes. El falso documento PDF fue entregado mediante un archivo autoextraíble llamado “pakistandefencetoindiantopmiltrysecreat.exe”:

Este otro documento PDF fue entregado mediante un ejecutable llamado “pakterrisiomforindian.exe”:

En este caso, el texto proviene del blog de Defensa Asiática, un blog que agrega noticias sobre ejércitos de Asia. Nuestros datos telemétricos muestran que este fichero fue observado por primera vez en agosto de 2011 en un sistema de Pakistán.

Payloads

Encontramos varios tipos diferentes de payloads instalados por los descargadores de malware, todos ellos orientados a robar datos desde un ordenador infectado y enviarlos a los servidores de los atacantes. La siguiente tabla agrupa los ejecutables en diferentes familias y detalla sus características generales.

La información robada de un ordenador infectado se sube a un servidor del atacante sin cifrar. La decisión de no utilizar cifrado es desconcertante, considerando que añadir un cifrado básico es algo realmente sencillo y proporciona una ofuscación adicional a la operación. La imagen a continuación muestra un registro típico del keylogger:

Los logs son muy detallados y muestran la ventana activa, los caracteres que se han pulsado y las teclas especiales entre corchetes. Dado que estos registros se envían sin cifrado alguno es fácil detectar la presencia de un ordenador infectado en la red examinando el tráfico de red HTTP.

En términos de persistencia, muchos de los ejecutables que hemos analizado añaden una entrada en el menú de Inicio de Windows con un nombre engañoso. La captura que mostramos a continuación muestra un ejemplo de esto:

A pesar de que esta técnica permite a los diferentes componentes de esta amenaza ser iniciados tras cada reinicio del sistema, no puede ser considerada como de ofuscación. Debido a que los ataques dirigidos suelen permanecer ocultos durante tanto tiempo como sea posible, nos sorprendimos al ver la técnica utilizada en este caso.

Infraestructura del centro de mando y control

Muchos de los ejecutables analizados contienen una URL desde la cual se descargan componentes adicionales o a la que se envían los archivos robados desde un sistema infectado. En ocasiones, la URL el centro de mando y control aparece sin cifrar en el ejecutable. Otras veces, se encuentra codificado de forma trivial utilizando una sencilla rotación de un carácter (ROT-1), tal y como se observa a continuación:

“gjmftbttpdjbuf/ofu” encrypted to “filesassociate.net”

Hemos descubierto más de 20 dominios relacionados con esta campaña. A pesar de que algunos aún mostraban un registro de DNS activos, la mayoría de ellos no resolvían una dirección IP. Usando datos históricos de estos dominios fuimos capaces de descubrir dónde se alojaban estos sitios. Resulta que casi un tercio de estos dominios se encontraban alojados por OVH. Este servicio de hosting web tiene fama de alojar algunos sitios con malware y spam. En un reciente informe de HOSTExploit fue colocado en la posición número 5 de 50 por la concentración de actividad maliciosa servida desde un Sistema Autónomo.

La mayoría de los nombres de dominio son muy parecidos a los de sitios web reales o a nombres de empresas. Esta es una táctica común que intenta ocultar la verdadera finalidad del centro de mando y control. Dos ejemplos serían  “wearwellgarments.eu” y “secuina.com”. Los ejemplos anteriores son muy parecidos a la web real conocida como  “wearwellgarments.com” y a la conocida empresa de seguridad Secunia.

Orígenes de los ficheros maliciosos

Analizar esta campaña nos permitió identificar unos cuantos indicadores clave que apuntaban al origen geográfico de estos archivos maliciosos. Creemos que todos ellos provienen de India. Para empezar, el certificado de firma de código fue generado por una empresa India. Adicionalmente, todas las fechas de las firmas de los ejecutables son entre las 5:36 y las 13:45 UTC, lo que concuerda con los turnos de trabajo de 8 horas que se encuentran entre las 10:06 y las 19:15 en la hora estándar local de la India. Esto puede parecer algo tarde pero, considerando que la firma del ejecutables es el último paso en su desarrollo, es muy probable que los autores de este malware estuviesen viviendo en esta zona horaria.

