4 de noviembre de 2014

CIBERSEGURIDAD. Malware distribuido a través de barra de herramientas que informa del EBOLA

Los hackers han creado una barra de herramientas falsa que promete al usuario obtener noticias sobre el ébola en tiempo real, avisándole sobre posibles casos detectados cerca de su ubicación.
La credibilidad que se da a todo lo que aparece en Internet juega a favor de los ciberdelincuentes
El anuncio se está distribuyendo utilizando la red social Facebook y otros sitios web de origen desconocido y que podrían corresponder con el perfil de un nido de malware.
Además de realizar las acciones que hemos comentado con anterioridad, la instalación de esta barra de herramientas implica la llegada de software adicional a nuestro equipo, sobre todo en forma de casino en línea, juegos gratis, …
Tal vez en un par de horas el usuario no nota diferencia, pero a medida que pasan los días verá como su escritorio se llena de programas que no conoce y que él no ha instalado, notando una degradación del rendimiento del equipo.
Lo mejor en estos casos es recurrir a una Restauración del sistema o bien a un formateo y reinstalación del sistema operativo, ya que la cantidad de aspectos que el malware modifica imposibilita dejar el equipo como estaba antes de su instalación, sobre todo si no existe punto de restauración.
Más información
Fuente: Redeszone.net 

CHINA Y COREA. Distribuyen malware camuflado en videojuegos para móviles

En esta ocasión los países involucrados son China y las dos partes en las que se encuentra dividida en la actualidad Corea. Aunque pueda parecer poco importante para nosotros, el problema es que la “ofensiva” (malware camuflado en aplicaciones) que se han lanzado se les ha ido de las manos.
En un principio el malware tendría que distribuirse solo entre los usuarios de dichos países, sin embargo, ya se sabe que hoy en día Internet no guarda secretos y era de esperar que la capacidad de extender contenido hiciese acto de aparición y ha desembocado en que las aplicaciones falsas hayan traspasado las fronteras de estos. 
El ataque entre estos países data del pasado mes de septiembre, y hasta el día de hoy han conseguido infectar más de 50.000 terminales móviles en todo el mundo, 20.000 de los cuales pertenecen a usuarios que se encuentran en Corea y China.
La principal actividad desempeñada por este software malicioso es la de capturar datos de los usuarios y realizar una monitorización continua de los dispositivos, desde el momento en el que son encendidos hasta que son apagados. La aplicación infectada solo está afectando a dispositivos Android.
Juegos y programas relacionados con redes sociales son los que contienen el malware camuflado
  • La rápida expansión ha provocado que estas aplicaciones hayan llegado a otros países gracias a su publicación en tiendas de aplicaciones y páginas web no oficiales, dedicada a la descarga de contenido pirata. 
  • Las aplicaciones falsas con versiones de videojuegos conocidos pero ofrecidos de forma gratuita, de esta forma tienen una mayor difusión entre los usuarios. La importancia de las redes sociales en innegable, sobre todo en los países donde han sido censuradas. Por este motivo, todas aquellas que estén relacionadas con la posibilidad de conectarse a Twitter, Facebook o espiar conversaciones son un reclamo perfecto para los usuarios.
  • Una vez más, a la hora de instalar la aplicación falsa los permisos son los que delatan que algo no va del todo bien, sobre todo porque solicita acceso a los contactos, mensajes de texto, otras aplicaciones, escribir y leer de la tarjeta de memoria y así hasta completar una larga lista de permisos que para una aplicación normal serían innecesarios.
Fuente: Softpedia

¿ CIBERSEGURIDAD ?. El jefe de cibervigilancia británico exige más colaboración a los gigantes de la Red

