Cuando hablamos de ataques a grandes entidades, nunca se toca el tema del sector de la salud, que también es un objetivo importante para los cibercriminales, allí se pueden encontrar datos personales muy importantes, y más en estos tiempos donde todo está conectado por redes informáticas. En un informe publicado por Raytheon y Websense Security Labs se pudo saber que la salud es uno de los sectores que más ataques recibe y sus vulnerabilidades están en constante crecimiento, esto es por la gran cantidad de dispositivos conectados que se utilizan en los centros asistenciales.

«La rápida digitalización de la industria de la salud, en combinación con el valor de los datos que se manejan en ella, ha aumentado considerablemente el número de ataques dirigidos contra dicho sector», comentaba Carl Leonard, Analista de Seguridad de Raytheon y Websense. «Si bien los sectores de finanzas y venta minorista han perfeccionado por mucho tiempo sus defensas electrónicas, nuestra investigación revela que las instituciones de salud deben fortalecer rápidamente sus estrategias de seguridad para enfrentar los desafíos propios de la economía digital, antes de que se vuelva la principal fuente de información personal robada», finalizó.

Durante el 2014 Websense pudo identificar un aumento del 600% en los ataques cibernéticos contra hospitales en Estados Unidos en un período de 10 meses. Sorprende el gran aumento de este tipo de ataques, se ve que los cibercriminales están buscando nuevos horizontes y encontraron en las instituciones de salud un punto débil. Cuando nos preguntan cuáles son los principales objetivos de un atacante, por lo general siempre se responde lo lógico, una entidad bancaria, entes gubernamentales, inclusive un usuario común y corriente, pero hace un año que los cibercriminales están comenzando a mirar con otros ojos los centros de salud.

Raytheon y Websense Security Labs analizó la telemetría de los ataques contra el sector de la salud y pudo descubrir información de primera mano sobre las herramientas que se utilizan para los ataques, junto con las técnicas más productivas que pueden sacar el mayor provecho a una intromisión en los sistemas de seguridad.

Haciendo un resumen de los datos y descubrimientos de estas dos firmas, se puede destacar lo siguiente; sobre los ataques, en la industria de la salud se reportan un 340% más incidencias de seguridad y ataques que en otras entidades, lo que marca una clara tendencia a ser más afectada por el robo de datos delicados. Los datos que los cibercriminales logran robar, por ejemplo información médica, tiene diez veces más valor en el mercado negro que cualquier otra información. Si recordamos un informe anterior aquí publicado, la información completa de una tarjeta de crédito está rondando los 45 dólares en el mercado negro, y si a eso lo multiplicamos por 10, se podría llegar a pagar 450 dólares por este tipo de información.

La distribución de los expedientes electrónicos da origen a un entorno en el que se mueve una cantidad enorme de información, por lo tanto las redes que conectan a miles de proveedores se traduce como una superficie de ataque muy amplia para los cibercriminales.

Por otro lado, se logró saber que uno de cada 600 ataques cuyo objetivo era un centro de salud estaba siendo realizado con malware avanzado. Los expertos en seguridad señalan que este sector de la industria tiene cuatro veces más posibilidades de sufrir un ataque de este tipo, porque no tienen el presupuesto adecuado, ni cuentan con las habilidades administrativas para montar un sistema de seguridad que permita evitar este tipo de amenaza.

En cuanto al phishing existe un 74% más de probabilidades de sufrir un ataque de este tipo, esto es debido a la falta de capacitación en seguridad efectiva y de programas de concientización sobre seguridad para sus empleados, no educarlos se puede traducir en un grave peligro y el aumento de este tipo de casos para la industria de salud, ya que los usuarios no están correctamente entrenados para saber cómo reaccionar ante un intento de engaño.

El sector de la salud tiene un riesgo 4.5 mayor de sufrir el impacto de Cryptowall y 3 veces más probabilidades de ser afectada por el troyano Dyre. En un principio Dyre era un troyano dedicado a atacar al sector financiero donde se robaron millones y millones de dólares gracias a su gran capacidad de explotación, ahora Dyre está preparado para robar datos de las instituciones de salud en todo el mundo. Sobre Cryptowall no hay nada que decir, es la clásica amenaza que cifra los datos del equipo y pide una suma de dinero para desbloquearlos.

La salud tendrá que trabajar muy duro en su seguridad, los ataques cibernéticos están en constante aumento y los cibercriminales no paran de buscar nuevos objetivos. Ahora que todo está conectado, y los médicos utilizan cada vez más computadoras para guardar datos de sus pacientes, se deberá tomar el punto seguridad con más seriedad.

Una vez que los cibercriminales logran sus cometidos y extraen información de sus víctimas, la utilizan para vender los datos en el mercado negro, y no hay cosa que no venga bien. Un informe publicado por Inter Security detalla los precios de cada información robada por los cibercriminales, desde tarjetas de crédito, credenciales de acceso a cuentas bancarias y servicios de pago en línea. Esta información es vendida en el mercado negro de los cibercriminales a precios muy elevados, según los registros hay personas que llegan a pagar cientos de dólares.