También encontramos varias cadenas en los binarios que están relacionadas con la cultura hindú. En varios scripts se utiliza una variable llamada ramukaka:

Ramu Kaka es el típico sirviente doméstico al estilo de Bollywood. Considerando que esta variable es responsable de conseguir la permanencia en el sistema, esta definición está bastante acorde.

El argumento más revelador lo encontramos en nuestros datos telemétricos. Encontramos que muchas de las variantes de malware ligadas a esta campaña aparecieron en la misma ubicación a lo largo de un periodo de tiempo muy corto. Cada variante solo contaba con diferencias mínimas de otras anteriores, sugiriendo fuertemente un intento por parte del creador de malware para evadir la detección por parte de nuestros productos. Estos ficheros aparecieron en la misma región de India.

Estadísticas de la infección

Nuestros datos telemétricos muestran que Pakistán se encuentra fuertemente afectado por esta campaña. El siguiente gráfico muestra la distribución de las detecciones que hemos observado para todos los archivos maliciosos que hemos relacionado con esta campaña en los últimos dos años.

Gracias a la captura de información realizada desde tres nombres de dominio utilizados por esta campaña también fuimos capaces de recopilar estadísticas de la localización geográfica de los hosts infectados.

Tal y como se puede observar, la distribución regional presentada en los anteriores gráficos es muy diferente. Ucrania y Kazajistán reúnen tres cuartas partes de las direcciones IP observadas durante la operación de captura de información. Esta diferencia puede explicarse por la posibilidad de que los dominios únicos son solo para suboperaciones específicas de esta campaña. Si este fuera el caso, la información recopilada que estamos viendo sería solo una visión muy parcial de toda la campaña.

Conclusión

Este artículo ha examinado la evidencia de una campaña de ataques dirigidos de largo alcance y con diferentes objetivos en todo el mundo. Nuestro análisis indica que toda la campaña se originó en India. A pesar de que hemos visto infecciones en todo el mundo, parece que el objetivo principal es Pakistán. Los ataques dirigidos son demasiado comunes estos días pero este es ciertamente destacable por su fallo a la hora de utilizar herramientas avanzadas para realizar sus ataques. La ofuscación de las cadenas de texto usando una rotación de caracteres simple (un simple cifrado de cambio de letra), la no utilización de cifrado en la comunicación de red, la permanencia en el sistema conseguida mediante el menú de Inicio y el uso de herramientas existentes de acceso público para recopilar información de los sistemas infectados demuestran que los atacantes no realizaron muchos esfuerzos para ocultar su rastro. Por otro lado, probablemente no necesitaron utilizar técnicas de ofuscación porque los métodos sencillos siguen funcionando.

Josep Albors

Hashes SHA1

CVE-2012-0158 RTF Document:                  3b1d9d65159bea24ab1060e5603f9e3c2d38d08d

pakterrisiomforindian.exe:                   d859f1cf99049f89258c1faa59dcd97f587e45ac

pakistandefencetoindiantopmiltrysecreat.exe: 1db89237ef786c7f22a8d4cd7eccda8f6286a6de

Downloader:                                  08ce405f0a0277de355454862b164ffd94a7ea36

Document uploader:                           DB22E7DEA0C1CAF203072693485DE4E4FD2CB56A

System information gathering:                0D610F3F51750EADCF426E10E6DE5313605400FA

Keylogger:                                   AE7B9CFB10CD65B98C59DC012D6726B66BE92897

Screenshot:                                  A0DD0B8FD0C98E917BFDC96182088CAB5505CCD2

Connect-back shell:                          09D4ECA67B1D071E57C5951D97FE9DD9C62F1580

Self-replication through removable drives:   20A29D1F89C07BAFBB4C61CE208531D68125C8E

Nombres de las amenazas

A continuación mostramos los nombres según ESET de las amenazas relacionadas con este caso:

