Informe cuatrimestral de seguridad eset españa

21
INFORME DE SEGURIDAD ENERO-ABRIL 2012 www.eset.es www.eset.es

description

El primer cuatrimestre del año ha estado plagado de incidentes de seguridad: desde las acciones de los grupos hacktivistas movidos por el cierre de Megaupload por parte del FBI hasta amenazas para todo tipo de plataformas, incluyendo Mac y Android.

Transcript of Informe cuatrimestral de seguridad eset españa

Page 1: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

ww

w.e

set.

es

Page 2: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

Índice

1. Introducción

2. Un primer cuatrimestre plagado de incidentes de seguridad

3. 4 de cada 10 españoles pierden o le roban el móvil o la tablet

4. Google y su mina de datos

5. Resumen de amenazas enero-abril

6. Sobre ESET España – Ontinet.com

Page 3: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

1. Introducción

El primer cuatrimestre del año ha estado plagado de incidentes de seguridad: desde las acciones de los

grupos hacktivistas movidos por el cierre de Megaupload por parte del FBI hasta amenazas para todo

tipo de plataformas, incluyendo Mac y Android.

Salíamos de comernos las uvas con la noticia de que el popular sitio de descargas, Megaupload, era

cerrado definitivamente por considerar que servía de plataforma de almacenamiento de contenido

ilegal y que, además, se lucraba con ello. Este suceso desató toda una concatenación de

acontecimientos, protagonizados por los grupos hacktivistas más populares, entre ellos, por supuesto,

Anonymous, que atacaron las webs de Universal Music, la MPAA, el Departamento de Justicia

Americano e incluso la propia web del FBI. También cargaron contra organismos españoles con motivo

de la celebración de los Premios Goya, entre otras acciones. Mucho nos tememos que este año seguirán

dando mucho que hablar.

San Valentín ha seguido siendo, un año más, un gancho para la publicación y difusión de todo tipo de

motivos basados en este concepto que intentaban alcanzar a cuantas más víctimas mejor. Pero si

tenemos que hablar de una amenaza que ha supuesto más de un quebradero de cabeza a un montón de

usuarios ha sido, sin duda, el “virus de la policía”.

Los usuarios afectados se encontraron con su ordenador bloqueado mientras una aplicación les indicaba

que habían sido pillados visitando sitios pornográficos o de pedofilia y pirateando material. Dicho

ransomware (falso software) contenía la imagen de la Policía Nacional pero se adaptaba según el país

desde el que se conecta el usuario, suplantando a varios cuerpos de seguridad europeos. Los usuarios,

quizá tratando de evitar un mal trago, llevaban a cabo el pago de la cantidad exigida.

Durante este mes también vimos cómo diversas amenazas afectaban al sistema operativo Mac OS, en

una tendencia que, como veremos más adelante seguirá en aumento durante meses venideros. Por un

lado vimos cómo el malware OSX/Imuler infectaba sistemas Mac usando una vieja técnica conocida para

todos los usuarios de Windows.

Otro ejemplo de malware que seguía afectando a los sistemas Mac OS era Flashback que, desde

mediados del año pasado ha ido adaptándose y sacando nuevas versiones para maximizar el número de

usuarios infectados.

Las redes sociales y sus políticas de privacidad también han dado mucho que hablar durante estos

cuatro meses, especialmente Google con su unificación de servicios y el descubrimiento de la cantidad

de información que recopila el popular buscador de nuestra actividad y correlaciona para ofrecernos un

servicio “de calidad y adaptado a nuestras necesidades”. Otras redes como Pinterest incluso declaraba

abiertamente la posibilidad de la venta o cesión de datos a terceros…

El robo y la pérdida de dispositivos móviles (smartphones y tablets) ha seguido una estela creciente,

acompañada con la cada vez mayor demanda de estos.

Cuatro meses sin duda más que entretenidos en cuanto a seguridad se refiere. Todos los datos los

encuentras en este informe. ¡Esperamos que lo disfrutes!

Page 4: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

2. Un primer cuatrimestre plagado de incidentes de seguridad

ENERO: Megaupload y Anonymous, una combinación explosiva

El primer mes del año

estuvo marcado sin

duda por el cierre de

Megaupload por parte del FBI y las reacciones

que este hecho tuvo por parte de grupos de

ciberactivistas como Anonymous. El que fuera

el mayor sitio de almacenamiento de archivos

de Internet con millones de usuarios activos

(muchos de ellos de pago) fue cerrado por la

agencia americana acusado de almacenar

contenido ilegal y lucrarse con ello.

La fama de este servicio era tal que la mayoría

de las webs que ofrecían descargas de archivos

o la visión de películas o capítulos de series

usaba enlaces que redirigían a Megaupload,

hecho que generaba millones de euros en

beneficios a los creadores del servicio. Es por

ello que la suspensión de este servicio supuso

un duro golpe a todos los usuarios

acostumbrados a usarlo y las reacciones no se

hicieron esperar.

Así pues, una de las primeras reacciones fue la

de realizar ataques masivos de denegación de

servicio contra aquellas agencias a las que se

les atribuía el cierre de Megaupload y así, en

poco tiempo vimos cómo las webs de Universal

Music, la MPAA, el Departamento de Justicia

Americano o incluso la propia web del FBI iban

cayendo una a una. La lista de víctimas fue más

larga e incluyó algunas webs de fuera del

territorio americano, como la de la SGAE en

España.

