Adobe Flash Player ya está gozando de sus últimos años de vida, los 300 bugs que se detectaron durante el 2015 hablan de la cantidad de vulnerabilidades peligrosas que supone para el usuario continuar utilizando este complemento en su navegador. A pesar de numerosos intentos de sus desarrolladores para lograr subsanar dichos errores, no hay nada que se pueda hacer, parche tras parche, Adobe Flash Player sigue teniendo los días contados en Internet. En un informe publicado por el sitio The Next Web, se explica que durante el 2015 se detectó la cifra de 316 errores de seguridad en Adobe Flash Player, sacando cuentas sería una media de seis bugs por semana, los números hablan por sí solos.

No se trata de que Adobe no busque soluciones a sus vulnerabilidades, sino que siguen apareciendo otras y los sitios web optan por pasarse a HTML5, el nuevo lenguaje de programación que ya ha superado a Flash Player. Una de las últimas vulnerabilidades que se detectaron finalizando el año fue la que permitía potencialmente a un atacante hacerse con el control del sistema y ser explotada con ataques dirigidos sin límites. Esta vulnerabilidad fue solucionada por parte de Adobe en los últimos días del 2015.

Cuando un producto no va bien y te trae problemas es normal que tomes cartas en el asunto, el problema con Flash es que la situación ya no da para más, tantas vulnerabilidades y errores de seguridad han dañado la reputación que Flash supo tener varios años atrás, tanto así que muchos sitios de importancia mundial han decidido dejar de utilizarlo porque compromete la seguridad de su empresa. Son varios los usuarios que se han estado quejando sobre la gravedad del asunto, y más luego de que salió a la luz que una importante empresa de seguridad explotaba agujeros en el software para acceder a los equipos de las víctimas, ¿qué tal?

Durante el pasado año, el navegador Mozilla Firefox puso punto final a su relación con Flash y decidió deshabilitar el complemento en su navegador como medida de seguridad para sus usuarios. YouTube es otro sitio que se ha migrado totalmente a HTML5, no solo sus videos están en este nuevo lenguaje, sino que también las publicidades del sitio dejaron de utilizar Flash. Google por su parte también se ha sumado a la campaña y eliminó el soporte para Flash en los anuncios que aparecen por todo Internet.

Un dato interesante es que Adobe dejó de utilizar la palabra “Flash” en la última versión de su programa de animación Adobe Flash Professional, ahora este programa lleva el nombre de Animate CC. La empresa Adobe Systems Incorporated, fundada en 1982 con base en California, Estados Unidos, ha recomendado la adopción de otros estándares web como el HTML5, lo que supone una clara rendición a los pies de este nuevo lenguaje, mientras que ahora quedará saber hasta qué momento podrán seguir batallando con los problemas de su producto.

La última empresa reconocida a nivel mundial que anunció que dejará de utilizar Flash en sus videos es Facebook, la popular red social ha anunciado en los últimos días del año que adoptará el nuevo lenguaje HTML5 debido a los problemas que viene teniendo Adoble Flash Player. Por lo tanto a partir de ahora el cambio a HTML5 será inminente y los videos que allí se reproduzcan no lo harán con Flash. Un portavoz de Facebook aseguró que el reciente cambio busca innovar, debido a la magnitud de Facebook y las necesidades complejas que tiene la red social más grande del mundo.

Desde la firma Adobe ya le habían informado en el mes de julio a Facebook y otros grandes sitios que utilizaban Flash, que el soporte para este lenguaje estaba muy comprometido, haciéndolo propenso a la entrada de software malicioso de continuar usándolo. Adobe también habría sugerido a todas las empresas con las que trabaja, que realizaran el cambio a otra plataforma lo más rápido posible, porque la vida útil de Flash estará llegando a su final dentro de muy poco. Si bien no se sabe el tiempo que le quedará, Adobe entiende que ya no vale la pena continuar con los dolores de cabeza cuando hay una nueva herramienta que es mucho más segura.

Todavía quedan muchas aplicaciones en Internet que utilizan Flash para reproducirse, un ejemplo son los famosos juegos de Facebook basados en Flash, en este caso la red social insiste que sus usuarios no deben preocuparse, se encuentran trabajando con Adobe para ofrecer la mejor experiencia posible en los juegos. En cambio, desde Facebook explican que lo único que tendrá HTML5 por el momento serán los videos, los demás contenidos alojados en la red social seguirán utilizando Flash, esto es debido a que WebAssembly y Asm.js (ambos lenguajes de programación) todavía no terminaron de decidirse con su postura.

¿Será que este 2016 Flash Player tendrá su último año de desarrollo? Es muy pronto para saberlo, pero por cómo se están dando las cosas, Flash no debería tener mucho más de 5 años de vida para ofrecernos.

El año se está acabando y llega la hora de hacer balances sobre las principales amenazas, el 2015 dejó un constante crecimiento en los ataques a empresas, las amenazas se duplicaron y eso señala que los cibercriminales están muy interesados en este ramo. Las principales herramientas utilizadas para los ataques contra las empresas incluyeron, la explotación de los programas de software legítimo y malware firmado con certificados digitales válidos para hacer que los archivos maliciosos permanezcan en el equipo por más tiempo sin ser detectados.

La firma de seguridad Kaspersky Lab, responsable de este informe, ha registrado en un período de 12 meses las principales amenazas que sufren las empresas y se llegó a la conclusión de que el 58% de los equipos de las empresas se vieron afectados por al menos un intento de infección con malware, si comparamos estos datos con los del 2014, nos daría tres puntos porcentuales más, según Kaspersky Lab. Más datos, el 29% de los equipos fueron expuestos por lo menos una vez a un ataque originado en internet, mientras que el 41% se vieron comprometidos por amenazas locales, por ejemplo memorias USB infectadas y otros medios extraíbles con malware en su interior.

