Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 2 horas 56 mins

Grave incidente: roban datos de los clientes de Cathay Pacific

Vie, 10/26/2018 - 12:53

El día 24 octubre Cathay Pacific informa que han sufrido un importante incidente de seguridad: han robado datos personales y financieros de unos 9,4 millones de clientes.

La compañía ha detectado el incidente al realizar sus revisiones de seguridad y ha descubierto accesos no autorizados a una parte de la base de datos de sus clientes. Tras la identificación, han tomado las medidas para poder contener la filtración de forma inmediata.

Ruper Hogg, el CEO de Cathay Pacific, ha afirmado:

“Lamentamos cualquier inquietud que este incidente de seguridad pueda causar a nuestros pasajeros. Hemos actuado de forma inmediata para contener el incidente, estamos realizando una investigación exhaustiva con la asistencia de una empresa líder en seguridad y fortaleceremos aún más nuestras medidas de seguridad”.

La compañía ya ha tenido varios incidentes, el primero fue en marzo de este año y en mayo se confirmó que los datos habían sido expuestos.

Los datos accedidos incluían nombres de pasajeros, nacionalidades, fechas de nacimiento, números de teléfono, correos electrónicos, direcciones físicas, números de pasaporte, etc.

También se accedió a unos 403 números de tarjetas de crédito vencidas, y 27 números de tarjetas de crédito activas, pero sin números de CVV, aseguró Cathay Pacific.

La policía de Hong Kong ha sido alertada de estos incidentes y ellos están notificando a las autoridades relevantes el incidente de Cathay Pacific.

Si creéis que os podéis ver afectados por este incidente, debéis contactar con la compañía en el siguiente correo: infosecurity@cathaypacific.com

Ya son varios incidentes de seguridad a aerolíneas en lo que va de año. Cabe mencionar los siguientes:

  • British Airways el día 6 de septiembre sufrió un importante incidente de seguridad donde fueron robaron datos personales y financieros de sus clientes durante casi dos semanas, desde las 22:58 del 21 de agosto de 2018 hasta las 21:45 del 5 de septiembre de 2018 inclusive.
  • La aplicación de Air Canada sufrió un importante incidente de seguridad en agosto, robaron miles de datos personales de sus clientes.
  • En abril, Delta Airlines también sufrió un incidente de seguridad. Estaban expuestos datos de las tarjetas de crédito de miles de clientes por un ataque a un proveedor de la compañía.

 

Os recordamos los procedimientos relativos a la notificación de las autoridades y de las personas físicas que el RGPD establece en los artículos 33 y 34.

El plazo para la notificación de un incidente es de 72 horas y se debe:

  • Notificar a la Autoridad el incidente de seguridad de acuerdo con las políticas y normas internas establecidas en los protocolos de seguridad y de conformidad con el nuevo Reglamento.
  • Tener un registro de todos los incidentes de seguridad dentro de la organización y que ocurran bajo su responsabilidad.
  • Informar al interesado al igual que al responsable de la Autoridad de Control y Supervisión de la Protección de Datos, cuando el incidente suponga una amenaza directa a las libertades y derechos fundamentales de la persona.
  • Avisar a la persona afectada inmediatamente, a fin de que el interesado tome las medidas y precauciones necesarias para resguardar su seguridad e intereses personales de la mejor manera.

Ingeniería Social – Phishing

Mié, 10/24/2018 - 17:00

La ingeniería social juega un papel fundamental en una gran cantidad de ciberataques. Podemos tener nuestro sistema fortificado y al día para mitigar vulnerabilidades, pero en muchos casos se nos olvida el elemento más importante: el ser humano.

Podemos definir la ingeniería social como la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

 

Los principios de la ingeniería social son:

  • Confianza. -El primer sentimiento es siempre de confianza hacia el otro.
  • Autoestima. -A todos nos gusta que nos alaben.
  • Deseo y curiosidad. -Son muy utilizados por los ciberdelincuentes.
    • Deseo: nos podemos encontrar mensajes, correos o enlaces en redes sociales en los que se regalan entradas (teatro, conciertos, partidos deportivos, etc.) o bonos con dinero para canjear en algún establecimiento.
    • Curiosidad: es un método muy utilizado por los ciberdelicuentes, crean distintas noticias en redes sociales con enlaces a vídeos o fotos a los que resulta difícil resistirse.

Normalmente van cargados de malware o redireccionan a encuestas, anuncios o páginas falsas con algún formulario para introducir datos si quieres ver las noticias o adquirir el regalo (entrada, bono, etc).

¿Cómo piensa el atacante?

Insider. -Es un atacante que tiene privilegios o nivel de confianza ligados a su trabajo, empleados, compañeros, familia. Su objetivo puede ser económico y venganza.

Ciberdelincuente. -Es un atacante que va a buscar toda la información necesaria para poder acceder a la zona “privada” de la víctima y desde ahí perpetrar diferentes ataques.

Estafadores. -Saben elegir a sus víctimas para manipular y poder realizar el engaño con gran habilidad.

Pero no siempre se usa la ingeniería social para fines maliciosos, también es utilizada por investigadores, profesionales del sector de la ciberseguridad o cazatalentos.

 

Ataques comunes

  • Tailgating (Piggybacking). -Es utilizado cuando se quiere entrar a un lugar privado. El atacante seguirá a un individuo autorizado, dando la apariencia de ser escoltado legítimamente o unirse a una gran multitud autorizada para entrar, y pretender ser un miembro de la multitud.
  • Dumpster diving o trashing. -Es una técnica de obtener información privada, que consiste en revisar la basura de la persona u organización a investigar.
  • Eavesdropping. -Se trata de escuchar una conversación de forma secreta para recopilar información.
  • Shoulder surfing. -Es una técnica de observación directa para intentar recopilar información confidencial.
  • Office snooping. -Se trata de aprovechar la ausencia de un compañero en el trabajo, amigo  para husmear en sus terminales.
  • Bribing. -Consiste en sobornar al personal de la organización ofreciendo dinero u otros incentivos para obtener cualquier tipo de información o ventaja en el ataque.
  • Baiting. -El atacante intentará poner algún cebo para poder sacar la información.

 

@anatolir

Ahora me voy a centrar en un ataque del que llevamos hablando mucho tiempo pero que no se consigue mitigar: PHISHING.

Phishing o suplantación de identidad es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, credenciales, cuentas bancarias, números de tarjeta de crédito, etc.

El estafador, conocido como phisher, se hace pasar por una persona o empresa en una aparente comunicación oficial electrónica, por lo general un correo electrónico, mensajería instantánea, redes sociales, incluso llamadas telefónicas.

 

 

Algunos tipos de Phishing

  • Phishing Tradicional. -Está vinculado a la copia de un sitio conocido por la víctima, en el cual se cambia la dirección a donde llegan los datos ingresados. De este modo, el ciberdelincuente roba las credenciales ingresadas por la víctima, que pueden estar alojadas en texto plano en un archivo de texto o ser enviadas a alguna casilla de correo electrónico.
  • Phishing Redirector. -Es un envío masivo de correos, no tiene un destinatario concreto.  Es muy utilizado para obtener datos bancarios.
  • Spear phishing. -En este caso está dirigido a personas o grupos reducidos. La campaña es más personificada y con un porcentaje mayor de víctimas. Consiste en crear un correo electrónico que aparenta ser de una persona o empresa conocida.
  • Smishing SMS. -Se envían mensajes de texto alertando a la víctima de que ha ganado un premio. La víctima debe responder con algún tipo de código o número especial para validar su falso premio.

 

 

 

Para evitar ser víctima de phishing, os dejo algunos consejos:

  • No respondáis a enlaces en correos electrónicos no solicitados.
  • No abráis adjuntos de correos electrónicos no solicitados.
  • No reveléis vuestras contraseñas
  • No proporcionéis información confidencial por teléfono, correo electrónico, mensajería instantánea, etc.
  • Comprobad si la URL es legítima.
  • Tened actualizado el navegador.
  • Utilizad antivirus y antiphishing.

 

Nosotros en ESET tenemos una solución muy efectiva incluida en nuestros productos, que permite bloquear sitios web conocidos por distribuir contenido phishing.

Cuando accedáis a un sitio web de phishing, recibiréis la siguiente notificación en vuestro navegador web:

 

 

La tecnología antiphishing protege frente a intentos de acceder a contraseñas, información bancaria u otros datos sensibles por parte de sitios web falsos enmascarados en otros legítimos. Cuando el equipo del usuario intenta acceder a una URL, los sistemas de ESET la comparan con una base de datos de sitios de phishing conocidos. Si se encuentra una coincidencia, la conexión a la URL es abortada y se dispara un mensaje de alerta. En esta instancia, el usuario podrá optar por acceder al sitio bajo su propia responsabilidad o reportar la URL como un falso positivo de phishing.

La base de datos de antiphishing es actualizada por ESET de manera regular y el módulo antiphishing de ESET implementa algoritmos específicos y proactivos que inspeccionan el diseño visual de los sitios web con el fin de eliminar esos elementos parásitos en sus contrapartes originales. De esta manera es posible detectar formularios bancarios falsos.

Podéis encontrar más información de nuestros productos aquí.

 

¡Espero que os haya gustado!

Vulnerabilidades Web

Mar, 10/23/2018 - 15:51

En primer lugar, debemos revisar la parte del servidor web. Las vulnerabilidades que nos podemos encontrar serán:

  • Comunicación insegura entre cliente y servidor. Es muy importante que la comunicación entre cliente y servidor esté cifrada, sobre todo cuando se trata de envíos de formularios, por ejemplo, para autentificarse en sitio web. En muchas ocasiones se configura el sitio web para usar cifrado con una configuración débil, permitiendo protocolos inseguros, como SSLv2 y SSLv3, o suites de cifrado vulnerables, como MD5. Esto dará una falsa sensación de seguridad, el cliente verá que hay un certificado, que el sitio web aparentemente está cifrado, y, sin embargo, por culpa de los protocolos permitidos podría ser relativamente fácil descifrar esta comunicación. Es por ello que es necesario revisar el estado de la calidad en la configuración de nuestros certificados.

 

  • Software desactualizado. Una vez desplegado el sistema, independientemente de que se hiciese el trabajo de forma correcta, pasado el tiempo el software se desactualiza. Se localizan vulnerabilidades, se corrigen en versiones posteriores, etc. Es necesario llevar un control de las versiones utilizadas, así como mantener el software actualizado, en el menor tiempo posible desde que se libera una nueva versión. En caso contrario, al cabo de un tiempo nuestro sistema será vulnerable y existirán exploits públicos que permitirán atacarlo.

 

  • Configuración débil, por defecto o mal configurado. Esto suele producirse por intentar desplegar el servicio lo más rápido posible o por una confianza excesiva en el software utilizado, incluso por desconocimiento. Cuando se expone a Internet un sistema con su configuración por defecto, si se encuentra una vulnerabilidad en el mismo, el exploit por defecto funcionará. Es necesario revisar el servicio a desplegar y buscar una configuración suficientemente fuerte.

 

En segundo lugar, aunque la aplicación esté desplegada sobre una plataforma correctamente fortificada, la aplicación puede tener vulnerabilidades por una mala codificación.

Las vulnerabilidades más comunes en una aplicación web son:

 

1. Inyección de comandos

El propósito del ataque de inyección de comandos es inyectar y ejecutar comandos especificados por el atacante en una aplicación vulnerable. En situaciones como esta, la solicitud que ejecuta los comandos no deseados del sistema es como un shell del sistema, y el atacante puede hacerse pasar por cualquier usuario del sistema autorizado. Sin embargo, los comandos se ejecutan con los mismos privilegios y en el mismo entorno de la aplicación. Los ataques de inyección de comandos son posibles en la mayoría de los casos debido a la no validación correcta de los datos de entrada, que pueden ser manipulados por el atacante (formularios, cookies, encabezados HTTP, etc.)

Existe una variante del ataque basada en la inyección de código. Las diferencias con la inyección de comandos es que el atacante añade su código al código existente. De esta manera, el atacante extiende la funcionalidad por defecto de la aplicación sin la necesidad de ejecutar comandos del sistema. El código inyectado se ejecuta con los mismos privilegios y en el mismo entorno de la aplicación.

