• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (116)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (152)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (77)
  • Productos (42)
  • ransomware (11)
  • redes sociales (109)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (287)

• Archivos

  • junio 2013 (15)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

PRISM: El gran hermano que nos vigila en Internet

Era un secreto a voces que muchos usuarios aún se negaban a aceptar pero, no por ello, la confirmación está semana de la existencia de un programa de espionaje gubernamental (gracias a un documento al que tuvieron acceso dos importantes periódicos) ha causado menos revuelo. Este programa,  conocido como PRISM, es el utilizado por las agencias estadounidenses NSA y FBI para espiar comunicaciones de los usuarios de Internet de todo el mundo y complementa al espionaje telefónico que también se está realizando con la colaboración de algunas operadoras.

Todas estas labores de “vigilancia” se vienen realizando por lo menos desde 2007 y cuentan con la colaboración de las grandes empresas de Internet entre las que encontramos a Google, Microsoft, Yahoo,  Facebook, PalTalk, AOL, Skype, YouTube o Apple, entre otras. Estas empresas se han defendido alegando que solo entregan aquella información que les es solicitada siguiendo los procedimientos que establece la ley y que no dan acceso libre a sus servidores a estas agencias gubernamentales.

Obviamente, las agencias implicadas no han tardado en declarar que estas actividades se realizan para mejorar la seguridad y evitar ataques terroristas u otro tipo de crímenes. Además, según una aclaración realizada tras publicarse esta noticia, este programa solo se aplica a aquellos usuarios que no sean ciudadanos Estadounidenses y que residan fuera de este país, algo que, como bien apunta Chema Alonso en su blog, no es que sea especialmente tranquilizador para el resto de usuarios.

Está claro que, igual que sucede con el troyano policial que se pretende incluir como herramienta para investigar delitos graves, según aparece en el borrador del anteproyecto del Código Penal del Ministerio de Justicia de España, estas medidas tan solo pueden aplicarse con la aprobación de un juez y para perseguir criminales. No obstante, ¿conocen los jueces americanos y españoles el alcance de esta medida?.

No dudamos que los compañeros de las fuerzas de seguridad del estado como nuestro querido Angelucho apreciarán contar con este tipo de herramientas para conseguir detener a terroristas y pedófilos (por poner solo dos ejemplos), y eso es algo en lo que todos deberíamos estar de acuerdo. No obstante, el problema está más arriba, en quien da la autorización de utilizar estas herramientas, puesto que muchas veces (demasiadas) no tienen el conocimiento necesario para comprender el alcance de este tipo de acciones.

Porque, si bien aquellos que se encargan de legislar se han de adaptar a los nuevos tiempos, esta legislación se ha de hacer respetando derechos fundamentales de los ciudadanos. No es de recibo que nuestras comunicaciones se intervengan sin más, aun sin haber indicio alguno de delito o que se pueda instalar un software malicioso en nuestro sistema solamente para comprobar si estamos descargando material con derechos de autor, pudiendo incluso llegarse a modificar pruebas que nos incriminen.

Por eso, aunque ahora se afirme que este tipo de medidas solo se aplican en casos excepcionales como los de terrorismo, pedofilia o crimen organizado, nos inquieta pensar lo que sucederá cuando ya se tenga aceptado este tipo de vigilancia como algo normal y se aplique a cualquier indicio de delito, por leve que sea. Es entonces cuando miraremos hacia atrás y nos preguntaremos cuando empezó todo a torcerse.

Josep Albors

Mensajes de SMS al descubierto en Movistar Colombia

De los problemas de privacidad no se libran ni las grandes. Hoy leemos en Websecuritydev que Movistar, en su servicio de envío por web de mensajes SMS en Colombia, tiene un fallo, de forma que dichos mensajes se almacenan y pueden ser vistos por cualquier persona. El servicio se aloja en Mundomobile y carga mediante iframes varios archivos en el sitio de Movistar. Esta es la aplicación:

 

El autor de la investigación se dio cuenta de que realmente la aplicación que utilizan está en otro host diferente. Y tras navegar un rato por este, se encontró con que podía acceder a todo el directorio:

 

Y curioseando, llegó hasta la carpeta de “logs” que contenía todos y cada uno de los mensajes que los usuarios habían enviado utilizando este servicio:

Ahora solo faltaba verificar si realmente eran mensajes recientes o antiguos. Así que el investigador envió un mensaje de prueba:

Y comprobar si realmente se había almacenado. Y efectivamente, así fue:

Resulta evidente que nadie va a utilizar un servicio de envío de mensajes por SMS para intercambiar información confidencial. De hecho, el autor de la investigación menciona que encontró muchos “insultos entre parejas”, pero tratándose de una gran marca como Movistar, debería cuidar más los proveedores de servicios que elige o, si son desarrollos propios, la seguridad de sus servicios.

En fin, un fallo más que afecta a nuestra privacidad y que esperamos que arreglen pronto.

Yolanda Ruiz

Troyanos para la investigación policial: el fin no justifica los medios

Leemos con estupor una noticia publicada en primera página de El País titulada: “La policía podrá usar troyanos para investigar ordenadores y tabletas”. No sé si la has leído, pero si no lo has hecho, te recomiendo que eches un vistazo, porque no tiene desperdicio.

En resumen, y según nos cuenta El País, “El borrador de anteproyecto de Código Procesal Penal del Ministerio de Justicia —encargado por el departamento que dirige Alberto Ruiz-Gallardón a una comisión de expertos coordinada por su secretario de Estado— permite a los jueces que autoricen a la policía la instalación de troyanos en los ordenadores de los investigados para obtener la información que contienen o a la que se puede acceder a través de ellos. El texto prevé el acceso remoto de equipos informáticos —lo que incluye tabletas y teléfonos inteligentes— para delitos con penas máximas superiores a tres años, para el cibercrimen y para el terrorismo y el crimen organizado siempre que el juez justifique la proporcionalidad de la intervención. Hasta el momento, solo Alemania ha aprobado una regulación similar, aunque solo para casos de terrorismo, ante la invasión de la intimidad que supone.”