Los investigadores de Kaspersky se percataron de un aumento del 7% en los exploits dirigidos a los dispositivos móviles, más específicamente al sistema operativo Android, lo que hace muy fuerte el interés que tienen los cibercriminales por los datos que los empleados almacenan en los dispositivos que las empresas les brindan como complemento de su trabajo. Es que en la mayoría de los casos, los empleados no saben cómo cuidar correctamente la información en sus dispositivos, y ésta se termina filtrando a manos de los cibercriminales.

Desde la firma explican que los ataques realizados son planeados con antelación y su organización es de alto nivel, los cibercriminales se toman las cosas enserio e investigan los contactos y proveedores de las empresas a atacar, inclusive se centran en sus intereses personales y hábitos de navegación de los empleados. Gracias a los datos obtenidos, los atacantes utilizan la información para identificar los sitios web donde ingresan los empleados y de esta manera poder comprometerlos alojando malware.

Este año que se va, los cibercriminales y grupos de amenazas persistentes avanzadas (APT por su sigla en inglés) hicieron especial atención en organizaciones de servicios financieros como bancos, fondos de inversión y empresas de intercambio de valores y de divisas, incluyendo a sitios que utilizan monedas virtuales, ejemplo BitCoin. Dentro de las principales amenazas encontramos a Carbanak, que logró penetrar en las redes de los bancos buscando alguna brecha de seguridad en los sistemas que les permita a los atacantes manipular dinero de las cuentas. Por otra parte, el grupo de hackers denominado Wild Neutron ocupó gran parte de su atención en la caza de sociedades de inversión, organizaciones que trabajan con la moneda virtual BitCoin y empresas que participan en fusiones y adquisiciones. Otro punto a destacar en este 2015 es el aumento en los objetivos, un caso específico es Winnti Group, un grupo de atacantes que tiene como objetivo las empresas de videojuegos, farmacéuticas y de telecomunicaciones.

Un punto que preocupó a los investigadores de Kaspersky Lab fueron los ataques a los terminales de punto de venta (POS), son aquellos dispositivos donde se pasa una tarjeta para realizar compras a crédito, utilizados por distribuidores y otras organizaciones. Según los registros de la firma de seguridad, sus productos bloquearon más de 11.500 intentos de hackear estos dispositivos que manejan datos de las tarjetas. Kaspersky Lab comentó que en la actualidad hay diez tipos de programas maliciosos diseñados para robar datos de estos terminales POS, y siete de esas diez aparecieron por primera vez este año.

Vamos a lo más crítico y preocupante del año, y haciendo alusión al título de la noticia, en 2015 se duplicaron significativamente los ataques de ransomware a empresas, el método que utilizan los cibercriminales para infectar equipos son los famosos cryptolockers, una amenaza que cobra fuerza entre los atacantes. Ya son más de 50.000 equipos de empresas donde se ha podido detectar la presencia de este malware, los atacantes saben que el dinero que pidan por el rescate de archivos empresariales puede ser mucho mayor que el de un usuario común. Además de saber que logrando cifrar archivos de una empresa, tienen más posibilidades de que el rescate sea pagado, porque algunas empresas no pueden funcionar si la información de varios equipos o servidores está cifrada, ya que la deja inaccesible para los programas que la utilicen.

Las fiestas se aproximan y con ello las ofertas navideñas por internet, los cibercriminales no dejarán de elaborar nuevas amenazas para arruinar la navidad de varias personas en cuanto a dinero se refiere, así que ten mucho cuidado con tu tarjeta de crédito y otras transacciones peligrosas. En un informe elaborado por la firma de seguridad alemana G Data Software, se hace especial hincapié en las estafas más comunes que se vienen repitiendo todos los años, son días en los que los negocios minoristas registran las mayores ventas del año.

“Todos los años por estas fechas las cajas registradoras de tiendas físicas y en línea se ponen a echar humo, y también la actividad cibercriminal comienza una de sus temporadas más altas. Persiguen tarjetas bancarias y credenciales de acceso a cuentas de correo electrónico o servicios de pago en línea. Las estafas más repetidas las realizan aprovechando campañas de spam con correos electrónicos no deseados y mensajes de texto con enlaces y archivos maliciosos”, informa Eddy Willems, experto en ciberseguridad de G Data Software.

No hay mejor manera de evitar caer en una estafa que usar el sentido común, pero cuando este falla ya podría ser muy tarde, no siempre los antivirus podrán estar a la vanguardia de las nuevas técnicas maliciosas de los cibercriminales. Es por ello, que la firma alemana ha creado una lista de las ciberestafas más comunes por estas fechas, junto con una serie de consejos para comprar en línea de forma segura.

Primero comenzaremos con las posibles estafas que hay por la red:

1. Productos a muy bajo precio. ¿No te ha pasado que ves un producto a un precio escandalosamente bajo? Si sabes de lo que hablamos, podrás comparar el precio normal de mercado con ese precio súper rebajado y te darás cuenta que hay algo detrás de ese precio. Normalmente este tipo de productos suelen llegar por correos electrónicos no deseados, donde se promete un producto de una marca reconocida, puede ser un reloj de lujo, smartphones, artículos de tecnología, inclusive cosas de moda para chicas a precios excesivamente bajos. Si no estás suscripto a ningún sitio de confianza que te envíe ofertas, no ingreses a este tipo de correos, por lo general hacer click en sus enlaces te llevarán a sitios infectados con malware o falsas tiendas de compra en línea, donde lo único que se busca es robar datos bancarios durante un proceso de compra falso.