Un ataque de inyección de comando del sistema operativo se produce cuando un atacante intenta ejecutar comandos del sistema a través de un nivel de aplicación vulnerable. Las solicitudes se consideran vulnerables a los ataques de inyección de comandos OS si utilizan la entrada del usuario en un nivel del sistema de comandos.

Las vulnerabilidades por inyección de comandos normalmente se producen cuando:

  • Los datos introducidos en una aplicación proceden de una fuente no confiable.
  • Los datos son parte de una cadena que se ejecuta como un comando por la aplicación.
  • Al ejecutar el comando, la solicitud ofrece a un usuario malintencionado un privilegio o capacidad que el atacante de otro modo no obtendría.

Ya se ha comentado que uno de los mayores problemas que provoca esta vulnerabilidad es la falta de filtrado de las entradas de los usuarios. Es recomendable filtrar las mismas para asegurar que no se introduce código malicioso. Utilizad las funciones:

  • escapeshellarg() que filtra los argumentos
  • escapeshellcmd() que filtra los comandos no estáticos

 

 

2. Cross-Site Scripting (XSS)

Esta es una vulnerabilidad o, mejor dicho, un conjunto de vulnerabilidades, que permiten, utilizando los parámetros de entrada de la aplicación, modificar y añadir código a la misma.

Son vulnerabilidades que se encuentran en el servidor, pero que están destinadas a atacar al cliente.

Generalmente, se necesita que el cliente siga un enlace de la aplicación, en el que se ha modificado algún parámetro, para permitir añadir código que se ejecutará en el navegador del cliente.

Normalmente, el código inyectado será html o JavaScript y la intención será un robo de cookies del cliente, predicción del id de sesión, etc.

Esta vulnerabilidad se aprovecha de la confianza del cliente en el sitio web: verá que es el dominio de la aplicación y que, al seguir el enlace, llega realmente al sitio web que quería, y pensará que no hay suplantación del mismo.

Básicamente, podemos agrupar los XSS en dos grupos:

XSS reflejados: el código modificado se elimina al cargar la página de nuevo. Está basado en la URL y, por tanto, al recargar la página se elimina el mismo.

XSS persistentes: el código modificado queda almacenado en la web.

 

La forma de corregir esta vulnerabilidad es filtrar y validar todas las entradas de la aplicación. No se debe utilizar nunca una variable que se recibe desde el cliente confiando en que esta tendrá un valor correcto. Los lenguajes de programación incluyen diferentes funciones que permiten filtrar el contenido de las variables, dependiendo de dónde las vayamos a utilizar.

 

3. Cross Site Request/Reference Forgery (CSRF)

Esta vulnerabilidad es una evolución de los XSS. En este caso, se va a explotar la confianza en el servidor sobre el cliente. Es decir, nos haremos pasar por un cliente legítimo, utilizando datos parciales del mismo.

Esta vulnerabilidad está presente en formularios. Cuando estos se envían al servidor, es necesario asegurarse de que la petición es legítima y debemos asegurarnos de que el cliente ha realizado la petición, realizando los pasos previos necesarios.

La forma más común para eliminar esta vulnerabilidad o, al menos, mitigarla, es la inclusión de tockens dinámicos. En los actuales FrameWorks, suelen incluirse mecanismos para añadir esta protección a los formularios, de una forma muy sencilla. En algunos, por ejemplo, Laravel (utilizado para desarrollo de aplicaciones en PHP), basta añadir una etiqueta a la plantilla del formulario para que se añada al mismo el tocken anticsrf.

A continuación, os muestro los nombres de los diferentes XSS más comunes, que dependen del lugar donde se consiga inyectar el código deseado.

  • DOM Cross Site Scripting (DOM XSS)
  • Cross Site Flashing (XSF)
  • Cross Frame Scripting (XFS)
  • Cross Zone Scripting (XZS)
  • Cross Agent Scripting (XAS)
  • Cross Referer Scripting (XRS)

 

4. SQL INJECTION

Si los ataques XSS son peligrosos, ya que pueden provocar un robo de sesión, los SQLi lo son aún más porque permiten acceder y manipular la BBDD. La idea es modificar las consultas que hace la aplicación a la base de datos, aprovechando las entradas de usuario a la aplicación.

Existen diferentes ataques de SQL injection, dependiendo de cómo se consiga inyectar y modificar la consulta para obtener los datos que se desean.

  • Bypass de un login mediante SQL Injection
  • SQL Injection (mediante UNION)
  • Serialized SQL Injection
  • Boolean-Base SQL Injection
  • Time-Base SQL Injection
  • Heavy-Queries SQL Injection
  • Stack-Queries

 

Para prevenir los SQLi, se deben parametrizar las consultas y es necesario filtrar y comprobar el valor de las entradas. También es muy importante restringir al máximo los permisos del usuario con el que la aplicación se conecta a la BBDD y, por supuesto, para cada BBDD utilizar un usuario diferente. Esto es muy importante, y aunque es una mala práctica usar una misma instancia del motor de BBDD para diferentes aplicaciones, es un escenario muy común. Por este motivo, si un usuario de la BBDD tiene permisos sobre varias BBDD de diferentes aplicaciones y una de estas presenta esta vulnerabilidad, el atacante podría obtener los datos del resto de aplicaciones.

Además de esto, es muy importante ocultar los errores provocados por consultas en BBDD. Esto es porque la forma de detectar un SQLi es intentar forzar un error (la típica ‘) y, una vez se comprueba que existe, si se muestra al usuario, este puede extraer información, como el motor de BBDD usado, etc., con lo que se le facilitará la realización del ataque.

5. INSECURE DESERIALIZATION

Es una vulnerabilidad que se produce cuando se usan datos no confiables para abusar de la lógica de una aplicación, infligir un ataque de denegación de servicio (DoS) o incluso ejecutar código arbitrario cuando se deserializa.

Para entender esta vulnerabilidad tenemos que tener dos conceptos muy claros:

  • Serialización. Se refiere a un proceso de conversión de un objeto a un formato que puede persistir en el disco enviado a través de secuencias o enviado a través de una red. El formato en el que se serializa un objeto puede ser binario o texto estructurado (por ejemplo, XML, JSON YAML …). JSON y XML son dos de los formatos de serialización más utilizados en las aplicaciones web.
  • Deserialización. Se refiere a transformar los datos serializados provenientes de un archivo, flujo o socket de red en un objeto.

En las aplicaciones web es normal utilizar la serialización y deserialización de forma regular y la mayoría de los lenguajes de programación incluso ofrecen funciones nativas para serializar datos (especialmente en formatos comunes como JSON y XML). Es importante comprender que la deserialización segura de objetos es una práctica normal en el desarrollo de software. Sin embargo, el problema comienza cuando se deserializa la entrada del usuario que no es de confianza.

La mayoría de los lenguajes de programación ofrecen la posibilidad de personalizar los procesos de deserialización. Desafortunadamente, con frecuencia es posible que un atacante abuse de estas funciones de deserialización cuando la aplicación está deserializando datos no confiables que controla el atacante. Los exitosos ataques de deserialización inseguros podrían permitir a un atacante realizar ataques de denegación de servicio (DoS), desvíos de autenticación y ataques de ejecución remota de código.

Con el fin de reducir significativamente la posibilidad de introducir vulnerabilidades de deserialización inseguras, se deben utilizar métodos no lingüísticos para la deserialización, como JSON, XML o YAML.

Sin embargo, tened en cuenta que todavía puede haber casos en los que sea posible introducir vulnerabilidades incluso cuando se utilizan dichos formatos de serialización. La principal es la entidad externa XML (XXE), que es endémica de una variedad de analizadores XML en una variedad de lenguajes de programación y bibliotecas de terceros.

En Python se usa PyYaML, una de las bibliotecas de análisis de YAML más populares para Python.
La forma más sencilla de cargar un archivo YAML utilizando la biblioteca PyYAML en Python es llamar a yaml.load (). En este caso debemos utilizar el método yaml.safe_load() que es más seguro. Es importante tener en cuenta que todas las aplicaciones escritas en Python, Java, ASP.Net y otros lenguajes son susceptibles a vulnerabilidades de deserialización inseguras. Este tipo de ataques son difíciles de realizar, pero no por eso resultan menos peligrosos.

6. XXE (XML EXTERNAL ENTITY)

Consiste en la falsificación de solicitud de servidor (SSRF), mediante el cual un atacante es capaz de causar divulgación de datos confidenciales, denegación de servicio, falsificación de solicitudes del lado del servidor, escaneo de puertos desde la perspectiva de la máquina donde se encuentra el analizador y otros impactos del sistema.

Es decir, es una inyección que aprovecha una mala configuración del intérprete XML permitiendo incluir entidades externas, el ataque se realiza contra la aplicación que interpreta lenguaje XML en sus parámetros.

Para poder controlar este tipo de vulnerabilidad, ya que todo documento XML se comunica desde un cliente que no es de confianza, no es posible validar selectivamente o escapar de datos contaminados dentro del identificador del sistema en la DTD.  Es aconsejable configurar el procesador XML de la siguiente forma: utilizar una DTD estática local y no permitir ninguna DTD declarada incluida en el documento XML.

Podéis encontrar más información sobre cómo defenderse de los ataques XXE aquí.

He intentado explicar de una forma sencilla las principales vulnerabilidades. ¡Espero que os haya gustado!

 

Más información:

Continúan los intentos de extorsión por email, ahora con correos enviados supuestamente desde la cuenta de la víctima

Mar, 09/25/2018 - 12:25

A finales de julio analizamos una campaña de spam que intentaba extorsionar a aquellos que recibían estos correos asustándolos de una forma curiosa. Aparentemente, los extorsionadores habrían obtenido una grabación tomada desde la webcam del dispositivo mientras la víctima estaba visitando alguna web con contenido pornográfico, y para no hacerla pública entre sus contactos solicitaban el pago de una cantidad de dinero en bitcoins.

Muchos usuarios habrían ignorado este tipo de correos sin más si no hubiera sido porque en el asunto de ese email se mostraba una contraseña de acceso a algún servicio que había sido comprometido, y cuyos datos se habrían publicado en alguna de las múltiples filtraciones que se producen continuamente. De esta forma, los delincuentes conseguían generar inquietud entre sus víctimas, ya que estas pensaban que realmente existía un vídeo comprometido que podría hacer mucho daño a su imagen pública.

Misma estrategia con ligeras variaciones

Desde el caso que analizamos a finales de julio hasta hoy hemos visto como este tipo de correos se han venido recibiendo de forma periódica en las bandejas de entrada de los usuarios. Sin embargo, en los últimos días hemos visto tanto un incremento en el número de correos enviados por los delincuentes como en su efectividad a la hora de conseguir que las víctimas paguen por evitar que un vídeo inexistente se difunda.

¿Qué ha cambiado para que los delincuentes estén consiguiendo un relativo éxito con esta campaña reciente? En realidad, el cuerpo del mensaje no ha cambiado en exceso y el tema principal sigue siendo la extorsión a cambio de no difundir un supuesto vídeo comprometido de la víctima. Sin embargo, tanto el remitente que supuestamente envía el mensaje como el asunto han conseguido que varios receptores de este tipo de correos caigan en la trampa y accedan a realizar un pago a los delincuentes.

Veamos un ejemplo de este tipo de correos recibido durante estos últimos días y en el que se observa como el asunto ahora indica que la cuenta del correo ha sido comprometida:

Esta utilización fraudulenta de una dirección de correo legítima (conocida como spoofing) es posible gracias a técnicas de suplantación de remitentes de correo en servicios que no realizan una comprobación de autenticación conocida como SPF. La falta de verificación de quien envía el correo permite que cualquiera pueda enviar correos suplantando la identidad del remitente, haciendo creer al receptor que el mensaje se ha enviado desde una dirección que no se corresponde con la del emisor.

A pesar de que el spoofing lleva siendo utilizado muchos años, aún a día de hoy sigue siendo relativamente fácil engañar a un usuario que no esté debidamente concienciado. Este parece ser el principal motivo por el cual esta campaña ha conseguido un relativo éxito a pesar de utilizar los mismos correos que ya vimos en julio.