No fue la única reacción a ese cierre y, en días

posteriores, vimos cómo se publicaba parte del

catálogo de Sony Music, tanto discos como

películas y se ponía a disposición de todo aquel

que quisiera descargarlos. Asimismo, a nivel

nacional, se publicó información personal sobre

alguno de los responsables de la ley Sinde,

empezando por los de su promotora, Ángeles

González Sinde, y los del actual Ministro de

Educación, Cultura y Deporte, José Ignacio

Wert. Estos datos incluían domicilios, teléfonos

personales, datos de familiares e incluso

fotografías de su residencia, estando a

disposición de cualquiera que quisiera

consultarlos.

Obviamente, los ciberdelincuentes no quisieron

dejar pasar esta ocasión y aprovecharon esta

noticia para promocionar sitios falsos que

afirmaban ser la nueva dirección de

Megaupload.

Page 5: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

Estos sitios solo pretendían engañar a los

usuarios que intentaban acceder a ella, siendo

posible que les bombardearan con publicidad,

almacenasen sus datos para usarlos en

posteriores campañas de spam o descargando

algún tipo de malware que infectara su sistema.

También fue un mes en el que se produjeron hackeos de sitios webs como el que sufrió el sitio web de venta online de zapatos Zappos.com, propiedad de Amazon.com. En este hackeo los cibercriminales tuvieron acceso a parte de su red interna al haber penetrado desde uno de sus servidores en Kentucky, comprometiendo los datos de 24 millones de clientes, entre los que figuran nombres, direcciones e-mail, datos de facturación y de envío, números de teléfono y los últimos cuatro dígitos de sus tarjetas de crédito así como contraseñas de acceso al servicio. No obstante, los atacantes no pudieron acceder a datos críticos de tarjeta de crédito y otros datos de pago.

Enero también fue el mes en el que hemos celebrado el día de la privacidad, día que nos encargamos de recordar ofreciendo una serie de consejos en nuestro blog. Precisamente esta privacidad no solo se ve amenazada por las filtraciones ocurridas en enero y que afectaron, además de a la ya comentada empresa Zappos.com, a grandes empresas como T-Mobile o incluso a la prestigiosa universidad de Harvard.. También aprovechamos para recordar la importancia de ir con cuidado sobre qué datos privados cedemos a terceros y cómo pueden ser usados. El aviso del cambio en las políticas de privacidad de Google también puso en alerta a muchos usuarios y no son pocos los que revisaron estos cambios para ver en qué medida les afectaba.

Asimismo, vimos cómo la privacidad de muchos usuarios de un determinado tipo de webcam usado principalmente por particulares y empresas también pudo verse comprometida tal y como comprobamos en nuestro laboratorio. Un error en el firmware de estas cámaras permitió a cualquiera que realizara una simple búsqueda encontrarse con miles de cámaras mostrando todo aquello que estaban grabando sin ninguna autenticación previa.

También se usaron las redes sociales, especialmente Facebook, para engañar a los usuarios. Fueron varios los ejemplos que vimos, entre ellos, volver a la versión anterior del Timeline, aprovechándose de que en enero se empezó a cambiar el aspecto del perfil de los usuarios. Vimos cómo se usaban fotos como gancho para que los usuarios pulsasen sobre el botón “Me gusta” y procediesen a contestar innumerables encuestas que no terminaban llevándoles a ningún sitio, técnica nada novedosa pero que sigue consiguiendo buenos resultados entre los usuarios más desprevenidos.

Al respecto de vulnerabilidades en aplicaciones, enero fue el mes en el que Microsoft se decidió, finalmente, a terminar con la obsoleta versión 6 de su navegador Internet Explorer, activo durante más de 10 años. También vimos cómo Apple retiraba de su App Store la popular aplicación WhatsApp sin dar mayores explicaciones para, días después, volver a publicarla. Imaginamos que pretendían forzar a los desarrolladores para que solucionasen los graves errores de diseño que permiten que se envíe información sin cifrar.

Page 6: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

FEBRERO: dispositivos móviles, objetivo de las amenazas

El mes de febrero estuvo caracterizado por la vuelta de los clásicos engaños que intentan

aprovecharse de la celebración del día de San Valentín. A pesar de que las amenazas han evolucionado y cada vez son más sofisticadas, el aprovecharse de una fecha señalada sigue dando buen resultado a los ciberdelincuentes.

Así, durante este mes observamos todo tipo de malware usando diversas técnicas para engañar a los usuarios conforme nos acercábamos al 14 de febrero. Vimos ejemplos clásicos como el típico mensaje de correo electrónico que nos invita a descargarnos una supuesta postal romántica pero que en realidad descargaba un archivo infectado. Una variación de este ejemplo fue otro correo comunicándonos que habíamos ganado un viaje romántico. De nuevo se trataba de un engaño y, en el caso de que cayésemos en la trampa y pulsásemos sobre el enlace proporcionado descargábamos un malware que infectaba nuestro sistema y este pasaba a formar parte de una botnet.

Junto a estas técnicas clásicas, vimos cómo se también se confirmaba una tendencia que veníamos observando en los últimos años: el uso de redes sociales como vector de ataque. Tanto Facebook, como Twitter y otras se llenaron de enlaces con motivos de San Valentín ofreciendo premios en metálico, viajes o más postales. Los ciberdelincuentes saben que la mayoría de usuarios se mueven en estas redes sociales y no quieren perder la oportunidad de aumentar sus listas de víctimas.

