INFORME DE SEGURIDAD ENERO-ABRIL 2012www.eset.es                                   www.eset.es
INFORME DE SEGURIDAD ENERO-ABRIL 2012Índice   1. Introducción   2. Un primer cuatrimestre plagado de incidentes de segurid...
INFORME DE SEGURIDAD ENERO-ABRIL 2012           1. IntroducciónEl primer cuatrimestre del año ha estado plagado de inciden...
INFORME DE SEGURIDAD ENERO-ABRIL 2012           2. Un primer cuatrimestre plagado de incidentes de seguridad              ...
INFORME DE SEGURIDAD ENERO-ABRIL 2012Estos sitios solo pretendían engañar a losusuarios que intentaban acceder a ella, sie...
INFORME DE SEGURIDAD ENERO-ABRIL 2012                     FEBRERO: dispositivos móviles, objetivo de las amenazas         ...
INFORME DE SEGURIDAD ENERO-ABRIL 2012Pero si hubo una acción de un grupo hacktivista    Otro tipo de amenaza, que estamos ...
INFORME DE SEGURIDAD ENERO-ABRIL 2012                      MARZO: de las botnets desarticuladas a los atentados de Moscú  ...
INFORME DE SEGURIDAD ENERO-ABRIL 2012un sitio web especialmente diseñado para         Incluso fuimos testigos de una posib...
INFORME DE SEGURIDAD ENERO-ABRIL 2012Durante este mes de marzo vimos cómo seusaba a jugadores del F.C. Barcelona comoAlexi...
INFORME DE SEGURIDAD ENERO-ABRIL 2012                    ABRIL: filtraciones de datos en PlayStation Network y refuerzo de...
INFORME DE SEGURIDAD ENERO-ABRIL 2012Con respecto a las amenazas orientadas a           La empresa japonesa Nissan también...
INFORME DE SEGURIDAD ENERO-ABRIL 20123. 4 de cada 10 españoles pierde o le roban el móvil o la tablet                     ...
INFORME DE SEGURIDAD ENERO-ABRIL 2012           4. Google y su mina de datos¿Utilizas Google? Bueno, actualmente la verdad...
INFORME DE SEGURIDAD ENERO-ABRIL 2012¿Y qué pasa con el motor de búsqueda de Google? Si hago un cálculo rápido, es posible...
INFORME DE SEGURIDAD ENERO-ABRIL 2012Es cierto que eliminar el acceso a mis datos es fácil, pero la verdad es que Google p...
INFORME DE SEGURIDAD ENERO-ABRIL 2012Cuando analices esta página, no te sorprendas con lo que encuentres. Por mi historial...
INFORME DE SEGURIDAD ENERO-ABRIL 2012Seguramente encontrarás cosas muy interesantes si has permitido a Google utilizar su ...
INFORME DE SEGURIDAD ENERO-ABRIL 2012           5. Resumen de amenazas enero-abrilPocas sorpresas en cuanto al top 10 de a...
INFORME DE SEGURIDAD ENERO-ABRIL 2012           6. Sobre ESET España – Ontinet.comAcerca de ESETFundada en 1992, ESET es u...
INFORME DE SEGURIDAD ENERO-ABRIL 2012www.eset.es/siguenos    Hazte fan de ESET España    Consulta nuestras últimas noticia...
Upcoming SlideShare
Loading in …5
×

Informe cuatrimestral de seguridad eset españa

2,535 views

Published on

El primer cuatrimestre del año ha estado plagado de incidentes de seguridad: desde las acciones de los grupos hacktivistas movidos por el cierre de Megaupload por parte del FBI hasta amenazas para todo tipo de plataformas, incluyendo Mac y Android.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,535
On SlideShare
0
From Embeds
0
Number of Embeds
1,882
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Informe cuatrimestral de seguridad eset españa

  1. 1. INFORME DE SEGURIDAD ENERO-ABRIL 2012www.eset.es www.eset.es
  2. 2. INFORME DE SEGURIDAD ENERO-ABRIL 2012Índice 1. Introducción 2. Un primer cuatrimestre plagado de incidentes de seguridad 3. 4 de cada 10 españoles pierden o le roban el móvil o la tablet 4. Google y su mina de datos 5. Resumen de amenazas enero-abril 6. Sobre ESET España – Ontinet.com www.eset.es
  3. 3. INFORME DE SEGURIDAD ENERO-ABRIL 2012 1. IntroducciónEl primer cuatrimestre del año ha estado plagado de incidentes de seguridad: desde las acciones de losgrupos hacktivistas movidos por el cierre de Megaupload por parte del FBI hasta amenazas para todotipo de plataformas, incluyendo Mac y Android.Salíamos de comernos las uvas con la noticia de que el popular sitio de descargas, Megaupload, eracerrado definitivamente por considerar que servía de plataforma de almacenamiento de contenidoilegal y que, además, se lucraba con ello. Este suceso desató toda una concatenación deacontecimientos, protagonizados por los grupos hacktivistas más populares, entre ellos, por supuesto,Anonymous, que atacaron las webs de Universal Music, la MPAA, el Departamento de JusticiaAmericano e incluso la propia web del FBI. También cargaron contra organismos españoles con motivode la celebración de los Premios Goya, entre otras acciones. Mucho nos tememos que este año seguirándando mucho que hablar.San Valentín ha seguido siendo, un año más, un gancho para la publicación y difusión de todo tipo demotivos basados en este concepto que intentaban alcanzar a cuantas más víctimas mejor. Pero sitenemos que hablar de una amenaza que ha supuesto más de un quebradero de cabeza a un montón deusuarios ha sido, sin duda, el “virus de la policía”.Los usuarios afectados se encontraron con su ordenador bloqueado mientras una aplicación les indicabaque habían sido pillados visitando sitios pornográficos o de pedofilia y pirateando material. Dichoransomware (falso software) contenía la imagen de la Policía Nacional pero se adaptaba según el paísdesde el que se conecta el usuario, suplantando a varios cuerpos de seguridad europeos. Los usuarios,quizá tratando de evitar un mal trago, llevaban a cabo el pago de la cantidad exigida.Durante este mes también vimos cómo diversas amenazas afectaban al sistema operativo Mac OS, enuna tendencia que, como veremos más adelante seguirá en aumento durante meses venideros. Por unlado vimos cómo el malware OSX/Imuler infectaba sistemas Mac usando una vieja técnica conocida paratodos los usuarios de Windows.Otro ejemplo de malware que seguía afectando a los sistemas Mac OS era Flashback que, desdemediados del año pasado ha ido adaptándose y sacando nuevas versiones para maximizar el número deusuarios infectados.Las redes sociales y sus políticas de privacidad también han dado mucho que hablar durante estoscuatro meses, especialmente Google con su unificación de servicios y el descubrimiento de la cantidadde información que recopila el popular buscador de nuestra actividad y correlaciona para ofrecernos unservicio “de calidad y adaptado a nuestras necesidades”. Otras redes como Pinterest incluso declarabaabiertamente la posibilidad de la venta o cesión de datos a terceros…El robo y la pérdida de dispositivos móviles (smartphones y tablets) ha seguido una estela creciente,acompañada con la cada vez mayor demanda de estos.Cuatro meses sin duda más que entretenidos en cuanto a seguridad se refiere. Todos los datos losencuentras en este informe. ¡Esperamos que lo disfrutes! www.eset.es