Rendimiento de la campaña

Si los delincuentes han decidido cambiar ligeramente su estrategia, es posible que se deba a que buscaban obtener mayores beneficios que los obtenidos hasta ahora. De momento, el análisis de las carteras de Bitcoin revisadas hasta la fecha parece que corrobora este hecho. En solo una de las direcciones proporcionadas por los delincuentes para realizar el pago ya se han realizado 26 transacciones desde el pasado sábado 22, sumando 0,63 Bitcoins, o 5400 euros en el momento de escribir estas líneas.

Estas cantidades (sin ser especialmente elevadas) son significativas, ya que los delincuentes no han tenido que desarrollar ni utilizar ninguna amenaza. Simplemente con el uso de ingeniería social mediante el envío de correos y apelando a la obtención de unas supuestas imágenes comprometidas (que nunca se produjo) y que podrían poner en apuros a la víctima, los delincuentes están consiguiendo, con una inversión mínima, obtener resultados muy interesantes.

A pesar de las molestias que pueden ocasionar estas campañas de correo a aquellos usuarios que cedan al chantaje, este caso puede servir como un ejemplo perfecto para concienciar de la importancia de estar atentos ante campañas de ingeniería social. Cuando ya se es consciente de la forma en la que se nos quiere engañar, es bastante fácil detectar y evitar no solo estos ataques, sino muchos otros.

Conclusión

A pesar de lo alarmistas que suelen ser este tipo de mensajes, si se observan detenidamente es fácil detectar que estamos ante un engaño. Además, estos incidentes nos sirven para resaltar la importancia de aplicar una serie de buenas prácticas que nos ayudan a hacer frente a esta y otras amenazas. Algo tan sencillo como utilizar contraseñas robustas, cambiarlas de forma regular, utilizar las opciones de doble factor de autenticación o tapar nuestra webcam cuando no la estemos utilizando nos puede ayudar a evitar un problema serio y a ignorar engaños como el que acabamos de analizar.

Josep Albors

 

Nuevo Juego Viral “Olivia”

Mié, 09/19/2018 - 11:58

Olivia es el nuevo juego viral que circula por WhatsApp. Se puede considerar más peligroso que Momo, debido a que solo basta con que la víctima haga clic en el enlace para cumplir su cometido.

 

 

 

 

¿En qué consiste “Olivia”?

Según informa la policía de Halton Brook, Reino Unido, han sido advertidos sobre preocupantes mensajes por WhatsApp sobre una supuesta Olivia. Estos mensajes intentan que las víctimas accedan a sitios pornográficos o a virus. Se presenta a sí misma como una amiga, y para probar su identidad envía un enlace donde supuestamente hay una foto junto al usuario que contactó.

 

¿Cuál es su funcionamiento paso a paso?

 

  • La víctima recibe un mensaje por WhatsApp diciendo que es “amiga de un amigo” y que ha cambiado de número de teléfono móvil, y que por eso no lo tienes en la agenda de contactos.
  • Ya agregada, te manda un link donde supuestamente hay una foto suya para probar su identidad.
  • Pero en realidad este enlace te lleva a un contenido pornográfico, al que los menores pueden acceder de forma rápida.

 

 

¿Cómo podemos evitar que nuestros hijos participen en este tipo de juegos y desafíos tan peligrosos?

Lo primero de todo, tenemos que dar importancia a que los niños y adolescentes son vulnerables, ya que no tienen la madurez emocional para enfrentarse a este tipo de juegos y a los diferentes riesgos que se pueden encontrar en Internet (acoso, grooming, extorsión, manipulación, etc…).

Como padres, es muy importante que eduquemos a nuestros hijos sobre el uso adecuado de la tecnología y de los peligros que se pueden encontrar. Los consejos que les podemos dar a nuestros hijos son principalmente:

  • Precaución con las personas nuevas que contactas en la Red.
  • Pedir siempre ayuda a una persona adulta ante cualquier problema.
  • No compartir el número de teléfono en Internet, así como cualquier dato personal.
  • Informarles de los distintos bulos, juegos o desafíos que se pueden encontrar en Internet e insistir sobre la importancia de no compartir y no participar en ellos.

Podéis encontrar en los siguientes enlaces más información acerca de cómo proteger y educar sobre el uso correcto de Internet.

¡No lo dudéis!

Si necesitas ayuda o asesoramiento profesional y especializado puedes llamar a la siguiente línea gratuita y confidencial de IS4K, 900116117, donde recibirás atención psicosocial.

Llegado el momento de denunciar, puedes ponerte en contacto con la Brigada de Investigación tecnológica de la Policía Nacional y con el Grupo de Delitos Informáticos de la Guardia Civil.

 

 

Grave incidente: Roban datos bancarios de los clientes de British Airways

Vie, 09/07/2018 - 12:47

El día 6 de septiembre British Airways informa que ha sufrido un importante incidente de seguridad: han robado datos personales y financieros de sus clientes durante casi dos semanas, desde las 22:58 del 21 de agosto de 2018 hasta las 21:45 del 5 de septiembre de 2018 inclusive.

 

La aerolínea lanzó una investigación y notificó a la policía el incidente ocurrido. Ahora mismo tenemos poca información al respecto, aunque los portavoces de BA han confirmado que 380.000 pagos con tarjetas realizados en su aplicación y en su web han sido comprometidos.  Informe del incidente

 

 

Según la aerolínea la situación ya se ha resuelto y que en estos momentos su web opera con normalidad.

Alex Cruz, presidente y director ejecutivo de British Airways, dijo:

“Sentimos profundamente la interrupción que ha causado esta actividad delictiva. Tomamos la protección de datos de nuestros clientes muy en serio”

 

Creo que es importante recordar los procedimientos relativos a la notificación de las autoridades y de las personas físicas que la RGPD establece en los artículos 33 y 34.

El plazo para la notificación de un incidente es de 72 horas y se debe:

  • Notificar a la Autoridad el incidente de seguridad de acuerdo con las políticas y normas internas establecidas en los protocolos de seguridad y de conformidad con el nuevo Reglamento.
  • Tener un registro de todos los incidentes de seguridad dentro de la organización y que ocurran bajo su responsabilidad.
  • Informar al interesado al igual que al responsable de la Autoridad de Control y Supervisión de la Protección de Datos, cuando el incidente suponga una amenaza directa a las libertades y derechos fundamentales de la persona.
  • Avisar a la persona afectada inmediatamente, a fin de que el interesado tome las medidas y precauciones necesarias para resguardar su seguridad e intereses personales de la mejor manera.

En este caso, la aerolínea debió avisar a los clientes de forma inmediata. Seguiremos muy atentos las investigaciones pertinentes.

 

El empleado seguro, el eslabón más fuerte

Mar, 09/04/2018 - 09:36
© Kurhan

La seguridad en una empresa adquiere cada vez más relevancia, ya que diariamente se identifican nuevas amenazas informáticas y vulnerabilidades. Por ello, proteger la información es una tarea que involucra a toda la empresa, puesto que todos los empleados interactúan con ella.

Un empleado tiene que saber que tiene la responsabilidad de utilizar adecuadamente todos los activos de la empresa y proteger aquellos que estén bajo su responsabilidad.

 

 

Todos los empleados deben cumplir las siguientes pautas:

 

  1. Conocer y aceptar las normas de seguridad de la empresa.

 

  1. Es muy importante identificar la información con la que se está trabajando para poder clasificarla y poder aplicar las políticas de la empresa en concepto de tratamiento de la información de forma correcta para evitar riesgos de fuga de información.

 

  1. No compartir información de la empresa con otras entidades.

 

  1. Para destruir documentos impresos o en formato digital se deben utilizar las herramientas adecuadas para realizar un borrado seguro de la información.

 

  1. Mantener el escritorio limpio y bloquear la sesión cuando se encuentre desatendido es muy importante para no exponer la información privada a terceros no autorizados.

 

  1. Las contraseñas son el principal método para la autenticación de usuarios en los sistemas y plataformas, por lo que los empleados suelen tener varias contraseñas para los distintos sistemas internos que utilicen.

Por ello, es importante que la contraseña sea fuerte para evitar acceso a información confidencial o al sistema por parte de un atacante o un código malicioso. Entendemos como contraseñas débiles aquellas que no combinan letras, números, símbolos y mayúsculas y minúsculas como mínimo, y que son de menos de 10 caracteres.

“Una contraseña segura tiene que ser fácil de recordar y difícil de adivinar”

En este sentido, es recomendable la utilización de un software para la gestión de contraseñas, así como el uso de diferentes claves para servicios corporativos distintos. Del mismo modo, soluciones de doble factor de autenticación reducen de manera considerable los riesgos de seguridad asociados a la forma de verificar la identidad de los usuarios.

 

  1. El uso del correo electrónico corporativo supone someterse a una serie de normas de actuación para preservar su seguridad.

Aunque la empresa tenga instaladas herramientas de seguridad, muchas veces, sin darnos cuenta, estamos exponiendo la integridad de nuestro correo a un riesgo innecesario al darnos de alta con él en redes sociales u otros servicios para un uso personal.

Al hacerlo, no solo estaremos exponiendo nuestra dirección a riesgos, sino al envío de spam, newsletters (boletines) o incluso ataques de phishing que no hacen más que mermar la productividad.

Por lo tanto, es recomendable seguir las indicaciones para preservar la seguridad del correo electrónico corporativo y no utilizarlo para fines personales.

 

  1. Dispositivos móviles: El empleado debe ser consciente de que transportar información sensible en el móvil implica un riesgo, ya que puede convertirse en una vía para la fuga o robo de información. El móvil se debe utilizar solo con fines laborales y utilizar herramientas de control de dispositivos MDM (Mobile Device Management) que eviten la instalación de aplicaciones no permitidas, aplicar políticas de seguridad o realizar el borrado seguro de información de manera remota.

 

  1. Redes sociales:
  • No se debe utilizar las redes sociales personales en los dispositivos de la empresa.
  • El Community Manager debe aplicar las medidas preventivas necesarias para evitar la fuga de información por estas vías:
  • Seguir las normas en cuanto al lenguaje corporativo a aplicar y el tipo de información que puedes compartir.
  • Cambiar la contraseña cada tres meses.
  • Informar ante cualquier sospecha de que la cuenta haya sido secuestrada al departamento de informática.

 

  1. Redes inalámbricas .- Si vas a utilizar redes wifi públicas debes utilizar VPN (Virtual Private Network o red privada virtual). De esta manera, cada vez que te conectes a la empresa, estarás navegando de forma segura y con la información protegida.

 

  1. En caso de que se utilicen dispositivos de almacenamiento USB, siempre es necesario realizar un análisis de presencia de malware en el momento de insertarlos en el equipo (tanto en el corporativo como en el personal), así como utilizar medidas de seguridad adicionales, como el cifrado de datos.

 

Asimismo, las buenas prácticas incluyen acciones como:

  • aplicar controles de seguridad tecnológicos, como antivirus, cortafuegos o antispam, de manera adecuada para mitigar los riesgos de incidentes.
  • actualizar el software y aplicar parches de seguridad para evitar la explotación de vulnerabilidades.
  • reportar inmediatamente eventos sospechosos o incidentes de seguridad que puedan comprometer la información sensible y otros activos críticos de la empresa.

Bitfi, admite que existen vulnerabilidades

Vie, 08/31/2018 - 13:50
https://bitfi.com/

En Julio John McAfee anunció el lanzamiento de un nuevo monedero para el almacenamiento de criptomonedas “Bitfi Wallet”, asegurando que era el más seguro entre los existentes y retó a los usuarios a intentar hackearlo a cambio de una recompensa.

En su cuenta de Twitter, McAfee informó:

Para todos aquellos detractores que afirman que ‘nada es imposible’ y no creen que mi Bitfi Wallet sea el dispositivo más seguro y blindado del mundo, ofrezco una recompensa de USD $100.000 para la persona que sea capaz de hackearla. El dinero habla y las mentiras pasan de largo. Más detalles en http://Bitfi.com”.

Varias profesionales del sector de la ciberseguridad y aficionados aceptaron el desafío y se inscribieron en el “Bounty Program”, y debían adquirir el monedero por un precio de 120 dólares y pagar una entrada de 50 dólares.

El monedero incluía varios activos y el ganador tenía que lograr extraer los saldos y vaciar el BitFi Wallet.

