Resumen anual de seguridad

Madrid, 10 de enero de 2013.- El pasado año ha seguido la estela de actividad en cuanto a seguridad informática se refiere, ya que todos los meses han sucedido hechos internacionales que han tenido sus efectos y una gran repercusión mediática. Si echamos un vistazo al resumen anual de seguridad elaborado por ESET NOD32, veremos que hay nombres propios que se repiten a lo largo de cada uno de los meses y que protagonizan repetitivos incidentes de seguridad de forma reincidente.

De esta manera, Facebook y Twitter se llevan la palma, ya que prácticamente todos los meses han sufrido algún tipo de problema derivado bien de la seguridad de sus usuarios bien de su privacidad. Les sigue muy de cerca otras redes o aplicaciones como WhatsApp, Skype, Yahoo! o Instagram.

En el capítulo de hacktivismo, Anonymous se ha mostrado especialmente activo este año operando en el frente tanto nacional como internacional. A nivel local, los miembros de este colectivo han publicado los datos privados de los responsables de la Ley Sinde a principios de año, han aprovechado los premios Goya para introducirse en los servidores de la Academia del Cine y obtener multitud de datos profesionales y personales, han protestado junto al colectivo sanitario por los recortes en Sanidad y han atacado, también en señal de queja por la situación económica, varias webs de partidos políticos.

Con respecto a actuaciones internacionales e intrusiones no autorizadas, numerosos organismos, instituciones y grandes empresas privadas han visto su seguridad e integridad vulneradas por una razón u otra. La realidad es que la NASA, varias universidades, entidades gubernamentales americanas, Sony, Amazon.com, T-Mobile, Nissan y VMWare, por solo citar unos ejemplos, se han convertido en blanco durante el pasado año de los cibercriminales.

Respecto a la aparición de nuevas amenazas informáticas, tanto la plataforma Mac como Android se han llevado la palma, sin desmerecer para nada a Windows, que sigue ostentando la gran cifra récord de 250.000 nuevos ejemplares mensuales. Otro dispositivo, como el eReader Kindle Touch, también ha tenido algún susto.

En cuanto a las técnicas de ingeniería social utilizadas para la distribución de spam o phishing, también hemos visto cómo se han seguido utilizando los hechos más internacionales y representativos, como los Juegos Olímpicos y la Supercopa, pero también han hecho mella otros ganchos como el de Michel Teló y su éxito del verano, servicios como SkyDrive de Microsoft o relacionados con juegos muy conocidos como League of Legends.

También 2012 ha sido el año en el que se han descubierto varias redes de botnets, algunas relacionadas con el espionaje internacional y con ataques dirigidos, como es el caso de Medre o de Flashback. A lo que se añaden las múltiples vulnerabilidades críticas en los programas habituales, como Adobe, Java y Windows.

Los problemas de privacidad derivados del uso de plataformas online especialmente diseñadas para enriquecerse a costa de los datos del usuario han dado mucho de qué hablar durante el pasado año, y hemos visto cómo prácticamente todos los grandes han tenido problemas en uno u otro sentido al enfrententarse a quejas y demandas justificadas que luchan por mantener la intimidad de la información personal de los usuarios compartida a través de este tipo de portales.

Pero ha habido más... Noviembre ha marcado un antes y un después en cuanto a actualidad mediática relacionada con la seguridad de la información, ya que el robo de la agenda de Pipi Estrada y su posterior publicación online puso a muchos famosos en jaque durante varios días. Igualmente, el supuesto bulo de las fotos eróticas de las chicas de Deusto puso en duda la integridad de la conocida universidad, aunque todo pareció más un invento que otra cosa.

Un año en el que hemos tenido prácticamente de todo y cuya información se encuentra resumida, mes a mes, en nuestro Informe Anual de Seguridad 2012.

 

Madrid, 2 de enero de 2013.- Si el año 2012 en términos globales ha sido especialmente intenso en cuanto a incidentes de seguridad se refiere, el mes de diciembre no ha cambiado la tendencia y ha discurrido no exento de sobresaltos, sustos y acciones que han tenido su impacto. Los ciberataques y el hacktivismo, las redes sociales y los problemas de privacidad, las vulnerabilidades tanto en hardware como en software así como masivas campañas de spam han saltado a los titulares con hechos como los resumidos a continuación.

Ciberataques y hacktivismo

El mes de diciembre fue muy activo en lo que operaciones hacktivistas se refiere. El conflicto entre varios países musulmanes e Israel fue la excusa perfecta para que las protestas se extendieran a la red y comenzasen las filtraciones de datos privados y la modificación de páginas web por mensajes apoyando a uno u otro bando, como las operaciones #OpIsrael u #OpFuckMohammad.

En menor medida, pero también con la inestabilidad política en Oriente Medio como telón de fondo, nació la #OpSyria, para condenar los ataques del Gobierno sirio a su población. Entre las acciones drásticas tomadas en este conflicto figura la desconexión de ese país de Internet durante unos días, acusándose del hecho mutuamente las dos facciones en conflicto.