El nuevo director de la agencia de 'cibervigilancia' británica GCHQ, Robert Hannigan, ha denunciado que las compañías tecnológicas de Estados Unidos se han convertido en el principal vehículo de comunicación entre terroristas y ha exigido a estas compañías que hagan más para ayudar a la labor de los organismos de seguridad y judiciales.
Hannigan comenta en un artículo en el diario Financial Times que el Estado Islámico (IS), más que cualquier otra organización terrorista anterior, está usando tecnología móvil y redes sociales como Twitter, Facebook y WhatsApp para difundir sus mensajes, al mismo tiempo que se esconde detrás de complejas herramientas de cifrado, lo que plantea un desafío mayor que nunca a los servicios de seguridad.
"GCHQ y sus agencias hermanas, el MI5 y el Servicio Secreto de Inteligencia, no pueden hacer frente a estos desafíos a escala sin un mayor apoyo por parte del sector privado, incluyendo las grandes compañías de tecnología de Estados Unidos que dominan la Web", escribe en el mencionado artículo.
Varios grupos de activistas a favor de la privacidad de los ciudadanos y algunos parlamentarios y representantes políticos británicos han acusado al GCHQ de monitoreo ilegal y generalizado de las comunicaciones electrónicas, sobre todo después que el ex contratista de inteligencia de Estados Unidos Edward Snowden filtrara documentos el pasado año en los que revelaba detalles de las actividades de dicha agencia y de la de su equivalente en EEUU, la Agencia de Seguridad Nacional (NSA).
Hannigan, que llega apenas unos días en su nuevo trabajo, afirma que el GCHQ tiene que demostrar que es responsable de los datos que utiliza, pero agrega que la privacidad "nunca fue un derecho absoluto".
"Entiendo por qué (las empresas de tecnología) tienen una relación difícil con los gobiernos. Ellos aspiran a ser meros transmisores neutrales de datos y pretenden colocarse fuera o por encima de la política", dice.
No obstante, sostiene Hannigan, "por mucho que no les guste, se han convertido en las redes de comando y control elegidas por los terroristas y criminales, quienes encuentran sus servicios como un centro de mando y control igual de disruptivo que para nosotros". Además, agrega que algunas de esas empresas tecnológicas se han instalado en una negación constante respecto del mal uso de su tecnología.
Los datos filtrados por Snowden, publicados en muchos medios en todo el mundo, indican que el GCHQ y la NSA habían interceptado y monitoreado llamadas teléfono, correo electrónico y comunicaciones de medios sociales a escala masiva, lo que ha provocado un revuelo internacional.
En un discurso pronunciado el mes pasado,Iain Lobban, el anterior responsable del GCHQ, dijo que sólo un "minúsculo" porcentaje de correos electrónicos, textos y imágenes a nivel mundial se almacenan, se visionan o se escuchan.
Hannigan, cuyo nombramiento fue anunciado en abril, ha asesorado previamente el ex primer ministro Tony Blair en el proceso de paz en Irlanda del Norte y pertenece al comité de inteligencia conjunta del Reino Unido desde hace años.

Fuente: El Mundo.es

FBI. Identifica al segundo “espía” de la NSA

Según publican una serie de medios americanos, el FBI ha podido identificar a una segunda persona, además del ex-contratista Edward Snowden,  que estaba filtrando información confidencial a Internet desde dentro de la propia compañía. 
Las sospechas sobre este plan de espionaje llegaron cuando un documento llamado “Barack Obama’s Secret Terrorist-Tracking System, by the Numbers” apareció en la red mostrando una supuesta base de datos de presuntos terroristas, un documento clasificado como de “alto secreto”.
El documento anterior data de agosto de 2013, 6 meses más tarde de la huida de Edward Snowden, por lo que los medios lo denominaron como un “segundo Snowden” que ha llevado al FBI a abrir una investigación interna hasta dar con él. Por el momento no se conocen más datos sobre qué pasará con este segundo “topo”, pero no augura nada bueno para él o para su familia.
Es posible que más personas opten por seguir los pasos de estos dos informadores y próximamente podamos ver nuevos documentos filtrados en los medios de comunicación con más información sobre las actividades secretas y de dudosa moralidad que el FBI, la NSA y otras organizaciones de seguridad estadounidenses llevan a cabo con los ciudadanos del mundo.
Fuente: Scmagazineuk

LEGISLACION. Insertar un vídeo en un sitio web es legal al no ser comunicación pública

