Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Informe Anual de Seguridad de ESET España. Amenazas 2014

2,400 views

Published on

Con el fin de 2014 llega el momento de hacer balance del año en materia de seguridad informática. Doce meses tremendamente intensos en cuanto a ciberseguridad que no hacen más que confirmar la tendencia de los últimos años: un aumento constante de la actividad cibercriminal. Ante este panorama, destacar unas amenazas o ataques sobre otros resulta una labor complicada. Sin embargo, siguiendo criterios de relevancia en cuanto a alcance, ESET España ha elaborado el “Top 12” de incidentes más relevantes por mes.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Informe Anual de Seguridad de ESET España. Amenazas 2014

  1. 1. www.eset.es Con el fin de 2014 llega el momento de hacer balance de cómo ha ido el año en materia de seguridad informática: doce meses tremen- damente intensos en cuanto a ciberseguridad que no hace más que confirmar la tendencia de los últimos años en cuanto a un aumento constante de la actividad cibercriminal. En este panorama, destacar unas amenazas o ataques sobre otros resulta una labor complicada. Sin embargo, siguiendo criterios de relevancia en cuanto a alcance, hemos elaborado a modo de resumen el Top 12 de incidentes más relevantes por mes. • Enero: WhatsApp cobró protagonis- mo por una serie de correos falsos que in- vitaban a los usuarios a descargarse una nueva versión de la popular aplicación de mensajería que, en realidad, no era más que un troyano bancario. Además, hubo nuevas filtraciones de la NSA, algo que no nos sorprendió en absoluto, ya que seguía la misma tendencia de los últimos meses de 2013. • Febrero: este mes quedó marcado como especialmente convulso para la mo- neda criptográfica bitcoin, ya que al cierre INTRODUCCIÓN de Mt. Gox, uno de los mayores mercados de transacción de bitcoins, se unieron numero- sos ataques tanto contra los usuarios de la moneda virtual como contra algunas de las plataformas de intercambio y operaciones en- cargadas de su gestión. • Marzo: en marzo hubo bastante mo- vimiento de amenazas, estafas y bulos por redes sociales y uno de los ganchos más uti- lizados por los ciberdelincuentes ha sido la desaparición del vuelo de Malaysia Airlines MH370. Fueron muchos los enlaces de su- puestos vídeos exclusivos mostrando imáge- nes de accidentes aéreos que se hicieron pasar por contenido relacionado con la noticia y no pocos usuarios cayeron en la trampa, hacien- do clic sobre ellos y descargando malware o terminando en webs con molestas encuestas online. • Abril: el mes de abril estuvo protagoni- zado sin duda por una de las vulnerabilidades más graves en la historia de Internet tanto por importancia como por su alcance, Heart- bleed.
  2. 2. www.eset.es Este agujero de seguridad encontrado en algunas versiones de OpenSSL permite a un atacante acceder a partes de la memoria de muchos servidores conectados a la red. • Mayo: la brecha de seguridad más co- mentada durante mayo fue sin duda la sufrida por eBay. Al parecer, la empresa sufrió un ata- que que logró comprometer una base de datos con contraseñas cifradas y otros datos no fi- nancieros. Esto fue posible porque los atacan- tes lograron obtener las credenciales de acceso de algunos empleados. Algo similar le sucedió también a Spotify. • Junio: este mes estuvo marcado por el comienzo del Mundial de Fútbol en Brasil y los delincuentes no quisieron perderse la cita, por lo que prepararon todo tipo de engaños y ame- nazas con los que engatusar a los usuarios más desprevenidos. • Julio: el conocido sistema de pago online PayPal vio cómo su sistema de autenticación de doble factor tenía un fallo que podría permitir a un atacante acceder a las 143 millones de cuen- tas que la compañía tiene actualmente. El agu- jero de seguridad se encontraba en la versión para móviles de PayPal. INTRODUCCIÓN • Agosto: este fue el mes de los casos de robo de información confidencial. Comenzó con la no- ticia de la filtración de unas 76.000 cuentas de desarrolladores de la fundación Mozilla. Al poco tiempo saltó la noticia de que un misterioso grupo de delincuentes rusos había robado alrededor de 1.200 millones de usuarios y contraseñas y más de 500 millones de direcciones de correo electrónico. Entre estos datos se encontraban usuarios y empresas de todo tipo, datos obtenidos del mercado negro,redes sociales o incluso proce- dentes de vulnerabilidades en sitios web para robar los datos de sus usuarios. Además, UPS, la mayor empresa de logística y transporte del mundo también comunicó que había sufri- do un ataque debido al cual se había robado la información bancaria de sus clientes en 51 oficinas en Estados Unidos en una operación que había durado 7 meses, entre enero y agos- to. Sin embargo, el robo de datos más impac- tante del que tuvimos constancia fue el que se produjo en los sistemas relacionados con la investigación del vuelo MH370. • Septiembre: este mes pasará a la his- toria por el que se ha llamado como el “Cele- bgate”, y es que muchas famosas, sobre todo
  3. 3. www.eset.es norteamericanas, que alojaban sus fotos más íntimas en la nube vieron cómo estas se filtraban a la opinión pública. • Octubre: Poodle es como se denomi- nó a una vulnerabilidad descubierta a me- diados de dicho mes y que puso el último clavo en el ataúd del protocolo de comuni- cación SSL v3.0, el cual, a pesar de contar con quince años de antigüedad sigue sien- do bastante utilizado. • Noviembre: este fue el mes donde se conocieron varias e importantes amenazas para sistemas operativos, como Wirelur- ker, un malware diseñado para infectar a sistemas Mac OS y Windows y para robar la información de los dispositivos con iOS (iPhone principalmente) conectados al sis- tema infectado. • Diciembre: este fue el mes en el que nos sorprendió la utilización de un viejo ejemplar de ransomware muy bien hecho y especialmente diseñado para el mercado español que se hacía pasar por un email de Correos. Técnicamente nada nuevo, pero la INTRODUCCIÓN ingeniería social hizo que se produjeran nu- merosos casos de infecciones en nuestro país y que los usuarios vieran cómo su información quedaba secuestrada automáticamente. No sabemos cuántos de ellos pagaron el rescate, que iba de los 300 a los 600 € según cuándo se hiciera el pago. A continuación puedes leer el resumen am- pliado, mes a mes, de todo lo más relevante en cuanto a seguridad informática se refiere. 2014 ha sido, sin duda, un año más que inten- so. Y esperamos un 2015 igual de intenso e in- teresante en cuanto a seguridad informática. Esperamos que, al menos, no haya muchas víctimas y que el cibercrimen se siga persi- guiendo y castigando.
  4. 4. www.eset.es ENERO RedesSocialesymensajeríainstantánea Arranca el año con mucha actividad En enero cobraron bastante protagonismo aque- llas amenazas que utilizan todo tipo de redes so- ciales o servicios de mensajería instantánea para propagarse o hacer caer a los usuarios en la tram- pa preparada por los delincuentes. Una de las em- presas que tuvo un mes movidito en sus cuentas de redes sociales, y alguna que otra de sus webs, fue Microsoft. El conocido como Ejército Electróni- co Sirio tomó el control temporal de varias cuentas de Twitter propiedad de Microsoft, entre ellas la de Skype y una cuenta de soporte de Xbox, además de varios blogs de la empresa. Aparentemente, no se comprometió ninguna información confidencial, puesto que el ataque parecía más orientado a di- fundir las reivindicaciones de este grupo de hack- tivistas sirios. A pesar de que acabábamos de entrar en 2014, las técnicas utilizadas durante años para engañar a los usuarios siguen funcionando de la misma for- ma, con alguna ligera variación. Las imágenes o noticias impactantes son un reclamo con mucha efectividad entre los usuarios más curiosos y así se demostró el pasado mes de enero cuando la falsa noticia del ataque de una serpiente gigante a su cuidador en un zoo fue utilizada como gancho para atraer usuarios a enlaces maliciosos en Facebook. Precisamente Facebook también fue noticia por haber pagado la nada despreciable cantidad de 33.500 dólares a un investigador que les informó de un importante fallo de seguridad en su sistema de registro. Esta vulnerabilidad permitía dirigir a una web maliciosa a cualquiera que utilizase sus datos de registro de Gmail para acceder a su cuen- ta de Facebook.
  5. 5. www.eset.es ENERO RedesSocialesymensajeríainstantánea Mensajería instantánea como reclamo para el malware El popular sistema de mensajería WhatsApp tam- bién fue utilizado por los ciberdelincuentes para, a través de correos falsos, engañar a los usuarios y pedirles que descargasen y ejecutasen un peligro- so troyano bancario en sus sistemas. Hace unos meses vimos cómo esta técnica empezaba a ser utilizada y en enero comprobamos que se están adaptando los correos fraudulentos a diversas re- giones del mundo. “Que se usen las redes sociales para propagar todo tipo de amenazas y engaños no debería sorpren- dernos a estas alturas”, declaró Josep Albors, di- rector del laboratorio de ESET España.“Lo que nos sorprende, y debería hacernos reflexionar, es que sigamos cayendo en las mismas trampas que han utilizado los ciberdelincuentes durante años y que solo han sufrido un ligero lavado de cara”. Privacidad en entredicho La privacidad sigue siendo una de las preocupacio- nes de los usuarios, y este mes estuvo cargado de noticias al respecto. Uno de los servicios de almacenamiento de in- formación más utilizados actualmente, como es el popular Dropbox, demostró no ser tan privado como parecía al descubrirse que se podía acceder a través de búsquedas en Google a cientos de miles de enlaces con información privada. Este acceso a datos privados se produce por una incorrecta con- figuración por defecto que puede ser solucionada de forma sencilla por los usuarios. La fuga de datos privados más sonada del mes fue la de los 20 millones de habitantes (un 40% de la población del país) de Corea del Sur. La informa- ción personal de este elevado número de personas quedó al descubierto tras descubrirse que un em- pleado temporal de la asociación bancaria conoci- da como Korean Credit Bureau había robado la in- formación y que la había vendido posteriormente a empresas de telefonía móvil. Otro caso sonado similar al anterior fue el aviso lanzado por la Agencia de Seguridad Alemana aler- tando del robo de 16 millones de cuentas de correo y contraseñas, principalmente de ese país.
  6. 6. www.eset.es ENERO RedesSocialesymensajeríainstantánea Al parecer,este robo de información privada se rea- lizó desde una botnet, que también se aprovecha- ba de las máquinas infectadas para enviar spam. Y si hablamos de botnets no nos olvidamos en enero de hablar de una nueva red de ordenadores zombis descubierta recientemente y que se encar- gaba de enviar millones de correos spam. La pecu- liaridad de esta botnet en concreto era que, entre los dispositivos que controlaba, se encontraban algunos no tan habituales, como Smart TV y neve- ras conectadas a Internet. Sin duda, algo que nos debería hacer reflexionar sobre si el“Internet de las cosas” está realmente protegido frente a este tipo de ataques. Filtraciones sobre la NSA De nuevo la NSA tuvo su parte de protagonismo, como cada mes desde el verano pasado, con nue- vas informaciones filtradas sobre sus programas de espionaje. En esta ocasión el punto de mira se centraba en las aplicaciones para móviles, y con- cretamente en los fallos presentes en algunas de las más utilizadas por el público, para obtener suculentos datos que las agencias de espionaje pueden utilizar para rastrear a ciertos usuarios. Sin duda, estos nuevos datos darán mucho de que hablar también en las semanas y meses venideros. Otros dispositivos muy comunes en la mayoría de hogares y a los que pocos usuarios les prestan atención son los routers. Estos dispositivos tam- bién presentan fallos que, de no ser corregidos, permitirían a un atacante, por ejemplo, tomar el control de algunos dispositivos que se conecten a través de ellos. En este caso fueron routers de fa- bricantes conocidos como Netgear o Linksys, pero cualquier marca puede verse afectada si no se apli- can los parches de seguridad necesarios. Si hablamos de malware, en enero analizamos una muestra de adware bastante molesta que se dedi- caba a enriquecer a los ciberdelincuentes a costa de un fraude por clics en webs de anuncios realiza- dos sin conocimiento de los usuarios de los siste- mas infectados.
