Los ciberdelincuentes no se van de vacaciones: spam, ransomware, estafas nigerianas y fallos en aplicaciones protagonizan julio
Muchas y variadas han sido las noticias relacionadas con la seguridad informática durante el pasado mes de julio, lo que demuestra una vez más que los ciberdelincuentes no detienen su actividad ni en verano. Como cada mes, se han descubierto vulnerabilidades en varias aplicaciones y sistemas utilizados por una elevada cantidad de usuarios. El conocido sistema de pago online PayPal vio cómo su sistema de autenticación de doble factor tenía un fallo que podría permitir a un atacante acceder a las 143 millones de cuentas que la compañía tiene actualmente. El agujero de seguridad se encontraba en la versión para móviles de PayPal, que se está utilizando cada vez más y que no siempre incorpora las medidas de seguridad adecuadas.
En su ciclo mensual de publicación de parches de seguridad Microsoft resolvió varias vulnerabilidades, muchas de ellas relacionadas con su navegador Internet Explorer. Especialmente destacable es la relacionada con una vulnerabilidad que permitía a un atacante ejecutar código remotamente cuando el usuario navegase con Internet Explorer por una web especialmente modificada.
Adobe también aprovechó para publicar parches de seguridad en su programa Flash que solucionaba varias vulnerabilidades en las diferentes versiones disponibles para Windows, GNU/Linux y Mac OS. Siguiendo con vulnerabilidades destacables del pasado mes, una de las que más llamó la atención fue la que publicó Microsoft alertando de la existencia de certificados falsos de Google. Este descubrimiento provocó que Microsoft publicara una actualización de emergencia que revocara estos certificados fraudulentos. De no haberlo hecho, estos certificados fraudulentos podrían hacer pasar una web maliciosa por otra de plena confianza para la mayoría de navegadores.
Gobiernos contra la privacidad en la red
La conocida red Tor, utilizada para mejorar la privacidad cuando navegamos por Internet también se vio afectada al descubrirse que, durante cinco meses, un numero elevado de sus nodos intermedios eran maliciosos y esto podría llevar a identificar a los usuarios y la información que se estaba compartiendo mediante esta red.
“Sin duda es preocupante comprobar cómo hay muchos interés en averiguar quién usa Tor y qué tipo de información se comparte” comenta Josep Albors, director de comunicación y del laboratorio de ESET España. “Con la excusa de estar luchando contra la delincuencia o contra redes de pedófilos, muchos gobiernos se están tomando la justicia por su mano para desmantelar uno de los mejores servicios de los que disponemos los ciudadanos para mantener una privacidad aceptable a la hora de navegar libremente por Internet”, concluye Albors.
Ransomware bancario
Respecto a los casos de malware que analizó el laboratorio de ESET durante el mes de julio destacan los relacionados con los troyanos bancarios. Por ejemplo, Zeus, uno de los troyanos bancarios más veteranos pero que se resiste a desaparecer y que ha evolucionado de robar información personal -como credenciales bancarias- a aliarse con otro tipo de malware bastante popular hoy en día como es el ransomware. Prueba de ello es el reciente desmantelamiento de la botnet Gameover Zeus que tendría entre 500.000 y un millón de sistemas afectados y habría obtenido un beneficio de 27 millones de dólares.
También llamó la atención el descubrimiento por parte de investigadores de ESET de un troyano bancario orientado principalmente a usuarios japoneses. Esta amenaza identificada como Win32/Aibatook se aprovecha de una vulnerabilidad en Java e infectaba a usuarios de Internet Explorer cuando estos visitaban sitios web con contenido pornográfico de Japón.
Fallos resueltos en redes sociales
Facebook, la conocida red social también se anotó un tanto al colaborar en el desmantelamiento de Lecpetex, una botnet con más de 250.000 sistemas infectados dedicada al robo de bitcoines. Mediante el uso de publicaciones en Facebook e ingeniería social, los delincuentes conseguían que los usuarios se descargasen ficheros que se hacían pasar por fotografías inofensivas. Sin embargo, estos ficheros contenían aplicaciones Java maliciosas que infectaban la máquina del usuario que las abriese.
Precisamente Facebook fue utilizada por criminales sin escrúpulos para propagar engaños camuflados de falsas webs de homenaje a las víctimas del vuelo MH17 abatido en Ucrania. En estos perfiles falsos se aseguraba disponer de vídeos inéditos de la tragedia aérea pero en realidad se perseguía redirigir a los usuarios a otro tipo de contenido que va desde farmacias online a webs con contenido pornográfico, pasando por las repetitivas e interminables encuestas online.
