Pokémon GO tampoco se salva de los cibercriminales

Si has estado conectado a Internet en los últimos días, es casi imposible que no sepas de lo que hablaremos a continuación. Aquellas personas que rondan los 25 años, y quizás un poco más, se acordarán de la serie japonesa “Pokémon”, donde un chico recorría el mundo buscando y capturando unas criaturas para ser el mejor maestro “Pokémon”. Pues bien, ahora esto lo podemos hacer nosotros mismos gracias al avance de la tecnología móvil. Se trata de una aplicación en la cual tendremos que caminar en nuestra ciudad encontrando estos “Pokémon”, gracias a la cámara de nuestro dispositivo podremos verlos en una realidad aumentada como si los tuviéramos frente a frente. Un juego muy divertido que está siendo furor en todo el mundo gracias a la innovación de tener que desplazarnos en la vida real por nuestra ciudad para capturar diversos “Pokémon”, enfrentar a otros usuarios y muchas cosas más.

Lamentablemente hay personas que siempre se aprovechan de la popularidad de las cosas para hacer el mal, y “Pokémon GO” no queda afuera. El juego se lanzó originalmente en Estados Unidos para luego ser lanzado en el resto del mundo, actualmente se está cubriendo gran parte de Europa, para luego seguir con otros continentes y finalmente Latinoamérica. Uno de los problemas por los cuales no se lanzó en todo el mundo es porque hay que recrear los mapas de los países, y se está haciendo poco a poco.

El gran problema que tiene “Pokémon GO”, es que debido a su éxito mundial hay mucha gente que no quiere esperar a que esté disponible en su país y se está bajando aplicaciones por fuera de Google Play para poder jugarlo. Aquí es donde los cibercriminales comienzan a trabajar para captar a las personas que tienen interés en el popular juego de Nintendo. Instalar juegos o aplicaciones desde archivos apk* no oficiales siempre es un riesgo, un riesgo que al tratarse de un juego tan popular se incrementa muchísimo más, el malware ya está comenzando a circular en diversas apk y hay muchos usuarios infectados.

Es verdad que hay páginas que ofrecen instaladores apk y son de confianza, pero hay otras que buscan engañar a la gente para tomar el control del dispositivo móvil. El sitio iDigitalTimes recomienda a los usuarios no instalar “Pokémon GO” de ninguna fuente que no sea Google Play o App Store. “Pokémon GO” llegará con seguridad a todos los países del mundo, pero llevará tiempo, actualmente son 32 países que cuentan de manera oficial con el juego.

La firma de seguridad Proofpoint indica que ya han podido detectar un malware llamado DroidJack, una herramienta de acceso remoto que permite a cibercriminales obtener el control total del dispositivo móvil infectado. Instalar aplicaciones de fuentes desconocidas hace que el sistema le conceda permisos para instalar software que puede comprometer la seguridad del dispositivo, y es así como se instala DroidJack como consecuencia de un instalador modificado de “Pokémon GO”.

El malware DroidJack se distribuye en forma de troyano mediante archivos apk de “Pokémon GO”, desde sitios de descarga para aquellos que deseen probar el juego de manera “ilegal”. En cambio, hay varias formas de detectar que el archivo está infectado. Pongamos como ejemplo que descargamos e instalamos un apk desde un sitio desconocido, accedemos a los permisos que le otorga el sistema al juego en Ajustes > Aplicaciones > Pokémon GO, y nos damos cuenta que tiene permisos para enviar y recibir SMS, facturación de Google Play o recibir datos de Internet, sin dudas esto es una versión con malware y deberíamos desinstalarla inmediatamente del dispositivo.

Otra manera efectiva de comprobar si la apk descargada está comprometida es chequeando el hash SHA256, una serie de letras y números que podrás ver accediendo a las propiedades del instalador. Si el hash SHA256 de la apk es el siguiente: 5db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4 significa que esa apk está comprometida y no debes instalarla bajo ningún motivo.

Descargar “Pokémon GO” desde sitios de terceros puede tener consecuencias, ya que se vincula con nuestra cuenta de Google y una vez lanzada la aplicación oficialmente habría sanciones para aquellos que la utilizaron ilegalmente. También comentar que debido a que todavía no tiene soporte para Uruguay, no habrá mucha cosa que hacer, solamente interactuar con el menú, capturar tu primer Pokémon (con suerte encuentras más) y no mucha cosa más.