El informe de Inter Security lleva el nombre de “The Hidden Data Economy” (La economía oculta de los datos), en el cual se hace público cómo se están comercializando los diversos tipos de datos robados y también los precios de venta que tienen en el mercado negro. “Este mercado de la ciberdelincuencia como un servicio ha sido un factor primordial para el auge en tamaño, frecuencia e intensidad de los ciberataques. Lo mismo puede decirse de la proliferación de los modelos de negocio establecidos para vender datos robados y pagar actos cibercriminales”, explica Raj Samani, CTO de Intel Security en EMEA.

Los análisis realizados por McAfee Labs vierten una clara tendencia a la compra/venta de datos de tarjetas de crédito, que es quizás, algo conocido por todo internauta, por eso el hecho de tener sumo cuidado con las compras por internet. Pasemos a detallar el contenido y los precios de este tipo de datos, una oferta básica en el mercado negro incluye un número válido generado por un software que combina un número de cuenta primario, fecha de caducidad y un número de seguridad CVV2. Los generadores de números de tarjeta válidos pueden comprarse o encontrarse gratuitamente por internet. Pero ¿qué pasa si se incluye información personal del titular? En este caso la cosa cambia, mientras más datos se quieran obtener, el precio de la información es otro, si se quiere saber el número de la identificación de la cuenta bancaria, fecha de nacimiento de la víctima o una información denominada como “Fullzinfo”.

A esta última información se la llama de esa manera porque incluye todo tipo de información para poder controlar la cuenta a gusto y placer, se trata de un paquete que contiene la dirección de facturación de la víctima, su número de PIN, número de seguridad social, fecha de nacimiento, nombre de usuario y contraseña para acceder, gestionar y transformar la cuenta del titular mediante la web. En cuanto a precios, hay de todo tipo, pero el paquete básico que detallamos anteriormente ronda los 25/30 dólares, mientras que el paquete Fullzinfo con la información completa sale 45 dólares.

“Un criminal que tenga en su poder el equivalente digital a la tarjeta física puede comprar o retirar dinero hasta que la víctima contacte con su entidad y reclame los cargos. Si se proporciona al criminal información personal adicional que pueda emplear para “verificar” la identidad del titular de la tarjeta, o en el peor de los casos, permitirle acceder a la cuenta y cambiar la información, las consecuencias para el titular de la tarjeta pueden ser aún peores”, explica Raj Samari.

Vayamos a los precios de los datos de las cuentas de pago online, estas cuentas aumentan o disminuyen su valor según la cantidad de saldo que dispongan. Por ejemplo, el costo de los datos de acceso a una cuenta que tiene un saldo de entre 400 y 1.000 dólares varía los 20 y 50 dólares, si la cuenta está mucho más abultada, hablamos de unos 5.000 u 8.000 dólares, el precio se aproxima a los 200 o 300 dólares por cuenta. Ocurre lo mismo con los datos de acceso a las cuentas bancarias, las que poseen un promedio de 2.200 dólares están cotizándose a 190 dólares. Ahora bien, si lo que se necesita es una cuenta bancaria con la capacidad de transferir fondos de forma opaca a bancos en Estados Unidos con un saldo aproximado de 6.000 dólares, se pueden comprar por 500 dólares, y las cuentas con un saldo de 20.000 dólares se pueden adquirir por 1.200 dólares. Las transferencias al Reino Unido se sitúan en 700 dólares para cuentas con saldos de 10.000 dólares, y 900 dólares para cuentas con saldos de 16.000 dólares.

Por aquí no queda la cosa, porque los cibercriminales también ponen en venta los datos de acceso a contenidos premium, hablamos de videos en streaming, televisión cable y membresías a canales de deportes, el precio de venta en este caso no supera los 15 dólares. Los servicios en línea para acceder a programas de fidelización del sector hotelero y a las cuentas de subastas online también son un punto fuerte en las redes criminales, la compra de estos datos permite al portador hacerse pasar por otra persona y así realizar compras en su lugar. Desde McAfee Labs pudieron interceptar una cuenta perteneciente a una comunidad de subastas en línea de gran reputación, el precio para adquirirla era de 1.400 dólares.

Los cibercriminales roban todos estos datos delicados gracias a sus métodos de phishing y malware en general, por eso siempre se le recuerda a los usuarios que nunca deben ingresar a enlaces de dudosa procedencia, y mucho menos escribir sus datos personales en sitios no seguros. Una vez que un atacante roba los datos de su víctima, no necesariamente los usa para su conveniencia, aquellos datos que se introducen en sitios interceptados por cibercriminales pueden ir a parar al mercado negro, donde se ponen en venta al mejor comprador.

La firma Cisco Talos fue con todo para desmantelar las estructuras de Angler Exploit Kit, uno de los exploits más peligrosos de los últimos tiempos, y con una fuente internacional de ingresos bastante elevada gracias a su capacidad de infección. Esta amenaza es uno de los más grandes kits de exploit en la actualidad, hace ya varios meses que se viene relacionando con varias campañas de publicidad maliciosa. Angler, catalogado como una amenaza de alto perfil, fue hasta hace unos días el más avanzado y preocupante exploit en el mercado, su desarrollo inteligente le permitía eludir los más complejos dispositivos de seguridad y atacar un gran número de equipos para que caigan en sus redes maliciosas.

