Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 9 horas 41 mins

Fortnite: una de cal y otra de arena para los desarrolladores del juego de moda

Lun, 08/27/2018 - 11:18

El videojuego Fortnite: Battle Royale, que tantas noticias ha generado desde hace meses, tiene todas las papeletas para seguir estando en primera plana durante las próximas semanas debido al lanzamiento de su esperada versión para Android. Tras el anuncio del lanzamiento de esta versión con unas semanas de primicia en algunos dispositivos Samsung, no son pocos los que han conseguido descargar una versión beta desde la web del desarrollador y ya se encuentran probando este juego.

El instalador de Fortnite era vulnerable a ataques MitD

A pesar de que aún son pocos los que pueden disfrutar de este juego en Android, esto no ha impedido que la descarga del instalador oficial de Fortnite haya sido el centro de todas las miradas desde hace unas semanas, y no solo por la decisión de Epic Games de ser ellos quienes distribuyan su juego directamente, sin pasar por Google Play.

Como resultado de este minucioso escrutinio, tenemos reciente la noticia de que  investigadores de Google demostraron que el instalador de la aplicación era vulnerable a ataques del tipo man-in-the-disk (MitD). Este tipo de ataques fueron descritos recientemente por investigadores de la empresa de seguridad Check Point, y permiten a aplicaciones maliciosas con pocos permisos ya instaladas en dispositivos Android secuestrar otras aplicaciones legítimas durante su proceso de instalación.

Los ataques MitD son viables cuando una aplicación de Android almacena datos en medios extraíbles como pudieran ser una tarjeta de memoria, ya que estas unidades de almacenamiento no disponen de las mismas medidas de seguridad que el almacenamiento interno del dispositivo. Debido a que la aplicación de Fornite disponible actualmente es tan solo un instalador, un atacante podría estar vigilando cuándo se hace uso del almacenamiento externo durante el proceso de instalador y modificar el contenido legítimo por otro malicioso.

Uno de los investigadores de Google publicó un vídeo donde se observa cómo el instalador de Fortnite descargado desde la tienda Galaxy Apps de Samsung es secuestrado por otra aplicación mientras está almacenando datos en un medio de almacenamiento externo.

Demostración del ataque MitD en el instalador de Fortnite – Fuente: BleepingComputer

Esta noticia no le ha hecho especialmente gracia al desarrollador del videojuego, y hasta el propio CEO de Epic Games manifestó su enfado en Twitter por no haberles dado más tiempo a que la versión del instalador (2.1.0) que solucionaba este problema estuviese más extendida antes de hacer pública la noticia. Algunos incluso apuntan a que esto podría ser una especie de venganza por parte de Google tras decidir Epic Games que su juego estrella no se distribuiría mediante Google Play.

Aun con la versión vulnerable del instalador, el número de usuarios afectado sería relativamente pequeño debido al proceso de distribución escalonado que se está realizando desde la desarrolladora. Veremos qué sucede cuando millones de usuarios en todo el mundo tengan instalada la versión definitiva de la aplicación dentro de unos meses.

Epic Games te da incentivos para que configures el 2FA

En otro orden de cosas, el pasado 23 de agosto Epic Games realizó un movimiento de lo más interesante para incentivar que los jugadores de Fortnite activasen medidas de seguridad adicionales como el doble factor de autenticación (2FA). En su web oficial publicaron la noticia de que todos aquellos que activasen esta medida de seguridad recibirían como premio un nuevo gesto que podrían usar en Fortnite: Battle Royale.

Es probable que para muchos de los jugadores fuera la primera vez que oyeran hablar del doble factor de autenticación, pero debido a la popularidad que tiene este juego, es una iniciativa muy buena que puede servir para que muchos usuarios se interesen por aplicar esta medida de seguridad adicional en otros servicios online como sus cuentas de correo o redes sociales.

Si se desea activar el 2FA, tan solo debemos ir a nuestra cuenta de Epic Games, acceder a los ajustes de la cuenta, pulsar sobre la opción “Contraseña y seguridad” y acceder a la sección “Inicio de sesión en dos pasos”. Allí veremos las opciones “Activar la aplicación de autenticación” o “Activar la autenticación por correo electrónico”, debiendo seleccionar una de las dos. Si nos decidimos por utilizar una aplicación para que genere los códigos de verificación de un solo uso, podemos elegir entre algunas de las más utilizadas, como por ejemplo:

Google Authenticator

LastPass Authenticator

Microsoft Authenticator

Authy

En cualquier caso, un movimiento así es de alabar por parte de Epic Games, ya que consigue que millones de usuarios de todo el mundo que nunca habían oído hablar del doble factor de autenticación y su importancia se interesen por él, y lo apliquen también a otros servicios online.

Conclusión

Fortnite sigue siendo uno de los juegos estrella de 2018 y todo lo que tenga relación con él despierta interés, ya sea la solución de un fallo de seguridad en el instalador que podría haber causado serios problemas de haberse descubierto unas semanas más tarde, o una iniciativa muy loable para aumentar el conocimiento y la aplicación de medidas adicionales de seguridad.

Josep Albors

¿Usas redes sociales? Esto te interesa …

Vie, 08/24/2018 - 14:35
© cirodelia

Podríamos afirmar que Internet es una herramienta muy valiosa si le damos un buen uso, ya que podemos compartir intereses e inquietudes con otras personas. Nos permite:

 

  • intercambiar ideas
  • reencontrarnos con otras personas
  • ofertar productos, servicios y realizar negocios
  • compartir e intercambiar información en diferentes medios
  • espacios para servicios sociales como la búsqueda de personas desaparecidas o intereses particulares
  • espacios educativos para compartir conocimiento
  • poder trabajar a distancia

 

Pero es importante recordar a todos los padres o responsables de menores que Internet no es un juguete porque hemos hablado de algunas cosas positivas, pero internet y las redes sociales tienen muchos peligros potenciales y por eso debemos educar y cuidar a los menores para que puedan tener una navegación segura.

© antic

Voy a hablar de algunos riesgos se pueden encontrar en Internet y las RRSS:

  • SEXTING. – Básicamente, hacerse fotos eróticas y colgarlas en las redes sociales o enviarlas a través del móvil. Esta travesura o atrevimiento puede tener un efecto devastador, puede caer en manos equivocadas.
  • CYBERBULLING. – Es el acoso a través Internet, pero sin fines sexuales. Es decir, el uso de medios telemáticos (Internet, telefonía móvil, videojuegos on-line, etc.) para ejercer el acoso psicológico entre iguales. Se excluye el acoso o abuso de índole estrictamente sexual y los casos en los que intervienen personas adultas.
  • GROOMING- Es el acoso sexual de adultos a menores, utilizando las redes sociales. El primer paso lo dan utilizando esa imagen o vídeo erótico del menor que han conseguido previamente, a veces mediante perfiles falsos.
  • CONTENIDO INAPROPIADO. – Pueden ser de diverso tipo: violentos, relacionados con el consumo de sustancias estupefacientes, lenguaje soez, pornografía, pornografía con menores y contenidos pedófilos, racistas o xenófobos, la apología de terrorismo, fabricación de artefactos explosivos, armas, juegos online de adultos, juegos de azar, apuestas o, sencillamente, páginas de hábitos poco saludables.
  • COMUNIDADES PELIGROSAS. – En internet es fácil encontrar grupos con un trasfondo perjudicial e inapropiado para los menores por su extremismo, odio y violencia por motivos étnicos, políticos, religiosos, de género, de identidad sexual, de clase social, etc.
  • BULOS, MITOS Y FRAUDES. – Es frecuente que se puedan encontrar con noticias falsas e incluso fraudes, que son difundidos con gran rapidez a través internet. Los menores son muy vulnerables a este tipo de noticias ya que no tienen la madurez suficiente para identificar la falsedad de la información.
  • RETOS VIRALES. – Se han convertido en uno de los mayores peligros en Internet. Bajo la apariencia de simples juegos entre amigos, se convierten en ocasiones en situaciones de riesgo que producen lesiones graves o incluso la muerte. Algunos ejemplos: Ballena azul, Momo, Balconing, Juego de asfixia, Reto de la canela, etc.

La prevención es fundamental para que el menor pueda enfrentarse a los distintos riesgos que se puede encontrar y pueda controlar la situación.

Os dejo algunas recomendaciones, debemos:

  • enseñar a nuestros hijos a contrastar la información e identificar fuentes de confianza.
  • fomentar aspectos como la empatía, valores de convivencia.
  • escuchar y entender las inquietudes de los menores para que se sientan seguros y puedan compartir sus experiencias sin temor a la reacción de los adultos.
  • concienciar y promover el cuidado de la privacidad. Es necesario hacerles partícipes de las implicaciones y riesgos que supone no proteger la privacidad, tanto en la actualidad como de cara al futuro, mostrando las consecuencias de forma que comprendan lo que está en juego.
  • concienciar de lo peligroso que puede ser compartir información sensible (imágenes íntimas, contraseñas, geolocalización, mensajes que pudieran perjudicarles), aceptar como amigos a quienes no conocen en persona y  quedar con desconocidos, etc.
  • tutelar a los hijos en la navegación por Internet, al igual que se hace en el resto de las actividades cotidianas.
  • hablar de los peligros que se pueden encontrar.

Por último, debemos recordar que la ley española no permite que por debajo de los 14 años los niños y adolescentes se abran cuentas en las redes sociales.

“El Reglamento de protección de datos de la Unión Europea, que entró en vigor el 25 de mayo de 2018, establece que la edad a la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de datos personales en el ámbito de los servicios de la sociedad de la información (en el que se incluyen las redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia. El límite inferior es de 13 años. “

A partir de 14 años: Facebook, Snapchat, Youtube, Twitter, Instagram, Google.

A partir de 16 años Whatsapp, Telegram                

Podéis encontrar en los siguientes enlaces más información de cómo proteger y educar sobre el uso correcto de Internet.

¡No lo dudéis!

Si necesitas ayuda o asesoramiento profesional y especializado puedes llamar a la siguiente linea gratuita y confidencial de IS4K, 900116117, donde recibirás atención psicosocial.

Llegado el momento de denunciar puedes ponerte en contacto con la Brigada de Investigación tecnológica de la Policía Nacional y con el Grupo de Delitos Informáticos de la Guardia Civil.

Turla: un vistazo a su funcionalidad única de backdoor a través de Outlook

Mié, 08/22/2018 - 15:01

Investigadores de ESET han descubierto un interesante backdoor utilizado por el grupo APT Turla (también conocido como Snake o Uroboros) usado para obtener información confidencial perteneciente a gobiernos de, al menos, tres naciones europeas. Este grupo ha estado utilizando esta herramienta durante años y ahora sabemos que la lista de víctimas de alto perfil que se han visto afectadas es más elevada de lo que se pensaba.

Entre las víctimas se encuentra el Ministerio de Asuntos Exteriores de Alemania, donde Turla introdujo su backdoor en varios sistemas y los utilizó para el robo de datos durante la práctica totalidad de 2017. De hecho, los operadores de Turla comprometieron primero la red del Instituto Federal de Administraciones Públicas alemán, utilizándola como punta de lanza para acceder a la red del ministerio en marzo de 2017. No fue hasta finales de año que el servicio de seguridad alemán detectó la intrusión, la cual no se hizo pública hasta marzo de 2018.

Es importante destacar que la investigación realizada por ESET ha determinado que, además del incidente de seguridad hecho público, el grupo criminal ha utilizado la misma táctica para acceder a las oficinas de asuntos exteriores de otros dos países europeos, así como también a la red de un fabricante de la industria de la defensa. Estas organizaciones son las últimas que se incorporan al listado de víctimas de este grupo APT que ha tenido como objetivos a gobiernos, personal gubernamental, diplomáticos y autoridades militares desde, al menos, 2008.

Diseccionando el backdoor

La puerta trasera objetivo del análisis de los investigadores ha sufrido numerosas modificaciones desde que fue creada, muy probablemente en el lejano 2009. Durante estos años, sus autores han ido añadiendo numerosas funcionalidades a esta herramienta y otorgándole capacidades de camuflaje y supervivencia frente a los intentos de eliminarla. La versión descubierta más recientemente y que data de abril de 2018 incorpora la habilidad para ejecutar scripts maliciosos de PowerShell directamente en la memoria del ordenador, una táctica que los ciberdelincuentes vienen empleando en los últimos años.

Imagen 1 – Línea temporal del backdoor de Turla para Outlook

Las versiones más recientes del backdoor tienen como objetivo a Microsoft Outlook, aunque sus versiones anteriores también se dirigían a The Bat! (usado principalmente en Europa del Este). Es destacable el hecho de que los operadores de Turla no aprovecharan ninguna de las vulnerabilidades existentes tanto en lectores de PDF como en Microsoft Outlook como vectores de ataque. De forma inusual, este backdoor utiliza la interfaz MAPI legítima de Microsoft Outlook para acceder a los buzones de correo de sus objetivos.

