Archivo por meses: diciembre 2015

Se viene la navidad y las ciberestafas están a la vuelta de la equina.

222título

Las fiestas se aproximan y con ello las ofertas navideñas por internet, los cibercriminales no dejarán de elaborar nuevas amenazas para arruinar la navidad de varias personas en cuanto a dinero se refiere, así que ten mucho cuidado con tu tarjeta de crédito y otras transacciones peligrosas. En un informe elaborado por la firma de seguridad alemana G Data Software, se hace especial hincapié en las estafas más comunes que se vienen repitiendo todos los años, son días en los que los negocios minoristas registran las mayores ventas del año.

“Todos los años por estas fechas las cajas registradoras de tiendas físicas y en línea se ponen a echar humo, y también la actividad cibercriminal comienza una de sus temporadas más altas. Persiguen tarjetas bancarias y credenciales de acceso a cuentas de correo electrónico o servicios de pago en línea. Las estafas más repetidas las realizan aprovechando campañas de spam con correos electrónicos no deseados y mensajes de texto con enlaces y archivos maliciosos”, informa Eddy Willems, experto en ciberseguridad de G Data Software.

No hay mejor manera de evitar caer en una estafa que usar el sentido común, pero cuando este falla ya podría ser muy tarde, no siempre los antivirus podrán estar a la vanguardia de las nuevas técnicas maliciosas de los cibercriminales. Es por ello, que la firma alemana ha creado una lista de las ciberestafas más comunes por estas fechas, junto con una serie de consejos para comprar en línea de forma segura.

Primero comenzaremos con las posibles estafas que hay por la red:

  1. Productos a muy bajo precio. ¿No te ha pasado que ves un producto a un precio escandalosamente bajo? Si sabes de lo que hablamos, podrás comparar el precio normal de mercado con ese precio súper rebajado y te darás cuenta que hay algo detrás de ese precio. Normalmente este tipo de productos suelen llegar por correos electrónicos no deseados, donde se promete un producto de una marca reconocida, puede ser un reloj de lujo, smartphones, artículos de tecnología, inclusive cosas de moda para chicas a precios excesivamente bajos. Si no estás suscripto a ningún sitio de confianza que te envíe ofertas, no ingreses a este tipo de correos, por lo general hacer click en sus enlaces te llevarán a sitios infectados con malware o falsas tiendas de compra en línea, donde lo único que se busca es robar datos bancarios durante un proceso de compra falso.

 

  1. Notificaciones y facturas con remitentes desconocidos. Cuando hacemos una compra en línea por lo general llega mediante un servicio de correo privado o utilizando el correo local. Ahora bien, los cibercriminales pueden ser capaces de enviar falsos correos haciéndose pasar por empresas de correo, solicitando datos personales para lograr liberar un paquete que hayamos comprado días atrás.  En el cuerpo del mensaje se puede expresar que hubo un problema con un paquete y es necesario que el usuario ingrese una serie de datos para continuar, mucho cuidado con este tipo de remitentes porque hasta puede venir con datos adjuntos que de abrirlos, puede infectar nuestro equipo con programas espía.

 

 

  1. Mensajes relacionados con la navidad. Ya está es desuso enviar postales navideñas por correo, con la llegada del correo electrónico las postales que se envían mediante teléfonos o directamente a nuestra casilla son cada vez más comunes. Los cibercriminales saben dónde están parados, el aumento de este tipo de mensajes durante estas fechas es la ocasión ideal para modificar un saludo navideño y cambiarlo por un archivo adjunto y enlaces maliciosos, ¡Qué regalito! Si recibes este tipo de mensaje en tu teléfono o correo electrónico y desconoces el remitente, bórralo de inmediato para que no ingreses a esos enlaces por error, los cibercriminales usan direcciones anónimas para enviar las cadenas y reconocerás rápidamente el remitente.

 

  1. Solicitudes de pago o facturas con troyanos bancarios como regalo. ¿Eres una persona con deudas? Si no debes dinero no hay de qué preocuparse, las facturas falsas son otra de los ganchos que usan los cibercriminales para infectar a sus víctimas navideñas. Este tipo de correos electrónicos reclaman el pago de una deuda, o simplemente la actualización de algún dato, se disfraza como un correo legítimo con el logo del banco o entidad en cuestión. Una vez que el usuario cae en la trampa y abre el enlace o archivo adjunto del mensaje, el equipo podría ser infectado con un troyano bancario que cuenta con las facultades de manipular cuentas bancarias y hacer transferencias de dinero, además de permanecer oculto hasta la próxima compra que realicemos para interceptar el proceso de pago.

¿Qué debemos hacer para poder prevenir las amenazas de estas fechas?

