El pasado mes de agosto nos ha traído numerosas noticias relacionadas con la seguridad informática, incluso con mayor intensidad en cuanto a sucesos de lo que cabría esperar. Vulnerabilidades en Java, falsas notificaciones provenientes de Facebook, Apple y Gmail, nuevas amenazas para Android y hasta virus clásicos han sido solo algunos de los ingredientes de la actualidad informativa durante este mes.
Cuesta elegir entre las noticias más destacadas, pero si hemos de resaltar solo una, nos quedaríamos con las vulnerabilidades descubiertas en Java a final de mes, tanto por su gravedad como por el gran número de víctimas potenciales. Estas vulnerabilidades afectan a la última versión de Java 7 y aún no hay fecha para el lanzamiento de un parche que las solucione, por lo que un gran porcentaje de sistemas son vulnerables. Esto incluye a sistemas Windows, Linux y Mac OS X bajo ciertas circunstancias y ya se han visto casos de packs de exploits que la han incorporado a sus últimas versiones y están aprovechándolas para propagar malware.
Tal y como comenta Josep Albors, director del laboratorio de ESET España: “estas vulnerabilidades descubiertas representan un claro ejemplo del daño que un 0-day es capaz de hacer si el software afectado no lo soluciona a tiempo. La revelación responsable de vulnerabilidades, filosofía seguida por muchos investigadores, es de gran ayuda cuando las empresas que se encargan de mantener software vulnerable no toman cartas en el asunto a tiempo. Al menos así podemos adoptar medidas para defendernos.”
Julian Assange, Juegos Olímpicos, Facebook, Google y Apple, utilizados como gancho
Otro de los sistemas preferidos por los ciberdelincuentes durante el pasado mes para propagar sus amenazas fue el envío por correo tanto de archivos adjuntos infectados como de enlaces maliciosos aprovechándose de temas de actualidad. Así pues, noticias como las de la falsa detención de Julian Assange o retransmisiones de los Juegos Olímpicos fueron usadas como gancho para que hacer que los usuarios picaran y descargaran malware en sus equipos.
Otras temas que se usaron para engañar a los usuarios usando emails fueron el uso de una falsa notificación de Facebook o los clásicos casos de phishing bancario, esta vez usando a MasterCard como reclamo. No obstante, también Google y Apple vieron cómo se usaban sus marcas para atraer a los usuarios incautos.
Las redes sociales también tuvieron su protagonismo. Con el cambio de look de Tuenti, algunos ciberdelincuentes vieron la oportunidad de capturar datos de acceso de los usuarios de esta red social española preparando webs de acceso falsas con el nuevo diseño. Twitter vivió su momento de protagonismo especialmente durante la vuelta de la Supercopa de España de fútbol, donde el partido entre Real Madrid y Fútbol Club Barcelona se vio eclipsado por el robo de varias cuentas de Twitter pertenecientes a famosos futbolistas, en las que se empezaron a publicar tweets sin su autorización ni conocimiento.
Más vulnerabilidades de la mano de Blackhat y Defcon
El mes de julio lo terminábamos asistiendo a dos importantes eventos de seguridad como son Blackhat y Defcon. Durante este mes hemos seguido hablando de los temas allí tratados y seguiremos haciéndolo en nuestro blog en las próximas semanas. Uno de los temas elegidos fue una vulnerabilidad en .htaccess, que permitiría poder extraer y descargar localmente en el ordenador del atacante todos los archivos detrás de la protección de .htaccess.
También repasamos una de las charlas mas interesantes y entretenidas de la pasada Defcon y que trataba del siempre peliagudo tema de la seguridad en los aviones y el tráfico aéreo. En esta charla se explicaba el modelo de comunicación que se está implantando actualmente entre los aviones y las torres de control y las vulnerabilidades que presenta. Estas vulnerabilidades, si son aprovechadas por alguien con fines maliciosos, pueden causar graves problemas, por lo que es necesario que las autoridades competentes empiecen a resolverlas.
El malware con aires clásicos volvió a hacer su aparición con Dorifel/Quervar. Este nuevo código malicioso infecta archivos de Word y Excel, los cifra y los convierte en ejecutables con extensión .scr, usando de paso una ingeniosa técnica para engañar a los usuarios y hacerles creer que están ante un auténtico fichero de Word y Excel. Otro caso similar es Shamoon, un malware capaz de eliminar los ficheros del sistema infectado y el MBR del disco duro, que afectó especialmente a la mayor compañía petrolera del mundo, y que llegó a infectar a más de 30.000 ordenadores.
Pero, aunque aún siga habiendo casos de malware con aires clásicos, la realidad es que los códigos maliciosos cada vez son más sofisticados. Un ejemplo es Rakshasa, un malware persistente que, usando tecnología Bootkit, puede convertirse en una amenaza presente en nuestro sistema de muy difícil eliminación. Si a este desarrollo cada vez más elaborado le unimos servicios casi a la carta para duplicar webs y convertirlas en sitios maliciosos, como el caso de Foxxy Software, vemos que nos enfrentamos a una situación complicada.
Ya que hablamos de malware sofisticado, no podemos obviar a la última de las ciberarmas descubiertas. Flame es la más reciente de la familia de amenazas que empezó Stuxnet hace ya dos años y cuyos objetivos en Oriente Medio aún tienen muchas sorpresas que revelarnos.
Más amenazas para Android y filtraciones de datos de grandes compañías y gobiernos
Los dispositivos móviles tampoco se libraron de las amenazas, destacando la aparición de una nueva variante de Android/Spy.Zitmoque permitía su control a través de mensajes de texto o el protocolo de comunicación HTTP. Con el creciente interés de los ciberdelincuentes en los dispositivos móviles, no es de extrañar que sigamos viendo malware diseñado para estas plataformas en los próximos meses, tal y como venimos haciendo durante lo que va de año.
Las filtraciones de datos de grandes empresas y gobiernos por parte de grupos hacktivistas también han tenido su protagonismo. Una de las empresas afectadas fue la multinacional holandesa de electrónica Philips, que vio cómo se publicaban decenas de miles de correos electrónicos. Otro ataque a gran escala fue el que filtró más de un terabyte de datos sustraídos de empresas y organismos de gran renombre como la CIA, el MIT y diversos grupos financieros de Wall Street, además de los Gobiernos de Estados Unidos, China y Japón.
Por último, también advertimos de una serie de estafas que se están produciendo desde hace meses en tiendas de segunda mano españolas. Los estafadores compran o venden artículos, pidiendo a continuación que se le envíe su compra o ingrese el dinero a una sospechosa dirección en Nigeria. Esta evolución del timo nigeriano ha engañado ya a varios usuarios incautos y es labor de todos concienciarse para evitar que más gente siga cayendo en sus redes.
Los datos de agosto en España
Este mes contamos con varias novedades en nuestro ranking. Para empezar, se han “colado“ nuevos ejemplares que hasta ahora no habían aparecido en nuestro Top Ten, como es el troyano Wauchos o el virus Somoto, que han hecho desaparecer a los siempre presentes Autorun y Conficker por primera vez desde hace varios meses. Sin embargo, los ratios de distribución se mantienen en el mismo nivel, demostrando que los usuaurios seguimos expuestos a los más de 250.000 ejemplares de nuevo malware que aparecen cada día. Por eso, recomendamos a los usuarios extremar las precauciones, porque el malware puede estar oculto en cualquier sitio: en un inocente correo electrónico, en una red social o hasta navegando buscando noticias