Los ataques de Blackhat SEO y el robo masivo de datos centran el segundo cuatrimestre del año
Como suele ser habitual, el tercer cuatrimestre del año no ha defraudado en cuanto a seguridad informática se refiere. Durante estos meses hemos sido testigos cómo los acontecimientos más relevantes del panorama futbolístico –Mundial de Fútbol en Brasil- y político –la abdicación del Rey Juan Carlos I- han sido aprovechados por los cibercriminales. También los sucesos más relevantes de la actualidad han sido aprovechados como gancho para conseguir víctimas a través de las redes sociales, como la muerte del actor Robin Williams o la fraudulenta venta de entradas para los conciertos de Rolling Stones en nuestro país.
Las redes sociales han sido protagonistas, una vez más, por problemas relacionados con la seguridad y con la privacidad, al igual que herramientas tan populares como TweetDeck, por ejemplo. Y sistemas de seguridad como el de Paypal han sido protagonistas precisamente por su inseguridad. Android también se ha llevado la palma por varias razones, pero quizá la más reseñable ha sido la de la aparición de ramsonware para este sistema operativo móvil, hasta ahora, casi desconocido.
El llamado Internet de las cosas sigue dando mucho que hablar. Durante estos meses, nuevos agujeros de seguridad descubiertos en las SmartTV y en el nuevo sistema de alquiler de bicicletas en la ciudad de Madrid se han llevado la atención de la industria. Por su parte, el spam y el phishing han seguido llevándose su porción de protagonismo, con mención especial al malware relacionado con Amancio Ortega, fundador de Zara, que anunciaba que donaba toda su fortuna, al intento de fraude bancario o al distribuido en falsas facturas en pdf.
Blackhat SEO con los temas de mayor actualidad
Junio estuvo marcado por el comienzo del Mundial de Fútbol en Brasil y los delincuentes no quisieron perderse la cita, por lo que prepararon todo tipo de engaños y amenazas con los que engatusar a los usuarios más desprevenidos. Además de los correos electrónicos con falsas loterías del Mundial o reventa de entradas, también observamos nuevas estrategias utilizadas por los delincuentes. De todos es sabido que el mayor atractivo para los aficionados del fútbol es disfrutar de las jugadas de su equipo con sus amigos alrededor de un televisor. No obstante, a veces es difícil ver un partido en concreto si no lo emiten en abierto y se empiezan a buscar alternativas en páginas web. Conocedores de esto, los delincuentes prepararon varias webs fraudulentas desde donde supuestamente se podían ver todos los partidos del Mundial pero que en realidad descargan un molesto spyware. Relacionado con el Mundial, también asistimos a ataques con el popular videojuego FIFA 14 como protagonista. Los delincuentes intentaban atraer a los jugadores a sitios webs fraudulentos para que introdujeran sus credenciales de acceso con la falsa promesa de proporcionarles alguno de los mejores jugadores disponibles para su equipo de ensueño virtual.
Por otro lado, una de las noticias más destacables de la temporada fue, sin duda, la abdicación del Rey Juan Carlos I en favor de su hijo Felipe VI. Sabedores de la relevancia de esta noticia, los delincuentes no perdieron el tiempo y la aprovecharon, por ejemplo, para mostrar la imagen del nuevo rey en los casos más recientes del ransomware conocido popularmente como “Virus de la Policía”.
La muerte de Robin Williams fue utilizada también en agosto en las en redes sociales por usuarios sin escrúpulos que afirmaban poseer un vídeo con las últimas palabras del actor antes de morir. Aquellos usuarios que pincharan en el falso vídeo eran redirigidos a todo tipo de webs sin relación con la noticia y terminaban rellenando encuestas kilométricas, viendo cómo les ofrecían medicamentos de forma ilegal o suscribiéndose a servicios de mensajes SMS de tarificación especial. También en las redes sociales, el falso sorteo de entradas para asistir a conciertos de artistas internacionales como los Rolling Stones actuó como cebo para que miles de usuarios compartieran contenido de terceros en sus muros si querían optar a una de las entradas inexistentes.
