Download - Informe cuatrimestral-eset-españa

Transcript
Page 1: Informe cuatrimestral-eset-españa

www.eset.es

Page 2: Informe cuatrimestral-eset-españa

www.eset.es

Como suele ser habitual, el tercer cuatrimestre del año no ha defraudado en cuanto a seguri-dad informática se refiere.

Durante estos meses hemos sido testigos cómo los acontecimientos más relevantes del pano-rama futbolístico y político han sido aprovecha-dos por los cibercriminales, como han sido el Mundial de Fútbol de Brasil 2014 y la abdicación del Rey Don Juan Carlos.

También los sucesos más relevantes de la ac-tualidad han sido aprovechados como gancho para conseguir víctimas a través de las redes so-ciales, como ha sido la lamentable muerte del actor Robin Williams. O como la fraudulenta venta de entradas para los conciertos de Ro-lling Stones en nuestro país.

Las redes sociales han sido protagonistas, una vez más, por problemas relacionados con la se-guridad y con la privacidad, al igual que herra-mientas tan populares como TweetDeck, por ejemplo. Y sistemas de seguridad como el de Paypal han sido protagonistas precisamente por su inseguridad.

INT

RO

DU

CC

IÓN Android también se ha llevado la palma por varias

razones, pero quizá la más reseñable ha sido la de la aparición de ramsonware para este sistema operativo móvil, hasta ahora, casi desconocido.

El llamado Internet de las cosas sigue dando mu-cho que hablar. Durante estos meses, nuevos agu-jeros de seguridad descubiertos en las SmartTV y en el nuevo sistema de alquiler de bicicletas en la ciudad de Madrid se han llevado la atención de la industria.

El spam y el phishing han seguido llevándose su porción de protagonismo. Sobre todo el protago-nizado, supuestamente, por Amancio Ortega, que anunciaba que donaba toda su fortuna. Y el inten-to de fraude bancario o el distribuido en falsas fac-turas en pdf han sido otros intentos, infructuosos, de conseguir víctimas de las que llevarse un bene-ficio económico.

Los ataques de denegación de servicio a Sony a fi-nales del mes de agosto, así como los numerosos parches de seguridad publicados durante estos meses cierran la crónica de un cuatrimestre esti-val que lejos de ser tranquilo y relajado ha sido de lo más movido y entretenido.

Page 3: Informe cuatrimestral-eset-españa

www.eset.es

Mayo fue un mes intenso en el mundo de la seguridad informática por varios motivos rela-cionados con la seguridad de aplicaciones uti-lizadas por millones de usuarios, la privacidad de nuestros datos o las estafas y engaños que empiezan a aparecer con motivos del cercano Mundial de futbol de Brasil.

Varios fueron los servicios online que vieron comprometida su seguridad y, por ende, la de los datos de sus usuarios. A principios de mes, Bitly, el popular servicio acortador de enlaces avisó en un comunicado que había sufrido una brecha de seguridad y se habían visto compro-metidos emails, contraseñas cifradas, creden-ciales OAuth y claves API de los usuarios.

No obstante, la brecha de seguridad más co-mentada durante mayo fue sin duda la sufri-da por eBay. Al parecer, la empresa sufrió un ataque que logró comprometer una base de datos con contraseñas cifradas y otros datos no financieros. Esto fue posible porque los ata-cantes lograron obtener las credenciales de acceso de algunos empleados. Tras anunciar el incidente, eBay invitó a cambiar las claves a sus millones de usuarios.

Otro caso parecido fue el de Spotify. La em-presa anunció que había detectado un acceso no autorizado a sus sistemas y que se habían

filtrado los datos de un usuario. Esto fue sufi-ciente para que la empresa recomendara a sus usuarios la actualización oficial para Android a pesar de no haberse detectado más casos.

Seguridad en navegadores web

Otros de los protagonistas en las últimas se-manas fueron varios de los navegadores de Internet con más cuota de mercado. A prin-cipios de mes, Microsoft solucionaba la grave vulnerabilidad en Internet Explorer detecta-da a finales de abril. No obstante, poco tiem-po después conocíamos la existencia de una nueva vulnerabilidad en Internet Explorer 8 con el agravante de que Microsoft había sido informada de la misma el pasado octubre y la empresa aún no hubiese corregido el fallo a mediados de mayo.M

AY

O: a

taq

ues

a w

ebs

po

pu

lare

s co

mo

eB

ay

Page 4: Informe cuatrimestral-eset-españa

www.eset.es

Pero no sólo Internet Explorer fue protagonista en materia de seguridad. Tanto Google Chrome como Safari publicaron parches de seguridad que solucionaban más de 30 vulnerabilidades cada uno, algunas lo suficiente-mente críticas como para que un atacante que las aprovechase lograse comprometer la seguridad del sistema.