La actividad que tenía Angler era descomunal, el informe publicado por Cisco aclaró que la gran mayoría de los servidores proxy utilizados por Angler estaban alojados en los servidores del proveedor de servicios Limestone Networks, donde estaba el principal foco de actividad, cerca del 50% de la actividad maliciosa que iba dirigida a 90.000 víctimas por día, y generando una suma de 30 millones de dólares por año. Si a estos valores se le suma toda la actividad que tenía el exploit en todo el mundo, los ingresos se elevan hasta superar los 60 millones de dólares por año. El equipo de Talos, principal colaborador de Cisco en este desmantelamiento, ha ganado visibilidad adicional en la actividad global de la red mediante la colaboración con el Nivel 3 de Threat Research Labs, y gracias a la colaboración de Cisco con OpenDNS se pudo ver a fondo la actividad del dominio asociado a los competidores.

El cese de operaciones de Angler es un duro golpe para la economía emergente de hackers donde el ransomware y la venta de IPs en el mercado negro, información de tarjetas de crédito e información de identificación personal robada generan ingresos de cientos de millones de dólares por año.

Angler Exploit Kit era una amenaza de alto calibre, todas las semanas estaba en las noticias, ya sea por el Domain Shadowing, su integración en 0-Days o haciendo campañas de publicidad maliciosa por todo el mundo, pero algo es seguro, siempre se mantuvo en las primeras posiciones. Los datos publicados por Cisco comenzaron originalmente en julio de 2015 e incluyen información de todas las fuentes posibles, este mes fue clave ya que Angler pasó por varias fases de desarrollo, inclusive modificando la estructura de las URL y la aplicación de varias vulnerabilidades sin parches de Adobe Flash. La peligrosidad de Flash sigue siendo un dolor de cabeza para cualquier ingeniero informático, quién sabe qué otra amenaza pueda estar aprovechándose de alguna vulnerabilidad en Flash para infectar a los usuarios, pero por suerte, Angler ya no es una de ellas. El completo análisis de los investigadores cubrió todos los campos de batalla; referers, exploits, payloads y hosting, siendo este último donde se encontraron los descubrimientos que llevaron al objetivo.

La empresa proveedora de servicios Limestone Networks era la “culpable” de más del 50% de la actividad de Angler. Es así como Talos se puso en marcha y colaboró con Limestone para recopilar información sobre la actividad maliciosa que estaba siendo operada desde sus servidores.

Angler estaba construido sobre una configuración de proxy/servidor, pero solo hay un único servidor exploit que se encarga de servir a la actividad maliciosa mediante múltiples servidores proxy. El servidor proxy es el sistema con el que se comunican los usuarios, por lo que le permite al contrincante cambiar velozmente mientras que protege el servidor exploit de ser descubierto y expuesto.

Dentro de esta campaña de detección y desactivación, se activó un servidor de vigilancia que llevaba a cabo controles, recopilando información sobre los hosts que estaban siendo explotados y que borraba remotamente los archivos de registro cuando la información había sido extraída. Gracias a este servidor encargado de realizar dichas acciones, se pudo estimar el alcance de esta campaña y las cifras monetarias que estaba manejando.

Únicamente un servidor se vio monitoreando a 147 servidores proxy en un período de tiempo de un mes, generando más de 3 millones de dólares de ganancias. En un solo día se logró encontrar aproximadamente 9.000 direcciones IP únicas con alrededor de 3.600 usuarios comprometidos, por día, se estima que los usuarios pagaron un promedio de 300 dólares para recuperar sus archivos como causa de la infección con ransomware. Los números fríos quedarían de la siguiente manera; por día se estaba recaudando 95.153 dólares, por mes 2.854.593 dólares, y por año 34.255.116 dólares.

Por suerte y con el trabajo de varias firmas aliadas se están desmantelando grandes amenazas y redes maliciosas que ponen en riesgo la seguridad de los internautas. Seguramente en este momento hay muchas más amenazas por ser descubiertas y los investigadores estarán haciendo lo posible por poner fin a las creaciones que no le hacen ningún bien a los usuarios.

Una vez más, Android y sus vulnerabilidades vuelven a salir a la luz, en este caso se trata de Stagefright 2.0, una variable del Stagefright original descubierta hace unos meses. El fallo detectado es de suma gravedad ya que no necesita que el usuario interactúe con ningún tipo de archivo, permite la ejecución de código remoto y la escalada de privilegios, lo cual hace que el atacante tome el control del dispositivo móvil sin el consentimiento del usuario.

Allá por el mes de Julio, Joshua Drakelos, del grupo de investigadores de Zimperium Mobile Security hizo una predicción sobre Stagefright, ya sea ellos, u otros investigadores, encontrarían nuevas vulnerabilidades en este motor de reproducción perteneciente a Android. Y como si de brujería se tratase, luego de que Google parchea la vulnerabilidad original, se descubre al poco tiempo dos nuevos fallos de seguridad (CVE-2015-6602 y CVE-2015-3876), con las mismas características que la vulnerabilidad original. La primera corresponde a la primera versión de Android, mientras que la segunda se introdujo en las versiones 5.0. Actualmente está afectando a todas las versiones de Android, inclusive la 5.1.1.