  7. 7. www.eset.es ENERO RedesSocialesymensajeríainstantánea El virus del fútbol Sin utilizar técnicas avanzadas pero con una efec- tividad más que notable, vimos en enero varios casos de envío de spam con temas de actualidad. La celebración del Mundial de fútbol este año en Brasil fue aprovechada para propagar uno de los tí- picos scams o timos nigerianos en los que un usua- rio se cree ganador de un cuantioso premio pero al final termina pagando dinero a los estafadores en espera de ese premio que nunca llega. Y por si no fueran pocos los problemas derivados del polémico fichaje del futbolista del F.C. Barce- lona Neymar, su nombre y el de su por entonces novia fueron utilizados en otra campaña de propa- gación de malware. Simulando ser un vídeo erótico de la novia del po- pular Neymar, se nos proporcionaba un enlace que descargaba un peligroso troyano bancario. Una técnica nada elaborada pero que no deja de ser efectiva al aprovecharse de la curiosidad y el mor- bo de la gente.
  8. 8. www.eset.es FEBRERO ElpeormesparabitcoinyMac Febrero quedará marcado como un mes espe- cialmente convulso para la moneda criptográfi- ca bitcoin, ya que al cierre de Mt. Gox, uno de los mayores mercados de transacción de bitcoines, se unen los ataques que ha sufrido el sistema durante las últimas semanas. Los objetivos de los ataques han sido tanto los usuarios de la moneda virtual como algunas de las plataformas de intercambio y operaciones encargadas de su gestión. De hecho, el cierre de Mt. Gox supuestamente pudiera haber sido provocado por uno de estos ataques, que con- siguió robar –según sus responsables– alrededor de 750.000 bitcoins (unos 450 millones de euros). No obstante, esta plataforma no ha sido la única afectada, ya que a finales de mes Flexcoin, otra entidad encargada de gestionar transacciones de esta moneda, también vio cómo habían desapare- cido 896 bitcoines. De momento, los usuarios que confiaron en estas plataformas para almacenar sus bitcoines no han recibido respuesta ni com- pensación alguna. Mac y bitcoin, unidos en los ataques de malware Precisamente, dos de los malware que detecta- mos este mes y que afectaban a sistemas Mac te- nían como finalidad robar bitcoins. El primero de estos códigos maliciosos se camuflaba dentro de una aplicación de minería de bitcoins modificada para instalar extensiones en el navegador, monito- rizar el tráfico web del usuario, identificar y robar credenciales de acceso a webs de transacciones y almacenamiento online de bitcoins. A finales de mes vimos otro malware similar para usuarios de Mac pero camuflado, esta vez, de otro tipo de aplicaciones como un editor de textos, un editor de gráficos o el popular juego Angry Birds.
  9. 9. www.eset.es FEBRERO ElpeormesparabitcoinyMac Además de estos casos de malware, Apple tuvo que lanzar este mes una actualización de emer- gencia para sus sistemas iOS y Mac OS que corre- gía una grave vulnerabilidad en la verificación de conexiones SSL, algo que permitía a un atacante interceptar lo que deberían ser comunicaciones seguras entre nuestro iPhone/iPad y sitios web con protección SSL. Malware en redes sociales En febrero Facebook cumplió 10 años y, no sabe- mos si para celebrarlo, adquirió el conocido siste- ma de mensajería WhatsApp. Esta compra hizo que los medios se llenasen de ti- tulares de todo tipo hablando sobre el montante total de la operación, pero también sobre la priva- cidad de los usuarios de WhatsApp tras la adquisi- ción. Noticia a lo que se unió un intento de secuestro de su dominio por parte de miembros del Ejérci- to Electrónico Sirio (SEA). Afortunadamente para esta red social, los hacktivistas fracasaron en su intento gracias a la rápida reacción de su adminis- trador del dominio.
  10. 10. www.eset.es FEBRERO ElpeormesparabitcoinyMac Forbes y el Barça también fueron hackeados Menos suerte tuvieron en Forbes, que vieron cómo miembros del SEA conseguían tomar el control temporal de algunas de sus cuentas de Twitter y además accedieron a la base de datos de usuarios registrados en los blogs de Forbes gestionados con WordPress. Esto supuso tener acceso a las creden- ciales de más de un millón de usuarios registrados y de los 79 administradores encargados de gestio- nar estos blogs. Y para rematar estos ataques, el mismo grupo se hizo con el control del la cuenta corporativa de Twitter del F.C. Barcelona y lanzaron saludos a su eterno rival, el Real Madrid, además de publicar consignas en contra del patrocinio de Qatar Foun- dation. Robo de datos Febrero también afectó a varias empresas, como Barclays Bank, Yahoo o Kickstarter, por el robo de datos. En el caso de Yahoo, no se especificó la can- tidad de usuarios que se vieron afectados aunque sí que la información robada contenía correos re- cientes y credenciales de acceso de los usuarios. Algo similar le sucedió al portal más importante de crowdfunding, Kickstarter, que sufrió una in- trusión mediante la cual los atacantes accedieron a los datos de sus usuarios. La información com- prometida incluía nombres de usuario, dirección de correo electrónico, domicilio, teléfono y contra- señas cifradas. Por otra parte, Barclays Bank sufrió una brecha de seguridad que permitió la filtración de unos 27.000 ficheros confidenciales. Este ha sido el peor incidente relacionado con la fuga de información de un banco británico. Entre otros datos, los ata- cantes tuvieron acceso a los datos financieros de sus clientes (como ahorros, ganancias, hipotecas) y a otros datos como los números de la seguridad social y las pólizas de seguros. Además del daño a su imagen, Barclays Bank podría exponerse a im- portantes sanciones por la agencia británica de protección de datos.
  11. 11. www.eset.es FEBRERO ElpeormesparabitcoinyMac Microsoft y Adobe lanzaron actualizaciones para solucionar varios agujeros de seguridad que po- drían permitir a un atacante tomar remotamente el control de un sistema vulnerable. Especialmen- te graves fueron los fallos de seguridad que afec- taban a Adobe Shockwave Player y Adobe Flash Player puesto que permitían afectar a sistemas Windows, Mac y Linux. También durante febrero vimos el resultado de dos interesantes investigaciones. La primera de ellas realizada por dos españoles y que han conseguido desarrollar un dispositivo de bajo coste que permi- te tomar el control de casi cualquier coche. Por otro lado, investigadores de la universidad de Liverpool han diseñado una prueba de concepto de un malware que se propagaría a través de redes Wi-Fi, aprovechándose de puntos de acceso des- protegidos o con poca seguridad. Esta amenaza se infiltra sin ser detectada para re- copilar datos y credenciales de todos los usuarios que estén conectados a la red y se encuentren na- vegando en sitios sin protocolos de cifrado. En lo que respecta a malware más habitual, vi- mos cómo aparecieron nuevas variantes de ran- somware, pero esta vez, en lugar de hacerse pasar por algún cuerpo de policía, los ciberdelincuentes suplantaron la identidad del Consejo Europeo con la finalidad de obtener los datos de nuestra tarjeta de crédito. Como dato curioso, durante los entrenamientos del equipo de Fórmula 1 Marussiaa a finales de mes, un troyano infectó los sistemas encargados de medir la telemetría del coche. Esto impidió que el equipo realizara las pruebas que tenían previs- tas, retrasando la puesta a punto del coche y re- velando la importancia que, cada vez más, tienen los sistemas informáticos en este tipo de competi- ciones.
  12. 12. www.eset.es MARZO Spam,phishingyseguridadenmóviles En marzo hubo bastante movimiento de amena- zas, estafas y bulos por redes sociales y uno de los ganchos más utilizados por los ciberdelincuentes ha sido la desaparición del vuelo de Malaysia Air- lines MH370. Fueron muchos los enlaces de su- puestos vídeos exclusivos mostrando imágenes de accidentes aéreos que se hicieron pasar por conte- nido relacionado con la noticia y no pocos usuarios cayeron en la trampa, haciendo clic sobre ellos y descargando malware o terminando en webs con molestas encuestas online. Otro de los bulos que se extendieron por redes so- ciales fue el que mostraba un supuesto vídeo im- pactante pero terminaba engañando a los usua- rios para que accedieran a páginas de suscripción de servicios online a cambio del envío de mensajes sms de tarificación especial. Esta táctica es algo habitual actualmente y siempre hay usuarios que pican, por lo que los ciberdelicuentes no dejan de repetirla siempre que pueden. El laboratorio de ESET España observó también cómo las estafas piramidales van migrando hacia las redes sociales y, en marzo, conocimos la exis- tencia de dos empresas que utilizaban este méto- do para captar inversores. La gente que se involu- cra en estos supuestos métodos casi milagrosos para ganar dinero no tarda en bombardear a todos sus contactos en redes con mensajes para que se unan al lucrativo negocio, y así la base de la pirámi- de se va haciendo más grande y las empresas que orquestan este tipo de estafas ganan más dinero.
  13. 13. www.eset.es MARZO Spam,phishingyseguridadenmóviles Phishing en redes sociales y videojuegos Relacionado con Twitter, apareció un intento de phishing mediante el que, utilizando la conocida técnica de enviar desde una cuenta comprometida un enlace supuestamente de interés a todos sus contactos, se intentaba conseguir las credenciales de los usuarios. Precisamente, marzo ha sido un mes con distintos intentos de phishing y alguno de ellos consiguió comprometer páginas legítimas de importantes compañías. Este fue el caso de la web de la cono- cida empresa desarrolladora de videojuegos Elec- tronic Arts, que se encontró, sin saberlo, alojando una falsa web de Apple ID que pretendía robar las credenciales de los usuarios que accedieran a ella. Más curioso aún fue el caso de los miles de mensa- jes enviados suplantando la identidad de nuestra empresa, ESET, a usuarios de toda Europa.Aprove- chándose de la buena reputación de la compañía, los ciberdelincuentes instaban a los usuarios que recibían estos correos falsos a pagar por licencias de antivirus que no habían comprado. No obstan- te, tras realizar el aviso pertinente, esta campaña de phishing no duró mucho y la cantidad de usua- rios afectados no fue elevada. Actualizaciones de seguridad de los fabrican- tes Como cada segundo martes de cada mes, Micro- soft publicó sus boletines de seguridad contenien- do parches para solucionar un buen número de vulnerabilidades. Entre los parches más destaca- bles encontramos los que solucionaban un peli- groso agujero de seguridad en todas las versiones soportadas de Internet Explorer y que ya estaba siendo aprovechado por atacantes desde hace va- rias semanas.Adobe, por su parte, aprovechó para publicar una importante actualización para Flash Player que solucionaba dos vulnerabilidades.
  14. 14. www.eset.es MARZO Spam,phishingyseguridadenmóviles No obstante, poco tiempo después Microsoft se vio obligada a lanzar una alerta de seguridad al descubrir que una vulnerabilidad sin publicar en Microsoft Word estaba siendo aprovechada por atacantes para conseguir ejecutar código mali- cioso. Este agujero de seguridad afecta a todas las versiones soportadas de Word para Windows (des- de la 2003) y Microsoft Office para Mac 2011 por lo que desde Microsoft se recomendaba aplicar su solución temporal hasta que publiquen un parche de seguridad. Por su parte, Apple lanzó una importante actua- lización de su sistema operativo iOS, utilizado en iPhones e iPads, a la versión 7.1. Entre las nuevas características se encontraba un parche de segu- ridad que impide realizar el famoso jailbreak, aun- que la alegría le duró poco a Apple ya que, tan solo un par de días después, un grupo de investigadores lanzó el jailbreak para la versión 7.1 de iOS. Un viejo conocido como es el correo electrónico siguió siendo utilizado por los ciberdelincuentes para seguir difundiendo amenazas y estafas. Du- rante este mes analizamos diferentes casos de spam que suplantaban a importantes empresas como Youtube o Facebook. En el caso de Youtube, el enlace proporcionado redirigía a los usuarios a una farmacia online donde se podían adquirir me- dicamentos de forma ilegal. En otro de los casos de spam analizados, se inten- taba engañar al usuario por partida doble: prime- ro adjuntando un código malicioso y, además, su- plantando la identidad de Facebook para intentar convencerle de que pulsara sobre un enlace y des- cargara el mismo malware pero, esta vez, alojado en Dropbox.