A partir de ese momento han sido varias semanas de disputas en Twitter, Bitfi no quería aceptar las vulnerabilidades encontradas y su respuesta era siempre “que las vulnerabilidades reportadas no cumplieron con las condiciones de la recompensa y por tanto, el dispositivo no significa que haya sido pirateado”. Llegando a ofrecer una segunda recompensa más baja de 10.000 dólares, alterando las reglas y procedimientos e indicando que nadie había conseguido la anterior recompensa.

OverSoft tuiteó haciendo referencia a Saleem Rashid y Andrew Tierney:

“Tenemos acceso de root, un firmware parcheado y podemos confirmar que la billetera BitFi todavía se conecta felizmente al panel de control”. Tenéis el hilo completo aquí.

 

OverSoft más tarde publicó una lista de directorios ROM de BitFi.

 

 

Pero al final Bifti el 30 de agosto confirmó que existen  vulnerabilidades y que harán un anuncio público exhaustivo la semana que viene para reconocer y abordar todas las vulnerabilidades encontradas.

Por ahora retiran toda la oferta de recompensa y planean lanzar un programa de recompensas utilizando la plataforma Hacker One.

Bifti debió asumir sus vulnerabilidades antes por la seguridad de todos los usuarios que confiaron su dinero a ellos. 

Escalada de privilegios en Windows gracias a una vulnerabilidad en el planificador de Tareas

Jue, 08/30/2018 - 13:08

Actualización 3/09/2018: Hasta que aparezca el correspondiente boletín de seguridad, ya empiezan a aparecer algunas contramedidas que pueden aplicarse para evitar la explotación de esta vulnerabilidad. Los compañeros del blog de ZeroLynx han publicado un par de posts explicando con detalle el funcionamiento del exploit y como mitigarlo, posts que recomendamos revisar para comprender mejor el alcance de esta vulnerabilidad.

En una época en la que es raro no encontrarnos con vulnerabilidades anunciadas a bombo y platillo incluso con web propia y hasta logo personalizado, la publicación el pasado 27 de agosto de una vulnerabilidad grave en Windows ha causado revuelo entre la comunidad de investigadores y la propia Microsoft.

Full disclosure vía Twitter

La forma por la que supimos de la existencia de esta vulnerabilidad fue a través de un tweet publicado por la investigadora SandboxEscaper en su Twitter (al cual ya no se puede acceder). De repente, se hacía pública una vulnerabilidad 0-day bastante grave que afectaba a un buen número de sistemas Windows, y además se acompañaba de una prueba de concepto que permitía demostrar su funcionamiento.

Esta vulnerabilidad permitiría a un usuario local sin permisos suficientes en un sistema vulnerable realizar una escalada de privilegios mediante un fallo en el planificador de tareas de Windows hasta obtener permisos de SYSTEM. Concretamente, el problema se encuentra en la interfaz del sistema ALPC (Advanced Local Procedure Call).

La prueba de concepto mostrada tan solo funciona en sistemas operativos Windows de 64 bits como Windows 10 o Windows server 2016, aunque en teoría también se podría hacer funcionar en sistemas de 32 bits modificando el exploit. Esta vulnerabilidad consigue tener éxito por un fallo en la manera en la la función API del planificador de tareas SchRpcSetSecurity revisa los permisos.

Este exploit utiliza de forma maliciosa esta función SchRpcSetSecurity para modificar los permisos de forma local por cualquier otro usuario sin privilegios, incluyendo las cuentas de invitados, abriendo así muchas posibilidades para un atacante.

Ejemplo de inyección de procesos con elevación de privilegios aprovechando esta vulnerabilidad – Fuente: Will Dormann

Formas de mitigar el alcance de esta vulnerabilidad

Debido a que la vulnerabilidad y la prueba de concepto se publicaron sin haber avisado previamente a Microsoft, no existe aún un parche de seguridad que la solucione. Se espera que esta vulnerabilidad sea debidamente solucionada en el próximo boletín de actualizaciones de seguridad, previsto para el martes 11 de septiembre. Hasta entonces, aquellos usuarios y empresas preocupados por posibles ataques que se aprovechen de este agujero de seguridad deberán aplicar medidas preventivas.

Los puntos clave y básicos que cualquier organización debería tener en cuenta para minimizar el impacto de este tipo de vulnerabilidades pasan por contar con una solución de seguridad que sea capaz de detectar cuándo se está intentando ejecutar un exploit en un sistema vulnerable, segmentar las redes para limitar el alcance de una infección o intrusión en la red corporativa y, obviamente, no permitir que aquellos usuarios que no sean de confianza ejecuten código en el sistema, aunque utilicen cuentas con permisos limitados.

Por otro lado, desde la publicación de la vulnerabilidad y de la prueba de concepto, varios investigadores han estado trabajando en posibles soluciones temporales. Por ejemplo, debido a que en la prueba de concepto se utilizaba el servicio spoolsv.exe como ejemplo para colgar de él otros procesos, es muy probable que algunos atacantes con pocas ganas de modificar el código lo utilicen también. Sabiendo esto, si monitorizamos el servicio spoolsv.exe con herramientas como Sysmon, podremos buscar procesos extraños que aparezcan colgando de él.

Otras formas más avanzadas requieren del análisis de registros y correlación de eventos para detectar cuándo se está abusando de esta vulnerabilidad. En el post de Kevin Beaumont donde se habla de este tema se proporciona un script en PowerShell para distribuir a través de las políticas de grupo y así poder detectar cualquier suceso que afecte a la carpeta Tasks, desde la cual se puede realizar la escalada de privilegios.

Aplicación de medidas de mitigación para registrar eventos sospechosos que se aprovechen de esta vulnerabilidad – Fuente: Kevin Beaumont

Conclusión

Esta vulnerabilidad ha sido una de las más importantes descubiertas recientemente, no solo por su posible impacto en sistemas Windows, sino también por cómo se ha hecho pública de forma directa y sin informar previamente a Microsoft. Lo ideal hubiera sido que se hubiese informado previamente al fabricante para que le diese tiempo a desarrollar un parche de seguridad, pero, tal y como están las cosas, deberemos esperar hasta el próximo 11 de septiembre para poder aplicar los boletines de seguridad correspondientes.

Hasta entonces, podemos aplicar las medidas de mitigación comentadas, teniendo en cuenta que, con la prueba de concepto ya publicada, es relativamente fácil para un atacante aprovechar esta vulnerabilidad, en principio solo de forma local, aunque no se descarta que se utilicen otros exploits para conseguir ataques remotos.

Josep Albors

Fortnite: una de cal y otra de arena para los desarrolladores del juego de moda

Lun, 08/27/2018 - 11:18

El videojuego Fortnite: Battle Royale, que tantas noticias ha generado desde hace meses, tiene todas las papeletas para seguir estando en primera plana durante las próximas semanas debido al lanzamiento de su esperada versión para Android. Tras el anuncio del lanzamiento de esta versión con unas semanas de primicia en algunos dispositivos Samsung, no son pocos los que han conseguido descargar una versión beta desde la web del desarrollador y ya se encuentran probando este juego.

El instalador de Fortnite era vulnerable a ataques MitD

A pesar de que aún son pocos los que pueden disfrutar de este juego en Android, esto no ha impedido que la descarga del instalador oficial de Fortnite haya sido el centro de todas las miradas desde hace unas semanas, y no solo por la decisión de Epic Games de ser ellos quienes distribuyan su juego directamente, sin pasar por Google Play.

Como resultado de este minucioso escrutinio, tenemos reciente la noticia de que  investigadores de Google demostraron que el instalador de la aplicación era vulnerable a ataques del tipo man-in-the-disk (MitD). Este tipo de ataques fueron descritos recientemente por investigadores de la empresa de seguridad Check Point, y permiten a aplicaciones maliciosas con pocos permisos ya instaladas en dispositivos Android secuestrar otras aplicaciones legítimas durante su proceso de instalación.

Los ataques MitD son viables cuando una aplicación de Android almacena datos en medios extraíbles como pudieran ser una tarjeta de memoria, ya que estas unidades de almacenamiento no disponen de las mismas medidas de seguridad que el almacenamiento interno del dispositivo. Debido a que la aplicación de Fornite disponible actualmente es tan solo un instalador, un atacante podría estar vigilando cuándo se hace uso del almacenamiento externo durante el proceso de instalador y modificar el contenido legítimo por otro malicioso.

Uno de los investigadores de Google publicó un vídeo donde se observa cómo el instalador de Fortnite descargado desde la tienda Galaxy Apps de Samsung es secuestrado por otra aplicación mientras está almacenando datos en un medio de almacenamiento externo.

Demostración del ataque MitD en el instalador de Fortnite – Fuente: BleepingComputer

Esta noticia no le ha hecho especialmente gracia al desarrollador del videojuego, y hasta el propio CEO de Epic Games manifestó su enfado en Twitter por no haberles dado más tiempo a que la versión del instalador (2.1.0) que solucionaba este problema estuviese más extendida antes de hacer pública la noticia. Algunos incluso apuntan a que esto podría ser una especie de venganza por parte de Google tras decidir Epic Games que su juego estrella no se distribuiría mediante Google Play.

Aun con la versión vulnerable del instalador, el número de usuarios afectado sería relativamente pequeño debido al proceso de distribución escalonado que se está realizando desde la desarrolladora. Veremos qué sucede cuando millones de usuarios en todo el mundo tengan instalada la versión definitiva de la aplicación dentro de unos meses.

Epic Games te da incentivos para que configures el 2FA

En otro orden de cosas, el pasado 23 de agosto Epic Games realizó un movimiento de lo más interesante para incentivar que los jugadores de Fortnite activasen medidas de seguridad adicionales como el doble factor de autenticación (2FA). En su web oficial publicaron la noticia de que todos aquellos que activasen esta medida de seguridad recibirían como premio un nuevo gesto que podrían usar en Fortnite: Battle Royale.

Es probable que para muchos de los jugadores fuera la primera vez que oyeran hablar del doble factor de autenticación, pero debido a la popularidad que tiene este juego, es una iniciativa muy buena que puede servir para que muchos usuarios se interesen por aplicar esta medida de seguridad adicional en otros servicios online como sus cuentas de correo o redes sociales.

Si se desea activar el 2FA, tan solo debemos ir a nuestra cuenta de Epic Games, acceder a los ajustes de la cuenta, pulsar sobre la opción “Contraseña y seguridad” y acceder a la sección “Inicio de sesión en dos pasos”. Allí veremos las opciones “Activar la aplicación de autenticación” o “Activar la autenticación por correo electrónico”, debiendo seleccionar una de las dos. Si nos decidimos por utilizar una aplicación para que genere los códigos de verificación de un solo uso, podemos elegir entre algunas de las más utilizadas, como por ejemplo:

Google Authenticator

LastPass Authenticator

Microsoft Authenticator

Authy

En cualquier caso, un movimiento así es de alabar por parte de Epic Games, ya que consigue que millones de usuarios de todo el mundo que nunca habían oído hablar del doble factor de autenticación y su importancia se interesen por él, y lo apliquen también a otros servicios online.

Conclusión

Fortnite sigue siendo uno de los juegos estrella de 2018 y todo lo que tenga relación con él despierta interés, ya sea la solución de un fallo de seguridad en el instalador que podría haber causado serios problemas de haberse descubierto unas semanas más tarde, o una iniciativa muy loable para aumentar el conocimiento y la aplicación de medidas adicionales de seguridad.

Josep Albors

¿Usas redes sociales? Esto te interesa …

Vie, 08/24/2018 - 14:35
© cirodelia

Podríamos afirmar que Internet es una herramienta muy valiosa si le damos un buen uso, ya que podemos compartir intereses e inquietudes con otras personas. Nos permite:

 

  • intercambiar ideas
  • reencontrarnos con otras personas
  • ofertar productos, servicios y realizar negocios
  • compartir e intercambiar información en diferentes medios
  • espacios para servicios sociales como la búsqueda de personas desaparecidas o intereses particulares
  • espacios educativos para compartir conocimiento
  • poder trabajar a distancia

 

Pero es importante recordar a todos los padres o responsables de menores que Internet no es un juguete porque hemos hablado de algunas cosas positivas, pero internet y las redes sociales tienen muchos peligros potenciales y por eso debemos educar y cuidar a los menores para que puedan tener una navegación segura.