  4. 4. INFORME DE SEGURIDAD ENERO-ABRIL 2012 2. Un primer cuatrimestre plagado de incidentes de seguridad ENERO: Megaupload y Anonymous, una combinación explosiva El primer mes del año territorio americano, como la de la SGAE en estuvo marcado sin España. duda por el cierre deMegaupload por parte del FBI y las reaccionesque este hecho tuvo por parte de grupos deciberactivistas como Anonymous. El que fuerael mayor sitio de almacenamiento de archivosde Internet con millones de usuarios activos(muchos de ellos de pago) fue cerrado por laagencia americana acusado de almacenarcontenido ilegal y lucrarse con ello.La fama de este servicio era tal que la mayoríade las webs que ofrecían descargas de archivoso la visión de películas o capítulos de seriesusaba enlaces que redirigían a Megaupload,hecho que generaba millones de euros enbeneficios a los creadores del servicio. Es porello que la suspensión de este servicio supusoun duro golpe a todos los usuariosacostumbrados a usarlo y las reacciones no sehicieron esperar. No fue la única reacción a ese cierre y, en días posteriores, vimos cómo se publicaba parte del catálogo de Sony Music, tanto discos como películas y se ponía a disposición de todo aquel que quisiera descargarlos. Asimismo, a nivel nacional, se publicó información personal sobre alguno de los responsables de la ley Sinde, empezando por los de su promotora, Ángeles González Sinde, y los del actual Ministro de Educación, Cultura y Deporte, José Ignacio Wert. Estos datos incluían domicilios, teléfonosAsí pues, una de las primeras reacciones fue la personales, datos de familiares e inclusode realizar ataques masivos de denegación de fotografías de su residencia, estando aservicio contra aquellas agencias a las que se disposición de cualquiera que quisierales atribuía el cierre de Megaupload y así, en consultarlos.poco tiempo vimos cómo las webs de UniversalMusic, la MPAA, el Departamento de Justicia Obviamente, los ciberdelincuentes no quisieronAmericano o incluso la propia web del FBI iban dejar pasar esta ocasión y aprovecharon estacayendo una a una. La lista de víctimas fue más noticia para promocionar sitios falsos quelarga e incluyó algunas webs de fuera del afirmaban ser la nueva dirección de Megaupload. www.eset.es
  5. 5. INFORME DE SEGURIDAD ENERO-ABRIL 2012Estos sitios solo pretendían engañar a losusuarios que intentaban acceder a ella, siendoposible que les bombardearan con publicidad,almacenasen sus datos para usarlos enposteriores campañas de spam o descargandoalgún tipo de malware que infectara su sistema.También fue un mes en el que se produjeronhackeos de sitios webs como el que sufrió elsitio web de venta online de zapatosZappos.com, propiedad de Amazon.com. Eneste hackeo los cibercriminales tuvieron accesoa parte de su red interna al haber penetradodesde uno de sus servidores en Kentucky,comprometiendo los datos de 24 millones de También se usaron las redes sociales,clientes, entre los que figuran nombres, especialmente Facebook, para engañar a losdirecciones e-mail, datos de facturación y de usuarios. Fueron varios los ejemplos que vimos,envío, números de teléfono y los últimos cuatro entre ellos, volver a la versión anterior deldígitos de sus tarjetas de crédito así como Timeline, aprovechándose de que en enero secontraseñas de acceso al servicio. No obstante, empezó a cambiar el aspecto del perfil de loslos atacantes no pudieron acceder a datos usuarios. Vimos cómo se usaban fotos comocríticos de tarjeta de crédito y otros datos de gancho para que los usuarios pulsasen sobre elpago. botón “Me gusta” y procediesen a contestar innumerables encuestas que no terminabanEnero también fue el mes en el que hemos llevándoles a ningún sitio, técnica nadacelebrado el día de la privacidad, día que nos novedosa pero que sigue consiguiendo buenosencargamos de recordar ofreciendo una serie resultados entre los usuarios másde consejos en nuestro blog. Precisamente esta desprevenidos.privacidad no solo se ve amenazada por lasfiltraciones ocurridas en enero y que afectaron, Al respecto de vulnerabilidades en aplicaciones,además de a la ya comentada empresa enero fue el mes en el que Microsoft seZappos.com, a grandes empresas como T- decidió, finalmente, a terminar con la obsoletaMobile o incluso a la prestigiosa universidad de versión 6 de su navegador Internet Explorer,Harvard.. También aprovechamos para activo durante más de 10 años. También vimosrecordar la importancia de ir con cuidado sobre cómo Apple retiraba de su App Store la popularqué datos privados cedemos a terceros y cómo aplicación WhatsApp sin dar mayorespueden ser usados. El aviso del cambio en las explicaciones para, días después, volver apolíticas de privacidad de Google también puso publicarla. Imaginamos que pretendían forzar aen alerta a muchos usuarios y no son pocos los los desarrolladores para que solucionasen losque revisaron estos cambios para ver en qué graves errores de diseño que permiten que semedida les afectaba. envíe información sin cifrar.Asimismo, vimos cómo la privacidad de muchosusuarios de un determinado tipo de webcamusado principalmente por particulares yempresas también pudo verse comprometidatal y como comprobamos en nuestrolaboratorio. Un error en el firmware de estascámaras permitió a cualquiera que realizarauna simple búsqueda encontrarse con miles decámaras mostrando todo aquello que estabangrabando sin ninguna autenticación previa. www.eset.es