De momento no hay información sobre cómo eliminar definitivamente DroidJack, pero las recomendaciones están hechas, ser pacientes y esperar a que la aplicación se lance de manera oficial en todo el mundo. Un sitio web creado especialmente para la ocasión permite ver en qué países ya se encuentra “Pokémon GO”, para los más desesperados, hay una opción en la que podremos hacer que nos envíe una notificación por correo electrónico apenas esté disponible en nuestro país.

https://www.ispokemongoavailableyet.com/

Notas:
Apk – paquete instalador de software para sistemas Android

Nuevo malware en Android rootea tu dispositivo e instala apps maliciosas

android-infectado

¿Tienes un dispositivo con Android? Pues ten mucho cuidado de dónde bajas aplicaciones. Recientemente se ha descubierto una nueva amenaza para los usuarios de Android, se trata de un malware que se aloja en aplicaciones de apariencia legítima, pero al instalarlas puede llegar a hacerle root al sistema operativo e instalar malware. Por si no lo sabes, ningún dispositivo móvil viene rooteado de fábrica, el proceso de hacerle root a un móvil implica que se le concede al usuario una serie de permisos especiales para obtener aún más control sobre el mismo, permitiéndole cambiar el sistema operativo, borrar aplicaciones instaladas por defecto, entre otras cosas.

Este malware se encuentra circulando en diferentes tiendas, entre ellas la de Google Play, apodado bajo el nombre “Godless” dirige sus objetivos a usuarios que dispongan del sistema operativo Lollipop 5.1 instalado, el cual se usa en el 90% de los smartphones del mercado actual. Godless, como se ha apodado a esta herramienta, se disfraza de aplicaciones verídicas y utiliza exploits para vulnerar el sistema y poder llegar a rootearlo, de esta manera consigue hacerse con permisos especiales y permitir la instalación de aplicaciones de terceros en el dispositivo. Una herramienta muy avanzada sin dudas, ya que no cuenta con un solo método de rooteo, sino que contiene varios exploits en caso de que uno falle, inclusive puede llegar a instalar spyware, comentan desde Trend Micro.

Hay una gran cantidad de dispositivos móviles que son fácilmente rooteables, todo depende de la marca y modelo, pero hay otros que tienen cierta dificultad. Son muchas las herramientas que circulan en Internet para rootear nuestro dispositivo, confiables sí, pero no recomendables si no somos precavidos del riesgo que supone quitarle esa seguridad extra al smartphone. Muchos usuarios domésticos usan este método para simplemente obtener acceso a una capa más avanzada en la personalización del dispositivo, borrando aplicaciones innecesarias que vienen por defecto, configurando a su gusto diferentes aspectos, instalando aplicaciones que requieren acceso root para funcionar, inclusive cambiando su sistema operativo por CyanogenMod, un sistema Android modificado por usuarios con mejoras de rendimiento.

Sin dudas el ser root da muchas ventajas, pero también desventajas, para el caso de “Godless” no son tan agradables, una de sus nuevas variables también puede hacer un bypass a las comprobaciones de seguridad de las tiendas de aplicaciones, inclusive la de Google Play. Lo cierto es que este malware se encuentra en diversas aplicaciones de Google Play y una vez instalado es complejo borrarlo por completo. “Las aplicaciones malignas que hemos visto van desde flashes más potentes a apps de Wi-Fi, inclusive copias de seguridad de un juego muy popular”, comentan desde Trend Micro.

¡Qué complejo! Desde la firma de seguridad indican que, según sus estudios, algunas aplicaciones instaladas parecen estar limpias, pero tienen una nueva versión maliciosa que comparte el mismo certificado de desarrollo. Por lo tanto, cuando instalamos una aplicación sin malware, luego se actualiza y descarga a una nueva versión infectada sin previo aviso.

Si bien la cifra de infecciones en todo el mundo es relativamente baja para la cantidad de dispositivos Android que hay en circulación, 850.000 dispositivos infectados es algo muy preocupante. Los registros indican que casi la mitad de las víctimas son de la India (46,19%), seguido por Indonesia (10,27%) y Tailandia (9,47%). El resto son países asiáticos del sudeste del mapa, mientras que en América solo se encuentra Estados Unidos con un 1.51% de las infecciones.