Las instituciones educativas y más en concreto las universitarias también fueron víctimas de este tipo de ataques tal y como pudimos comprobar con los ataques sufridos por parte de las universidades de Macquarie en Australia y la de Michigan en Estados Unidos. En la primera de ellas los atacantes afirmaron haber obtenido alrededor de un millón de contraseñas almacenadas en texto plano mientras que responsables de la universidad rebajaban esta cifra a 2.600 cuentas con las contraseñas cifradas.

Un objetivo clásico de este tipo de ataques es la NASA, que vio cómo su seguridad, junto con la de otras agencias aerospaciales como la European Space Agency, el Crestwood Technology Group – CTG123, Bigelow Aerospace, California Manufacturers & Technology Association – CMTA.net, Aerospace Suppliers y World Airport Transfers también vieron cómo se filtraban datos supuestamente privados por obra y arte del grupo GhostShell.

El ciberataque curioso del mes fue el sufrido por varias webs de contenido adulto que vieron vulnerada su seguridad, de forma que los atacantes colgaron en varios sitios de Internet miles de credenciales de acceso a servicios pornográficos online de pago.

Una de las últimas actividades del año del colectivo Anonymous consistió en preparar la #OpPedoChat, una operación que pretendía exponer a pederastas usuarios de Twitter para que se tomasen acciones contra ellos. Si bien las formas usadas no fueron las más ortodoxas, esta acción permitió destapar las actividades encubiertas de estos individuos e incluso alguno vio cómo se cancelaba su cuenta de Twitter y se emprendían acciones legales contra su persona.

En el ámbito nacional, diciembre fue el mes en el que los datos aportados por el Centro Criptográfico Nacional desveló que 2012 ha sido el peor año en cuanto a ciberataques contra las altas instituciones del Gobierno español. La mayoría de estos ataques según el CCN fueron atribuidos al grupo hacktivista Anonymous y tenían como objetivos tanto a dispositivos de uso personal de altas personalidades gubernamentales, como móviles, portátiles y tablets, como a servidores clave de las instituciones mencionadas anteriormente.

Redes sociales

Las redes sociales también han dado que hablar tanto por los fallos y vulnerabilidades que han sufrido como por la excesiva confianza de los usuarios a la hora de pulsar sobre un enlace sospechoso. Hemos visto y analizado un par de casos de publicaciones en Facebook que, haciéndose pasar por vídeos que despertaban la curiosidad de los usuarios, obtenían el permiso de estos para poder publicar en su muro.

Tanto Twitter como Facebook vieron cómo se hacía pública una vulnerabilidad que se aprovechaba de la función de enviar o recibir actualizaciones vía SMS que incorporan estas redes sociales. Aprovechándose de este fallo, cualquiera podía publicar mensajes en nuestro nombre si conocía el número de teléfono asociado a la cuenta.

Facebook también fue protagonista durante el pasado mes de diciembre debido a un error que hizo inaccesible el servicio durante varios minutos. Ese mismo día Google también presentó dificultades para acceder a varios de sus servicios como Gmail, Google Calendar, Google Play, Google Drive y Google Docs durante un buen rato. Según ambas empresas, esta caída del servicio se debió a fallos técnicos aunque no tardaron en aparecer supuestos hackers que querían atribuirse el mérito.

Privacidad

A principios de diciembre todavía coleaba el conocido como “caso de las fotos de las chicas de Deusto“. Este hecho, que tuvo en vilo a muchas personas durante varios días hasta que se desveló que no hubo ningún robo de información desde los móviles de los estudiantes, demuestra la facilidad con la que se puede propagar un bulo, aunque no se debería bajar la guardia sólo por el hecho de que, en esta ocasión, ninguna de las fotos difundidas se correspondiese con estudiantes de Deusto.

El manejo de nuestros datos personales y de la información que publicamos en las redes sociales también dio mucho que hablar el mes pasado. Primero Facebook anunció cambios en sus políticas de privacidad tras haber finalizado el periodo de consulta en el que los usuarios teníamos derecho a opinar sobre si queríamos que se mantuviesen las políticas actuales o aceptábamos cambios. Al no haber votado el 30% mínimo (se estima que la participación apenas llegó al 1 %) Facebook asume que está en su derecho de cambiar estas políticas de privacidad a su antojo sin que los usuarios puedan reclamar.

Pero la decisión que más controvertida fue la que tomó Instagram (propiedad de Facebook, recordemos) cuando anunció cambios en su política de propiedad intelectual. En pocas palabras, Instagram se reservaba los derechos perpetuos de venta de las fotos que los usuarios hubieran subido y compartido a través de esta red sin ningún tipo de obligación a pago o a notificación. Esto desató muchas críticas que hicieron que un representante de la compañía saliese a intentar aclarar el asunto y que, si bien minimizó el impacto de estos cambios, no dejó del todo claro la política que seguirían en el futuro.

Vulnerabilidades en software

Hotmail, el popular servicio de correo electrónico de Microsoft conocido ahora como Outlook, vio cómo se publicaba una vulnerabilidad que permitía el robo de sesiones aunque esta se encontrase cerrada. Los pasos a seguir para conseguirlo eran relativamente sencillos y se resumían en conseguir las cookies del navegador desde el que se hizo el acceso e importarlas a otro navegador.