  6. 6. INFORME DE SEGURIDAD ENERO-ABRIL 2012 FEBRERO: dispositivos móviles, objetivo de las amenazas El mes de febrero estuvo Junto a estas técnicas clásicas, vimos cómo se caracterizado por la también se confirmaba una tendencia que vuelta de los clásicos veníamos observando en los últimos años: el engaños que intentan uso de redes sociales como vector de ataque.aprovecharse de la celebración del día de San Tanto Facebook, como Twitter y otras seValentín. A pesar de que las amenazas han llenaron de enlaces con motivos de Sanevolucionado y cada vez son más sofisticadas, Valentín ofreciendo premios en metálico, viajesel aprovecharse de una fecha señalada sigue o más postales. Los ciberdelincuentes sabendando buen resultado a los ciberdelincuentes. que la mayoría de usuarios se mueven en estas redes sociales y no quieren perder la oportunidad de aumentar sus listas de víctimas.Así, durante este mes observamos todo tipo demalware usando diversas técnicas para engañara los usuarios conforme nos acercábamos al 14de febrero. Vimos ejemplos clásicos como eltípico mensaje de correo electrónico que nosinvita a descargarnos una supuesta postalromántica pero que en realidad descargaba un También aprovechando esta celebración vimosarchivo infectado. Una variación de este un aumento en la actividad de promoción deejemplo fue otro correo comunicándonos que las falsas farmacias online usando, de nuevo,habíamos ganado un viaje romántico. De nuevo las redes sociales. Para este tipo de promociónse trataba de un engaño y, en el caso de que se usaron, no solo las redes sociales máscayésemos en la trampa y pulsásemos sobre el generalistas como Facebook o Twitter, sino queenlace proporcionado descargábamos un también se usaron redes más profesionalesmalware que infectaba nuestro sistema y este como LinkedIn. De esta manera, con pocopasaba a formar parte de una botnet. esfuerzo los ciberdelincuentes consiguieron aumentar sus víctimas potenciales y conseguir más sistemas infectados. Los grupos hacktivistas como Anonymous también estuvieron activos durante ese mes, realizando acciones como la que publicó los datos personales de miles de usuarios de foros neonazis. También hackers anónimos realizaron intrusiones a diversos sitios webs y publicaron, por ejemplo, los datos de acceso de miles de usuarios al sitio web con contenido adulto Youporn. www.eset.es
  7. 7. INFORME DE SEGURIDAD ENERO-ABRIL 2012Pero si hubo una acción de un grupo hacktivista Otro tipo de amenaza, que estamos viendo enque destacó en febrero en España, fue la de abundancia en los últimos meses y que enAnonymous con motivo de la celebración de la febrero también hizo su aparición, fueron lasgala de los premios Goya. Había expectación páginas web legítimas pero con fallos depor ver qué actividades de protesta se llevarían seguridad y vulnerabilidades que estabana cabo tras la aprobación de la ley Sinde/Wert y siendo aprovechadas para propagar malware.con los precedentes del año pasado. En esta ocasión analizamos cómo miles deFinalmente, el fuerte dispositivo policial evitó páginas web que usaban versiones vulnerablesque hubiese incidentes en los exteriores de la del gestor de contenidos Wordpress habíangala pero sí que hubo una fuerte repercusión sido modificadas por ciberdelincuentes paraen medios online. albergar malware e infectar a todo aquel que las visitase y no contase con la debida protección. Igualmente nos hicimos eco de la intención del FBI de desconectar los servidores usados por el malware DNSChanger para redirigir a los usuarios infectados a sitios maliciosos. Esta actuación, inicialmente planeada para aarzo pero que se ha retrasado hasta el próximo 9 de julio debido al alto número de equipos que aún se encuentran infectados, puede hacer que muchos usuarios infectados se queden sin poder acceder a páginas web hasta que no cambien la dirección de los servidores DNS en su sistema. Siguiendo con malware y cuerpos de seguridad, durante febrero empezamos a ver una importante propagación del conocido “virus de la policía”, propagación que continuaría en meses siguientes. Esta clase de código malicioso, también conocido como ransomware, bloquea los sistemas a los que infecta y pide un rescate, haciéndose pasar por un cuerpo de seguridad, diferente según el paísAsí pues, mientras aún se estaban entregando de la víctima.premios, el colectivo hacktivista publicaba unafiltración con datos personales de usuarios Por último, las amenazas más clásicas tambiénubicados en uno o varios servidores de la tuvieron su parte de protagonismo en forma deAcademia de Cine, que habían sidocomprometidos. En los datos publicados se nuevos casos de phishing a diversos bancos oencontraban, además de los datos de acceso de en estafas en forma de falsos correoslos administradores a los servidores anunciando la ganancia de grandes premios decomprometidos, mucha información de lotería que se aprovechan del nombre de lasproductores, representantes, empresas y próximas olimpiadas de Londres para confundirdemás usuarios relacionados con la industria a los usuarios.cinematográfica española. Entre la informaciónpublicada también se encontraban variosnúmeros de teléfono y direcciones de correoelectrónico. www.eset.es