© antic

Voy a hablar de algunos riesgos se pueden encontrar en Internet y las RRSS:

  • SEXTING. – Básicamente, hacerse fotos eróticas y colgarlas en las redes sociales o enviarlas a través del móvil. Esta travesura o atrevimiento puede tener un efecto devastador, puede caer en manos equivocadas.
  • CYBERBULLING. – Es el acoso a través Internet, pero sin fines sexuales. Es decir, el uso de medios telemáticos (Internet, telefonía móvil, videojuegos on-line, etc.) para ejercer el acoso psicológico entre iguales. Se excluye el acoso o abuso de índole estrictamente sexual y los casos en los que intervienen personas adultas.
  • GROOMING- Es el acoso sexual de adultos a menores, utilizando las redes sociales. El primer paso lo dan utilizando esa imagen o vídeo erótico del menor que han conseguido previamente, a veces mediante perfiles falsos.
  • CONTENIDO INAPROPIADO. – Pueden ser de diverso tipo: violentos, relacionados con el consumo de sustancias estupefacientes, lenguaje soez, pornografía, pornografía con menores y contenidos pedófilos, racistas o xenófobos, la apología de terrorismo, fabricación de artefactos explosivos, armas, juegos online de adultos, juegos de azar, apuestas o, sencillamente, páginas de hábitos poco saludables.
  • COMUNIDADES PELIGROSAS. – En internet es fácil encontrar grupos con un trasfondo perjudicial e inapropiado para los menores por su extremismo, odio y violencia por motivos étnicos, políticos, religiosos, de género, de identidad sexual, de clase social, etc.
  • BULOS, MITOS Y FRAUDES. – Es frecuente que se puedan encontrar con noticias falsas e incluso fraudes, que son difundidos con gran rapidez a través internet. Los menores son muy vulnerables a este tipo de noticias ya que no tienen la madurez suficiente para identificar la falsedad de la información.
  • RETOS VIRALES. – Se han convertido en uno de los mayores peligros en Internet. Bajo la apariencia de simples juegos entre amigos, se convierten en ocasiones en situaciones de riesgo que producen lesiones graves o incluso la muerte. Algunos ejemplos: Ballena azul, Momo, Balconing, Juego de asfixia, Reto de la canela, etc.

La prevención es fundamental para que el menor pueda enfrentarse a los distintos riesgos que se puede encontrar y pueda controlar la situación.

Os dejo algunas recomendaciones, debemos:

  • enseñar a nuestros hijos a contrastar la información e identificar fuentes de confianza.
  • fomentar aspectos como la empatía, valores de convivencia.
  • escuchar y entender las inquietudes de los menores para que se sientan seguros y puedan compartir sus experiencias sin temor a la reacción de los adultos.
  • concienciar y promover el cuidado de la privacidad. Es necesario hacerles partícipes de las implicaciones y riesgos que supone no proteger la privacidad, tanto en la actualidad como de cara al futuro, mostrando las consecuencias de forma que comprendan lo que está en juego.
  • concienciar de lo peligroso que puede ser compartir información sensible (imágenes íntimas, contraseñas, geolocalización, mensajes que pudieran perjudicarles), aceptar como amigos a quienes no conocen en persona y  quedar con desconocidos, etc.
  • tutelar a los hijos en la navegación por Internet, al igual que se hace en el resto de las actividades cotidianas.
  • hablar de los peligros que se pueden encontrar.

Por último, debemos recordar que la ley española no permite que por debajo de los 14 años los niños y adolescentes se abran cuentas en las redes sociales.

“El Reglamento de protección de datos de la Unión Europea, que entró en vigor el 25 de mayo de 2018, establece que la edad a la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de datos personales en el ámbito de los servicios de la sociedad de la información (en el que se incluyen las redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia. El límite inferior es de 13 años. “

A partir de 14 años: Facebook, Snapchat, Youtube, Twitter, Instagram, Google.

A partir de 16 años Whatsapp, Telegram                

Podéis encontrar en los siguientes enlaces más información de cómo proteger y educar sobre el uso correcto de Internet.

¡No lo dudéis!

Si necesitas ayuda o asesoramiento profesional y especializado puedes llamar a la siguiente linea gratuita y confidencial de IS4K, 900116117, donde recibirás atención psicosocial.

Llegado el momento de denunciar puedes ponerte en contacto con la Brigada de Investigación tecnológica de la Policía Nacional y con el Grupo de Delitos Informáticos de la Guardia Civil.

Turla: un vistazo a su funcionalidad única de backdoor a través de Outlook

Mié, 08/22/2018 - 15:01

Investigadores de ESET han descubierto un interesante backdoor utilizado por el grupo APT Turla (también conocido como Snake o Uroboros) usado para obtener información confidencial perteneciente a gobiernos de, al menos, tres naciones europeas. Este grupo ha estado utilizando esta herramienta durante años y ahora sabemos que la lista de víctimas de alto perfil que se han visto afectadas es más elevada de lo que se pensaba.

Entre las víctimas se encuentra el Ministerio de Asuntos Exteriores de Alemania, donde Turla introdujo su backdoor en varios sistemas y los utilizó para el robo de datos durante la práctica totalidad de 2017. De hecho, los operadores de Turla comprometieron primero la red del Instituto Federal de Administraciones Públicas alemán, utilizándola como punta de lanza para acceder a la red del ministerio en marzo de 2017. No fue hasta finales de año que el servicio de seguridad alemán detectó la intrusión, la cual no se hizo pública hasta marzo de 2018.

Es importante destacar que la investigación realizada por ESET ha determinado que, además del incidente de seguridad hecho público, el grupo criminal ha utilizado la misma táctica para acceder a las oficinas de asuntos exteriores de otros dos países europeos, así como también a la red de un fabricante de la industria de la defensa. Estas organizaciones son las últimas que se incorporan al listado de víctimas de este grupo APT que ha tenido como objetivos a gobiernos, personal gubernamental, diplomáticos y autoridades militares desde, al menos, 2008.

Diseccionando el backdoor

La puerta trasera objetivo del análisis de los investigadores ha sufrido numerosas modificaciones desde que fue creada, muy probablemente en el lejano 2009. Durante estos años, sus autores han ido añadiendo numerosas funcionalidades a esta herramienta y otorgándole capacidades de camuflaje y supervivencia frente a los intentos de eliminarla. La versión descubierta más recientemente y que data de abril de 2018 incorpora la habilidad para ejecutar scripts maliciosos de PowerShell directamente en la memoria del ordenador, una táctica que los ciberdelincuentes vienen empleando en los últimos años.

Imagen 1 – Línea temporal del backdoor de Turla para Outlook

Las versiones más recientes del backdoor tienen como objetivo a Microsoft Outlook, aunque sus versiones anteriores también se dirigían a The Bat! (usado principalmente en Europa del Este). Es destacable el hecho de que los operadores de Turla no aprovecharan ninguna de las vulnerabilidades existentes tanto en lectores de PDF como en Microsoft Outlook como vectores de ataque. De forma inusual, este backdoor utiliza la interfaz MAPI legítima de Microsoft Outlook para acceder a los buzones de correo de sus objetivos.

En lugar de utilizar una infraestructura convencional de centro de mando y control (C&C), como una basada en HTTP(S), este backdoor es controlado mediante mensajes de correo y, más específicamente, mediante archivos PDF especialmente modificados adjuntos a emails. La máquina infectada puede ser instruida para llevar a cabo toda una serie de comandos, incluyendo aquellos con la capacidad de robar información, así como los que permiten descargar ficheros adicionales y la ejecución de nuevos programas y comandos. El robo de información también se produce mediante los archivos PDF.

El backdoor (que se presenta en la forma de un módulo de DLL y puede ser colocado en cualquier parte del disco duro) se instala utilizando una utilidad legítima de Windows (RegSvr32.exe). Mientras tanto, este malware consigue la persistencia en el sistema mediante la modificación del registro, algo bastante frecuente cuando un sistema Windows resulta infectado. En este caso, Turla utiliza una técnica de eficacia sobradamente demostrada conocida como “Secuestro de objeto COM” para asegurarse de que cada vez que se ejecuta Microsoft Outlook, se activa el backdoor.

Robo de información confidencial

Cada vez que la víctima recibe o envía un correo electrónico, el malware genera un registro que contiene metadatos sobre ese mensaje, incluyendo información acerca de su remitente, destinatario, asunto y el nombre de los ficheros adjuntos. De forma periódica, estos registros se unen con otro tipo de datos y son enviados a los operadores de Turla usando un  archivo PDF especialmente modificado que se adjunta a un mensaje de correo.

Adicionalmente, en cada correo entrante el backdoor revisa si hay algún fichero adjunto en formato PDF que pueda contener comandos de los atacantes. De hecho, es capaz de aceptar comandos de cualquiera que pueda codificarlos en un fichero PDF. Para terminar, los operadores de Turla son capaces de retomar el control del backdoor tan solo enviando un comando desde cualquier dirección de correo, en el caso de que las que están establecidas por defecto (que también son actualizables) sean bloqueadas. La capacidad de supervivencia de este backdoor a los intentos de deshacerse de él es comparable a la de los rootkits que, revisando las comunicaciones entrantes, están a la espera de recibir comandos de sus operadores.

A pesar de que los investigadores de ESET no han obtenido una muestra de uno de estos PDF que contenga los comandos para el backdoor, el conocimiento de su funcionamiento les ha permitido generar un documento (ver imagen 2) con órdenes que el backdoor puede interpretar y ejecutar.

Imagen 2 – Ejecución de los comandos especificados en el documento PDF

Mientras tanto, todos los emails enviados por la víctima son redirigidos a los operadores del backdoor al mismo tiempo que son enviados a sus destinatarios legítimos. Así se asegura que no existe tráfico fuera del horario habitual de trabajo de la víctima, reduciendo así el riesgo de levantar sospechas.

Este malware se preocupa bastante de permanecer fuera de la vista en las máquinas que infecta. Por ejemplo, siempre que es posible se evita mostrar los correos recibidos por los atacantes, tanto en la bandeja de entrada de la víctima como en el contador de mensajes no leídos. Además, el malware bloquea cualquier notificación de recepción de mensajes enviados por los atacantes.

Conclusión

Esta no es, ni de lejos, la primera vez que los investigadores de ESET han documentado la tenacidad de los operadores de Turla para conseguir sus objetivos mientras permanecen sin ser detectados el mayor tiempo posible. Tal y como recientes análisis de otras amenazas del mismo grupo han mostrado, como las del backdoor Gazer y su campaña con diplomáticos de Europa del Este entre sus objetivos, se continúan empleando técnicas avanzadas en un intento de espiar a sus objetivos y conseguir que el malware permanezca el mayor tiempo posible en los equipos infectados.

Este backdoor del grupo Turla es una amenaza muy completa que utiliza técnicas propietarias y personalizadas, que puede trabajar independientemente o con otros componentes de Turla y se controla completamente usando el email. De hecho, los investigadores de ESET no conocen otro grupo de espionaje que esté utilizando actualmente un backdoor controlado completamente por correo electrónico y, específicamente, mediante adjuntos en formato PDF.

Para obtener un detallado análisis del backdoor se puede consultar el white paper preparado para la ocasión.

Traducido y adaptado por Josep Albors

Nuevo juego viral “Momo”

Vie, 08/17/2018 - 14:04
Image Source-India TV

Un nuevo juego viral “Momo” ha conseguido recorrer el mundo y sembrar el miedo tal y como ocurrió con el peligroso reto de la ballena azul.

El juego comenzó a través de Facebook, ahora también está circulado por WhatsApp. La cuenta usa una imagen con características monstruosas, se trata de una escultura llamada “Mother Bird” de Linked Factory se inspiró en las obras de Midori Hayashi, es importante indicar que el artista no está asociado con este juego.

¿En qué consiste “Momo”?

Comienza cuando el participante recibe un mensaje de “Momo” para comunicarse con un número desconocido. Al igual que la ballena azul, el juego incluye una serie de tareas seguidas por la última tarea, el suicidio. Momo envía imágenes perturbadoras y amenazas a los usuarios si se niegan a participar con revelar información personal.

Este juego es un engaño destinado a robar información personal. Se han informado de algunos incidentes en Alemania, Argentina, Francia y Estados Unidos.

Uno de los incidentes más graves se ha registrado en Argentina con la muerte de una niña de 12 años http://dbpost.com/after-blue-whale-momo-challenge-triggers-suicide-among-teens/

¿Cómo podemos evitar que nuestros hijos participen en este tipo de juegos y desafíos tan peligrosos?