2. Notificaciones y facturas con remitentes desconocidos. Cuando hacemos una compra en línea por lo general llega mediante un servicio de correo privado o utilizando el correo local. Ahora bien, los cibercriminales pueden ser capaces de enviar falsos correos haciéndose pasar por empresas de correo, solicitando datos personales para lograr liberar un paquete que hayamos comprado días atrás.  En el cuerpo del mensaje se puede expresar que hubo un problema con un paquete y es necesario que el usuario ingrese una serie de datos para continuar, mucho cuidado con este tipo de remitentes porque hasta puede venir con datos adjuntos que de abrirlos, puede infectar nuestro equipo con programas espía.

3. Mensajes relacionados con la navidad. Ya está es desuso enviar postales navideñas por correo, con la llegada del correo electrónico las postales que se envían mediante teléfonos o directamente a nuestra casilla son cada vez más comunes. Los cibercriminales saben dónde están parados, el aumento de este tipo de mensajes durante estas fechas es la ocasión ideal para modificar un saludo navideño y cambiarlo por un archivo adjunto y enlaces maliciosos, ¡Qué regalito! Si recibes este tipo de mensaje en tu teléfono o correo electrónico y desconoces el remitente, bórralo de inmediato para que no ingreses a esos enlaces por error, los cibercriminales usan direcciones anónimas para enviar las cadenas y reconocerás rápidamente el remitente.

4. Solicitudes de pago o facturas con troyanos bancarios como regalo. ¿Eres una persona con deudas? Si no debes dinero no hay de qué preocuparse, las facturas falsas son otra de los ganchos que usan los cibercriminales para infectar a sus víctimas navideñas. Este tipo de correos electrónicos reclaman el pago de una deuda, o simplemente la actualización de algún dato, se disfraza como un correo legítimo con el logo del banco o entidad en cuestión. Una vez que el usuario cae en la trampa y abre el enlace o archivo adjunto del mensaje, el equipo podría ser infectado con un troyano bancario que cuenta con las facultades de manipular cuentas bancarias y hacer transferencias de dinero, además de permanecer oculto hasta la próxima compra que realicemos para interceptar el proceso de pago.

¿Qué debemos hacer para poder prevenir las amenazas de estas fechas?

1. Lo esencial, contar con un antivirus. No se debe navegar por internet sin contar por lo menos, con un antivirus gratuito, es la parte más importante del equipo y de no tenerlo estaríamos sumamente expuestos al peligro. Asegúrate de que cuenta con protecciones antimalware, antispam, firewall, protección de navegación web y protección para la banca en línea.

2. Actualiza tu equipo y navegador favorito. Windows debe estar actualizado con el último parche de seguridad, las vulnerabilidades del sistema operativo son aprovechadas por los cibercriminales para introducir sus amenazas. Los navegadores web también son parte de la seguridad, si utilizas Internet Explorer, lo podrás actualizar mediante Windows Update, si cuentas con un navegador independiente como Google Chrome o Firefox comprueba que tengas la última versión y las actualizaciones automáticas activadas. Este punto también afecta a los smartphones y otros dispositivos inteligentes, actualiza las aplicaciones con las que navegas por internet.

3. ¿El sitio es de confianza? Si quieres salir de lo común y comprar en otro sitio que encontraste primero comprueba su reputación. No compres precipitadamente, mira detenidamente el sitio y revisa los términos y condiciones de compra, allí te podrás informar mejor sobre lo que vayas a comprar, medios de pago y envío. Como es la primera vez que compras en ese sitio que encontraste, lo recomendable sería buscar la opinión de otros usuarios sobre sus experiencias, busca en google información sobre esa tienda para saber si es confiable hacer compras allí.

4. Correos con spam directamente a la basura. Por día nos pueden llegar muchas ofertas de tiendas en línea donde ya hemos comprado cosas, pero si es de un sitio donde nunca te registraste, debería ir directamente a la carpeta de spam, caso contrario crea un filtro para este tipo de remitentes desconocidos, así ya no recibirás más ofertas molestas. Los mensajes de spam suelen ser muy molestos y en caso de abrirlos pueden llevarnos a sitios maliciosos con medios de pago de dudosa veracidad, de más está mencionar que puede que nos llevemos algún otro tipo de regalito en forma de virus.

5. ¿Listo para pagar la compra? Una vez que llenamos nuestro carrito con todas las cosas que queríamos comenzará el proceso de pago, debemos prestar atención a las advertencias de seguridad que provengan del navegador para tener la total garantía de que los datos serán transferidos de forma cifrada. Pagar en sitios seguros significa que en la barra de direcciones aparezca el candadito en verde, junto con el “https” al comienzo de la dirección del sitio, asegúrate que cuando estés haciendo el pago la dirección sea la misma del sitio o la del medio con el que vayas verificar el pago. Los cibercriminales suelen modificar la dirección de un sitio web con variantes mínimas, una letra por ejemplo, y en ese caso estaríamos haciendo una transacción en un sitio malicioso.

Una botnet que lleva operando hace bastante tiempo ha sido desarticulada, Dorkbot finalizó sus actividades maliciosas gracias a la colaboración de un equipo de ESET. Dentro de esta red de ordenadores zombis se lograron detectar más de medio millón de equipos infectados, y mediante el bloqueo de varios dominios los cibercriminales no pudieron seguir operando los equipos capturados con anterioridad.

La Interpol, Europol y el FBI, junto con la colaboración por parte de ESET, lograron llevar a cabo una operación para desmantelar la botnet DorkBot, eso incluye también sus servidores de control en Asia, América del Norte y Europa. La incautación de varios dominios por parte de las autoridades fue clave para poner punto final a la botnet que tenía en su poder más de medio millón de equipos. Dorkbot es una botnet que se encuentra activa desde hace años, su base de desarrollo es sobre el malware Win32/Dorkbot, su método de propagación era mediante varios medios, redes sociales, spam, dispositivos extraíbles o exploits. Su método de operación era bastante sencillo, una vez que se lograba alojar en el equipo de la víctima, el malware bloqueaba los accesos a los servidores de actualización del antivirus y se conectaba a servidores de IRC para que desde allí, los cibercriminales pudieran operar sus próximos movimientos.