Si vamos a los riesgos causados por las vulnerabilidades, tanto Stagefright 2.0 como su antecesor causan el mismo daño para el usuario, se diferencian en que el vector de ataque para la primera vulnerabilidad fue parcheado por parte de Google. En caso de que un atacante logre explotar el fallo de seguridad, puede ejecutar código malicioso de forma remota y así escalar privilegios dentro del dispositivo, de esta manera puede hacerse con el control total del aparato en cuestión teniendo acceso a datos personales, fotos, videos, grabar conversaciones, ver mensajes, instalar aplicaciones, y una infinidad de posibilidades más.

Desde la firma Zimperium, responsables del descubrimiento de ambas variables de la vulnerabilidad, afirman que la nueva versión encontrada es tan peligrosa como la descubierta meses atrás.

El equipo de investigadores de Zimperium ya reportó las dos nuevas vulnerabilidades a Google y desde el gigante de internet se dio una solución en forma de parches a sus socios. Google, que actuó rápidamente, como no podía ser de otra manera ya que la vulnerabilidad era crítica, tiene una actualización de seguridad programada para el 5 de octubre que a su vez coincide con el lanzamiento de la versión final de Android 6.0. De ahora en adelante, será cuestión de tiempo para que cada fabricante comience a lanzar los parches de seguridad en forma de actualización, si llegado el día no tienes ninguna notificación, revisa manualmente las actualizaciones de tu equipo, aunque no todos los fabricantes proveerán la actualización el mismo día.

Como la manera de explotar la vulnerabilidad todavía es un secreto para los cibercriminales, no hay que alarmarse tanto, pero lo cierto es que es algo muy grave. Zimperium detalla que no publicará los datos técnicos de su descubrimiento hasta que los dispositivos cuenten con la actualización pertinente y estén protegidos.

También explicaron que planean actualizar su aplicación gratuita Stagefright Detector, que permite identificar este tipo de defectos en el sistema operativo de cada dispositivo.

Al parecer el fabricante de equipos portátiles no tiene paz, Lenovo ha vuelto a instalar un software de dudosa finalidad en uno de sus equipos y despierta una oleada de comentarios y desconfianza en todo el mundo. Según un experto en tecnología de la revista Computerworld, la firma Lenovo incluye un software espía de forma predeterminada en sus equipos.

Según el investigador Michael Horowitz, quien redactó el artículo para la revista Computerworld, acababa de comprar un equipo de la marca Lenovo, y para su sorpresa, terminó descubriendo un programa llamado “Lenovo Customer Feedback Program 64” que viene instalado por defecto en los equipos y se ejecuta diariamente.

El programa en cuestión se muestra como “Lenovo.TVT.CustomerFeedback.Agent.exe” dentro de los procesos, y según su descripción en el Administrador de Tareas de Windows indica que “sube datos del Customer Feedback Program a los servidores de Lenovo”. Aquí es donde el investigador comienza a sospechar, porque en ningún momento se le pidió permiso para compartir información privada con Lenovo, y así fue como siguió investigando el programa más a fondo. Dicho programa sospechoso se aloja en una carpeta de Lenovo en los archivos del sistema, donde se puede encontrar otro programa de nombre Omniture Site Cataclyst, ejecutado bajo el nombre “Lenovo.TVT.CustomerFeedback.OmnitureSiteCataclyst.dll”.

Michael Horowitz, curioso por saber qué era ese programa, realizó una búsqueda en Google donde encontró que SiteCataclyst es una herramienta de análisis web desarrollada por Omniture, una compañía que recopila información de la actividad de los usuarios en la red para luego hacerle ofertas en base a sus intereses.

Si vamos al sitio web de asistencia técnica de Lenovo, se advierte que sus productos pueden incluir programas que se comunican con servidores de internet, dentro de esos programas se encuentra el Customer Feedback Agent. En cambio, Horowitz fue muy duro con la firma por esconder esta información en las profundidades del acuerdo de licencia en vez de hacerla más clara, y por no informar como es debido sobre la desactivación de estos programas espía.

Según Lenovo, la actividad del programa se puede desactivar en “Configuración”, pero el investigador nunca logró encontrar dicha opción. Ante la poca privacidad que le ofrecía este programa espía tuvo que recurrir a otro método, desactivó la tarea en el Administrador de Tareas y cambió el nombre de la carpeta en la ruta “C:/Program Files(86)/Lenovo”, donde se aloja el programa por defecto.

Por el momento Lenovo no ha dicho nada más al respecto, y tampoco le conviene seguir dándole más vueltas al asunto, ya explicó que hay programas que se comunican con servidores de internet y para ellos no se trata de un espionaje. Recordemos que la firma ya viene muy golpeada por los recientes casos de programas espía que venían preinstalados en sus equipos, donde sí se logró demostrar que violaban la privacidad de sus usuarios.