En lugar de utilizar una infraestructura convencional de centro de mando y control (C&C), como una basada en HTTP(S), este backdoor es controlado mediante mensajes de correo y, más específicamente, mediante archivos PDF especialmente modificados adjuntos a emails. La máquina infectada puede ser instruida para llevar a cabo toda una serie de comandos, incluyendo aquellos con la capacidad de robar información, así como los que permiten descargar ficheros adicionales y la ejecución de nuevos programas y comandos. El robo de información también se produce mediante los archivos PDF.

El backdoor (que se presenta en la forma de un módulo de DLL y puede ser colocado en cualquier parte del disco duro) se instala utilizando una utilidad legítima de Windows (RegSvr32.exe). Mientras tanto, este malware consigue la persistencia en el sistema mediante la modificación del registro, algo bastante frecuente cuando un sistema Windows resulta infectado. En este caso, Turla utiliza una técnica de eficacia sobradamente demostrada conocida como “Secuestro de objeto COM” para asegurarse de que cada vez que se ejecuta Microsoft Outlook, se activa el backdoor.

Robo de información confidencial

Cada vez que la víctima recibe o envía un correo electrónico, el malware genera un registro que contiene metadatos sobre ese mensaje, incluyendo información acerca de su remitente, destinatario, asunto y el nombre de los ficheros adjuntos. De forma periódica, estos registros se unen con otro tipo de datos y son enviados a los operadores de Turla usando un  archivo PDF especialmente modificado que se adjunta a un mensaje de correo.

Adicionalmente, en cada correo entrante el backdoor revisa si hay algún fichero adjunto en formato PDF que pueda contener comandos de los atacantes. De hecho, es capaz de aceptar comandos de cualquiera que pueda codificarlos en un fichero PDF. Para terminar, los operadores de Turla son capaces de retomar el control del backdoor tan solo enviando un comando desde cualquier dirección de correo, en el caso de que las que están establecidas por defecto (que también son actualizables) sean bloqueadas. La capacidad de supervivencia de este backdoor a los intentos de deshacerse de él es comparable a la de los rootkits que, revisando las comunicaciones entrantes, están a la espera de recibir comandos de sus operadores.

A pesar de que los investigadores de ESET no han obtenido una muestra de uno de estos PDF que contenga los comandos para el backdoor, el conocimiento de su funcionamiento les ha permitido generar un documento (ver imagen 2) con órdenes que el backdoor puede interpretar y ejecutar.

Imagen 2 – Ejecución de los comandos especificados en el documento PDF

Mientras tanto, todos los emails enviados por la víctima son redirigidos a los operadores del backdoor al mismo tiempo que son enviados a sus destinatarios legítimos. Así se asegura que no existe tráfico fuera del horario habitual de trabajo de la víctima, reduciendo así el riesgo de levantar sospechas.

Este malware se preocupa bastante de permanecer fuera de la vista en las máquinas que infecta. Por ejemplo, siempre que es posible se evita mostrar los correos recibidos por los atacantes, tanto en la bandeja de entrada de la víctima como en el contador de mensajes no leídos. Además, el malware bloquea cualquier notificación de recepción de mensajes enviados por los atacantes.

Conclusión

Esta no es, ni de lejos, la primera vez que los investigadores de ESET han documentado la tenacidad de los operadores de Turla para conseguir sus objetivos mientras permanecen sin ser detectados el mayor tiempo posible. Tal y como recientes análisis de otras amenazas del mismo grupo han mostrado, como las del backdoor Gazer y su campaña con diplomáticos de Europa del Este entre sus objetivos, se continúan empleando técnicas avanzadas en un intento de espiar a sus objetivos y conseguir que el malware permanezca el mayor tiempo posible en los equipos infectados.

Este backdoor del grupo Turla es una amenaza muy completa que utiliza técnicas propietarias y personalizadas, que puede trabajar independientemente o con otros componentes de Turla y se controla completamente usando el email. De hecho, los investigadores de ESET no conocen otro grupo de espionaje que esté utilizando actualmente un backdoor controlado completamente por correo electrónico y, específicamente, mediante adjuntos en formato PDF.

Para obtener un detallado análisis del backdoor se puede consultar el white paper preparado para la ocasión.

Traducido y adaptado por Josep Albors

Nuevo juego viral “Momo”

Vie, 08/17/2018 - 14:04
Image Source-India TV

Un nuevo juego viral “Momo” ha conseguido recorrer el mundo y sembrar el miedo tal y como ocurrió con el peligroso reto de la ballena azul.

El juego comenzó a través de Facebook, ahora también está circulado por WhatsApp. La cuenta usa una imagen con características monstruosas, se trata de una escultura llamada “Mother Bird” de Linked Factory se inspiró en las obras de Midori Hayashi, es importante indicar que el artista no está asociado con este juego.

¿En qué consiste “Momo”?

Comienza cuando el participante recibe un mensaje de “Momo” para comunicarse con un número desconocido. Al igual que la ballena azul, el juego incluye una serie de tareas seguidas por la última tarea, el suicidio. Momo envía imágenes perturbadoras y amenazas a los usuarios si se niegan a participar con revelar información personal.

Este juego es un engaño destinado a robar información personal. Se han informado de algunos incidentes en Alemania, Argentina, Francia y Estados Unidos.

Uno de los incidentes más graves se ha registrado en Argentina con la muerte de una niña de 12 años http://dbpost.com/after-blue-whale-momo-challenge-triggers-suicide-among-teens/

¿Cómo podemos evitar que nuestros hijos participen en este tipo de juegos y desafíos tan peligrosos?

Lo primero de todo tenemos que dar importancia que los niños y adolescentes son vulnerables ya que no tiene la madurez emocional para enfrentarse a este tipo de juegos y a los diferentes riesgos que se pueden encontrar en Internet (acoso, grooming, extorsión, manipulación, etc …)

Como padres, es muy importante que eduquemos a nuestros hijos sobre el uso adecuado de la tecnología y de los peligros que se pueden encontrar. Los consejos que le podemos dar a nuestros hijos son principalmente:

  • Precaución con las personas nuevas que contactas en la Red.
  • Pedir siempre ayuda a una persona adulta ante cualquier problema.
  • No compartir el teléfono en Internet, así como cualquier dato personal.
  • Informarles de los distintos bulos, juegos o desafíos que se pueden encontrar en Internet e insistir en la importancia de no compartir y no participar en ellos.

Podéis encontrar en los siguientes enlaces más información de como proteger y educar sobre el uso correcto de Internet.

¡No lo dudéis!

Si necesitas ayuda o asesoramiento profesional y especializado puedes llamar a la siguiente linea gratuita y confidencial de IS4K, 900116117, donde recibirás atención psicosocial.

Llegado el momento de denunciar puedes ponerte en contacto con la Brigada de Investigación tecnológica de la Policía Nacional y con el Grupo de Delitos Informáticos de la Guardia Civil.

“Debemos de concienciar de los peligros que existen en Internet”, asegura el Fundador y Organizador de TomatinaCon, Raúl Fuentes

Jue, 08/16/2018 - 08:40

Hoy tengo el placer de entrevistar a un gran profesional Raúl Fuentes (@raulfuentes77 ) fundador y organizador de TomatinaCon (@tomatinacon).

1.- ¿Qué es lo más complicado para destacar en tu profesión? ¿Qué tres consejos les darías a los que quieran seguir tus pasos?

En mi profesión como docente lo más complicado es poder hacer que a l@s alumn@s les entre el gusanillo de la seguridad, pero una vez les entra, es muy rápida la adquisición de los conocimientos necesarios. Esto les ayuda a comprender como funciona el mundo real.

Siempre les digo a mis alumn@s que hagan y estudien lo que les guste, pero una vez empiecen que lo acaben, porque hasta que no acabas una cosa no sabes si realmente es lo que te interesa o no.

Además, en nuestro campo tienes que estar actualizado permanentemente, así que lo que tienen que hacer es consultar, investigar y probar constantemente.

 2.-Cuál ha sido tu mejor día profesional…

Ha habido muchos, pero quizá uno de los más felices fue cuando con un conjunto de chavales, alumn@s de formación profesional básica, se clasificaron para la final de Cyberolimpics, y en la final de León, quedaron séptimos de toda España, compitiendo contra otros compañeros de niveles superiores, pero, ver la cara de ilusión, concentración y satisfacción por el trabajo bien hecho no tiene recompensa.

 

3.-Y el más duro…

Mmmmm se me olvida pronto lo malo….jeje

 

 4.-De qué te sientes orgulloso actualmente…

De poder hacer lo que más me gusta: enseñar y aprender junto a l@s alumn@s.

 

 5.-Un error que cometiste y del que has aprendido

Quizá no haberme metido en esto antes jeje pero nunca es tarde, por eso estamos aquí!!

 

 6.-Lo que más respeto te da del mundo digital en el que vivimos

La facilidad con que compartimos nuestros datos y toda la información que exponemos sin darnos cuenta: lo que hacemos, donde estamos, etc…  debemos de concienciar de los peligros que existen en Internet y que cada uno decida cómo y cuándo compartir esos datos.

 

 7.-Sobre los menores: ¿Están perdiendo los niños capacidades de socialización?,¿Son capaces los niños de divertirse sin recurrir a la tecnología? Algún consejo para los padres

Cada vez hay más dispositivos conectados a Internet, y cada vez l@s niñ@s hacen uso de esa tecnología. Como padres hemos de enseñar a nuestros hijos como deben utilizarla.

Como siempre digo hay tiempo para todo….para jugar ‘online’, jugar ‘físicamente’,… y divertirse de cualquier forma, por lo que hemos de saber racionalizar el uso de la tecnología.

 

 8.-A dónde te gustaría llegar

Me gustaría llegar  a…  donde me lleve la vida… no me puedo quejar…. Tengo una familia espectacular, amig@s por todos los lados…. Hago lo que me gusta en mi trabajo…. Eso sí… en este mundo hay que estar al día por lo que siempre hay que tener un hueco para todo…

 

9.-Tu próximo reto

Mi próximo reto… seguir aprendiendo y participando de la mejor manera: enseñando y compartiendo conocimiento.

 

10.- ¿Qué se debería cambiar para que más mujeres se animen a entrar en el mundo de la ciberseguridad?

Yo creo que cada vez hay más mujeres en el mundo de la ciberseguridad… de hecho sólo hay que ver las mujeres que hay en diversas empresas de ciberseguridad, mujeres que dan talleres/ponencias en los distintos masters/postgrados, así como en los diversos cursos y cons…. Hay que romper la barrera de que este mundo sólo es de hombres, eso no es así, de hecho, el último equipo en ganar los iCTFs de la DefCON ha sigo un grupo español, y con una chica a la cabeza!!

 

  1. ¿Qué nos podemos encontrar en TomatinaCon?

En TomtinaCON nos podemos encontrar un grupo humano y profesional muy bueno con ponencias, charlas, talleres, hack&beers…de todo un poco…en un ambiente familiar… sabemos que son fechas malas porque es la última semana de agosto y mucha gente está de vacaciones…además es lunes y martes…. Pero lo bueno que tiene es que finalizamos con la batalla de “La Tomatina”… donde en una hora nos quitamos el estrés acumulado de todo el año… jeje

 

12.- De qué te sientes orgulloso como fundador y organizador…

De juntar en un pueblo como Buñol, de poco más de 9.000 habitantes,  a un gran número de profesionales y amigos del mundo de la ciberseguridad que crece cada año.  Y así, poner mi granito de arena.

 

13.- ¿En qué ha cambiado TomatinaCon desde que comenzó?

Principalmente el número de asistentes, que cada año va a más, ya que la esencia del evento es la misma…. Un primer día donde hablar de la seguridad de internet para los jóvenes y no tan jóvenes, así como talleres con especialistas, y un segundo día con charlas de grandes profesionales finalizando con un Hack&Beers, preparando La Tomatina del día siguiente.

 

14.- Novedades de esta edición

Para esta edición contamos con un CTF online, que permitirá al ganador (que esté presente) representar a TomatinaCON en la final individual de CyberCamp 2018 que se celebrará del 29 de Noviembre al 2 de Diciembre en Málaga (España).

Además cada año, hacemos algún evento ‘extra’ aprovechando las fiestas de Buñol…como participación en el concurso de Paellas, “torrá”,…

¡¡Estáis tod@s invitad@s a participar en TomatinaCON, y si además os quedáis para La Tomatina, ya será ponerle el broche a unas jornadas un poco distintas!!

¡Muchas gracias Raúl por dejarte robar unos minutos!

“Hoy en día la gente no está concienciada de los peligros que existen en Internet”, Tamara Hueso

Mié, 08/08/2018 - 13:31

Hoy tengo el placer de entrevistar a una gran profesional del sector de la ciberseguridad: Tamara Hueso (@tamarahueso).Es Analista Senior de Ciberseguridad en Deloitte, miembro del blog especializado en seguridad informática Follow The White Rabbit, y la primera mujer finalista de la competición anual de ‘Atrapa la bandera’, organizada por CyberCamp.