Como si fuera poco, los cibercriminales también robaban contraseñas de Twitter y Facebook para luego venderlas o seguir mandando spam mediante las redes sociales, también instalaban código malicioso de varios tipos de malware como Win32/Kasidet, utilizado para realizar ataques de denegación de servicio (DDoS), o Win32/Lethic, un bot capaz de enviar cadenas de spam para captar aún más víctimas.

“Hemos ayudado a detener estos ataques con el objetivo de conseguir que internet sea más seguro y proteger a los usuarios. Cada semana detectamos miles de amenazas provenientes de prácticamente todo el mundo y cada día recibimos nuevas muestras, por lo que Dorkbot parecía un objetivo para realizar un esfuerzo para intentar desmantelarla”, concluyó Jean-lan Boutin, investigador de malware en los laboratorios de ESET.

Es así como una vez más, gracias a la colaboración de organismos gubernamentales y en este caso la firma ESET, se logra acabar con una red de ordenadores infectados. Aún quedan varias redes de botnets con más o menos personas en sus redes maliciosas, y quizás otras que se estarán creando en este momento, pero algo es seguro, si hay voluntad y las partes se unen se pueden llegar a lograr grandes cosas.

Un grupo de ciberespías llamado Sofacy ha estado haciendo mucho ruido estos últimos meses, es por ello que el equipo de investigación global de Kaspersky Lab logró detectar nuevos ataques de los cibercriminales, esta vez, con nuevas herramientas y variadas técnicas diseñadas para lograr una persistencia agresiva y un campo de invisibilidad de su actividad maliciosa una vez que se encuentran en el sistema de la víctima.

Sofacy es el nombre clave que lleva este grupo de cibercriminales, también se hacen conocer por otros nombres como Fancy Bear, Sednit, Strontium y APT28, durante los últimos años ha logrado hacerse un lugar en el mundo de los cibercriminales por sus constantes desarrollos maliciosos. Los ciberespías de origen ruso operan desde el año 2008 y han logrado atacar importantes instituciones y usuarios domésticos, sus amenazas avanzadas tienen como principal objetivo entidades militares y gubernamentales a lo largo y ancho del mundo. En cambio, fue el año pasado cuando lograron captar la atención de los investigadores de Kaspersky Lab debido a sus constantes actividades maliciosas. Según los expertos, Sofacy todavía tiene nuevas herramientas maliciosas mucho más avanzadas dentro de su base de operaciones que todavía no hemos visto.

Dentro del análisis que se pudo hacer por parte de Kaspersky Lab, se pudo saber que los ciberespías utilizan diversos backdoors para infiltrarse en el equipo de la víctima, y luego lo siguen reinfectando con más herramientas maliciosas, de esta manera se aseguran de acceder al equipo con una amenaza y luego poder lanzar muchos más métodos de infección si alguno falla o es detectado por el antivirus residente.

Entre tantas amenazas y ataques registrados este 2015, el grupo cibercriminal Sofacy logró crear y utilizar una nueva versión de su implante de robo USB, que infecta y roba datos de las unidades extraíbles de los equipos a los que se conectan, y después se va haciendo una gran cadena a medida que los dispositivos USB se van conectando a otros equipos. Una vez que el dispositivo USB está infectado, los datos son enviados a los cibercriminales sin que el usuario se percate de lo sucedido.

Kaspersky Lab ha logrado detectar algo que los cibercriminales utilizan cada vez más dentro de sus ataques dirigidos, se trata de una “modificación” del malware, introduciendo algunas características de los backdoors en módulos separados para lograr ocultar mejor la actividad maliciosa una vez que el sistema de la víctima está infectado.

«Por lo general, cuando alguien publica una investigación sobre un grupo de ciberespionaje, el grupo reacciona, bien deteniendo su actividad o cambiando drásticamente sus tácticas y estrategia. Con Sofacy, no ha sido el caso, los hemos visto lanzando ataques desde hace varios años y su actividad ha sido documentada por la comunidad de seguridad varias veces. En 2015 su actividad se incrementó significativamente, con el despliegue de no menos de cinco ataques de día cero, haciendo de Sofacy uno de los autores de amenazas más prolíficos, ágiles y dinámicos de la actualidad. Tenemos razones para creer que estos ataques continuarán», comenta Costin Raiu, Director de Investigación y Análisis Global en Kaspersky Lab.

El fabricante de equipos portátiles Dell ha tenido una semana bastante agitada en materias de seguridad, en un caso muy parecido a lo sucedido con Lenovo, que preinstalaba programas maliciosos en sus equipos, ahora Dell se trae entre manos algo muy gordo. Se trata del certificado eDellRoot, debido a un problema de seguridad cualquier persona podría crear sitios web fraudulentos de apariencia totalmente parecida a los originales, inclusive espiar datos donde el certificado se encuentre instalado. Como si fuera poco, la firma Duo Security encontró otro certificado no tan peligroso, pero que pone en tela de juicio la seguridad de los equipos.

La firma Dell lleva vendiendo los equipos con este problema desde agosto, dentro viene preinstalado un certificado digital root que cuenta con las facultades de espiar el tráfico de cualquier sitio web seguro. El certificado tiene un rango de certificado de autoridad y viene con una clave privada, lo que hace la situación mucho más compleja, señalan los expertos en seguridad. Dicha clave está disponible públicamente y cualquier persona está al alcance de generar un certificado para cualquier sitio seguro en el que los navegadores confíen, por ejemplo Internet Explorer o Google Chrome, que utilizan el almacén de certificados de Windows en los equipos afectados con el problema. El certificado es instalado automáticamente por una aplicación que despliega un conjunto de funciones de soporte llamada Dell Foundation Services.