Si eres de esas personas que está continuamente bajando aplicaciones novedosas, o simplemente te gusta investigar nuevos juegos, te damos unos consejos útiles:

  • Antes de descargar una aplicación revisa si el desarrollador es de confianza. Los desarrolladores desconocidos no ofrecen mucha información sobre su empresa y podrían ser las principales personas detrás de los casos de malware.
  • Revisa con atención las calificaciones y comentarios de los usuarios, esto es lo que te va a indicar de qué trata la aplicación, quizás otro usuario haya caído en el truco y esté advirtiendo sobre la peligrosidad de instalarla.
  • La cantidad de descargas también puede ser un buen censo para saber si la aplicación es aceptada o no, una aplicación con pocas descargas puede no ser tan buena como parece, y mucho más si tiene muy pocas estrellas en sus calificaciones.
  • Recordamos que a pesar de que siempre se puede escabullir algún que otro malware en las tiendas oficiales de los dispositivos, no es recomendable instalar aplicaciones desde otro lugar. Utilizar un antivirus en el smartphone es tan necesario como en una computadora doméstica.

Botnet interfiere en resultados de búsqueda mediante HTTPS.

54545

Mucho se habla de la seguridad que ofrece estar navegando bajo el cifrado HTTPS, catalogado como un sitio seguro, pero desde hace dos años un grupo de cibercriminales logró infectar a aproximadamente un millón de equipos mediante un malware que secuestra los resultados de búsqueda, incluso cuando las conexiones son realizadas bajo el protocolo de seguridad HTTPS.

La firma de seguridad Bitdefender explica este hecho, se trata de un botnet que se inicia cuando el usuario hace click sobre un anuncio que se muestran comúnmente en los sitios web, los propietarios del sitio web son los que ganan dinero gracias al programa AdSense de Google. Este programa de afiliados está dirigido a los propietarios de sitios web, permite a los administradores del sitio introducir un motor de búsqueda personalizado para generar ingresos cuando los usuarios hacen click sobre los anuncios generados por el buscador dentro del sitio.

Aquí es cuando el problema comienza, los cibercriminales operando la botnet eran capaces de interceptar las búsquedas de Google, Bing y Yahoo realizadas por los usuarios desde sus equipos. ¿Cómo? Mediante la utilización de un malware llamado Redirector.Paco, este programa es capaz de interceptar las comunicaciones y reemplazar los resultados legítimos por otros, generados por el malware, que por supuesto conducen a sitios maliciosos.

Redirector.Paco viene operando desde el año 2014 y dentro de sus logros se encuentra la cifra de 900.000 equipos infectados en todo el mundo, donde destacan países como India, Malasia, Estados Unidos, Italia, Paquistán, Brasil y Algeria. El método de infección del malware es muy variado, ya que tiene varias posibilidades a su alcance, se distribuye principalmente por falsos instaladores modificados de programas conocidos como, WinRAR, Connectify, Youtube Downloader, Stardock Star8 y KMSPico. Cuando la víctima instala uno de estos programas mediante estos falsos instaladores en realidad está alojando Redirector.Paco en su equipo, una vez alojado modifica la configuración de Internet y utiliza un proxy web configurado por los cibercriminales, todo gracias a un fichero de configuración automática de proxy, que les permite hacerlo sin tener que manipular nada.

En cuanto al proxy, hay dos tipos de variante para que el resultado de las búsquedas maliciosas tenga el efecto deseado. Uno de ellos es que el fichero de configuración automática de proxy se encuentre alojado en el servidor de los cibercriminales y sea detectado por el usuario, esto se logró descubrir porque al realizar búsquedas aparecía un texto “esperando al túnel de proxy”. La segunda variante es la instalación de un proxy man-in-the-middle escrito en .NET en el equipo de la víctima, para ello se utiliza el software FiddleCore para interceptar las conexiones HTTPS. Para cualquiera de los dos casos, el malware busca instalar sus propios certificados de seguridad para los motores de búsqueda Google, Bing y Yahoo, que deberán ser aceptados cuando la víctima abre su navegador web.

Este tipo de ataque man-in-the-middle es un tanto diferente a los que estamos acostumbrados a escuchar, ya que el usuario realiza una búsqueda normal y corriente en su buscador de preferencia, para que después el malware intercepte la búsqueda y modifique los resultados en base a sus propios certificados para mostrarle al usuario los sitios que los cibercriminales crean conveniente.

Como la víctima aceptó los certificados una vez que alojó el malware en su equipo e inició el navegador, no se verá ningún tipo de comportamiento extraño por parte del usuario, ni por ningún programa antimalware.