Mayo también fue un mes destacado en cuanto a la seguridad de sistemas y programas de código abierto. Por una parte se desveló la existencia en GNU/Linux (ya resuelta) de una vulnerabilidad con cinco años de antigüe-dad que afectaba a la mayoría de distribuciones del sistema operativo. La vulnerabilidad se encontraba en el propio núcleo de sistema y permitía la ejecución de código arbitrario y la elevación de privilegios.

Por otro lado, el popular software de cifrado de código abierto TrueCrypt fue abandonado por sus desarrolla-dores en un movimiento inesperado que cogió a todo el mundo por sorpresa. En su web se pueden encontrar instrucciones para migrar al software de cifrado Bitlocker, alegando que se han encontrado fallos en TrueCrypt que no lo hacen seguro.

Estafas en redes sociales

Las redes sociales también han sido utilizadas para todo tipo de engaños y estafas. El falso sorteo de entradas para asistir a conciertos de artistas internacionales como los Rolling Stones actuó como cebo para que miles de usuarios compartieran contenido de terceros en sus muros si querían optar a una de las entradas inexistentes.

El laboratorio de ESET España también analizó en mayo otro tipo de engaños más curiosos pero que sirven igualmente para atraer la atención de usuarios despreve-nidos y confiados. Tiburones gigantes, fantasmas o todo tipo de extrañas criaturas son utilizadas para despertar la curiosidad y conseguir que los usuarios descarguen aplicaciones no deseadas o rellenen encuestas interminables con la excusa de ver un vídeo impactante.

MA

YO

: ata

qu

es a

web

sp

op

ula

res

com

o e

Bay

Page 5: Informe cuatrimestral-eset-españa

www.eset.es

Un clásico que vuelve cada cierto tiempo son las aplicaciones que permiten “descubrir quien visitó tu perfil en Facebook”. Ciertamente, de ser posible, esta característica sería una de las más utilizadas por los usuarios pero de mo-mento solo es una excusa para despertar nues-tra curiosidad y hacer que pulsemos donde no debemos.

Privacidad en entredicho en Android y ran-somware en Apple

Con lo que respecta a dispositivos móviles, tanto Android como iPhone fueron protagonis-tas. Un investigador descubrió como acceder a la cámara de unestro Smartphone sin que fuéramos conscientes de ello, tomar fotogra-fías y subirlas luego a Internet. Sin duda, algo preocupante si valoramos nuestra privacidad.

En cuando a Apple, varios usuarios de Australia y Nueva Zelanda informaron que sus disposi-tivos habían sido bloqueados y mostraban un mensaje solicitando un rescate. Este hecho, que podría relacionarse con una variante del “Virus de la Policía” parece haber sido conse-cuencia del robo de las credenciales de estos usuarios y el bloqueo del dispositivo a través de la característica “find my iPhone” del servicio iCloud que proporciona Apple a sus usuarios.

Precisamente estos casos de ransomware em-pezaron a verse también en dispositivos An-droid, bloqueando los terminales y solicitando el pago de un rescate a sus usuarios. Si bien es-tas variantes no estaban tan elaboradas como las que hemos ido observando en sistemas Windows y resultaban más sencillas de elimi-nar, son un aviso de lo que podría pasar si no se toman las medidas adecuadas.

Para luchar contra las bandas de crimen orga-nizado y delincuentes que utilizan herramien-tas para controlar nuestros ordenadores en contra de nuestra voluntad, el FBI lanzó una operación en la que consiguieron detener al-rededor de 100 personas que utilizaban Black-shades, una herramienta de control remoto. Acciones como estas ayudan a frenar el avan-ce de estas actividades delictivas aunque aún queda mucho camino por recorrer.

MA

YO

: ata

qu

es a

web

sp

op

ula

res

com

o e

Bay

Page 6: Informe cuatrimestral-eset-españa

www.eset.es

Junio estuvo marcado por el comienzo del Mundial de Fútbol en Brasil y los delincuentes no quisieron perderse la cita, por lo que prepa-raron todo tipo de engaños y amenazas con los que engatusar a los usuarios más despreveni-dos. Además de los correos electrónicos con falsas loterías del Mundial o reventa de entra-das que vimos en meses pasados, durante ju-nio observamos también nuevas estrategias utilizadas por los delincuentes.

De todos es sabido que el mayor atractivo para los aficionados del fútbol es disfrutar de las ju-gadas de su equipo con sus amigos alrededor de un televisor. No obstante, a veces es difícil ver un partido en concreto si no lo emiten en abierto y se empiezan a buscar alternativas en páginas web. Conocedores de esto, los delin-cuentes han estado preparando varias webs fraudulentas desde donde supuestamente se pueden ver todos los partidos del Mundial pero que en realidad descargan un molesto spyware.