Los expertos en seguridad por su parte, ya se pusieron a crear certificados para intentar hacer pasar un sitio fraudulento como legítimo, y los resultados fueron satisfactorios para los sitios de Google y Bank of America. En otras palabras, cualquier persona con conocimientos podría crear sus certificados digitales para hacer sitios web fraudulentos iguales a los originales.

Dell explicó en un anuncio que lo que pretendía incluyendo eDellRoot era mejorar el servicio al consumidor en línea. “Cuando un equipo se relaciona con la asistencia en línea de Dell, el certificado proporciona la etiqueta de servicio del sistema que permite el apoyo en línea de la empresa para identificar de inmediato el modelo del equipo, los conductores, sistema operativo, disco duro, etc. De esta manera, el servicio es más fácil y rápido”, explicaba la firma.

El otro certificado más débil pero igual de peligroso se estaba haciendo más complicado, según la empresa Duo Security, en un comunicado expresaba que las consecuencias de este error de Dell se estaban ampliando.

Más investigadores y firmas de seguridad daban su opinión al respecto de este fallo de seguridad: “Si fuese a utilizar de forma maliciosa este root iría inmediatamente al aeropuerto más cercano y espiaría las comunicaciones cifradas de los pasajeros de primera clase. Si pueden pagar miles de dólares por un boleto de avión, algo interesante tendrán en sus equipos”, comentaba Robert Graham, CEO de Errata Security.

Dell no pudo esperar más y se pusieron a trabajar en una actualización de carácter crítico que saldrá en los próximos días, pero antes de que se pusieran a pensar en cómo iban a solucionar el tema, aparecía otro problema, se descubría otro nuevo root que afectaba a sus equipos.

La nueva amenaza que aquejaba la seguridad de los equipos era un certificado inseguro llamado DSDTestProvider, se instala mediante la aplicación Dell System Detect, esta herramienta es instalada cuando los usuarios ingresan al sitio web de soporte de Dell y hacen click en “Detect Product” (Detectar Producto), botón que ayuda al usuario a identificar el modelo de su equipo en caso que no lo sepa a la hora de descargar alguna utilidad o driver.

Tanto eDellRoot como DSDTestProvider están instalados en el almacén root de Windows para generar certificaciones de autorización conjuntamente con claves privadas. Los certificados peligrosos pueden ser utilizados para generar ficheros de malware que pueden servir para saltarse ciertas restricciones de seguridad.

Un investigador de seguridad ya había hecho un descubrimiento hace un tiempo, e involucra otra vez a la herramienta Dell System Detect que tuvo una vulnerabilidad, la cual permitía a los atacantes acceder de forma remota e instalar malware en un equipo que estuviera trabajando con la aplicación Dell System Detect.

Haciendo un orden cronológico de la evolución de la amenaza, se pudo saber a fines de esta semana que los usuarios de laptops Dell basados en Windows, así como equipos de mesa, tablets y otros dispositivos que fueran sido comprados antes de agosto de 2015, deberán comprobar si sus sistemas tienen el certificado eDellRoot.

Al parecer si los equipos anteriores a agosto de 2015 tienen la opción para recibir actualizaciones automáticas por parte de Dell Foundation Services, podrían tener instalados los certificados en cuestión. Se encontró este problema en una Dell Venue 11 con Windows convertible en Tablet, que fue comprada en abril de 2015.

“Para los usuarios que utilizan Dell Foundation Services y optaron por realizar actualizaciones, informarles que el certificado eDellRoot formaba parte de las versiones 2.2/2.3 que se iniciaron en agosto”, explicaba un portavoz de la firma.

Por su parte, Dell ha publicado en su sitio web una serie de pasos y herramientas para aquellos que tengan los certificados alojados en su equipo y quieran quitarlos cuanto antes. Si estás dentro de los afectados, te interesará leer este artículo:

http://www.dell.com/support/article/hn/es/hndhs1/SLN300321/es

Kaspersky Lab sigue pronosticando su panorama de amenazas para el 2016, y dentro de sus informes destaca que las amenazas persistentes avanzadas (APT por su sigla en inglés), no tendrán tanto destaque. Los investigadores explican que tal y como se conocen hoy en día, serán reemplazadas por ataques menos persistentes y más elaborados que serán difíciles de detectar, ya que los cibercriminales reutilizarán malware para reducir costos y preparar algo más complejo.

Según la experiencia del Equipo de Análisis e Investigación Global de Kaspersky Lab, las amenazas persistentes avanzadas tendrán un gran cambio el próximo año, esto significa que cambiará su estructura y forma de operar. Se volverán menos persistentes, haciendo hincapié en el malware residente en memoria o sin archivo, lo que reduce las posibilidades de detección en un sistema infectado. Por otra parte, los atacantes ya no invertirán en bootkits, rootkits y otro tipo de malware, los investigadores señalan que se reutilizará el malware personalizado para sacarle más provecho a la inversión.

«En 2016 habrá una evolución significativa en el ciberespionaje, a medida que los autores de amenazas sofisticadas minimizan la inversión mediante la reutilización de malware disponible comercialmente y se convierten en expertos en ocultar sus herramientas avanzadas, infraestructura e identidades eliminando la persistencia por completo», comentaba Juan Andrés Guerrero-Saade, experto de seguridad senior en el Equipo de Investigación y Análisis Global de Kaspersky Lab.