  15. 15. www.eset.es MARZO Spam,phishingyseguridadenmóviles Fallos en dispositivos móviles Los dispositivos móviles o “ponibles” siguen atra- yendo la atención de investigadores de todo tipo en busca de posibles fallos para tratar de corregir- los. Tratándose de dispositivos que acumulan una gran cantidad de valiosa información personal hace que sean muchos los interesados en cono- cerlos más a fondo. No obstante, a veces nos lleva- mos alguna sorpresa como cuando descubrimos que varios de los dispositivos Samsung Galaxy más vendidos disponen de una puerta trasera que, gra- cias a un modem integrado, permite realizar ope- raciones remotas, incluyendo la monitorización e incluso la modificación de los datos del usuario. Uno de los dispositivos que más atención atrae a pesar de no estar aún a la venta son las Google Glass. Sus capacidades parecen infinitas pero su seguridad aún está lejos de ser perfecta. Así lo de- mostraron dos investigadores estadounidenses al crear una prueba de concepto de un spyware para estas gafas de Google. Según los investigadores, mediante su prueba de concepto consiguieron saltarse la restricción de mostrar una luz de aviso cuando la cámara integrada estuviese grabando, lo que en la práctica permitiría espiar sin que el portador de las gafas estuviese al tanto. Google también fue noticia por otro tema de pri- vacidad, como es el uso obligado del cifrado de to- das las comunicaciones que se realicen empleando Gmail. De esta forma, se impide que miradas indiscretas revisen los correos mientras circulan por los ser- vidores de Google, una medida que aparece como consecuencia de los casos de espionaje de la NSA.
  16. 16. www.eset.es MARZO Spam,phishingyseguridadenmóviles Servidores UNIX comprometidos Marzo fue también el mes elegido por ESET para desvelar la Operación Windigo, una operación que llegó a comprometer alrededor de 25.000 servido- res UNIX en todo el mundo y que consiguió atacar a 500.000 PCs diariamente mediante el envío de spam con malware. Esta operación llevaba activa desde hace más de dos años y supone un importante descubrimiento por el perfil de máquinas que los ciberdelincuentes buscaban comprometer. También las acciones de Rusia en la península de Crimea han dado pie a varias acciones de la cono- cida como ciberguerra. Desde el bloqueo de las co- municaciones a miembros del gobierno de Ucrania por parte de Rusia hasta el ataque a varias webs de organismos estatales rusos por parte de hacktivis- tas ucranianos. No se descarta que en los próximos meses se des- cubran más operaciones similares puesto que In- ternet ya hace tiempo que es considerado como un campo de operaciones en conflictos bélicos.
  17. 17. www.eset.es ABRIL ElmesdeHeartbleed El mes de abril ha estado protagonizado sin duda por una de las vulnerabilidades más graves en la historia de Internet tanto por importancia como por su alcance, Heartbleed. Este agujero de seguri- dad encontrado en algunas versiones de OpenSSL permite a un atacante acceder a partes de la me- moria de muchos servidores conectados a la red. Teniendo en cuenta que OpenSSL está siendo utili- zado por una amplia mayoría de los servidores con acceso a Internet podemos hacernos una idea de la gravedad del ataque y de la gran cantidad de da- tos confidenciales a los que se puede acceder. Esta vulnerabilidad ha supuesto que tanto los gi- gantes de Internet como millones de empresas en todo el mundo hayan tenido o estén pendientes de actualizar su implementación de OpenSSL si no quieren sufrir ataques que aprovechen este aguje- ro de seguridad. Demomentohansalidoalaluzunoscuentoscasos en los que se ha aprovechado esta vulnerabilidad e incluso ya se han producido las primeras detencio- nes, pero esperamos que este incidente dé todavía mucho que hablar en las próximas semanas. Heartbleed ha relegado a un segundo plano la que, supuestamente, iba a ser la noticia estrella del mes: el fin del soporte para Windows XP que vio cómo el pasado 8 de abril se publicaban las últi- mas actualizaciones de seguridad para el veterano sistema de Microsoft. No han sido pocas las oca- siones en las que se ha avisado de la necesidad de migrar a un sistema operativo más avanzado, pero aun así, se calcula que cerca del 30% de usuarios aún sigue usando Windows XP. A partir de ahora se abre una ventana de incerti- dumbre al respecto de la seguridad de los usua- rios de Windows XP. No podemos decir que hasta ahora estuviesen especialmente seguros ya que, a pesar de seguir recibiendo actualizaciones, un sistema tan antiguo hace tiempo que dejó de ser eficaz protegiendo contra las amenazas de hoy en día. No es que Windows XP vaya a morir de la noche a la mañana pero, si hasta hace un mes era un sistema inseguro ahora pasa a ser algo comple- tamente vulnerable y sin posibilidad de solucionar los agujeros de seguridad que hayan quedado o va- yan apareciendo.
  18. 18. www.eset.es ABRIL ElmesdeHeartbleed Siguiendo con los sistemas operativos, pero esta vez de Apple, en abril celebramos 10 años de la aparición del primer malware para Mac OS X. Han sido 10 años en los que los usuarios de Mac han pasado de sentirse prácticamente invulnerables a reconocer (tímidamente, eso sí) la posibilidad real de ser infectado por alguna de las amenazas que, cada vez más frecuentemente, van apareciendo. Las redes sociales han tenido su parte de prota- gonismo durante el pasado mes, siendo la nueva funcionalidad“Nearby Friends” de Facebook la pro- tagonista de muchos debates acerca de la privaci- dad de los usuarios que la utilicen. Esta aplicación permite conocer cuáles de nuestros amigos están cerca de nosotros y los responsables de Facebook quieren tenerla activada por defecto. Si a eso uni- mos que muchos usuarios aceptan a cualquiera como contacto en las redes sociales podríamos es- tar ante un incremento en los casos de acoso utili- zando esta característica. Una polémica similar se produjo cuando unos in- vestigadores descubrieron un fallo en la función de geolocalización de WhatsApp que permite a un atacante averiguar nuestra posición realizando un ataque“Man in the middle” si estamos conectado a una WiFi insegura. Los investigadores demostraron cómo reconstruir la imagen que se envía desde Google Maps al dis- positivo, permitiendo ubicar con bastante exacti- tud a un usuario.Tras informar aWhatsApp acerca de esta vulnerabilidad, la compañía ha informado que ya está trabajando en una solución. Asimismo, otra conocida aplicación de mensajería y llamadas por VoIP en dispositivos móviles como es Viber, sufre de un fallo de seguridad a la hora de enviar o recibir información de geolocalización del usuario. También se detectó que la información almace- nada en sus servidores se encontraba sin cifrar y sin contar con ningún mecanismo de autentica- ción. Del mismo modo que en el caso anterior con WhatsApp, un ataque “Man in the middle” permi- tiría obtener información privada de los usuarios.
  19. 19. www.eset.es ABRIL ElmesdeHeartbleed Tampoco la seguridad implementada en los últi- mos modelos de móviles como el Samsung Galaxy S5 ha resultado infranqueable para los investiga- dores. Si el lector de huellas del iPhone 5 fue rápi- damente vulnerado, el que incorpora el modelo in- signia de Samsung fue engañado de forma similar. Simplemente utilizando una copia de la huella di- gital recreada a partir de una foto de esa huella en la pantalla de la víctima se pudo sobrepasar esta medida de seguridad. Esto demuestra que aún queda mucho por hacer a la hora de implementar medidas de seguridad biométrica. Nuestro laboratorio nos informó de una nueva amenaza que, haciéndose pasar por una capa adi- cional de seguridad en forma de autenticación de doble factor en Facebook, nos instalaba una ame- naza para Android. Esta curiosa técnica de infec- ción ha demostrado ser relativamente efectiva puesto que engaña al usuario haciéndole creer que instalará un mecanismo de seguridad adicional para acceder a su cuenta de Facebook, algo que suele ser bienvenido por la mayoría de usuarios. El Internet de las cosas sigue dando que hablar cuando nos ponemos a analizar su seguridad. Du- rante el pasado mes el fabricante de coches eléc- tricos Tesla vio cómo era posible abrir la cerradura electrónica que incorpora en sus automóviles. Esto fue posible debido a que este fabricante uti- liza una aplicación para iPhone que genera un có- digo de seis dígitos que puede ser fácilmente ave- riguado por un atacante simplemente probando numerosas combinaciones hasta dar con la ade- cuada. Tras ser informada la empresa de este fallo, se modificó la aplicación para que no permitiese más de 5 intentos de acceso incorrectos.
  20. 20. www.eset.es ABRIL ElmesdeHeartbleed Tampoco las Smart TV se libran este mes de su ra- ción de vulnerabilidades. Esta vez le ha tocado al fabricante Philips, cuyos modelos de 2013 eran vul- nerables al acceso no autorizado por parte de ata- cantes gracias a una contraseña incluida por de- fecto y que permitía un acceso al dispositivo WiFi que incorporan estos televisores. Entre las accio- nes que se podrían realizar se incluyen el cambio de canal, control del volumen e incluso acceder a los ficheros guardados en un dispositivo de alma- cenamiento USB que se encuentre conectado a la televisión. Una de las vulnerabilidades más destacadas des- cubiertas durante abril afectaba al popular soft- ware de compresión Winrar y que fue utilizada en una campaña de malware dirigida a gobiernos, or- ganizaciones internacionales y grandes empresas. Este fallo permite camuflar un ejecutable malicio- so de la forma que el atacante quiera (por ejemplo, como una foto) para, seguidamente, hacerlo pasar por un archivo ZIP inofensivo. Las amenazas tradicionales también tuvieron su hueco en el mes que acabamos de dejar atrás. Buen ejemplo de ello fue el caso de phishing que analizamos en nuestro blog y que suplantaba la identidad del BBVA, buscando capturar las creden- ciales de usuarios incautos. Tras realizar un análisis a fondo de este caso com- probamos que el servidor comprometido para alo- jar este phishing pertenecía a una facultad de cien- cia y tecnología de Tailandia. Una prueba más de que nadie está a salvo si no cuida la seguridad de sus sistemas.