Anonymous tampoco quiso faltar a la cita mundialista y ya desde antes de la inaugura-ción comenzó una campaña contra decenas de sitios web relacionados de alguna forma con la celebración de este evento deportivo. Esta campaña incluía tanto ataques de denegación de servicio distribuidos (DDoS), que dejó ino-perativas durante varias horas muchas de las webs atacadas, como la modificación de las webs en forma de defacements (cambios in-tencionados y realizados por terceros en webs con fallos de seguridad).

Los ataques se han trasladado incluso al Mun-dial virtual que celebran cada día en sus casas miles de jugadores en sus videoconsolas y or-denadores. El popular videojuego FIFA 14 in-cluye un modo conocido como Ultimate Team que causa furor entre los aficionados a este juego. Durante el Mundial vimos cómo los delincuentes intentan atraer a estos jugado-res a sitios webs fraudulentos para que intro-duzcan sus credenciales de acceso con la falsa promesa de proporcionarles alguno de los me-jores jugadores disponibles para su equipo de ensueño virtual.

JUN

IO: M

un

dia

l de

Fútb

ol

y ra

mso

nw

are

pa

ra A

nd

roid

Page 7: Informe cuatrimestral-eset-españa

www.eset.es

Primeros ataques de ransomware en Android

En junio también hemos visto cómo la amenaza del ransomware ha empezado a dar sus primeros pasos en el sistema operativo Android. A principios de mes analizábamos una de las primeras muestras detectadas de este tipo de malware que además cifra ficheros en el dispositivo infectado, solicitando el pago de un rescate para desbloquear el terminal y descifrar los archivos del usuario.

Sólo un par de semanas después volvíamos a analizar variantes de este tipo de amenaza con nuevas funcio-nalidades que estaban empezando a utilizar un sistema de distribución similar al utilizado durante bastante tiempo en sistemas de sobremesa. Mediante la descarga de aplicaciones maliciosas procedentes de webs con contenido para adultos o falsos juegos, los delincuentes son capaces de instalar nuevas variantes de sus crea-ciones en los terminales previamente infectados, variantes que incluyen funcionalidades como la utilización de la red Tor o diferentes pantallas de bloqueo del dispositivo.

Por su parte, Google realizó cambios importantes en el funcionamiento de los permisos que solicitan las apli-caciones al usuario en su sistema operativo Android cuando se instalan. Agrupando los 143 permisos posibles en 13 categorías, se intenta hacer más sencilla la tarea de reconocimiento y aprobación de permisos por parte del usuario. Sin embargo, el hecho de que aceptar una categoría otorgue la aprobación de todos los permisos que incluye puede hacer más difícil la identificación de aplicaciones maliciosas, ya que un atacante puede ca-muflar un permiso no deseado entre el resto de permisos contenidos en esa categoría.

En este mes también celebramos una conmemoración especial. Nada menos que el décimo aniversario del descubrimiento de la primera amenaza para teléfonos móviles, el gusano Carib/Caribe. Esta prueba de con-cepto fue obra de un investigador español perteneciente a un prestigioso grupo de creadores de virus sin fina-lidad delictiva que demostró lo que hasta ese momento habían sido solo conjeturas: la posibilidad de crear un código malicioso que afectase a teléfonos móviles.

JUN

IO: M

un

dia

l de

Fútb

ol

y ra

mso

nw

are

pa

ra A

nd

roid

Page 8: Informe cuatrimestral-eset-españa

www.eset.es

Novedades en los troyanos Zeus y Cryptolocker

La familia de malware Zeus y sus derivados tam-bién han tenido un importante protagonismo. A principios de mes conocíamos la noticia ofrecida por el Departamento de Justicia de Estados Uni-dos anunciando que, gracias a esfuerzos interna-cionales, se había conseguido desbaratar la botnet GameOver Zeus y la infraestructura detrás del ran-somware Cryptolocker.

No obstante, a pesar de este logro, Zeus y sus va-riantes o imitadores siguen dando que hablar y así se demostró con el descubrimiento a mediados de mes de Dyreza, un troyano bancario capaz de saltarse el protocolo SSL para simular conexiones seguras en webs de entidades financieras. De esta forma, este troyano consigue interceptar el tráfi-co entre la máquina infectada y la web a la que se está conectando, independientemente de si utili-zamos Internet Explorer, Google Chrome o Mozilla Firefox.

Otro claro ejemplo de que Zeus se resiste a morir es que también se han detectado en los laboratorios de ESET varias muestras de correos electrónicos con falsas facturas comprimidas con contraseña. Esta técnica sencilla busca eludir los filtros antis-pam y antivirus, y puede ocasionar que un usuario descuidado infecte su sistema. JU

NIO

: Mu

nd

ial d

e Fú

tbo

l y

ram

son

wa

re p

ara

An

dro

id

A pesar de lo simple de esta estrategia no duda-mos en afirmar que si los delincuentes la siguen utilizando es porque aún funciona.