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD trojan

Win32/Spy.Agent.OBF trojan

Win32/Spy.Agent.OBV trojan

Win32/Spy.KeyLogger.NZL trojan

Win32/Spy.KeyLogger.NZN trojan

Win32/Spy.VB.NOF trojan

Win32/Spy.VB.NRP trojan

Win32/TrojanDownloader.Agent.RNT trojan

Win32/TrojanDownloader.Agent.RNV trojan

Win32/TrojanDownloader.Agent.RNW trojan

Win32/VB.NTC trojan

Win32/VB.NVM trojan

Win32/VB.NWB trojan

Win32/VB.QPK trojan

Win32/VB.QTV trojan

Win32/VB.QTY trojan

Win32/Spy.Agent.NVL trojan

Win32/Spy.Agent.OAZ trojan

]]> http://blogs.protegerse.com/laboratorio/2013/05/21/ataques-dirigidos-en-asia-utilizan-ejecutables-firmados-para-conseguir-su-objetivo/feed/ 1 http://blogs.protegerse.com/laboratorio/2013/05/20/descubierto-nuevo-malware-para-mac-que-captura-la-pantalla-de-la-victima/ http://blogs.protegerse.com/laboratorio/2013/05/20/descubierto-nuevo-malware-para-mac-que-captura-la-pantalla-de-la-victima/#comments Mon, 20 May 2013 09:11:48 +0000 josep http://blogs.protegerse.com/laboratorio/?p=9794 El malware para Mac sigue aumentando y, cada cierto tiempo, se descubren nuevas amenazas para los ordenadores de Apple. Una de las amenazas detectadas recientemente fue descubierta durante la celebración del Oslo Freedom Forum, un evento organizado precisamente para ayudar a protegerse a los activistas de varias organizaciones de espionaje gubernamental.

Fue en ese foro donde el investigador Jacob Appelbaum detectó algo sospechoso en el ordenador Mac de uno de los activistas, y que resultó ser una nueva amenaza para este sistema. Este malware tiene funciones de puerta trasera y está diseñado para robar información del ordenador infectado. Se instala en el sistema como una aplicación de nombre “macs.app” que se ejecuta automáticamente después de que el usuario se haya registrado en el sistema.

Un dato importante es que este malware se encuentra firmado con un identificador de desarrollador de Apple, algo que permitiría a esta amenaza sobrepasar algunas medidas de protección de Mac como la prevención de ejecución de ficheros conocida como Gatekeeper.

Nuestros compañeros de F-Secure han estado echando un ojo a esta amenaza y han descubierto algunos datos curiosos, como que el malware realiza capturas de pantalla periódicamente y las guarda en una carpeta del sistema de nombre MacApp.

A pesar de que este malware no se encuentra, ni mucho menos, extendido y su eliminación es relativamente fácil, demuestra el interés creciente de algunos ciberdelincuentes (o incluso gobiernos) por infectar a usuarios de Mac. Es importante aplicar las medidas de seguridad básicas independientemente del sistema operativo que estemos usando, medidas que incluyen utilizar el sistema con privilegios limitados, actualizar periódicamente el sistema y las aplicaciones instaladas, no descargar aplicaciones de sitios que no inspiren confianza, contar con una solución antimalware con cortafuegos y, sobre todo, aplicar el sentido común.

Josep Albors

Después, bloquea a la persona a la que está robando la identidad, o bien a la empresa en cuestión, y envía invitaciones a los amigos de las víctimas utilizando cualquier tipo de excusa: bien que le han bloqueado el perfil, o que tiene un nuevo perfil profesional o cualquier otra razón que resulta hasta creíble. Una vez que ha llevado a cabo esta misión, el timador tiene un montón de posibilidades a su alcance, ya que puede…