Más cosas para destacar, en 2016 se verá un aumento significativo del ransomware que seguirá diciendo presente dentro de los troyanos bancarios y se propagará a nuevas áreas de trabajo, por ejemplo dispositivos OS X, móviles y la Internet de las cosas (IOT). Kaspersky Lab explica en uno de sus estudios que algo que también causó muchos problemas este año fueron las “amenazas internas” en las empresas, en otras palabras sus empleados que fueron la principal causa de pérdidas de datos confidenciales. Un informe explica que el 73% de las empresas se vio afectada por este motivo, el 42% sufrió pérdidas de datos  por parte de sus empleados y el 21% de las empresas que perdieron datos sintieron el efecto en sus negocios.

Mirando los registros, el 28% de las empresas registraron fugas de datos accidentales, mientras que el 14% fueron fugas intencionales. Pasando a los números de las pérdidas que tuvieron lugar en pequeñas y grandes empresas podemos ver sumas de 33.000 dólares por fugas accidentales, contra 47.000 dólares por fugas intencionales. Si vamos al ámbito de las grandes empresas veremos valores de 544.000 dólares por fugas accidentales y 748.000 dólares por fugas intencionales.

Otro objetivo claro de los cibercriminales serán los sistemas de pago electrónico alternativo como el ofrecido por Apple (Apple Pay), y el de Google (Android Pay), además de la atención que se ganarán las bolsas de valores, Kaspersky Lab explica que los ciberataques financieros serán moneda corriente durante los primeros meses del año.

Algo que este año se ha visto mucho son los ataques de extorsión y humillación pública por parte de los hacktivistas, dicho sea de paso hubo un aumento con relación al año pasado. Los ataques constan en extorsionar a la víctima mediante una estrategia muy cruel para conseguir sus cometidos, publicar fotos privadas o cualquier tipo de información que pueda causar un daño moral a la persona, desde Kaspersky Lab creen que este tipo de ataque irá aumentando su intensidad a medida que el año se ponga en marcha.

“En 2016 también veremos más jugadores entrando en el mundo de los cibercriminales. La rentabilidad de los ciberataques es indiscutible y cada vez más personas quieren una parte del botín. A medida que los cibercriminales entran en el juego, una elaborada industria de subcontratación ha ido aumentando para satisfacer las demandas de nuevo malware e incluso de operaciones completas. Esto da lugar a un nuevo esquema de acceso-como-servicio, en el que hasta se ofrece acceso a objetivos ya hackeados al mejor postor», finaliza Andrés Guerrero-Saade.

Con el fin de año a la vuelta de la esquina y el nuevo que se avecina, las amenazas comienzan a desarrollarse y preparar sus ataques para el 2016, habrá que estar atentos a los nuevos pronósticos para que los cibercriminales no nos tomen desprevenidos.

El año 2015 ya está por terminar y McAfee comienza a hacer sus pronósticos para el año que comenzará en poco más de un mes. Sus predicciones abarcan toda la variedad de tendencias actuales, podemos ver desde ransomware hasta ataques dirigidos a los sistemas de automóviles inteligentes, servicios en la nube, wearables y ventas de datos que los cibercriminales roban de sus víctimas mediante diversas técnicas de phishing.

La firma Intel Security ha hecho público el informe de Predicciones de Amenazas de McAfee Labs, donde destaca ciertos puntos clave que se podrían producir en el 2016, y también probable respuesta de la industria de seguridad de la tecnología de la información (TI). “Para hacer frente al panorama de amenazas al que se enfrentan los negocios, hay que ayudar a las organizaciones a llegar a donde tienen que estar, utilizando las tecnologías que permitan y no obstaculicen sus negocios, y a entender qué tipo de amenazas podrían enfrentar mañana”, explicaba el Vicepresidente de McAfee Labs de Intel Security, Vincent Weafer.

A todo esto, la firma de seguridad perteneciente a Intel, ha elaborado una serie de puntos donde se destaca frente a qué nos enfrentaremos el próximo año:

Comenzamos por el hardware, sí, que no nos engañe este punto, el hardware también puede ser vulnerado por cibercriminales. Los ataques contra todo tipo de hardware y firmware podrían continuar, ayudado por la expansión del mercado de herramientas que hace posible este tipo de ataques. Se cree que las máquinas virtuales pueden ser atacadas con rootkits de firmware del sistema, causando así, grandes inconvenientes para la seguridad del equipo.

Segundo punto, el ransomware que trae consigo el anonimato de las redes y sus formas de pago podrían seguir con el creciente aumento de esta amenaza que tanto ruido hizo en este año. Los pronósticos de McAfee aseguran que para el próximo año los cibercriminales novatos aprovecharán ofertas de ransomware en el mercado negro, haciendo que la amenaza crezca a una velocidad incalculable.

Para el tercer punto algo no tan comentado, los dispositivos Wearables, que son por ejemplo un smartwatch, u otro dispositivo inteligente que sea de uso corporal. Estos dispositivos almacenan en su interior una pequeña cantidad de datos personales, y para el 2016 los cibercriminales podrían estar preparando algún tipo de amenaza para poner en peligro los smartphones, que son los encargados de gestionar los dispositivos que llevamos en la muñeca. Los investigadores se concentrarán en proteger todas las superficies de ataque, kernels de sistemas operativos, redes, software Wi-Fi, interfaces de usuario, memoria, archivos locales, sistemas de almacenamiento, máquinas virtuales, aplicaciones web, entre otros.

Cuarto punto, los ataques mediante los sistemas de los empleados, comúnmente los cibercriminales se concentran en las empresas como objetivo, próximamente cambiarán su rumbo atacando a las empresas mediante sus empleados, es decir, atacando sus sistemas domésticos y dispositivos personales en busca de información vinculada con su lugar de trabajo. Esto se debe a que las organizaciones están haciendo especial hincapié en materias de seguridad, instalando buenos escudos y contratando gente muy capaz con habilidades para crear una política de seguridad a la medida.

