Mucho se habla de la seguridad que ofrece estar navegando bajo el cifrado HTTPS, catalogado como un sitio seguro, pero desde hace dos años un grupo de cibercriminales logró infectar a aproximadamente un millón de equipos mediante un malware que secuestra los resultados de búsqueda, incluso cuando las conexiones son realizadas bajo el protocolo de seguridad HTTPS.

La firma de seguridad Bitdefender explica este hecho, se trata de un botnet que se inicia cuando el usuario hace click sobre un anuncio que se muestran comúnmente en los sitios web, los propietarios del sitio web son los que ganan dinero gracias al programa AdSense de Google. Este programa de afiliados está dirigido a los propietarios de sitios web, permite a los administradores del sitio introducir un motor de búsqueda personalizado para generar ingresos cuando los usuarios hacen click sobre los anuncios generados por el buscador dentro del sitio.

Aquí es cuando el problema comienza, los cibercriminales operando la botnet eran capaces de interceptar las búsquedas de Google, Bing y Yahoo realizadas por los usuarios desde sus equipos. ¿Cómo? Mediante la utilización de un malware llamado Redirector.Paco, este programa es capaz de interceptar las comunicaciones y reemplazar los resultados legítimos por otros, generados por el malware, que por supuesto conducen a sitios maliciosos.

Redirector.Paco viene operando desde el año 2014 y dentro de sus logros se encuentra la cifra de 900.000 equipos infectados en todo el mundo, donde destacan países como India, Malasia, Estados Unidos, Italia, Paquistán, Brasil y Algeria. El método de infección del malware es muy variado, ya que tiene varias posibilidades a su alcance, se distribuye principalmente por falsos instaladores modificados de programas conocidos como, WinRAR, Connectify, Youtube Downloader, Stardock Star8 y KMSPico. Cuando la víctima instala uno de estos programas mediante estos falsos instaladores en realidad está alojando Redirector.Paco en su equipo, una vez alojado modifica la configuración de Internet y utiliza un proxy web configurado por los cibercriminales, todo gracias a un fichero de configuración automática de proxy, que les permite hacerlo sin tener que manipular nada.

En cuanto al proxy, hay dos tipos de variante para que el resultado de las búsquedas maliciosas tenga el efecto deseado. Uno de ellos es que el fichero de configuración automática de proxy se encuentre alojado en el servidor de los cibercriminales y sea detectado por el usuario, esto se logró descubrir porque al realizar búsquedas aparecía un texto “esperando al túnel de proxy”. La segunda variante es la instalación de un proxy man-in-the-middle escrito en .NET en el equipo de la víctima, para ello se utiliza el software FiddleCore para interceptar las conexiones HTTPS. Para cualquiera de los dos casos, el malware busca instalar sus propios certificados de seguridad para los motores de búsqueda Google, Bing y Yahoo, que deberán ser aceptados cuando la víctima abre su navegador web.

Este tipo de ataque man-in-the-middle es un tanto diferente a los que estamos acostumbrados a escuchar, ya que el usuario realiza una búsqueda normal y corriente en su buscador de preferencia, para que después el malware intercepte la búsqueda y modifique los resultados en base a sus propios certificados para mostrarle al usuario los sitios que los cibercriminales crean conveniente.

Como la víctima aceptó los certificados una vez que alojó el malware en su equipo e inició el navegador, no se verá ningún tipo de comportamiento extraño por parte del usuario, ni por ningún programa antimalware.

¿Recuerdas el caso de Lenovo y Superfish? El popular incidente entre la firma Lenovo y la instalación de un malware de fábrica sin el consentimiento del usuario, que según ellos, decían que era para registrar la actividad en la web y ofrecerte publicidad relacionada con tus intereses. Pero en realidad no parecía ser tan así, ya que se podría estar robando datos confidenciales de los usuarios. Aquí Redirector.Paco nos hace recordar a grandes rasgos en caso de Superfish, instalando certificados en el equipo, interceptando las comunicaciones y redirigiendo las búsquedas a otro sitio.

Si hay algo seguro es que Redirector.Paco únicamente instala certificados que se pueden utilizar en un solo equipo, esto quiere decir que los certificados no pueden ser extraídos de un equipo infectado para enviar ataques man-in-the-middle contra otras víctimas.

La firma de seguridad Hold Security confirmó esta semana sobre la filtración de 1.100 mil millones de credenciales de acceso a correos electrónicos de varios prestadores de servicio. Se podría tratar de uno de los robos más grandes en cuanto a cantidad de datos, el responsable del delito parece ser un hacker de origen ruso.