Sinceramente, como especialista en seguridad informática, no me sorprende la noticia: es evidente que gobiernos como el de Estados Unidos llevan años espiando, monitorizando, analizando y siguiendo a ciudadanos a través de Internet, sus cuentas de correo y sus perfiles en redes sociales. Debemos recordar que, al fin y al cabo, Internet se generó como un sistema de comunicación del ejército norteamericano allá por la década de los años 50. Y en estas teorías de la conspiración siempre se acaba mezclando el romanticismo, la leyenda y alguna traza de verdad.

También es cierto que de vez en cuando, solo de vez en cuando, te enteras de que tal cuerpo de seguridad ha solicitado la eliminación de algún tipo de amenaza del fichero de firmas para que esta no sea detectada, pero eso solo de vez en cuando.

Pero una cosa es que se haga en la sombra, de tapadillo, en aras de la seguridad internacional y que no haya confirmación oficial porque realmente supone un delito contra la intimidad personal de los internautas y la vulneración de sus derechos fundamentales, y otra cosa es que quieran elevarlo a categoría de Ley, y que cualquier juez pueda instruir una intrusión en la vida privada de los ciudadanos “por si acaso”.

Según este borrador, un juez puede autorizar “a petición razonada” del ministerio público “la utilización de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador”. Veamos qué es “a petición razonada”:

• Delitos cometidos intencionadamente (con dolo) cuya pena máxima supere los tres años de cárcel.
• Delitos perpetrados por un grupo u organización criminal, es decir, los relacionados con el crimen organizado y el terrorismo.
• Delitos que se consumen a través de instrumentos informáticos: estafas por Internet, pornografía infantil, grooming (acoso sexual a menores), cyberbullying (acoso en la Red), etc.

Estamos totalmente de acuerdo con la persecución de todo delito informático, con la detención de sus culpables y con la imposición de las penas que correspondan, pero este anteproyecto lleva inherente, bajo mi punto de vista, un claro desconocimiento de cómo funciona realmente la seguridad informática, es una clara intromisión en la intimidad de los usuarios y, por último, puede suponer que paguen justos por pecadores. Y ahora os explico por qué…

1. Cómo funciona la industria de la seguridad informática: el fin no siempre justifica los medios

No es un misterio para nadie, pero básicamente (para quien no lo conozca) existen cibercriminales que desarrollan códigos maliciosos (virus, gusanos, troyanos, phishing, etc…) para conseguir engañar a los usuarios, infectar sus ordenadores y obtener un claro beneficio económico. Esta “industria” mueve miles de millones en todo el mundo y es una actividad que lamentablemente crece más cada día. Los fabricantes de antivirus, como nosotros, corremos constantemente detrás de los malos, desarrollando siempre tecnologías de detección para conseguir que usuarios como nosotros estemos protegidos frente al cibercrimen.

Para ello, nuestros departamentos de I+D+i se esfuerzan en desarrollar tecnologías que nos permitan frenar el efecto de códigos maliciosos incluso antes de que nos lleguen muestras y podamos analizarlo en nuestros laboratorios, con un mínimo impacto de falsos positivos o  falsas detecciones. En ESET, cada día detectamos gracias a estas tecnologías más de 250.000 nuevos ejemplares de todo el mundo.

¿Qué queremos decir con esto? Básicamente que si los cuerpos de seguridad del Estado ahora se van a dedicar a desarrollar troyanos y a enviarlos a los usuarios, probablemente estos serán detectados por los sistemas antivirus, a no ser que quieran hacer algún tipo de pacto con toda la industria internacional de seguridad para que no se detecten. Y eso, queridos lectores, supondría un dilema ético que va más allá de toda duda: si un troyano lo hace y distribuye un cibercriminal es un delito, y si lo hace la policía… ¿no lo es?

Bajo nuestro punto de vista, un troyano es un troyano, lo haga quien lo haga y lo distribuya quien lo distribuya: lo importante no es el fin que se quiere conseguir, sino el medio. Y en este caso el medio, un troyano desarrollado para obtener información confidencial del usuario, es un troyano en España, en Israel y en la Atlántida. Creo que es de las pocas cosas sobre las que existe un consenso internacional.Es una clara afrenta a los derechos que protegen la intimidad de los usuarios y el secreto de las comunicaciones

Llevo años escribiendo sobre la protección de la privacidad y la intimidad de los usuarios en Internet, ese oscuro limbo donde parecen residir muchas normativas internacionales que protegen… pero a medias. Constantemente hablamos de funcionalidades, normativas, regulaciones y agujeros de seguridad que atentan contra este derecho fundamental. Pero una cosa es que por diferencias en legislaciones internacionales el problema exista (principios recogidos en los códigos legislativos de un país que no son de aplicación en otros) y otra cosa muy diferente es que por “sospechas” se pueda violar y dejar desprotegidos a los usuarios.

El acceso a un ordenador implica no solo ver qué información guardamos cada uno de nosotros en el disco duro, sino también tener acceso a las contraseñas de acceso de redes sociales, chats y otros servicios de Internet. Y puestos a investigar, no seremos tan inocentes de pensar que se va a quedar en echar un vistazo a ver si tenemos vídeos o fotos pornográficos, ¿verdad?

Pues bien, además de constituir un delito contra la intimidad, también constituye un delito contra el secreto de las comunicaciones. Pero vamos un paso más allá… Conozco numerosos hogares en los que un ordenador es utilizado por toda la familia, incluyendo a menores. Por lo tanto, este tipo de acciones suponen una intromisión en la vida privada de todos aquellos que utilizan los ordenadores en una residencia familiar.