El Tribunal de Justicia de al Unión Europea ha fijado su criterio sobre uno de los asuntos más controvertidos que afecta al uso de material -en este caso, audiovisual- de terceros: insertar o embeber un vídeo en un sitio web no puede considerarse como comunicación pública y, por tanto, no viola los derechos de autor del dueño de dicho vídeo.
En una sentencia conocida esta semana, que adelantó el sitio web especializado TorrentFreak y resume en español el abogado Jorge Campanillas, incrustar o embeber material de terceros en un sitio web -realizar una trasclusión, es decir, insertar un vídeo o documento de otro sitio en una página web mediante la inclusión del código correspondiente- no necesita la autorización del titular de los derechos del mismo, siempre y cuando el vídeo esté previamente a disposición del público.
El texto, publicado de momento en alemán y francés, contesta a una cuestión prejudicial enviada desde un juzgado de Alemania, en donde se dirime un caso de petición de retirada por parte de la compañía de filtros de agua BestWater International de un vídeo publicitario de dos sitios web de agentes de venta de su competencia, en ambos casos embebido desde YouTube.
El Tribunal se basa en un caso reciente -el caso Svensson- para determinar que al estar el vídeo en cuestión accesible libremente por el público con anterioridad en otro sitio web (en este caso, en YouTube) el acto de incrustar ese vídeo en otro sitio web no sería descrito como 'comunicación pública' en el sentido del artículo 3, apartado 1, de la Directiva 2001/29, "en la medida en que la obra en cuestión no se transfiere a un público nuevo o divulgada en un modo de técnica específica diferente de la comunicación original".
De esta manera, cualquier usuario puede incrustar en su sitio web un vídeo que previamente esté disponible en la Red de forma libre y abierta, para todo el mundo, sin necesidad de pedir permiso al titular de los derechos de autor de dicho material.
Fuente: El Mundo.es

IBM WEBSPHERE PORTAL . Descubiertas diversas vulnerabilidades

Se han anunciado seis vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting, cross-site request forgery, denegación de servicio, revelación de información e incluso ejecutar código arbitrario en los sistemas afectados.
 IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.
 Una vulnerabilidad, con CVE-2014-4814, que podría permitir a un atacante provocar una denegación de servicio si un usuario abre un archivo XML específicamente manipulado. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6. Otra vulnerabilidad de la que IBM no ha ofrecido detalles, con CVE-2014-4808, puede considerarse la vulnerabilidad más grave de todas ya que permite la ejecución remota de código. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6.
 Con CVE-2014-4821 una vulnerabilidad que podría permitir a un atacante identificar si un archivo existe o no en base a los códigos de error del servidor. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6. Una vulnerabilidad de cross-site request forgery, con CVE-2014-6125, y otra de cross-site scripting, con CVE-2014-6126, que afectan a WebSphere Portal 8.5.
 Por ultimo, con CVE-2014-5191, una vulnerabilidad de cross-site scripting en el Preview Plugin del CKEditor. Afecta a WebSphere Portal 8.5, 8.0.
 IBM ha publicado diferentes correcciones para evitar estos problemas. Dada la diversidad de versiones afectadas y parches se recomienda consultar el aviso
Más información:
Fuente: Hispasec

CISCO IOS / CISCO IOS XE . Denegación de servicio en ambos dispositivos

Cisco ha anunciado la existencia de una vulnerabilidad de denegación de servicio en dispositivos con software Cisco IOS y Cisco IOS XE.
 La vulnerabilidad, con CVE-2014-3409, reside en el Ethernet Connectivity Fault Management (CFM) debido a a un tratamiento incorrecto de paquetes CMF específicamente construidos. Un atacante remoto sin autenticar podrá explotar esta vulnerabilidad para provocar el reinicio del dispositivo. La repetición del ataque de forma continuada podrá provocar la condición de denegación de servicio.
 Cisco no ofrece actualizaciones gratuitas para este problema. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Fuente: Hispasec