Fallos en Tweetdeck

Con respecto a vulnerabilidades destacables du-rante el pasado mes, muy probablemente la que más repercusión obtuvo fue la aprovechada por varios usuarios en la popular aplicación de ges-tión de cuentas y listas de Twitter, Tweetdeck. Bastaron unas pocas horas para que miles de usuarios en todo el mundo empezaran a ver ven-tanas emergentes en su aplicación simplemente al visualizar tweets de otros usuarios que conte-nían código y que Tweetdeck ejecutaba cuando no debería.

Este incidente se saldó como una anécdota, pero podría haber sido mucho más grave si la respues-ta de los desarrolladores no hubiera sido rápida y si alguien hubiese decidido aprovechar esta nueva “característica” para obligar a todos los que visua-lizasen un tweet especialmente modificado a que accedieran a la descarga de un código malicioso.

Page 9: Informe cuatrimestral-eset-españa

www.eset.es

Otra herramienta muy utilizada y que vio comprometida su seguridad fue el complemento All in One SEO Pack de Wordpress. La empresa responsable de este complemento tuvo que lanzar una actualización para corregir una vulnerabilidad que permitía escalar privilegios a un usuario sin derechos de administrador, pudiendo así llegar a cambiar parámetros como el título de un post, su descripción o las etiquetas utilizadas, algo que haría descender su posicionamiento en los motores en búsqueda y, en consecuencia, la cantidad de visitas recibidas.

El Internet de las cosas y las noticias de actualidad, fuente de amenazas

El Internet de las cosas siguió dando de que hablar en cuanto a seguridad y uno de sus dispositivos más re-presentativos, las SmartTV, demuestran que aún están lejos de alcanzar una seguridad adecuada. Una de las características más interesantes de estos televisores es la posibilidad de utilizar aplicaciones interactivas. Sin embargo, una mala implantación de estas características permite que muchas de las SmartTV que hay actual-mente puedan ser susceptibles a ataques como el robo de credenciales.

Una de las noticias más destacables del mes y de lo que llevamos de año ha sido, sin duda, la abdicación del Rey Juan Carlos I en favor de su hijo Felipe VI. Sabedores de la relevancia de esta noticia, los delincuentes no han perdido el tiempo y la han aprovechado, por ejemplo, para mostrar la imagen del nuevo rey en los casos más recientes del ransomware conocido popularmente como “Virus de la Policía”.

El phishing sigue intentando engañar a los usuarios de banca online con diferentes resultados. Por un lado tenemos a delincuentes que preparan webs prácticamente idénticas a las originales y las propagan en correos electrónicos bien redactados como el caso que analizamos y que suplantaba a Bankia.

En el otro lado tenemos a aquellos delincuentes que no se esmeran y que dedican poco esfuerzo confiando en que algún incauto picará. También analizamos casos de este estilo en las últimas semanas, como el de una campaña de phishing que intentaba suplantar a la entidad Cajamar con poco éxito.

JUN

IO: M

un

dia

l de

Fútb

ol

y ra

mso

nw

are

pa

ra A

nd

roid

Page 10: Informe cuatrimestral-eset-españa

www.eset.es

Este mes también se descubrió un fallo en la biblio-teca para comunicaciones seguras GnuTLS. Esta biblioteca es utilizada en varios de los sistemas GNU/Linux más populares como Ubuntu, Red Hat o Fedora y permite que estos sistemas dispongan de una forma segura de comunicarse en un medio inseguro. El fallo descubierto y resuelto permitiría que se truncara la comunicación cliente – servidor, provocando un desbordamiento de memoria y pu-diendo llegar a ejecutar código de forma remota.

La privacidad de los usuarios volvió a estar de ac-tualidad con nuevas filtraciones de documentos de Snowden que demostraron que, para las agen-cias de espionaje gubernamentales como la NSA, nuestra imagen es igual de importante que la in-formación que compartimos en Internet. El uso de tecnologías avanzadas de reconocimiento facial permite que, a partir de fotografías como los po-pulares “selfies”, se pueda generar una base de da-tos a nivel mundial con la que contrastar informa-ción y reconocer a un individuo en segundos allá donde esté.

JUN

IO: M

un

dia

l de

Fútb

ol

y ra

mso

nw

are

pa

ra A

nd

roid

Page 11: Informe cuatrimestral-eset-españa

www.eset.es

Muchas y variadas han sido las noticias relacionadas con la seguri-dad informática durante el pasado mes de julio, lo que demuestra una vez más que los ciberdelincuentes no detienen su actividad ni en verano. Como cada mes, se han descubierto vulnerabilidades en varias aplicaciones y sistemas utilizados por una elevada can-tidad de usuarios. El conocido sistema de pago online PayPal vio cómo su sistema de autenticación de doble factor tenía un fallo que podría permitir a un atacante acceder a las 143 millones de cuentas que la compañía tiene actualmente. El agujero de segu-ridad se encontraba en la versión para móviles de PayPal, que se está utilizando cada vez más y que no siempre incorpora las me-

didas de seguridad adecuadas.