Lo primero de todo tenemos que dar importancia que los niños y adolescentes son vulnerables ya que no tiene la madurez emocional para enfrentarse a este tipo de juegos y a los diferentes riesgos que se pueden encontrar en Internet (acoso, grooming, extorsión, manipulación, etc …)

Como padres, es muy importante que eduquemos a nuestros hijos sobre el uso adecuado de la tecnología y de los peligros que se pueden encontrar. Los consejos que le podemos dar a nuestros hijos son principalmente:

  • Precaución con las personas nuevas que contactas en la Red.
  • Pedir siempre ayuda a una persona adulta ante cualquier problema.
  • No compartir el teléfono en Internet, así como cualquier dato personal.
  • Informarles de los distintos bulos, juegos o desafíos que se pueden encontrar en Internet e insistir en la importancia de no compartir y no participar en ellos.

Podéis encontrar en los siguientes enlaces más información de como proteger y educar sobre el uso correcto de Internet.

¡No lo dudéis!

Si necesitas ayuda o asesoramiento profesional y especializado puedes llamar a la siguiente linea gratuita y confidencial de IS4K, 900116117, donde recibirás atención psicosocial.

Llegado el momento de denunciar puedes ponerte en contacto con la Brigada de Investigación tecnológica de la Policía Nacional y con el Grupo de Delitos Informáticos de la Guardia Civil.

“Debemos de concienciar de los peligros que existen en Internet”, asegura el Fundador y Organizador de TomatinaCon, Raúl Fuentes

Jue, 08/16/2018 - 08:40

Hoy tengo el placer de entrevistar a un gran profesional Raúl Fuentes (@raulfuentes77 ) fundador y organizador de TomatinaCon (@tomatinacon).

1.- ¿Qué es lo más complicado para destacar en tu profesión? ¿Qué tres consejos les darías a los que quieran seguir tus pasos?

En mi profesión como docente lo más complicado es poder hacer que a l@s alumn@s les entre el gusanillo de la seguridad, pero una vez les entra, es muy rápida la adquisición de los conocimientos necesarios. Esto les ayuda a comprender como funciona el mundo real.

Siempre les digo a mis alumn@s que hagan y estudien lo que les guste, pero una vez empiecen que lo acaben, porque hasta que no acabas una cosa no sabes si realmente es lo que te interesa o no.

Además, en nuestro campo tienes que estar actualizado permanentemente, así que lo que tienen que hacer es consultar, investigar y probar constantemente.

 2.-Cuál ha sido tu mejor día profesional…

Ha habido muchos, pero quizá uno de los más felices fue cuando con un conjunto de chavales, alumn@s de formación profesional básica, se clasificaron para la final de Cyberolimpics, y en la final de León, quedaron séptimos de toda España, compitiendo contra otros compañeros de niveles superiores, pero, ver la cara de ilusión, concentración y satisfacción por el trabajo bien hecho no tiene recompensa.

 

3.-Y el más duro…

Mmmmm se me olvida pronto lo malo….jeje

 

 4.-De qué te sientes orgulloso actualmente…

De poder hacer lo que más me gusta: enseñar y aprender junto a l@s alumn@s.

 

 5.-Un error que cometiste y del que has aprendido

Quizá no haberme metido en esto antes jeje pero nunca es tarde, por eso estamos aquí!!

 

 6.-Lo que más respeto te da del mundo digital en el que vivimos

La facilidad con que compartimos nuestros datos y toda la información que exponemos sin darnos cuenta: lo que hacemos, donde estamos, etc…  debemos de concienciar de los peligros que existen en Internet y que cada uno decida cómo y cuándo compartir esos datos.

 

 7.-Sobre los menores: ¿Están perdiendo los niños capacidades de socialización?,¿Son capaces los niños de divertirse sin recurrir a la tecnología? Algún consejo para los padres

Cada vez hay más dispositivos conectados a Internet, y cada vez l@s niñ@s hacen uso de esa tecnología. Como padres hemos de enseñar a nuestros hijos como deben utilizarla.

Como siempre digo hay tiempo para todo….para jugar ‘online’, jugar ‘físicamente’,… y divertirse de cualquier forma, por lo que hemos de saber racionalizar el uso de la tecnología.

 

 8.-A dónde te gustaría llegar

Me gustaría llegar  a…  donde me lleve la vida… no me puedo quejar…. Tengo una familia espectacular, amig@s por todos los lados…. Hago lo que me gusta en mi trabajo…. Eso sí… en este mundo hay que estar al día por lo que siempre hay que tener un hueco para todo…

 

9.-Tu próximo reto

Mi próximo reto… seguir aprendiendo y participando de la mejor manera: enseñando y compartiendo conocimiento.

 

10.- ¿Qué se debería cambiar para que más mujeres se animen a entrar en el mundo de la ciberseguridad?

Yo creo que cada vez hay más mujeres en el mundo de la ciberseguridad… de hecho sólo hay que ver las mujeres que hay en diversas empresas de ciberseguridad, mujeres que dan talleres/ponencias en los distintos masters/postgrados, así como en los diversos cursos y cons…. Hay que romper la barrera de que este mundo sólo es de hombres, eso no es así, de hecho, el último equipo en ganar los iCTFs de la DefCON ha sigo un grupo español, y con una chica a la cabeza!!

 

  1. ¿Qué nos podemos encontrar en TomatinaCon?

En TomtinaCON nos podemos encontrar un grupo humano y profesional muy bueno con ponencias, charlas, talleres, hack&beers…de todo un poco…en un ambiente familiar… sabemos que son fechas malas porque es la última semana de agosto y mucha gente está de vacaciones…además es lunes y martes…. Pero lo bueno que tiene es que finalizamos con la batalla de “La Tomatina”… donde en una hora nos quitamos el estrés acumulado de todo el año… jeje

 

12.- De qué te sientes orgulloso como fundador y organizador…

De juntar en un pueblo como Buñol, de poco más de 9.000 habitantes,  a un gran número de profesionales y amigos del mundo de la ciberseguridad que crece cada año.  Y así, poner mi granito de arena.

 

13.- ¿En qué ha cambiado TomatinaCon desde que comenzó?

Principalmente el número de asistentes, que cada año va a más, ya que la esencia del evento es la misma…. Un primer día donde hablar de la seguridad de internet para los jóvenes y no tan jóvenes, así como talleres con especialistas, y un segundo día con charlas de grandes profesionales finalizando con un Hack&Beers, preparando La Tomatina del día siguiente.

 

14.- Novedades de esta edición

Para esta edición contamos con un CTF online, que permitirá al ganador (que esté presente) representar a TomatinaCON en la final individual de CyberCamp 2018 que se celebrará del 29 de Noviembre al 2 de Diciembre en Málaga (España).

Además cada año, hacemos algún evento ‘extra’ aprovechando las fiestas de Buñol…como participación en el concurso de Paellas, “torrá”,…

¡¡Estáis tod@s invitad@s a participar en TomatinaCON, y si además os quedáis para La Tomatina, ya será ponerle el broche a unas jornadas un poco distintas!!

¡Muchas gracias Raúl por dejarte robar unos minutos!

“Hoy en día la gente no está concienciada de los peligros que existen en Internet”, Tamara Hueso

Mié, 08/08/2018 - 13:31

Hoy tengo el placer de entrevistar a una gran profesional del sector de la ciberseguridad: Tamara Hueso (@tamarahueso).Es Analista Senior de Ciberseguridad en Deloitte, miembro del blog especializado en seguridad informática Follow The White Rabbit, y la primera mujer finalista de la competición anual de ‘Atrapa la bandera’, organizada por CyberCamp.

  1. ¿Qué es lo más complicado para destacar en tu profesión?

Considero que, como en cualquier profesión, para destacar es necesario tener un amplio conocimiento de la materia, pero sin duda, también es muy importante el esfuerzo y la dedicación en tu trabajo.

En esto de la ciberseguridad es muy importante tener un conocimiento básico de todos los ámbitos que lo componen, sin embargo, creo que es necesario centrarse en alguna de estas ramas y especializarse en ella. La ciberseguridad es un sector muy extenso, por lo que considero inviable ser muy bueno en todas las ramas de este sector y es preferible ser experto en algo.

  1. ¿Qué tres consejos les darías a los que quieran seguir tus pasos?

Tres consejos que daría a los que sigan mis pasos serían:

– Constancia en tu trabajo.

– Disfrutar al máximo de lo que haces.

– Exigirte al máximo cada día, autoformándote y siendo curioso.

  1. ¿Cuál ha sido tu mejor día profesional?

Podría decir que hay dos momentos en mi carrera profesional que han sido muy buenos.

Uno fue cuando terminó el evento summerXperience que organiza Deloitte el verano pasado. En el evento montamos un minirreto en el cual los chic@s tenían que realizar varias pruebas del tipo a un CTF para ayudar a una empresa que había sufrido un ataque ransomware.

Al finalizar el evento los alumnos nos felicitaron y quedaron muy contentos, no se hacían a la idea de la ilusión que a mí me hacía. Ver tu trabajo recompensado en sus caras de ilusión y todo lo que aprendieron no tiene precio.

El segundo diría que es cuando me dieron mi primer feedback en mi trabajo actual, venía de una empresa en la cual no se reconocía el trabajo del empleado y me sentí muy realizada cuando me dijeron que estaban muy contentos conmigo. Es una motivación que te digan que lo estás haciendo bien, no en todas las empresas se hace.

  1. ¿Y el más duro…?

Creo que no podría decir uno en concreto, pero sí una etapa, la de mi trabajo anterior. Fue una muy mala experiencia en todos los sentidos. El trabajo no me gustaba, no me sentía útil. La relación, salvo excepciones, fue bastante mala. No se reconocía el trabajo de los que realmente lo realizaban y los que no hacían nada se llevaban los méritos. En resumen, muy mal.

Es complicado dar con la empresa en la que te sientes a gusto, puesto que hay muchos aspectos que valorar, pero yo creo que la he encontrado.

  1. ¿De qué te sientes orgullosa actualmente?

Actualmente (y siempre) me voy a sentir orgullosa de donde he llegado, empecé siendo una chica que no sabía qué estudiar, no tenía claro hacia dónde dirigir mi carrera profesional. Y creo que tuve la mejor decisión de mi vida.

He tenido el gran ejemplo de tener unos padres luchadores y por lo tanto me esfuerzo al máximo en cada cosa que hago, y eso me ha llevado a estar donde estoy.

  1. ¿Tu próximo reto?

Considero que, para conseguir cumplir nuestros retos, estos tienen que ser alcanzables y no muy idílicos. Como reto profesional, me gustaría seguir formándome y creciendo en mi trabajo, adquiriendo mayor valor como profesional y conseguir ser un gran apoyo para mis compañeros de trabajo. Ser una referencia en la que fijarse.

  1. ¿Cuáles son las lagunas más importantes que tiene la gente de la calle en relación a seguridad en la red?

Hoy en día la gente no está concienciada de los peligros que existen en Internet. Creo que como las consecuencias muchas veces no son físicas, la gente no lo ve como algo real.

No se dan cuenta de que mediante un ciberataque se pueden causar desastres catastróficos como pueden ser el hackeo de un avión, de una central eléctrica, centrales nucleares o simplemente abrir una presa que inunde pueblos enteros.

Se piensan que, por no ser famosos, los “malos” no van a querer atacarlos. Y ese es el gran problema: que no son conscientes en ningún sentido de los riesgos en la red.

¡Muchas gracias Tamara por dejarte robar unos minutos!

ZombieBoy: malware con funcionalidad de gusano centrado en la minería de criptomonedas

Lun, 08/06/2018 - 13:19

El mundo de las criptomonedas está en constante evolución, y de la misma forma que los usuarios buscan la forma de obtener las máximas ganancias minando o negociando con estas divisas, los delincuentes siguen desarrollando amenazas cada vez más sofisticadas para conseguir infectar más dispositivos que poner al servicio de sus redes de minado.

Criptominero con funcionalidades de gusano

Durante los últimos meses hemos visto como los delincuentes han ido adaptando sus técnicas para conseguir infectar cada vez más dispositivos para tenerlos a su disposición. Si al principio veíamos como se confiaba en que las víctimas instalasen el software de minado (engañándolas mediante la descarga de ficheros maliciosos camuflados como aplicaciones legítimas para luego pasar al minado a través de código JavaScript en todo tipo de webs), desde hace un tiempo se han observado campañas que combinan el criptominado con la capacidad de propagación de un gusano informático.