¿Recuerdas el caso de Lenovo y Superfish? El popular incidente entre la firma Lenovo y la instalación de un malware de fábrica sin el consentimiento del usuario, que según ellos, decían que era para registrar la actividad en la web y ofrecerte publicidad relacionada con tus intereses. Pero en realidad no parecía ser tan así, ya que se podría estar robando datos confidenciales de los usuarios. Aquí Redirector.Paco nos hace recordar a grandes rasgos en caso de Superfish, instalando certificados en el equipo, interceptando las comunicaciones y redirigiendo las búsquedas a otro sitio.

Si hay algo seguro es que Redirector.Paco únicamente instala certificados que se pueden utilizar en un solo equipo, esto quiere decir que los certificados no pueden ser extraídos de un equipo infectado para enviar ataques man-in-the-middle contra otras víctimas.

1.100 mil millones de credenciales de correos electrónicos robadas por un hacker.

Sin título0033

La firma de seguridad Hold Security confirmó esta semana sobre la filtración de 1.100 mil millones de credenciales de acceso a correos electrónicos de varios prestadores de servicio. Se podría tratar de uno de los robos más grandes en cuanto a cantidad de datos, el responsable del delito parece ser un hacker de origen ruso.

Así es como este hacker se las ingenió para comenzar a robar datos de usuario y contraseña de los principales servicios de Internet, entre los implicados se encuentran GMail, Microsoft y Yahoo!, las credenciales están siendo distribuidas por todo Internet por el hacker ruso conocido por su seudónimo “The Collector” por consecuencia de un tesoro aún más grande de 1.170 mil millones de credenciales. La firma de seguridad Hold Security ha estado observando detalladamente las más de 272 millones de credenciales únicas hasta la fecha, incluyendo cerca de 43 millones que nunca se habían dado a conocer hasta ahora, es decir, nueva gente afectada por el robo.

Adobe pone en conocimiento que los hackers pueden seguir explotando Flash Player.

Sin títulooo22

Adobe Flash Player tiene sus días contados, hace ya varios meses que los principales portavoces de la compañía vienen expresando públicamente las diversas vulnerabilidades que contiene su producto, Flash Player. Es así como los responsables de este complemento tan utilizado hace varios años atrás, ya expresan públicamente los problemas que tienen para poder solucionar cada nuevo problema que se les presenta.

En esta semana la compañía lanzó una serie de actualizaciones para Reader, Acrobat y ColdFusion, pero no así para Flash Player, que continúa en espera para recibir una actualización que solucione una vulnerabilidad crítica. Adobe Systems explica que aún no han podido dar con el fallo y están trabajando para lanzar un parche que solucione una vulnerabilidad que los hackers continúan aprovechando para atacar equipos. Por su parte, Adobe Reader, Acrobat y ColdFusion ya cuentan con sus respectivos parches de seguridad.

La vulnerabilidad en cuestión está registrada bajo las siglas CVE-2016-4117 y afecta a las versiones de Flash Player 21.0.0.226 y sus predecesoras para Windows, OS X, Linux y Chrome OS. En caso de que algún hacker pueda lograr explotarla podría hacerse con el control total del sistema de la víctima.

Desde la compañía explican que tienen conocimiento del daño que puede causar la vulnerabilidad CVE-2016-4117, y aseguran que se ocuparán de buscar una solución en su siguiente parche que saldrá como muy pronto el día 12 de mayo. Hasta el momento Adobe ha actualizado sus productos Reader y Acrobat, solucionando un total de 92 vulnerabilidades, la mayoría de estas son de carácter crítico y pueden permitir al atacante inyectar código malicioso en los equipos. Los usuarios que utilicen estos programas, Acrobat DC y Reader DC versión 15.010.20060 y anteriores, así como Acrobat XI y Reader XI 11.0.15 y anteriores, deberán actualizar sus productos. Esto se puede hacer de forma manual ingresando en el menú Ayuda y luego Buscar actualizaciones.

Las actualizaciones para su producto ColdFusion (su servidor de aplicaciones web), solucionan un problema de validación de entradas que podría dar lugar a ataques de scripts de sitios, el problema se encontraba en la verificación del nombre de host que afectaba a los certificados comodín, y una vulnerabilidad de Java en la biblioteca Apache Commons Collections. En el año 2013 unos investigadores advirtieron sobre un ataque donde los hackers explotaron una vulnerabilidad de ColdFusion para instalar malware en servidores de Microsoft IIS.