También aprovechando esta celebración vimos un aumento en la actividad de promoción de las falsas farmacias online usando, de nuevo, las redes sociales. Para este tipo de promoción se usaron, no solo las redes sociales más generalistas como Facebook o Twitter, sino que también se usaron redes más profesionales como LinkedIn. De esta manera, con poco esfuerzo los ciberdelincuentes consiguieron aumentar sus víctimas potenciales y conseguir más sistemas infectados.

Los grupos hacktivistas como Anonymous también estuvieron activos durante ese mes, realizando acciones como la que publicó los datos personales de miles de usuarios de foros neonazis. También hackers anónimos realizaron intrusiones a diversos sitios webs y publicaron, por ejemplo, los datos de acceso de miles de usuarios al sitio web con contenido adulto Youporn.

Page 7: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

Pero si hubo una acción de un grupo hacktivista que destacó en febrero en España, fue la de Anonymous con motivo de la celebración de la gala de los premios Goya. Había expectación por ver qué actividades de protesta se llevarían a cabo tras la aprobación de la ley Sinde/Wert y con los precedentes del año pasado. Finalmente, el fuerte dispositivo policial evitó que hubiese incidentes en los exteriores de la gala pero sí que hubo una fuerte repercusión en medios online.

Así pues, mientras aún se estaban entregando premios, el colectivo hacktivista publicaba una filtración con datos personales de usuarios ubicados en uno o varios servidores de la Academia de Cine, que habían sido comprometidos. En los datos publicados se encontraban, además de los datos de acceso de los administradores a los servidores comprometidos, mucha información de productores, representantes, empresas y demás usuarios relacionados con la industria cinematográfica española. Entre la información publicada también se encontraban varios números de teléfono y direcciones de correo electrónico.

Otro tipo de amenaza, que estamos viendo en abundancia en los últimos meses y que en febrero también hizo su aparición, fueron las páginas web legítimas pero con fallos de seguridad y vulnerabilidades que estaban siendo aprovechadas para propagar malware. En esta ocasión analizamos cómo miles de páginas web que usaban versiones vulnerables del gestor de contenidos Wordpress habían sido modificadas por ciberdelincuentes para albergar malware e infectar a todo aquel que las visitase y no contase con la debida protección.

Igualmente nos hicimos eco de la intención del

FBI de desconectar los servidores usados por el

malware DNSChanger para redirigir a los

usuarios infectados a sitios maliciosos. Esta

actuación, inicialmente planeada para aarzo

pero que se ha retrasado hasta el próximo 9 de

julio debido al alto número de equipos que aún

se encuentran infectados, puede hacer que

muchos usuarios infectados se queden sin

poder acceder a páginas web hasta que no

cambien la dirección de los servidores DNS en

su sistema.

Siguiendo con malware y cuerpos de seguridad,

durante febrero empezamos a ver una

importante propagación del conocido “virus de

la policía”, propagación que continuaría en

meses siguientes. Esta clase de código

malicioso, también conocido como

ransomware, bloquea los sistemas a los que

infecta y pide un rescate, haciéndose pasar por

un cuerpo de seguridad, diferente según el país

de la víctima.

Por último, las amenazas más clásicas también

tuvieron su parte de protagonismo en forma de

nuevos casos de phishing a diversos bancos o

en estafas en forma de falsos correos

anunciando la ganancia de grandes premios de

lotería que se aprovechan del nombre de las

próximas olimpiadas de Londres para confundir

a los usuarios.

Page 8: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

MARZO: de las botnets desarticuladas a los atentados de Moscú

Tal y como ya

anunciábamos en el

resumen de febrero, el

ransomware conocido

popularmente como “virus de la policía” se

mostró especialmente activo durante este mes.

Fueron muchas las variantes de este malware

que detectamos en nuestro laboratorio,

registrando también numerosos casos reales de

usuarios afectados que vieron cómo su

ordenador era bloqueado bajo amenaza de

denuncia a los cuerpos de seguridad del Estado

si el usuario no hacía un pago de una cantidad

que ronda los 100 €.

Los usuarios afectados se encontraron con su

ordenador bloqueado mientras una aplicación

les indicaba que habían sido pillados visitando

sitios pornográficos o de pedofilia y pirateando

material. Dicho ransomware (falso software)

contenía la imagen de la Policía Nacional pero

se adaptaba según el país desde el que se

conecta el usuario, suplantando a varios

cuerpos de seguridad europeos. Los usuarios,

quizá tratando de evitar un mal trago, llevaban

a cabo el pago de la cantidad exigida.

Durante este mes también vimos cómo diversas

amenazas afectaban al sistema operativo Mac

OS, en una tendencia que, como veremos más

adelante seguirá en aumento durante meses

venideros. Por un lado vimos cómo el malware

OSX/Imuler infectaba sistemas Mac usando una

vieja técnica conocida para todos los usuarios

de Windows. La ocultación de las extensiones

de los ficheros es una estrategia rudimentaria

pero que suele dar buenos resultados si se sabe

usar apropiadamente. En esta ocasión se ocultó

un aplicación haciéndola pasar por una foto de

la modelo Irina Shayk. Al no mostrarse la

extensión del archivo, la mayoría de usuarios

pulsaron sobre la foto sin saber que realmente

estaban infectando su sistema.

Otro ejemplo de malware que seguía afectando

a los sistemas Mac OS era Flashback que, desde

mediados del año pasado ha ido adaptándose y

sacando nuevas versiones para maximizar el

número de usuarios infectados. Durante marzo

aún eran relativamente pocos los usuarios que

se vieron afectados por este malware, sobre

todo si los comparamos con el elevado número

de afectados que se observó posteriormente y

que analizaremos detalladamente en el

resumen correspondiente al mes de abril.