  21. 21. www.eset.es Mayo fue un mes intenso en el mundo de la seguridad informática por varios motivos rela- cionados con la seguridad de aplicaciones uti- lizadas por millones de usuarios, la privacidad de nuestros datos o las estafas y engaños que empiezan a aparecer con motivos del cercano Mundial de Fútbol de Brasil. Varios fueron los servicios online que vieron comprometida su seguridad y, por ende, la de los datos de sus usuarios. A principios de mes, Bitly, el popular servicio acortador de enlaces avisó en un comunicado que había sufrido una brecha de seguridad y se habían visto compro- metidos emails, contraseñas cifradas, creden- ciales OAuth y claves API de los usuarios. No obstante, la brecha de seguridad más co- mentada durante mayo fue sin duda la sufri- da por eBay. Al parecer, la empresa sufrió un ataque que logró comprometer una base de datos con contraseñas cifradas y otros datos no financieros. Esto fue posible porque los ata- cantes lograron obtener las credenciales de acceso de algunos empleados. Tras anunciar el incidente, eBay invitó a cambiar las claves a sus millones de usuarios. Otro caso parecido fue el de Spotify. La em- presa anunció que había detectado un acceso no autorizado a sus sistemas y que se habían filtrado los datos de un usuario. Esto fue sufi- ciente para que la empresa recomendara a sus usuarios la actualización oficial paraAndroid a pesar de no haberse detectado más casos. Seguridad en navegadores web Otros de los protagonistas en las últimas se- manas fueron varios de los navegadores de Internet con más cuota de mercado. A prin- cipios de mes, Microsoft solucionaba la grave vulnerabilidad en Internet Explorer detecta- da a finales de abril. No obstante, poco tiem- po después conocíamos la existencia de una nueva vulnerabilidad en Internet Explorer 8 con el agravante de que Microsoft había sido informada de la misma el pasado octubre y la empresa aún no hubiese corregido el fallo a mediados de mayo. MAYO:ataquesawebs popularescomoeBay
  22. 22. www.eset.es Pero no sólo Internet Explorer fue protagonista en materia de seguridad. Tanto Google Chrome como Safari publicaron parches de seguridad que solucionaban más de 30 vulnerabilidades cada uno, algunas lo suficiente- mente críticas como para que un atacante que las aprovechase lograse comprometer la seguridad del sistema. Mayo también fue un mes destacado en cuanto a la seguridad de sistemas y programas de código abierto. Por una parte se desveló la existencia en GNU/Linux (ya resuelta) de una vulnerabilidad con cinco años de antigüe- dad que afectaba a la mayoría de distribuciones del sistema operativo. La vulnerabilidad se encontraba en el propio núcleo de sistema y permitía la ejecución de código arbitrario y la elevación de privilegios. Por otro lado, el popular software de cifrado de código abierto TrueCrypt fue abandonado por sus desarrolla- dores en un movimiento inesperado que cogió a todo el mundo por sorpresa. En su web se pueden encontrar instrucciones para migrar al software de cifrado Bitlocker, alegando que se han encontrado fallos enTrueCrypt que no lo hacen seguro. Estafas en redes sociales Las redes sociales también han sido utilizadas para todo tipo de engaños y estafas. El falso sorteo de entradas para asistir a conciertos de artistas internacionales como los Rolling Stones actuó como cebo para que miles de usuarios compartieran contenido de terceros en sus muros si querían optar a una de las entradas inexistentes. El laboratorio de ESET España también analizó en mayo otro tipo de engaños más curiosos pero que sirven igualmente para atraer la atención de usuarios despreve- nidos y confiados. Tiburones gigantes, fantasmas o todo tipo de extrañas criaturas son utilizadas para despertar la curiosidad y conseguir que los usuarios descarguen aplicaciones no deseadas o rellenen encuestas interminables con la excusa de ver un vídeo impactante. MAYO:ataquesawebs popularescomoeBay
  23. 23. www.eset.es Un clásico que vuelve cada cierto tiempo son las aplicaciones que permiten “descubrir quien visitó tu perfil en Facebook”. Ciertamente, de ser posible, esta característica sería una de las más utilizadas por los usuarios pero de mo- mento solo es una excusa para despertar nues- tra curiosidad y hacer que pulsemos donde no debemos. Privacidad en entredicho en Android y ran- somware en Apple Con lo que respecta a dispositivos móviles, tanto Android como iPhone fueron protagonis- tas. Un investigador descubrió como acceder a la cámara de unestro Smartphone sin que fuéramos conscientes de ello, tomar fotogra- fías y subirlas luego a Internet. Sin duda, algo preocupante si valoramos nuestra privacidad. En cuando a Apple, varios usuarios de Australia y Nueva Zelanda informaron que sus disposi- tivos habían sido bloqueados y mostraban un mensaje solicitando un rescate. Este hecho, que podría relacionarse con una variante del “Virus de la Policía” parece haber sido conse- cuencia del robo de las credenciales de estos usuarios y el bloqueo del dispositivo a través de la característica“find my iPhone” del servicio iCloud que proporciona Apple a sus usuarios. Precisamente estos casos de ransomware em- pezaron a verse también en dispositivos An- droid, bloqueando los terminales y solicitando el pago de un rescate a sus usuarios. Si bien es- tas variantes no estaban tan elaboradas como las que hemos ido observando en sistemas Windows y resultaban más sencillas de elimi- nar, son un aviso de lo que podría pasar si no se toman las medidas adecuadas. Para luchar contra las bandas de crimen orga- nizado y delincuentes que utilizan herramien- tas para controlar nuestros ordenadores en contra de nuestra voluntad, el FBI lanzó una operación en la que consiguieron detener al- rededor de 100 personas que utilizaban Black- shades, una herramienta de control remoto. Acciones como estas ayudan a frenar el avan- ce de estas actividades delictivas aunque aún queda mucho camino por recorrer. MAYO:ataquesawebs popularescomoeBay
  24. 24. www.eset.es Junio estuvo marcado por el comienzo del Mundial de Fútbol en Brasil y los delincuentes no quisieron perderse la cita, por lo que prepa- raron todo tipo de engaños y amenazas con los que engatusar a los usuarios más despreveni- dos. Además de los correos electrónicos con falsas loterías del Mundial o reventa de entra- das que vimos en meses pasados, durante ju- nio observamos también nuevas estrategias utilizadas por los delincuentes. De todos es sabido que el mayor atractivo para los aficionados del fútbol es disfrutar de las ju- gadas de su equipo con sus amigos alrededor de un televisor. No obstante, a veces es difícil ver un partido en concreto si no lo emiten en abierto y se empiezan a buscar alternativas en páginas web. Conocedores de esto, los delin- cuentes han estado preparando varias webs fraudulentas desde donde supuestamente se pueden ver todos los partidos del Mundial pero que en realidad descargan un molesto spyware. Anonymous tampoco quiso faltar a la cita mundialista y ya desde antes de la inaugura- cióncomenzóunacampañacontradecenasde sitios web relacionados de alguna forma con la celebración de este evento deportivo. Esta campaña incluía tanto ataques de denegación de servicio distribuidos (DDoS), que dejó ino- perativas durante varias horas muchas de las webs atacadas, como la modificación de las webs en forma de defacements (cambios in- tencionados y realizados por terceros en webs con fallos de seguridad). Los ataques se han trasladado incluso al Mun- dial virtual que celebran cada día en sus casas miles de jugadores en sus videoconsolas y or- denadores. El popular videojuego FIFA 14 in- cluye un modo conocido como Ultimate Team que causa furor entre los aficionados a este juego. Durante el Mundial vimos cómo los delincuentes intentan atraer a estos jugado- res a sitios webs fraudulentos para que intro- duzcan sus credenciales de acceso con la falsa promesa de proporcionarles alguno de los me- jores jugadores disponibles para su equipo de ensueño virtual. JUNIO:MundialdeFútbol yramsonwareparaAndroid
  25. 25. www.eset.es Primeros ataques de ransomware en Android En junio también hemos visto cómo la amenaza del ransomware ha empezado a dar sus primeros pasos en el sistema operativoAndroid.A principios de mes analizábamos una de las primeras muestras detectadas de este tipo de malware que además cifra ficheros en el dispositivo infectado, solicitando el pago de un rescate para desbloquear el terminal y descifrar los archivos del usuario. Sólo un par de semanas después volvíamos a analizar variantes de este tipo de amenaza con nuevas funcio- nalidades que estaban empezando a utilizar un sistema de distribución similar al utilizado durante bastante tiempo en sistemas de sobremesa. Mediante la descarga de aplicaciones maliciosas procedentes de webs con contenido para adultos o falsos juegos, los delincuentes son capaces de instalar nuevas variantes de sus crea- ciones en los terminales previamente infectados, variantes que incluyen funcionalidades como la utilización de la red Tor o diferentes pantallas de bloqueo del dispositivo. Por su parte, Google realizó cambios importantes en el funcionamiento de los permisos que solicitan las apli- caciones al usuario en su sistema operativo Android cuando se instalan. Agrupando los 143 permisos posibles en 13 categorías, se intenta hacer más sencilla la tarea de reconocimiento y aprobación de permisos por parte del usuario. Sin embargo, el hecho de que aceptar una categoría otorgue la aprobación de todos los permisos que incluye puede hacer más difícil la identificación de aplicaciones maliciosas, ya que un atacante puede ca- muflar un permiso no deseado entre el resto de permisos contenidos en esa categoría. En este mes también celebramos una conmemoración especial. Nada menos que el décimo aniversario del descubrimiento de la primera amenaza para teléfonos móviles, el gusano Carib/Caribe. Esta prueba de con- cepto fue obra de un investigador español perteneciente a un prestigioso grupo de creadores de virus sin fina- lidad delictiva que demostró lo que hasta ese momento habían sido solo conjeturas: la posibilidad de crear un código malicioso que afectase a teléfonos móviles. JUNIO:MundialdeFútbol yramsonwareparaAndroid
  26. 26. www.eset.es Novedades en los troyanos Zeus y Cryptolocker La familia de malware Zeus y sus derivados tam- bién han tenido un importante protagonismo. A principios de mes conocíamos la noticia ofrecida por el Departamento de Justicia de Estados Uni- dos anunciando que, gracias a esfuerzos interna- cionales, se había conseguido desbaratar la botnet GameOver Zeus y la infraestructura detrás del ran- somware Cryptolocker. No obstante, a pesar de este logro, Zeus y sus va- riantes o imitadores siguen dando que hablar y así se demostró con el descubrimiento a mediados de mes de Dyreza, un troyano bancario capaz de saltarse el protocolo SSL para simular conexiones seguras en webs de entidades financieras. De esta forma, este troyano consigue interceptar el tráfi- co entre la máquina infectada y la web a la que se está conectando, independientemente de si utili- zamos Internet Explorer, Google Chrome o Mozilla Firefox. Otro claro ejemplo de que Zeus se resiste a morir es que también se han detectado en los laboratorios de ESET varias muestras de correos electrónicos con falsas facturas comprimidas con contraseña. Esta técnica sencilla busca eludir los filtros antis- pam y antivirus, y puede ocasionar que un usuario descuidado infecte su sistema. JUNIO:MundialdeFútbol yramsonwareparaAndroid A pesar de lo simple de esta estrategia no duda- mos en afirmar que si los delincuentes la siguen utilizando es porque aún funciona. Fallos en Tweetdeck Con respecto a vulnerabilidades destacables du- rante el pasado mes, muy probablemente la que más repercusión obtuvo fue la aprovechada por varios usuarios en la popular aplicación de ges- tión de cuentas y listas de Twitter, Tweetdeck. Bastaron unas pocas horas para que miles de usuarios en todo el mundo empezaran a ver ven- tanas emergentes en su aplicación simplemente al visualizar tweets de otros usuarios que conte- nían código y que Tweetdeck ejecutaba cuando no debería. Este incidente se saldó como una anécdota, pero podría haber sido mucho más grave si la respues- ta de los desarrolladores no hubiera sido rápida y si alguien hubiese decidido aprovechar esta nueva “característica” para obligar a todos los que visua- lizasen un tweet especialmente modificado a que accedieran a la descarga de un código malicioso.