  1. ¿Qué es lo más complicado para destacar en tu profesión?

Considero que, como en cualquier profesión, para destacar es necesario tener un amplio conocimiento de la materia, pero sin duda, también es muy importante el esfuerzo y la dedicación en tu trabajo.

En esto de la ciberseguridad es muy importante tener un conocimiento básico de todos los ámbitos que lo componen, sin embargo, creo que es necesario centrarse en alguna de estas ramas y especializarse en ella. La ciberseguridad es un sector muy extenso, por lo que considero inviable ser muy bueno en todas las ramas de este sector y es preferible ser experto en algo.

  1. ¿Qué tres consejos les darías a los que quieran seguir tus pasos?

Tres consejos que daría a los que sigan mis pasos serían:

– Constancia en tu trabajo.

– Disfrutar al máximo de lo que haces.

– Exigirte al máximo cada día, autoformándote y siendo curioso.

  1. ¿Cuál ha sido tu mejor día profesional?

Podría decir que hay dos momentos en mi carrera profesional que han sido muy buenos.

Uno fue cuando terminó el evento summerXperience que organiza Deloitte el verano pasado. En el evento montamos un minirreto en el cual los chic@s tenían que realizar varias pruebas del tipo a un CTF para ayudar a una empresa que había sufrido un ataque ransomware.

Al finalizar el evento los alumnos nos felicitaron y quedaron muy contentos, no se hacían a la idea de la ilusión que a mí me hacía. Ver tu trabajo recompensado en sus caras de ilusión y todo lo que aprendieron no tiene precio.

El segundo diría que es cuando me dieron mi primer feedback en mi trabajo actual, venía de una empresa en la cual no se reconocía el trabajo del empleado y me sentí muy realizada cuando me dijeron que estaban muy contentos conmigo. Es una motivación que te digan que lo estás haciendo bien, no en todas las empresas se hace.

  1. ¿Y el más duro…?

Creo que no podría decir uno en concreto, pero sí una etapa, la de mi trabajo anterior. Fue una muy mala experiencia en todos los sentidos. El trabajo no me gustaba, no me sentía útil. La relación, salvo excepciones, fue bastante mala. No se reconocía el trabajo de los que realmente lo realizaban y los que no hacían nada se llevaban los méritos. En resumen, muy mal.

Es complicado dar con la empresa en la que te sientes a gusto, puesto que hay muchos aspectos que valorar, pero yo creo que la he encontrado.

  1. ¿De qué te sientes orgullosa actualmente?

Actualmente (y siempre) me voy a sentir orgullosa de donde he llegado, empecé siendo una chica que no sabía qué estudiar, no tenía claro hacia dónde dirigir mi carrera profesional. Y creo que tuve la mejor decisión de mi vida.

He tenido el gran ejemplo de tener unos padres luchadores y por lo tanto me esfuerzo al máximo en cada cosa que hago, y eso me ha llevado a estar donde estoy.

  1. ¿Tu próximo reto?

Considero que, para conseguir cumplir nuestros retos, estos tienen que ser alcanzables y no muy idílicos. Como reto profesional, me gustaría seguir formándome y creciendo en mi trabajo, adquiriendo mayor valor como profesional y conseguir ser un gran apoyo para mis compañeros de trabajo. Ser una referencia en la que fijarse.

  1. ¿Cuáles son las lagunas más importantes que tiene la gente de la calle en relación a seguridad en la red?

Hoy en día la gente no está concienciada de los peligros que existen en Internet. Creo que como las consecuencias muchas veces no son físicas, la gente no lo ve como algo real.

No se dan cuenta de que mediante un ciberataque se pueden causar desastres catastróficos como pueden ser el hackeo de un avión, de una central eléctrica, centrales nucleares o simplemente abrir una presa que inunde pueblos enteros.

Se piensan que, por no ser famosos, los “malos” no van a querer atacarlos. Y ese es el gran problema: que no son conscientes en ningún sentido de los riesgos en la red.

¡Muchas gracias Tamara por dejarte robar unos minutos!

ZombieBoy: malware con funcionalidad de gusano centrado en la minería de criptomonedas

Lun, 08/06/2018 - 13:19

El mundo de las criptomonedas está en constante evolución, y de la misma forma que los usuarios buscan la forma de obtener las máximas ganancias minando o negociando con estas divisas, los delincuentes siguen desarrollando amenazas cada vez más sofisticadas para conseguir infectar más dispositivos que poner al servicio de sus redes de minado.

Criptominero con funcionalidades de gusano

Durante los últimos meses hemos visto como los delincuentes han ido adaptando sus técnicas para conseguir infectar cada vez más dispositivos para tenerlos a su disposición. Si al principio veíamos como se confiaba en que las víctimas instalasen el software de minado (engañándolas mediante la descarga de ficheros maliciosos camuflados como aplicaciones legítimas para luego pasar al minado a través de código JavaScript en todo tipo de webs), desde hace un tiempo se han observado campañas que combinan el criptominado con la capacidad de propagación de un gusano informático.

Esquema de funcionamiento de ZombieBoy – Fuente: AlienVault

Precisamente un malware con funciones de minado, y que incluye esta característica de gusano que le proporciona rapidez de propagación, ha sido detectado recientemente por el investigador James Quinn, quien publicó un completo análisis. Este investigador ha descubierto que, además de utilizar varios exploits para propagarse rápidamente, este malware también los utiliza para intentar evitar ser detectado.

Este malware ha sido bautizado como ZombieBoy por el uso que hace de una herramienta llamada ZombieBoyTools y que es utilizada para descargar la primera librería maliciosa en el sistema y luego utiliza varios exploits para propagarse, de formaparecida a como lo hacía otra amenaza similar como MassMiner, aunque utilizando sus propias herramientas para encontrar sistemas que infectar.

Uso de exploits conocidos

En el análisis de esta amenaza se han observado varios puntos interesantes, como por ejemplo un posible origen localizado en China, ya que lenguaje utilizado en su desarrollo es el chino simplificado. Si bien esta pista puede parecer definitiva a la hora de realizar atribuciones, nunca debemos de fiarnos al 100% de este tipo de detalles, puesto que esas evidencias podrían haber sido incluidas para despistar a los investigadores.

En cuanto al uso de exploits conocidos, ZombieBoy utiliza nada menos que 3 de ellos para propagarse y que aprovechan sendas vulnerabilidades, además de los sobradamente conocidos DoublePulsar y EternalBlue, para conseguir instalar remotamente la librería principal del malware, todo esto gracias a las herramientas ZombieBoyTools.

  • CVE-2017-0176: vulnerabilidad en escritorio remoto que permite la ejecución de código arbitrario en Windows XP y Windows Server 2003.
  • CVE-2017-0143: vulnerabilidad que permite la ejecución de código remotamente mediante protocolo SMB.
  • CVE-2017-0146: vulnerabilidad que permite la ejecución de código remotamente mediante protocolo SMB.

Captura de pantalla de la herramienta ZombieBoyTools – Fuente: AlienVault

A pesar de que esta amenaza está centrada en el minado de criptomonedas, la instalación de una funcionalidad backdoor por RDP permitiría al atacante infectar el sistema con otras amenazas tales como el ransomware. Una vez infectado el sistema, este empezará a minar la criptomoneda Monero, reportándole un beneficio directo a los delincuentes e incrementando este beneficio conforme más sistemas logren infectar.

Según el investigador, esta amenaza está actualizándose constantemente, seguramente para intentar evadir la detección por parte de los motores antivirus. Además, utiliza técnicas de detección de entornos virtualizados para dificultar su análisis, ya que no se ejecuta normalmente si detecta que se intenta ejecutar en una máquina virtual.

Conclusión

El uso de exploits que permiten a una amenaza como esta propagarse rápidamente en una red corporativa permite a un atacante tener a su merced a una importante cantidad de equipos en poco tiempo, ya sea para realizar funciones de minado u otras acciones maliciosas como las que vimos el año pasado con casos como WannaCry o Petya.

Por amenazas como ZombieBoy y muchas otras, es importante mantener nuestros dispositivos actualizados con los parches de seguridad que se vayan publicado. La minería de criptomonedas sigue proporcionando importantes beneficios a los delincuentes y por eso no sería raro ver más amenazas similares en las próximas semanas o meses.

Josep Albors

 

SMS como doble factor de autenticación, ¿sigue siendo seguro?

Vie, 08/03/2018 - 11:53

Desde hace años venimos recomendando la utilización de un doble factor de autenticación (2FA) para mejorar la seguridad de aquellos servicios o aplicaciones que, inicialmente, dependen de un nombre de usuario y contraseña. La aplicación de una medida de seguridad adicional como esta normalmente supone una mejora a la hora de acceder a datos confidenciales o privados, pero, como vamos a ver hoy, no todas las soluciones 2FA ofrecen las mismas garantías.

El incidente sufrido por Reddit

Como posiblemente muchos de nuestros lectores ya sabrán, Reddit anunció recientemente que durante el pasado mes de junio un atacante consiguió acceder a las cuentas de empleados de la empresa, aun a pesar de que tenían activado el doble factor de autenticación por SMS. Este ataque permitió a los atacantes obtener acceso de solo lectura a algunos sistemas con copias de seguridad, código fuente y otros registros.

Sin embargo, la mayoría de los datos que fueron accedidos de forma ilícita, incluyendo credenciales (no en texto plano, sino con hash+salt) y direcciones de correo; pertenecían a una copia de seguridad del año 2007, por lo que lo lógico sería pensar que esas contraseñas fueron cambiadas ya hace tiempo por los propietarios de las cuentas.

Reddit ya ha tomado cartas en el asunto avisando a aquellos usuarios que se registraron en su plataforma hasta 2007, mediante mensajes en los que se les invita a cambiar sus credenciales de acceso si no lo han hecho desde entonces.

Lo realmente importante de este incidente fue que el ataque se produjo directamente contra cuentas de empleados de Reddit y consiguieron vulnerarlas, a pesar de contar con un doble factor de autenticación mediante el envío de mensajes SMS. Lo más probable es que los atacantes se valieran de la ingeniería social para obtener estos códigos pero tampoco se descartan métodos más sofisticados, algo que venimos observando desde hace años en varios casos de troyanos bancarios, por ejemplo.

¿Es el 2FA realmente seguro?

La utilización de sistemas de doble factor de autenticación es algo que venimos recomendando encarecidamente desde hace tiempo, ya que la capa de seguridad adicional que proporcionan evita que usuarios no autorizados accedan a nuestros servicios online o aplicaciones aun cuando nos han robado nuestras credenciales de acceso.

Sin embargo, no todos los 2FA son iguales, y actualmente disponemos de numerosas posibilidades como el ya citado SMS, el email, la llamada de teléfono, los códigos de un solo uso generados por aplicaciones o hardware e incluso medidas de autenticación biométrica como la huella dactilar o el reconocimiento facial.

Precisamente fue el SMS una de las primeras medidas en implementarse y, como en otras medidas de seguridad, los bancos fueron de los primeros en incluir este tipo de mensajes como doble factor de autenticación a la hora de realizar operaciones de banca online. No obstante, con las alternativas existentes en la actualidad, es un método que se ha quedado rezagado con respecto al resto.

Si realizamos una consulta sobre la posibilidad de añadir un 2FA en aquellos servicios online o aplicaciones más utilizadas, vemos que muchas de ellas ya permiten configurar esta capa adicional de seguridad. Pero cuando revisamos si se ofrecen posibilidades más allá del SMS, vemos que la oferta aún no es tan amplia como nos gustaría, a pesar de ir creciendo de forma constante durante los últimos años.

Opciones de 2FA implementadas en algunas redes sociales – Fuente: Twofactorauth

Así las cosas, podemos concluir que la incorporación de un 2FA va resultar muy positiva a la hora de reforzar la seguridad, pero debemos tener en cuenta que hay varias opciones e intentar elegir aquella que más nos compense, tanto por nivel de seguridad como por facilidad de uso.

Conclusión

El incidente de seguridad sufrido por Reddit nos sirve como ejemplo perfecto para recordar que no solo se deben implementar soluciones de seguridad, sino también evaluar su eficacia y resistencia ante posibles ataques. El uso de 2FA se está extendiendo, incorporando nuevos mecanismos de autenticación más efectivos, pero todavía falta para que se convierta en algo utilizado de forma masiva por los usuarios, al menos hasta que exista una alternativa real a la dupla usuario más contraseña.

Josep Albors

Las campañas masivas de adware resurgen en las últimas semanas

Mié, 08/01/2018 - 14:04

A pesar de no haber sido tan mencionado como otras amenazas en los últimos meses, el peligro de la utilización maliciosa de las redes de anuncios (amenaza también conocida como malvertising) sigue siendo una importante fuente de ingresos para los delincuentes y un verdadero quebradero de cabeza para los usuarios.