Uno de los vectores de ataque que más ha sido

usado para propagar amenazas son las

vulnerabilidades en el software

multiplataforma de Java. Durante marzo vimos

cómo una de estas vulnerabilidades era

aprovechada para descargar malware al visitar

sitios legítimos que habían sido

comprometidos, incluyendo algún blog de

seguridad informática.

Estas vulnerabilidades en el software de Java

también fueron aprovechadas para realizar

ataques dirigidos, como el que sufrieron varias

ONGs pro Tibet. Aprovechándose de dichas

vulnerabilidades se enviaban miles de correos

spam con un enlace que redirigía al usuario a

Page 9: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

un sitio web especialmente diseñado para

reconocer el navegador usado y lanzar un

exploit diferente para Windows o para Mac y

Linux. De esta forma se consigue maximizar el

número de víctimas aprovechándose de la

condición multiplataforma de Java.

En marzo también vimos cómo Microsoft

publicaba un parche para solucionar una grave

vulnerabilidad en la implementación del

protocolo RDP, protocolo que permite las

conexiones a un escritorio remoto. La

posibilidad de ejecutar código remoto en

millones de equipos de forma remota nos

devolvía a la memoria los problemas que

causaron Sasser o Blaster en su época.

Afortunadamente, el uso de este protocolo se

encuentra desactivado por defecto en la

mayoría de usuarios, siendo los entornos

corporativos los más propensos a sufrir un

ataque de este tipo. Es por eso que Microsoft

recomendó aplicar este parche lo antes posible

para evitar males mayores.

Tras publicarse esta grave vulnerabilidad no

tardamos en ver cómo se empezaban a mostrar

diversas pruebas de concepto para

aprovecharse de ella.

Incluso fuimos testigos de una posible filtración

de una de estas pruebas de concepto en un

foro chino, dato sorprendente si tenemos en

cuenta que la prueba de concepto original no

había salido de aquellos miembros que

componen la Microsoft Active Protection

Program (MAPP), formada por otros

investigadores, ya sean de Microsoft,

independientes o de las mismas casas antivirus.

Por suerte también hubo otros investigadores

que se dedicaron a crear herramientas para

mitigar un posible ataque y hacer más fácil el

trabajo de los administradores de sistemas.

Microsoft también fue noticia por ser uno de

los principales responsables, junto con otras

empresas y fuerzas de seguridad, del

desmantelamiento de varias botnets basadas

en el conocido malware Zeus. Mediante una

acción coordinada alrededor del mundo, se

consiguió desmantelar alguno de los servidores

más importantes que los ciberdelincuentes

usaban para manejar y dar órdenes a los miles

de ordenadores zombis que poseían. Las

acciones se llevaron a cabo de forma directa,

accediendo a los proveedores de servicios que

alojaban estos servidores de C&C.

A menor escala, ESET colaboró con las

autoridades de Georgia para desmantelar una

botnet que tenía como objetivo al Gobierno de

ese país de Europa del Este. Esta nueva red de

botnets, Win32/Georbot, trataba de robar

documentos y certificados, pero también era

capaz de grabar audio y vídeo y navegar dentro

de la red local para buscar información.

Palabras clave como top secret, army, USA, FBI

o CIA eran buscadas en los ordenadores

afectados para conseguir información

clasificada.

Los vectores de infección clásicos como el envío

de spam también tuvieron su parte de

protagonismo, sobre todo si incluyen noticias

impactantes o tienen como protagonistas a

personajes famosos.

Page 10: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

Durante este mes de marzo vimos cómo se

usaba a jugadores del F.C. Barcelona como

Alexis, Piqué y su novia, la famosa cantante

Shakira, como gancho para, usando técnicas de

phishing, obtener los datos bancarios de los

usuarios que muerdan el anzuelo.

Asimismo, el cantante brasileño de moda, Michel Teló, también fue usado por los ciberdelincuentes como gancho al enviarse de forma masiva un correo con una supuesta grabación del presunto autor del robo que sufrió el cantante en Murcia. Obviamente, se trataba de información falsa, pero que descargaba un troyano bancario en los sistemas de aquellos usuarios que, curiosos, intentaban visualizar el supuesto vídeo.

Page 11: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

ABRIL: filtraciones de datos en PlayStation Network y refuerzo de la

seguridad en Facebook

El troyano Flashback, que había protagonizado varios quebraderos de cabeza en

materia de seguridad en sistemas Mac OS, fue el protagonista indiscutible el pasado mes de abril al descubrirse una botnet con más de 600.000 usuarios infectados. Esta elevada cantidad de usuarios de Mac hizo que saltaran todas las alarmas y pronto empezaron a tomarse medidas para mitigar esta infección. Las últimas variantes de OSX/Flashback usaron una de las múltiples vulnerabilidades en Java para propagarse sin intervención del usuario.