Desde Adobe se le recomienda a los usuarios instalar diversos Updates según la versión de producto que se esté utilizando, para ColdFusion (2016) instalar el Update 1, para ColdFusion 11 el Update 8, y finalmente ColdFusion 10 deberá actualizarse con el Update 19.

Hay más ataques DDoS, pero con menos duración.

Sin título0011

El informe sobre estadísticas de Kaspersky DDoS Intelligence asegura que se hicieron populares los ataques a nivel de aplicación y los ataques DDoS son mucho más frecuentes, es más, los detectados en el primer trimestre de este año se han igualado con todos los del año pasado. En su informe relacionados con ataques de botnets DDoS que abarca el primer trimestre del año, Kaspersky Lab asegura que estos han evolucionado y ahora son más complejos y específicos si los comparamos con los del año 2015, que eran más fáciles de llevar a cabo y con fines netamente económicos.

Es así como más del 70% de los ataques del primer trimestre duraron menos de cuatro horas, mientras que el más largo duró ocho días. Los registrados en 2015 llegaron a durar más de dos semanas de ataques ininterrumpidos por parte del cibercriminal. Un dato a tener en cuenta es que Kaspersky Lab tuvo que eliminar durante el primer trimestre de 2016 la misma cantidad o más ataques DDoS que en todo 2015, y se estima que la cifra subirá aún más durante el año que corre. Esto se resume en que la mayoría de los cibercriminales ahora están optando por realizar ataques DDoS para obtener datos importantes de las grandes instituciones, es mucho más fácil y redituable realizar estos ataques antes que utilizar la ingeniería social.

Un total de 74 países fueron afectados durante este año, únicamente 10 de ellos se llevaron el 93% de los ataques, hablamos de China, Corea del Sur y Estados Unidos. Los ataques a medios de comunicación bajaron en comparación al pasado año, y como mencionábamos al comienzo, ahora los cibercriminales le encuentran otro gusto a los ataques dirigidos a nivel de aplicaciones.

Los investigadores de Kaspersky Lab explican que únicamente una solución de seguridad anti-DDoS altamente profesional con un algoritmo de filtrado de spam inteligente puede hacerle frente a estos ataques. Puede detectar y filtrar ataques DDoS entre los correos electrónicos y por eso las empresas no deben conformarse únicamente con la protección que les ofrece su proveedor de Internet, hay que tomar medidas extra.

Informe señala que la mitad del tráfico web es generado por bots.

20160515-blogalvar-img-mayo15

En un informe publicado por la firma DeviceAtlas se indica que casi la mitad del tráfico de las webs analizadas por sus investigadores es perteneciente a bots automatizados, ocupando un 48% del tráfico del sitio web. Según el informe Q1 Mobile Web Intelligence Report, este falso tráfico provoca que muchas empresas pierdan dinero, y en muchos casos no son conscientes del problema que esto conlleva. No es lo mismo que una web sea visitada por una persona real, que interactúe con los contenidos y las publicidades, a que lo haga un bot que únicamente crea un tráfico web falso.

Desde la firma aseguran que la presencia de bots en Internet es algo que está en constante crecimiento, y lo peor de todo es que la tendencia se está volviendo más hostil y costosa para los propietarios de sitios web. “Solíamos pensar que los bots eran sonido blanco”, comenta Ronan Cremin, CTO de DotMobi. “Esto ha cambiado hasta el punto en el que llegan a interactuar con los sitios, imitando el comportamiento humano. En algunos casos llegan incluso a hacer compras online con el fin de influenciar los precios”, concluye Cremin. Además que este tipo de ataque es de bajo costo, por lo que cabe pensar que irá en constante crecimiento.

Aquí es cuando las empresas comienzan a perder dinero, si los bots cuentan con las facultades para realizar compras online, puede llegar a influir en el precio de determinados artículos, inclusive pensando que un producto es muy solicitado pero en realidad está siendo comprado por un bot. Los especialistas en marketing digital llevan intentando aumentar su tráfico humano y dejar de lado el falso durante mucho tiempo, para lograrlo utilizan herramientas especiales de filtrado de usuarios, pero no son del todo exitosas, las cifras hablan por sí solas.