Campaña Master 134

Un ejemplo de que los ciberdelincuentes consideran estas campañas de anuncios maliciosos una parte muy importante de su negocio lo tenemos en la investigación reciente de Check Point, donde se ha descubierto una campaña de malvertising que implica a miles de sitios WordPress comprometidos, así como a varias empresas dentro de la cadena de negocio de la publicidad online, y que termina distribuyendo contenido malicioso a usuarios de todo el mundo a través de varios Kits de exploit.

Para entender cómo funciona todo este entramado primero debemos saber quién lo conforma, empezando por los anunciantes que quieren promocionar sus productos o servicios. Estos anunciantes contactan con los publishers, que son los encargados de vender el espacio publicitario en sus webs, y luego tenemos a las redes de anuncios que se encargan de pujar por el espacio de anuncios y conectar a los anunciantes con los publishers. Junto a todos estos actores se encuentran los revendedores, que trabajan junto con las redes de anuncios para vender el tráfico que las redes de anuncios recopilan de los publishers a otros anunciantes.

Esquema de la campaña de propagación de Adware Master134 – Fuente: Check Point

Esta investigación ha mostrado una preocupante relación entre un grupo de cibercriminales camuflado como publisher y varios revendedores legítimos. Los delincuentes están utilizando esta estructura para propagar malware como ransomware, troyanos bancarios y bots. Todo ello alimentado por una red de anuncios de dudosa moral conocida como Ad-Terra.

El problema de este esquema de distribución de malware que aprovecha todo el mecanismo de distribución de anuncios online es la gran cantidad de usuarios a la que pueden llegar los delincuentes, y que, prácticamente, pueden propagar cualquier amenaza que se les ocurra.

Extensiones maliciosas en webs para ver películas online

El caso anterior no es el único que se ha estado produciendo en los últimos días, ya que desde finales de julio, los sistemas de telemetría de ESET vienen detectando un incremento considerable a nivel global de la amenaza JS/Adware.Agent.AA. España no es una excepción, puesto que esta amenaza se ha colocado en el primer puesto de las más detectadas, sustituyendo incluso a aquellas relacionadas con el minado no autorizado de criptomonedas.

Índice de detección de JS/Adware.Agent.AA en España durante las últimas semanas – Fuente: Virus Radar

Esta detección se activa cuando se detecta cierta línea de código JavaScript en una web, línea que tiene una nomenclatura similar a la siguiente:

“/afu.php?zoneid=1407888&var=1407888”

Este código pertenece a un distribuidor de anuncios online que en ocasiones ha incluido anuncios maliciosos tales como falsas alertas que terminan instalando extensiones maliciosas de Chrome, tal y como vimos hace un tiempo con la campaña protagonizada por el malware Submelius.

El incremento tan importante en el número de detecciones se debe a que algunas webs de visualización online de películas y series utilizan el distribuidor de publicidad online con la línea de código JavaScript maliciosa, lo que provoca que muchos de los visitantes de estas webs terminen instalando las extensiones maliciosas de Chrome en sus sistemas.

Ejemplo de web para ver películas online que realiza descargas con malware – Fuente: WeLiveSecurity

Webs fraudulentas de descarga de aplicaciones

Otra de las técnicas de propagación de adware que hemos visto recientemente tiene como protagonistas a una serie de webs fraudulentas que se hacen pasar por webs de descarga oficial de algunas aplicaciones bastante conocidas. El descubrimiento inicial lo hizo el investigador Ivan Kwiatkowski cuando descubrió una web francesa haciéndose pasar por el sitio oficial del conocido gestor de contraseñas KeePass en ese país.

Los usuarios que descarguen esta aplicación desde ese sitio web obtenían la aplicación y, de regalo, un adware de nombre InstallCore que viene en el mismo instalador. A pesar de que mucha de esta publicidad no va más allá de ser molesta para el usuario, también se han dado casos donde los usuarios se han encontrado con que se intentaban instalar desde programas de minado de criptomonedas hasta secuestradores de búsquedas en el navegador.

Lo peligroso del asunto es que no solo se descubrió esta estrategia en esa web en concreto, sino que, tirando del hilo, han ido apareciendo más webs con instaladores y adware “de regalo” haciéndose pasar por webs legítimas, principalmente en dominios franceses y españoles.

Pongamos como ejemplo la web Thunderbird.es. Cualquiera diría que tiene toda la pinta de ser una web completamente legítima para descargar el conocido cliente de correo, ya que está registrada en un dominio de primer nivel, el diseño está bien hecho (a pesar de no coincidir con el oficial) y además cuenta con un certificado que garantiza una conexión segura HTTPS (pero no que lo que haya en esa web sea seguro) emitido por Let’s encrypt.

Web fraudulenta con dominio español para la descarga de Thunderbird

La gran mayoría de usuarios no sospecharía que nada malo pudiera descargarse desde esa web por los puntos que acabamos de mencionar, pero si accedemos a esa web y nuestro antivirus hace su trabajo, lo normal es que nos encontremos con mensajes de alerta tanto al intentar acceder a la web como a la hora de intentar descargar el instalador.

Bloqueo del sitio web fraudulento tanto a la hora de acceder como a la de descargar el instalador desde el enlace proporcionado

Si en lugar de acceder a esta web fraudulenta buscamos la web oficial de Thunderbird, veremos como el diseño de la web cambia considerablemente y esta también se encuentra certificada por una entidad autorizada para asegurarse de que la conexión entre nuestro sistema y la web se realiza de forma segura.

‏Página legítima de descarga de Thunderbird

Conclusión

Tal y como acabamos de ver, el malvertising sigue siendo una técnica interesante para que los delincuentes obtengan cuantiosos beneficios sin apenas exponerse. Tanto mediante el abuso de las de redes de anuncios para sus oscuros intereses como utilizando sitios webs fraudulentos que se hacen pasar por legítimos, se puede conseguir que usuarios despistados caigan en la trampa.

Por eso debemos estar atentos y vigilar, no solo las webs a las que accedemos sino también las aplicaciones que descargamos, utilizando para eso un sistema de seguridad capaz de detectar y bloquear estas y otras amenazas de forma eficiente.

Josep Albors

 

Google prohíbe las aplicaciones con funcionalidades de minería de criptomonedas de su tienda oficial

Lun, 07/30/2018 - 12:48

A pesar del valor fluctuante que han ido experimentando las criptomonedas durante las últimas semanas, la utilización de diversas técnicas de minado tanto por webs y aplicaciones legítimas como por otras controladas por delincuentes no ha dejado de crecer. Esto ha provocado una reacción drástica en alguno de los gigantes de Internet, cuya mayor consecuencia ha sido la prohibición de aplicaciones de minado y anuncios relacionados con las criptomonedas en los principales mercados de aplicaciones y redes sociales.

Google toma medidas contra el minado

La adopción de medidas para evitar el minado de criptodivisas desde páginas web, extensiones para el navegador y aplicaciones móviles que tan en auge está actualmente es algo que hemos visto en los últimos meses por parte de empresas importantes del sector tecnológico. A principios de año veíamos como Facebook prohibía cualquier publicidad relacionada con criptomonedas e ICOs en su plataforma, seguido por Twitter a finales de marzo.

Poco tiempo después, Google realizó su primer movimiento relacionado con este tema prohibiendo las extensiones de su navegador Chrome que permitían el minado de criptomonedas tras ver como algunas de estas extensiones conseguían un éxito considerable  entre los usuarios. Además, se unió a la decisión tomada por Facebook y Twitter de prohibir aquella publicidad que promocione las criptomonedas y las ICOs.

Tras estas decisiones, el siguiente paso lógico era centrarse en las aplicaciones que se instalaban en dispositivos como smartphones y que se estaban distribuyendo en tiendas oficiales. Apple cortó por lo sano a principios de junio cuando hizo públicas las nuevas reglas que se aplicaban en el App Store, y que prohibían que se distribuyesen aplicaciones en su tienda oficial que estuviesen orientadas a la minería de criptomonedas en dispositivos iOS y macOS.

Tras ese movimiento por parte de Apple, Google ha decidido seguir el mismo camino y ha actualizado la web donde se detallan las reglas para el desarrollo de aplicaciones en Google Play Store, prohibiendo aquellas apps que minen criptomonedas.

Tras esta decisión, Google planea eliminar de su tienda oficial cualquier aplicación que utilice los recursos de los dispositivos con sistema operativo Android para la minería de criptomonedas. Quedan excluidas de la prohibición aquellas aplicaciones que utilizan algunos usuarios para monitorizar el minado de criptomonedas en otros dispositivos.

Criptominado en el IoT, el siguiente desafío

No cabe duda de que las medidas adoptadas por todos estos gigantes de Internet que acabamos de comentar evitarán que mucha gente que no dispone de los conocimientos ni de la paciencia necesaria arriesguen sus ahorros en un mercado tan volátil como es el de las criptomonedas.

Sin embargo, la tendencia que más está evolucionando actualmente y que, probablemente, tenga mayor repercusión a medio plazo, es el minado de criptomonedas aprovechando los recursos de los millones de dispositivos del Internet de las cosas que están desprotegidos y a merced de cualquier atacante.

Si lo pensamos bien, tiene toda la lógica del mundo, ya que no se depende de un usuario desprevenido que instale una aplicación maliciosa en su ordenador o móvil, o visite una web con un script de minado. Atacando al Internet de las cosas los delincuentes eliminan el factor usuario y disponen de una cantidad ingente de dispositivos a su disposición para minar criptodivisas sin parar, ya que muchos de ellos están conectados 24 horas al día, 7 días a la semana.

Además, se presentan problemas a la hora de detectar y eliminar esta amenaza de estos dispositivos. Salvo que se haga un uso intensivo de los recursos, es difícil que se detecte que algo va mal, ya que mientras no se produzca un fallo en el hardware los usuarios entenderán que todo funciona correctamente.

Con respecto a la eliminación y protección de estos dispositivos, los problemas aumentan, ya que no existen soluciones de seguridad específicas para cada uno de ellos y, además, muchos no se actualizan para solucionar las posibles vulnerabilidades que son aprovechadas por los atacantes para infectarlos con software de minado y otro tipo de malware.

Algunas posibles soluciones para paliar este problema han empezado a implementarse en dispositivos o software capaces de monitorizar todas las comunicaciones de red que entran y salen de los dispositivos IoT, para detectar posibles órdenes lanzadas desde centros de mando y control conocidos y bloquearlas. Si bien esto ayuda para detectar las infecciones provocadas por el software de minado y otras amenazas, no termina con el problema en sí.

Conclusión

Cualquier medida que se adopte para prevenir el abuso de los recursos de los usuarios para el minado de criptomonedas es bien recibido. No obstante, hemos de mirar más allá de los ordenadores, tablets y smartphones y pensar en los millones de dispositivos conectados que ya están siendo usados por los delincuentes y que, si no se hace nada, puede terminar en una nueva epidemia de mineros difícil de contener.

Josep Albors

Aplicaciones de banca fraudulentas en Google Play filtran los datos de las tarjetas de crédito robadas

Vie, 07/27/2018 - 10:30

Entre las aplicaciones fraudulentas que se suelen encontrar en la tienda oficial Google Play hay algunas que, desde hace años, están entre las favoritas de los ciberdelincuentes. Además de los juegos (y las aplicaciones para hacer trampas en ellos), servicios de mensajería y otras aplicaciones similares, las falsas aplicaciones bancarias han sido, desde casi el inicio de Android, unas de las más usadas para camuflar intenciones no demasiado honestas.

Nuevas aplicaciones bancarias maliciosas

Recientemente, se han descubierto nuevas aplicaciones bancarias fraudulentas en Google Play que afirman ser capaces de aumentar el límite de crédito asignado a usuarios de tres bancos de la India. En realidad, la finalidad de estas aplicaciones es la de robar la información de las tarjetas de crédito y las credenciales de acceso a la banca online mediante el uso de formularios falsos. Y, lo que es peor, toda esta información es accesible para todo el mundo en texto plano sin cifrar, ya que se aloja en un servidor expuesto a Internet sin ninguna medida de seguridad.

Imagen 1 – Las aplicaciones maliciosas en Google Play

Estas aplicaciones fraudulentas fueron subidas a Google Play durante junio de 2018 y en julio fueron retiradas por Google tras haber sido notificados por investigadores de ESET. Sin embargo, para entonces ya habían sido instaladas por centenares de víctimas. Estas aplicaciones fueron subidas bajo el nombre de tres desarrolladores diferentes y cada una de ellas suplantaba a un banco de la India diferente. No obstante, el origen de las tres aplicaciones puede ser rastreado y asignado a un único atacante.

¿Cómo funcionan estas aplicaciones?