El hecho de que se aprovechase de una vulnerabilidad que hacía varias semanas que se había solucionado en otras plataformas como Windows o Linux causó bastante malestar, sobre todo al saber que es la propia Apple y no Oracle, la empresa propietaria de Java, quien se encarga de gestionar este tipo de actualizaciones. Aun varias semanas después de que se publicase este descubrimiento y los parches correspondientes sigue habiendo decenas de miles de usuarios infectados y otros códigos maliciosos han aprovechado esta u otras vulnerabilidades para propagarse en sistemas Mac OS. Una de estas amenazas que también se aprovechó de vulnerabilidades en Java fue

OSX/Sabpab. Inicialmente usaba una vieja vulnerabilidad de Microsoft Office 2004 y 2008 para Mac pero, al ver el éxito cosechado por el troyano Flashback, decidió incorporar también las vulnerabilidades de Java como vector de propagación. Como vimos en el mes anterior, las webs legítimas vulnerables se han convertido en uno de los vectores de propagación de amenazas preferidos por los ciberdelincuentes. Durante abril vimos cómo con una simple inyección SQL se conseguía comprometer la seguridad de más de 180.000 páginas web y hacer que estas se dedicasen a descargar malware en los sistemas de los usuarios que las visitasen. Este vector de ataque es uno de los más usados en la actualidad y desmitifica la sensación de seguridad que muchos usuarios tienen al navegar solo por webs conocidas o supuestamente confiables. Por su parte, el ransomware policial o “virus de la policía” siguió haciendo de las suyas e incluso le salieron imitadores como Win32/Ransomcrypt. No es de extrañar la aparición de este tipo de amenazas, conocidas también como criptovirología, ya que suponen una importante fuente de ingresos de la manera más directa posible, aun a sabiendas de que también se pueden ser rastreados de forma mas fácil. Pero no es la única muestra de ransomware que vimos en abril. También observamos cómo otra variante infectaba el sistema y reemplazaba el MBR original por uno propio. MBR son las siglas de Master Boot Record y consiste en una porción de código almacenada en los primeros sectores de nuestro disco duro que inicia el gestor de arranque del sistema. Si un malware de este tipo consigue modificar este sector de arranque, el usuario no podrá acceder a su sistema a menos que ceda al chantaje del ciberdelincuente y pague la cantidad solicitada.

Page 12: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

Con respecto a las amenazas orientadas a dispositivos móviles, durante el mes de abril seguimos viendo un goteo constante de malware desarrollado, especialmente, para la plataforma Android. Durante este mes destacamos en el laboratorio de ESET España a RootSmart, un malware que parecía una evolución de GingerMaster, otra amenaza que el verano pasado se aprovechó de una vulnerabilidad crítica de Android 2.3 (Gingerbread) con la finalidad de obtener privilegios de root en el sistema infectado.

Los APT o ataques dirigidos tuvieron su protagonismo en forma de ataques que afectaron a empresas y Gobiernos. El Ministerio del Petroleo iraní y otras empresas asociadas fue víctima de la infección por parte de un gusano informático. De nuevo las alarmas saltaron al recordar el caso Stuxnet y corrieron ríos de tinta especulando sobre las posibles consecuencias de este nuevo ataque aunque desde las fuentes oficiales se aseguró que ningún documento oficial se había visto comprometido y que solo se desconectaron temporalmente las refinerías para evitar daños en estas.

La empresa japonesa Nissan también anunció una intrusión en la red de su empresa y la detección de un malware que tendría supuestamente la intención de robar datos confidenciales. Según las declaraciones de la propia compañía, tan pronto como se descubrió esta intrusión se tomaron medidas para eliminar este malware de la red corporativa y proteger los datos sensibles relacionados con empleados, clientes y distribuidores en todo el mundo.

Por último, la compañía VMware también avisó de la filtración y posterior publicación del código fuente de uno de sus productos, concretamente VMware ESX. Como en otras ocasiones anteriores, el enlace desde el cual descargar esta información se compartió en múltiples sitios como Pastebin y, aunque la empresa anunció que esta filtración no suponía un peligro para sus usuarios, siempre es desagradable que se produzcan este tipo de sucesos en grandes empresas.

Microsoft avisó a finales de mes de una vulnerabilidad en su servicio de correo Hotmail que permitía acceder a las cuentas de los usuarios, permitiendo a un atacante cambiar la contraseña de acceso por una de su elección. Esta vulnerabilidad se estuvo aprovechando durante varias semanas, sobre todo en países árabes aunque Microsoft reaccionó rápido evitando que el fallo pasara a mayores.

Page 13: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

3. 4 de cada 10 españoles pierde o le roban el móvil o la tablet

Quizá es la primavera, quizá no, pero lo cierto es que últimamente cada vez son más los conocidos o compañeros que pierden su móvil o su tablet. O lo que es peor, son víctimas de ladrones que van específicamente buscando el último modelo tecnológico de smartphone o de tableta. En la mayoría de las ocasiones, lo más probable es que no quieran más que sacar un dinero vendiendo los dispositivos en otros países, pero lo cierto es que por el camino tienen acceso a un montón de información privada que todos y cada uno almacenamos en nuestros terminales.

Según los resultados del último estudio sobre “Seguridad en

móviles” que publicamos recientemente, 4 de cada 10 españoles pierde o le roban el móvil o la tablet. Lo verdaderamente importante es que cada vez más, utilizamos el móvil prácticamente para todo: no solo para enviar y recibir llamadas (evidentemente), sino para leer y contestar e-mails, entrar a redes sociales, almacenar fotos, comprar online e incluso utilizar nuestro banco desde el terminal.

Y lo hacemos desde aplicaciones que en su inmensa mayoría conservan abierta la sesión para facilitarnos la vida y no tener que introducir una y otra vez nuestras contraseñas de acceso: costumbre muy peligrosa si pensamos que nuestro móvil o tablet puede caer en manos de terceros.