Esquema de funcionamiento de ZombieBoy – Fuente: AlienVault

Precisamente un malware con funciones de minado, y que incluye esta característica de gusano que le proporciona rapidez de propagación, ha sido detectado recientemente por el investigador James Quinn, quien publicó un completo análisis. Este investigador ha descubierto que, además de utilizar varios exploits para propagarse rápidamente, este malware también los utiliza para intentar evitar ser detectado.

Este malware ha sido bautizado como ZombieBoy por el uso que hace de una herramienta llamada ZombieBoyTools y que es utilizada para descargar la primera librería maliciosa en el sistema y luego utiliza varios exploits para propagarse, de formaparecida a como lo hacía otra amenaza similar como MassMiner, aunque utilizando sus propias herramientas para encontrar sistemas que infectar.

Uso de exploits conocidos

En el análisis de esta amenaza se han observado varios puntos interesantes, como por ejemplo un posible origen localizado en China, ya que lenguaje utilizado en su desarrollo es el chino simplificado. Si bien esta pista puede parecer definitiva a la hora de realizar atribuciones, nunca debemos de fiarnos al 100% de este tipo de detalles, puesto que esas evidencias podrían haber sido incluidas para despistar a los investigadores.

En cuanto al uso de exploits conocidos, ZombieBoy utiliza nada menos que 3 de ellos para propagarse y que aprovechan sendas vulnerabilidades, además de los sobradamente conocidos DoublePulsar y EternalBlue, para conseguir instalar remotamente la librería principal del malware, todo esto gracias a las herramientas ZombieBoyTools.

  • CVE-2017-0176: vulnerabilidad en escritorio remoto que permite la ejecución de código arbitrario en Windows XP y Windows Server 2003.
  • CVE-2017-0143: vulnerabilidad que permite la ejecución de código remotamente mediante protocolo SMB.
  • CVE-2017-0146: vulnerabilidad que permite la ejecución de código remotamente mediante protocolo SMB.

Captura de pantalla de la herramienta ZombieBoyTools – Fuente: AlienVault

A pesar de que esta amenaza está centrada en el minado de criptomonedas, la instalación de una funcionalidad backdoor por RDP permitiría al atacante infectar el sistema con otras amenazas tales como el ransomware. Una vez infectado el sistema, este empezará a minar la criptomoneda Monero, reportándole un beneficio directo a los delincuentes e incrementando este beneficio conforme más sistemas logren infectar.

Según el investigador, esta amenaza está actualizándose constantemente, seguramente para intentar evadir la detección por parte de los motores antivirus. Además, utiliza técnicas de detección de entornos virtualizados para dificultar su análisis, ya que no se ejecuta normalmente si detecta que se intenta ejecutar en una máquina virtual.

Conclusión

El uso de exploits que permiten a una amenaza como esta propagarse rápidamente en una red corporativa permite a un atacante tener a su merced a una importante cantidad de equipos en poco tiempo, ya sea para realizar funciones de minado u otras acciones maliciosas como las que vimos el año pasado con casos como WannaCry o Petya.

Por amenazas como ZombieBoy y muchas otras, es importante mantener nuestros dispositivos actualizados con los parches de seguridad que se vayan publicado. La minería de criptomonedas sigue proporcionando importantes beneficios a los delincuentes y por eso no sería raro ver más amenazas similares en las próximas semanas o meses.

Josep Albors

 

SMS como doble factor de autenticación, ¿sigue siendo seguro?

Vie, 08/03/2018 - 11:53

Desde hace años venimos recomendando la utilización de un doble factor de autenticación (2FA) para mejorar la seguridad de aquellos servicios o aplicaciones que, inicialmente, dependen de un nombre de usuario y contraseña. La aplicación de una medida de seguridad adicional como esta normalmente supone una mejora a la hora de acceder a datos confidenciales o privados, pero, como vamos a ver hoy, no todas las soluciones 2FA ofrecen las mismas garantías.

El incidente sufrido por Reddit

Como posiblemente muchos de nuestros lectores ya sabrán, Reddit anunció recientemente que durante el pasado mes de junio un atacante consiguió acceder a las cuentas de empleados de la empresa, aun a pesar de que tenían activado el doble factor de autenticación por SMS. Este ataque permitió a los atacantes obtener acceso de solo lectura a algunos sistemas con copias de seguridad, código fuente y otros registros.

Sin embargo, la mayoría de los datos que fueron accedidos de forma ilícita, incluyendo credenciales (no en texto plano, sino con hash+salt) y direcciones de correo; pertenecían a una copia de seguridad del año 2007, por lo que lo lógico sería pensar que esas contraseñas fueron cambiadas ya hace tiempo por los propietarios de las cuentas.

Reddit ya ha tomado cartas en el asunto avisando a aquellos usuarios que se registraron en su plataforma hasta 2007, mediante mensajes en los que se les invita a cambiar sus credenciales de acceso si no lo han hecho desde entonces.

Lo realmente importante de este incidente fue que el ataque se produjo directamente contra cuentas de empleados de Reddit y consiguieron vulnerarlas, a pesar de contar con un doble factor de autenticación mediante el envío de mensajes SMS. Lo más probable es que los atacantes se valieran de la ingeniería social para obtener estos códigos pero tampoco se descartan métodos más sofisticados, algo que venimos observando desde hace años en varios casos de troyanos bancarios, por ejemplo.

¿Es el 2FA realmente seguro?

La utilización de sistemas de doble factor de autenticación es algo que venimos recomendando encarecidamente desde hace tiempo, ya que la capa de seguridad adicional que proporcionan evita que usuarios no autorizados accedan a nuestros servicios online o aplicaciones aun cuando nos han robado nuestras credenciales de acceso.

Sin embargo, no todos los 2FA son iguales, y actualmente disponemos de numerosas posibilidades como el ya citado SMS, el email, la llamada de teléfono, los códigos de un solo uso generados por aplicaciones o hardware e incluso medidas de autenticación biométrica como la huella dactilar o el reconocimiento facial.

Precisamente fue el SMS una de las primeras medidas en implementarse y, como en otras medidas de seguridad, los bancos fueron de los primeros en incluir este tipo de mensajes como doble factor de autenticación a la hora de realizar operaciones de banca online. No obstante, con las alternativas existentes en la actualidad, es un método que se ha quedado rezagado con respecto al resto.

Si realizamos una consulta sobre la posibilidad de añadir un 2FA en aquellos servicios online o aplicaciones más utilizadas, vemos que muchas de ellas ya permiten configurar esta capa adicional de seguridad. Pero cuando revisamos si se ofrecen posibilidades más allá del SMS, vemos que la oferta aún no es tan amplia como nos gustaría, a pesar de ir creciendo de forma constante durante los últimos años.

Opciones de 2FA implementadas en algunas redes sociales – Fuente: Twofactorauth

Así las cosas, podemos concluir que la incorporación de un 2FA va resultar muy positiva a la hora de reforzar la seguridad, pero debemos tener en cuenta que hay varias opciones e intentar elegir aquella que más nos compense, tanto por nivel de seguridad como por facilidad de uso.

Conclusión

El incidente de seguridad sufrido por Reddit nos sirve como ejemplo perfecto para recordar que no solo se deben implementar soluciones de seguridad, sino también evaluar su eficacia y resistencia ante posibles ataques. El uso de 2FA se está extendiendo, incorporando nuevos mecanismos de autenticación más efectivos, pero todavía falta para que se convierta en algo utilizado de forma masiva por los usuarios, al menos hasta que exista una alternativa real a la dupla usuario más contraseña.

Josep Albors

Las campañas masivas de adware resurgen en las últimas semanas

Mié, 08/01/2018 - 14:04

A pesar de no haber sido tan mencionado como otras amenazas en los últimos meses, el peligro de la utilización maliciosa de las redes de anuncios (amenaza también conocida como malvertising) sigue siendo una importante fuente de ingresos para los delincuentes y un verdadero quebradero de cabeza para los usuarios.

Campaña Master 134

Un ejemplo de que los ciberdelincuentes consideran estas campañas de anuncios maliciosos una parte muy importante de su negocio lo tenemos en la investigación reciente de Check Point, donde se ha descubierto una campaña de malvertising que implica a miles de sitios WordPress comprometidos, así como a varias empresas dentro de la cadena de negocio de la publicidad online, y que termina distribuyendo contenido malicioso a usuarios de todo el mundo a través de varios Kits de exploit.

Para entender cómo funciona todo este entramado primero debemos saber quién lo conforma, empezando por los anunciantes que quieren promocionar sus productos o servicios. Estos anunciantes contactan con los publishers, que son los encargados de vender el espacio publicitario en sus webs, y luego tenemos a las redes de anuncios que se encargan de pujar por el espacio de anuncios y conectar a los anunciantes con los publishers. Junto a todos estos actores se encuentran los revendedores, que trabajan junto con las redes de anuncios para vender el tráfico que las redes de anuncios recopilan de los publishers a otros anunciantes.

Esquema de la campaña de propagación de Adware Master134 – Fuente: Check Point

Esta investigación ha mostrado una preocupante relación entre un grupo de cibercriminales camuflado como publisher y varios revendedores legítimos. Los delincuentes están utilizando esta estructura para propagar malware como ransomware, troyanos bancarios y bots. Todo ello alimentado por una red de anuncios de dudosa moral conocida como Ad-Terra.

El problema de este esquema de distribución de malware que aprovecha todo el mecanismo de distribución de anuncios online es la gran cantidad de usuarios a la que pueden llegar los delincuentes, y que, prácticamente, pueden propagar cualquier amenaza que se les ocurra.

Extensiones maliciosas en webs para ver películas online

El caso anterior no es el único que se ha estado produciendo en los últimos días, ya que desde finales de julio, los sistemas de telemetría de ESET vienen detectando un incremento considerable a nivel global de la amenaza JS/Adware.Agent.AA. España no es una excepción, puesto que esta amenaza se ha colocado en el primer puesto de las más detectadas, sustituyendo incluso a aquellas relacionadas con el minado no autorizado de criptomonedas.

Índice de detección de JS/Adware.Agent.AA en España durante las últimas semanas – Fuente: Virus Radar

Esta detección se activa cuando se detecta cierta línea de código JavaScript en una web, línea que tiene una nomenclatura similar a la siguiente:

“/afu.php?zoneid=1407888&var=1407888”

Este código pertenece a un distribuidor de anuncios online que en ocasiones ha incluido anuncios maliciosos tales como falsas alertas que terminan instalando extensiones maliciosas de Chrome, tal y como vimos hace un tiempo con la campaña protagonizada por el malware Submelius.

El incremento tan importante en el número de detecciones se debe a que algunas webs de visualización online de películas y series utilizan el distribuidor de publicidad online con la línea de código JavaScript maliciosa, lo que provoca que muchos de los visitantes de estas webs terminen instalando las extensiones maliciosas de Chrome en sus sistemas.

Ejemplo de web para ver películas online que realiza descargas con malware – Fuente: WeLiveSecurity

Webs fraudulentas de descarga de aplicaciones

Otra de las técnicas de propagación de adware que hemos visto recientemente tiene como protagonistas a una serie de webs fraudulentas que se hacen pasar por webs de descarga oficial de algunas aplicaciones bastante conocidas. El descubrimiento inicial lo hizo el investigador Ivan Kwiatkowski cuando descubrió una web francesa haciéndose pasar por el sitio oficial del conocido gestor de contraseñas KeePass en ese país.

Los usuarios que descarguen esta aplicación desde ese sitio web obtenían la aplicación y, de regalo, un adware de nombre InstallCore que viene en el mismo instalador. A pesar de que mucha de esta publicidad no va más allá de ser molesta para el usuario, también se han dado casos donde los usuarios se han encontrado con que se intentaban instalar desde programas de minado de criptomonedas hasta secuestradores de búsquedas en el navegador.

Lo peligroso del asunto es que no solo se descubrió esta estrategia en esa web en concreto, sino que, tirando del hilo, han ido apareciendo más webs con instaladores y adware “de regalo” haciéndose pasar por webs legítimas, principalmente en dominios franceses y españoles.

