Barómetro ESET NOD32 de seguridad diciembre: Nuevas vías de propagación del mal, el ciberespionaje de la NSA y el FBI y los fallos en los Nexus y Snapchat protagonizan diciembre

  • Nuevas investigaciones apuntan a que podríamos estar ante nuevas formas de propagación del malware en el modo en que lo conocemos hasta ahora

Madrid, 2 de enero de 2014 - Cerramos el año con el resumen de las noticias de seguridad acontecidas durante el pasado mes de diciembre. Durante este mes se han descubierto importantes fallos de seguridad en numerosos dispositivos a la vez que han salido a la luz los resultados de numerosas e interesantes investigaciones que podrían cambiar el concepto de propagación del malware tal y como lo conocemos hasta ahora.

Quizá la investigación más curiosa a la par que interesante fue la que conocimos a principios de mes presentada por investigadores alemanes. Estos demostraron la posibilidad de utilizar el sonido para enviar datos entre dos ordenadores. De esta forma un ordenador actuaría de emisor de información usando sus altavoces mientras el otro la recibiría a través del micrófono.

No tardaron en aparecer quienes comentaron la posibilidad de utilizar esta técnica como nuevo vector de ataque para propagar malware. Si bien es cierto que sobre el papel esto sería posible, las limitaciones de velocidad y las interferencias de sonido hacen que un ataque de este tipo sea improbable de ver a corto y medio plazo.

También relacionada con el sonido tiene que ver otra investigación que permitió averiguar una clave de cifrado de 4096 bits simplemente “escuchando” el ruido que hace el procesador a la hora de descifrar un mensaje con esa clave. Obviamente, debido a que el sonido que emite el procesador es muy bajo, las condiciones para que se pueda lograr escucharlo son muy difíciles de conseguir pero no por ello deja de ser preocupante.

“Las constantes investigaciones realizadas por expertos en seguridad demuestran la existencia de nuevos vectores de ataque y la fragilidad de muchos sistemas y tecnologías que creemos aparentemente seguras. Esto debería hacernos pensar si no se está dejando de lado la seguridad para ofrecer nuevas opciones que, tal vez, no sean tan esenciales como nos quieren hacer ver”, reflexiona Josep Albors, director del laboratorio de ESET España. “Los fabricantes de dispositivos están enfrascados en una carrera continua para incorporar características que los diferencien respecto a la competencia. Por desgracia, la seguridad casi nunca se encuentra entre sus prioridades”.

A finales de mes se celebró el veterano congreso de seguridad Chaos Communication Congress en Alemania. Este congreso cuenta ya con 30 ediciones a sus espaldas y es, desde hace tiempo, un referente en lo que a conferencias de seguridad informática se refiere. Allí se desvelan importantes fallos de seguridad que luego dan que hablar durante meses.

Una de las charlas más interesantes que se llevó a cabo en este congreso fue la que mostró los microcontroladores incorporados a las tarjetas de memoria flash tan utilizadas actualmente para guardar información de todo tipo. El uso de estos microcontroladores permite utilizar las tarjetas sin mayores problemas a pesar de que todas ellas, sin excepción, están plagadas de defectos de fabricación, defectos que no se revisan para abaratar costes.

Sin embargo, las tarjetas también necesitan de un firmware propio para poder gestionarla, firmware que la mayoría de fabricantes olvida o decide no proteger. De esta forma, alguien malintencionado podría inyectar código malicioso en estos microcontroladores y ejecutarlo cuando la tarjeta se conectara a un dispositivo, algo que sin duda abre todo un mundo de posibilidades delictivas o de espionaje.

Vulnerabilidades en los Nexus

Precisamente, uno de los dispositivos que más utiliza este tipo de tarjetas de memoria -los smartphones- también sufrió incidentes de seguridad el pasado mes de diciembre. A principios de mes se desvelaba una importante vulnerabilidad en los dispositivos Nexus (incluyendo el Nexus 5) que permitía a un atacante hacer que un terminal de estos modelos con cualquier versión de Android 4.x se reiniciase o bloquease.

Esto se consigue mediante el envío de mensajes SMS especiales conocidos como Class 0, un tipo especial de SMS que no se almacena por defecto en el terminal que lo recibe pero que es mostrado de manera inmediata al destinatario. Este tipo de mensajes son utilizados por las operadoras para enviar alertas y notificaciones pero un mal uso de los mismos (por ejemplo enviando muchos en un corto espacio de tiempo) puede hacer que el dispositivo llegue a reiniciarse. De momento aún no existe un parche que solucione esta vulnerabilidad por lo que los usuarios de estos dispositivos tendrán que permanecer alerta.

Como no podría ser de otra forma, el espionaje realizado por agencias gubernamentales, y más concretamente de los Estados Unidos, siguió dando que hablar al descubrirse nuevas métodos para monitorizar a los usuarios. De nuevo, las filtraciones de Snowden nos permitieron conocer los mecanismos utilizados por la NSA para obtener información de los usuarios de Internet. En esta ocasión se mostró cómo las cookies eran utilizadas para rastrear a los usuarios y hacer un seguimiento de sus actividades online.