  8. 8. INFORME DE SEGURIDAD ENERO-ABRIL 2012 MARZO: de las botnets desarticuladas a los atentados de Moscú Tal y como ya de los ficheros es una estrategia rudimentaria anunciábamos en el pero que suele dar buenos resultados si se sabe resumen de febrero, el usar apropiadamente. En esta ocasión se ocultó ransomware conocido un aplicación haciéndola pasar por una foto depopularmente como “virus de la policía” se la modelo Irina Shayk. Al no mostrarse lamostró especialmente activo durante este mes. extensión del archivo, la mayoría de usuariosFueron muchas las variantes de este malware pulsaron sobre la foto sin saber que realmenteque detectamos en nuestro laboratorio, estaban infectando su sistema.registrando también numerosos casos reales deusuarios afectados que vieron cómo suordenador era bloqueado bajo amenaza dedenuncia a los cuerpos de seguridad del Estadosi el usuario no hacía un pago de una cantidadque ronda los 100 €. Otro ejemplo de malware que seguía afectando a los sistemas Mac OS era Flashback que, desde mediados del año pasado ha ido adaptándose y sacando nuevas versiones para maximizar el número de usuarios infectados. Durante marzo aún eran relativamente pocos los usuarios que se vieron afectados por este malware, sobre todo si los comparamos con el elevado númeroLos usuarios afectados se encontraron con su de afectados que se observó posteriormente yordenador bloqueado mientras una aplicación que analizaremos detalladamente en elles indicaba que habían sido pillados visitando resumen correspondiente al mes de abril.sitios pornográficos o de pedofilia y pirateando Uno de los vectores de ataque que más ha sidomaterial. Dicho ransomware (falso software) usado para propagar amenazas son lascontenía la imagen de la Policía Nacional pero vulnerabilidades en el softwarese adaptaba según el país desde el que se multiplataforma de Java. Durante marzo vimosconecta el usuario, suplantando a varios cómo una de estas vulnerabilidades eracuerpos de seguridad europeos. Los usuarios, aprovechada para descargar malware al visitarquizá tratando de evitar un mal trago, llevaban sitios legítimos que habían sidoa cabo el pago de la cantidad exigida. comprometidos, incluyendo algún blog deDurante este mes también vimos cómo diversas seguridad informática.amenazas afectaban al sistema operativo Mac Estas vulnerabilidades en el software de JavaOS, en una tendencia que, como veremos más también fueron aprovechadas para realizaradelante seguirá en aumento durante meses ataques dirigidos, como el que sufrieron variasvenideros. Por un lado vimos cómo el malware ONGs pro Tibet. Aprovechándose de dichasOSX/Imuler infectaba sistemas Mac usando una vulnerabilidades se enviaban miles de correosvieja técnica conocida para todos los usuarios spam con un enlace que redirigía al usuario ade Windows. La ocultación de las extensiones www.eset.es
  9. 9. INFORME DE SEGURIDAD ENERO-ABRIL 2012un sitio web especialmente diseñado para Incluso fuimos testigos de una posible filtraciónreconocer el navegador usado y lanzar un de una de estas pruebas de concepto en unexploit diferente para Windows o para Mac y foro chino, dato sorprendente si tenemos enLinux. De esta forma se consigue maximizar el cuenta que la prueba de concepto original nonúmero de víctimas aprovechándose de la había salido de aquellos miembros quecondición multiplataforma de Java. componen la Microsoft Active Protection Program (MAPP), formada por otrosEn marzo también vimos cómo Microsoft investigadores, ya sean de Microsoft,publicaba un parche para solucionar una grave independientes o de las mismas casas antivirus.vulnerabilidad en la implementación delprotocolo RDP, protocolo que permite las Por suerte también hubo otros investigadoresconexiones a un escritorio remoto. La que se dedicaron a crear herramientas paraposibilidad de ejecutar código remoto en mitigar un posible ataque y hacer más fácil elmillones de equipos de forma remota nos trabajo de los administradores de sistemas.devolvía a la memoria los problemas quecausaron Sasser o Blaster en su época. Microsoft también fue noticia por ser uno deAfortunadamente, el uso de este protocolo se los principales responsables, junto con otrasencuentra desactivado por defecto en la empresas y fuerzas de seguridad, delmayoría de usuarios, siendo los entornos desmantelamiento de varias botnets basadascorporativos los más propensos a sufrir un en el conocido malware Zeus. Mediante unaataque de este tipo. Es por eso que Microsoft acción coordinada alrededor del mundo, serecomendó aplicar este parche lo antes posible consiguió desmantelar alguno de los servidorespara evitar males mayores. más importantes que los ciberdelincuentes usaban para manejar y dar órdenes a los miles de ordenadores zombis que poseían. Las acciones se llevaron a cabo de forma directa, accediendo a los proveedores de servicios que alojaban estos servidores de C&C. A menor escala, ESET colaboró con las autoridades de Georgia para desmantelar una botnet que tenía como objetivo al Gobierno de ese país de Europa del Este. Esta nueva red de botnets, Win32/Georbot, trataba de robar documentos y certificados, pero también era capaz de grabar audio y vídeo y navegar dentro de la red local para buscar información. Palabras clave como top secret, army, USA, FBI o CIA eran buscadas en los ordenadores afectados para conseguir información clasificada.Tras publicarse esta grave vulnerabilidad no Los vectores de infección clásicos como el envíotardamos en ver cómo se empezaban a mostrar de spam también tuvieron su parte dediversas pruebas de concepto para protagonismo, sobre todo si incluyen noticiasaprovecharse de ella. impactantes o tienen como protagonistas a personajes famosos. www.eset.es
  10. 10. INFORME DE SEGURIDAD ENERO-ABRIL 2012Durante este mes de marzo vimos cómo seusaba a jugadores del F.C. Barcelona comoAlexis, Piqué y su novia, la famosa cantanteShakira, como gancho para, usando técnicas dephishing, obtener los datos bancarios de losusuarios que muerdan el anzuelo.Asimismo, el cantante brasileño de moda,Michel Teló, también fue usado por losciberdelincuentes como gancho al enviarse deforma masiva un correo con una supuestagrabación del presunto autor del robo quesufrió el cantante en Murcia. Obviamente, setrataba de información falsa, pero quedescargaba un troyano bancario en los sistemasde aquellos usuarios que, curiosos, intentabanvisualizar el supuesto vídeo. www.eset.es