Así es como este hacker se las ingenió para comenzar a robar datos de usuario y contraseña de los principales servicios de Internet, entre los implicados se encuentran GMail, Microsoft y Yahoo!, las credenciales están siendo distribuidas por todo Internet por el hacker ruso conocido por su seudónimo “The Collector” por consecuencia de un tesoro aún más grande de 1.170 mil millones de credenciales. La firma de seguridad Hold Security ha estado observando detalladamente las más de 272 millones de credenciales únicas hasta la fecha, incluyendo cerca de 43 millones que nunca se habían dado a conocer hasta ahora, es decir, nueva gente afectada por el robo.

Adobe Flash Player tiene sus días contados, hace ya varios meses que los principales portavoces de la compañía vienen expresando públicamente las diversas vulnerabilidades que contiene su producto, Flash Player. Es así como los responsables de este complemento tan utilizado hace varios años atrás, ya expresan públicamente los problemas que tienen para poder solucionar cada nuevo problema que se les presenta.

En esta semana la compañía lanzó una serie de actualizaciones para Reader, Acrobat y ColdFusion, pero no así para Flash Player, que continúa en espera para recibir una actualización que solucione una vulnerabilidad crítica. Adobe Systems explica que aún no han podido dar con el fallo y están trabajando para lanzar un parche que solucione una vulnerabilidad que los hackers continúan aprovechando para atacar equipos. Por su parte, Adobe Reader, Acrobat y ColdFusion ya cuentan con sus respectivos parches de seguridad.

La vulnerabilidad en cuestión está registrada bajo las siglas CVE-2016-4117 y afecta a las versiones de Flash Player 21.0.0.226 y sus predecesoras para Windows, OS X, Linux y Chrome OS. En caso de que algún hacker pueda lograr explotarla podría hacerse con el control total del sistema de la víctima.

Desde la compañía explican que tienen conocimiento del daño que puede causar la vulnerabilidad CVE-2016-4117, y aseguran que se ocuparán de buscar una solución en su siguiente parche que saldrá como muy pronto el día 12 de mayo. Hasta el momento Adobe ha actualizado sus productos Reader y Acrobat, solucionando un total de 92 vulnerabilidades, la mayoría de estas son de carácter crítico y pueden permitir al atacante inyectar código malicioso en los equipos. Los usuarios que utilicen estos programas, Acrobat DC y Reader DC versión 15.010.20060 y anteriores, así como Acrobat XI y Reader XI 11.0.15 y anteriores, deberán actualizar sus productos. Esto se puede hacer de forma manual ingresando en el menú Ayuda y luego Buscar actualizaciones.

Las actualizaciones para su producto ColdFusion (su servidor de aplicaciones web), solucionan un problema de validación de entradas que podría dar lugar a ataques de scripts de sitios, el problema se encontraba en la verificación del nombre de host que afectaba a los certificados comodín, y una vulnerabilidad de Java en la biblioteca Apache Commons Collections. En el año 2013 unos investigadores advirtieron sobre un ataque donde los hackers explotaron una vulnerabilidad de ColdFusion para instalar malware en servidores de Microsoft IIS.

Desde Adobe se le recomienda a los usuarios instalar diversos Updates según la versión de producto que se esté utilizando, para ColdFusion (2016) instalar el Update 1, para ColdFusion 11 el Update 8, y finalmente ColdFusion 10 deberá actualizarse con el Update 19.

El informe sobre estadísticas de Kaspersky DDoS Intelligence asegura que se hicieron populares los ataques a nivel de aplicación y los ataques DDoS son mucho más frecuentes, es más, los detectados en el primer trimestre de este año se han igualado con todos los del año pasado. En su informe relacionados con ataques de botnets DDoS que abarca el primer trimestre del año, Kaspersky Lab asegura que estos han evolucionado y ahora son más complejos y específicos si los comparamos con los del año 2015, que eran más fáciles de llevar a cabo y con fines netamente económicos.

Es así como más del 70% de los ataques del primer trimestre duraron menos de cuatro horas, mientras que el más largo duró ocho días. Los registrados en 2015 llegaron a durar más de dos semanas de ataques ininterrumpidos por parte del cibercriminal. Un dato a tener en cuenta es que Kaspersky Lab tuvo que eliminar durante el primer trimestre de 2016 la misma cantidad o más ataques DDoS que en todo 2015, y se estima que la cifra subirá aún más durante el año que corre. Esto se resume en que la mayoría de los cibercriminales ahora están optando por realizar ataques DDoS para obtener datos importantes de las grandes instituciones, es mucho más fácil y redituable realizar estos ataques antes que utilizar la ingeniería social.