1. Hacerse con una mina de datos provenientes de las cuentas de las que ha conseguido hacerse amigo gracias al perfil falso. Incluso aunque tu configuración de seguridad y de privacidad esté definida para que solo tus amigos vean tus contenidos, al aceptar al perfil falso como amigo, estarás realmente en riesgo, ya que al fin y al cabo es un amigo más.
2. También puede recopilar información de forma que pueda llevar algún tipo de acción enfocada a engañar a familiares o amigos con lo que se conoce como “Grandma Scam”, o el timo de la abuela. El timador contacta con personas cercanas a la víctima y les dice que está en algún tipo de problema mientras está de vacaciones, o que le han arrestado o cualquier otra excusa. Para resolver el problema, necesita dinero urgente, que necesitará recibir cuanto antes vía cualquier método de pago.
3. Igualmente, esta técnica está siendo ampliamente utilizada para enviar links a amigos y familiares que llevan a spam, a otro timo, o a contenido que puede descargar más de una sorpresa. El objetivo es que el contenido, al provenir de una fuente conocida, consigue mayor viralidad e impacto de la forma más rápida. Por esta vía estamos viendo, típicamente, mensajes promocionando milagrosas píldoras dietéticas, tarjetas de felicitación gratuitas o links que redirigen a los usuarios a ver fotos o vídeos. Son las más comunes, pero no las únicas, ya que la ingeniería social siempre está en continua evolución.

Desgraciadamente, los estafadores desconocidos no son los únicos que crean perfiles duplicados y páginas. También hay muchos matones o “ex” cabreados que a menudo crean perfiles falsos con la intención de humillar o acosar a su víctima.

¿Qué tipo de precauciones puedes tomar?

1. Si recibes una petición de amistad de un amigo al que ya tienes en tu red, no la confirmes hasta que puedas verificar de alguna manera si realmente la invitación la ha enviado la persona que dice ser. Contacta con esa persona de alguna manera, bien por teléfono, por email, etc. Evidentemente, si aceptas la solicitud y posteriormente intentas hacer alguna comprobación, el timador va a engañarte.
2. Las fotos de perfil y las de portada de tu timeline de Facebook son públicas por defecto, y no se pueden cambiar. Así que la única recomendación que te podemos dar es que no publiques una foto tuya (justamente lo contrario a lo que hacemos todo), sino de algo que te identifique pero que no contenga tu imagen personal. De esta forma, aunque te la roben, no podrán hacerse pasar por ti. Como todo en esta vida, lo que es bueno para una cosa es malo para otras, porque es evidente que es muy cómodo tener nuestra cara de foto de perfil.
3. Asegúrate de que las opciones de privacidad y de seguridad de tu perfil están configuradas de la forma adecuada, de forma que solo tus amigos directos, y no los amigos de tus amigos, tengan acceso a ver tus fotos, vídeos, etc.
4. Edita tu lista de amigos, de forma que nadie más que tú pueda ver quiénes son tus amigos. Hacerlo es muy sencillo: entra a tu perfil y haz clic en el link del recuadro de tus amigos. A continuación, haz clic en “Editar” (esquina derecha) y verás un menú que te permite configurar quién puede ver tu lista de amigos.

¿Qué tienes que hacer si te das cuenta de que un perfil falso te está suplantando tu identidad?

• Informa del perfil o página falsa a Facebook a través de cualquiera de los siguientes links:
  • ¿Cómo denuncio una cuenta falsa que se hace pasar por mí o por un personaje público?
  • ¿Cómo puedo denunciar una cuenta falsa que se hace pasar por uno de mis amigos?
  • ¿Qué hago si alguien me ataca o acosa en Facebook?
  • ¿Qué tengo que hacer para solicitar información sobre la biografía de un impostor?
  • Deseo crear un nombre de usuario para un personaje público, una marca o una empresa al que represento, pero ya lo ha solicitado otro usuario. ¿Qué puedo hacer?
• Comunica a tus amigos actuales la existencia del perfil falso. De esta manera, puedes prevenirles y evitar que sean víctimas del timador.
• Contacta a las autoridades locales. Ya existen leyes que regulan el robo de identidad online, el acoso y el ciberbulling.