  11. 11. INFORME DE SEGURIDAD ENERO-ABRIL 2012 ABRIL: filtraciones de datos en PlayStation Network y refuerzo de la seguridad en Facebook El troyano Flashback, que OSX/Sabpab. Inicialmente usaba una vieja había protagonizado varios vulnerabilidad de Microsoft Office 2004 y 2008 quebraderos de cabeza en para Mac pero, al ver el éxito cosechado por elmateria de seguridad en sistemas Mac OS, fue troyano Flashback, decidió incorporar tambiénel protagonista indiscutible el pasado mes de las vulnerabilidades de Java como vector deabril al descubrirse una botnet con más de propagación.600.000 usuarios infectados. Esta elevadacantidad de usuarios de Mac hizo que saltaran Como vimos en el mes anterior, las webstodas las alarmas y pronto empezaron a legítimas vulnerables se han convertido en unotomarse medidas para mitigar esta infección. de los vectores de propagación de amenazasLas últimas variantes de OSX/Flashback usaron preferidos por los ciberdelincuentes. Duranteuna de las múltiples vulnerabilidades en Java abril vimos cómo con una simple inyección SQLpara propagarse sin intervención del usuario. se conseguía comprometer la seguridad de más de 180.000 páginas web y hacer que estas se dedicasen a descargar malware en los sistemas de los usuarios que las visitasen. Este vector de ataque es uno de los más usados en la actualidad y desmitifica la sensación de seguridad que muchos usuarios tienen al navegar solo por webs conocidas o supuestamente confiables. Por su parte, el ransomware policial o “virus de la policía” siguió haciendo de las suyas e incluso le salieron imitadores como Win32/Ransomcrypt. No es de extrañar la aparición de este tipo de amenazas, conocidas también como criptovirología, ya que suponen una importante fuente de ingresos de la manera más directa posible, aun a sabiendas de que también se pueden ser rastreados de forma mas fácil. Pero no es la única muestra de ransomwareEl hecho de que se aprovechase de una que vimos en abril. También observamos cómovulnerabilidad que hacía varias semanas que se otra variante infectaba el sistema yhabía solucionado en otras plataformas como reemplazaba el MBR original por uno propio.Windows o Linux causó bastante malestar, MBR son las siglas de Master Boot Record ysobre todo al saber que es la propia Apple y no consiste en una porción de código almacenadaOracle, la empresa propietaria de Java, quien se en los primeros sectores de nuestro disco duroencarga de gestionar este tipo de que inicia el gestor de arranque del sistema. Siactualizaciones. Aun varias semanas después un malware de este tipo consigue modificarde que se publicase este descubrimiento y los este sector de arranque, el usuario no podráparches correspondientes sigue habiendo acceder a su sistema a menos que ceda aldecenas de miles de usuarios infectados y otros chantaje del ciberdelincuente y pague lacódigos maliciosos han aprovechado esta u cantidad solicitada.otras vulnerabilidades para propagarse ensistemas Mac OS.Una de estas amenazas que también seaprovechó de vulnerabilidades en Java fue www.eset.es
  12. 12. INFORME DE SEGURIDAD ENERO-ABRIL 2012Con respecto a las amenazas orientadas a La empresa japonesa Nissan también anunciódispositivos móviles, durante el mes de abril una intrusión en la red de su empresa y laseguimos viendo un goteo constante de detección de un malware que tendríamalware desarrollado, especialmente, para la supuestamente la intención de robar datosplataforma Android. Durante este mes confidenciales. Según las declaraciones de ladestacamos en el laboratorio de ESET España a propia compañía, tan pronto como seRootSmart, un malware que parecía una descubrió esta intrusión se tomaron medidasevolución de GingerMaster, otra amenaza que para eliminar este malware de la redel verano pasado se aprovechó de corporativa y proteger los datos sensiblesuna vulnerabilidad crítica de Android 2.3 relacionados con empleados, clientes y(Gingerbread) con la finalidad de obtener distribuidores en todo el mundo.privilegios de root en el sistema infectado. Por último, la compañía VMware también avisó de la filtración y posterior publicación del código fuente de uno de sus productos, concretamente VMware ESX. Como en otras ocasiones anteriores, el enlace desde el cual descargar esta información se compartió en múltiples sitios como Pastebin y, aunque la empresa anunció que esta filtración no suponía un peligro para sus usuarios, siempre es desagradable que se produzcan este tipo de sucesos en grandes empresas. Microsoft avisó a finales de mes de una vulnerabilidad en su servicio de correo Hotmail que permitía acceder a las cuentas de los usuarios, permitiendo a un atacante cambiar la contraseña de acceso por una de su elección. Esta vulnerabilidad se estuvo aprovechando durante varias semanas, sobre todo en países árabes aunque Microsoft reaccionó rápido evitando que el fallo pasara a mayores.Los APT o ataques dirigidos tuvieron suprotagonismo en forma de ataques queafectaron a empresas y Gobiernos. El Ministeriodel Petroleo iraní y otras empresas asociadasfue víctima de la infección por parte de ungusano informático. De nuevo las alarmassaltaron al recordar el caso Stuxnet y corrieronríos de tinta especulando sobre las posiblesconsecuencias de este nuevo ataque aunquedesde las fuentes oficiales se aseguró queningún documento oficial se había vistocomprometido y que solo se desconectarontemporalmente las refinerías para evitar dañosen estas. www.eset.es