Pongamos ahora el caso de que se trata de una empresa… Casi peor, porque significaría que tendrían acceso a secretos empresariales y a otra información también delicada y confidencial. En fin, lo mires por donde lo mires, acabas en el mismo sitio.

2. Pagarán justos por pecadores

Veamos ahora el mundo de la seguridad informática desde el punto de vista del potencial delito que se pueda estar cometiendo. Un spammer no utiliza su ordenador personal y su dirección IP para enviar spam, o distribuir troyanos… No, esto no funciona así, porque entre otras cosas, los “malos” no son tontos, y haciéndolo así se pondrían en el punto de mira de cualquier investigación. Si yo soy cibercriminal y quiero cometer delitos, me creo una red de ordenadores zombis para cometer el delito, que no es ni más ni menos que infectar primero un ordenador de forma que quede a mis órdenes y remotamente cometer mis fechorías a través de este, quedando mi identidad oculta y prácticamente impune.

El usuario que tiene su ordenador “rehén” ni se entera de que este está llevando a cabo acciones maliciosas, siendo sin embargo cómplice de un delito. Imaginemos el caso práctico de la distribución de pornografía infantil, por ejemplo, punto contemplado en el anteproyecto: el ordenador desde el que estoy escribiendo este post podría ser parte de una red de bots y estar enviando pornografía a diestro y siniestro. Si fuera parte de una investigación policial, probablemente acabaría yendo a la cárcel o pagando una multa considerable, sin comerlo ni beberlo.

¿Cómo han pensado estos señores discriminar a los verdaderos cibercriminales de meras víctimas?

3. De tanto repetirlas, las leyendas se convierten en realidad

No importa los años que lleves dedicándote a la seguridad informática, siempre te encuentras a alguien que te hace la misma pregunta una y otra vez: “Pero… ¿los fabricantes de antivirus hacen los virus, no?”. A lo que siempre respondo, una y otra vez: “No, ya hay unos malos que los hacen. Nosotros bastante tenemos con detectarlos”. E históricamente siempre he añadido varios ejemplos: “Es como decir que los bomberos provocan los incendios para tener trabajo o que los policías cometen los crímenes para poder investigar”. Pues bien, quizá a partir de ahora voy a tener que cambiar los argumentos, porque a efectos comparativos es prácticamente lo mismo.

En conclusión, no dudamos de que el fin sea legítimo y que esté muy bien perseguir a los ciberdelincuentes. De hecho, aplaudimos cualquier medida que vaya encaminada a la protección de los ciudadanos, pero no estamos de acuerdo con los medios propuestos.

¿Qué será lo próximo? ¿Cámaras o micrófonos en nuestros dormitorios por si se nos ocurre tramar de madrugada alguna fechoría?

Yolanda Ruiz

Infectan con un troyano la web corporativa de Eduardo Punset

He de confesar que, al igual que un montón de españoles, me encanta Eduardo Punset. Me he leído casi todos sus libros y cuando tengo tiempo, también me veo sus programas / documentales. Y me consta que no soy la única: su revolucionaria forma de explicar los sentimientos humanos de una forma cercana y comprensible le ha valido el público que le sigue y que aprende con él.

Pues bien, esta mañana nos hemos despertado con un mensaje a través de nuestra cuenta de Twitter de @manoloprosur que nos preguntaba si un enlace compartido desde la cuenta de Punset, @epunset, era una falsa alarma o era un virus.

Los que me conocéis ya sabéis la clara tendencia que tengo a hacer clics en enlaces que suponen un reto… Mis compañeros de trabajo de otra compañía de seguridad todavía recordarán cuando allá por el 2001, recién llegada a este apasionante mundo, me pasaron un enlace que parecía ser un nuevo virus. Ni corta ni perezosa hice clic, lo ejecuté y contesté: No hace nada. A los pocos minutos se me tiró en plancha debajo de la mesa mi todavía actual compañero –y sin embargo amigo- Fernando de la Cuadra porque había infectado toda la empresa con… ná, un virus de ná, Sircam. Aquella fue la primera vez que Fernando y yo comenzamos una “bonita” relación profesional que dura hasta hoy en día (Fer, yo también te quiero .

Bueno, a lo que vamos. Que hemos estado echando un vistazo y sí, en la web y blog profesional de Eduardo Punset, www.redesparalaciencia.com, hay una amenaza. Se trata del troyano Krytik.SKY, una variante más de un troyano que lleva infectados a un montón de ordenadores. ¡Ojo! No intentes entrar si no tienes protección antivirus instalada, actualizada o si no estás seguro de si tu fabricante va a ser capaz de frenar este nuevo código malicioso, ya que es relativamente reciente. Si lo haces, probablemente te infectarás con el troyano, y luego te tocará hacer unas cuantas cosas para eliminarlo de tu ordenador.

En concreto, esta variante es detectada por ESET NOD32 desde el pasado 27 de mayo, así que es relativamente reciente y su distribución, modesta por el momento, sin llegar al 0,1 por ciento mundial:

El porqué tenemos que buscarlo en la plataforma que utiliza: WordPress. Soy una gran defensora de esta versátil plataforma, y me encanta trabajar con ella, pero se trata de código abierto sobre el que un montón de desarrolladores crean y añaden funcionalidades todos los días. Teniendo el código fuente a disposición de todos, es relativamente sencillo encontrar agujeros de seguridad que explotar o vulnerabilidades provocadas por los propios usuarios que dejan puertas abiertas como catedrales para la instalación de scripts maliciosos, como es el caso que nos ocupa.

De hecho, si recordáis, el pasado mes de abril alertamos sobre un gran ataque de fuerza bruta ejecutado a nivel masivo: no era el primero ni será el último. Así que, aunque lo hemos repetido varias veces, volvemos a traeros algunos consejos básicos de seguridad para WordPress que nos ayudarán, por lo menos, a estar un poquito más seguros.