Esperamos que no os haya pasado y que nunca os pase, pero por si acaso…

Yolanda Ruiz

Durante el día de hoy hemos recibido en nuestro laboratorio varias muestras de un correo sospechoso cuyo remitente decía ser la empresa de telecomunicaciones Vodafone. En ese correo se hace alusión a un número de teléfono móvil perteneciente a un usuario de España (nótese el código regional +34 antes del número en sí) y nos informa de la posibilidad de visualizar mensajes MMS en nuestro móvil o en un fichero adjunto como el que nos mandan en ese mismo correo.

Obviamente, por mucho que el mensaje diga que procede de Vodafone, nosotros somos desconfiados por naturaleza, así que lo primero que hemos hecho ha sido analizar la cabecera completa del mensaje, donde hemos comprobado que, a pesar de camuflarse el remitente con un dominio vodafone.es y que en el identificador del mensaje también se haga mención al dominio principal vodafone.com, la dirección de retorno del mensaje apunta a una dirección de Facebook.

Esto es un indicio claro de que se está intentando utilizar el buen nombre de una marca conocida para ganarse la confianza de los usuarios, sabedores de que la mayoría de ellos no llegará a revisar la cabecera completa del mensaje.

Si caemos en el engaño y descargamos el fichero adjunto que se nos proporciona observaremos al descomprimirlo que este cuenta con una doble extensión. Esta técnica, a pesar de ser muy rudimentaria, sigue engañando a muchos usuarios, y si se complementa con un icono que represente a una imagen, más aún (aunque no es el caso en esta ocasión).

Si ejecutamos el fichero proporcionado por el falso correo de Vodafone infectaremos nuestro sistema con un troyano que las soluciones de seguridad de ESET identifican como el troyano Win32/TrojanDownloader.Wauchos.I.

En nuestro laboratorio ya habíamos analizado casos de correos similares a este en inglés a finales del año pasado y principios de este. Esta campaña debe de haber resultado provechosa para los ciberdelincuentes, puesto que ahora la han adaptado a los usuarios españoles traduciendo el texto, incorporando números de teléfono españoles y haciendo mención a la filial española de Vodafone.

Ante este tipo de amenazas, lo mejor es desconfiar de aquellos mensajes que adjunten ficheros sospechosos no solicitados, más aun si estos provienen de una operadora de telefonía que no tenemos contratada. Esta simple medida de seguridad nos puede ayudar a evitar más de una  infección, con las molestias que eso acarrea.

Josep Albors

El robo, que se produjo en varios cajeros automáticos repartidos en 27 países, demostró la existencia de varias vulnerabilidades en el actual sistema de seguridad financiera. En una operación que duró apenas diez horas todos los miembros de la banda repartidos por varios países lograron retirar de varios cajeros alrededor de 40 millones de dólares, cantidad que se sumó a otros cinco millones obtenidos en una operación similar realizada en diciembre.

Todo esto fue posible gracias a una intrusión que los ciberdelincuentes realizaron en diciembre y febrero en dos empresas en la India y Estados Unidos, encargadas de procesar tarjetas de crédito y débito. Tras acceder a los ordenadores de estas empresas, los cabecillas de esta banda consiguieron modificar tanto la cantidad disponible como el límite de extracción de dinero de varias tarjetas de débito Mastercard asociadas con dos bancos de Emiratos Árabes Unidos.

Una vez obtenidas las tarjetas modificadas, estas fueron repartidas a todos los miembros de la banda repartidos por varios países para, seguidamente y con una metodología bien estudiada, conseguir retirar de multitud de cajeros automáticos la nada despreciable cantidad de 40 millones de dólares en apenas 10 horas. En total, se produjeron más de 40.000 peticiones de retirada de efectivo en 27 países en las dos operaciones realizadas por esta banda.

Este robo ha demostrado los agujeros de seguridad presentes en los sistemas de seguridad financiera, más aun si tenemos en cuenta que muchos países siguen utilizando tarjetas de crédito y débito que tan solo incorporan una banda magnética y no cuentan con un chip (más seguro pero no infranqueable).