Un total de 74 países fueron afectados durante este año, únicamente 10 de ellos se llevaron el 93% de los ataques, hablamos de China, Corea del Sur y Estados Unidos. Los ataques a medios de comunicación bajaron en comparación al pasado año, y como mencionábamos al comienzo, ahora los cibercriminales le encuentran otro gusto a los ataques dirigidos a nivel de aplicaciones.

Los investigadores de Kaspersky Lab explican que únicamente una solución de seguridad anti-DDoS altamente profesional con un algoritmo de filtrado de spam inteligente puede hacerle frente a estos ataques. Puede detectar y filtrar ataques DDoS entre los correos electrónicos y por eso las empresas no deben conformarse únicamente con la protección que les ofrece su proveedor de Internet, hay que tomar medidas extra.

En un informe publicado por la firma DeviceAtlas se indica que casi la mitad del tráfico de las webs analizadas por sus investigadores es perteneciente a bots automatizados, ocupando un 48% del tráfico del sitio web. Según el informe Q1 Mobile Web Intelligence Report, este falso tráfico provoca que muchas empresas pierdan dinero, y en muchos casos no son conscientes del problema que esto conlleva. No es lo mismo que una web sea visitada por una persona real, que interactúe con los contenidos y las publicidades, a que lo haga un bot que únicamente crea un tráfico web falso.

Desde la firma aseguran que la presencia de bots en Internet es algo que está en constante crecimiento, y lo peor de todo es que la tendencia se está volviendo más hostil y costosa para los propietarios de sitios web. “Solíamos pensar que los bots eran sonido blanco”, comenta Ronan Cremin, CTO de DotMobi. “Esto ha cambiado hasta el punto en el que llegan a interactuar con los sitios, imitando el comportamiento humano. En algunos casos llegan incluso a hacer compras online con el fin de influenciar los precios”, concluye Cremin. Además que este tipo de ataque es de bajo costo, por lo que cabe pensar que irá en constante crecimiento.

Aquí es cuando las empresas comienzan a perder dinero, si los bots cuentan con las facultades para realizar compras online, puede llegar a influir en el precio de determinados artículos, inclusive pensando que un producto es muy solicitado pero en realidad está siendo comprado por un bot. Los especialistas en marketing digital llevan intentando aumentar su tráfico humano y dejar de lado el falso durante mucho tiempo, para lograrlo utilizan herramientas especiales de filtrado de usuarios, pero no son del todo exitosas, las cifras hablan por sí solas.

“Los estafadores tardan mucho en demostrar que no son humanos”, comenta Frank Scavo, presidente de Computer Economics. “Es incluso peor que eso, las propias agencias de marketing no están interesadas en ofrecer un número más reducido de visitas. Si vas a pagar por clicks o por visitas, es necesario analizar muy cuidadosamente las estadísticas, nunca se va a pagar menos de lo que cuesta”. En este punto es donde quizás el control de los usuarios tiene que ser mucho más estricto, ya que cuando una empresa paga por cantidad de clicks o visitas a sus anuncios, no tiene la total garantía de que la persona que ingresó al sitio es un bot o un humano.

Para evitar dolores de cabeza, DeviceAtlas explica que lo mejor es relacionar el pago de marketing a los resultados específicos de negocio, y no en impresiones o clicks en anuncios. Creando un buen filtro y utilizando herramientas de análisis se puede saber si el visitante es un bot o un humano, en este caso, se podría enviar a los bots a servidores más lentos. De esta manera se ve beneficiado el usuario, ya que proliferan los tiempos de carga de la web y no se concentran tantos bots en un servidor al que deberían tener la prioridad los humanos.

“Lo mejor es no ofrecer ciertas funciones cuando sabemos que un visitante no es un humano”, comenta Cremin. Lo que se debe hacer en estos casos es bloquearle las capacidades una vez que se detecta que es un bot, no permitirle realizar compras, realizar comentarios de spam, etc. La principal razón de la existencia de los bots es la recolección de información, es su objetivo número uno, por lo general los bots se crean para que accedan a un sitio web con cierta frecuencia y obtengan datos de sus visitas.

El problema aquí yace en cómo o qué hacen las empresas para que los bots no ingresen a sus servidores, causándoles problemas a sus visitantes y también a sus inversores, que son los que anuncian en sus sitios web. La tendencia para este 2016 está en alza y los bots se están volviendo cada vez más populares en el mundo de los cibercriminales.