Las tres aplicaciones fraudulentas siguen el mismo procedimiento. Tras su ejecución muestran un formulario solicitando los detalles de la tarjeta de crédito (Imagen 2). Si los usuarios rellenan este formulario y pulsan sobre el botón “Enviar” serán redirigidos a otro formulario donde se les preguntará por sus credenciales de banca online (Imagen 3). Curiosamente, a pesar de que todos los campos están marcados como “obligatorios”(*), ambos formularios pueden ser enviados vacíos, lo que es un claro indicador de que algo no funciona como debería.

Imagen 2 – Formularios fraudulentos para recopilar datos de tarjetas de crédito

Imagen 3 – Formularios fraudulentos para el robo de credenciales de banca online

Al pulsar sobre el botón de confirmación de ambos formularios (habiéndolos rellenado o no) se redirige al usuario a la pantalla final de la aplicación, dándole las gracias por el interés mostrado al rellenar los formularios e informándole de que un “responsable de atención al cliente” se pondrá en contacto en breve (Imagen 4). No hace falta decir que nadie se pone en contacto con las víctimas y que las aplicaciones no tienen más funcionalidades aparte de las que se acaban de mostrar.

Imagen 4 – Pantalla final mostrada por las aplicaciones maliciosas

Mientras tanto, los datos introducidos en los formularios fraudulentos son enviados en texto plano al servidor del atacante. Este servidor que almacena todos los datos robados es accesible para cualquiera que conozca el enlace, sin que sea necesario una autenticación previa. Para las víctimas esto representa un daño mayor, ya que sus datos confidenciales no solo están a disposición de los delincuentes, sino también de cualquiera que se tope con el servidor desprotegido.

Imagen 5 – Datos bancarios robados y almacenados en texto plano en el servidor del atacante

Hace poco, el investigador de ESET Lukas Stefanko avisaba sobre otra aplicación maliciosa que mostraba información robada a cualquiera que supiera donde buscar, siendo una app fraudulenta que se hacía pasar por MyEtherWallet y que exponía las claves privadas usadas para acceder a las carteras donde almacena las criptomonedas de sus víctimas. Este tipo de descubrimientos demuestra la necesidad de tener especial cuidado a la hora de descargar aplicaciones relacionadas con las finanzas, ya sea dinero tradicional o criptodivisas.

Cómo permanecer seguro ante estas amenazas

Si se ha instalado y usado alguna de estas aplicaciones maliciosas se recomienda desinstalarlas inmediatamente, así como también revisar la cuenta bancaria en búsqueda de actividad sospechosa, cambiar el código PIN de la tarjeta de crédito y la contraseña de acceso a la banca online.

De la misma forma, para evitar ser víctima de aplicaciones de phishing se recomienda:

  • Confiar únicamente en aquellas aplicaciones de banca online que se enlacen desde la web oficial del banco que usemos.
  • Nunca se debe introducir la información privada relacionada con la banca online en ningún formulario si no estamos seguros de su seguridad y legitimidad.
  • Se debe prestar atención al número de descargas, valoración de la aplicación y, sobre todo, a los comentarios de los usuarios a la hora de descargar apps desde Google Play.
  • Siempre debemos tener actualizados nuestros dispositivos Android y utilizar una solución de seguridad de confianza como los productos de ESET, capaces de detectar estas aplicaciones maliciosas como Android/Spy.Banker.AHR.
Aplicaciones bancarias legítimas como objetivo Nombre de la aplicación Nombre del paquete iMobile by ICICI Bank com.csam.icici.bank.imobile RBL MoBANK com.rblbank.mobank HDFC Bank MobileBanking (New) com.hdfc.retail.banking

 

Indicadores de compromiso

De momento, no se van a publicar indicadores de compromiso específicos más allá de los identificadores de las aplicaciones para así evitar exponer aún más la información de las víctimas.

 

Cómo reaccionar a un chantaje a través de un correo que muestra una de tus contraseñas

Mié, 07/25/2018 - 09:52

Hace unos días, nuestros compañeros de ESET Latinoamérica avisaban en el blog WeLiveSecurity de la propagación de una serie de correos en los que se amenazaba con difundir un supuesto vídeo grabado desde uno de nuestros dispositivos, que habría sido comprometido por un delincuente. Tras detectar varios casos similares entre usuarios españoles, vamos a analizar en qué consiste esta amenaza.

El correo amenazante

Todo empieza con la recepción de un correo en inglés desde una dirección desconocida y que tiene como particularidad que en asunto aparecen credenciales de acceso a algún servicio online (nombre de usuario y contraseña). Esto suele causar un impacto considerable entre aquellos usuarios desprevenidos, sensación que suele agravarse conforme se sigue leyendo este correo.

En el email se nos indica que nuestro misterioso remitente ha conseguido un software en una página de contenido pornográfico que le permite tomar el control sobre lo que estamos viendo y también sobre la webcam. Así mismo, este delincuente nos indica que también ha recopilado información como nuestros contactos, cuentas de redes sociales y nuestra cuenta de correo. Por último, se nos indica que se ha grabado tanto lo que estábamos viendo como a nosotros a través de la webcam.

Obviamente, tras recibir un correo así a más de uno pueden entrarle sudores fríos pensando en qué sitios web ha visitado recientemente y, sobre todo, en qué condiciones pueden haberle grabado. El delincuente lo sabe y amenaza con difundir un vídeo mostrando lo que supuestamente estábamos viendo y lo que se ha grabado desde la webcam de nuestro dispositivo.

La buena noticia para todos los usuarios que estuvieran temiendo por su reputación entre sus contactos es que no existe dicho vídeo, y lo único de lo que disponen estos extorsionadores es de un usuario y una contraseña filtrados desde alguna base de datos perteneciente a algún servicio online al que nos hayamos registrado.

Analizando la estrategia

Por desgracia, los extorsionadores han utilizado esta técnica porque son conocedores del creciente número de casos de sextorsión, tanto entre adultos como entre menores. De la misma forma que vimos correos similares pero que amenazaban con cifrar los datos de los ordenadores de nuestra empresa, los delincuentes han visto ahora la posibilidad de conseguir dinero fácilmente sin ni siquiera utilizar un malware.

Para ello utilizan la ingeniería social y el miedo a que nuestros secretos salgan a la luz y se difundan entre nuestros contactos. El único mérito de estos extorsionadores ha sido el de recopilar datos entre los millones de credenciales que se han filtrado en los últimos años desde todo tipo de servicios online y preparar un correo bastante bien escrito (aunque bastante genérico) para tratar de convencer al mayor número de usuarios de que estaban ante una amenaza real cuando no es así.

Como apunte interesante, vemos que la cantidad de dinero solicitada es más del doble de la que se pedía en los correos analizados por nuestros compañeros de ESET Latinoamérica. No sabemos si estas cantidades fluctúan dependiendo de a quien se le envía el mensaje (o de donde viva) o si están puestas al azar con la esperanza de que alguien muerda el anzuelo e ingrese la cantidad requerida.

Lo que sí podemos decir es que, al menos en las muestras analizadas, el éxito ha sido nulo, tal y como puede observarse en las transacciones realizadas a la cartera controlada por los extorsionadores:

Una vez aclarado este punto y calmados los nervios, muchos usuarios seguirán sin entender cómo un perfecto desconocido pudo ponerse en contacto con ellos para extorsionarles y, además, proporcionó datos privados como las credenciales de acceso a algún servicio online utilizado por la víctimas, lo que nos lleva al punto verdaderamente importante de este caso.

¿Qué hacer si descubrimos que nuestras credenciales han sido robadas?

Lamentablemente, actualmente no es nada raro que alguna de nuestras credenciales de acceso a uno de los muchos servicios online al que nos hemos registrado a lo largo de los años se haya visto comprometida y filtrada. Esto es algo con lo que nos toca lidiar hasta que se implemente de forma generalizada un sistema de autenticación mejor que el clásico “nombre de usuario y contraseña”.

Hasta entonces, es probable que casos como el que hoy analizamos se vuelvan a repetir o, incluso peor aún, que alguien tome el control de alguno de nuestros perfiles por no haber mantenido una política de contraseñas seguras. Para evitarlo vamos primero a responder a la pregunta que muchos os estaréis haciendo y que no es otra que: “¿Cómo narices sabían mi contraseña?”.

Para responder a esta pregunta vamos a utilizar alguno de los servicios que informan sobre robos y filtraciones masivas de credenciales acontecidos durante los últimos años. Uno de los más conocidos es Have I been pwned? y desde ahí se puede comprobar si nuestro correo electrónico se ha visto afectado por alguna filtración de datos.

Tanto si hemos sido afectados como si no, es muy recomendable cambiar nuestra contraseña por una que sea segura y, sobre todo, no reutilizarla en otros servicios. Esto nos evitará que, bien usando técnicas de fuerza bruta o revisando entre los millones de credenciales filtradas, alguien pueda acceder a nuestros perfiles sin nuestro consentimiento.

El segundo paso que debemos realizar es comenzar a utilizar el doble factor de autenticación en todos aquellos sitios que lo permitan. No solo representa una barrera adicional muy robusta, sino que además es muy sencilla de utilizar en nuestro día a día, puesto que podremos utilizar nuestro smartphone para generar los códigos temporales que necesitaremos para acceder a nuestras cuentas mediante mensajes de texto o aplicaciones gratuitas como Google Authenticator.

Si no sabes qué servicios permiten la implementación del doble factor de autenticación puedes consultarlo en la siguiente web:

https://twofactorauth.org/

Además, esta medida de seguridad viene de perlas por si nos roban las credenciales, ya que por mucho que las intenten introducir, por ejemplo, en nuestra cuenta de Gmail, no podrán acceder al no disponer de ese código que se genera o recibís en vuestro móvil.

Por último, si como a la mayoría de nosotros te resulta difícil recordar todas y cada una de las contraseñas que utilizas, puedes usar aplicaciones como los gestores de contraseñas. Hay muchos donde elegir y cada usuario puede utilizar aquel que mejor se adecue a sus necesidades. Entre los más conocidos encontramos Lastpass, 1Password, Keepass, DashLane, RoboForm o Keeper, por mencionar solo unos cuantos.

Asimismo, si dispones de una licencia de ESET Smart Security Premium, dispondrás también de una utilidad de gestión de contraseña además de la protección antivirus y otras funcionalidades como el navegador seguro para Banca Online y el cifrado de carpetas y unidades USB, todo desde un único programa.

Conclusión

El caso que hemos analizado hoy trata de aprovecharse de las vulnerabilidades humanas en lugar de utilizar un malware real para conseguir su propósito. Esto nos puede servir para recordar la importancia que tiene actualmente una gestión adecuada de nuestras contraseñas, ya que, de lo contrario, podemos vernos envueltos en serios problemas como los que tuvieron hace unos años varios artistas de Hollywood.

Josep Albors

Alertan de posibles ataques aprovechando miles de dispositivos IoT comprometidos

Mar, 07/24/2018 - 12:51

Con miles de millones de dispositivos del llamado Internet de las cosas (en inglés, Internet of Things, o IoT) conectados actualmente, no es de extrañar que todas las noticias relacionadas con su seguridad o con cómo los delincuentes podrían hacerse con su control tengan una especial importancia. Recientemente, varios expertos en seguridad informática han alertado de la probabilidad de que se vuelvan a repetir ataques como el producido por Mirai hace dos años debido a un aumento en el número de botnets compuestas por estos dispositivos.

Variantes de Mirai aprovechan la inseguridad del IoT

A pesar de que Mirai no fue la primera botnet compuesta por dispositivos del IoT, sí que provocó que el gran público supiera la existencia de este tipo de amenazas. Tras filtrarse el código de esta amenaza no tardaron en surgir toda una serie de variantes que quisieron seguir el camino marcado. Botnets como Masuta, Satori, Omni u OMG son solo algunos de los ejemplos más recientes que, junto a botnets más antiguas como Gafgyt (cuyo código también ha sido reutilizado en botnets más recientes) representan una seria amenaza.

La evolución de las variantes de Mirai y Gafgyt incluye también la presencia de numerosos exploits, que tratan de aprovecharse de otras tantas vulnerabilidades en los dispositivos del IoT que los delincuentes tienen como objetivo. Estos exploits suelen tardar poco en ser incorporados al código de la botnet una vez son publicados los respectivos módulos en frameworks como Metasploit.

Recientemente se han observado dos campañas que afectaban a numerosos fabricantes de routers, cámaras y dispositivos de grabación, entre los que se encuentran modelos de D-Link, Huawei, Dsan GPON, Vacron NVR y otros 70 fabricantes. Las vulnerabilidades que aprovecharon los atacantes eran conocidas y ya habían sido aprovechadas previamente por otras botnets, aunque esta es la primera vez que se observa a una variante de Mirai utilizando todas estas vulnerabilidades a la vez.