Las redes sociales como fuente principal de malware
Facebook, la conocida red social se anotó un tanto esta temporada al colaborar en el desmantelamiento de Lecpetex, una botnet con más de 250.000 sistemas infectados dedicada al robo de bitcoines. Mediante el uso de publicaciones en Facebook e ingeniería social, los delincuentes conseguían que los usuarios se descargasen ficheros que se hacían pasar por fotografías inofensivas. Sin embargo, estos ficheros contenían aplicaciones Java maliciosas que infectaban la máquina del usuario que las abriese.
Precisamente Facebook fue utilizada por criminales sin escrúpulos para propagar engaños camuflados de falsas webs de homenaje a las víctimas del vuelo MH17 abatido en Ucrania. En estos perfiles falsos se aseguraba disponer de vídeos inéditos de la tragedia aérea pero en realidad se perseguía redirigir a los usuarios a otro tipo de contenido que va desde farmacias online a webs con contenido pornográfico, pasando por las repetitivas e interminables encuestas online.
Instagram, red social especializada en compartir fotografías, se vio afectada por un fallo en su aplicación para dispositivos móviles que permitía interceptar en una red WiFi insegura buena parte de las comunicaciones realizadas por los usuarios, algo que podría llevar incluso a tomar el control de una cuenta. Para demostrar el riesgo y darle la importancia que tiene, el investigador que descubrió la vulnerabilidad ha desarrollado una herramienta conocida como Instasheep que permite automatizar el robo de esta información privada.
Por su parte, varios usuarios aprovecharon la brecha en Tweetdeck para que miles de usuarios en todo el mundo empezaran a ver ventanas emergentes en su aplicación simplemente al visualizar tweets de otros usuarios que contenían código y que Tweetdeck ejecutaba cuando no debería. Este incidente se saldó como una anécdota, pero podría haber sido mucho más grave si la respuesta de los desarrolladores no hubiera sido rápida y si alguien hubiese decidido aprovechar esta nueva “característica” para obligar a todos los que visualizasen un tweet especialmente modificado a que accedieran a la descarga de un código malicioso.
El conocido sistema de pago online PayPal vio cómo su sistema de autenticación de doble factor tenía un fallo en junio que podría permitir a un atacante acceder a las 143 millones de cuentas que la compañía tiene actualmente. El agujero de seguridad se encontraba en la versión para móviles de PayPal, que se está utilizando cada vez más y que no siempre incorpora las medidas de seguridad adecuadas
Con lo que respecta a dispositivos móviles, destaca en este período la aparición de los primeros casos de ransomware en dispositivos Android, que bloqueaban los terminales y solicitaban el pago de un rescate a sus usuarios. Si bien estas variantes no estaban tan elaboradas como las que hemos observado en sistemas Windows y resultaban más sencillas de eliminar, son un aviso de lo que podría pasar si no se toman las medidas adecuadas. En este caso, los delincuentes mostraban mensajes de alerta mientras el usuario navegaba a través de su móvil y le incitaban a descargar aplicaciones de seguridad que eran en realidad un troyano. Una vez conseguido su objetivo, el malware bloqueaba el terminal y cifraba los datos almacenados, pidiendo un rescate al usuario si quería volver a tener el control del dispositivo.
El futuro está en el Internet de las Cosas
El Internet de las cosas sigue dando de qué hablar en cuanto a seguridad y uno de sus dispositivos más representativos, las SmartTV, demuestran que aún están lejos de alcanzar una seguridad adecuada. Una de las características más interesantes de estos televisores es la posibilidad de utilizar aplicaciones interactivas. Sin embargo, una mala implantación de estas características permite que muchas de las SmartTV que hay actualmente puedan ser susceptibles a ataques como el robo de credenciales.