  27. 27. www.eset.es Otra herramienta muy utilizada y que vio comprometida su seguridad fue el complementoAll in One SEO Pack de Wordpress. La empresa responsable de este complemento tuvo que lanzar una actualización para corregir una vulnerabilidad que permitía escalar privilegios a un usuario sin derechos de administrador, pudiendo así llegar a cambiar parámetros como el título de un post, su descripción o las etiquetas utilizadas, algo que haría descender su posicionamiento en los motores en búsqueda y, en consecuencia, la cantidad de visitas recibidas. El Internet de las cosas y las noticias de actualidad, fuente de amenazas El Internet de las cosas siguió dando de que hablar en cuanto a seguridad y uno de sus dispositivos más re- presentativos, las SmartTV, demuestran que aún están lejos de alcanzar una seguridad adecuada. Una de las características más interesantes de estos televisores es la posibilidad de utilizar aplicaciones interactivas. Sin embargo, una mala implantación de estas características permite que muchas de las SmartTVque hay actual- mente puedan ser susceptibles a ataques como el robo de credenciales. Una de las noticias más destacables del mes y de lo que llevamos de año ha sido, sin duda, la abdicación del Rey Juan Carlos I en favor de su hijo Felipe VI. Sabedores de la relevancia de esta noticia, los delincuentes no han perdido el tiempo y la han aprovechado, por ejemplo, para mostrar la imagen del nuevo rey en los casos más recientes del ransomware conocido popularmente como“Virus de la Policía”. El phishing sigue intentando engañar a los usuarios de banca online con diferentes resultados. Por un lado tenemos a delincuentes que preparan webs prácticamente idénticas a las originales y las propagan en correos electrónicos bien redactados como el caso que analizamos y que suplantaba a Bankia. En el otro lado tenemos a aquellos delincuentes que no se esmeran y que dedican poco esfuerzo confiando en que algún incauto picará. También analizamos casos de este estilo en las últimas semanas, como el de una campaña de phishing que intentaba suplantar a la entidad Cajamar con poco éxito. JUNIO:MundialdeFútbol yramsonwareparaAndroid
  28. 28. www.eset.es Este mes también se descubrió un fallo en la biblio- teca para comunicaciones seguras GnuTLS. Esta biblioteca es utilizada en varios de los sistemas GNU/Linux más populares como Ubuntu, Red Hat o Fedora y permite que estos sistemas dispongan de una forma segura de comunicarse en un medio inseguro. El fallo descubierto y resuelto permitiría que se truncara la comunicación cliente – servidor, provocando un desbordamiento de memoria y pu- diendo llegar a ejecutar código de forma remota. La privacidad de los usuarios volvió a estar de ac- tualidad con nuevas filtraciones de documentos de Snowden que demostraron que, para las agen- cias de espionaje gubernamentales como la NSA, nuestra imagen es igual de importante que la in- formación que compartimos en Internet. El uso de tecnologías avanzadas de reconocimiento facial permite que, a partir de fotografías como los po- pulares“selfies”, se pueda generar una base de da- tos a nivel mundial con la que contrastar informa- ción y reconocer a un individuo en segundos allá donde esté. JUNIO:MundialdeFútbol yramsonwareparaAndroid
  29. 29. www.eset.es Muchas y variadas han sido las noticias relacionadas con la seguri- dad informática durante el pasado mes de julio, lo que demuestra una vez más que los ciberdelincuentes no detienen su actividad ni en verano. Como cada mes, se han descubierto vulnerabilidades en varias aplicaciones y sistemas utilizados por una elevada can- tidad de usuarios. El conocido sistema de pago online PayPal vio cómo su sistema de autenticación de doble factor tenía un fallo que podría permitir a un atacante acceder a las 143 millones de cuentas que la compañía tiene actualmente. El agujero de segu- ridad se encontraba en la versión para móviles de PayPal, que se está utilizando cada vez más y que no siempre incorpora las me- didas de seguridad adecuadas. En su ciclo mensual de publicación de parches de seguridad Microsoft resolvió varias vulnerabilidades, mu- chas de ellas relacionadas con su navegador Internet Explorer. Especialmente destacable es la relacionada con una vulnerabilidad que permitía a un atacante ejecutar código remotamente cuando el usuario navega- se con Internet Explorer por una web especialmente modificada. Adobe también aprovechó para publicar parches de seguridad en su programa Flash que solucionaba varias vulnerabilidades en las diferentes versiones disponibles para Windows, GNU/Linux y Mac OS. Siguiendo con vulnerabilidades, una de las que más llamó la atención fue la que publicó Microsoft alertando de la existen- cia de certificados falsos de Google. Este descubrimiento provocó que Microsoft publicara una actualización de emergencia que revocara estos certificados fraudulentos. De no haberlo hecho, estos certificados fraudu- lentos podrían hacer pasar una web maliciosa por otra de plena confianza para la mayoría de navegadores. Gobiernos contra la privacidad en la red La conocida red Tor, utilizada para mejorar la privacidad cuando navegamos por Internet también se vio afectada al descubrirse que, durante cinco meses, un numero elevado de sus nodos intermedios eran mali- ciosos y esto podría llevar a identificar a los usuarios y la información que se estaba compartiendo mediante esta red. Ransomware bancario JULIO:amenazasnigerianas yfallosenaplicaciones
  30. 30. www.eset.es Respecto a los casos de malware que analizó el laboratorio de ESET durante el mes de julio destacan los rela- cionados con los troyanos bancarios. Por ejemplo, Zeus, uno de los troyanos bancarios más veteranos pero que se resiste a desaparecer y que ha evolucionado de robar información personal -como credenciales bancarias- a aliarse con otro tipo de malware bastante popular hoy en día como es el ransomware. Prueba de ello es el recien- te desmantelamiento de la botnet Gameover Zeus que tendría entre 500.000 y un millón de sistemas afectados y habría obtenido un beneficio de 27 millones de dólares. También llamó la atención el descubrimiento por parte de investigadores de ESET de un troyano bancario orien- tado principalmente a usuarios japoneses. Esta amenaza identificada como Win32/Aibatook se aprovecha de una vulnerabilidad en Java e infectaba a usuarios de Internet Explorer cuando estos visitaban sitios web con contenido pornográfico de Japón. Fallos resueltos en redes sociales Facebook, la conocida red social también se anotó un tanto al colaborar en el desmantelamiento de Lecpetex, una botnet con más de 250.000 sistemas infectados dedicada al robo de bitcoines. Mediante el uso de publi- caciones en Facebook e ingeniería social, los delincuentes conseguían que los usuarios se descargasen ficheros que se hacían pasar por fotografías inofensivas. Sin embargo, estos ficheros contenían aplicaciones Java mali- ciosas que infectaban la máquina del usuario que las abriese. Precisamente Facebook fue utilizada por criminales sin escrúpulos para propagar engaños camuflados de fal- sas webs de homenaje a las víctimas del vuelo MH17 abatido en Ucrania. En estos perfiles falsos se aseguraba disponer de vídeos inéditos de la tragedia aérea pero en realidad se perseguía redirigir a los usuarios a otro tipo de contenido que va desde farmacias online a webs con contenido pornográfico, pasando por las repetitivas e interminables encuestas online. Instagram, red social especializada en compartir fotografías, se vio afectada por un fallo en su aplicación para dispositivos móviles que permitía interceptar en una redWiFi insegura buena parte de las comunicaciones reali- zadas por los usuarios, algo que podría llevar incluso a tomar el control de una cuenta. Para demostrar el riesgo y darle la importancia que tiene, el investigador que descubrió la vulnerabilidad ha desarrollado una herramien- ta conocida como Instasheep que permite automatizar el robo de esta información privada. JULIO:amenazasnigerianas yfallosenaplicaciones
  31. 31. www.eset.es Malware evolucionado desde el PC al móvil Los dispositivos móviles, especialmente los que cuentan con Android, siguen viendo cómo las amenazas orientadas a esta plataforma aumentan cada vez. Uno de los casos más preocupantes que va apareciendo cada vez con más frecuencia es el ransomware“Virus de la Policía”, algo conocido desde hace año en ordena- dores de sobremesa pero que recientemente ha dado el salto a dispositivos móviles. Simplocker es una de esas amenazas que ha ido evolucionando rápidamente en los últimos meses y que es capaz de bloquear nuestro dispositivo y mostrar mensajes amenazantes para conseguir que paguemos un rescate. En el análisis que realizó el laboratorio de ESET, se observó cómo había evolucionado en poco tiempo y ahora se hace pasar por una notificación del FBI para conseguir que la víctima muerda el anzuelo. Además del malware desarrollado para Android también hay que tener en cuenta los fallos propios del siste- ma. Uno de los que más ha dado que hablar recientemente es el que anuncia a los cuatro vientos el histórico de ubicaciones donde hemos estado y las últimas 15 redes WiFi a las que nos hemos conectado, incluso aun- que tengamos el móvil en reposo, con la pantalla apagada y sin conectar a una red WiFi. Servicio público de alquiler de bicicletas como gancho para ciberdelincuentes A principios de mes, se ponía en funcionamiento en Madrid una iniciativa para el alquiler público de bici- cletas. Este proyecto, que ya ha resultado exitoso en otras localidades españolas, demostró tener graves problemas de seguridad a la hora de gestionar los datos de los usuarios e incluso porque permitiría a un ata- cante enviar notificaciones falsas a quien tenga la aplicación móvil instalada. Por si fuera poco, los kioskos interactivos dispuestos para darse de alta en la calle fueron fácilmente vulnerados y mostraron contenido pornográfico durante varias horas. Otro dispositivo que vio cómo era utilizado con otro propósito distinto al original fue un cajero automático que unos hackers consiguieron modificar para poder jugar al clásico Doom. Con unos pocos ajustes, estos investigadores aprovecharon el sistema operativo que incorporan muchos de estos cajeros (un Windows XP modificado) y los rudimentarios teclados para poder jugar a un clásico de los videojuegos. JULIO:amenazasnigerianas yfallosenaplicaciones
  32. 32. www.eset.es El spam sigue dando que hablar El conocido spam también dio que hablar con dos ejemplos de cómo técnicas antiguas siguen siendo efectivas. En el primero de los casos que se analizó en el laboratorio de ESET, los delin- cuentes se hacían pasar por la Hacienda de El Salvador y adjuntaban un supuesto documen- to PDF con las instrucciones necesarias para evitar una sanción administrativa. En realidad, ese documento se trataba de un fichero ejecu- table pero, gracias a una propiedad de los ca- racteres Unicode, los delincuentes conseguían hacer creer que la extensión verdadera era la del popular formato de documento de Adobe. También clásico fue el caso de spam que se analizó en el blog de ESET según el cual un ci- berdelincuente se hacía pasar por el millonario propietario de la cadena Inditex, Amancio Or- tega, y nos ofrecía una importante cantidad de dinero a cambio de proporcionar nuestros datos y ayudar a realizar una iniciativa en favor de niños desfavorecidos. Este nuevo caso de las conocidas como estafas nigerianas suplanta la identidad de un personaje reconocido para engañar a los usuarios, dando la casualidad de que en esta ocasión se tratara de un ciudadano español. El conflicto entre Israel y los palestinos de la franja de Gaza también estuvo presente cuan- do se supo que se habían filtrado documentos confidenciales sobre el sistema de defensa anti-misiles de Israel, también conocido como “Cúpula de Hierro”. De nuevo todos los dedos apuntan a China, quien ya ha sido protagonis- ta de casos similares, como principal sospe- choso de haber accedido a las redes de tres de los contratistas militares a los que el gobierno de Israel compra material bélico. Por último, hay que destacar la iniciativa“Pro- ject Zero” de Google para crear un grupo de expertos en seguridad informática que se en- cargarán de buscar vulnerabilidades críticas en sistemas y alertar de las mismas a los fabri- cantes antes de que puedan ser aprovechadas por los delincuentes. Entre los integrantes de este grupo de expertos en seguridad encon- tramos a rostros tan conocidos como George “GeoHot” Hotz o avis Ormandy. JULIO:amenazasnigerianas yfallosenaplicaciones
  33. 33. www.eset.es Agosto ha sido un mes cargado de noticias relacionadas con la seguridad informática, especialmente por- que es el mes en el que se celebran las dos conferencias más importantes de la industria: BlackHat y Defcon, conferencias que reúnen durante unos días a miles de investigadores de todos los rincones del planeta para analizar las tendencias que se verán en los próximos meses o años. El tema estrella este año en las dos con- ferencias fue, sin duda, el Internet de las cosas. El auge de todo tipo de dispositivos conectados a Internet no es ninguna novedad pero su expansión está pillando desprevenidos a la mayoría de usuarios y fabricantes. De eso se están empezando a aprovechar los delincuentes y, gracias a la labor de los investigadores, se pueden reconocer cuáles son los puntos débiles de nuestros dispositivos conectados a Internet para tratar de solucionar sus vulnerabilidades o, por lo menos, mitigarlas. Prueba de ello fueron charlas como la del español Jesús Molina, quien, mientras estaba alojado en un lujoso hotel en China, consiguió acceder al sistema que controlaba toda la domótica de su habitación, demostran- do que podía modificar varios parámetros, como la intensidad de la luz, el control remoto de la televisión y la radio o las persianas. Otra de las charlas que más expectación generó fue la del investigador Charlie Miller que continuó su investigación del año anterior y analizó las vulnerabilidades en los coches modernos desde el punto de vista informático. Esta vez fueron varios los modelos analizados y se descubrieron nuevos vecto- res de ataque, como los navegadores integrados en el sistema de entretenimiento e incluso los puertos USB. Por su parte, el español Rubén Santamarta, presentó su investigación sobre los fallos de seguridad en los sistemas de comunicación por satélite, especialmente en los receptores. Santamarta demostró que muchos de los sistemas de recepción no se encuentran lo suficientemente aislados y seguros, con lo que un atacante puede modificar el firmware de los dispositivos para realizar acciones maliciosas o incluso interferir en otros sistemas que estén interconectados. Como último ejemplo de que el Internet de las cosas es un campo en el que queda mucho trabajo por hacer en materia de seguridad, Gene Bransfield explicó cómo convertir a un perro y a un gato en temibles ciberarmas usando herramientas de bajo presupuesto. AGOSTO:elInternetdelas cosasysusfallosdeseguridad