A estas alturas pocos se sorprendieron al desvelarse esa información pero, a finales de mes, un investigador afirmó que la NSA era capaz de interceptar las comunicaciones, incluso de dispositivos sin conexión a Internet, a través de un supuesto sistema portátil de generación de ondas. Otros dispositivos como el popular iPhone también estarían en el punto de mira de esta agencia para, utilizando software malicioso, convertirlos en sofisticados sistemas de espionaje de bolsillo.

Pero no sólo la NSA se vio envuelta en la polémica puesto que el FBI también fue acusado de haber espiado durante años a varios usuarios utilizando para ellos software de monitorización de las cámaras web incluidas en ordenadores portátiles para tratar de detener a sospechosos de actos terroristas y delincuentes.

Diciembre también ha sido un mes en el que hemos conocido alguno de los robos de datos más importantes de los últimos meses. Entre ellos destaca sin duda el sufrido por la cadena de comercio minorista Target en Estados Unidos y que afectó a alrededor de 40 millones de usuarios que vieron comprometidos los datos de sus tarjetas de crédito. Este robo de datos se produjo en el periodo de mayor volumen de ventas en Estados Unidos y aún es pronto para conocer el alcance real del mismo aunque ya se están empezando a ver paquetes de miles de tarjetas comprometidas siendo puestas a la venta en el mercado negro y foros underground de tráfico de datos.

La seguridad de Snapchat en entredicho

Uno de los servicios de mensajería móvil que más ha dado que hablar en los últimos meses ha sido Snapchat. Este servicio afirma ser más seguro que otros como WhatsApp porque, supuestamente, permite eliminar las imágenes al poco tiempo de enviarlas, algo que ha sido usado por miles de usuarios para enviar fotografías subidas de tono pensando que estas quedarían protegidas.

A pesar de esta supuesta seguridad, durante el pasado mes se filtró una base de datos de 4.6 millones de usuarios norteamericanos gracias a una vulnerabilidad descubierta anteriormente por unos investigadores. En esta investigación se publicaron detalles sobre la API de la aplicación Snapchat con pruebas de concepto para aprovechar el exploit y advirtiendo a la compañía de la facilidad para realizar un ataque de este tipo, algo que se ha puesto en práctica poco tiempo después.

Las autoridades policiales de varios países en colaboración con Microsoft y otras empresas siguieron trabajando para desmantelar alguna de las botnets más activas durante los últimos meses. Prueba de ello fue la desarticulación de la botnet Sirefef una de las más activas en territorios como el español y de la que se calcula podrían formar parte alrededor de dos millones de ordenadores en todo el mundo.

La policía federal alemana también consiguió arrestar a los cibercriminales detrás de la botnet Skynet. Esta red de ordenadores zombie estaba especializada en aprovecharse de los recursos de los sistemas que infectaba para realizar minería de bitcoines. Además, este malware utilizaba la red Tor para intentar permanecer anónima y dificultar su detección, algo que se ha venido extendiendo desde hace meses en redes similares.

Troyanos bancarios

En lo que respecta a malware, el mes pasado analizamos en nuestro blog dos ejemplares de troyanos bancarios. Uno de ellos, conocido como Qadars, tiene como punto de mira a los Países Bajos y utiliza malware distribuido desde páginas webs comprometidas para dirigir al usuario a webs maliciosas simulando ser las de su banco. Además, este troyano utiliza mecanismos para evadir el control de autenticación de doble factor en dispositivos móviles, mecanismos incorporados por algunas entidades financieras precisamente para prevenir este tipo de malware.

Un viejo conocido como Hesperbot volvió a la carga al detectarse nuevas variantes en Alemania y Australia. Entre las nuevas características incorporadas por los ciberdelincuentes a esta nueva variante se encuentra la posibilidad de robar bitcoines del sistema del usuario infectado si este dispone del correspondiente monedero.

Por su parte el ransomware siguió haciendo de las suyas y pudimos comprobar cómo aparecían supuestas nuevas versiones de Cryptolocker, aunque un análisis más detallado nos desveló que no tenían mucha relación y que se trataba de dos familias de malware diferentes aunque perseguían el mismo propósito de secuestrar nuestros sistemas y pedirnos un rescate.

Y ya para terminar, un nuevo caso de spam haciéndose pasar por el popular servicio de mensajería WhatsApp se propagó durante varias semanas con la intención de descargar un troyano en nuestro sistema si pulsábamos en el enlace proporcionado. Esta técnica, aunque bastante simple y antigua sigue dando buenos resultados por lo que dudamos que sea descartada a corto plazo.

Más información sobre estas y otras amenazas en el blog del laboratorio de ESET NOD32 España.