A principios del verano, se ponía en funcionamiento en Madrid una iniciativa para el alquiler público de bicicletas. Este proyecto, que ya ha resultado exitoso en otras localidades españolas, demostró tener graves problemas de seguridad a la hora de gestionar los datos de los usuarios e incluso porque permitiría a un atacante enviar notificaciones falsas a quien tenga la aplicación móvil instalada. Por si fuera poco, los kioskos interactivos dispuestos para darse de alta en la calle fueron fácilmente vulnerados y mostraron contenido pornográfico durante varias horas.
También clásico fue el caso de spam que se analizó en el blog de ESET según el cual un ciberdelincuente se hacía pasar por el millonario propietario de la cadena Inditex, Amancio Ortega, y ofrecía una importante cantidad de dinero a cambio de proporcionar nuestros datos y ayudar a realizar una iniciativa en favor de niños desfavorecidos. Este nuevo caso de las conocidas como estafas nigerianas suplanta la identidad de un personaje reconocido para engañar a los usuarios, dando la casualidad de que en esta ocasión se tratara de un ciudadano español.
Respecto a los casos de malware que analizó el laboratorio de ESET durante el período destacan los relacionados con los troyanos bancarios. Por ejemplo, Zeus, uno de los troyanos bancarios más veteranos pero que se resiste a desaparecer y que ha evolucionado de robar información personal -como credenciales bancarias- a aliarse con otro tipo de malware bastante popular hoy en día como es el ransomware. Prueba de ello es el reciente desmantelamiento de la botnet Gameover Zeus que tendría entre 500.000 y un millón de sistemas afectados y habría obtenido un beneficio de 27 millones de dólares.
Robos masivos de información
La brecha de seguridad más comentada durante cuatrimestre fue sin duda la sufrida por eBay. Al parecer, la empresa sufrió un ataque que logró comprometer una base de datos con contraseñas cifradas y otros datos no financieros. Esto fue posible porque los atacantes lograron obtener las credenciales de acceso de algunos empleados. Tras anunciar el incidente, eBay invitó a cambiar las claves a sus millones de usuarios. Otro caso parecido fue el de Spotify. La empresa anunció que había detectado un acceso no autorizado a sus sistemas y que se habían filtrado los datos de un usuario. Esto fue suficiente para que la empresa recomendara a sus usuarios la actualización oficial para Android a pesar de no haberse detectado más casos.
Ya en agosto, nos encontrábamos con la filtración de unas 76.000 cuentas de desarrolladores de la fundación Mozilla. Al parecer, un fallo en un proceso de desinfección de la base de datos de la web Mozilla Developer Network (MDN) terminó con la exposición accidental de las direcciones de correo de los desarrolladores y de varios miles de contraseñas cifradas. Al poco tiempo saltó la noticia de que un misterioso grupo de delincuentes rusos había robado alrededor de 1.200 millones de usuarios y contraseñas y más de 500 millones de direcciones de correo electrónico. Entre estos datos se encontraban usuarios y empresas de todo tipo, datos obtenidos del mercado negro, redes sociales o incluso procedentes de vulnerabilidades en sitios web para robar los datos de sus usuarios.
Además, UPS, la mayor empresa de logística y transporte del mundo también comunicó que había sufrido un ataque debido al cual se había robado la información bancaria de sus clientes en 51 oficinas en Estados Unidos en una operación que había durado 7 meses, entre enero y agosto. Aunque la empresa afirmó no ser consciente de que se hubieran producido fraudes relacionados con este incidente, es más que probable que estos datos ya estén en el mercado negro o en manos de algún delincuente.
Sin embargo, el robo de datos más impactante del que tuvimos constancia el mes pasado fue el que se produjo en los sistemas relacionados con la investigación del vuelo MH370. Según se supo, se trató de un ataque dirigido a algunos de los responsables de esta investigación realizado desde una IP en China. Aunque la sofisticación del malware tampoco era excesiva, el atacante consiguió su objetivo al propagar un mensaje con información falsa en los momentos posteriores a este accidente aéreo.
Se puede acceder al informe completo en http://www.slideshare.net/ESET_ES
Más información sobre estas y otras amenazas en el Blog de Laboratorio de ESET España.