Repositorio con malware derivado de Mirai usado por los delincuentes – Fuente: Securityaffairs

Una de estas variantes, además de utilizar los mismos exploits de la anterior, también trataba de realizar ataques de fuerza bruta contra los dispositivos usando diferentes combinaciones de credenciales. Entre las combinaciones utilizadas por los atacantes encontramos algunas orientadas a fabricantes muy específicos, como las siguientes:

  • root/t0talc0ntr0l4! – credenciales por defecto para dispositivos Control4
  • admin/adc123 – credenciales por defecto para dispositivos ADC FlexWave Prism
  • mg3500/merlin – credenciales por defecto para las cámaras IP Camtron

Toda la información acerca de estas campañas puede ampliarse en el análisis realizado por los investigadores de PaloAlto Networks.

18.000 routers Huawei comprometidos en solo unas horas

Por si los casos anteriores no fueran suficientes, en los últimos días también se ha comentado bastante la investigación realizada por especialistas de la empresa NewSky, quienes descubrieron que hasta 18.000 routers Huawei habrían sido comprometidos e incluidos en una nueva botnet en el espacio de un solo día.

Esto se ha conseguido utilizando un único exploit que se aprovecha de la vulnerabilidad CVE-2017-17215. Dicho exploit fue publicado el 25 de diciembre (fum, fum, fum) de 2017, por lo que se demuestra que, a pesar de haber pasado más de medio año desde su publicación, aún quedan muchos dispositivos por parchear. La finalidad del autor de este malware muy probablemente sea la de lanzar ataques de denegación de servicio (DDoS) y extorsionar a las víctimas, pero no se descarta que quiera realizar otras acciones.

La detección de esta nueva campaña fue posible gracias a la detección de numerosos escaneos dirigidos al puerto 37215. Este puerto es el que se utiliza para explotar la vulnerabilidad publicada el pasado diciembre, y permite a un atacante remoto que se haya autenticado la ejecución de código mediante el envío de paquetes especialmente modificados a través de ese puerto.

Incremento en el escaneo del puerto 37215 durante las últimas semanas – Fuente: Hispasec

Además de este ataque, el supuesto responsable de este ataque (quien se hace llamar “Anarchy”) dice estar planeando otro similar pero esta vez orientado a routers de la marca Realtek. En esta ocasión se estaría utilizando un exploit que data de mediados de 2015 y que se aprovecha de la vulnerabilildad CVE-2014-8361 para conseguir ejecutar código remotamente.

Conclusión

Como acabamos de ver, la inseguridad existente en el Internet de las cosas hace que los delincuentes puedan contar con miles de dispositivos a su disposición en poco tiempo para realizar sus acciones delictivas. Lo más grave del asunto es que muchos de los dispositivos afectados contaban con parches de seguridad a su disposición que hubieran evitado que los atacantes los comprometieran.

Hace falta que se actúe de forma efectiva para evitar que este tipo de incidentes no solo se repitan, sino que sean cada vez más graves. Para ello se necesita involucrar a fabricantes que desarrollen dispositivos con una mínima seguridad desde el diseño, regulaciones que obliguen a cumplir estas medidas mínimas de seguridad y usuarios concienciados que sepan cómo actuar cuando se descubra una vulnerabilidad que afecte a uno de sus dispositivos.

Josep Albors

Aplicaciones maliciosas y cómo consiguen seguir colándose en Google Play

Lun, 07/23/2018 - 12:42

Con cada versión de Android que se publica, Google incorpora nuevas medidas de seguridad para intentar evitar que aplicaciones maliciosas se instalen en los dispositivos de los millones de usuarios de su sistema operativo. Algunas de estas medidas han mejorado considerablemente la seguridad de Android, pero, sin embargo, seguimos observando que se cuelan a diario apps con no muy buenas intenciones en la tienda oficial de Google Play.

Las instalaciones desde orígenes desconocidos, cada vez más controladas

Hasta no hace tanto, muchos usuarios acudían a tiendas de aplicaciones no oficiales para buscar aquellas app que no pasaban el corte de Google Play o, sencillamente, querían ahorrarse unos euros y conseguir la versión “liberada” de esa aplicación que le despertaba interés. Esto sigue siendo válido en algunos países como China, donde los usuarios de Android descargan sus aplicaciones desde otros mercados (autorizados o no por Google), pero hoy vamos a centrarnos en lo que podemos encontrarnos en la mayoría de países en los que Android cuenta con una buena parte del mercado.

Sabiendo que las instalaciones desde repositorios fuera de entornos controlados como Google Play suponen un riesgo considerable, las sucesivas versiones de Android han ido complicando poco a poco la instalación de aplicaciones desde fuentes que no sean de confianza. En Android 8 (Oreo) ya no se puede marcar la opción para permitir de forma general la instalación de apps desde repositorios que no sean de confianza, sino que se tiene que autorizar una por una a cada aplicación desde la que se descargue una apk desde un repositorio no oficial.

De esta forma, si queremos usar el navegador Chrome para descargar una apk desde fuera de Google Play, primero tendremos que concederle permiso a Chrome. Esto se puede hacer accediendo a los Ajustes > Aplicaciones y notificaciones > Ajustes avanzados > Acceso especial de aplicaciones > Instalar aplicaciones desconocidas y seleccionando el navegador.

Como acabamos de ver, Google ha escondido esta funcionalidad para intentar desanimar a todos aquellos que instalan aplicaciones desde fuera de su mercado oficial. Esto complica la instalación de apps maliciosas usando métodos tradicionales. Sin embargo, los delincuentes no se han quedado de brazos cruzados y ya hace tiempo que están utilizando técnicas para conseguir que la gente descargue sus creaciones desde dentro mismo de Google Play

Droppers, el camuflaje más usado

La inclusión de Google Play Protect marcó un importante hito en la seguridad de Android, puesto que permitía analizar aplicaciones subidas a su tienda oficial en busca de aquellas que fueran maliciosas. No obstante, este sistema aún presenta puntos débiles y los delincuentes los están explotando para conseguir instalar lo que se conoce como malware en varias fases.

De esta forma, lo que se descarga desde Google Play es una aplicación que pide pocos permisos para levantar pocas sospechas, y una vez ha conseguido instalarse en el sistema procede a descargar los componentes principales del malware. Esta técnica también es usada por aplicaciones legítimas como, por ejemplo, los juegos que se bajan un instalador de pocos megas y, una vez instalado, proceden a descargarse la mayor parte del programa.

Esto representa un problema, puesto que Google Play Protect aún falla bastante al tratar de detectar el malware que puede ocultarse en esta segunda fase de descarga, y muchos usuarios todavía no cuentan con una solución de seguridad que pueda protegerlos de estos códigos maliciosos multifase.

En este punto, la mayoría de las veces seguir manteniendo el dispositivo seguro o infectarlo con malware depende de la decisión que tome el usuario cuando se le muestre una pantalla solicitando permisos adicionales para una aplicación instalada previamente y que no había levantado sospechas. Si además estos permisos se camuflan como necesarios para ejecutar un aplicación aparentemente legítima, no es de extrañar que esta técnica consiga resultados elevados.

App haciéndose pasar por Flash Player intentando conseguir permisos adicionales – Fuente: WeLiveSecurity

Además, los delincuentes detrás de estas creaciones añaden mecanismos adicionales para dificultar su detección como, por ejemplo, esperar cierta cantidad de tiempo antes de proceder a ejecutar la parte maliciosa de su código y evitar detecciones de Google Play Protect.

Esta forma de saltarse las medidas de seguridad implementadas por Google ha hecho que numerosas aplicaciones maliciosas sigan apareciendo de forma constante en el mercado de apps oficial. Muchas de ellas duran pocos días antes de ser retiradas o sustituidas por otras pueden durar semanas o incluso meses sin despertar sospechas, por lo que hemos de estar alerta, revisar los comentarios de los usuarios y analizar con detalle los permisos solicitados antes de proceder a instalar una aplicación, o cuando una aplicación ya instalada nos solicite descargar más componentes y para ello pida que le concedamos nuevos permisos.

Conclusión

Con miles de aplicaciones apareciendo cada día tanto en mercados oficiales como en alternativos, es normal que alguna app maliciosa se cuele e intente infectar a los usuarios. Sin embargo, las mejoras implementadas por Google desde hace tiempo también ha conseguido que la seguridad en su plataforma Android mejore considerablemente, sobre todo si la comparamos a cómo era hace cinco años.

Si complementamos las medidas de seguridad implementadas con cada nueva versión de Android con una solución capaz de detectar aquellas amenazas que aún se le escapan a Google, actualizamos el sistema cuando se nos solicite y mantenemos una política de control sobre las aplicaciones que instalamos, será difícil que nuestro dispositivo Android se vea afectado por una de estas amenazas.

Josep Albors

Phishing suplantando a Apple intenta robar tus datos personales

Vie, 07/20/2018 - 13:20

De entre todos los intentos de engaños, estafas y similares que recibimos por correo electrónico, hay algunos que son bastante recurrentes en el tiempo y evolucionan para tratar de engañar a usuarios despistados. Un ejemplo de ello lo tenemos en el supuesto email de Apple que cada cierto tiempo vuelve a aparecer para intentar robar los datos de aquellos que muerdan el anzuelo.

El email sospechoso y las pistas para reconocerlo

Como suele suceder en este tipo de engaños, todo comienza por un email recibido por los usuarios en el que se muestra algún tipo de alerta. En esta ocasión, nos intentan convencer de que hay algún problema de seguridad en nuestra cuenta de Apple que requiere nuestra atención y, para hacerlo más creíble, nos muestran un supuesto acceso a nuestra cuenta desde un país remoto.

Sin embargo, hay varias cosas en este correo que no cuadran y que podemos detectar fácilmente si estamos atentos. Para empezar, fijémonos en la dirección desde la que se envía el correo. Por mucho que se hagan pasar por Apple, resulta evidente que la dirección mpbijwe@mpbijweaj.my.kitaadalahsangraja23.com” no tiene pinta de pertenecer a la empresa. Sin embargo, puede que muchos usuarios no se fijen en este detalle y pasen directamente a leer el cuerpo del correo electrónico.

Aun en este escenario, hay un par de puntos que nos pueden hacer sospechar. Para empezar, ¿no notáis algo raro en la forma en que están escritas algunas letras?, es como si hubieran sido escritas con un tipo de letra diferente al resto, e incluso podríamos aventurarnos a decir que ha sido escrito utilizando una codificación de caracteres diferente. Además, si antes de darle al botón para acceder a la supuesta web de registro nos fijamos en el enlace al que apunta, observaremos como el enlace que aparece está acortado para ocultar el destino final.

Una web fraudulenta pero bastante bien hecha

En el caso de que un usuario muerda el anzuelo y pulse sobre enlace proporcionado por los delincuentes en el correo, será redirigido a una web que es una copia casi exacta de la original de Apple usada para identificarnos con las credenciales de nuestro Apple ID. A estas alturas, ya no es ninguna novedad encontrarse este tipo de webs utilizando certificados para hacer que la conexión desde el sistema de la víctima a la web sea segura, y conseguir así que la víctima baje la guardia pensando que está en una web legítima.

Sin embargo, tal y como ya hemos mencionado en alguna ocasión, solo certifican que la comunicación entre nuestro dispositivo y la web va a realizarse de forma segura, no que la web sea segura en sí misma. Es decir, pueden estar robándonos los datos de forma que estos viajen cifrados desde nuestro sistema hasta la web controlada por los delincuentes. El resultado para la víctima sigue siendo negativo, pero ese “candadito” consigue que este tipo de webs fraudulentas se ganen la confianza de sus víctimas.

Una vez introducido los datos de acceso a Apple ID se nos mostrará una alerta indicando que nuestra cuenta ha sido bloqueada por motivos de seguridad, y se nos invitará a desbloquearla proporcionando de nuevo todos nuestros datos personales.

En este punto podemos empezar a ver cómo de meticulosos son los delincuentes detrás de esta campaña a la hora de solicitar los datos personales, ya que nos encontraremos con un formulario que nos pedirá toda nuestra información personal, incluyendo nombre, apellidos, fecha de nacimiento, teléfono y dirección postal.

Además, ya que el usuario está ahí, qué menos que pedirle también los datos de la tarjeta de crédito, incluyendo su número, la fecha de caducidad o el código de verificación. ¿Qué podría salir mal?

Lo que ya parece una broma de mal gusto es que se le pida al usuario un selfie con la tarjeta de crédito en la mano y donde se le vea su cara. En este punto, muchos usuarios deberían empezar a pensar (si no lo han hecho ya) que este proceso de verificación no tiene demasiada pinta de ser legítimo.

Y por si lo anterior fuera poco, también nos piden que nos hagamos un selfie con algún documento de identidad que tengamos a mano, ya sea nuestro pasaporte, DNI o carnet de conducir.