  13. 13. INFORME DE SEGURIDAD ENERO-ABRIL 20123. 4 de cada 10 españoles pierde o le roban el móvil o la tablet Quizá es la primavera, quizá no, pero lo cierto es que últimamente cada vez son más los conocidos o compañeros que pierden su móvil o su tablet. O lo que es peor, son víctimas de ladrones que van específicamente buscando el último modelo tecnológico de smartphone o de tableta. En la mayoría de las ocasiones, lo más probable es que no quieran más que sacar un dinero vendiendo los dispositivos en otros países, pero lo cierto es que por el camino tienen acceso a un montón de información privada que todos y cada uno almacenamos en nuestros terminales. Según los resultados del último estudio sobre “Seguridad en móviles” que publicamos recientemente, 4 de cada 10 españoles pierde o le roban el móvil o la tablet. Lo verdaderamente importante es que cada vez más, utilizamos el móvil prácticamente para todo: no solo para enviar y recibir llamadas (evidentemente), sino para leer y contestar e-mails, entrar a redes sociales, almacenar fotos, comprar online e incluso utilizar nuestro banco desde el terminal. Y lo hacemos desde aplicaciones que en su inmensa mayoría conservan abierta la sesión para facilitarnos la vida y no tener que introducir una y otra vez nuestras contraseñas de acceso: costumbre muy peligrosa si pensamos que nuestro móvil o tablet puede caer en manos de terceros. En muchas ocasiones por desconocimiento, o por pereza (que todo hay que decirlo), no siempre seguimos unas normas básicas de seguridad. Y cuando tenemos algún percance, en algunos casos no sabemos muy bien qué pasos tenemos que dar para intentar recuperar el dispositivo o, al menos, bloquear el acceso del “indeseable” a nuestra información sensible. Por eso, en ESET España, Ontinet.com, hemos elaborado esta infografía que resume los seis principales hábitos de seguridad básicos que recomendamos seguir a los usuarios, así como los tres pasos a seguir en caso de sufrir algún percance. Esperemos que esta guía sirva de utilidad para prevenir disgustos innecesarios y que ningún lector tenga que seguir los tres pasos de emergencia. www.eset.es
  14. 14. INFORME DE SEGURIDAD ENERO-ABRIL 2012 4. Google y su mina de datos¿Utilizas Google? Bueno, actualmente la verdad es que estapregunta podría resultar un poco absurda si utilizas Internet, oun iPhone, o un teléfono con Android, o Kindle o un iPad,porque desde luego en este caso seguro que utilizas Google dealguna manera.Desde el 1 de marzo de 2012, el mayor recolector de datospersonales del mundo, Google, cambió la forma en cómo usa lainformación que tiene de ti. ¿Qué cambio supone esto? Y lo quees más, ¿qué debo hacer para proteger la información queGoogle está recopilando sobre mí?Empecemos a contestar estas cuestiones fijándonos en lainfografía, que representa potencialmente cuánta informaciónes capaz Google de recopilar sobre nosotros a través de susdiferentes servicios.La infografía, llamada “Google y su mina de datos”, muestraalgunos –aunque no todos– de sus servicios, a través de loscuales Google podría, potencialmente, acceder para recopilarinformación y hacerse una imagen de ti y de tus intereses, segúnutilices dichos productos.Para ser claros, no estoy diciendo que Google esté activamenterecopilando todos estos datos para crear perfiles detallados dela gente que se compartan de forma inapropiada con terceros.Lo que digo es que los cambios que Google hizo el pasado 1 demarzo han levantado numerosas cuestiones que no tienencontestación, y no somos lo que se puede decir nuevos en estode la privacidad de Internet.El indicador más visible de los cambios realizados el pasado 1 demarzo es la “unificación de las políticas de privacidad”, quecombinó unas 60 políticas de privacidad de diferentes productosde Google en una sola. Pero la aplicación de solo una política deprivacidad de forma retroactiva es problemática. Es por esto quetodo el mundo que ya utilizaba un servicio de Google ha tenidoque dar de nuevo su consentimiento.Vamos a ver un ejemplo práctico. Cojamos Gmail: empecé autilizarlo hace muchos años (Google dice que tiene 350 millonesde usuarios activos en Gmail). Aunque no utilizo la dirección deGmail como mi correo principal, en la actualidad tengo como47.000 mensajes en mi bandeja de entrada, lo que puede darteuna imagen más o menos certera de qué ha pasado en losúltimos siete años de mi historia, que han sido un montón decosas. www.eset.es
  15. 15. INFORME DE SEGURIDAD ENERO-ABRIL 2012¿Y qué pasa con el motor de búsqueda de Google? Si hago un cálculo rápido, es posible que hayarealizado más de 47.000 búsquedas vía Google en estos últimos años.Bueno, con estos datos mi imagen puede estar mucho más completa. Y todavía podemos completarlamás si tomamos en cuenta la cantidad de vídeos de YouTube que he publicado, comentado, buscado ovisto.Creo que el punto crítico de todo esto, es cuánto valgo para Google como un cliente potencial de susanunciantes online, ya que Google se ha dado cuenta de que mi valor es más alto según va recopilandomás información sobre mí. Como un montón de gente, incluyendo los fans de Google, ahora mepregunto qué podría llegar a pasar con todo el set de datos que Google tiene de mí.¿Y cuáles son mis opciones si quiero impedir que Google utilice todos los datos que tiene míos? El sitiopor donde debemos empezar, sitio que deberías visitar incluso si no estás preocupado sobre tus datos yGoogle, es el Dashboard.El Dashboard de GoogleNecesitas hacer login en Google para ver lainformación del Panel de Control o Dashboard, yseguramente te sorprenderás por la grancantidad de información que el gigante tienesobre ti.En mi perfil, he contado 32 entradas diferentesde datos, y una nota que dice “15 productosadicionales no están disponibles en estedashboard” (estaría bien saber cuáles son, deforma que pudiera analizarlos). Debajo puedesver una imagen de mi Dashboard.La primera cosa que ha atraído mi interés es ellink “Websites authorized to access the account”,es decir, “Lista de sitios web autorizados aacceder la cuenta”. Cuando he hecho clic en este link, me he encontrado con algunas sorpresas, dadoque había algunos servicios de los que no era consciente de que tenían acceso a mis datos. www.eset.es