1. El dichoso usuario “admin”: como es el que aparece por defecto tras instalar WordPress, la mayoría lo dejamos tal cual. Y… ¿a que no adivináis cuál es el primer usuario con el que prueban cuando quieren intentar acceder a un WordPress? Pues sí, admin. Esto siempre me recuerda al root de Linux. Así que, mejor invéntate otro usuario.
2. Las contraseñas fáciles: tal y como también hemos hablado muchas veces, las contraseñas deben ser fuertes y robustas, compuestas por al menos 12 dígitos que combinen caracteres alfanuméricos al menos. No hay contraseñas indestructibles, pero al menos, si nos vienen a robar, que se encuentren con una puerta blindada y les cueste un poquito más .
3. Actualización de WordPress, temas y plugins: sí, ya sé, una vez que has configurado todo WordPress y estás  operativo, a veces (pero solo a veces) actualizas un tema y se descolocan las cosas, o un plugin o… Pero es peor el remedio que la enfermedad. Así que al igual que llevamos años diciendo que hay que actualizar el sistema operativo del ordenador y las aplicaciones, si mantenemos un WordPress, tenemos que actualizarlo cada vez que haya nuevas versiones. Además, nos lo dice el propio WordPress, así que mejor hacerlo que luego tener que lamentarlo.
4. Desactivar plugins inactivos: es tan fácil instalar plugins en WordPress, que lo hacemos y si luego no funcionan o no nos gustan, no nos molestamos en desinstalarlos, quedándose eternamente en una lista. Si no los usamos, mejor que los quitemos.
5. Copias de seguridad: casi nadie hacemos copias de seguridad de nuestro WordPress, pero luego bien que nos acordamos cuando perdemos todo o parte del contenido o cuando en una actualización tenemos problemas. Así que plantéate realizar copias de seguridad cada cierto tiempo. La mayoría de los proveedores de hosting ya ofrecen esta funcionalidad.
6. Bloqueo de contenidos públicos: en una instalación por defecto de WordPress, hay muchas carpetas que se quedan públicas y que permiten la navegación a través de estas. Esto se puede solucionar de manera muy sencilla simplemente añadiendo unas líneas de código a nuestro archivo .htaccess, que no es más que un simple archivo que se añade al directorio raíz de nuestro sitio y que permite aplicar las reglas de los directorios y los archivos de nuestra web:
   1. Protege tu archivo wp-config.php, que es el más importante de tu WordPress. Esto lo hacemos simplemente añadiendo esta línea de código: <files wp-config.php> order allow,deny deny from all </files>
   2. Bloquea el acceso a wp-content, que es la carpeta que tiene todos los temas, los plugins, etc. Para ello, tienes que añadir esta línea a tu archivo .htaccess: Order deny, allow Deny from all <files ~”.(xml|css|jpe?g|png|gif|js)$”> Allow from all </files>
   3. Evita la exploración pública de tus carpetas añadiendo lo siguiente: Options All –Indexes
   4. Protege y bloquea el propio archivo .htaccess, añadiendo: <files ~”^.*\.([Hh][Tt][Aa])”> Order allow, deny Deny from all Satisfy all </files>
7. Instala plugins de seguridad: tanto o más importantes que el clásico de Twitter o de Facebook. Hay varios, prácticamente todos gratuitos, y se instalan igual de fácil que el resto. Algunos ejemplos son WP Security Scan, que examina nuestro WordPress buscando incidencias de seguridad; Limit Login Attempts, que limita los intentos de acceso por IP, o Wordfence Security, que añade un sistema de firewall en nuestro blog, así como detecta virus y tráfico anómalo en tiempo real.

Seguro que vosotros tenéis algún consejo más que añadir a esta lista. Si es así, ¡bienvenidos! Dejadnos vuestros comentarios y así podemos ir haciendo entre todos un buen decálogo de seguridad para WordPress.

Buen martes, trop@!

Yolanda Ruiz

Nuevas variantes del “Virus de la policía” incluyen un keylogger

Como ya va siendo habitual, cada cierto tiempo aparece una nueva versión del ya familiar “Virus de la policía” que incluye alguna nueva característica. Si en el pasado hemos visto como versiones anteriores han añadido funcionalidades como el secuestro de nuestra cámara web para así hacernos creer que estábamos siendo vigilados por las autoridades, ahora los ciberdelincuetes han incorporado un keylogger para registrar todas las pulsaciones de teclado y así obtener nuestras contraseñas.

Según informan nuestros compañeros de InfoSpyware, las versiones más recientes de este virus incluyen este componente adicional para maximizar los beneficos. Si bien es cierto que la tasa de éxito de este malware sigue siendo respetable y aun reporta interesantes beneficios a los ciberdelincuentes, toda la atención que se ha puesto sobre esta amenaza (por parte de los medios de comunicación, las fuerzas de seguridad del estado y las empresas que desarrollan soluciones anti-malware) ha hecho que los usuarios sean más precavidos y ya no cedan tan fácilmente al chantaje de pagar por desbloquear su ordenador.

Esto ha hecho que los ciberdelincuentes busquen otras formas de amortizar el desarrollo de nuevas variantes, siendo una de estas formas el robo de contraseñas.  Con estos datos en su poder, los ciberdelincuentes pueden, por ejemplo, acceder a las cuentas bancarias de los usuarios o utilizar en su beneficio todos aquellos servicios web de las víctimas. Esto incluye tanto servicios de correo como Gmail, Yahoo o Hotmail, como cuentas de perfiles de redes sociales como Facebook, Twitter o Tuenti, cuentas que pueden ser utilizadas para enviar spam, suplantar la identidad o lanzar ataques dirigidos, entre otras posibilidades.

Además, en algunos casos también se ha visto como los ciberdelincuentes ofrecen kits de exploits entre los que no solo se incluyen nuevas variantes del “Virus de la Policía”, si no que también se utilizan falsos antivirus, tan comunes hace unos años hasta que fueron relegados a un segundo plano precisamente por esta otra amenaza.