Instagram, red social especializada en compartir fotografías, se vio afectada por un fallo en su aplicación para dispositivos móviles que permitía interceptar en una red WiFi insegura buena parte de las comunicaciones realizadas por los usuarios, algo que podría llevar incluso a tomar el control de una cuenta. Para demostrar el riesgo y darle la importancia que tiene, el investigador que descubrió la vulnerabilidad ha desarrollado una herramienta conocida como Instasheep que permite automatizar el robo de esta información privada.
Malware evolucionado desde el PC al móvil
Los dispositivos móviles, especialmente los que cuentan con Android, siguen viendo cómo las amenazas orientadas a esta plataforma aumentan cada vez. Uno de los casos más preocupantes que va apareciendo cada vez con más frecuencia es el ransomware “Virus de la Policía”, algo conocido desde hace año en ordenadores de sobremesa pero que recientemente ha dado el salto a dispositivos móviles.
Simplocker es una de esas amenazas que ha ido evolucionando rápidamente en los últimos meses y que es capaz de bloquear nuestro dispositivo y mostrar mensajes amenazantes para conseguir que paguemos un rescate. En el análisis que realizó el laboratorio de ESET, se observó cómo había evolucionado en poco tiempo y ahora se hace pasar por una notificación del FBI para conseguir que la víctima muerda el anzuelo.
Además del malware desarrollado para Android también hay que tener en cuenta los fallos propios del sistema. Uno de los que más ha dado que hablar recientemente es el que anuncia a los cuatro vientos el histórico de ubicaciones donde hemos estado y las últimas 15 redes WiFi a las que nos hemos conectado, incluso aunque tengamos el móvil en reposo, con la pantalla apagada y sin conectar a una red WiFi.
Servicio público de alquiler de bicicletas como gancho para ciberdelincuentes
A principios de mes, se ponía en funcionamiento en Madrid una iniciativa para el alquiler público de bicicletas. Este proyecto, que ya ha resultado exitoso en otras localidades españolas, demostró tener graves problemas de seguridad a la hora de gestionar los datos de los usuarios e incluso porque permitiría a un atacante enviar notificaciones falsas a quien tenga la aplicación móvil instalada. Por si fuera poco, los kioskos interactivos dispuestos para darse de alta en la calle fueron fácilmente vulnerados y mostraron contenido pornográfico durante varias horas.
Otro dispositivo que vio cómo era utilizado con otro propósito distinto al original fue un cajero automático que unos hackers consiguieron modificar para poder jugar al clásico Doom. Con unos pocos ajustes, estos investigadores aprovecharon el sistema operativo que incorporan muchos de estos cajeros (un Windows XP modificado) y los rudimentarios teclados para poder jugar a un clásico de los videojuegos.
El spam sigue dando que hablar
El conocido spam también dio que hablar el mes pasado con dos ejemplos de cómo técnicas antiguas siguen siendo efectivas. En el primero de los casos que se analizó en el laboratorio de ESET, los delincuentes se hacían pasar por la Hacienda de El Salvador y adjuntaban un supuesto documento PDF con las instrucciones necesarias para evitar una sanción administrativa. En realidad, ese documento se trataba de un fichero ejecutable pero, gracias a una propiedad de los caracteres Unicode, los delincuentes conseguían hacer creer que la extensión verdadera era la del popular formato de documento de Adobe.
También clásico fue el caso de spam que se analizó en el blog de ESET según el cual un ciberdelincuente se hacía pasar por el millonario propietario de la cadena Inditex, Amancio Ortega, y nos ofrecía una importante cantidad de dinero a cambio de proporcionar nuestros datos y ayudar a realizar una iniciativa en favor de niños desfavorecidos. Este nuevo caso de las conocidas como estafas nigerianas suplanta la identidad de un personaje reconocido para engañar a los usuarios, dando la casualidad de que en esta ocasión se tratara de un ciudadano español.
El conflicto entre Israel y los palestinos de la franja de Gaza también estuvo presente cuando se supo que se habían filtrado documentos confidenciales sobre el sistema de defensa anti-misiles de Israel, también conocido como “Cúpula de Hierro”. De nuevo todos los dedos apuntan a China, quien ya ha sido protagonista de casos similares, como principal sospechoso de haber accedido a las redes de tres de los contratistas militares a los que el gobierno de Israel compra material bélico.
Por último, hay que destacar la iniciativa “Project Zero” de Google para crear un grupo de expertos en seguridad informática que se encargarán de buscar vulnerabilidades críticas en sistemas y alertar de las mismas a los fabricantes antes de que puedan ser aprovechadas por los delincuentes. Entre los integrantes de este grupo de expertos en seguridad encontramos a rostros tan conocidos como George “GeoHot” Hotz o avis Ormandy.
Más información sobre estas y otras amenazas en el Blog de Laboratorio de ESET España.