En el quinto punto encontramos los servicios en la nube, los cibercriminales podrían tratar de explotar las políticas débiles de seguridad corporativa establecidas para proteger los servicios en la nube. Los servicios en la nube tienen un gran volumen de información y son cada vez más utilizados, todos los datos aquí almacenados pueden ser vistos desde cualquier lugar, por cualquier dispositivo, es por eso que en caso de ser vulnerados podrían comprometer la organización de una empresa.

Los automóviles vienen en sexto lugar, este año nos hemos encontrado con grandes vulnerabilidades en automóviles inteligentes, siendo los cibercriminales capaces de controlar cada parte del vehículo de forma remota. Las predicciones indican que los cibercriminales continuarán centrándose en los automóviles que carezcan de una seguridad adecuada, es por ello que los fabricantes y proveedores de seguridad tendrán que brindar mejores soluciones para no ser afectados.

Séptimo puesto, los datos robados, toda la información que es robada por los cibercriminales se está centrando en grandes almacenes de datos, haciendo que en grandes cantidades la información sea más valiosa para los cibercriminales. Esto se resume en un aumento en el tráfico de información en el mercado negro, los datos personales, nombres de usuario y contraseña serán lo más solicitado.

Ataques a la integridad del usuario ocupa el octavo lugar, se trata de una incautación y modificación de las transacciones que realizan los usuarios. El cibercriminal modifica el destino del dinero a su favor, por ejemplo si la víctima realiza un depósito de un cheque en su cuenta, el cibercriminal puede interceptar la transferencia y hacer que el dinero sea depositado en otra cuenta. Desde McAfee Labs indican que para el próximo año se podría presenciar un ataque a la integridad en el sector financiero, donde se podrían ver afectados millones de dólares por parte de cibercriminales.

Quizás este último punto es más de prevención y no tanto de amenaza, pero los investigadores destacan el intercambio de inteligencia de amenaza entre las empresas y los proveedores de seguridad, con el fin de compartir información que ayude a prevenir posibles ataques. McAfee Labs asegura que el intercambio de inteligencia de amenazas crecerá rápidamente y madurará, los gobiernos podrán compartir información y las entidades estarán mucho más preparadas a la hora de la verdad.

Cuando hablamos de ataques DDoS lo normal es pensar en pequeños o medianos períodos de tiempo, pero un informe realizado por la firma Kaspersky Lab asegura que el 90% de los ataques DDoS se extienden durante menos de 24 horas. El número de ataques que logró superar las 150 horas de ejecución aumentó de forma considerable, mientras que las botnets basadas en Linux sumaron más del 45% de los ataques registrados por los investigadores.

Son muchos los datos que se pueden sacar del informe trimestral que realiza Kaspersky Lab sobre los ataques DDoS, lo que hay que destacar es que los ataques de este tercer trimestre del año alcanzaron a víctimas de 79 países, los más destacados en la cima del raking fueron China, Corea y Estados Unidos . Como lo dice el título de la noticia, Kaspersky Lab logró registrar un ataque DDoS que tuvo una duración de casi dos semanas continuas, hablamos de unas 320 horas. Otro dato importante, el mayor número de ataques DDoS sufridos por una misma persona fue de 22 veces, teniendo como objetivo un servidor ubicado en Holanda.

Estos ataques se realizan por medio de redes de botnets basadas en Linux, no es otra cosa más que equipos infectados de forma remota, que luego se utilizan para saturar redes informáticas, y son estas botnets las responsables del 45,6% de los ataques registrador por Kaspersky. Los investigadores destacan que el 91,6% de los recursos de las víctimas están localizados en 10 países, y también se supo que la gran mayoría de los ataques DDoS se originan en los mismos países donde residen sus víctimas. Sin embargo, no es el caso de otros cibercriminales que optan por robar datos personales como tarjetas de crédito, en este caso sus operaciones las hacen fuera del país para reducir riesgos.

“Basándonos en nuestras observaciones, no podemos señalar una dirección exacta a la que se mueve el negocio de los ataques DDoS. De hecho, la amenaza parece estar creciendo hacia todos sitios. Hemos registrado ataques complejos dirigidos a bancos, demandando un rescate, pero también hemos observado nuevos métodos de bajo costo, diseñados para tirar abajo las operaciones de una compañía durante un período de tiempo significativo. Los ataques están creciendo en volumen, la mayoría de ellos centrados en atacar e interrumpir, pero el número de ataques prolongados, capaces de producir la bancarrota de una empresa desprotegida también van en aumento. Estos descubrimientos obligan a las compañías a tomar medidas para prevenir la amenaza real y el creciente riesgo que suponen los ataques DDoS”, comentaba Evgeny Vigovsky, encargado del área de protección contra ataques DDoS de Kaspersky.

Hablando de ataques DDoS y sitios web, también podemos colgarnos de otro informe realizado por SiteGround sobre la seguridad en las herramientas más usadas para crear sitios web, hablamos del popular WordPress, donde cualquier usuario puede crear su blog personal en unos simples pasos, y también de Joomla, Drupal o Magento. El informe internacional publicado por la firma revela que detectaron más de 1.000 millones de ataques a sitios web empresariales, blogs y tiendas en línea por mes. Los datos vertidos por el estudio indican que se detectaron y bloquearon aproximadamente 3.5 millones de intentos de ataques a cada servidor, lo que se resume en 5.000 ataques por sitio web alojado en el mismo.

La gran mayoría de los ataques son detenidos por las propias empresas que brindan los servidores para que el usuario pueda montar su sitio web, hoy en día todas las prestadoras de este servicio saben que tener un buen firewall es totalmente imprescindible para cuidar la seguridad de sus clientes. En cambio, los cibercriminales siempre tratarán de hacer sus intentos para ver qué tan preparados están los propietarios de los sitios web y aprovechar su falta de mantenimiento, o simplemente obtener cierta ventaja en el desconocimiento del usuario.