Las operaciones delictivas como esta y otras similares, a pesar de parecer algo más propio de las películas que de un caso real, son algo a lo que, por desgracia, deberemos habituarnos, a no ser que se tomen las medidas necesarias tanto por las entidades bancarias como por parte de los usuarios de banca online.

Josep Albors

ESET Secure Authentication es compatible con iPhone, Android, Blackberry, Windows Phone 7 y 8, Windows Mobile y sistemas basados en J2EE. La solución soporta autenticación basada en mensajes de texto, por lo que se puede utilizar incluso en teléfonos antiguos que no puedan instalar la aplicación.

Cada vez son más las incidencias que tenemos relacionadas con la seguridad y privacidad de nuestros dispositivos móviles, ya que hay una alta probabilidad de perderlos o de que sean robados. Si no protegemos los dispositivos, corremos el riesgo de que cualquiera pueda acceder a toda nuestra información como si fuéramos nosotros mismos. Este problema puede ser mayor si el dispositivo lo usamos para trabajar e incluye los accesos a los diferentes servicios de la red corporativa.

ESET Secure Authentication permite el acceso seguro a las redes corporativas desde estos dispositivos. Su funcionamiento es muy sencillo: cuando el usuario necesita validarse, genera una contraseña que sirve para un solo uso y que garantiza el acceso al usuario a la red corporativa con mayor protección de la habitual.

Ventajas y beneficios

ESET Secure Authentication es fácil de instalar y configurar. La solución se integra por defecto con la mayoría de servicios y protocolos más utilizados. Ofrece protección para Outlook Web Access/App y RADIUS. El nuevo producto ha sido especialmente revisado y probado con Windows Server (2003, 2003 R2, 2008, 2008 R2 y 2012).

Soporte para las plataformas móviles más populares: los usuarios utilizan mayormente dispositivos modernos que cuentan con sistemas como iPhone, Android, BlackBerry, Windows Phone 7 y 8, Windows Mobile y teléfonos basados en J2ME. La autenticación se realiza mediante una aplicación que el usuario descarga en su terminal de manera sencilla. Una vez instalada, permite al usuario generar contraseñas seguras de un solo uso. También se puede obtener las claves enviando un mensaje SMS en el caso de que el dispositivo del usuario no soporte la instalación de aplicaciones.

Entorno de gestión y mantenimiento conocido (MMC y ADUC plugin): los administradores pueden gestionar ESET Secure Authentication desde entornos tan familiares como Active Directory y Microsoft Management Console (MMC).

Soluciona el problema de:

• Contraseñas débiles que pueden ser interceptadas.
• Contraseñas creadas por el usuario que no son una combinación aleatoria de varios caracteres y símbolos, pudiendo ser adivinadas fácilmente.
• Reutilización de contraseñas destinadas para acceder a la información de la empresa en cuentas privadas.
• Contraseñas que contienen información personal del usuario, por ejemplo, nombre, fecha de nacimiento, etc.
• Modelos simples para crear nuevas contraseñas tales como “peter1″, “peter2″, etc.
• Acceso a la información de la empresa en caso de pérdida o robo de dispositivos móviles e itinerantes.

Configuración automática: la instalación de la aplicación en el dispositivo móvil es simple y sencilla, ya que el usuario solo necesita hacer clic en un enlace de un mensaje de texto.

El doble factor de autenticación

Esto que suena tan complicado, es en realidad muy sencillo. Y ayer, en la rueda de prensa que hicimos, se lo demostramos empíricamente a los periodistas para que entendieran muy bien a qué nos referíamos: junto con la confirmación del sitio donde se celebraba, les enviamos vía SMS un código, sin decirles nada más. Dicho código era la contraseña de una caja fuerte pequeñita que les regalamos y que albergaba un dispositivo USB con toda la información del producto y unas nubes de azúcar .

Así que para obtener la documentación, tuvieron que utilizar la llave que les proporcionamos de la caja fuerte, pero también la clave que les habíamos enviado al teléfono por SMS.