Intel, el gigante de la computación anunció recientemente la creación de un consejo para revisar la seguridad en los automóviles, y también publicando una serie de recomendaciones de seguridad en caso de poseer autos inteligentes. La empresa responsable de la tecnología en los automóviles inteligentes, se está preocupando sobre los riesgos que se vienen a futuro, no quieren que se vuelva a repetir los recientes casos de hackeo a Tesla S o Chrysler.

Repasando estos casos donde la seguridad se vio comprometida, en uno de ellos no fue un hackeo en sí, pero era una demostración en el marco de una competición SyScan +360 en Beijing. Un grupo de hackers chinos pudo acceder al automóvil y controlar de forma remota la apertura y cierre de puertas, luces, bocina y techo del Tesla Model S. Según este grupo de hackers chinos, el método que emplearon para vulnerar la seguridad del coche fue rompiendo el código de seis dígitos de la aplicación móvil que trae el automóvil, la cual se encuentra disponible para iOS y Android. ¿Impresionante, verdad? Que dentro de unos años los cibercriminales también puedan controlar cada detalle de nuestro coche, sin dudas es una muestra de lo rápido que se avanza en este sentido y que ya nada es totalmente seguro.

El otro incidente sucedió en 2015, cuando la marca Jeep se vio involucrada en un escándalo por una vulnerabilidad zero day que permitía que sus coches inteligentes fueran controlados de forma remota. Los modelos afectados eran los Jeep Cherokees, Chrysler 200s y Dodge Rams.

Por suerte estas vulnerabilidades ya fueron solucionadas y nunca pasaron a manos de cibercriminales, en su momento fueron descubierta por grupos de investigadores que avisaron a los respectivos fabricantes. Para el caso de los Jeep, se pudo hacer un testeo del completo control que puede llegar a tomar una persona si es capaz de vulnerar la seguridad del coche, controlar el aire acondicionado, limpiaparabrisas, transmisión, inclusive cortar los frenos del vehículo. Lo que aquí tenemos es una prueba de que los coches inteligentes poco a poco se convierten en una realidad, pero todavía habrá que hacer un gran esfuerzo para que sean totalmente seguros.

Según explican, en la próxima década, la industria automotriz evolucionará tanto, que ya no se podrá reconocer los modelos, salvo por las cuatro ruedas, debido a un gran proceso de inmersión tecnológico. El uso de la tecnología será importantísimo para el automóvil, ayudará con las comunicaciones, información, entretenimiento y al control general de cada detalle del auto.

La consultora Gartner predice que en 2020 el número de vehículos de pasajeros conectados en las calles rondará los 150 millones, y un 60% y 70% de ellos tendrán la capacidad de consumir, crear y compartir datos basados en web. “La transición a un mundo más conectado es emocionante y requiere que se aborde la ciberseguridad”, explica Intel.

Por este motivo, Intel ha creado el consejo Automotive Security Review Board, cuyo objetivo es ayudar a reducir el riesgo de seguridad asociado a los coches conectados, además de impulsar el progreso e innovación tecnológica. Sus principales miembros serán talentos de la industria de seguridad de todo el mundo, con experiencia en áreas particulares de sistemas ciberfísicos. ¿Qué harán estas personas? Serán las encargadas de realizar pruebas y auditorías de seguridad diariamente, con el objetivo de codificar buenas prácticas y diseñar recomendaciones para soluciones y productos de ciberseguridad avanzados para beneficiar el sector automotriz y, por supuesto, al conductor del coche.

“Podemos y debemos elevar el listón contra los ciberataques en automóviles. Con la ayuda del Automotive Security Review Board (ASRB), Intel puede establecer buenas prácticas en cuanto a seguridad e impulsar la ciberseguridad como un ingrediente esencial en el diseño de cualquier coche conectado. Hay pocas cosas que sean más personales que nuestra seguridad en las calles, lo que hace que este consejo sea la idea adecuada en el momento adecuado”, comentó Chris Young, Vicepresidente Senior y Director General de Intel Security.

El popular fabricante de microchips indicó que le proporcionara al ASRB sus plataformas de desarrollo avanzado de automoción, para que puedan llevar a cabo sus investigaciones. Y el dato curioso de todo esto; a los investigadores que pongan más empeño en sus tareas y descubran una vulnerabilidad o simplemente algo que cause un gran impacto en la seguridad del coche, se les premiará con un coche nuevo. ¿Qué tal?

Así es como Intel se preocupa de la ciberseguridad automotriz, ya que estos dispositivos inteligentes se desarrollan gracias a su tecnología y es su deber estar a la vanguardia, para cuidar sus propios ingresos, y a los conductores.

En lo que fue una colaboración de Kaspersky Lab, junto con Panda Software y la policía holandesa, se pudo detener en una operación a algunas personas sospechosas de estar implicadas en los ataques de CoinVault, donde se vieron afectados 1.500 equipos con sistema operativo Windows.

La policía holandesa arrestó el pasado lunes a dos hombres de 18 y 22 años en la localidad de Amersfoort, por la sospecha de que participaron en los ataques del ransomware CoinVault, se trataba de una campaña de malware que había dado comienzo en mayo de 2014 y tenía objetivos en más de 20 países.