  34. 34. www.eset.es En lo que se refiere a las amenazas relacionadas con los dispositivos móviles, también en BlackHat, un par de investigadores demostraron como aprovecharse de vulnerabilidades en el sistema OMA, que integran alre- dedor de 2.000 millones de teléfonos móviles en todo el mundo, para ejecutar comandos de forma remota y mediante los cuales un atacante podría tomar el control del dispositivo. En ambas conferencias se habló en detalle de las vulnerabilidades en los dispositivos USB, que permitirían infectar sistemas con tan sólo conectar cualquier dispositivo USB, desde un pendrive a un teclado, y sin solu- ción disponible actualmente. No obstante, la dificultad para conseguir modificar el firmware necesario para hacer este tipo de ataques limita mucho su alcance, aunque no debemos bajar la guardia. Robos de información confidencial Durante el mes de agosto hemos asistido a numerosos casos de robo de información confidencial. Comen- zaba el mes con la noticia de la filtración de unas 76.000 cuentas de desarrolladores de la fundación Mozilla. Al parecer, un fallo en un proceso de desinfección de la base de datos de la web Mozilla Developer Network (MDN) terminó con la exposición accidental de las direcciones de correo de los desarrolladores y de varios miles de contraseñas cifradas. Al poco tiempo saltó la noticia de que un misterioso grupo de delincuentes rusos había robado alrededor de 1.200 millones de usuarios y contraseñas y más de 500 millones de direcciones de correo electrónico. Entre estos datos se encontraban usuarios y empresas de todo tipo, datos obtenidos del mercado negro, redes so- ciales o incluso procedentes de vulnerabilidades en sitios web para robar los datos de sus usuarios. Además, UPS, la mayor empresa de logística y transporte del mundo también comunicó que había sufrido un ataque debido al cual se había robado la información bancaria de sus clientes en 51 oficinas en Estados Unidos en una operación que había durado 7 meses, entre enero y agosto. Aunque la empresa afirmó no ser consciente de que se hubieran producido fraudes relacionados con este incidente, es más que probable que estos datos ya estén en el mercado negro o en manos de algún delincuente. Sin embargo, el robo de datos más impactante del que tuvimos constancia el mes pasado fue el que se pro- dujo en los sistemas relacionados con la investigación del vuelo MH370. Según se supo, se trató de un ataque dirigido a algunos de los responsables de esta investigación realizado desde una IP en China. Aunque la so- AGOSTO:elInternetdelas cosasysusfallosdeseguridad
  35. 35. www.eset.es fisticación del malware tampoco era excesiva, el atacante consiguió su objetivo al propagar un mensaje con información falsa en los momentos posteriores a este accidente aéreo. Vulnerabilidades móviles en Android y iOS Los dispositivos móviles también han tenido una importante cuota de protagonismo. Desde el laboratorio de ESET se ha analizado todo tipo de malware, dirigido especialmente a Android, como Krysanec. Este malware suplanta varias aplicaciones legítimas para Android en tiendas oficiales e instala una herra- mienta de control remoto que permite al atacante tener casi el control total del dispositivo. No fue el único caso de malware para Android que se analizó en agosto, ya que el ransomware o “Virus de la Policía” volvió a hacer acto de presencia con una versión renovada y más elaborada que las anteriores. En este caso, los delincuentes muestran mensajes de alerta mientras el usuario navega a través de su móvil y le incitan a descargar aplicaciones de seguridad que son en realidad un troyano. Una vez conseguido su obje- tivo, el malware bloquea el terminal y cifra los datos almacenados, pidiendo un rescate al usuario si quiere volver a tener el control del dispositivo. De diferente manera, pero con el mismo objetivo de ganar dinero a costa de usuarios de iOS (iPhone, iPad) con Jailbreak infectados, se analizóAdthief. Este malware suplanta la identidad del creador de una aplicación y consigue que los beneficios por publicidad de la misma vayan a parar al delincuente en lugar de al desarro- llador. Se calcula que 75.0000 dispositivos iOS con jailbreak se han visto afectados y que los delincuentes habrían obtenido el beneficio de unos 22 millones de anuncios vistos por los usuarios. Para terminar con los temas de seguridad en dispositivos móviles, durante este mes se presentaron los re- sultados de una investigación en la que se demostraba cómo una aplicación maliciosa puede capturar datos de otra instalada en el dispositivo, a pesar de que, supuestamente, esto no estaría permitido. Las pruebas se realizaron en Android pero los investigadores creen que otros sistemas como iOS o Windows Phone también podrían verse afectados. AGOSTO:elInternetdelas cosasysusfallosdeseguridad
  36. 36. www.eset.es Actualizaciones de seguridad En su ciclo de actualizaciones periódicas cada segundo martes de mes, Microsoft corrigió varias vulnerabilidades pero también provocó que algunos sistemas se colgasen y entraran en un bucle infinito de reinicios por culpa de un parche defectuoso. Tras confirmar este proble- ma, Microsoft retiró el parche temporalmente para volverlo a lanzar a finales de mes. Por su parte, Google publicó la versión 37 de su navegador Chrome, solucionando así 50 aguje- ros de seguridad y mejorando su estabilidad y funcionalidad. También anunció un cambio de política a la hora de priorizar los resultados en su buscador, permitiendo que aquellos sitios web que utilicen el protocolo HTTPS aparezcan en los primeros puestos. Tanto Google como Microsoft anunciaron en agosto la colaboración que habían realizado con las fuerzas de seguridad para ayudar en la detención de dos pedófilos. Al parecer, los de- tenidos habían utilizado Gmail y Onedrive para almacenar imágenes de pornografía infantil. Esta operación despertó, no obstante, los rece- los de algunos usuarios al confirmarse que las dos empresas revisan los correos de sus usua- rios. La muerte de Robin Williams fue utilizada en redes sociales por usuarios sin escrúpulos que afirmaban poseer un vídeo con las últimas pa- labras del actor antes de morir. Aquellos usua- rios que pincharan en el falso vídeo eran re- dirigidos a todo tipo de webs sin relación con la noticia y terminaban rellenando encuestas kilométricas, viendo cómo les ofrecían medi- camentos de forma ilegal o suscribiéndose a servicios de mensajes SMS de tarificación es- pecial. A finales de mes, tanto Sony como Microsoft (en menor medida) vieron cómo sus servicios de juego online Playstation Network y XBOX Live sufrían ataques de denegación de servi- cio. Por los comentarios lanzados por algu- nos usuarios de Twitter, los motivos fueron demostrar la pobre infraestructura con la que contaban estas plataformas en materia de se- guridad. No obstante, fuera del mundo virtual también se emitió un falso aviso de bomba que provocó que el avión en el que volaba en ese momento el presidente de Sony Online En- tertainment tuviera que aterrizar en un aero- puerto antes de llegar a su destino. AGOSTO:elInternetdelas cosasysusfallosdeseguridad
  37. 37. www.eset.es Dos fueron los temas que centraron las noticias de seguridad durante el mes de septiembre: Shell- shock, la vulnerabilidad en el intérprete de co- mandos Bash -incluido en un elevado número de sistemas basados en UNIX-, y, sobre todo, las fil- traciones de fotos privadas de famosas, que provo- caron una oleada de reacciones en la red e incluso algún que otro caso de malware. Con respecto a Shellshock, nos encontramos ante un caso similar al de HeartBleed, que afecta a una gran cantidad de sistemas como GNU/Linux, Mac OS X o Android, entre otros, además de a un buen puñado de dispositivos de todo tipo conectados y que integrarían el conocido como “Internet de las cosas“. La vulnerabilidad en Bash, el intérprete de coman- dosqueseincluyepordefectoenlossistemasGNU/ Linux, Mac OS X y Android, permitiría la ejecución remota de código, lo que permitiría a un atacante tomar el control del dispositivo. Todo ello debido a que una de las características de Bash se extrali- mita en sus funciones y sigue ejecutando código a pesar de haber finalizado de procesar una función declarada por el usuario. La mayoría de distribuciones de GNU/Linux y Apple, con su Mac OS X, ya publicaron parches para solucionar este problema pero quedan aún millones de dispositivos vulnerables que no reci- birán actualización alguna, con el riesgo que ello SEPTIEMBRE:famosas aldesnudoyShellshock conlleva. De hecho, al poco tiempo de hacerse pú- blica esta vulnerabilidad, se empezaron a detec- tar muestras de malware que la aprovechaban e incluso algún delincuente ya estaba montando su propia botnet aprovechándose de este agujero de seguridad. Miles de fotos de famosas al desnudo A principios de mes tuvimos la noticia de la filtra- ción de fotos privadas de muchas celebridades en lo que se ha llamado el“Celebgate”. Estas filtracio- nes se han seguido produciendo en semanas pos- teriores y muchas de las famosas (principalmente de Estados Unidos) han visto cómo se publicaban fotos íntimas realizadas con sus dispositivos mó- viles.
  38. 38. www.eset.es Casi inmediatamente, el sistema iCloud de Apple fue señalado por muchos como responsable, ya que existía una vulnerabilidad en la autenticación de los usuarios que permitía utilizar fuerza bruta e ir probando varias contraseñas hasta averiguar la correcta y acceder a los datos almacenados de un usuario en concreto. No obstante, Apple desmintió que esta vulnerabilidad hubiese tenido algo que ver en la filtración de las foto- grafías y vídeos y además hubo fotografías que se realizaron desde dispositivos distintos a los de Apple, por lo que el ataque debía de haber sido de mayor magnitud. A día de hoy, sigue sin estar claro cómo se ha conseguido tal cantidad de material privado pero todos los indi- cios apuntan a que se trató de una operación realizada durante varios meses y que se usaron técnicas de phis- hing para suplantar y robar las credenciales de los servicios de almacenamiento en la nube de varias empresas. Como consecuencia positiva, muchos usuarios han empeza- do a utilizar sistemas de doble factor de autenticación e in- cluso Apple ha mejorado los que tenía. No obstante, aún no se puede decir que se haya publicado toda la información a la que los atacantes han tenido acceso, por lo que esperamos nuevas filtraciones en las próximas semanas. A raíz de esta noticia, hubo algunos delincuentes avispados que aprovecharon el revuelo formado para intentar conse- guir alguna víctima. Así fue como vimos scams propagándo- se por Facebook que prometían la visualización de un vídeo íntimo de Jennifer Lawrence, pero que en realidad descargaban falsas soluciones de seguridad o dirigían al usuario a interminables encuestas online. Otro ejemplo que usaba a la actriz ganadora de un Oscar y protagonista de “Los juegos del hambre” fue el de un troyano que, haciéndose pasar por una aplicación que descargaba vídeos íntimos de la actriz, infectaba el sistema de la víctima con una herramienta de control remoto y además lo convertía en parte de una botnet. SEPTIEMBRE:famosas aldesnudoyShellshock
  39. 39. www.eset.es Malware desde webs legítimas y ciberguerra Las webs legítimas pertenecientes a importantes empresas tampoco se libraron de verse involucra- das en la propagación del malware durante el mes de septiembre. Java.com, DeviantART, TMZ o Photobucket estuvieron propagando amenazas durante un tiempo no porque su seguridad se hu- biese visto comprometida, sino por un agujero de seguridad en webs de terceros que les suministra- ban publicidad y que fue aprovechada por atacan- tes. Otro uso ilícito de una empresa con buena repu- tación para propagar malware fue el caso de To- rrentlocker, un ransomware que cifra los docu- mentos de las víctimas y que utiliza webs falsas simulando ser el sistema de rastreo de Royal Mail, el servicio de correo británico. En esas webs falsas, los usuarios se descargan un fichero comprimido que contiene el código del malware y que empieza a cifrar archivos tan pronto como se ejecuta. Siguiendo con malware pero ya destinado a otros menesteres de más alto nivel, en este mes habla- mos de BlackEnergy, un troyano que lleva evolu- cionando desde 2007 y que ha pasado de lanzar ataques DDoS, enviar spam y robar credenciales bancarias a protagonizar ataques dirigidos a ins- tituciones y empresas de Ucrania y Polonia, tal como descubrió recientemente nuestro compa- SEPTIEMBRE:famosas aldesnudoyShellshock ñero de los laboratorios de ESET, Robert Lipovsky. La privacidad y la seguridad en móviles, siem- pre protagonistas La privacidad fue protagonista durante este mes no solo por las filtraciones de fotos de famosas. Una empresa que suele estar en el punto de mira cuando se trata este tema es Facebook, que sor- prendió al mundo al lanzar una nueva iniciativa para que los usuarios se preocuparan por mejorar su configuración de privacidad en la popular red social a través de los consejos de un simpático di- nosaurio azul.