Con toda esta información, los delincuentes tienen datos suficientes no solo para hacerse con nuestra cuenta de Apple ID, sino también para vaciar nuestra tarjeta de crédito. Todos los datos personales proporcionados también podrían servir para realizar una suplantación de identidad en otros servicios online o incluso para pedir préstamos a nuestro nombre.

Para terminar, los delincuentes redirigen al usuario a la web auténtica de Apple ID, algo que podemos comprobar al revisar que el certificado emitido está a nombre de la empresa y la dirección URL tiene como dominio Apple.com. Tampoco deberíamos fiarnos de esto al 100% porque hay técnicas incluso para engañar al más avispado, pero de eso hablaremos en otra ocasión.

Con respecto al dominio utilizado por los delincuentes para alojar su web de phishing, este fue registrado hace pocos días, y viendo la fecha de envío del correo que hemos analizado es muy probable que esta campaña siga propagándose durante algunos días más.

Conclusión

Acabamos de ver como los delincuentes puede obtener datos muy importantes de usuarios desprevenidos con una campaña de spam y una web de phisihing que suplanta a Apple que cuestan relativamente poco de hacer. Para evitar caer en este tipo de trampas hemos de fijarnos en aquellos detalles que nos ayudan a distinguir una web o un correo legítimo de uno fraudulento.

Si además contamos con medidas adicionales de seguridad como el doble factor de autenticación para evitar que accedan a nuestras cuentas aun cuando han conseguido las credenciales, o una solución de seguridad capaz de detectar páginas fraudulentas, estaremos más protegidos frente a este tipo de amenazas y nuestros datos quedarán a salvo.

Josep Albors

 

Apps fraudulentas en Android y cómo consiguen engañar a los usuarios

Mié, 07/18/2018 - 13:11

A pesar de los esfuerzos y mejoras que Google sigue implementando en su tienda oficial de aplicaciones Google Play, todavía son muchos los usuarios que descargan aplicaciones fraudulentas que terminan haciéndoles perder el tiempo o incluso ocasionándoles gastos no previstos.

Hace unas semanas repasábamos algunas de las técnicas más utilizadas por estas aplicaciones fraudulentas para lograr que miles de usuarios las descargasen, y hoy, gracias a las investigaciones de nuestro compañero Lukas Stefanko (investigador de ESET especializado en el análisis de amenazas para Android), podemos ampliar esta información con nuevas técnicas detectadas en las últimas semanas.

Canales de chat “calientes”

Una de las estrategias que ha funcionado durante años en todo tipo de estafas y ataques son las que se aprovechan del interés de los usuarios por encontrar pareja o, simplemente, pasar un buen rato con alguien de buen ver. Estafas por correo electrónico donde lindas señoritas rusas o fornidos militares viudos en el extranjero se nos declaraban y prometían venir a visitarnos a cambio de una cantidad de dinero, e incluso bots en aplicaciones de ligue son solo algunos de los ejemplos que hemos visto a lo largo de los últimos años.

Los desarrolladores de aplicaciones fraudulentas intentan que su apps no levanten sospechas entre los usuarios que están a punto de descargarlas. Es por eso que intentan conseguir un elevado número de descargas y valoraciones positivas para que sirvan de referente ante los futuros incautos que vayan a descargar la app.

Información de la aplicación en Google Play – Fuente: Lukas Stefanko

Si nos fijamos en la información proporcionada por esta aplicación vemos como tiene más de un millón de instalaciones y más de 20.000 valoraciones de usuarios, con una puntuación media de 4 estrellas sobre 5. Esto puede llevar a confusión a la mayoría de usuarios pensando que se trata de una aplicación legítima, y a que la instalen en sus dispositivos para empezar a chatear con supuestas usuarias de la misma aplicación.

Sin embargo, las investigaciones de nuestro compañero Stefanko han demostrado que los 62 perfiles de las señoritas que se incluyen en la aplicación son solo bots programados para responder de forma automática (muchas veces sin mucho sentido). Además, las imágenes de las señoritas son descargadas de Internet usando Google Image Search, y para poder seguir chateando con ellas es necesario ganar “puntos de corazón”, puntos que se obtienen visualizando anuncios.

Configuración de los bots y ejemplo de respuestas automatizadas – Fuente: Lukas Stefanko

Como vemos en las imágenes, no tiene mucho sentido mantener conversaciones insustanciales con bots, menos aun si para hacerlo hemos de perder nuestro tiempo visualizando anuncios. Estas visualizaciones reportan interesantes beneficios a los desarrolladores de este tipo de apps y es una de las formas de monetización preferidas, aunque pueden ser complementadas por tácticas más agresivas como vamos a ver a continuación.

Aplicaciones para niños con gato encerrado

Otro de los casos analizados recientemente por nuestro compañero Stefanko tiene que ver con una aplicación orientada a los más pequeños de la casa. Este tipo de aplicaciones, junto con los vídeos que se pueden visualizar en plataformas como Youtube, son de las aplicaciones más apreciadas por los padres porque permiten mantener entretenido a los niños durante largos periodos de tiempo, algo útil cuando, por ejemplo, se sale a cenar fuera de casa, pero que a la larga puede ocasionar serios problemas.

Si revisamos algunos puntos clave en la página de información sobre la aplicación, veremos que se repiten algunos puntos vistos en el caso anterior. Esta app también tiene más de un millón de descargas y una valoración mayormente positiva de más de 18.000 supuestos usuarios que la han descargado previamente. Esto puede hacer que los padres que quieran instalar esta aplicación se confíen y lo hagan sin revisar los permisos que solicita.

Información de la aplicación en Google Play – Fuente: Lukas Stefanko

Esta aplicación también obtiene ingresos con la visualización de anuncios por parte del usuario, y no tendríamos nada que objetar al respecto si no fuera porque sus desarrolladores han incluido la posibilidad de pagar para eliminar estos anuncios. Esto tampoco sería peligrosos si no fuera porque, cada cierto tiempo, se muestra una ventana que invita a pagar para eliminar los anuncios y, además, esta ventana se superpone a la propia aplicación.

Mensaje superpuesto a la aplicación solicitando el pago para eliminar anuncios – Fuente: Lukas Stefanko

Si tenemos en cuenta que lo más probable es que esta aplicación la esté utilizando un niño de temprana edad, la posibilidad de que se pulse el botón que autoriza el pago es muy elevada. Por supuesto, el pago solo se hará efectivo si el usuario de ese dispositivo tiene asociada una tarjeta de crédito en su cuenta de Google Play, algo que tampoco es tan infrecuente.

Conclusión

Tal y como acabamos de comprobar, las técnicas que ingenian algunos desarrolladores de aplicaciones son bastante ingeniosas y pueden llegar a tener bastante éxito. Consejos como fijarse en el número de usuarios que han descargado la aplicación o la puntuación otorgada no funcionan en estos casos y eso es algo a tener muy en cuenta, puesto que muchos usuarios solo se fijan en esos puntos y no tanto en los permisos otorgados o si la aplicación incluye pagos dentro de la misma.

Por eso, antes de descargar una app, fijémonos también en los comentarios más recientes de otros usuarios, revisemos a fondo los permisos y, especialmente, si esa aplicación va a ser utilizada por un niño, dediquemos algo de tiempo a verificar que funciona correctamente y que no muestra contenido inadecuado o solicita cargos imprevistos.

Josep Albors

ESET detecta una campaña de espionaje con el gobierno de Ucrania como objetivo

Mar, 07/17/2018 - 15:58

Investigadores de ESET han analizado una serie de herramientas de acceso remoto utilizadas por ciberdelincuentes en una campaña de espionaje que sigue en curso. Su objetivo es espiar a las instituciones del gobierno de Ucrania y robar información confidencial de sus sistemas. Esta investigación aparece poco tiempo después de que el gobierno de ese país informase de que había conseguido detener un ataque contra una planta de destilación de cloro usando el malware VPNFilter.

Toda la información acerca de esta investigación ha sido recopilada en el white paper “Quasar, Sobaken and Vermin: a deeper look into an ongoing espionage campaign” que se acaba de publicar y donde se describe el funcionamiento de varias de las herramientas utilizadas en esta campaña de espionaje, así como los indicadores de compromiso necesarios para su detección.

Cronología y variantes de malware utilizadas

Los atacantes detrás de estas campañas de espionaje son conocidos por los investigadores de ESET desde mediados de 2017 y sus acciones salieron a la luz en enero de 2018. Los análisis realizados demuestran que estos ciberdelincuentes continúan mejorando sus campañas, así como desarrollando nuevas versiones de sus herramientas de espionaje.

Según los datos proporcionados por la telemetría de ESET, el principal objetivo de los atacantes son las instituciones gubernamentales de Ucrania, con unos pocos centenares de víctimas en diferentes organizaciones. Los atacantes han estado utilizando herramientas de acceso remoto (RAT por sus siglas en inglés) bien camufladas para robar documentos confidenciales almacenados en los sistemas de las víctimas.

Imagen 1 – Distribución del malware basado en los sistemas de detección de ESET (Map data ©2018 Google, ORION‑ME)

Se han detectado tres tipos de malware diferentes desarrollados en .NET: Quasar RAT, Sobaken RAT y una RAT hecha a medida llamada Vermin. Todos estos malware han estado en activo contra diferentes objetivos al mismo tiempo, y además comparten partes de su infraestructura y se conectan a los mismos centros de mando y control (C&C).

Quasar es una RAT de código abierto que está disponible para todo el mundo en GitHub. Gracias a las investigaciones realizadas por ESET se pudieron detectar campañas que utilizaban esta herramienta desde octubre de 2015. Sobaken, por otro lado, es una versión altamente modificada de Quasar, con algunas funcionalidades eliminadas para hacer que el fichero ejecutable sea más pequeño, y varias medidas añadidas de evasión y protección contra sandbox para dificultar su análisis.

Vermin, por su parte, es un backdoor hecho a medida que apareció a mediados de 2016 y sigue en uso en el momento de escribir estas líneas. Tal y como sucede con Quasar y Sobaken está escrito usando el lenguaje de programación .NET. Para dificultar su análisis, el código del programa está protegido usando un sistema de protección de código .NET comercial (.NET Reactor) o un protector de código abierto llamado ConfuseEx.

Vermin es un backdoor en toda regla con varios componentes opcionales. En su última versión conocida soporta hasta 24 comandos que vienen implementados en el payload principal, y varios comandos adicionales implementados por componentes adicionales, que incluyen la grabación de audio, el registro de pulsaciones de teclado y el robo de contraseñas.

Vectores de ataque

Las campañas analizadas se han apoyado en ingeniería social básica para conseguir su objetivo, pero también han utilizado varios trucos para engañar mejor a sus víctimas y conseguir que se descarguen y ejecuten el malware, camuflado como adjuntos de correo. Entre los trucos utilizados encontramos el uso de la escritura de derecha a izquierda para ocultar la extensión real de los adjuntos, adjuntos de correo camuflados como archivos RAR auto-extraíbles y una combinación de documentos Word especialmente creados y que contienen un exploit para la vulnerabilidad CVE-2017-0199.

Las tres variantes de malware se instalan de la misma forma: un dropper descarga el código malicioso (Vermin, Quasar o Sobaken) en la carpeta %APPDATA%, y crea una subcarpeta con el nombre de una compañía legítima (normalmente Adobe, Intel o Microsoft). Luego, genera una tarea programada que ejecuta el malware cada 10 minutos para asegurarse su persistencia en el sistema.

Para asegurarse de que el malware se ejecuta en cierto tipo de sistemas y evita los sistemas de análisis automatizados y las sandboxes, los atacantes han implementado varias medidas. El malware deja de ejecutarse si no se encuentra en un sistema con el teclado configurado en ruso o ucraniano, también deja de hacerlo si la dirección IP del sistema objetivo está ubicada fuera de estos dos países o se encuentra registrada a algún fabricante de antivirus o proveedor de servicios en la nube. El malware tampoco se ejecuta en sistemas con nombres de usuario usados frecuentemente en sistemas automatizados de análisis. Para determinar si se está ejecutando en un sistema automatizado de análisis, el malware intenta conectarse a una web con una dirección generada de forma aleatoria y revisa si la conexión falla, tal y como cabría esperar en un sistema real.

Conclusión

Estos atacantes no han recibido una excesiva atención pública comparado con otros que también tienen como objetivo organizaciones de un elevado perfil en Ucrania. Sin embargo, han logrado demostrar que aplicando de forma inteligente una serie de trucos de ingeniería social, los ataques de ciberespionaje pueden resultar exitosos incluso sin utilizar malware sofisticado. Este hecho subraya la necesidad de entrenar al personal en materia de ciberseguridad, además de contar con una solución de seguridad de calidad.