Nada de esto hubiese sido posible sin la participación activa de las dos firmas de seguridad, que colaboraron con la causa desde un principio, una de ellas es Kaspersky Lab, que ayudó con la investigación de la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa a localizar e identificar a las personas que hoy están bajo arresto. Panda Security por su parte, colaboró haciendo lo que se llama “trabajo de hormiga”, tratando de hacer el seguimiento de varias muestras del malware utilizado para infectar los equipos en aquel entonces.

CoinVault no es un ransomware desconocido por su forma de operar, su similitud es parecida al virus de la policía, donde se pide una suma de dinero a cambio de desbloquear el equipo, al parecer, desde aquel entonces se ha vuelto moda este método delictivo. Los cibercriminales lograron infectar miles de equipos en el mundo, en su mayoría se sitúan en Holanda, Alemania, Estados Unidos, Francia y el Reino Unido, acumulando aproximadamente 1500 equipos Windows comprometidos, donde se exige la popular moneda electrónica bitcoins para desbloquear los archivos.

Se informó que los desarrolladores de la amenaza CoinVault modificaban su ransomware en diversas oportunidades, con el afán de llegar a conseguir nuevas víctimas y que las soluciones de seguridad no detectaran su creación. Una buena idea que tuvo Kaspersky Lab junto con la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa, fue crear una herramienta online (noransom.kaspersky.com) capaz de detectar y desbloquear sus archivos. Esto es gracias a un banco de claves de descifrado que pudo elaborar Kaspersky Lab, y una aplicación de descifrado online que ayuda a las víctimas de CoinVault a recuperar el control de su equipo sin tener que pagar dinero a los cibercriminales.

Por otra parte, una amenaza que viene haciendo de las suyas es CoreBot, los investigadores de ESET explican que ya no es simplemente un troyano dedicado a robar información, sino que ahora es un troyano bancario que ya atacó a 33 instituciones financieras en Estados Unidos, Canadá y Reino Unido.

Una vez más un troyano bancario quiere hacerse paso entre los grandes, CoreBot es un caso muy peculiar y fue evolucionando poco a poco, comenzó siendo un troyano común y corriente, y ahora se transformó en algo capaz de robar credenciales bancarias y comprometer las cuentas personales de sus víctimas. Según el equipo de investigación de IBM X-Force, responsables del descubrimiento de CoreBot, explican que la constante evolución que tuvo el troyano se debe a los distintos módulos que representan funciones maliciosas y se pueden ir agregando al mismo.

La constante aparición de las nuevas capacidades en CoreBot se debe a la evolución que puede llegar a tener este tipo de amenazas, ahora se trata de un troyano muy peligroso, ya que al dedicarse a la banca online, es capaz de sacar beneficios económicos de sus víctimas. “En su empecinada búsqueda de ganancias económicas, los cibercriminales atacan directamente los sitios donde los usuarios manejan su dinero, es decir, sus cuentas bancarias. Con el desarrollo de posibilidades para hacer todo tipo de transacciones por Internet, era inevitable que pusieran su atención en tratar de vulnerar estos servicios”, indica Camilo Gutierrez, investigador de seguridad de ESET.

Si utilizas la banca online, tendrás que tener cuidado, CoreBot se ha estado distribuyendo durante estos días, pero se informa que los daños causados son mínimos. Mantén siempre actualizado tu antivirus, y utiliza el sentido común si se te presenta alguna situación sospechosa.

En un informe recientemente publicado por la aseguradora Allianz Global Corporate, se informa sobre el costo que tiene para la economía mundial la ciberdelincuencia, algo que hace 15 o 20 años atrás parecía tan inalcanzable, hoy es una realidad, el mundo evolucionó y la era de las redes informáticas está cada vez más presente, y los cibercriminales también.

Los riesgos informáticos representan una amenaza muy importante para las empresas, en el informe de la aseguradora Allianz Global Corporate se explica que, la ciberdelincuencia cuesta a la economía mundial aproximadamente 445.000 millones de dólares por año. La aseguradora pone de relieve la evolución de los riesgos cibernéticos, y no le da tanta importancia a los problemas que pueden surgir de privacidad y la reputación.

Hace un tiempo la atención estaba centrada en los problemas con las violaciones de datos hacia las empresas, y sus respectivos problemas de privacidad, en cambio, las amenazas que se desarrollarán de ahora en adelante se centraran en el robo de la propiedad intelectual, la ciberextorsión y el impacto que puede traer la interrupción de un negocio empresarial como causa de un ataque, fallo operativo o técnico.

Allianz, aseguradora alemana de gran prestigio a nivel mundial, explica que, una mayor concienciación sobre estos riesgos y cambios de normas tendrá consecuencias en el sector de los seguros cibernéticos. Las empresas en la actualidad no cuentan con un seguro, se estima que menos del 10% de las mismas cuentan con pólizas contra riesgos cibernéticos. Para la aseguradora las cifras de los ciberseguros podrían aumentar, pasando de los 2.000 millones de dólares anuales actualmente, a 20.000 millones de dólares, plazo estimado de aquí a 10 años, lo que puede suponer una taza de crecimiento anual acumulado por encima del 20%.