“Los estafadores tardan mucho en demostrar que no son humanos”, comenta Frank Scavo, presidente de Computer Economics. “Es incluso peor que eso, las propias agencias de marketing no están interesadas en ofrecer un número más reducido de visitas. Si vas a pagar por clicks o por visitas, es necesario analizar muy cuidadosamente las estadísticas, nunca se va a pagar menos de lo que cuesta”. En este punto es donde quizás el control de los usuarios tiene que ser mucho más estricto, ya que cuando una empresa paga por cantidad de clicks o visitas a sus anuncios, no tiene la total garantía de que la persona que ingresó al sitio es un bot o un humano.

Para evitar dolores de cabeza, DeviceAtlas explica que lo mejor es relacionar el pago de marketing a los resultados específicos de negocio, y no en impresiones o clicks en anuncios. Creando un buen filtro y utilizando herramientas de análisis se puede saber si el visitante es un bot o un humano, en este caso, se podría enviar a los bots a servidores más lentos. De esta manera se ve beneficiado el usuario, ya que proliferan los tiempos de carga de la web y no se concentran tantos bots en un servidor al que deberían tener la prioridad los humanos.

“Lo mejor es no ofrecer ciertas funciones cuando sabemos que un visitante no es un humano”, comenta Cremin. Lo que se debe hacer en estos casos es bloquearle las capacidades una vez que se detecta que es un bot, no permitirle realizar compras, realizar comentarios de spam, etc. La principal razón de la existencia de los bots es la recolección de información, es su objetivo número uno, por lo general los bots se crean para que accedan a un sitio web con cierta frecuencia y obtengan datos de sus visitas.

El problema aquí yace en cómo o qué hacen las empresas para que los bots no ingresen a sus servidores, causándoles problemas a sus visitantes y también a sus inversores, que son los que anuncian en sus sitios web. La tendencia para este 2016 está en alza y los bots se están volviendo cada vez más populares en el mundo de los cibercriminales.

Ataques de malvertising infectan con ransomware viejos dispositivos con Android.

Sin título99

Los investigadores de Blue Coat Systems han detectado una campaña de un grupo de cibercriminales que están utilizando dos conocidas vulnerabilidades de viejas versiones de Android para instalar ransomware en los dispositivos que aún operen con el sistema operativo. Lo que buscan es instalar un sistema de búsquedas creado por los cibercriminales, para que cuando el usuario realice una consulta, sea llevado a sitios web con anuncios maliciosos.

El sistema de infección es mediante ataques basados en web, estos hacen uso de las vulnerabilidades de un buscador o de los complementos (plug-in) para instalar el malware, caso muy utilizado en los equipos con Windows, pero hasta ahora no se había presentado algo similar en Android. Gracias a la seguridad del modelo de aplicación, dichas vulnerabilidades están salvo en los nuevos terminales.

Luego de largas pruebas, los investigadores de Blue Coat Systems pudieron detectar un ataque drive-by contra uno de los dispositivos de prueba que estaban utilizando, una tablet Samsung que operaba bajo Cyanogenmod 10.1 con Android 4.2.2. La versión en cuestión todavía es utilizada por la gran mayoría de dispositivos de gama media/baja, por lo que afecta a gran parte de la población mundial.

“Esta es la primera vez, que yo sepa, que un exploit kit ha podido instalar con éxito aplicaciones maliciosas en un dispositivo móvil sin interacción alguna con la víctima, es decir, el usuario”, comentaba Andrew Brandt, director de investigación de amenazas en Blue Coat. También explicaba que en el momento del ataque el dispositivo no le preguntó sobre los permisos que tendría, algo normal cuando instalamos una nueva aplicación en nuestro dispositivo Android.

Yendo más a fondo con la investigación, con la ayuda de otra firma llamada Zimperium, los investigadores de seguridad pudieron saber que el anuncio malicioso contenía código JavaScript, que se aprovechaba de una vulnerabilidad en libxslt. El mismo agujero de seguridad alojado en la librería libxslt es uno de los archivos que se filtraron el pasado año desde uno de los software de vigilancia del fabricante italiano Hacking Team.