En su ciclo mensual de publicación de parches de seguridad Microsoft resolvió varias vulnerabilidades, mu-chas de ellas relacionadas con su navegador Internet Explorer. Especialmente destacable es la relacionada con una vulnerabilidad que permitía a un atacante ejecutar código remotamente cuando el usuario navega-se con Internet Explorer por una web especialmente modificada.

Adobe también aprovechó para publicar parches de seguridad en su programa Flash que solucionaba varias vulnerabilidades en las diferentes versiones disponibles para Windows, GNU/Linux y Mac OS. Siguiendo con vulnerabilidades, una de las que más llamó la atención fue la que publicó Microsoft alertando de la existen-cia de certificados falsos de Google. Este descubrimiento provocó que Microsoft publicara una actualización de emergencia que revocara estos certificados fraudulentos. De no haberlo hecho, estos certificados fraudu-lentos podrían hacer pasar una web maliciosa por otra de plena confianza para la mayoría de navegadores.

Gobiernos contra la privacidad en la red

La conocida red Tor, utilizada para mejorar la privacidad cuando navegamos por Internet también se vio afectada al descubrirse que, durante cinco meses, un numero elevado de sus nodos intermedios eran mali-ciosos y esto podría llevar a identificar a los usuarios y la información que se estaba compartiendo mediante esta red. Ransomware bancarioJU

LIO

: am

ena

zas

nig

eria

na

s

y f

allo

s en

ap

lica

cio

nes

Page 12: Informe cuatrimestral-eset-españa

www.eset.es

Respecto a los casos de malware que analizó el laboratorio de ESET durante el mes de julio destacan los rela-cionados con los troyanos bancarios. Por ejemplo, Zeus, uno de los troyanos bancarios más veteranos pero que se resiste a desaparecer y que ha evolucionado de robar información personal -como credenciales bancarias- a aliarse con otro tipo de malware bastante popular hoy en día como es el ransomware. Prueba de ello es el recien-te desmantelamiento de la botnet Gameover Zeus que tendría entre 500.000 y un millón de sistemas afectados y habría obtenido un beneficio de 27 millones de dólares.

También llamó la atención el descubrimiento por parte de investigadores de ESET de un troyano bancario orien-tado principalmente a usuarios japoneses. Esta amenaza identificada como Win32/Aibatook se aprovecha de una vulnerabilidad en Java e infectaba a usuarios de Internet Explorer cuando estos visitaban sitios web con contenido pornográfico de Japón.

Fallos resueltos en redes sociales

Facebook, la conocida red social también se anotó un tanto al colaborar en el desmantelamiento de Lecpetex, una botnet con más de 250.000 sistemas infectados dedicada al robo de bitcoines. Mediante el uso de publi-caciones en Facebook e ingeniería social, los delincuentes conseguían que los usuarios se descargasen ficheros que se hacían pasar por fotografías inofensivas. Sin embargo, estos ficheros contenían aplicaciones Java mali-ciosas que infectaban la máquina del usuario que las abriese.

Precisamente Facebook fue utilizada por criminales sin escrúpulos para propagar engaños camuflados de fal-sas webs de homenaje a las víctimas del vuelo MH17 abatido en Ucrania. En estos perfiles falsos se aseguraba disponer de vídeos inéditos de la tragedia aérea pero en realidad se perseguía redirigir a los usuarios a otro tipo de contenido que va desde farmacias online a webs con contenido pornográfico, pasando por las repetitivas e interminables encuestas online.

Instagram, red social especializada en compartir fotografías, se vio afectada por un fallo en su aplicación para dispositivos móviles que permitía interceptar en una red WiFi insegura buena parte de las comunicaciones reali-zadas por los usuarios, algo que podría llevar incluso a tomar el control de una cuenta. Para demostrar el riesgo y darle la importancia que tiene, el investigador que descubrió la vulnerabilidad ha desarrollado una herramien-ta conocida como Instasheep que permite automatizar el robo de esta información privada.JU

LIO

: am

ena

zas

nig

eria

na

s

y f

allo

s en

ap

lica

cio

nes

Page 13: Informe cuatrimestral-eset-españa

www.eset.es

Malware evolucionado desde el PC al móvil

Los dispositivos móviles, especialmente los que cuentan con Android, siguen viendo cómo las amenazas orientadas a esta plataforma aumentan cada vez. Uno de los casos más preocupantes que va apareciendo cada vez con más frecuencia es el ransomware “Virus de la Policía”, algo conocido desde hace año en ordena-dores de sobremesa pero que recientemente ha dado el salto a dispositivos móviles.

Simplocker es una de esas amenazas que ha ido evolucionando rápidamente en los últimos meses y que es capaz de bloquear nuestro dispositivo y mostrar mensajes amenazantes para conseguir que paguemos un rescate. En el análisis que realizó el laboratorio de ESET, se observó cómo había evolucionado en poco tiempo y ahora se hace pasar por una notificación del FBI para conseguir que la víctima muerda el anzuelo.

