Barómetro ESET NOD32 de seguridad de mayo: Los ataques a aplicaciones y webs muy populares, como Bitly o eBay, centran el interés en mayo

Madrid, 1 de junio de 2014 – Mayo ha sido un mes intenso en el mundo de la seguridad informática por varios motivos relacionados con la seguridad de aplicaciones utilizadas por millones de usuarios, la privacidad de nuestros datos o las estafas y engaños que empiezan a aparecer con motivos del cercano Mundial de futbol de Brasil.

Varios han sido los servicios online que han visto comprometida su seguridad y, por ende, la de los datos de sus usuarios. A principios de mes, Bitly, el popular servicio acortador de enlaces avisó en un comunicado que había sufrido una brecha de seguridad y se habían visto comprometidos emails, contraseñas cifradas, credenciales OAuth y claves API de los usuarios.

No obstante, la brecha de seguridad más comentada durante el pasado mes fue sin duda la sufrida por eBay. Al parecer, la empresa sufrió un ataque que logró comprometer una base de datos con contraseñas cifradas y otros datos no financieros. Esto fue posible porque los atacantes lograron obtener las credenciales de acceso de algunos empleados. Tras anunciar el incidente, eBay invitó a cambiar las claves a sus millones de usuarios.

Otro caso parecido fue el de Spotify. La empresa anunció que había detectado un acceso no autorizado a sus sistemas y que se habían filtrado los datos de un usuario. Esto fue suficiente para que la empresa recomendara a sus usuarios la actualización oficial para Android a pesar de no haberse detectado más casos.

Seguridad en navegadores web

Otros de los protagonistas en las últimas semanas fueron varios de los navegadores de Internet con más cuota de mercado. A principios de mes, Microsoft solucionaba la grave vulnerabilidad en Internet Explorer detectada a finales de abril. No obstante, poco tiempo después conocíamos la existencia de una nueva vulnerabilidad en Internet Explorer 8 con el agravante de que Microsoft había sido informada de la misma el pasado octubre y la empresa aún no hubiese corregido el fallo a mediados de mayo.

Pero no sólo Internet Explorer fue protagonista en materia de seguridad. Tanto Google Chrome como Safari publicaron parches de seguridad que solucionaban más de 30 vulnerabilidades cada uno, algunas lo suficientemente críticas como para que un atacante que las aprovechase lograse comprometer la seguridad del sistema.

Mayo también fue un mes destacado en cuanto a la seguridad de sistemas y programas de código abierto. Por una parte se desveló la existencia en GNU/Linux (ya resuelta) de una vulnerabilidad con cinco años de antigüedad que afectaba a la mayoría de distribuciones del sistema operativo. La vulnerabilidad se encontraba en el propio núcleo de sistema y permitía la ejecución de código arbitrario y la elevación de privilegios.

Por otro lado, el popular software de cifrado de código abierto TrueCrypt fue abandonado por sus desarrolladores en un movimiento inesperado que cogió a todo el mundo por sorpresa. En su web se pueden encontrar ahora instrucciones para migrar al software de cifrado Bitlocker, alegando que se han encontrado fallos en TrueCrypt que no lo hacen seguro. Sin duda, una historia que dará que hablar en las próximas semanas.

Estafas en redes sociales

Las redes sociales también han sido utilizadas para todo tipo de engaños y estafas. El falso sorteo de entradas para asistir a conciertos de artistas internacionales como los Rolling Stones actuó como cebo para que miles de usuarios compartieran contenido de terceros en sus muros si querían optar a una de las entradas inexistentes.

El laboratorio de ESET España también analizó en mayo otro tipo de engaños más curiosos pero que sirven igualmente para atraer la atención de usuarios desprevenidos y confiados. Tiburones gigantes, fantasmas o todo tipo de extrañas criaturas son utilizadas para despertar la curiosidad y conseguir que los usuarios descarguen aplicaciones no deseadas o rellenen encuestas interminables con la excusa de ver un vídeo impactante.

Un clásico que vuelve cada cierto tiempo son las aplicaciones que permiten “descubrir quien visitó tu perfil en Facebook”. Ciertamente, de ser posible, esta característica sería una de las más utilizadas por los usuarios pero de momento solo es una excusa para despertar nuestra curiosidad y hacer que pulsemos donde no debemos.

Privacidad en entredicho en Android y ransomware en Apple

Con lo que respecta a dispositivos móviles, tanto Android como iPhone fueron protagonistas. Un investigador descubrió como acceder a la cámara de unestro Smartphone sin que fuéramos conscientes de ello, tomar fotografías y subirlas luego a Internet. Sin duda, algo preocupante si valoramos nuestra privacidad.

En cuando a Apple, varios usuarios de Australia y Nueva Zelando informaron que sus dispositivos habían sido bloqueados y mostraban un mensaje solicitando un rescate. Este hecho, que podría relacionarse con una variante del “Virus de la Policía” parece haber sido consecuencia del robo de las credenciales de estos usuarios y el bloqueo del dispositivo a través de la característica “find my iPhone” del servicio iCloud que proporciona Apple a sus usuarios.

Precisamente estos casos de ransomware empezaron a verse también en dispositivos Android, bloqueando los terminales y solicitando el pago de un rescate a sus usuarios. Si bien estas variantes no estaban tan elaboradas como las que hemos ido observando en sistemas Windows y resultaban más sencillas de eliminar, son un aviso de lo que podría pasar si no se toman las medidas adecuadas.

Para luchar contra las bandas de crimen organizado y delincuentes que utilizan herramientas para controlar nuestros ordenadores en contra de nuestra voluntad, el FBI lanzó el mes pasado una operación en la que consiguieron detener alrededor de 100 personas que utilizaban Blackshades, una herramienta de control remoto. Acciones como estas ayudan a frenar el avance de estas actividades delictivas aunque aún queda mucho camino por recorrer.

Estando tan cerca del Mundial de Futbol como estamos, no resulta extraño que aparezcan todo tipo de estafas y engaños que quieran aprovecharse de su popularidad. Entradas falsas o supuestos sorteos de lotería organizados por la FIFA son solo algunos de los ejemplos que hemos visto y que seguramente veamos en las siguientes semanas.

Para terminar, no podemos dejar de comentar el logro conseguido por la demanda española que reclamaba el derecho al olvido en Internet y que tenía enfrente a la todopoderosa Google. La sentencia del Tribunal de Justicia de la Union Europea avala este derecho y abre las puertas a todos aquellos ciudadanos que quieran reclamar al buscador para que no indexe resultados que les perjudiquen.

Más información sobre estas y otras amenazas en el Blog de Laboratorio de ESET España.