SUSE LINUX ENTERPRISE 11 . Actualización del kernel

SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise Server 11 SP3 (en todas sus versiones). Se han solucionado 13 vulnerabilidades e incluye 75 correcciones de funcionalidades no relacionadas con seguridad.
 Los problemas corregidos están relacionados con una elevación de privilegios en la característica PPPoL2TP en net/l2tp/l2tp_ppp.c, elevación de privilegios en la función futex_requeue en kernel/futex.c, obtención de información sensible en la función media_device_enum_entities en drivers/media/media-device.c y obtención de información sensible de la memoria ramdisk_mcp a través de la función rd_build_device_space en drivers/target/target_core_rd.c.
 Otros problemas de denegación de servicio residen en una implementación inadecuada en mm/shmem.c, en arch/x86/kernel/entry_32.S, en la función sctp_association_free en net/sctp/associola.c, en la función sctp_assoc_update en net/sctp/associola.c, en la función parse_rock_ridge_inode_internal en fs/isofs/rock.c y por una condición de carrera en el subsistema mac80211.
 Los CVE asignados son: CVE-2013-1979, CVE-2014-1739, CVE-2014-2706, CVE-2014-3153, CVE-2014-4027, CVE-2014-4171, CVE-2014-4508 CVE-2014-4667 CVE-2014-4943, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472 y CVE-2014-6410.
 Además se han corregido otros 75 problemas no relacionados directamente con fallos de seguridad.
 Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".
Más información:
Fuente: Hispasec

APPLE. Libera la beta de iOS 8.1.1

   Apple ha liberado la beta de iOS 8.1.1 para sus dispositivos móviles. La beta ha salido tan sólo dos semanas más tarde que la última versión estable del sistema operativo móvil de los de Cupertino y está orientada a la solución de pequeños problemas de estabilidad y rendimiento.
   Esta nueva versión aún en pruebas del sistema operativo móvil no incluye ninguna novedad con respecto a versiones anteriores de iOS 8, pero tiene como objetivo mejorar el funcionamiento de los dispositivos más antiguos compatibles con el nuevo sistema operativo, como es el caso del iPhone 4s y el iPad 2.
   En cualquier caso, Apple no tardará en incluir novedades en iOS, pero lo más probable es que espere al lanzamiento de iOS 8.2 u 8.3, en los que ya está trabajando su equipo de desarrolladores.
   iOS 8.1.1 ya está disponible desde el centro de desarrolladores de Apple, pero advierten de que, una vez se actualice el dispositivo, no será posible volver a una versión anterior. Asimismo, Apple ha liberado la beta de la última actualización de su sistema operativo para ordenador OS X Yosemite.
Fuente: Europa Press

TECNOLOGIAS. Bancos lanzan nueva herramienta contra piratas informáticos

Un grupo de empresas de ciberseguridad financiadas por bancos planean lanzar una plataforma que permitirá a las compañías financieras comunicarse más rápido sobre potenciales brechas cibernéticas, informó The Wall Street Journal. 
La medida llega después de varios ciberataques en algunos grandes bancos el mes pasado, cuando los sistemas informáticos de JPMorgan Chase & Co's fueron pirateados exponiendo los detalles de 73 millones de hogares y 7 millones de pequeñas empresas. El grupo reunió fondos de 16 bancos incluyendo JPMorgan,Citigroup, BB&T Corp y U.S. Bancorp, para ayudar en el esfuerzo, dijo el periódico. El producto, llamado "Soltra Edge", está siendo lanzado por el Centro de Análisis e Intercambio de Servicios de Información Financieros (FS-ISAC) y el Depository Trust & Clearing Corp (DTCC).
Llevan trabajando en ello durante más de un año y esperan lanzarlo el próximo mes, dijo la información. Al principio del año, JP Morgan dijo que esperaba gastar más de 250 millones de dólares en ciberseguridad, con cerca de mil personas trabajando en el área, tras ser avisados por los reguladores estadounidenses por la creciente amenaza de los ataques informáticos en los cajeros automáticos. 
Una versión piloto de Soltra se utilizó para difundir la información recibida por el FS-ISAC de JPMorgan tras la infiltración, dijo el Journal, citando fuentes. Soltra, que ofrece una versión gratuita además de una de pago, ayudaría a rastrear información de la amenaza en cuestión de segundos, dijo un portavoz de Soltra a Reuters. 
Fuente: Reuters

WEARABLES. Pulsera convertible en aparato volador con cámara integrada gana concurso de Intel