Los investigadores de Blue Coat Systems han detectado una campaña de un grupo de cibercriminales que están utilizando dos conocidas vulnerabilidades de viejas versiones de Android para instalar ransomware en los dispositivos que aún operen con el sistema operativo. Lo que buscan es instalar un sistema de búsquedas creado por los cibercriminales, para que cuando el usuario realice una consulta, sea llevado a sitios web con anuncios maliciosos.

El sistema de infección es mediante ataques basados en web, estos hacen uso de las vulnerabilidades de un buscador o de los complementos (plug-in) para instalar el malware, caso muy utilizado en los equipos con Windows, pero hasta ahora no se había presentado algo similar en Android. Gracias a la seguridad del modelo de aplicación, dichas vulnerabilidades están salvo en los nuevos terminales.

Luego de largas pruebas, los investigadores de Blue Coat Systems pudieron detectar un ataque drive-by contra uno de los dispositivos de prueba que estaban utilizando, una tablet Samsung que operaba bajo Cyanogenmod 10.1 con Android 4.2.2. La versión en cuestión todavía es utilizada por la gran mayoría de dispositivos de gama media/baja, por lo que afecta a gran parte de la población mundial.

“Esta es la primera vez, que yo sepa, que un exploit kit ha podido instalar con éxito aplicaciones maliciosas en un dispositivo móvil sin interacción alguna con la víctima, es decir, el usuario”, comentaba Andrew Brandt, director de investigación de amenazas en Blue Coat. También explicaba que en el momento del ataque el dispositivo no le preguntó sobre los permisos que tendría, algo normal cuando instalamos una nueva aplicación en nuestro dispositivo Android.

Yendo más a fondo con la investigación, con la ayuda de otra firma llamada Zimperium, los investigadores de seguridad pudieron saber que el anuncio malicioso contenía código JavaScript, que se aprovechaba de una vulnerabilidad en libxslt. El mismo agujero de seguridad alojado en la librería libxslt es uno de los archivos que se filtraron el pasado año desde uno de los software de vigilancia del fabricante italiano Hacking Team.

Una vez que logra penetrar el dispositivo, el agujero de seguridad permite ejecutar un ELF llamado module.so, el cual también se aprovecha de otra vulnerabilidad para que se le otorgue acceso de administrador y así moverse libremente. La vulnerabilidad a la que hacemos mención se la conoce como Towelroot y apareció públicamente allá por el año 2014. Con Towelroot alojado en el dispositivo, se comenzará a descargar e instalar un archivo APK que no es nada bueno, se trata de un ransomware de nombre Dogspectus o Cyber.Police. Pero tranquilos, que a diferencia de otros ransomware este no va a encriptar los archivos del dispositivo o borrarlos, todo lo contrario, muestra una amenaza falsa para intimidar a la víctima donde dice que las agencias federales detectaron actividad ilegal en el dispositivo y se deberá pagar una multa.

En caso de que no se pague la suma de dinero exigida, la aplicación maliciosa instalada hará que el dispositivo quede bloqueado para que no se pueda hacer nada con él. La única opción es pagar la multa o volverlo a un estado de fábrica mediante la recuperación del mismo, pero mucho cuidado, que este método borra todos los datos que no hayan sido respaldados, así que lo más recomendable es conectarlo a una computadora y respaldar todos los archivos importantes antes de hacer nada.

¿Cuál es el problema ahora mismo? Hay muchos dispositivos antiguos que todavía no cuentan con la última versión de Android y son vulnerables a sufrir estos ataques. Muchos de ellos no se actualizan porque su hardware no es compatible con las nuevas versiones del popular sistema de Google y quedan estancados en Android 4.2.2. Otros simplemente no se actualizan porque sus fabricantes dejan de dar soporte a sus viejos modelos, para que de alguna manera las personas se compren nuevas versiones.

Por defecto las actualizaciones del sistema operativo deberían venir activadas por defecto, pero si posees un dispositivo móvil de gama media/alta, lo más seguro es que ya no tengas el sistema operativo que es afectado por la vulnerabilidad. De todas maneras, deberías comprobar las actualizaciones ingresando en Ajustes > Actualizaciones del sistema, o simplemente conectándolo a tu computadora y utilizando el software que te provee tu fabricante para administrar el móvil.

Recuerda que los principales fabricantes ya están comenzando a distribuir la nueva versión de Android Marshmallow 6.0 para los dispositivos de gama media/alta, así que comprueba si tu dispositivo soporta dicha actualización para poder recibirla cuanto antes.