En muchas ocasiones por desconocimiento, o por pereza (que todo hay que decirlo), no siempre seguimos unas normas básicas de seguridad. Y cuando tenemos algún percance, en algunos casos no sabemos muy bien qué pasos tenemos que dar para intentar recuperar el dispositivo o, al menos, bloquear el acceso del “indeseable” a nuestra información sensible.

Por eso, en ESET España, Ontinet.com, hemos elaborado esta

infografía que resume los seis principales hábitos de seguridad básicos que recomendamos seguir a los usuarios, así como los tres pasos a seguir en caso de sufrir algún percance.

Esperemos que esta guía sirva de utilidad para prevenir disgustos innecesarios y que ningún lector tenga que seguir los tres pasos de emergencia.

Page 14: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

4. Google y su mina de datos

¿Utilizas Google? Bueno, actualmente la verdad es que esta pregunta podría resultar un poco absurda si utilizas Internet, o un iPhone, o un teléfono con Android, o Kindle o un iPad, porque desde luego en este caso seguro que utilizas Google de alguna manera.

Desde el 1 de marzo de 2012, el mayor recolector de datos personales del mundo, Google, cambió la forma en cómo usa la información que tiene de ti. ¿Qué cambio supone esto? Y lo que es más, ¿qué debo hacer para proteger la información que Google está recopilando sobre mí?

Empecemos a contestar estas cuestiones fijándonos en la infografía, que representa potencialmente cuánta información es capaz Google de recopilar sobre nosotros a través de sus diferentes servicios.

La infografía, llamada “Google y su mina de datos”, muestra algunos –aunque no todos– de sus servicios, a través de los cuales Google podría, potencialmente, acceder para recopilar información y hacerse una imagen de ti y de tus intereses, según utilices dichos productos.

Para ser claros, no estoy diciendo que Google esté activamente recopilando todos estos datos para crear perfiles detallados de la gente que se compartan de forma inapropiada con terceros. Lo que digo es que los cambios que Google hizo el pasado 1 de marzo han levantado numerosas cuestiones que no tienen contestación, y no somos lo que se puede decir nuevos en esto de la privacidad de Internet.

El indicador más visible de los cambios realizados el pasado 1 de marzo es la “unificación de las políticas de privacidad”, que combinó unas 60 políticas de privacidad de diferentes productos de Google en una sola. Pero la aplicación de solo una política de privacidad de forma retroactiva es problemática. Es por esto que todo el mundo que ya utilizaba un servicio de Google ha tenido que dar de nuevo su consentimiento.

Vamos a ver un ejemplo práctico. Cojamos Gmail: empecé a utilizarlo hace muchos años (Google dice que tiene 350 millones de usuarios activos en Gmail). Aunque no utilizo la dirección de Gmail como mi correo principal, en la actualidad tengo como 47.000 mensajes en mi bandeja de entrada, lo que puede darte una imagen más o menos certera de qué ha pasado en los últimos siete años de mi historia, que han sido un montón de cosas.

Page 15: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

¿Y qué pasa con el motor de búsqueda de Google? Si hago un cálculo rápido, es posible que haya realizado más de 47.000 búsquedas vía Google en estos últimos años.

Bueno, con estos datos mi imagen puede estar mucho más completa. Y todavía podemos completarla más si tomamos en cuenta la cantidad de vídeos de YouTube que he publicado, comentado, buscado o visto.

Creo que el punto crítico de todo esto, es cuánto valgo para Google como un cliente potencial de sus anunciantes online, ya que Google se ha dado cuenta de que mi valor es más alto según va recopilando más información sobre mí. Como un montón de gente, incluyendo los fans de Google, ahora me pregunto qué podría llegar a pasar con todo el set de datos que Google tiene de mí.

¿Y cuáles son mis opciones si quiero impedir que Google utilice todos los datos que tiene míos? El sitio por donde debemos empezar, sitio que deberías visitar incluso si no estás preocupado sobre tus datos y Google, es el Dashboard.

El Dashboard de Google

Necesitas hacer login en Google para ver la información del Panel de Control o Dashboard, y seguramente te sorprenderás por la gran cantidad de información que el gigante tiene sobre ti.

En mi perfil, he contado 32 entradas diferentes de datos, y una nota que dice “15 productos adicionales no están disponibles en este dashboard” (estaría bien saber cuáles son, de forma que pudiera analizarlos). Debajo puedes ver una imagen de mi Dashboard.

La primera cosa que ha atraído mi interés es el link “Websites authorized to access the account”, es decir, “Lista de sitios web autorizados a acceder la cuenta”. Cuando he hecho clic en este link, me he encontrado con algunas sorpresas, dado que había algunos servicios de los que no era consciente de que tenían acceso a mis datos.

Page 16: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

Es cierto que eliminar el acceso a mis datos es fácil, pero la verdad es que Google podría haber hecho un mejor trabajo en esta página informándome de qué significa exactamente que dichos servicios tienen acceso a mi cuenta, así como las implicaciones de añadir más servicios o de revocar los permisos.

En esta misma página encontramos bastante información acerca de las passwords específicas de aplicaciones y de la verificación en dos pasos, pero, de nuevo, no hay suficiente información.