  40. 40. www.eset.es Tras anunciar Apple y Google mejoras en sus sistemas de cifra- do en dispositivos móviles, el director del FBI ha declarado estar preocupado por la dificultad añadida que esto supone para las agencias de seguridad gubernamentales a la hora de investigar a sospechosos. El director de esta poderosa agencia plantea la duda de qué pasará cuando no se puedan prevenir crímenes por no poder acceder a los dispositivos de posibles terroristas o pede- rastas, incluso con autorización judicial, aunque seguramente los usuarios tengan otro punto de vista. Precisamente la seguridad en móviles ha visto cómo un fallo en el navegador que viene por defecto en Android podría permitir a un sitio web malicioso obtener datos privados como el email del propietario e incluso robar la sesión entera al haber copiado las cookies y suplantar así la identidad. Las cifras hablan de un 75% de usuarios deAndroid vulnerables al usar versiones anteriores a la 4.4 que no se ve afectada. Y como no podía ser de otra manera, tras el lanzamiento del iPhone 6 aparecieron los primeros scams que se aprovechaban de la popularidad del terminal de Apple para engañar a usuarios despistados. Mediante la creación de varias webs en redes sociales como Facebook, los delincuentes convencen a los usuarios para que se hagan fans de esa web, la compartan con sus contactos, descarguen una aplicación para participar en concursos, rellenen encuestas online y proporcionen datos privados como su número de teléfono. Los más jugones estaban esperando el lanzamiento de uno de los juegos estrella del año: Destiny, el nuevo proyecto de Bungie (creadores de la saga Halo) que ha batido records de ventas en pocos días. Con el juego online como máximo exponente era de esperar que los servidores estuviesen repletos de jugadores durante los primeros días pero esta experiencia se vio enturbiada por los constantes ataques de Denegación de ser- vició que sufrieron los servidores de Destiny y también de Call of Duty: Ghosts. Estos ataques se los atribuyó el grupo LizardSquad, supuestamente responsable de haber dejado fuera de servicio los servidores de otros juegos online como algunos de Blizzard o la propia Playstation Network el pasado mes de agosto. SEPTIEMBRE:famosas aldesnudoyShellshock
  41. 41. www.eset.es Poodle es como se denominó a una vulnerabilidad descubierta a mediados de mes y que puso el último clavo en el ataúd del protocolo de comunicación SSL v3.0, el cual, a pesar de contar con quince años de antigüedad sigue siendo bastante utilizado. Por suerte, en esta ocasión, el agujero de seguridad se encuentraba en la parte del cliente, principalmente en los navegadores, por lo que su solución es relativamente fácil conforme éstos se va- yan actualizando. La vulnerabilidad aprovecha una característica que hace que cuando un intento de conexión segura falla, se proceda a intentar realizar de nuevo esa conexión pero con un protocolo de comunicación más antiguo. De esa forma, un atacante podría ocasionar intencionadamente errores de conexión en protocolos se- guros como TLS 1.2, 1.1 y 1.0 y forzar así el uso de SSL v3.0 para aprovechar la nueva vulnerabilidad. En octubre también conocimos dos vulnerabilidades en Microsoft Office, una de las cuales estaba siendo usada en ataques dirigidos contra ciudadanos e instituciones de Ucrania y Polonia. La vulnerabilidad aprovechaba la posibilidad de insertar documentos o archivos mediante la característica OLE (Object Linking and Embedding). Este tipo de vulnerabilidad permitiría la ejecución de código de forma remota. De esta forma, un atacante po- dría tener los mismos privilegios que un administrador e instalar todo tipo de programas en un ordenador in- fectado, sin que el usuario tuviera conocimiento de ello. Estos fallos de seguridad afectan a buena parte de los sistemas operativos de Windows usados hoy en día, lo que obligó a Microsoft a publicar un boletín de seguridad de forma urgente. Paradójicamente, Bugzilla, una herramienta indispensable para el seguimiento de errores, tanto en software libre como propietario, también sufrió una vulnerabilidad que permitía a un atacante realizar una escalada de privilegios y obtener así permisos para acceder a información sobre vulnerabilidades en programas que hubie- ran sido reportadas usando este software. Joomla!, la conocida plataforma de gestión de contenidos, publicó, por su parte, el mes pasado una nueva ver- sión para solucionar dos importantes agujeros de seguridad. Estas vulnerabilidades posibilitarían a un atacan- te, bajo ciertas circunstancias, subir remotamente un fichero malicioso a un servidor y ejecutarlo, aunque el usuario no dispusiera de los permisos necesarios. También permitiría ataques de denegación de servicio me- diante el envío de peticiones ilegítimas al servidor. OCTUBRE:protocolosde comunicación,Officeyredes
  42. 42. www.eset.es El ébola llega a los ordenadores La propagación del virus del ébola, con el caso de la infección de la auxiliar Teresa Romero en Madrid, provo- có todo tipo de titulares en los medios, pero también tuvo su repercusión en las redes sociales. Gente sin es- crúpulos se dedicó a propagar bulos de todo tipo que informaban de falsos nuevos casos e incluso proporcio- naban remedios caseros para esta enfermedad, causando una situación de miedo entre la población. Sin provocar tanto revuelo, pero también de forma molesta, otro bulo se estuvo propa- gando durante octubre usando los sistemas de mensajería en dispositivos móviles. En esta ocasión se avisaba de un supuesto vídeo malicioso que formateaba nuestro dispositivo móvil y el de nuestros contactos, robando además nues- tras contraseñas. Obviamente, este aviso alertaba de una falsa amenaza pero, seguramente más de un usuario se preocupó en exceso tras recibir este mensaje. Snapchat, comprometido Algunos de los usuarios del servicio Snapsaved, utilizado por usuarios de Snapchat que quieren almacenar las imágenes recibidas sin que éstas se destruyan pasado un tiempo, vieron cómo algunos de sus datos fueron comprometidos. Alrededor de unas 200.000 imágenes y vídeos se vieron afectados después de que los atacantes accedie- ran a uno de los servidores de Snapsaved donde se almacenaban. Hay que tener en cuen- ta que muchos de los usuarios que utilizan este servicio son menores, por lo que la difusión no autorizada de estas imágenes podría considerarse pornografía infantil. OCTUBRE:protocolosde comunicación,Officeyredes
  43. 43. www.eset.es Contraseñas robadas en Dropbox y Face- book Otro servicio ampliamente utilizado que pro- tagonizó titulares fue Dropbox. A mediados de mes aparecían publicaciones en Pastebin por parte de un atacante anónimo que decía tener en su poder cerca de siete millones de creden- ciales de este servicio. Para demostrarlo pu- blicó unos pocos cientos de estas contraseñas pero, tras ser analizadas, se demostró que, o bien no pertenecían a Dropbox o hacía tiempo que se habían dejado de utilizar. Por su parte, los responsables de Dropbox lan- zaron un comunicado indicando que los datos de sus usuarios no se habían visto comprome- tidos. Precisamente para evitar que este tipo de filtra- ciones de credenciales puedan causar daño a los usuarios que han visto comprometida la se- guridad de sus contraseñas, Facebook anunció hace unas semanas el lanzamiento de un siste- ma mediante el cual revisará periódicamente la web en busca de contraseñas que hayan sido robadas, para alertar a sus dueños de que las cambien antes de que los cibercriminales las utilicen con fines delictivos o maliciosos. Durante el mes de octubre, el Laboratorio de ESET analizó una gran cantidad de muestras de malware y, entre ellas hubo más de una que llamó la atención de los investigadores. Sorprendió sobremanera que los delincuentes estuviesen utilizando técnicas de hace quince años para propagar malware a través de docu- mentos de Microsoft Word con macros. Presentándose como falsas facturas de pro- ductos de Adobe, intentaban convencer al usuario para que ejecutara el fichero Word malicioso y descargarse así otros ficheros con malware. Precisamente de ficheros Word maliciosos también se habló durante este mes cuando se analizó la evolución del grupo de espionaje Sednit, quienes pasaron de enviar documen- tos de Word a sus víctimas a utilizar un kit de exploits hecho a medida para conseguir per- feccionar sus ataques dirigidos contra objeti- vos como instituciones de Europa del Este. Los sistemas Mac también tuvieron su ración de malware durante octubre al descubrirse que más de 17.000 Macs en todo el mundo y unos 800 en España se vieron infectados por iWorm. Este malware se hacía pasar por cono- cidos programas de Adobe como Photoshop CS o Illustrator CS y, una vez infectado el sis- tema, tomaba el control del mismo y lo incluía en una botnet. OCTUBRE:protocolosde comunicación,Officeyredes
  44. 44. www.eset.es El mes de noviembre fue muy prolífico en cuan- to a noticias de seguridad relacionadas con va- rios sistemas operativos, especialmente para los usuarios de sistemas Mac OS e iPhone, que han visto cómo sus dispositivos eran el blanco de los ciberdelincuentes, pero también asisti- mos al descubrimiento de nuevas vulnerabili- dades en Windows y en Android. A principios de mes conocíamos la existencia de Wirelurker, un malware diseñado para in- fectar a sistemas Mac OS y Windows y para ro- bar la información de los dispositivos con iOS (iPhone principalmente) conectados al sistema infectado. La amenaza estuvo operativa duran- te al menos seis meses. Se encargaba primero de infectar a los sistemas Mac OS a través de aplicaciones troyanizadas distribuidas por una tienda de terceros en Chi- na. ¿Cómo funciona? Una vez que se conecta un dispositivo iOS al sistema infectado,Wirelurker intenta instalar aplicaciones troyanizadas en el iPhone del usuario, algo que ya hemos visto en casos anteriores con dispositivos con jailbreak. La novedad reside en que, de no tener el jail- break realizado, los delincuentes realizan una copia de algunas de las aplicaciones instaladas en el móvil, las troyaniza y las vuelve a instalar. Esto es posible debido a una vulnerabilidad co- nocida como Masque Attack, que permite a un atacante sustituir aplicaciones legitimas por otras falsas usando la funcionalidad“apro- visionamiento de la empresa“, saltándose las restricciones de Apple, ya que se crea un repo- sitorio de apps aparentemente legítimo que permite sustituir casi cualquier aplicación ins- talada (no afecta a las que ya se encuentren preinstaladas como Safari Mobile). Poco tiempo después de darse a conocer esta amenaza, los responsables de la misma fueron detenidos en China y se pudieron identificar 467 aplicaciones maliciosas descargadas alre- dedor de 350.000 veces por usuarios chinos hasta mediados de octubre, lo que da una idea del alcance que tuvo esta amenaza. NOVIEMBRE:vulnerabilidades eniOSyWindows