  1. Lo esencial, contar con un antivirus. No se debe navegar por internet sin contar por lo menos, con un antivirus gratuito, es la parte más importante del equipo y de no tenerlo estaríamos sumamente expuestos al peligro. Asegúrate de que cuenta con protecciones antimalware, antispam, firewall, protección de navegación web y protección para la banca en línea.

 

  1. Actualiza tu equipo y navegador favorito. Windows debe estar actualizado con el último parche de seguridad, las vulnerabilidades del sistema operativo son aprovechadas por los cibercriminales para introducir sus amenazas. Los navegadores web también son parte de la seguridad, si utilizas Internet Explorer, lo podrás actualizar mediante Windows Update, si cuentas con un navegador independiente como Google Chrome o Firefox comprueba que tengas la última versión y las actualizaciones automáticas activadas. Este punto también afecta a los smartphones y otros dispositivos inteligentes, actualiza las aplicaciones con las que navegas por internet.

 

  1. ¿El sitio es de confianza? Si quieres salir de lo común y comprar en otro sitio que encontraste primero comprueba su reputación. No compres precipitadamente, mira detenidamente el sitio y revisa los términos y condiciones de compra, allí te podrás informar mejor sobre lo que vayas a comprar, medios de pago y envío. Como es la primera vez que compras en ese sitio que encontraste, lo recomendable sería buscar la opinión de otros usuarios sobre sus experiencias, busca en google información sobre esa tienda para saber si es confiable hacer compras allí.

 

  1. Correos con spam directamente a la basura. Por día nos pueden llegar muchas ofertas de tiendas en línea donde ya hemos comprado cosas, pero si es de un sitio donde nunca te registraste, debería ir directamente a la carpeta de spam, caso contrario crea un filtro para este tipo de remitentes desconocidos, así ya no recibirás más ofertas molestas. Los mensajes de spam suelen ser muy molestos y en caso de abrirlos pueden llevarnos a sitios maliciosos con medios de pago de dudosa veracidad, de más está mencionar que puede que nos llevemos algún otro tipo de regalito en forma de virus.

 

  1. ¿Listo para pagar la compra? Una vez que llenamos nuestro carrito con todas las cosas que queríamos comenzará el proceso de pago, debemos prestar atención a las advertencias de seguridad que provengan del navegador para tener la total garantía de que los datos serán transferidos de forma cifrada. Pagar en sitios seguros significa que en la barra de direcciones aparezca el candadito en verde, junto con el “https” al comienzo de la dirección del sitio, asegúrate que cuando estés haciendo el pago la dirección sea la misma del sitio o la del medio con el que vayas verificar el pago. Los cibercriminales suelen modificar la dirección de un sitio web con variantes mínimas, una letra por ejemplo, y en ese caso estaríamos haciendo una transacción en un sitio malicioso.

 

La botnet Dorkbot ha cesado sus actividades gracias a ESET y otros colaboradores.

Sin título1

Una botnet que lleva operando hace bastante tiempo ha sido desarticulada, Dorkbot finalizó sus actividades maliciosas gracias a la colaboración de un equipo de ESET. Dentro de esta red de ordenadores zombis se lograron detectar más de medio millón de equipos infectados, y mediante el bloqueo de varios dominios los cibercriminales no pudieron seguir operando los equipos capturados con anterioridad.

La Interpol, Europol y el FBI, junto con la colaboración por parte de ESET, lograron llevar a cabo una operación para desmantelar la botnet DorkBot, eso incluye también sus servidores de control en Asia, América del Norte y Europa. La incautación de varios dominios por parte de las autoridades fue clave para poner punto final a la botnet que tenía en su poder más de medio millón de equipos. Dorkbot es una botnet que se encuentra activa desde hace años, su base de desarrollo es sobre el malware Win32/Dorkbot, su método de propagación era mediante varios medios, redes sociales, spam, dispositivos extraíbles o exploits. Su método de operación era bastante sencillo, una vez que se lograba alojar en el equipo de la víctima, el malware bloqueaba los accesos a los servidores de actualización del antivirus y se conectaba a servidores de IRC para que desde allí, los cibercriminales pudieran operar sus próximos movimientos.

Como si fuera poco, los cibercriminales también robaban contraseñas de Twitter y Facebook para luego venderlas o seguir mandando spam mediante las redes sociales, también instalaban código malicioso de varios tipos de malware como Win32/Kasidet, utilizado para realizar ataques de denegación de servicio (DDoS), o Win32/Lethic, un bot capaz de enviar cadenas de spam para captar aún más víctimas.