Yo mismo en la web

Lo siguiente que me encuentro en mi Dashboard de Google es “Me on the Web”, algo así como “Yo mismo en la web”. Este apartado tiene tres secciones, aunque el contenido que Google ha puesto en este apartado es realmente valioso:

1. Cómo gestionar tu identidad online: consejos sobre cómo buscarte a ti mismo para averiguar qué hay indexado sobre ti; cómo crear un perfil de Google como una vía de control acerca de lo que la gente puede averiguar de ti; cómo eliminar contenidos no deseados en resultados de búsqueda y una vía para notificarte cuando algo nuevo sobre ti aparece en la web.

2. Cómo eliminar contenido inadecuado: más contenido sobre el mismo tema de la sección anterior.

3. Sobre mí en la Web: más de lo mismo.

A pesar de la redundancia de los contenidos, esta información es realmente valiosa. Es normal que los usuarios que estén activos en Social Media probablemente sepan lo que se habla de ellos y ya se han buscado (por ejemplo, yo, regularmente, me busco a mí misma para controlar todo lo que aparece o se habla sobre mí, y tengo configurada una alerta de Google para que me avise precisamente de esto). Lo que me sorprende es la cantidad de pasos y de cosas que hay que hacer para poder gestionar tu identidad online.

Historial Web

Lo que también me ha sorprendido cuando exploras el Dashboard, es el hecho de que el acceso a tu historial de navegación, a pesar de que es un asunto que parece que preocupa a la gente, está situado justo al final de la página (sé que es porque esta página se ordena de forma alfabética, pero considero que es una debilidad desde el punto de vista de diseño de interfaz). Cuando entras a este apartado, resulta cuanto menos interesante. Esto es lo que veo cuando hago clic en “Remove items or clear Web History” (eliminar datos o limpiar mi historial web):

Page 17: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

Cuando analices esta página, no te sorprendas con lo que encuentres. Por mi historial, está claro que Google está guardando la información de qué busco y desde qué fuente: desde mi portátil, desde mi iPhone, desde mi Kindle… Está claro que se trata de un seguimiento donde se mezclan los datos de diferentes plataformas. Afortunadamente, Google facilita el que los usuarios puedan parar este servicio a través del botón Pausa. De acuerdo a Google, el botón Pausa “previene que en el futuro se almacene la información de tu actividad en la web en tu historial, y de ser utilizada dicha información para personalizar tus resultados de búsqueda”. Si haces clic en “Remove all Web History” (eliminar todo el historial web), tus datos de actividad almacenados se eliminarán totalmente.

Otra forma de evitar que Google almacene información sobre ti es navegar y buscar sin hacer login en ningún servicio de Google. Si al ir awww.google.es ves tu nombre en la parte superior de la página, entonces estás validado en algún servicio de Google. Puedes hacer clic en tu nombre para acceder a la opción de “Sign out” o salir.

Si estás utilizando Google como motor de búsqueda en tu iPhone de Apple y utilizas iOS5, puedes ir a la pantalla de configuración de Safari y activar la navegación privada como sistema para evitar ser rastreado (estoy segura de que la opción de navegación privada viene desactivada por defecto y no recuerdo haber hecho login en Google desde Safari en mi iPhone, pero puedo asegurarte que mis búsquedas realizadas desde este teléfono han sido rastreadas por Google antes de que haya activado la navegación privada).

También verás que Google es muy persistente avisándote de que no estás validado en el portal, instándote a hacer login. Una estrategia a considerar es el utilizar diferentes navegadores desde tu ordenador, y hacer login solo con uno en concreto. Esto significaría que podrías utilizar Google Chrome, por ejemplo, para mantener tu sesión abierta, mientras navegas y realizas tu actividad normal con Firefox, sin hacer login en Google. Pero para asegurarnos todavía más de que no vas a ser rastreado, acuérdate de activar la opción “Do not track” en Firefox.

¿Qué problema hay en que Google grabe toda tu actividad de búsqueda? La respuesta es muy subjetiva, teniendo en cuenta que otras personas pueden llegar a saber en qué estás particularmente interesado. Por supuesto que no todo el mundo en Google está vigilando exactamente toda tu actividad de búsqueda, pero hay cosas claramente certeras en cuanto a qué puede pasar con tu historial.

Te invito a que leas de nuevo (y si no lo has hecho, te invito a que lo hagas) la sección titulada “For legal reasons” (por razones legales) de la Política de Privacidad de Google. Básicamente, dice que Google compartirá tu información personal con compañías, organizaciones o personas fuera de Google si la compañía tiene “una buena razón debido a temas legales, regulaciones, procesos legales o requerimientos gubernamentales que justifique el acceso, uso, preservación o difusión de la información”. No soy abogada, pero sí me atrevo a decir que es demasiado amplia la definición y parece que hay muchas formas de interpretar las expresiones “una buena razón” y “que justifique el acceso…”. Es una cuestión de fe… Y, claramente, no creo que Google tenga ningún tipo de control sobre de qué manera una tercera entidad puede interpretar algunas de mis búsquedas en Google, como “almacén de misiles cerca de mí” o “dónde comprar arsénico”.

Preferencias publicitarias

Una de las razones por las que Google quiere tener tu historial de navegación web es para mejorar la orientación de sus anuncios. La compañía argumenta que es mejor para sus usuarios. El mercado sugiere que también es mejor para Google. Y aunque Google te permite ejercer cierto control sobre los anuncios que puedes ver, esta posibilidad de configuración no aparece, extrañamente, en el Dashboard. Tienes que ir a un sitio llamado Ads Preferences para hacer cambios. Las preferencias están divididas entre “Ads on Search and Gmail” (anuncios en el motor de búsqueda y en Gmail) y “Ads on the Web” (anuncios en la Web).