  45. 45. www.eset.es Windows, por su parte, tuvo que enfrentarse a sus propios problemas, que vinieron de parte de la vulnerabilidad conocida como WinShock, que permitía la ejecución remota de código en todas las versiones de Win- dows desde Windows 95. El aprovechamiento de esta vulnerabilidad, que había permanecido oculta desde hace casi 20 años, era posible desde el lanzamiento de Internet Explorer 3.0, versión en la que se introdujoVisual Basic Script. Poco tiempo después de que Microsoft publicase el boletín de seguridad que solucionaba esta vulnerabilidad se descubrieron los primeros ataques que la estaban explotando activamente. Los delincuentes consiguieron comprometer un popular sitio web búlgaro para instalar malware en los sistemas de aquellos usuarios que la visitaran y no tuvieran instalado el parche correspondiente. Ataques a Wordpress y Adobe El popular gestor de contenidosWordpress, usado por millones de blogueros en todo el mundo tuvo que lanzar una actualización de seguridad que solucionaba 23 bugs y ocho problemas de seguridad. Estos fallos podrían permitir a un atacante comprometer un sitio web que usase Wordpress, introduciendo código HTML en for- mularios web y modificando su apariencia original o incluso provocando una denegación de servicio al verificar las contraseñas introducidas. Por su parte, Adobe se vio obligada a publicar una actualización de su software Flash para solucionar una vul- nerabilidad crítica que permitía la ejecución de código y que supuestamente había sido solucionada en octu- bre. No obstante uno de los exploits utilizados funcionaba igualmente por lo que Adobe tuvo que lanzar esta actualización con carácter de urgencia. NOVIEMBRE:vulnerabilidades eniOSyWindows
  46. 46. www.eset.es Virus para móviles En noviembre también vimos cómo seguía evolucionando el ransomware diseñado para móviles Android con una nueva variante que utilizaba una desagradable técnica que ya vi- mos en sistemas de escritorio: la utilización de imágenes de pornografía infantil. Tras mostrar estas desagradables imágenes, el usuario ve cómo en su teléfono aparece un mensaje del FBI, siempre que éste se encuentre en los Esta- dos Unidos. En caso contrario intentará insta- lar un falso antivirus en el dispositivo. Por suerte para los usuarios de Android que puedan actualizar a Lollipop, Google ha inclui- do importantes mejoras de seguridad. Quizás la más importante ha sido el cifrado por defec- to que, a partir de esta versión deja de ser algo opcional para convertirse en obligatorio, lo que mantendrá seguros nuestros vídeos, fotos y documentos privados de miradas indiscretas en caso de robo o pérdida del dispositivo, siem- pre que configuremos una contraseña robusta. WhatsApp ha sido también uno de los prin- cipales protagonistas durante las últimas se- manas. La inclusión del doble check azul como comprobante de que un destinatario ha visto nuestros mensajes ha causado muchas reac- ciones encontradas entre los usuarios del po- pular sistema de mensajería móvil. Los delin- cuentes no tardaron en aprovechar el revuelo ocasionado por esta nueva característica y empezaron a proporcionar enlaces maliciosos donde supuestamente se indicaba cómo eli- minar esta funcionalidad pero que dirigían a estafas con mensajes SMS premium. En el lado positivo, WhatsApp anunció que comenzaría a cifrar los mensajes entre ter- minales, una característica demandada por los usuarios desde hace tiempo y que otros sistemas de mensajería como Telegram ya in- corporan. No obstante, este cifrado sólo está disponible en conversaciones entre dos usua- rios que utilicen la aplicación para Android, quedándose fuera por el momento a usuarios de otros sistemas operativos móviles, conver- saciones de grupos, fotos y vídeos. NOVIEMBRE:vulnerabilidades eniOSyWindows
  47. 47. www.eset.es Privacidad en redes sociales Facebook anunció en noviembre cambios en su política de privacidad y además presentó una completa guía interactiva destinada a que los usuarios aprendan a configurar las opciones de privacidad adecuadamente. Así pues, en tres apartados diferentes podremos aprender a configurar lo que los demás ven sobre noso- tros, cómo interactúan los demás con nosotros y lo que nosotros vemos en nuestro timeline. También causó mucho interés la publicación en varios medios generalistas de la noticia sobre la existencia de una web rusa que recopila miles de cámaras IP en todo el mundo y que permi- te a quien la visite observar lo que esa cámara está visualizando. Si bien la existencia de este sitio no es algo nuevo y el número de cámaras que muestra ha descendido mucho en las últi- mas semanas, esta noticia sirvió para que más de un usuario propietario de una cámara IP se preocupara por la seguridad de la misma y, al menos, cambiara la contraseña por defecto. Los jugones y, especialmente aquellos que usan la plataforma digital Steam, volvieron a ser el objetivo de los delincuentes. En esta ocasión se intentaba atraer a los usuarios con supuestas gangas en sitios de intercambio y compra/venta de objetos digitales para que instalaran un supuesto salvapantallas. En rea- lidad este fichero contenía una amenaza que, una vez instalada, robaba los bienes digitales más preciados que tuvieran en su cuenta y los transfería a la de los delincuentes, propagán- dose a continuación esta amenaza mediante un enlace a los contactos de las víctimas usan- do el servicio de mensajería de Steam. Grandes empresas como Sony también sufrie- ron el ataque de los ciberdelincuentes. A fina- les de mes apareció un mensaje en varios orde- nadores de las oficinas de Sony Norteamérica en los que se indicaba que se había robado in- formación confidencial de la empresa. Pocos días después empezaron a filtrarse copias de películas aún sin estrenar, hecho que, aunque no haya sido reivindicado por los atacantes, parece que fue una consecuencia directa del ataque. NOVIEMBRE:vulnerabilidades eniOSyWindows
  48. 48. www.eset.es Ciberataques políticos Varios medios de comunicación internacionales, entre los que se encontraba un medio español, vieron cómo el Syrian Electronic Army aprovechaba una vulnerabilidad en el proveedor del sistema de comentarios utilizados por estos medios para mostrar un mensaje donde se podía leer “Ha sido hackeado por el Ejercito Electrónico Sirio”. Si bien no parece que este ataque haya conseguido información confidencial demuestra la capacidad de este tipo de grupos para atacar a medios de comunicación internacionales y otros objetivos similares. La cumbre del G20 celebrada el pasado mes de octubre también fue utilizada para espiar a varias ONGs tibe- tanas utilizando herramientas de acceso remoto. El envío de un correo electrónico que tenía como asunto un evento organizado por el Consejo Tibetano deAustralia servía de gancho para que el usuario abriera el adjunto infectado y se infectara su máquina. NOVIEMBRE:vulnerabilidades eniOSyWindows
  49. 49. www.eset.es Diciembre fue el mes en el que nos sorprendió la utilización de un viejo ejemplar de ransomware muy bien hecho y especialmente diseñado para el mercado español que se hacía pasar por un email de Correos. Téc- nicamente nada nuevo, pero la ingeniería social hizo que se produjeran numerosos casos de infecciones en nuestro país. La falsa factura de correos incluía un link que descargaba un fichero comprimido. En el caso de que el usuario des- cargara dicho fichero, su ordenador y su información se vería automáticamente secuestrado. Para proceder al acceso a la información, el malware soli- citaba un rescate de 298 € si se pagaba en ese momento o de 596 € si se realizaba el pago más tarde. Novedades en torno a Poodle 2014 ha sido el año en el que se ha descubierto la vulnera- bilidad que supuestamente podría acabar con el protocolo de seguridad SSL. En diciembre, además, y apenas unas se- manas después de la publicación de Poodle, investigado- res de la empresa Qualys descubrieron otra vulnerabilidad que permitiría que Poodle funcionara también en algunas implementaciones de TLS, incluyendo la más reciente (y la última hasta el momento) 1.2. Según comentan estos investigadores, la vulnerabilidad afectaría incluso a algunos de los sitios webs más populares de Internet, debido principalmente al uso extendido de los balanceadores de carga F5 y el hecho de que estos se ven afectados. No obstante, estos dispositivos no serían los únicos vulnerables (como se ha demostrado poco después con el fabricante A10) y es probable que el número total de webs afectadas sea elevado. DICIEMBRE:ransomware, ingenieríasocialySoakSoak
  50. 50. www.eset.es Y siguiendo con el tema de las vulnerabilidades, en este mes se ha descubierto también que los cibercrimi- nales podrían estar escuchando a escondidas las llamadas de un teléfono móvil o espiar mensajes de texto aunque el dispositivo use“el cifrado más avanzado disponible”, según nos informó The Washington Post. Signal System 7 (SS7) o, en español, el Sistema de señalización por canal común nº 7, es un conjunto de pro- tocolos de señalización telefónica empleado por las redes telefónicas mundiales para el establecimiento y finalización de llamadas, traducción de números, envío de SMS y demás funcionalidades. Investigadores ale- manes descubrieron que tiene“serias vulnerabilidades que socavan la privacidad de los miles de millones de clientes de teléfonos móviles del mundo”.The Daily Mail incluye a las empresasAT&T yVerizon (dos de las más importantes en EE.UU.) entre las operadoras afectados. Las vulnerabilidades descubiertas en SS7 están relacionadas con la funcionalidad del sistema que permite a los usuarios cambiar de antenas o“torres” de telefonía cuando viajan, ya que los atacantes pueden explotar- las para husmear las comunicaciones debido a las deficientes precauciones de seguridad establecidas por defecto. Apple también publicó este mes una actualización de seguridad que corrige una vulnerabilidad crítica en el protocolo NTP (Network Time Protocol) que contó con la particularidad de que se instalaba automática- mente sin que el usuario tenga que hacer nada. La gravedad de la vulnerabilidad, que permitiría a un atacante ejecutar código arbitrario de forma remota, es lo que ha obligado a Apple a tomar esta medida por primera vez en su historia. A pesar de que a muchos usuarios no les sonará de nada, NTP es un protocolo muy extendido que permite la sincronización de los re- lojes de aquellos sistemas conectados a Internet. Esto permite que nuestro sistema siempre marque la hora correcta y se actualice si cambiamos de región horaria sin perder precisión. SoakSoak: malware para Wordpress con más de 100.000 sitio afectados Pero sin duda, si hay una noticia que ha convulsionado al mundo de la seguridad durante este mes ha sido el descubrimiento de SoakSoak, una vulnerabilidad que se aprovechaba el popular plugin RevSlider para alojar malware en las webs atacadas. DICIEMBRE:ransomware, ingenieríasocialySoakSoak
  51. 51. www.eset.es El nombre del malware deriva de uno de los primeros dominios donde se empezó a de- tectar este malware y que Google empezó a bloquear tan pronto como se detectó que alojaban código malicioso. Según los investigadores que han dado la voz de alarma, se han podido observar tres pasos a la hora de aprovechar esta vulnerabilidad: * Descubrimiento: en este punto los atacan- tes realizan un reconocimiento inicial en bus- ca del fichero eot necesario para explotar la vulnerabilidad en RevSlider. * Explotación: tras haber localizado el fichero eot utilizan una segunda vulnerabilidad para intentar subir un tema malicioso a la web vulnerable. * Toma de control: si se consigue explotar la vulnerabilidad, los atacantes inyectan la puerta trasera Filesman en la web, lo que les permite un acceso total a esta saltándose los controles de acceso tradicionales. A partir de este punto, los atacantes inyectan una segunda puerta trasera que modifica el fichero swfobject. js e inyecta el malware que redirige a los visitantes a la web soaksoak.ru. Esta campaña de propagación de malware también hace uso de algunas técnicas interesantes como la inyección de código malicioso en imágenes para evadir su detección o incluso se crean nuevos usuarios con permisos de administrador para asegurar su persistencia en los sitios afectados.tivo, el malware bloquea el terminal y cifra los datos almace- nados, pidiendo un rescate al usuario si quiere volver a tener el control del dispositivo. DICIEMBRE:ransomware, ingenieríasocialySoakSoak

×