Fue una comida de lo más agradable en un céntrico sitio de Madrid, que disfrutamos con amigos con los que llevamos compartiendo noticias muchísimos años.

Y por cierto, y hablando del sitio, era un restaurante de la conocida Casa de América de Madrid, el Palacio de Linares que se hizo muy famoso hace muchos años por supuestamente tener entre sus paredes a un fantasma (bueno, mejor dicho, a una fantasma) llamada Raimunda. Pues bien, no creemos en la superchería, pero mi teléfono móvil se volvió loco y esto es lo que aparecía cuando intentaba acceder al correo…

Igual tenemos que inventar algún producto contra fantasmas digitales .

¡Feliz viernes a todos!

Yolanda Ruiz

Esta funcionalidad ya comenzaron a probarla en 2011, y recientemente la han rediseñado, mejorado y le han puesto nombre: “Contactos de Confianza”. Esta nueva funcionalidad, sin embargo, todavía no está implementada en todas las cuentas (al menos, en la mía todavía no).

“Con los contactos de confianza, no necesitas recordar la respuesta a tu pregunta de seguridad o rellenar largos formularios para probar que eres tú. Siempre vas a poder recuperar tu cuenta con la ayuda de tus amigos”, dicen en el propio Facebook. “Elige a la gente que quieras, como a amigos a los que les dejarías las llaves de tu casa, y notifícarselo mejor en persona que por email”.

En el caso de que tengas un problema con el acceso a tu cuenta, cada uno de tus contactos de confianza recibirá un código con instrucciones para ayudarte a recuperarla. Necesitarás al menos tres códigos que se habrán enviado a tus contactos de confianza para poder volver a entrar a Facebook.

La medida está bien, y una vez más, la vida real se traspasa a la virtual. La verdad es que actualmente dudo mucho que todos nosotros tengamos a ese amigo de confianza a quien darle las llaves de casa, pero a la familia seguro que sí. Cuando vi la noticia, por un segundo pensé que solo hacía falta un código para entrar, por lo que automáticamente pensé que sería muy sencillo que alguien no tan amigo pudiera entrar sin nuestro permiso. Pero si se necesitan tres códigos, la cosa cambia.

Aunque se podría dar el caso de que los tres contactos se conozcan entre sí y se pongan de acuerdo para bloquear una cuenta, acceder a ella y cambiar el password o mil y una tropelías. Sí, ya sé que es una posibilidad remota, pero es una posibilidad al fin y al cabo. No quiero recordarte la cantidad de problemas derivados del acoso a través de redes sociales, sobre todo cuando se trata de “ex” cabread@s, divorcios o malas jugadas orquestadas entre varios.

Porque de la tecnología, no te puedes fiar. Pero muchas veces, de los amigos, tampoco.

Yolanda Ruiz Hervás

Las sospechas de la existencia de esta vulnerabilidad aparecieron cuando se descubrió, el pasado 1 de mayo, que la web del Departamento de Trabajo de los Estados Unidos estaba distribuyendo malware a todos los visitantes de uno de sus subdominios. Si hacemos un poco de memoria recordaremos que ocurrió un caso muy similar a principios de año y que afectó a la web del Council of Foreign Relations.

En un principio se llegó a pensar que se trataba de la misma vulnerabilidad vista en meses anteriores, pero, tras varios análisis, se descubrió que se trataba de un nuevo agujero de seguridad en Internet Explorer 8 instalado en Windows XP, Vista, 7 y 8. Las muestras analizadas en este ataque se encontrarían distribuyendo la herramienta maliciosa Poison Ivy, malware usado por ciberdelincuentes para, entre otras funcionalidades, robar información confidencial de redes corporativas y gubernamentales.

El problema ahora no es tanto el ataque inicial en el que se vieron comprometidas algunas webs importantes, sino la publicación de la vulnerabilidad usada y su consecuente exploit. Una vez desvelada la técnica usada para realizar este ataque, se ha tardado poco tiempo en incorporar esta nuevo agujero de seguridad a herramientas como Metasploit, de forma que queda automáticamente a disposición del público en general.