No cabe duda que la popularidad de WordPress ha ido en aumento durante los últimos años, hoy en día es la plataforma de creación de blogs más atacada en cuanto a número de intentos, y es por ello que sus responsables tienen que tener la mayor seguridad posible en sus servidores. A comienzos de año las cifras eran descomunales, 74.652 millones de sitios web en el mundo dependen de la plataforma WordPress para funcionar, casi un 50% de estos blogs están alojados gratuitamente en WordPress, mientras que los restantes se encuentran en servidores propios de los usuarios.

Desde SiteGround fueron directo al punto y sin rodeos: “No hay ninguna web que sea infranqueable”, todo sitio web tiene una puerta de entrada para los cibercriminales y es por eso que siempre hay que tener una segunda opción, por ejemplo, un respaldo del sitio web para lograr recuperarse de un posible desastre lo más pronto posible. Si lamentablemente te toca ser víctima de un ataque, tendrás que comenzar a analizar la información de los meses anteriores a la intrusión, de esta manera podrás saber en qué momento tu sitio web comenzó a registrar actividades maliciosas. Por lo general las empresas proveedoras de los servicios de hosting cuentan con un mantenimiento y podrán darte una solución al problema eliminando todo rastro de amenaza cibercriminal.

Remtasu es un troyano que está presente en varios países del mundo, pero por estas horas ha tenido un fuerte repunte en el país colombiano, esta no es la primera vez que se oyen incidencias de Remtasu, a comienzos de año, más exactamente en febrero, ya hubo una primera campaña de propagación en Colombia. El equipo de investigación de ESET Latinoamérica pudo detectar una nueva campaña  maliciosa del troyano que está atacando principalmente a los usuarios residentes en Colombia.

El troyano Remtasu es una familia de troyanos especializada en el robo de información sensible del equipo de la víctima, por ejemplo datos que se almacenan en el portapapeles, o mediante lo que se digita en el teclado a modo de keylogger. Toda la información recogida dentro del equipo de la víctima infectada es guardada en un archivo en el mismo equipo, y luego se envía (sin que el usuario se percate) a los cibercriminales de forma remota. Si bien el troyano tiene su punto fuerte en Colombia, es posible que se expanda a otros países de Latinoamérica, por lo tanto hay que estar alertas y saber cómo opera Remtasu.

Los investigadores de ESET explican que los códigos maliciosos que se pudieron detectar contienen archivos adjuntos en correos electrónicos con nombres relacionados con cuentas de cobro o facturas, dichos archivos se camuflan como un archivo de Microsoft Word. Una vez que la víctima ejecuta estos archivos que llevan de nombre “Factura + una serie de números al azar”, empezará a ejecutarse en segundo plano el plan de los cibercriminales para robar información, su primer paso será conectarse con un servidor remoto.

Como pasa en muchos casos, este tipo de amenazas tiene sus servidores de comando y control en otra parte del mundo, pero no es el caso de Remtasu, por lo que pudieron detectar los investigadores el servidor de comando se ubica en Colombia. ¿Algo muy arriesgado? Los cibercriminales tendrán sus motivos, pero se piensa que se trata de un ataque dirigido.

Ahora bien, ¿cómo hace el troyano para evadir la seguridad? La respuesta es fácil y muestra el nivel de desarrollo que posee Remtasu, una vez que el usuario ejecuta el archivo, este se inyecta en dos procesos para mantenerse en el sistema operativo sin llamar la atención. Uno de los procesos es el del navegador Firefox que se estaba utilizando, y otro es un proceso de Windows llamado svchost, de esta manera el troyano se asegura de no crear un nuevo proceso y que el sistema pueda sospechar de su contenido. Otra de sus características es su capacidad de guardarse a sí mismo, Remtasu es capaz de crear una copia en la carpeta del sistema y modifica algunas keys en el registro de Windows para asegurarse de que se ejecuta cada vez que se inicia el equipo.

Y esto no queda aquí, la amenaza quiere asegurarse de que su sigilo sea el mejor de todos, por ese motivo modifica los permisos de la carpeta system32 para que quede como oculta y el usuario no pueda acceder a ella en primera instancia. Como si fuera poco, el archivo csrrs.exe que se ejecuta durante la infección y se inicia junto con el equipo tiene el mismo MD5 que el archivo de nombre Factura, que venía adjunto en el correo electrónico infectado y también queda oculto dentro de la carpeta para que no sea descubierto.

Desde ESET explican por qué la amenaza ejecuta dos procesos a la misma vez, se debe a la forma con la que interactúa en el sistema, el proceso que se vincula con el navegador Firefox tiene como tarea mantener las comunicaciones con el servidor controlado por los cibercriminales, y el proceso svchost de Windows hace que la amenaza siga activa durante la sesión del usuario.

En el mes de octubre Remtasu se distribuyó por 114 países y hubo una clara tendencia que más de la mitad de los afectados eran colombianos. Si se compara con el primer empuje de esta campaña, allá por febrero, se llegó a registrar cifras de un 30% de usuarios colombianos, un 20% menos que en octubre, eso quiere decir que el rango de infección ahora es aún mayor. Hay más países de Latinoamérica que tienen esta y otras variantes de Remtasu, pero es Colombia la que se lleva los principales puestos como el país con más infecciones de la variante Win32/Remtasu.Y.

ESET advierte que la amenaza ya ha sido propagada mediante falsos correos electrónicos gubernamentales en El Salvador y durante el mes de octubre se detectaron casos en Argentina, Brasil, Perú, Ecuador, México y Guatemala, entre otros.

¿Cómo evitar ser víctima de Remtasu? Manteniendo tu producto antivirus actualizado y teniendo cuidado de dónde se hace click, y mucho más en qué tipo de archivo descargamos en el equipo. Recuerda que nunca debes abrir un correo electrónico del que desconoces su remitente.