“Hemos ayudado a detener estos ataques con el objetivo de conseguir que internet sea más seguro y proteger a los usuarios. Cada semana detectamos miles de amenazas provenientes de prácticamente todo el mundo y cada día recibimos nuevas muestras, por lo que Dorkbot parecía un objetivo para realizar un esfuerzo para intentar desmantelarla”, concluyó Jean-lan Boutin, investigador de malware en los laboratorios de ESET.

Es así como una vez más, gracias a la colaboración de organismos gubernamentales y en este caso la firma ESET, se logra acabar con una red de ordenadores infectados. Aún quedan varias redes de botnets con más o menos personas en sus redes maliciosas, y quizás otras que se estarán creando en este momento, pero algo es seguro, si hay voluntad y las partes se unen se pueden llegar a lograr grandes cosas.

El grupo de ciberespías Sofacy vuelve al ruedo con nuevas herramientas.

Sin título

Un grupo de ciberespías llamado Sofacy ha estado haciendo mucho ruido estos últimos meses, es por ello que el equipo de investigación global de Kaspersky Lab logró detectar nuevos ataques de los cibercriminales, esta vez, con nuevas herramientas y variadas técnicas diseñadas para lograr una persistencia agresiva y un campo de invisibilidad de su actividad maliciosa una vez que se encuentran en el sistema de la víctima.

Sofacy es el nombre clave que lleva este grupo de cibercriminales, también se hacen conocer por otros nombres como Fancy Bear, Sednit, Strontium y APT28, durante los últimos años ha logrado hacerse un lugar en el mundo de los cibercriminales por sus constantes desarrollos maliciosos. Los ciberespías de origen ruso operan desde el año 2008 y han logrado atacar importantes instituciones y usuarios domésticos, sus amenazas avanzadas tienen como principal objetivo entidades militares y gubernamentales a lo largo y ancho del mundo. En cambio, fue el año pasado cuando lograron captar la atención de los investigadores de Kaspersky Lab debido a sus constantes actividades maliciosas. Según los expertos, Sofacy todavía tiene nuevas herramientas maliciosas mucho más avanzadas dentro de su base de operaciones que todavía no hemos visto.

Dentro del análisis que se pudo hacer por parte de Kaspersky Lab, se pudo saber que los ciberespías utilizan diversos backdoors para infiltrarse en el equipo de la víctima, y luego lo siguen reinfectando con más herramientas maliciosas, de esta manera se aseguran de acceder al equipo con una amenaza y luego poder lanzar muchos más métodos de infección si alguno falla o es detectado por el antivirus residente.

Entre tantas amenazas y ataques registrados este 2015, el grupo cibercriminal Sofacy logró crear y utilizar una nueva versión de su implante de robo USB, que infecta y roba datos de las unidades extraíbles de los equipos a los que se conectan, y después se va haciendo una gran cadena a medida que los dispositivos USB se van conectando a otros equipos. Una vez que el dispositivo USB está infectado, los datos son enviados a los cibercriminales sin que el usuario se percate de lo sucedido.

Kaspersky Lab ha logrado detectar algo que los cibercriminales utilizan cada vez más dentro de sus ataques dirigidos, se trata de una “modificación” del malware, introduciendo algunas características de los backdoors en módulos separados para lograr ocultar mejor la actividad maliciosa una vez que el sistema de la víctima está infectado.

“Por lo general, cuando alguien publica una investigación sobre un grupo de ciberespionaje, el grupo reacciona, bien deteniendo su actividad o cambiando drásticamente sus tácticas y estrategia. Con Sofacy, no ha sido el caso, los hemos visto lanzando ataques desde hace varios años y su actividad ha sido documentada por la comunidad de seguridad varias veces. En 2015 su actividad se incrementó significativamente, con el despliegue de no menos de cinco ataques de día cero, haciendo de Sofacy uno de los autores de amenazas más prolíficos, ágiles y dinámicos de la actualidad. Tenemos razones para creer que estos ataques continuarán”, comenta Costin Raiu, Director de Investigación y Análisis Global en Kaspersky Lab.

Equipos Dell contienen certificados root preinstalados causando problemas de seguridad.

Sin bbbbb

El fabricante de equipos portátiles Dell ha tenido una semana bastante agitada en materias de seguridad, en un caso muy parecido a lo sucedido con Lenovo, que preinstalaba programas maliciosos en sus equipos, ahora Dell se trae entre manos algo muy gordo. Se trata del certificado eDellRoot, debido a un problema de seguridad cualquier persona podría crear sitios web fraudulentos de apariencia totalmente parecida a los originales, inclusive espiar datos donde el certificado se encuentre instalado. Como si fuera poco, la firma Duo Security encontró otro certificado no tan peligroso, pero que pone en tela de juicio la seguridad de los equipos.