Una buena noticia para todos los que se preocupan por la seguridad de las aplicaciones instaladas en su sistema fue la que dio Oracle al anunciar que empezará a actualizar automáticamente a la versión más reciente a aquellos usuarios que aún estén usando JRE 6 (Java Runtime Enviroment) a partir del mismo mes de diciembre, actualización que incluye la opción de que el usuario configure su seguridad.

Uno de los plugins más usados en el popular gestor de contenidos Wordpress fue noticia a finales de mes al anunciarse una vulnerabilidad en W3 Total Cache. Esta vulnerabilidad permite aprovecharse de un fallo en la forma en que W3TC almacena la caché de la base de datos en un directorio de acceso público y que podría ser usado para obtener los hash de las contraseñas y otra información de la base de datos.

Vulnerabilidades en hardware

En lo que respecta a vulnerabilidades en dispositivos distintos a los ordenadores, Samsung se ha llevado la palma sin duda alguna durante el mes pasado. Primero vimos cómo se publicaba una vulnerabilidad en ciertos modelos de Smart TV de la marca coreana que permitiría ganar acceso total al televisor y a cualquier dispositivo USB conectado a él, entre otras muchas opciones.

El otro incidente de seguridad en el que se vio envuelto Samsung tiene relación con el procesador Exynos, el cerebro de dispositivos tan populares como el Galaxy SII, Galaxy SIII o el Galaxy Note II entre otros. Según el investigador que hizo público este descubrimiento, el grave agujero de seguridad permite acceder a la memoria física del dispositivo, lo que equivale a poder acceder a cualquier dato que se esté almacenando en la RAM, incluyendo el directorio virtual para la memoria que usa el kernel del sistema. En la práctica esto se traduce en un control total del dispositivo.

Malware

En diciembre analizamos un troyano bancario que lleva meses dando que hablar: Win32/Gataka, que tiene muchas características que lo hacen peculiar. Entre ellas, las capacidades de inyección web de este troyano son bastantes interesantes. La idea de tener un módulo JavaScript centralizado para utilizarlo como método de acceso a todas las funcionalidades de la plataforma principal es particularmente llamativo, por lo que no descartamos nuevos análisis en el futuro.

Otro malware que analizamos en nuestro blog fue el conocido como Win32/Spy.Ranbyus. Este troyano bancario presenta una característica realmente interesante puesto que muestra cómo es posible saltarse el firmado/autenticación de las transacciones de pago con dispositivos smartcard. Con técnicas de este tipo Ranbyus ha conseguido el liderato entre el malware bancario en la región de Ucrania.

El malware para sistemas Mac también ha estado presente en los análisis de nuestro laboratorio durante el mes pasado y en nuestro blog analizamos una nueva muestra para estos sistemas que estaba siendo propagada en una web relacionada con el Dalai Lama. Esta web incluía una línea de código puesta allí por los atacantes y que hacía que los visitantes de esta web se descargasen un applet de java. Este applet intentaba aprovecharse de la misma vulnerabilidad que usó el troyano Flashback durante la pasada primavera y que consiguió afectar a más de 600.000 equipos con Mac OS en todo el mundo.

Linux también tuvo su ración de amenazas y en nuestro blog analizamos Linux/Chapro.A, un módulo Apache malicioso que se estaba propagando preocupantemente. Este módulo se estaba usando para inyectar contenido malicioso en páginas web mostradas por servidores web y su finalidad era robar credenciales bancarias.

En el apartado de dispositivos móviles observamos cómo aparecía una variante para smartphones de Carberp, conocido troyano bancario que afecta principalmente a Rusia y países del este de Europa. Citmo, tal y como se conoce esta amenaza, está especializada en el robo de información bancaria y está pensada para romper los sistemas de doble autenticación que incorporan algunas entidades bancarias.

Esperamos que 2013 sea más tranquilo en cuanto a incidentes de seguridad se refiere, pero observando las tendencias, mucho nos tememos que no será un deseo que se haga realidad.

 

Madrid, 4 de diciembre de 2012.- ESET NOD32, líder en seguridad informática que cumple sus 25 años de historia, ha sido galardonada con el Consumer Recommended Award (Premio de Producto de Consumo Recomendado) otorgado por los lectores de PCMag entre las diferentes suites de seguridad del mercado y otros productos antivirus.

Los premios de PCMag están considerados como un sello de fidelidad a la marca y satisfacción. Para determinar los ganadores de cada categoría, PCMag tiene en cuenta el feedback recibido de sus 25 millones de lectores internacionales, midiendo su satisfacción con la tecnología de los productos que utilizan así como el servicio que reciben en caso de necesitarlo. Algunas de las variables evaluadas son el precio, el diseño, la confiabilidad y la usabilidad del producto así como otros valores intangibles para varían de un usuario a otro. Además, PCMag ha solicitado a los participantes del estudio que calificaran su satisfacción global en términos de experiencia de usuario así como soporte técnico.