 Intel Corp entregó el lunes un premio por 500.000 dólares a un grupo independiente que desarrolló una pulsera que se convierte en una nave no tripulada equipada con una cámara, que la firma de procesadores espera la ayude a consolidarse en el mercado de aparatos tecnológicos que pueden utilizarse como vestuario.
Dirigido a los escaladores de rocas, el cuadricóptero Nixie se puede atar en torno a la muñeca y puede volar para tomar fotografías desde lugares de difícil acceso. Al igual que un bumeran, regresa a su propietario y luego se sincroniza con su teléfono inteligente.
Luego de ser superado por Qualcomm en los últimos años por su demora en abordar el segmento de teléfonos inteligentes y tabletas, Intel ha estado buscando que sus procesadores estén a la vanguardia de futuras tendencias en tecnología.
Su presidente ejecutivo, Brian Krzanich, lanzó en enero el concurso "Make it Wearable" para alentar a emprendedores y aficionados a usar los procesadores de Intel para desarrollar nuevos tipos de tecnología portátil. El premio en dinero busca ayudar a los ganadores a llevar su prototipo al mercado.
"Este fue un experimento para ver qué podríamos hacer en este espacio y ver qué tipo de creatividad podríamos generar", dijo Krzanich en el evento de premiación el lunes. "El valor real de esto fue la diversidad de equipos e ideas", agregó.
Los finalistas incluyeron a almohadilla que permite que los bebés prematuros en incubadoras sientan el latido de sus madres y un collar que utiliza patrones de pulsos que se sienten en el pecho para dar direcciones paso a paso a los ciclistas para que no tengan que revisar sus teléfonos inteligentes.
Samsung Electronics, Motorola y otras compañías tecnológicas están lanzando una creciente cantidad de relojes inteligentes y bandas de ejercicio, pero la categoría de tecnología portátil como parte del vestuario aún debe ganar impulso entre los consumidores. Apple planea presentar su reloj inteligente en el 2015.
Intel, cuyos procesadores dominan el mercado de los computadores personales y los servidores, este año compró a la empresa de seguimiento de salud Basis. También se asoció con Fossil y Opening Ceremony, responsables de otros aparatos que se pueden llevar en la muñeca.
Fuente: Reuters

SAMSUNG . El "Find my Mobile" permite a un atacante bloquear el móvil

Se ha anunciado una vulnerabilidad en la función "Find my mobile" de Samsung que podría permitir a un atacante remoto activar sus funcionalidades, de forma que podría hacer que suene o bloquearlo (con un código arbitrario).
 La función "Find my Mobile" implementada por Samsung en sus dispositivos es un servicio web que proporciona a los usuarios de dispositivos Samsung características para localizar un dispositivo perdido o robado. Esta utilidad incluida también por otros fabricantes (como Apple o Microsoft), permite hacer sonar el dispositivo remoto, borrar su contenido o bloquearlo de forma remota para que nadie más puede conseguir acceso al dispositivo perdido.
 El problema, descubierto por Mohamed A. Baset (@SymbianSyMoh), reside en una vulnerabilidad de Cross-Site Request Forgery (CSRF), que podría permitir a un atacante bloquear el dispositivo con un código de su elección. Básicamente, el atacante utilizará el ataque CSRF para engañar al usuario para acceder a un enlace o url que contiene peticiones maliciosas o no autorizadas. El atacante podrá llegar a bloquear el móvil del usuario con un código de su elección, lo que forzaría al usuario a realizar una recuperación del código de bloqueo a través de su cuenta Google.
 El enlace malicioso tiene los mismos privilegios que el usuario autorizado para llevar a cabo una tarea no deseada en el nombre de la víctima. Las vulnerabilidades de Cross-site Request Forgery (CSRF) permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión  activa en esa web de otro usuario.
El investigador ha proporcionado pruebas de concepto en forma de vídeos que detallan como llevar a cabo el ataque y los efectos que puede tener. Se ha asociado el CVE-2014-8346 a esta vulnerabilidad accesibles desde .
Más información:
Fuente: Hispasec