La firma Dell lleva vendiendo los equipos con este problema desde agosto, dentro viene preinstalado un certificado digital root que cuenta con las facultades de espiar el tráfico de cualquier sitio web seguro. El certificado tiene un rango de certificado de autoridad y viene con una clave privada, lo que hace la situación mucho más compleja, señalan los expertos en seguridad. Dicha clave está disponible públicamente y cualquier persona está al alcance de generar un certificado para cualquier sitio seguro en el que los navegadores confíen, por ejemplo Internet Explorer o Google Chrome, que utilizan el almacén de certificados de Windows en los equipos afectados con el problema. El certificado es instalado automáticamente por una aplicación que despliega un conjunto de funciones de soporte llamada Dell Foundation Services.

Los expertos en seguridad por su parte, ya se pusieron a crear certificados para intentar hacer pasar un sitio fraudulento como legítimo, y los resultados fueron satisfactorios para los sitios de Google y Bank of America. En otras palabras, cualquier persona con conocimientos podría crear sus certificados digitales para hacer sitios web fraudulentos iguales a los originales.

Dell explicó en un anuncio que lo que pretendía incluyendo eDellRoot era mejorar el servicio al consumidor en línea. “Cuando un equipo se relaciona con la asistencia en línea de Dell, el certificado proporciona la etiqueta de servicio del sistema que permite el apoyo en línea de la empresa para identificar de inmediato el modelo del equipo, los conductores, sistema operativo, disco duro, etc. De esta manera, el servicio es más fácil y rápido”, explicaba la firma.

El otro certificado más débil pero igual de peligroso se estaba haciendo más complicado, según la empresa Duo Security, en un comunicado expresaba que las consecuencias de este error de Dell se estaban ampliando.

Más investigadores y firmas de seguridad daban su opinión al respecto de este fallo de seguridad: “Si fuese a utilizar de forma maliciosa este root iría inmediatamente al aeropuerto más cercano y espiaría las comunicaciones cifradas de los pasajeros de primera clase. Si pueden pagar miles de dólares por un boleto de avión, algo interesante tendrán en sus equipos”, comentaba Robert Graham, CEO de Errata Security.

Dell no pudo esperar más y se pusieron a trabajar en una actualización de carácter crítico que saldrá en los próximos días, pero antes de que se pusieran a pensar en cómo iban a solucionar el tema, aparecía otro problema, se descubría otro nuevo root que afectaba a sus equipos.

La nueva amenaza que aquejaba la seguridad de los equipos era un certificado inseguro llamado DSDTestProvider, se instala mediante la aplicación Dell System Detect, esta herramienta es instalada cuando los usuarios ingresan al sitio web de soporte de Dell y hacen click en “Detect Product” (Detectar Producto), botón que ayuda al usuario a identificar el modelo de su equipo en caso que no lo sepa a la hora de descargar alguna utilidad o driver.

Tanto eDellRoot como DSDTestProvider están instalados en el almacén root de Windows para generar certificaciones de autorización conjuntamente con claves privadas. Los certificados peligrosos pueden ser utilizados para generar ficheros de malware que pueden servir para saltarse ciertas restricciones de seguridad.

Un investigador de seguridad ya había hecho un descubrimiento hace un tiempo, e involucra otra vez a la herramienta Dell System Detect que tuvo una vulnerabilidad, la cual permitía a los atacantes acceder de forma remota e instalar malware en un equipo que estuviera trabajando con la aplicación Dell System Detect.

Haciendo un orden cronológico de la evolución de la amenaza, se pudo saber a fines de esta semana que los usuarios de laptops Dell basados en Windows, así como equipos de mesa, tablets y otros dispositivos que fueran sido comprados antes de agosto de 2015, deberán comprobar si sus sistemas tienen el certificado eDellRoot.

Al parecer si los equipos anteriores a agosto de 2015 tienen la opción para recibir actualizaciones automáticas por parte de Dell Foundation Services, podrían tener instalados los certificados en cuestión. Se encontró este problema en una Dell Venue 11 con Windows convertible en Tablet, que fue comprada en abril de 2015.

“Para los usuarios que utilizan Dell Foundation Services y optaron por realizar actualizaciones, informarles que el certificado eDellRoot formaba parte de las versiones 2.2/2.3 que se iniciaron en agosto”, explicaba un portavoz de la firma.

Por su parte, Dell ha publicado en su sitio web una serie de pasos y herramientas para aquellos que tengan los certificados alojados en su equipo y quieran quitarlos cuanto antes. Si estás dentro de los afectados, te interesará leer este artículo:

http://www.dell.com/support/article/hn/es/hndhs1/SLN300321/es