Page 18: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

Seguramente encontrarás cosas muy interesantes si has permitido a Google utilizar su cookie para seguir el rastro de tus actividades. La página presenta “un resumen de tus intereses y datos demográficos que Google ha asociado a tu cookie”. Francamente, me ha sorprendido lo que he encontrado, porque no tenía una imagen tan exacta de mí y de mis intereses como suponía, lo que puede sugerir que Google todavía no está haciendo la correlación de toda la información que tiene de mí…, todavía.

La página Ads Preferences te permite deshabilitar la opción de ver anuncios específicos para ti y te da acceso también a la eliminación o a la edición de tus preferencias sobre anuncios. Entre otras cosas, te permite personalizar los anuncios eliminando categorías erróneas de temas que no te interesan e incluso añadir nuevas categorías de intereses. Y como pasa con muchas cosas en Google, los detalles son un poco complejos. Por ejemplo, se necesita una cookie para prevenir el seguimiento. Por lo tanto, si eres de los que por hábito sueles eliminar tus cookies del navegador, probablemente también estarás eliminando esta una y otra vez.

Algo más que decir…

Efectivamente, hay muchas más cosas que decir sobre los cambios en la política de privacidad de Google y en cómo están siendo gestionados, empezando por el hecho de que Google ha seguido adelante a pesar del coro de objeciones de legisladores y reguladores tanto en Estados Unidos como en la Unión Europea. Hay también una pregunta en el aire: ¿qué pasa con las empresas y las agencias gubernamentales que utilizan los productos de Google y cómo les afectan a ellos estos cambios?

Durante la crisis financiera en 2008, todos nosotros oímos una y otra vez una frase que se hizo muy popular: “Demasiado grande para caer”. Me resulta complicado evitar pensar que, dado el vasto imperio que tiene Google con su base instalada y su gran catálogo de servicios, los cambios en su política de privacidad son “demasiado grandes para entenderlos en toda su complejidad”. Ciertamente, teniendo una imagen clara de dónde están ahora las cosas, es normal pensar que Google tiene un trabajo duro por delante en cuanto a adecuar todos sus servicios a todos sus usuarios, teniendo en consideración que el gigante sigue desarrollando herramientas como el Dashboard (que todavía necesita evolutivos).

Page 19: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

5. Resumen de amenazas enero-abril

Pocas sorpresas en cuanto al top 10 de amenazas que han estado distribuyéndose y afectando durante

estos cuatro meses. Los sospechosos habituales han seguido manteniéndose en lo alto del ranking.

Y también pocos cambios, si lo comparamos con las tendencias del año 2011, lo que parece indicar que

vamos a seguir la misma tendencia a lo largo del año.

Las amenazas que se han mantenido en los titulares de nuestras noticias son básicamente

HTML/Scrinject, INF/Autorun, HTML/Iframe, el viejo y conocido Conficker y otro histórico, Sality.

INF/Autorun, es una amenaza diseñada para distribuirse a través de dispositivos USB. Tener una buena

protección instalada en el ordenador y utilizar cualquiera de las aplicaciones gratuitas que evitan la

autoejecución de estos dispositivos nos ayudaría sumamente a la hora de evitar ser afectados. Conficker

se soluciona aplicando un parche de seguridad de Microsoft, que al parecer muchos todavía no hemos

aplicado.

Este es el top 10 de amenazas de estos primeros cuatro meses del año:

Page 20: Informe cuatrimestral de seguridad eset españa

INFORME DE SEGURIDAD ENERO-ABRIL 2012

www.eset.es

6. Sobre ESET España – Ontinet.com

Acerca de ESET

Fundada en 1992, ESET es un proveedor global de software de seguridad para empresas y

consumidores. El líder de la industria en detección proactiva de malware, ESET NOD32 Antivirus, posee

el récord mundial en número de premios VB100 de Virus Bulletin, sin haber dejado de detectar nunca ni

un solo gusano o virus “in the wild” (activo en el mundo real) desde la fundación de las pruebas en 1998.

ESET tiene sus oficinas centrales en Bratislava (Eslovaquia) y oficinas en San Diego (EE.UU.), Buenos

Aires (Argentina), Praga (República Checa) y una amplia red de partners en 160 países. En 2008, ESET

abrió un nuevo centro de investigación en Cracovia (Polonia). ESET fue incluida en la lista Technology

Fast 500 de Deloitte como una de las compañías tecnológicas de más rápido crecimiento en la región de

Europa, Oriente Medio y África.

Acerca de Ontinet.com Ontinet.com, empresa valenciana especializada en la comercialización de productos y servicios de

seguridad informática, está presente en todo el territorio español a través de una red de más de 3500

distribuidores.

Creada en 1992, distribuye en exclusiva para el mercado español los productos ESET, además de otros

productos, tecnologías y servicios de seguridad como Outpost Firewall, de Agnitum, y el controlador de

ancho de banda Netlimiter, de Locktime Systems, soluciones cuya calidad está avalada por prestigiosos

organismos independientes que lo certifican.

Actualmente sigue ampliando su oferta de productos y su presencia en el sector mayorista, para cubrir

las necesidades de los consumidores, tanto domésticos como corporativos, en materia de seguridad.

Ontinet.com es una empresa comprometida con sus clientes. Sus responsables técnicos analizan a diario

todos los temas relacionados con la seguridad informática en su Blog de Laboratorio, una manera

informal de acercarse a la seguridad informática, en blogs.protegerse.com.