Todas estas modificaciones aparecen como consecuencia de la concienciación de los usuarios y de la detección cada vez mayor de este tipo de amenazas. Esta claro que si los ciberdelincuentes quieren seguir ganando dinero con este tipo de técnicas han de adaptarse cada cierto tiempo. Lo mismo hemos de hacer nosotros cómo usuarios, evitando que utilicen agujeros de seguridad en nuestro sistema y las aplicaciones que utilizamos.

Para ello, tal y como recomienda nuestro compañero @Angelucho podemos usar el mejor antivirus que existe: nosotros mismos.

Josep Albors

Proponen el uso de malware para proteger la propiedad intelectual

Que la protección de la propiedad intelectual es llevada a cabo con uñas y dientes por algunos países es algo conocido. Y algunos de dichos países, con EE.UU. a la cabeza, incluso anteponen el interés de grandes empresas a la privacidad de los usuarios. Es por eso que no nos sorprendemos por la noticia que conocíamos hace unos días, en la que un informe elaborado por la comisión para la lucha contra el robo de la propiedad intelectual americana sugería el uso de herramientas que bien podíamos clasificar como malware.

En este informe se sugiere que, como medida de protección para el material protegido con propiedad intelectual, se incluya la posibilidad de que se encuentre protegido por algún tipo de software que tome “ciertas medidas” contra aquellos usuarios que traten de acceder al contenido protegido sin autorización.

Entre estas medidas encontramos  la posibilidad de que un fichero protegido de esta manera no pueda ser reproducido o ejecutado por el usuario pero además que el ordenador quede bloqueado, mostrando una serie de instrucciones para contactar con los organismos legales autorizados y así conseguir una contraseña que desbloquee nuestro equipo.

A nosotros todo esto nos recuerda a varios tipos de ransomware como el “Virus de la policía” pero asociado a empresas de gestión de derechos de autor, algo que, por otra parte, ya ha sido aprovechado por los ciberdelincuentes con anterioridad para infundir temor y conseguir que los usuarios paguen una falsa multa.

El hecho de que esta medida se está planteando siquiera y que haya salido a la luz sin ningún reparo nos debería de hacer pensar que otros mecanismo de control se están aplicando hoy en día en nuestros sistemas, de los cuales no tenemos constancia. No hace mucho provocó cierto revuelo un troyano empleado por el gobierno alemán para espiar a sus ciudadanos. El problema no es tanto que se descubriera ese troyano, sino que esta posibilidad está contemplada por la legislación de ese país.

Está claro que los gobiernos deben poder protegerse frente a ataques y las fuerzas de seguridad del Estado contar con herramientas capaces de ayudarlos en su difícil tarea de perseguir y detener a los ciberdelincuentes. El problema surge cuando se cruza esa fina línea que separa estas acciones del espionaje puro y duro, más aun cuando detrás se ocultan oscuros intereses de ciertas multinacionales y no la seguridad de la sociedad.

Es por ello que nosotros, como usuarios, debemos tomar medidas y negarnos a que nuestra privacidad sea invadida de forma flagrante y que se nos chantajee de forma descarada bloqueando nuestro equipo. Por nuestra parte da igual que el que cree un software malicioso sea un grupo de ciberdelincuentes o un gobierno. Un malware es un malware y como tal ha de ser siempre detectado.

Josep Albors

El robo de cuentas y los engaños en redes sociales se llevan el protagonismo en mayo

¡Cómo pasa el tiempo! Sin darnos cuenta ya estamos a las puertas de junio, del buen tiempo, las terracitas y la playa (si el tiempo nos lo permite, claro). Así que aquí va nuestro resumen mensual de seguridad en mayo: un mes en el que si tenemos que destacar los hechos más significativos en cuanto a seguridad se refiere, sin duda tenemos que hablar de los innumerables intentos de robo de contraseñas de redes sociales y de los numerosos engaños usando las más variadas triquiñuelas que se emplean para conseguir todo tipo de datos.

Si en meses anteriores ya hablamos de vulnerabilidades en Facebook que permitían acceder al contenido privado de un usuario e incluso controlar su cuenta, durante este mes observamos cómo una vulnerabilidad similar en Instagram permitiría a un atacante acceder a nuestra cuenta. Esto le permitiría acceder a nuestras fotos e información privada, pudiendo editar o borrar comentarios y fotografías o subir nuevas imágenes a nuestra cuenta.

Como prácticamente todos los meses, los engaños a través de Facebook se han seguido produciendo y ha habido varias campañas de propagación de noticias falsas y bulos que llamaron la atención de los usuarios. Una de las campañas que más nos llamó la atención, por lo sorprendente de la noticia usada, fue una noticia en la que se aseguraba haber grabado en vídeo a una bruja llorando.

Este tipo de noticias llamativas suelen atraer la atención de los usuarios más curiosos, engañándolos para que accedan a enlaces en los que se puede encontrar casi cualquier cosa. En este caso, además de abrirse numerosas ventanas de publicidad tras pulsar el enlace, se nos solicitará que le demos permiso a una aplicación para que acceda a nuestro perfil, pudiendo así acceder a todos nuestros datos, los de nuestros contactos, direcciones de correo electrónico o teléfono, entre otros.

Precisamente para mejorar la seguridad de nuestras cuentas de Facebook, la red social ha lanzado una nueva funcionalidad que ha denominado como “contactos de confianza”. De esta forma, si perdemos el acceso a nuestra cuenta de Facebook o nos la roban, podremos recuperarla sin pasar por el engorroso procedimiento de verificación de la identidad. Serán nuestros contactos de confianza quienes reciban unos códigos que nos servirán para poder acceder a nuestra cuenta y recuperar el control sobre ella.