Además del malware desarrollado para Android también hay que tener en cuenta los fallos propios del siste-ma. Uno de los que más ha dado que hablar recientemente es el que anuncia a los cuatro vientos el histórico de ubicaciones donde hemos estado y las últimas 15 redes WiFi a las que nos hemos conectado, incluso aun-que tengamos el móvil en reposo, con la pantalla apagada y sin conectar a una red WiFi.

Servicio público de alquiler de bicicletas como gancho para ciberdelincuentes

A principios de mes, se ponía en funcionamiento en Madrid una iniciativa para el alquiler público de bici-cletas. Este proyecto, que ya ha resultado exitoso en otras localidades españolas, demostró tener graves problemas de seguridad a la hora de gestionar los datos de los usuarios e incluso porque permitiría a un ata-cante enviar notificaciones falsas a quien tenga la aplicación móvil instalada. Por si fuera poco, los kioskos interactivos dispuestos para darse de alta en la calle fueron fácilmente vulnerados y mostraron contenido pornográfico durante varias horas.

Otro dispositivo que vio cómo era utilizado con otro propósito distinto al original fue un cajero automático que unos hackers consiguieron modificar para poder jugar al clásico Doom. Con unos pocos ajustes, estos investigadores aprovecharon el sistema operativo que incorporan muchos de estos cajeros (un Windows XP modificado) y los rudimentarios teclados para poder jugar a un clásico de los videojuegos.

JULI

O: a

men

aza

s n

iger

ian

as

y f

allo

s en

ap

lica

cio

nes

Page 14: Informe cuatrimestral-eset-españa

www.eset.es

El spam sigue dando que hablar

El conocido spam también dio que hablar con dos ejemplos de cómo técnicas antiguas siguen siendo efectivas. En el primero de los casos que se analizó en el laboratorio de ESET, los delin-cuentes se hacían pasar por la Hacienda de El Salvador y adjuntaban un supuesto documen-to PDF con las instrucciones necesarias para evitar una sanción administrativa. En realidad, ese documento se trataba de un fichero ejecu-table pero, gracias a una propiedad de los ca-racteres Unicode, los delincuentes conseguían hacer creer que la extensión verdadera era la del popular formato de documento de Adobe.

También clásico fue el caso de spam que se analizó en el blog de ESET según el cual un ci-berdelincuente se hacía pasar por el millonario propietario de la cadena Inditex, Amancio Or-tega, y nos ofrecía una importante cantidad de dinero a cambio de proporcionar nuestros datos y ayudar a realizar una iniciativa en favor de niños desfavorecidos. Este nuevo caso de las conocidas como estafas nigerianas suplanta la identidad de un personaje reconocido para engañar a los usuarios, dando la casualidad de que en esta ocasión se tratara de un ciudadano español.El conflicto entre Israel y los palestinos de la franja de Gaza también estuvo presente cuan-do se supo que se habían filtrado documentos

confidenciales sobre el sistema de defensa anti-misiles de Israel, también conocido como “Cúpula de Hierro”. De nuevo todos los dedos apuntan a China, quien ya ha sido protagonis-ta de casos similares, como principal sospe-choso de haber accedido a las redes de tres de los contratistas militares a los que el gobierno de Israel compra material bélico.

Por último, hay que destacar la iniciativa “Pro-ject Zero” de Google para crear un grupo de expertos en seguridad informática que se en-cargarán de buscar vulnerabilidades críticas en sistemas y alertar de las mismas a los fabri-cantes antes de que puedan ser aprovechadas por los delincuentes. Entre los integrantes de este grupo de expertos en seguridad encon-tramos a rostros tan conocidos como George “GeoHot” Hotz o avis Ormandy.

JULI

O: a

men

aza

s n

iger

ian

as

y f

allo

s en

ap

lica

cio

nes

Page 15: Informe cuatrimestral-eset-españa

www.eset.es

Agosto ha sido un mes cargado de noticias relacionadas con la seguridad informática, especialmente por-que es el mes en el que se celebran las dos conferencias más importantes de la industria: BlackHat y Defcon, conferencias que reúnen durante unos días a miles de investigadores de todos los rincones del planeta para analizar las tendencias que se verán en los próximos meses o años. El tema estrella este año en las dos con-ferencias fue, sin duda, el Internet de las cosas.

El auge de todo tipo de dispositivos conectados a Internet no es ninguna novedad pero su expansión está pillando desprevenidos a la mayoría de usuarios y fabricantes. De eso se están empezando a aprovechar los delincuentes y, gracias a la labor de los investigadores, se pueden reconocer cuáles son los puntos débiles de nuestros dispositivos conectados a Internet para tratar de solucionar sus vulnerabilidades o, por lo menos, mitigarlas.