De momento, Microsoft no se ha pronunciado acerca de si lanzará un parche de seguridad que solucione esta vulnerabilidad, ya sea el próximo martes (dentro de su ciclo de actualizaciones mensuales) o como actualización fuera de ciclo. Mientras tanto, los usuarios que aún se encuentren utilizando Internet Explorer 8 pueden optar por actualizar a una versión más reciente (IE9 e IE10 no se ven afectados) o descargar la herramienta Enhaced Mitigation Experience Toolkit de Microsoft para minimizar los daños.

Son ya dos los casos similares en lo que llevamos de año que tienen como protagonistas a webs legítimas de cierta importancia y al navegador Internet Explorer. Esto nos debería bastar para concienciarnos de la importancia de mantener nuestro sistema y aplicaciones actualizadas y dejar de confiar ciegamente en páginas con una elevada reputación, puesto que podemos encontrar malware en cualquiera de ellas.

Josep Albors

Instagram es una red social que permite a los usuarios compartir fotografías a través de diferentes plataformas, como por ejemplo, Facebook. Usando la vulnerabilidad descubierta recientemente, un atacante que logre explotarla tendría acceso a fotos privadas e incluso podría borrar dicha información. Además, el ciberdelincuente podría subir nuevas imágenes y también editar o borrar comentarios existentes.

La vulnerabilidad puede ser aprovechada de dos formas diferentes. La primera opción es el robo de la cuenta a través de la propia vulnerabilidad Oauth de Instagram, mientras que la segunda opción utiliza el robo de sesión a través de Facebook.

En el primer método, el atacante utiliza el parámetro redirection_uri que valida el sitio web indicado, donde, en primera instancia, parecía que no era vulnerable. Sin embargo, el investigador descubrió que este parámetro podía ser explotado si se modificaba el sufijo del sitio especificado. En otras palabras, si el sitio finalizaba en “.com” podía pasarse como parámetro “.com.es”. Si el ciberdelincuente deseaba llevar a cabo el ataque, debía comprar previamente el dominio con el sufijo modificado. De esta forma, podría robar el token de la propia cuenta.

Mediante el segundo método, el investigador demostró que es posible utilizar cualquier dominio en el parámetro redirection_uri. De esta manera, un atacante podría robar el token de sesión de cualquier usuario de Instagram. Esta vulnerabilidad ya ha sido solucionada por el equipo de seguridad de Facebook tras ser informados de ella.

No es la primera vez que informamos de vulnerabilidades relacionadas con Facebook. Es algo ya conocido la existencia de aplicaciones maliciosas en Facebook, siendo este caso en particular una vulnerabilidad que ya se encuentra solucionada. Sin embargo, más allá de las vulnerabilidades que afecten a las redes sociales, es importante que los usuarios consideren adoptar buenas prácticas de seguridad, prácticas que pueden ser complementadas con herramientas gratuitas como ESET Social Media Scanner para detectar enlaces potencialmente maliciosos en Facebook.

Josep Albors

El evento no solo contará con las charlas del viernes por la tarde y sábado por la mañana, si no que durante toda la semana se realizarán talleres orientados a usuarios específicos como padres, internautas base y ciberabuelos. Estos talleres gratuitos están pensados para formar a aquellos usuarios que no cuentan con un perfil técnico y quieren aprender cómo protegerse de las amenazas de Internet o a cuidar su privacidad online.

Las plazas para asistir a estos talleres son limitadas por lo que animamos a todos los interesados en acudir que se registren con el formulario que se ha preparado para tal efecto. Pensamos que este tipo de iniciativas son muy útiles y realmente beneficiosas para todos aquellos internautas que acudan tanto a las jornadas como a los talleres y animamos encarecidamente a los lectores de nuestro blog a acudir a este evento si se encuentran por Madrid durante esos días.

Josep Albors