También para evitar el robo de cuentas y la suplantación de identidad, Twitter presentó su sistema de doble autenticación. Si se activa, el usuario recibirá un mensaje SMS en su móvil que le será requerido cuando intente acceder a su cuenta. A pesar de ser una buena idea que otros servicios ya han implementado, el hecho de que Twitter permita utilizar SMS para enviar tanto tweets como comandos especiales podría hacer que un atacante utilizara esta característica para bloquear el acceso a la cuenta de su usuario legítimo.

Durante el pasado mes también analizamos un caso de malware que utilizaba los servicios de mensajería Skype y Google Talk para propagarse (como anteriormente ya se hacía con MSN Messenger). Utilizando el sistema clásico de llamar la atención en forma de mensaje con contenido sugerente en forma de fotos y un enlace acortado para que el usuario no sepa qué se esconde detrás. De esta forma tan sencilla, los ciberdelincuentes autores de esta campaña consiguieron infectar a más de 300.000 usuarios de todo el mundo, lo que demuestra que las viejas técnicas siguen funcionando a poco que se adapten.

Graves vulnerabilidades en mayo

Con respecto a vulnerabilidades en sistemas operativos y aplicaciones, Microsoft ha vuelto a ser protagonista durante el mes pasado. Se descubrió una grave vulnerabilidad en el navegador Internet Explorer 8 que había sido utilizada para propagar malware desde páginas web legítimas y que pertenecían a grandes empresas con intereses en la industria aeroespacial, defensa y seguridad, pasando por organizaciones no gubernamentales e incluso llegando a organismos oficiales del Gobierno de los Estados Unidos.

Además de esta vulnerabilidad en el popular navegador de Internet, uno de los ingenieros de Google con más experiencia a la hora de encontrar fallos de seguridad anunció haber descubierto una grave en las versiones actuales de Windows, desde XP a Windows 8. Según este investigador, esta vulnerabilidad podría ser usada para escalar privilegios, provocar un cuelgue del sistema o ejecutar código arbitrario.

También en mayo, Microsoft presentó su consola de nueva generación, XBOX One. Con este anuncio ya se han presentado las consolas de las tres grandes casas (Nintendo, Sony y Microsoft) que se van a disputar la siguiente generación de consolas de videojuegos. No obstante, la arquitectura similar a la de un PC tanto de la Playstation 4 como de Xbox One nos hace plantearnos si no estaremos ante los posibles nuevos objetivos de los ciberdelincuentes.

Ciberataques: el género de moda de la primavera

Otro tipo de ataques, los dirigidos a grandes empresas, organizaciones o gobiernos también fueron protagonistas durante las últimas semanas. En el laboratorio analizamos una amenaza detectada en Pakistán y con muchos puntos para haber sido generada en la vecina India. Esta amenaza, que también afectó a algunos ordenadores españoles, tenía como objetivo robar información de los ordenadores que infectaba. El hecho de que la mayoría de ordenadores afectados se encontrasen en Pakistán y que, tras analizar el código del malware, se encontrasen cadenas de texto en hindi nos hace sospechar de un caso de ciberespionaje entre estos dos países.

Asimismo, el prestigioso periódico The Wall Street Journal informó de supuestos ciberataques contra la red eléctrica de Estados Unidos, con todas las sospechas apuntando hacia Irán, según algunas fuentes del Gobierno norteamericano. En nuestro blog analizamos las posibilidades reales de que un ataque de ese tipo se produjese también en España y de las medidas adoptadas por nuestro gobierno para evitarlo.

El uso ya habitual de la tecnología por parte de los delincuentes se hizo patente una vez más cuando conocimos la noticia del robo de más de 45 millones de dólares aprovechando la existencia de varias vulnerabilidades en el actual sistema de seguridad financiera. En una operación que duró apenas diez horas, todos los miembros de una banda repartidos por varios países lograron retirar de varios cajeros alrededor de 40 millones de dólares, cantidad que se sumó a otros cinco millones obtenidos en una operación similar realizada en diciembre.

También en mayo hemos visto cómo monedas virtuales como Bitcoin era lo que precisamente estaba buscando algún empleado deshonesto de ESEA, una importante comunidad de juegos online, cuando modificó el software cliente antitrampas de esta empresa para incluir una opción que se encargaba de utilizar los recursos del ordenador para minar bitcoins, algo que la propia empresa había estado probando de forma interna pero que terminó descartando.

El hecho de que los jugadores más exigentes sean los que dispongan de los equipos más adecuados para conseguir procesar este tipo de monedas virtuales los hace especialmente atractivos como víctimas a los ciberdelincuentes que aprovechan la gran potencia de cálculo de sus equipos para hacerse ricos a su costa.

En nuestro país vimos también cómo se consiguió detener a un ciudadano de Zaragoza, acusado de espiar a sus vecinos utilizando para ello las cámaras web de sus portátiles. Aprovechando las redes Wi-Fi de sus vecinos conseguía infectar sus equipos con un malware que le permitía controlar la cámara web de sus ordenadores y procedía a grabarlos sin su consentimiento. Por si fuera poco, este individuo también fue acusado de almacenar en su ordenador pornografía infantil.

Por último, no nos olvidamos de los sistemas Mac OS, y es que durante mayo analizamos una nueva muestra de malware para esta plataforma que, además de robar información del ordenador infectado, realizaba capturas de pantalla periódicas del escritorio. Este malware tenía también la peculiaridad de encontrarse firmado con un identificador de desarrollador de Apple y fue además descubierto por un investigador en un evento celebrado para ayudar a protegerse a los activistas de varias organizaciones del espionaje gubernamental.

Esto es lo que ha dado de sí el mes… Vamos a ver cómo se nos presenta junio, que todo indica que no nos va a dejar mucho tiempo al relax .

Feliz jueves!

Yolanda Ruiz

Josep Albors

Consejo: aprendamos a cuidar nuestra privacidad en Internet

Está claro que el uso de las redes sociales ha cambiado la forma de comunicarnos con otros usuarios en Internet. Una gran variedad de redes sociales nos animan a compartir nuestras experiencias, pensamientos, fotografías, gustos, etc., con conocidos y desconocidos sin pedir, aparentemente, nada a cambio. No obstante, nuestra privacidad es algo muy valioso que debemos cuidar si no queremos arrepentirnos más adelante.