Prueba de ello fueron charlas como la del español Jesús Molina, quien, mientras estaba alojado en un lujoso hotel en China, consiguió acceder al sistema que controlaba toda la domótica de su habitación, demostran-do que podía modificar varios parámetros, como la intensidad de la luz, el control remoto de la televisión y la radio o las persianas. Otra de las charlas que más expectación generó fue la del investigador Charlie Miller que continuó su investigación del año anterior y analizó las vulnerabilidades en los coches modernos desde el punto de vista informático. Esta vez fueron varios los modelos analizados y se descubrieron nuevos vecto-res de ataque, como los navegadores integrados en el sistema de entretenimiento e incluso los puertos USB.

Por su parte, el español Rubén Santamarta, presentó su investigación sobre los fallos de seguridad en los sistemas de comunicación por satélite, especialmente en los receptores. Santamarta demostró que muchos de los sistemas de recepción no se encuentran lo suficientemente aislados y seguros, con lo que un atacante puede modificar el firmware de los dispositivos para realizar acciones maliciosas o incluso interferir en otros sistemas que estén interconectados. Como último ejemplo de que el Internet de las cosas es un campo en el que queda mucho trabajo por hacer en materia de seguridad, Gene Bransfield explicó cómo convertir a un perro y a un gato en temibles ciberarmas usando herramientas de bajo presupuesto.

AG

OST

O: e

l In

tern

et d

e la

s co

sas

y su

s fa

llos

de

segu

rid

ad

Page 16: Informe cuatrimestral-eset-españa

www.eset.es

En lo que se refiere a las amenazas relacionadas con los dispositivos móviles, también en BlackHat, un par de investigadores demostraron como aprovecharse de vulnerabilidades en el sistema OMA, que integran alre-dedor de 2.000 millones de teléfonos móviles en todo el mundo, para ejecutar comandos de forma remota y mediante los cuales un atacante podría tomar el control del dispositivo.

En ambas conferencias se habló en detalle de las vulnerabilidades en los dispositivos USB, que permitirían infectar sistemas con tan sólo conectar cualquier dispositivo USB, desde un pendrive a un teclado, y sin solu-ción disponible actualmente. No obstante, la dificultad para conseguir modificar el firmware necesario para hacer este tipo de ataques limita mucho su alcance, aunque no debemos bajar la guardia.

Robos de información confidencial

Durante el mes de agosto hemos asistido a numerosos casos de robo de información confidencial. Comen-zaba el mes con la noticia de la filtración de unas 76.000 cuentas de desarrolladores de la fundación Mozilla. Al parecer, un fallo en un proceso de desinfección de la base de datos de la web Mozilla Developer Network (MDN) terminó con la exposición accidental de las direcciones de correo de los desarrolladores y de varios miles de contraseñas cifradas.

Al poco tiempo saltó la noticia de que un misterioso grupo de delincuentes rusos había robado alrededor de 1.200 millones de usuarios y contraseñas y más de 500 millones de direcciones de correo electrónico. Entre estos datos se encontraban usuarios y empresas de todo tipo, datos obtenidos del mercado negro, redes so-ciales o incluso procedentes de vulnerabilidades en sitios web para robar los datos de sus usuarios.

Además, UPS, la mayor empresa de logística y transporte del mundo también comunicó que había sufrido un ataque debido al cual se había robado la información bancaria de sus clientes en 51 oficinas en Estados Unidos en una operación que había durado 7 meses, entre enero y agosto. Aunque la empresa afirmó no ser consciente de que se hubieran producido fraudes relacionados con este incidente, es más que probable que estos datos ya estén en el mercado negro o en manos de algún delincuente.

Sin embargo, el robo de datos más impactante del que tuvimos constancia el mes pasado fue el que se pro-dujo en los sistemas relacionados con la investigación del vuelo MH370. Según se supo, se trató de un ataque dirigido a algunos de los responsables de esta investigación realizado desde una IP en China. Aunque la so-A

GO

STO

: el I

nte

rnet

de

las

cosa

s y

sus

fallo

s d

e se

guri

da

d

Page 17: Informe cuatrimestral-eset-españa

www.eset.es

fisticación del malware tampoco era excesiva, el atacante consiguió su objetivo al propagar un mensaje con información falsa en los momentos posteriores a este accidente aéreo.

Vulnerabilidades móviles en Android y iOS

Los dispositivos móviles también han tenido una importante cuota de protagonismo. Desde el laboratorio de ESET se ha analizado todo tipo de malware, dirigido especialmente a Android, como Krysanec.

Este malware suplanta varias aplicaciones legítimas para Android en tiendas oficiales e instala una herra-mienta de control remoto que permite al atacante tener casi el control total del dispositivo.