  16. 16. INFORME DE SEGURIDAD ENERO-ABRIL 2012Es cierto que eliminar el acceso a mis datos es fácil, pero la verdad es que Google podría haber hecho unmejor trabajo en esta página informándome de qué significa exactamente que dichos servicios tienenacceso a mi cuenta, así como las implicaciones de añadir más servicios o de revocar los permisos.En esta misma página encontramos bastante información acerca de las passwords específicas deaplicaciones y de la verificación en dos pasos, pero, de nuevo, no hay suficiente información.Yo mismo en la webLo siguiente que me encuentro en mi Dashboard de Google es “Me on the Web”, algo así como “Yomismo en la web”. Este apartado tiene tres secciones, aunque el contenido que Google ha puesto eneste apartado es realmente valioso: 1. Cómo gestionar tu identidad online: consejos sobre cómo buscarte a ti mismo para averiguar qué hay indexado sobre ti; cómo crear un perfil de Google como una vía de control acerca de lo que la gente puede averiguar de ti; cómo eliminar contenidos no deseados en resultados de búsqueda y una vía para notificarte cuando algo nuevo sobre ti aparece en la web. 2. Cómo eliminar contenido inadecuado: más contenido sobre el mismo tema de la sección anterior. 3. Sobre mí en la Web: más de lo mismo.A pesar de la redundancia de los contenidos, esta información es realmente valiosa. Es normal que losusuarios que estén activos en Social Media probablemente sepan lo que se habla de ellos y ya se hanbuscado (por ejemplo, yo, regularmente, me busco a mí misma para controlar todo lo que aparece o sehabla sobre mí, y tengo configurada una alerta de Google para que me avise precisamente de esto). Loque me sorprende es la cantidad de pasos y de cosas que hay que hacer para poder gestionar tuidentidad online.Historial WebLo que también me ha sorprendido cuando exploras el Dashboard, es el hecho de que el acceso a tuhistorial de navegación, a pesar de que es un asunto que parece que preocupa a la gente, está situadojusto al final de la página (sé que es porque esta página se ordena de forma alfabética, pero consideroque es una debilidad desde el punto de vista de diseño de interfaz). Cuando entras a este apartado,resulta cuanto menos interesante. Esto es lo que veo cuando hago clic en “Remove items or clear WebHistory” (eliminar datos o limpiar mi historial web): www.eset.es
  17. 17. INFORME DE SEGURIDAD ENERO-ABRIL 2012Cuando analices esta página, no te sorprendas con lo que encuentres. Por mi historial, está claro queGoogle está guardando la información de qué busco y desde qué fuente: desde mi portátil, desde miiPhone, desde mi Kindle… Está claro que se trata de un seguimiento donde se mezclan los datos dediferentes plataformas. Afortunadamente, Google facilita el que los usuarios puedan parar este servicioa través del botón Pausa. De acuerdo a Google, el botón Pausa “previene que en el futuro se almacenela información de tu actividad en la web en tu historial, y de ser utilizada dicha información parapersonalizar tus resultados de búsqueda”. Si haces clic en “Remove all Web History” (eliminar todo elhistorial web), tus datos de actividad almacenados se eliminarán totalmente.Otra forma de evitar que Google almacene información sobre ti es navegar y buscar sin hacer login enningún servicio de Google. Si al ir awww.google.es ves tu nombre en la parte superior de la página,entonces estás validado en algún servicio de Google. Puedes hacer clic en tu nombre para acceder a laopción de “Sign out” o salir.Si estás utilizando Google como motor de búsqueda en tu iPhone de Apple y utilizas iOS5, puedes ir a lapantalla de configuración de Safari y activar la navegación privada como sistema para evitar serrastreado (estoy segura de que la opción de navegación privada viene desactivada por defecto y norecuerdo haber hecho login en Google desde Safari en mi iPhone, pero puedo asegurarte que misbúsquedas realizadas desde este teléfono han sido rastreadas por Google antes de que haya activado lanavegación privada).También verás que Google es muy persistente avisándote de que no estás validado en el portal,instándote a hacer login. Una estrategia a considerar es el utilizar diferentes navegadores desde tuordenador, y hacer login solo con uno en concreto. Esto significaría que podrías utilizar Google Chrome,por ejemplo, para mantener tu sesión abierta, mientras navegas y realizas tu actividad normal conFirefox, sin hacer login en Google. Pero para asegurarnos todavía más de que no vas a ser rastreado,acuérdate de activar la opción “Do not track” en Firefox.¿Qué problema hay en que Google grabe toda tu actividad de búsqueda? La respuesta es muy subjetiva,teniendo en cuenta que otras personas pueden llegar a saber en qué estás particularmente interesado.Por supuesto que no todo el mundo en Google está vigilando exactamente toda tu actividad debúsqueda, pero hay cosas claramente certeras en cuanto a qué puede pasar con tu historial.Te invito a que leas de nuevo (y si no lo has hecho, te invito a que lo hagas) la sección titulada “For legalreasons” (por razones legales) de la Política de Privacidad de Google. Básicamente, dice que Googlecompartirá tu información personal con compañías, organizaciones o personas fuera de Google si lacompañía tiene “una buena razón debido a temas legales, regulaciones, procesos legales orequerimientos gubernamentales que justifique el acceso, uso, preservación o difusión de lainformación”. No soy abogada, pero sí me atrevo a decir que es demasiado amplia la definición y pareceque hay muchas formas de interpretar las expresiones “una buena razón” y “que justifique el acceso…”.Es una cuestión de fe… Y, claramente, no creo que Google tenga ningún tipo de control sobre de quémanera una tercera entidad puede interpretar algunas de mis búsquedas en Google, como “almacén demisiles cerca de mí” o “dónde comprar arsénico”.Preferencias publicitariasUna de las razones por las que Google quiere tener tu historial de navegación web es para mejorar laorientación de sus anuncios. La compañía argumenta que es mejor para sus usuarios. El mercadosugiere que también es mejor para Google. Y aunque Google te permite ejercer cierto control sobre losanuncios que puedes ver, esta posibilidad de configuración no aparece, extrañamente, en elDashboard. Tienes que ir a un sitio llamado Ads Preferences para hacer cambios. Las preferencias estándivididas entre “Ads on Search and Gmail” (anuncios en el motor de búsqueda y en Gmail) y “Ads on theWeb” (anuncios en la Web). www.eset.es