El director general de Allianz Global Corporate, Chris Fischer Hirs, indica que “hace 15 años los ataques cibernéticos eran bastante rudimentarios y normalmente eran cosa de hackers”, ahora hay toda una organización detrás de cada ataque y son prácticamente un equipo.

La creciente interconectividad de los dispositivos que usamos habitualmente, y la dependencia que tenemos de la tecnología, tanto a nivel empresarial como personal, crea aún más vulnerabilidades. El mal manejo de estas tecnologías puede suponer casos de graves violaciones de datos, la posibilidad de una pérdida catastrófica es cada vez más probable, no es fácil predecir cómo sería, afirman desde Allianz.

También es de suma importancia que dentro del entorno de los ciberseguros se evolucione hasta poder brindar una cobertura más amplia y completa, concentrándose en la interrupción de negocio empresarial. Mientras que el descarte de los riesgos cibernéticos en pólizas de seguros de riesgos generales probablemente será algo habitual a futuro, los seguros independientes contra riesgos cibernéticos seguirán su constante evolución para ser la principal fuente de cobertura contra todo riesgo. Allianz ve como hay un fuerte interés por en sectores como las telecomunicaciones, comercios minoristas, energía, servicios públicos y transporte, y no dejar de lado a las instituciones financieras.

En el informe se señala las medidas que las empresas pueden tomar ante los riesgos informáticos, los seguros solo pueden ser una parte de la solución, la defensa cibernética deberá basarse en una estrategia integral de gestión de riesgos. “Contratar una póliza contra riesgos cibernéticos no significa que podamos olvidarnos de la seguridad informática. Los aspectos tecnológicos, operativos y relativos a los seguros de la gestión de riesgos están estrechamente relacionados”, comenta Jens Krickhahn, experto en el sector cibernético y de infidelidad de Allianz Global Corporate and Security en Europa Central y Oriental.

“En los próximos cinco o diez años, veremos la interrupción de la actividad de negocio como un riesgo  clave y un elemento principal del mercado de los ciberseguros”, indica Georgi Pachov, experto en seguridad cibernética del equipo internacional de contratación de seguros de bienes de Allianz Global Corporate and Speciality.

Debido al descubrimiento del año pasado por parte de la firma G Data, donde revelaron que el smartphone Star N9500 tenía malware instalado capaz de espiar al usuario final, la firma de seguridad alemana comenzó a poner especial atención en otros dispositivos que cuenten con el popular sistema operativo de Google. Star 9500 era un smartphone que incluía un troyano espía entre las aplicaciones instaladas de fábrica. Luego de un tiempo, G Data comenzó a darse cuenta que más de 20 modelos tenían funciones similares en el firmware instalado, algunos modelos pasan desapercibidos; Alps, ConCorde, ITOUCH, NoName, SESONN, pero no es el caso de Lenovo, Huawei o Xiaomi.

Los investigadores creen que todavía hay muchos más dispositivos no analizados que también tienen un firmware sospechoso, por lo general, el malware se “camufla” como una aplicación legitima que funciona con normalidad, pero a su vez es capaz de permitir que los creadores del malware accedan al dispositivo y comiencen a molestar con anuncios o descargando nuevas aplicaciones maliciosas.

Se especula que las aplicaciones maliciosas pudieron ser preinstaladas en el firmware durante el proceso que siguen los dispositivos una vez que salen de la fábrica, y llegan al usuario con malware en su interior. Muchas veces son dispositivos de precio intermedio, lo que le da más posibilidades a los creadores para distribuirlos, con un smartphone infectado de fábrica es mucho más fácil robar datos personales, mostrar publicidades molestas, enviar SMS sin el consentimiento del usuario, etc.

Durante el primer semestre del 2015 se superaron todas las expectativas con más de un millón de nuevas amenazas para Android, cifra demasiado abultada para lograrla en solo seis meses, lo que demuestra el constante crecimiento de Android y los smartphones. Si comparamos estos registros, podemos observar que en todo el año 2013 (12 meses), se habían detectado la misma cantidad de amenazas que ahora se encontraron en seis meses. G Data especula que de seguir así, a finales de 2015 se podría estar hablando de un índice de detección de dos millones de amenazas en todo el año.

Comparemos la gráfica; el crecimiento y explosión de los smartphones comenzaba, si se quiere, allá por el 2012, y fue allí cuando los cibercriminales comenzaron a poner sus ojos en los dispositivos inteligentes. Del 2012 al 2014 la cifra se disparó, llegando a un millón de amenazas por año, y en lo que va de este año ya falta casi medio millón para alcanzar la cifra del pasado año.

Aquí no hay mucho que se pueda hacer para prevenir este tipo de casos, ya que son los propios fabricantes que preinstalan el malware en sus equipos, quizás apostar por un teléfono reconocido sea la mejor opción para evitar caer en estas trampas, aunque tampoco es una solución definitiva. Recordemos que a Lenovo también le jugó una mala pasada una línea de Notebooks en las que venía preinstalado un malware espía.