Muchos usuarios piensan que cuantas más experiencias compartan entre sus contactos (que no tienen por qué ser sus amigos), más populares serán entre el resto de usuarios de las redes sociales que frecuentan. Hoy día podemos ver auténticos casos de exhibicionismo electrónico en los que muchos usuarios cuentan sin tapujos su vida, incluyendo información personal que puede ser usada en su contra.

Pensemos por ejemplo en los campos a rellenar que nos ofrecen la mayoría de redes sociales. Nos piden nuestro nombre, apellidos, fecha de nacimiento, país, localidad de residencia, dirección, cuenta de correo electrónico e incluso algunas hasta los datos de nuestra tarjeta de crédito. Toda esta información que muchos pueden considerar trivial y sin mucha importancia es un filón inagotable de información para empresas de publicidad y otras miradas indiscretas.

Estamos cansados de oír, ahora que las vacaciones de verano empiezan a asomar, que no debemos dar pistas de que vamos a dejar nuestro lugar de residencia deshabitado por una temporada, para así evitar que los amigos de lo ajeno puedan campar a sus anchas durante ese periodo. En los últimos años es frecuente escuchar también cómo esos consejos se trasladan al mundo digital y nos piden que evitemos anunciar a los cuatro vientos que nos vamos de vacaciones en nuestro perfil y que colguemos las fotos de nuestras vacaciones mientras estemos disfrutándolas.

Parémonos a pensar un momento. Uno de los mayores placeres que tiene un usuario de una red social es anunciar a sus contactos que va a disfrutar de unas merecidas vacaciones en algún lugar recóndito e ir colgando las fotografías conforme va disfrutando de esos días. Sugerir que nadie publique esa información en su perfil va a caer irremediablemente en saco roto. Algo mucho más sencillo y efectivo es evitar proporcionar datos que puedan llegar a localizar nuestro lugar de residencia y limitarnos solo a aquellos que sean básicos para que quien quiera localizarnos y contactarnos en una red social lo pueda hacer, como podrían ser nuestro nombre y apellidos y una dirección de email que usemos para asuntos informales.

Los ladrones de casas no son el único peligro que acecha en Internet en busca de usuarios descuidados con su privacidad. También tenemos todo tipo de estafadores e individuos de peor calaña que recopilan los datos que proporcionamos alegremente para después usarlos en nuestra contra. Esto incluye desde el envío de correos dirigidos haciéndose pasar por un antiguo compañero de trabajo, universidad o instituto hasta el intento de secuestro de menores a la puerta de un colegio utilizando datos proporcionados por los padres para ganarse la confianza del menor.

Y ahora que mencionamos a los menores, es fundamental que estos aprendan buenas prácticas desde bien pequeños, puesto que una foto privada publicada y compartida entre un grupo de contactos puede acarrear graves consecuencias, pudiendo derivar en casos de ciberacoso o incluso caer en manos de ciberdepredadores que pueden usarla para extorsionar al usuario que la publicó.

Es importante destacar que los menores toman como modelo lo que hacen los adultos, y si estos no cuidan su privacidad online, mucho menos lo harán ellos. Esto, unido a la necesidad de destacar entre otros chavales de su edad, puede llevarlos a gestionar de mala forma su privacidad y acarrearles graves consecuencias de difícil solución.

Es fundamental entonces que aprendamos a gestionar nuestra privacidad igual que la mayoría hacemos en la vida real. Si no andamos por la calle repartiendo folletos con nuestros datos personales y fotografías, no lo hagamos tampoco en las redes sociales. Si aprendemos algo tan sencillo como compartir solo aquellos datos que no nos importa que se hagan públicos y que no acarrean consecuencias negativas, y solamente entre nuestros contactos de mayor confianza, aquellos amigos que conocemos en la vida real, podremos disfrutar de las redes sociales sin miedo a que alguien obtenga más información de la cuenta acerca de nuestra vida.

Josep Albors

 

Ciberataques a las redes eléctricas. ¿Estamos preparados?

Desde que hace ya tres años se descubriera el gusano Stuxnet afectando a instalaciones nucleares iraníes han corrido muchos ríos de tinta hablando de ciberguerra, ataques dirigidos y seguridad de las infraestructuras críticas. No obstante, revisando los incidentes detectados desde entonces no parece que hayamos avanzado mucho en la protección de estas infraestructuras.

Así se deduce de un informe presentado recientemente por la empresa analista de mercado ABI Research, quienes definen a las redes eléctricas como “lamentablemente preparadas” ante la posibilidad, cada vez más real, de un ciberataque. Esto es debido en parte a una reestructuración del sector y a la implementación de las redes eléctricas inteligentes para así gestionar de manera más eficaz la producción y distribución de la electricidad, usando para ello la tecnología informática.

El problema es que esta transición a una red eléctrica inteligente se está realizando sin tener apenas en cuenta la seguridad. Así pues, podemos encontrar, según ABI Research, sistemas de control industrial (SCADA) con métodos de autenticación débiles, con poco uso del cifrado y que pocas veces son capaces de detectar una intrusión, todo ello  por centrarse demasiado en ahorrar costes y en mejorar la eficiencia sin preocuparse por la seguridad.

Un buen ejemplo de esta falta de seguridad lo encontramos en la noticia que publicaba el periódico The Wall Street Journal, donde se afirmaba, citando a fuentes del Gobierno de Estados Unidos, que la red eléctrica de ese país estaba sufriendo constantes ciberataques procedentes de Irán. Estos ataques estarían orientados más a causar sabotajes que a recopilar información, por lo que el daño producido en caso de lograr su objetivo podría ser mucho mayor. Aunque no se puede asegurar a ciencia cierta que estos ataques provengan realmente de Irán, es una posibilidad que no se debe descartar.