  18. 18. INFORME DE SEGURIDAD ENERO-ABRIL 2012Seguramente encontrarás cosas muy interesantes si has permitido a Google utilizar su cookie paraseguir el rastro de tus actividades. La página presenta “un resumen de tus intereses y datosdemográficos que Google ha asociado a tu cookie”. Francamente, me ha sorprendido lo que heencontrado, porque no tenía una imagen tan exacta de mí y de mis intereses como suponía, lo quepuede sugerir que Google todavía no está haciendo la correlación de toda la información que tiene demí…, todavía.La página Ads Preferences te permite deshabilitar la opción de ver anuncios específicos para ti y te daacceso también a la eliminación o a la edición de tus preferencias sobre anuncios. Entre otras cosas, tepermite personalizar los anuncios eliminando categorías erróneas de temas que no te interesan eincluso añadir nuevas categorías de intereses. Y como pasa con muchas cosas en Google, los detalles sonun poco complejos. Por ejemplo, se necesita una cookie para prevenir el seguimiento. Por lo tanto, sieres de los que por hábito sueles eliminar tus cookies del navegador, probablemente también estaráseliminando esta una y otra vez.Algo más que decir…Efectivamente, hay muchas más cosas que decir sobre los cambios en la política de privacidad de Googley en cómo están siendo gestionados, empezando por el hecho de que Google ha seguido adelante apesar del coro de objeciones de legisladores y reguladores tanto en Estados Unidos como en la UniónEuropea. Hay también una pregunta en el aire: ¿qué pasa con las empresas y las agenciasgubernamentales que utilizan los productos de Google y cómo les afectan a ellos estos cambios?Durante la crisis financiera en 2008, todos nosotros oímos una y otra vez una frase que se hizo muypopular: “Demasiado grande para caer”. Me resulta complicado evitar pensar que, dado el vastoimperio que tiene Google con su base instalada y su gran catálogo de servicios, los cambios en supolítica de privacidad son “demasiado grandes para entenderlos en toda su complejidad”. Ciertamente,teniendo una imagen clara de dónde están ahora las cosas, es normal pensar que Google tiene untrabajo duro por delante en cuanto a adecuar todos sus servicios a todos sus usuarios, teniendo enconsideración que el gigante sigue desarrollando herramientas como el Dashboard (que todavíanecesita evolutivos). www.eset.es
  19. 19. INFORME DE SEGURIDAD ENERO-ABRIL 2012 5. Resumen de amenazas enero-abrilPocas sorpresas en cuanto al top 10 de amenazas que han estado distribuyéndose y afectando duranteestos cuatro meses. Los sospechosos habituales han seguido manteniéndose en lo alto del ranking.Y también pocos cambios, si lo comparamos con las tendencias del año 2011, lo que parece indicar quevamos a seguir la misma tendencia a lo largo del año.Las amenazas que se han mantenido en los titulares de nuestras noticias son básicamenteHTML/Scrinject, INF/Autorun, HTML/Iframe, el viejo y conocido Conficker y otro histórico, Sality.INF/Autorun, es una amenaza diseñada para distribuirse a través de dispositivos USB. Tener una buenaprotección instalada en el ordenador y utilizar cualquiera de las aplicaciones gratuitas que evitan laautoejecución de estos dispositivos nos ayudaría sumamente a la hora de evitar ser afectados. Confickerse soluciona aplicando un parche de seguridad de Microsoft, que al parecer muchos todavía no hemosaplicado.Este es el top 10 de amenazas de estos primeros cuatro meses del año: www.eset.es
  20. 20. INFORME DE SEGURIDAD ENERO-ABRIL 2012 6. Sobre ESET España – Ontinet.comAcerca de ESETFundada en 1992, ESET es un proveedor global de software de seguridad para empresas yconsumidores. El líder de la industria en detección proactiva de malware, ESET NOD32 Antivirus, poseeel récord mundial en número de premios VB100 de Virus Bulletin, sin haber dejado de detectar nunca niun solo gusano o virus “in the wild” (activo en el mundo real) desde la fundación de las pruebas en 1998.ESET tiene sus oficinas centrales en Bratislava (Eslovaquia) y oficinas en San Diego (EE.UU.), BuenosAires (Argentina), Praga (República Checa) y una amplia red de partners en 160 países. En 2008, ESETabrió un nuevo centro de investigación en Cracovia (Polonia). ESET fue incluida en la lista TechnologyFast 500 de Deloitte como una de las compañías tecnológicas de más rápido crecimiento en la región deEuropa, Oriente Medio y África.Acerca de Ontinet.comOntinet.com, empresa valenciana especializada en la comercialización de productos y servicios deseguridad informática, está presente en todo el territorio español a través de una red de más de 3500distribuidores.Creada en 1992, distribuye en exclusiva para el mercado español los productos ESET, además de otrosproductos, tecnologías y servicios de seguridad como Outpost Firewall, de Agnitum, y el controlador deancho de banda Netlimiter, de Locktime Systems, soluciones cuya calidad está avalada por prestigiososorganismos independientes que lo certifican.Actualmente sigue ampliando su oferta de productos y su presencia en el sector mayorista, para cubrirlas necesidades de los consumidores, tanto domésticos como corporativos, en materia de seguridad.Ontinet.com es una empresa comprometida con sus clientes. Sus responsables técnicos analizan a diariotodos los temas relacionados con la seguridad informática en su Blog de Laboratorio, una manerainformal de acercarse a la seguridad informática, en blogs.protegerse.com. www.eset.es
  21. 21. INFORME DE SEGURIDAD ENERO-ABRIL 2012www.eset.es/siguenos Hazte fan de ESET España Consulta nuestras últimas noticias en twitter Síguenos la pista en tuenti Añádenos a tus círculos en Google+. Visita nuestro canal en youtube www.eset.es

×