Una vez que logra penetrar el dispositivo, el agujero de seguridad permite ejecutar un ELF llamado module.so, el cual también se aprovecha de otra vulnerabilidad para que se le otorgue acceso de administrador y así moverse libremente. La vulnerabilidad a la que hacemos mención se la conoce como Towelroot y apareció públicamente allá por el año 2014. Con Towelroot alojado en el dispositivo, se comenzará a descargar e instalar un archivo APK que no es nada bueno, se trata de un ransomware de nombre Dogspectus o Cyber.Police. Pero tranquilos, que a diferencia de otros ransomware este no va a encriptar los archivos del dispositivo o borrarlos, todo lo contrario, muestra una amenaza falsa para intimidar a la víctima donde dice que las agencias federales detectaron actividad ilegal en el dispositivo y se deberá pagar una multa.

En caso de que no se pague la suma de dinero exigida, la aplicación maliciosa instalada hará que el dispositivo quede bloqueado para que no se pueda hacer nada con él. La única opción es pagar la multa o volverlo a un estado de fábrica mediante la recuperación del mismo, pero mucho cuidado, que este método borra todos los datos que no hayan sido respaldados, así que lo más recomendable es conectarlo a una computadora y respaldar todos los archivos importantes antes de hacer nada.

¿Cuál es el problema ahora mismo? Hay muchos dispositivos antiguos que todavía no cuentan con la última versión de Android y son vulnerables a sufrir estos ataques. Muchos de ellos no se actualizan porque su hardware no es compatible con las nuevas versiones del popular sistema de Google y quedan estancados en Android 4.2.2. Otros simplemente no se actualizan porque sus fabricantes dejan de dar soporte a sus viejos modelos, para que de alguna manera las personas se compren nuevas versiones.

Por defecto las actualizaciones del sistema operativo deberían venir activadas por defecto, pero si posees un dispositivo móvil de gama media/alta, lo más seguro es que ya no tengas el sistema operativo que es afectado por la vulnerabilidad. De todas maneras, deberías comprobar las actualizaciones ingresando en Ajustes > Actualizaciones del sistema, o simplemente conectándolo a tu computadora y utilizando el software que te provee tu fabricante para administrar el móvil.

Recuerda que los principales fabricantes ya están comenzando a distribuir la nueva versión de Android Marshmallow 6.0 para los dispositivos de gama media/alta, así que comprueba si tu dispositivo soporta dicha actualización para poder recibirla cuanto antes.

Tres millones de servidores podrían estar en riesgo de infección por ransomware.

Sin título77123

Así se encabeza un artículo publicado por la firma Cisco Systems, donde explica que más de tres millones de servidores con acceso a Internet podrían correr el riesgo de ser infectados por ransomware. Este tipo de malware es el que compromete archivos y los cifra para luego pedir un rescate a cambio de su desbloqueo.

Dentro del minucioso trabajo realizado por Cisco, una entrada en su blog explica algo más sobre su punto de vista, la firma comenta que unos 2.100 de los servidores en cuestión pueden ser afectados mediante sus webshells, que le otorgan a los atacantes a tener un control persistente sobre los equipos de la red, haciendo que sean vulnerables a infecciones en cualquier momento. Los servidores afectados se encuentran conectados a aproximadamente 1.600 IP diferentes donde se incluyen colegios, entes gubernamentales, compañías de aviación y otros tipos de organizaciones que no tienen una correcta protección de seguridad en sus servidores.

Cisco logró encontrar que algunos de los servidores relacionados con colegios estaban ejecutando una versión vulnerable de un sistema de gestión, que generalmente se usa para hacer un seguimiento de los libros de bibliotecas y otros artículos pertenecientes a los colegios. Es así como la firma de seguridad dio aviso al desarrollador del software Follet Learning explicándole sobre la vulnerabilidad en su programa, por su parte, los desarrolladores respondieron rápidamente a los reclamos de Cisco, informándoles que ya habían actualizado su programa corrigiendo el fallo de seguridad. También comentaron que actualizaron su aplicación para detectar infecciones en los equipos y así eliminar toda puerta trasera que pueda estar aquejando la seguridad.

Ahora bien, el problema aquí es ¿dónde está la amenaza? El causante de los problemas de seguridad en los servidores está en una versión desactualizada de JBoss, el servidor de aplicaciones Java EE desarrollado por Red Hat. El problema es más grave de lo que parece, según los investigadores de Cisco, se pudo detectar unos 2 millones de servidores vulnerables, pero en su entrada del blog oficial destacan que existen unos 3 millones de servidores con indicios de ser infectados por ransomware a futuro. Y si esto sigue así, la cifra seguirá aumentando con el correr de los meses.