No fue el único caso de malware para Android que se analizó en agosto, ya que el ransomware o “Virus de la Policía” volvió a hacer acto de presencia con una versión renovada y más elaborada que las anteriores. En este caso, los delincuentes muestran mensajes de alerta mientras el usuario navega a través de su móvil y le incitan a descargar aplicaciones de seguridad que son en realidad un troyano. Una vez conseguido su obje-tivo, el malware bloquea el terminal y cifra los datos almacenados, pidiendo un rescate al usuario si quiere volver a tener el control del dispositivo.

De diferente manera, pero con el mismo objetivo de ganar dinero a costa de usuarios de iOS (iPhone, iPad) con Jailbreak infectados, se analizó Adthief. Este malware suplanta la identidad del creador de una aplicación y consigue que los beneficios por publicidad de la misma vayan a parar al delincuente en lugar de al desarro-llador. Se calcula que 75.0000 dispositivos iOS con jailbreak se han visto afectados y que los delincuentes habrían obtenido el beneficio de unos 22 millones de anuncios vistos por los usuarios.

Para terminar con los temas de seguridad en dispositivos móviles, durante este mes se presentaron los re-sultados de una investigación en la que se demostraba cómo una aplicación maliciosa puede capturar datos de otra instalada en el dispositivo, a pesar de que, supuestamente, esto no estaría permitido. Las pruebas se realizaron en Android pero los investigadores creen que otros sistemas como iOS o Windows Phone también podrían verse afectados.

AG

OST

O: e

l In

tern

et d

e la

s co

sas

y su

s fa

llos

de

segu

rid

ad

Page 18: Informe cuatrimestral-eset-españa

www.eset.es

Actualizaciones de seguridad

En su ciclo de actualizaciones periódicas cada segundo martes de mes, Microsoft corrigió varias vulnerabilidades pero también provocó que algunos sistemas se colgasen y entraran en un bucle infinito de reinicios por culpa de un parche defectuoso. Tras confirmar este proble-ma, Microsoft retiró el parche temporalmente para volverlo a lanzar a finales de mes.

Por su parte, Google publicó la versión 37 de su navegador Chrome, solucionando así 50 aguje-ros de seguridad y mejorando su estabilidad y funcionalidad. También anunció un cambio de política a la hora de priorizar los resultados en su buscador, permitiendo que aquellos sitios web que utilicen el protocolo HTTPS aparezcan en los primeros puestos.

Tanto Google como Microsoft anunciaron en agosto la colaboración que habían realizado con las fuerzas de seguridad para ayudar en la detención de dos pedófilos. Al parecer, los de-tenidos habían utilizado Gmail y Onedrive para almacenar imágenes de pornografía infantil. Esta operación despertó, no obstante, los rece-los de algunos usuarios al confirmarse que las dos empresas revisan los correos de sus usua-rios.

La muerte de Robin Williams fue utilizada en redes sociales por usuarios sin escrúpulos que afirmaban poseer un vídeo con las últimas pa-labras del actor antes de morir. Aquellos usua-rios que pincharan en el falso vídeo eran re-dirigidos a todo tipo de webs sin relación con la noticia y terminaban rellenando encuestas kilométricas, viendo cómo les ofrecían medi-camentos de forma ilegal o suscribiéndose a servicios de mensajes SMS de tarificación es-pecial.

A finales de mes, tanto Sony como Microsoft (en menor medida) vieron cómo sus servicios de juego online Playstation Network y XBOX Live sufrían ataques de denegación de servi-cio. Por los comentarios lanzados por algu-nos usuarios de Twitter, los motivos fueron demostrar la pobre infraestructura con la que contaban estas plataformas en materia de se-guridad. No obstante, fuera del mundo virtual también se emitió un falso aviso de bomba que provocó que el avión en el que volaba en ese momento el presidente de Sony Online En-tertainment tuviera que aterrizar en un aero-puerto antes de llegar a su destino.A

GO

STO

: el I

nte

rnet

de

las

cosa

s y

sus

fallo

s d

e se

guri

da

d

Page 19: Informe cuatrimestral-eset-españa

www.eset.es

¡¡SÍ

GU

ENO

S EN

LA

S R

EDES

!!

SOBRE ESET

Fundada en 1992, ESET es un proveedor global de software de seguridad para empresas y consumidores.

El líder de la industria en detección proactiva de malware, ESET NOD32 Antivirus, posee el récord mundial en nú-mero de premios VB100 de Virus Bulletin, sin haber dejado de detectar nunca ni un solo gusano o virus “in the wild” (activo en el mundo real) desde la fundación de las pruebas en 1998.

ESET tiene sus oficinas centrales en Bratislava (Eslovaquia) y oficinas en San Diego (EE.UU.), Buenos Aires (Argen-tina), Praga (República Checa) y una amplia red de partners en 160 países. En 2008, ESET abrió un nuevo centro de investigación en Cracovia (Polonia).

ESET fue incluida en la lista Technology Fast 500 de Deloitte como una de las compañías tecnológicas de más rápido crecimiento en la región de Europa, Oriente Medio y África.