Josep Albors

Miles de dispositivos DVR accesibles de forma remota por no haber sido actualizados desde hace cinco años

Lun, 07/16/2018 - 16:28

El Internet de las cosas sigue siendo uno de los objetivos principales de los ciberataques, y mucho nos tememos que esto no va a cambiar a corto plazo. Entre los millones de dispositivos conectados hay unos cuantos que parecen ser los favoritos de los atacantes, y entre ellos destacan especialmente las cámaras IP y los grabadores de vídeo digital o DVRs. La botnet Mirai solo fue un ejemplo de lo que podía conseguirse con miles de estos dispositivos comprometidos y una finalidad maliciosa. Por desgracia, ese incidente parece que no sirvió para que se tomara la seguridad de estos dispositivos más en serio.

El problema de los dispositivos “olvidados”

Si hay algo del IoT que nos preocupa especialmente a los que nos dedicamos a la ciberseguridad, es lo fácil que resulta vulnerar las medidas de seguridad (en el caso de que existan) de muchos de estos dispositivos. Además de las vulnerabilidades existentes hay un problema añadido, y es que muchos usuarios no se toman ni siquiera la molestia de establecer o cambiar medidas de seguridad tan básicas como las credenciales de acceso a estos dispositivos.

Precisamente en las credenciales de acceso se centra uno de los incidentes de seguridad más recientes que tiene como objetivo al IoT, ya que miles de credenciales de acceso a DVRs de la marca Dahua han sido almacenados en los resultados que proporciona la herramienta ZoomEye. Esta herramienta es un buscador especializado en localizar dispositivos conectados a Internet y, por ende, uno de los buscadores (junto con Shodan) más utilizados para encontrar dispositivos IoT conectados de forma insegura.

Tweet del investigador indicando el número de dispositivos vulnerables encontrados haciendo una busqueda simple – Fuente: Twitter

El descubrimiento de estos miles de DVR inseguros de Dahua ha sido realizado por el investigador Ankit Anubhav, empleado de la empresa especializada en seguridad del IoT NewSky Security. Al parecer, todos los dispositivos encontrados tendrían una vulnerabilidad existente desde hace nada menos que cinco años y que permite saltarse el proceso de autenticación y obtener las credenciales de los usuarios, cambiar las contraseñas y otras acciones a través del puerto 37777, tal y como explicó de forma detallada el investigador Jake Reynolds, que descubrió esta vulnerabilidad en 2013.

Localizando dispositivos vulnerables

Muchos usuarios pueden sorprenderse por el hecho de que sigan habiendo miles de dispositivos vulnerables a un fallo de seguridad que fue solucionado hace cinco años. Sin embargo, esa es una tendencia común en el IoT, y no es raro observarla en la mayoría de los dispositivos conectados. Es más, en muchas ocasiones estas vulnerabilidades no se corrigen, dejando a millones de usuarios con dispositivos conectados vulnerables y con la única alternativa de comprar otro que no lo sea.

En el caso que nos ocupa, a pesar de existir parches que solucionan esta vulnerabilidad desde hace años, no es difícil obtener información e incluso acceso a muchos de estos dispositivos a través de herramientas como ZoomEye. Si hacemos una búsqueda por el puerto 37777 y usando una contraseña tan conocida como insegura como es “123456” veremos que existen casi 14.000 conectados, siendo España el segundo país por número de dispositivos vulnerables (solo por detrás de Tailandia).

Busqueda de dispositivos con el puerto 37777 habilitado y contraseña de acceso “123456” – Fuente: ZoomEye

Lo mismo ocurre si se busca utilizando la contraseña “admin”, con casi 16.000 dispositivos vulnerables y España de nuevo en segundo lugar. La utilización de herramientas como ZoomEye facilita conocer la magnitud del problema y detectar dónde se encuentran los dispositivos vulnerables, pero a su vez puede ser utilizada por atacantes para no solo averiguar en qué IP se encuentran los dispositivos vulnerables con credenciales fáciles de adivinar, sino también obtener las credenciales que sean más complejas a partir  de la información proporcionada y almacenada en texto plano por este buscador.

Contraseña almacenada por ZoomEye mostrada en texto plano al consultar los detalles de los dispositivos vulnerables – Fuente: ZoomEye

Esto presenta un serio problema de seguridad a todos aquellos usuarios que disponen de uno de estos DVR vulnerables, puesto que resulta muy fácil automatizar el proceso de detección de dispositivos con firmware vulnerable y obtener las contraseñas, por muy complejas que estas sean. A partir de ese punto el atacante puede dedicarse a aprovechar estos dispositivos para montar su propia botnet o a espiar a los usuarios de estos sistemas de vigilancia, tal y como demostró Jake Reynolds en 2013.

Acceso remoto a sistemas de grabación mediante la vulnerabilidad de 2013 – Fuente: Jake Reynolds

Conclusión

Como acabamos de ver, no solo debemos tener configurados nuestro dispositivos conectados a Internet con unas credenciales de acceso que sean difíciles de averiguar. También hemos de tener muy en cuenta el aplicar los parches de seguridad cuando estos se encuentren disponibles, para evitar que los atacantes se aprovechen de las vulnerabilidades existentes.

Por desgracia, aspectos como el de la seguridad y el soporte del fabricante son algo que la mayoría de usuarios no contempla a la hora de adquirir un dispositivo del Internet de las cosas. Luego, cuando se producen sucesos como el que acabamos de comentar, todo el mundo se echa las manos a la cabeza preguntándose cómo pudo haber sucedido. La solución pasa por endurecer las leyes para que este tipo de dispositivos cuenten con una seguridad mínima desde su diseño y se obligue a proporcionar un tiempo mínimo de soporte, pero eso es algo que, como consumidores, debemos exigir con mayor firmeza.

Josep Albors

El gobierno de Ucrania afirma haber detenido un ataque que utilizaba el malware VPNFilter

Vie, 07/13/2018 - 12:59

A finales de mayo analizamos una amenaza conocida como VPNFilter y que se creía responsable de la infección de más de 500.000 routers en, al menos, 54 países, con especial énfasis en Ucrania. En ese momento no estaba clara la funcionalidad de esta botnet, aunque las investigaciones realizadas demostraron que el malware era capaz de muchas cosas, como realizar ciberataques a objetivos específicos.

Según ha indicado recientemente el Servicio de Seguridad de Ucrania, parece que ya se habría producido un ataque usando esta amenaza.

Una planta de destilación de cloro como objetivo

En la nota de prensa publicada se indica cómo se consiguió evitar que unos atacantes consiguieran comprometer la seguridad de la planta de destilación de cloro. Esta planta está considerada como infraestructura crítica por las autoridades del país, y de haber tenido éxito el ataque, este hubiera podido ocasionar problemas en los procesos habituales de la planta o incluso provocar un incidente mayor.

Los especialistas de seguridad del gobierno ucraniano aseguran que, durante unos minutos, el sistema de control de procesos tecnológicos y el sistema de detección de señales de situaciones de emergencia en empresas fueron afectados por el malware VPN Filter. Según las investigaciones realizadas, la finalidad de este ataque era bloquear el funcionamiento de esta estación encargada de proporcionar cloro para potabilizar el agua que se distribuye en parte del territorio ucraniano.

De haber tenido éxito este ataque, se podría haber modificado la concentración de cloro en el agua distribuida, afectando tanto al consumo doméstico como al sector industrial. No obstante, tan solo se ha mencionado una estación de destilación de cloro como objetivo, por lo que en el caso de que los atacantes hubiesen logrado su objetivo, el alcance del ataque habría sido limitado.

Atribución del ataque

Como siempre que pasa una situación similar en Ucrania, la mayoría de dedos apuntan inmediatamente hacia Rusia. La tensa situación que existe entre los dos países desde hace años provoca que el gobierno ucraniano no dude ni un instante en culpar a sus vecinos rusos ante cualquier indicio de ciberataque.

Los indicios apuntan a que el ataque se produjo desde Rusia, e incluso especialistas del Servicio Secreto de Ucrania afirman tener pruebas en las que las agencias de inteligencias rusas manifiestan su interés de realizar ciberataques a entidades del sector público y privado de Ucrania utilizando el malware VPNFilter.

Sin embargo, este tipo de atribuciones se han de tomar siempre con pinzas, ya que no sería especialmente difícil que atacantes sin relación alguna con el gobierno ruso hicieran pasar este incidente como algo provocado por las tensiones existentes entre ambos países.

Conclusión

Mientras esperamos conocer más detalles acerca de este ciberataque, es importante que tomemos con cautela toda la información que nos llega desde Ucrania y otras fuentes. Actualmente, algunos países están pensando en considerar como una agresión que podría justificar una respuesta (convencional o ciber) este tipo de incidentes. Esto nos pone a todos en un punto peligroso, puesto que un tercero podría provocar una escalada de tensión entre dos o más países con tan solo camuflar sus ciberataques para hacer creer a todos que se ha originado en otra parte.

Josep Albors

Robos de criptomonedas. Carteras y servicios de exchange en el objetivo de los atacantes

Mié, 07/11/2018 - 12:51

A la hora de buscar información sobre criptomonedas son muchos los usuarios noveles que se fijan primero en la cotización de aquellas divisas más valoradas, seguidos de los que preguntan cómo minar de forma rentable aquellas que lo permiten. Sin embargo, los que llevan algo más de tiempo en este mundillo sabrán que las noticias acerca de robos y ataques relacionados con las criptodivisas con algo bastante común y no todos los usuarios prestan toda la atención que se merece a la seguridad.

Robo de credenciales usando Hola VPN

El uso de aplicaciones legítimas de terceros para infectar a los usuarios es una técnica que ha funcionado demasiado bien en los últimos tiempos. Como ejemplo, tenemos los casos de NotPetya y CCleaner acontecidos en 2017, donde se utilizó software legítimo modificado por los atacantes para propagar sus amenazas.

En esta ocasión, los atacantes consiguieron comprometer la cuenta de desarrollador de la aplicación Hola VPN para reemplazar la extensión oficial en Google Chrome. La extensión maliciosa estaba programada para detectar usuarios de la web MyEtherWallet.com para redirigirlos a una web fraudulenta preparada por los atacantes y poder robarles sus credenciales de acceso.

El incidente se produjo el pasado 9 de julio, y a pesar de estar la extensión de Chrome comprometida únicamente durante cinco horas es bastante probable que algunos usuarios de la web MyEtherWallet se hayan visto afectados. Para evitar que más usuarios se vieran afectados, la empresa decidió lanzar varias alertas a través de su cuenta oficial de Twitter:

Según informó el equipo de Hola VPN tras solucionar esta incidencia, el ataque estaba programado para inyectar una etiqueta JvaScript en la web MyEtherWallet.com para clonar la información de aquellos usuarios de este servicio que estuvieran accediendo con sus credenciales sin estar en el conocido como “Modo incógnito” de Chrome, mediante la redirección a la web fraudulenta sin que los afectados se dieran cuenta.

Robo de 13,5 millones de dólares del servicio de exchange Bancor

También relacionado con el robo de criptomonedas, el mismo día 9 de julio se produjo un ataque al exchange (servicios utilizados por los usuarios para comerciar sus criptomonedas con otras o con dinero real) Bancor. La compañía israelí informó que los atacantes habían conseguido robar 13,5 millones de dólares en criptomonedas.

Al parecer, los atacantes consiguieron acceder a una de las carteras gestionadas por la empresa, lo que les permitió actualizar los smart contracts utilizados para convertir los fondos de los usuarios. Estos smart contracts son el mecanismo utilizado por esta plataforma de exchange, algo que los diferencia de las plataformas más clásicas y que les permite mover los fondos de forma más rápida.

El robo se produjo en varias criptodivisas, incluyendo 24.984 Ether, 229.365.645 Pundi X y 3.200.000 Bancor Tokens. Estos tokens formaron parte de la oferta de monedas inicial usada para financiar la creación de la empresa y tienen un valor adicional de alrededor de 10 millones de dólares. Por suerte, la empresa tiene una sistema de seguridad que les permite congelar esos tokens y evitar que sean cambiados por otras divisas.

Los usuarios de este servicio de exchange deberían estar tranquilos, según informó la empresa, ya que solo se vieron afectados las reservas de Bancor. Hasta el momento no se ha informado acerca de cómo se produjo el acceso ilícito a la cartera de la empresa, aunque se ha prometido que se informará debidamente a través de sus canales oficiales, tanto a través de la web como de su cuenta de Twitter.

Conclusión

Como acabamos de ver, las criptodivisas siguen siendo uno de los objetivos principales de los delincuentes. Ya sea atacando a los usuarios como a los servicios de exchange, estos ataques permiten obtener a los delincuentes grandes cantidades de dinero en poco tiempo y relativamente poco esfuerzo.

Si somos poseedores de alguna criptodivisa, debemos extremar las precauciones a la hora de operar con ellas y mantener un alto nivel de seguridad en el sistema en el que vayamos realizar estas operaciones. En caso contrario, cualquier descuido puede provocarnos grandes pérdidas de las que podríamos no recuperarnos.

Josep Albors

Páginas