Las recomendaciones de Cisco son claras, aparte de tener sumo cuidado a partir de ahora y reforzar los sistemas de seguridad, explican que si se dispone de un servidor con webshell, se tendrá que eliminar cualquier acceso externo al servidor para evitar visitantes no deseados, recrear la imagen del servidor e instalar versiones actualizadas de las aplicaciones que se utilizan en el mismo. Si por algún motivo no se puede reinstalar el servidor por algún tipo de infección, se debería volver a un punto donde el servidor funcionaba correctamente y a partir de allí comenzar a instalar las actualizaciones pertinentes.

Policía canadiense tiene claves de cifrado de BlackBerry.

77123

Según la información filtrada por el medio Vice, la semana pasada se pudo saber una noticia realmente sorprendente en el mundo de la seguridad informática, y sin lugar a dudas, puede marcar el futuro de BlackBerry. Hablamos de la Real Policía Montada de Canadá (Royal Canadian Mounted Police, RCMP), la cual posee hace varios años una clave de descifrado a nivel global que fue suministrada por la propia compañía, que permite descifrar mensajes enviados con los dispositivos BlackBerry Messenger. Otro caso más que se suma a la polémica, hace unos meses era el problema de Apple y el FBI, y ahora BlackBerry que facilita el acceso a sus dispositivos a la policía canadiense.

Este hecho está vinculado a un caso de lucha contra el crimen organizado que comenzó en el año 2011, después de un asesinato y que se conoció luego de filtrarse 3000 documentos judiciales de alto nivel vinculados con un caso de nombre clave “Proyecto Clemenza”. La realidad es que la propia compañía de dispositivos móviles le brindó esta herramienta de desbloqueo a la policía canadiense, con la cual pueden tener un control sobre los mensajes enviados. Cifras filtradas indican que se pudieron leer aproximadamente un millón de mensajes enviados entre 2010 y 2012.

Algo de esto se dejaba ver entrelíneas, cuando el año pasado John Chen, CEO de BlackBerry publicaba un artículo en el blog de la compañía diciendo: “rechazamos la noción de que las compañías de tecnología tendrían que rechazar una legal y razonable petición de acceso. Del mismo modo que los ciudadanos individuales tienen la responsabilidad de ayudar a frustrar el crimen cuando pueden hacerlo de forma segura, esta responsabilidad también la tienen las empresas dentro de lo que pueden hacer en lo que se refiere a ayudar a las fuerzas de la ley en su misión de protegernos”. Pese a que el Gobierno de Canadá y el fiscal del caso han tratado de esconder la información acerca de cómo obtuvieron el acceso a todos los dispositivos BlackBerry, la propia compañía ha salido a confirmar que fueron ellos los que proporcionaron los datos.

Ahora bien, esto es algo muy similar a lo que pasa con el FBI, la policía canadiense tiene en su poder una clave de acceso global con la cual puede acceder a todos los dispositivos BlackBerry que así desee. El tema de la privacidad de los usuarios se vuelve a poner sobre la mesa, los mensajes enviados mediante BlackBerry Messenger podrían ser vistos por las autoridades con el fin de velar por la seguridad de los ciudadanos. Pero aquí hay otro tema en cuestión, no solo los dispositivos BlackBerry podrían estar siendo afectados, cabe recordar que la aplicación de mensajería también se encuentra disponible para Android, iOS y Windows Phone.

¿Qué pasará ahora con BlackBerry? Sin dudas la imagen de la compañía podría verse afectada, en un mercado liderado por Android e iOS, la firma tendrá que ponerle el pecho a las balas si quiere cautivar a sus usuarios. La realidad es que BlackBerry ya no es lo que era desde hace mucho tiempo, antes utilizar estos dispositivos era el último grito de la moda, pero con el paso de los años fueron apareciendo otras marcas que le comenzaron a hacer sombra. Se destaca un hecho curioso, cuando hace dos años el director de BlackBerry Messenger renuncio a su cargo, y se sospecha que fue por el asunto de la privacidad. Lo único que mantiene viva a la compañía es el sector corporativo, que todavía utiliza sus servicios, pero no la tendrá fácil a partir de ahora.

Por su parte, el CEO de la compañía, John Chen salió a defender a BlackBerry frente a la situación vivida hace unos días, su respuesta fue que ellos han cumplido con lo que les ha pedido la ley. “Nos encontramos en una situación oscura cuando las empresas anteponen su reputación por encima del bien común”, expresó.