Los expertos de seguridad en G Data advierten que el malware para Android está avanzando a pasos agigantados y será cada vez más desarrollado. El caso del ataque informático que sufrió la empresa italiana Hacking Team, que vendría herramientas de vigilancia y espionaje a los departamentos de policía de varios países, agencias de inteligencia y gobiernos del primer mundo, ha tenido como consecuencia la publicación de varios de sus documentos privados y con varias amenazas relacionadas con el malware para Android. Recordamos que Hacking Team es una empresa dedicada a vender herramientas de manera legal a los países o personas que así lo deseen.

Toda la información publicada podría ser utilizada para que los cibercriminales desarrollen código malicioso para Android, en base a los conocimientos revelados en el ataque a la empresa italiana el malware de ahora en más tendrá un nivel de desarrollo aún mayor.

Otra vez toca hablar de Adobe Flash Player, esta vez se ha publicado una actualización para el popular reproductor de contenidos web que soluciona varias vulnerabilidades críticas para el usuario. En total se corrigieron un total de 35 vulnerabilidades que podrían permitir que un atacante tomara el control del sistema en caso de verse involucrado por alguno de estos fallos.

Las versiones de Adobe Flash Player que se ven envueltas en este problema son: 18.0.0.209 y anteriores para Windows, Mac, y navegadores Chrome, Internet Explorer y Edge. Adobe Flash Player 13.0.0.309 y versiones 13 anteriores en Windows y Mac, Adobe Flash Player 11.2.202.491 y anteriores únicamente afectan a Linux. Cabe destacar que también se encuentra afectando a Adobe AIR.

Los problemas de seguridad relacionados con las versiones de Adobe Flash Player mencionadas se corrigieron en el boletín de seguridad APSB15-19, las vulnerabilidades permitían la ejecución de código arbitrario aprovechando 5 vulnerabilidades de confusión de tipos, 15 vulnerabilidades de uso de memoria después de su liberación, 5 de desbordamiento de búfer, 1 de desbordamiento de entero y 8 fallos que podrían traer una corrupción en la memoria.

Dentro de las novedades que trae la nueva versión de Flash Player, se encuentra una mejora en la protección contra la mitigación presentada en versiones anteriores (18.0.0.209) para la protección contra corrupciones en la longitud del vector. Resumiendo, Adobe Flash Player se ha actualizado y si no has recibido ningún aviso de actualización es recomendable que visites su web para saber si cuentas con la última versión publicada.

Los productos actualizados y sus respectivas versiones se detallan a continuación:

• Adobe Flash Player Desktop Runtime 18.0.0.232
• Adobe Flash Player Extended Support Release 18.0.0.232
• Adobe Flash Player (Linux) 11.2.202.508

Si eres usuario de los navegadores más populares como Internet Explorer, Google Chrome o Edge para Windows 10, Flash Player ya se ha actualizado a la versión correspondiente (18.0.0.232) en Windows y Mac. Para Linux, la actualización también se encuentra disponible únicamente para el navegador de Google. Como dato adicional, Adobe ha actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler a su versión 18.0.0.199 para Windows, Mac, Android e iOS.

Por su parte, Google comenzará a bloquear contenido que contenga anuncios publicitarios con Flash en su navegador, Google Chrome. Este cambio tan arbitrario se producirá a partir del 1 de septiembre con el fin de poco a poco, poner punto final a Flash Player y quizás en un futuro hacer que todo sea en HTML5.

Si bien Google no especifica con detalle qué es lo que va a bloquear, expresa que se bloqueará por defecto lo que ellos crean que es “irrelevante”, pero el usuario siempre tendrá la opción de reproducirlo. El gigante de internet señala que no bloquearan contenido importante que tenga que ver con lo que proporciona el sitio web en el que se esté navegando, ni tampoco algo que tenga que ver con su correcto desarrollo. Según su reciente publicación relacionada con este aspecto, Google migrará los anuncios que están hospedados en su propia red a HTML5, la quinta revisión mayor del lenguaje básico de programación, el cual Google y varios expertos recomiendan migrar desde hace años para dejar de utilizar Flash Player.

Hay dos razones centrales por las que Google decidió tomar esta medida, una de ellas es el gran consumo de memoria RAM que utilizaba el navegador, en gran medida el culpable de todo esto, según Google, es la utilización de Flash.

La otra razón y quizás la de más importancia, la seguridad del navegador, Adobe Flash ya no brinda ninguna garantía en ningún ámbito, las grandes vulnerabilidades que presenta y seguirá presentando en un futuro son un motivo más para dejar de utilizarlo, es increíble que todavía no se haya dejado de utilizar hace años. Sus grandes problemas se centran en el reproductor de multimedia y el plugin que permite agregar contenido, las vulnerabilidades son cosa de todos los días y constantemente los cibercriminales están creando exploits, uno de los más recientes son los que se utilizaron en el caso de Hacking Team.

¿Por qué no es posible acabar con Flash de una vez? Son muchos los intereses creados, así como también los sitios web que todavía siguen usando Flash para reproducir sus contenidos, propios o enlazando algún video de terceros, inclusive llevando la publicidad para generar ganancias a sus propietarios.