Este tipo de ataques no son nuevos, pero con sistemas de control de infraestructuras críticas cada vez más conectados a redes civiles como Internet, no es de extrañar que sean uno de los objetivos preferidos por atacantes de todo el mundo.

¿Y en España? Pues no es que nos encontremos en una situación mucho mejor, la verdad. El Centro Nacional de Inteligencia reveló a principios de año que 2012 había sido el peor año en cuanto a ciberataques contra las altas instituciones del Gobierno español, y esto también incluye ataques contra infraestructuras críticas. Más de un centenar de estos ataques fueron considerados graves o muy graves, con consecuencias aún por determinar.

Como medida de prevención y defensa contra este tipo de ataques existe desde hace unos años el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), encargado de coordinar los mecanismos necesarios para garantizar la seguridad de estas infraestructuras. Dentro de ese esfuerzo se engloban tanto organismos gubernamentales como empresas privadas, entre las que nos encontramos las casas de antivirus que actuamos como sistema de detección de amenazas y alerta temprana.

Sobre el papel tenemos varias estrategias a seguir y buenas prácticas a implementar. El problema viene cuando nos topamos con la falta de recursos a la hora de hacer realidad todas esas buenas prácticas, y es que en el difícil contexto de situación económica actual es complicado obtener los fondos necesarios para prácticamente cualquier cosa.

El problema es que los atacantes no necesitan de grandes recursos para causar un gran daño en estas instalaciones críticas. Se ha hablado mucho recientemente de ciberejércitos preparados para lanzar elaborados ciberataques que hagan retroceder a un país a la edad media. No obstante solo hace falta un ordenador, una conexión a Internet y a alguien con los conocimientos suficientes (a veces ni eso gracias a los kits de explotación) para causar un daño importante en las infraestucturas de un país.

Así las cosas, aún podemos dar gracias de que no se producen tantos incidentes de seguridad en este tipo de infraestructuras como podrían suceder. No obstante, no debemos bajar la guardia, y sí destinar cuanto antes los recursos necesarios para prevenir este tipo de amenazas porque puede que cuando nos pongamos a ello, ya sea demasiado tarde.

Josep Albors

¿Es segura la autenticación de doble factor en Twitter?

La semana pasada Twitter anunció que comenzaría a implementar la doble autenticación como una característica adicional para mejorar la seguridad. Esta noticia es buena para los usuarios de este popular servicio, y más de un famoso y muchas empresas habrán respirado aliviados pensando que se terminaban todos los problemas de robos de cuentas y mensajes escritos en su nombre.

Sin embargo, esta implementación de la autenticación de dos factores presenta varios agujeros de seguridad, según informan nuestros compañeros de F-Secure en su blog. Este sistema utiliza mensajes de texto SMS para enviar los códigos de autenticación del usuario cuando este intenta acceder a su cuenta. Algo que  ya utilizan muchos otros servicios como la banca online y que no presentaría mayores problemas aparte de los ya conocidos casos de malware que interceptan estos mensajes y los envían a los ciberdelincuentes.

No obstante, Twitter ya permite que los usuarios publiquen o reciban tweets usando mensajes SMS, permitiendo además que se envíen una serie de comandos especiales para realizar cierto tipo de acciones. De esta forma es posible seguir a nuevos usuarios, activar o desactivar las actualizaciones o incluso desactivar nuestra cuenta en el caso de que solo utilicemos Twitter mediante SMS.

El problema viene cuando descubrimos que un atacante podría deshabilitar este factor de doble autenticación si conoce nuestro número de teléfono y utiliza técnicas de SMS spoofing para suplantar el remitente original (en este caso, Twitter), y obtener así el código de autenticación necesario para acceder a nuestra cuenta si hemos activado la opción correspondiente.

De hecho, este problema se agrava si el atacante que consigue acceder a nuestra cuenta (la tengamos protegida con el factor de doble autenticación o no) cambia el número de teléfono asociado, puesto que así impediría al usuario legítimo acceder a su cuenta ya que no contaría con el código necesario, que sería enviado al móvil definido por el ladrón de nuestra cuenta.

De esta forma, si sufrimos el robo de nuestra cuenta, la única manera que nos quedaría para recuperarla sería contactando con el servicio de soporte de Twitter y comenzar un engorroso procedimiento para verificar que somos los legítimos propietarios de la cuenta. Mientras tanto, el ciberdelincuente podría estar publicando tweets en nuestro nombre con total tranquilidad, con el consecuente daño a nuestra imagen que eso podría ocasionar.

Este error de diseño al utilizar el mismo sistema de envío tanto para códigos de autenticación como para el envío de tweets y comandos especiales es algo que debería haberse tenido en cuenta antes de lanzar esta nueva característica. Si bien la idea es buena en origen, su implementación puede traer problemas para muchos usuarios si no se andan con cuidado.

Existen otras formas de utilizar este tipo de autenticación, como la que incorporamos en ESET Secure Authentication para servicios como Outlook Web Access o redes VPN. Contando con una aplicación en nuestro móvil en lugar de esperar recibir un mensaje evitamos que estos SMS sean interceptados. Además, podemos asegurar el acceso a esta aplicación con un código PIN para asegurarnos de que nadie que no lo conozca pueda obtener estos códigos, muy útil por si nos roban o perdemos el móvil.

Como vemos, existen diversas maneras de aplicar una comprobación de seguridad adicional y aunque no hay ninguna que sea 100% infalible, puesto que el factor humano siempre está presente, sí que hay algunos métodos más indicados que otros dependiendo de la situación en la que ha de aplicarse. Esperamos que Twitter tome buena nota de estos fallos y sigan proporcionando nuevas medidas de seguridad a sus usuarios.

Josep Albors

« Artículos Posteriores — Artículos Anteriores »