Pongamos como ejemplo la web Thunderbird.es. Cualquiera diría que tiene toda la pinta de ser una web completamente legítima para descargar el conocido cliente de correo, ya que está registrada en un dominio de primer nivel, el diseño está bien hecho (a pesar de no coincidir con el oficial) y además cuenta con un certificado que garantiza una conexión segura HTTPS (pero no que lo que haya en esa web sea seguro) emitido por Let’s encrypt.

Web fraudulenta con dominio español para la descarga de Thunderbird

La gran mayoría de usuarios no sospecharía que nada malo pudiera descargarse desde esa web por los puntos que acabamos de mencionar, pero si accedemos a esa web y nuestro antivirus hace su trabajo, lo normal es que nos encontremos con mensajes de alerta tanto al intentar acceder a la web como a la hora de intentar descargar el instalador.

Bloqueo del sitio web fraudulento tanto a la hora de acceder como a la de descargar el instalador desde el enlace proporcionado

Si en lugar de acceder a esta web fraudulenta buscamos la web oficial de Thunderbird, veremos como el diseño de la web cambia considerablemente y esta también se encuentra certificada por una entidad autorizada para asegurarse de que la conexión entre nuestro sistema y la web se realiza de forma segura.

‏Página legítima de descarga de Thunderbird

Conclusión

Tal y como acabamos de ver, el malvertising sigue siendo una técnica interesante para que los delincuentes obtengan cuantiosos beneficios sin apenas exponerse. Tanto mediante el abuso de las de redes de anuncios para sus oscuros intereses como utilizando sitios webs fraudulentos que se hacen pasar por legítimos, se puede conseguir que usuarios despistados caigan en la trampa.

Por eso debemos estar atentos y vigilar, no solo las webs a las que accedemos sino también las aplicaciones que descargamos, utilizando para eso un sistema de seguridad capaz de detectar y bloquear estas y otras amenazas de forma eficiente.

Josep Albors

 

Google prohíbe las aplicaciones con funcionalidades de minería de criptomonedas de su tienda oficial

Lun, 07/30/2018 - 12:48

A pesar del valor fluctuante que han ido experimentando las criptomonedas durante las últimas semanas, la utilización de diversas técnicas de minado tanto por webs y aplicaciones legítimas como por otras controladas por delincuentes no ha dejado de crecer. Esto ha provocado una reacción drástica en alguno de los gigantes de Internet, cuya mayor consecuencia ha sido la prohibición de aplicaciones de minado y anuncios relacionados con las criptomonedas en los principales mercados de aplicaciones y redes sociales.

Google toma medidas contra el minado

La adopción de medidas para evitar el minado de criptodivisas desde páginas web, extensiones para el navegador y aplicaciones móviles que tan en auge está actualmente es algo que hemos visto en los últimos meses por parte de empresas importantes del sector tecnológico. A principios de año veíamos como Facebook prohibía cualquier publicidad relacionada con criptomonedas e ICOs en su plataforma, seguido por Twitter a finales de marzo.

Poco tiempo después, Google realizó su primer movimiento relacionado con este tema prohibiendo las extensiones de su navegador Chrome que permitían el minado de criptomonedas tras ver como algunas de estas extensiones conseguían un éxito considerable  entre los usuarios. Además, se unió a la decisión tomada por Facebook y Twitter de prohibir aquella publicidad que promocione las criptomonedas y las ICOs.

Tras estas decisiones, el siguiente paso lógico era centrarse en las aplicaciones que se instalaban en dispositivos como smartphones y que se estaban distribuyendo en tiendas oficiales. Apple cortó por lo sano a principios de junio cuando hizo públicas las nuevas reglas que se aplicaban en el App Store, y que prohibían que se distribuyesen aplicaciones en su tienda oficial que estuviesen orientadas a la minería de criptomonedas en dispositivos iOS y macOS.

Tras ese movimiento por parte de Apple, Google ha decidido seguir el mismo camino y ha actualizado la web donde se detallan las reglas para el desarrollo de aplicaciones en Google Play Store, prohibiendo aquellas apps que minen criptomonedas.

Tras esta decisión, Google planea eliminar de su tienda oficial cualquier aplicación que utilice los recursos de los dispositivos con sistema operativo Android para la minería de criptomonedas. Quedan excluidas de la prohibición aquellas aplicaciones que utilizan algunos usuarios para monitorizar el minado de criptomonedas en otros dispositivos.

Criptominado en el IoT, el siguiente desafío

No cabe duda de que las medidas adoptadas por todos estos gigantes de Internet que acabamos de comentar evitarán que mucha gente que no dispone de los conocimientos ni de la paciencia necesaria arriesguen sus ahorros en un mercado tan volátil como es el de las criptomonedas.

Sin embargo, la tendencia que más está evolucionando actualmente y que, probablemente, tenga mayor repercusión a medio plazo, es el minado de criptomonedas aprovechando los recursos de los millones de dispositivos del Internet de las cosas que están desprotegidos y a merced de cualquier atacante.

Si lo pensamos bien, tiene toda la lógica del mundo, ya que no se depende de un usuario desprevenido que instale una aplicación maliciosa en su ordenador o móvil, o visite una web con un script de minado. Atacando al Internet de las cosas los delincuentes eliminan el factor usuario y disponen de una cantidad ingente de dispositivos a su disposición para minar criptodivisas sin parar, ya que muchos de ellos están conectados 24 horas al día, 7 días a la semana.

Además, se presentan problemas a la hora de detectar y eliminar esta amenaza de estos dispositivos. Salvo que se haga un uso intensivo de los recursos, es difícil que se detecte que algo va mal, ya que mientras no se produzca un fallo en el hardware los usuarios entenderán que todo funciona correctamente.

Con respecto a la eliminación y protección de estos dispositivos, los problemas aumentan, ya que no existen soluciones de seguridad específicas para cada uno de ellos y, además, muchos no se actualizan para solucionar las posibles vulnerabilidades que son aprovechadas por los atacantes para infectarlos con software de minado y otro tipo de malware.

Algunas posibles soluciones para paliar este problema han empezado a implementarse en dispositivos o software capaces de monitorizar todas las comunicaciones de red que entran y salen de los dispositivos IoT, para detectar posibles órdenes lanzadas desde centros de mando y control conocidos y bloquearlas. Si bien esto ayuda para detectar las infecciones provocadas por el software de minado y otras amenazas, no termina con el problema en sí.

Conclusión

Cualquier medida que se adopte para prevenir el abuso de los recursos de los usuarios para el minado de criptomonedas es bien recibido. No obstante, hemos de mirar más allá de los ordenadores, tablets y smartphones y pensar en los millones de dispositivos conectados que ya están siendo usados por los delincuentes y que, si no se hace nada, puede terminar en una nueva epidemia de mineros difícil de contener.

Josep Albors

Aplicaciones de banca fraudulentas en Google Play filtran los datos de las tarjetas de crédito robadas

Vie, 07/27/2018 - 10:30

Entre las aplicaciones fraudulentas que se suelen encontrar en la tienda oficial Google Play hay algunas que, desde hace años, están entre las favoritas de los ciberdelincuentes. Además de los juegos (y las aplicaciones para hacer trampas en ellos), servicios de mensajería y otras aplicaciones similares, las falsas aplicaciones bancarias han sido, desde casi el inicio de Android, unas de las más usadas para camuflar intenciones no demasiado honestas.

Nuevas aplicaciones bancarias maliciosas

Recientemente, se han descubierto nuevas aplicaciones bancarias fraudulentas en Google Play que afirman ser capaces de aumentar el límite de crédito asignado a usuarios de tres bancos de la India. En realidad, la finalidad de estas aplicaciones es la de robar la información de las tarjetas de crédito y las credenciales de acceso a la banca online mediante el uso de formularios falsos. Y, lo que es peor, toda esta información es accesible para todo el mundo en texto plano sin cifrar, ya que se aloja en un servidor expuesto a Internet sin ninguna medida de seguridad.

Imagen 1 – Las aplicaciones maliciosas en Google Play

Estas aplicaciones fraudulentas fueron subidas a Google Play durante junio de 2018 y en julio fueron retiradas por Google tras haber sido notificados por investigadores de ESET. Sin embargo, para entonces ya habían sido instaladas por centenares de víctimas. Estas aplicaciones fueron subidas bajo el nombre de tres desarrolladores diferentes y cada una de ellas suplantaba a un banco de la India diferente. No obstante, el origen de las tres aplicaciones puede ser rastreado y asignado a un único atacante.

¿Cómo funcionan estas aplicaciones?

Las tres aplicaciones fraudulentas siguen el mismo procedimiento. Tras su ejecución muestran un formulario solicitando los detalles de la tarjeta de crédito (Imagen 2). Si los usuarios rellenan este formulario y pulsan sobre el botón “Enviar” serán redirigidos a otro formulario donde se les preguntará por sus credenciales de banca online (Imagen 3). Curiosamente, a pesar de que todos los campos están marcados como “obligatorios”(*), ambos formularios pueden ser enviados vacíos, lo que es un claro indicador de que algo no funciona como debería.

Imagen 2 – Formularios fraudulentos para recopilar datos de tarjetas de crédito

Imagen 3 – Formularios fraudulentos para el robo de credenciales de banca online

Al pulsar sobre el botón de confirmación de ambos formularios (habiéndolos rellenado o no) se redirige al usuario a la pantalla final de la aplicación, dándole las gracias por el interés mostrado al rellenar los formularios e informándole de que un “responsable de atención al cliente” se pondrá en contacto en breve (Imagen 4). No hace falta decir que nadie se pone en contacto con las víctimas y que las aplicaciones no tienen más funcionalidades aparte de las que se acaban de mostrar.

Imagen 4 – Pantalla final mostrada por las aplicaciones maliciosas

Mientras tanto, los datos introducidos en los formularios fraudulentos son enviados en texto plano al servidor del atacante. Este servidor que almacena todos los datos robados es accesible para cualquiera que conozca el enlace, sin que sea necesario una autenticación previa. Para las víctimas esto representa un daño mayor, ya que sus datos confidenciales no solo están a disposición de los delincuentes, sino también de cualquiera que se tope con el servidor desprotegido.

Imagen 5 – Datos bancarios robados y almacenados en texto plano en el servidor del atacante

Hace poco, el investigador de ESET Lukas Stefanko avisaba sobre otra aplicación maliciosa que mostraba información robada a cualquiera que supiera donde buscar, siendo una app fraudulenta que se hacía pasar por MyEtherWallet y que exponía las claves privadas usadas para acceder a las carteras donde almacena las criptomonedas de sus víctimas. Este tipo de descubrimientos demuestra la necesidad de tener especial cuidado a la hora de descargar aplicaciones relacionadas con las finanzas, ya sea dinero tradicional o criptodivisas.

Cómo permanecer seguro ante estas amenazas

Si se ha instalado y usado alguna de estas aplicaciones maliciosas se recomienda desinstalarlas inmediatamente, así como también revisar la cuenta bancaria en búsqueda de actividad sospechosa, cambiar el código PIN de la tarjeta de crédito y la contraseña de acceso a la banca online.

De la misma forma, para evitar ser víctima de aplicaciones de phishing se recomienda:

  • Confiar únicamente en aquellas aplicaciones de banca online que se enlacen desde la web oficial del banco que usemos.
  • Nunca se debe introducir la información privada relacionada con la banca online en ningún formulario si no estamos seguros de su seguridad y legitimidad.
  • Se debe prestar atención al número de descargas, valoración de la aplicación y, sobre todo, a los comentarios de los usuarios a la hora de descargar apps desde Google Play.
  • Siempre debemos tener actualizados nuestros dispositivos Android y utilizar una solución de seguridad de confianza como los productos de ESET, capaces de detectar estas aplicaciones maliciosas como Android/Spy.Banker.AHR.
Aplicaciones bancarias legítimas como objetivo Nombre de la aplicación Nombre del paquete iMobile by ICICI Bank com.csam.icici.bank.imobile RBL MoBANK com.rblbank.mobank HDFC Bank MobileBanking (New) com.hdfc.retail.banking

 

Indicadores de compromiso

De momento, no se van a publicar indicadores de compromiso específicos más allá de los identificadores de las aplicaciones para así evitar exponer aún más la información de las víctimas.