WGE. Permite la creación de archivos y directorios a atacantes remotos

Se ha anunciado una vulnerabilidad en wget que podría permitir a un atacante remoto crear archivos arbitrarios, directorios y enlaces simbólicos en el sistema afectado.
GNU Wget es una herramienta libre para la descarga de contenidos desde servidores web de una forma simple, soporta descargas mediante los protocolos http, https y ftp. Entre las características más destacadas está la posibilidad de fácil descarga de mirrors complejos de forma recursiva (cualidad que permite la vulnerabilidad descubierta), conversión de enlaces para la visualización de contenidos HTML localmente, soporte para proxies, etc.
 El problema, con CVE-2014-4877, reside en un ataque de enlace simbólico, de forma que un atacante remoto podría crear un directorio específicamente manipulado que al ser recuperado de forma recursiva a través de ftp, podría crear archivos arbitrarios, directorios o enlaces simbólicos y asignar sus permisos en el sistema.
Recomendación
1)   Se ha publicado la versión 1.16 que soluciona el problema, disponible en:
2)   también existe una corrección en forma de código fuente:
Más información:
Fuente: Hispasec

ANDROID 5.0 . Nuevas características de seguridad en el SO de Googgle

Android 5.0, bautizado por Google como Lollipop, incluye nuevas e importantes características de seguridad. Se empiezan a conocer las características más relevantes de la nueva versión del sistema operativo más popular para dispositivos móviles.
 Android 5.0, vendrá con nuevas características de seguridad entre las que Google ha querido destacar el cifrado por defecto, una pantalla de bloqueo y la capa de seguridad SELinux.
La pantalla de bloqueo
  • La capa de seguridad más visible para el usuario es la pantalla de bloqueo. Aunque todavía es un elemento que dista de ser empleado por todos los usuarios, es la forma más sencilla para mantener los datos a salvo y seguros en un dispositivo móvil. Desde aquí queremos recomendar a todos los usuarios que activen el bloqueo de la pantalla en sus dispositivos.
  • Google también quiere que cada vez un mayor número de personas hagan uso de esta medida de protección. Conscientes de que todavía una gran cantidad de usuarios de dispositivos móviles no usan un PIN o contraseña, debido a que lleva demasiado tiempo desbloquear el móvil múltiples veces al día y se convierte en algo tedioso.
  • Para ello, han implementado una pantalla de bloqueo más sencilla bajo el nombre de "Smart Lock", que permitirá evitar la pantalla de bloqueo del móvil si se encuentra emparejado con un dispositivo Bluetooth o NFC. De esta forma si llevamos un dispositivo "wearable" o tenemos el manos libre del coche no será necesario pasar por la pantalla de desbloqueo. Una opción que sin duda puede ser útil pero que también habrá que utilizar con cuidado.
  • También se ha mejorado el desbloqueo facial, que permite desbloquear el móvil empleando nuestra cara. Aunque esta funcionalidad ya existía desde Android 4.0, ahora se ha mejorado el reconocimiento que puede realizarse en menos de 1 segundo.
Cifrado desde el primer momento
  • En las versiones actuales de Android el cifrado del dispositivo es algo opcional, el usuario debe activarlo expresamente. Sin embargo Google ha decidido cambiar esto, el dispositivo completo se cifra desde que se produce el primer arranque, utilizando una clave única que nunca abandona el dispositivo.
  • De esta forma, con Android 5.0 el cifrado del dispositivo dejará de ser algo opcional a ser algo que estará presente en todos los dispositivos. Un factor de seguridad importante en cuenta en caso de pérdida o sustracción del móvil o tableta.
SELinux
  • Desde el principio Android ha tenido una sandbox de aplicaciones robusta, sin embargo no ha estado exenta de problemas. La integración de Security Enhanced Linux (SELinux) desde la versión 4.2 ha llevado el modelo de seguridad en Android hacia el núcleo del sistema operativo, esto hace que para el sistema sea más fácil de auditar y monitorizar las acciones lo que deja menos espacio para un ataque.
  • Security Enhanced Linux (SELinux) es un módulo de seguridad para el kernel Linux, integrado a la rama principal del núcleo Linux desde la versión 2.6 (en 2003), destinado a proporcionar un sistema de control de acceso obligatorio incorporado en el kernel. SELinux define los permisos de cada usuario, aplicación, proceso y archivo en el sistema y se encarga de controlar las interacciones entre todos ellos en base a una serie de políticas de seguridad específicas.
  • En Android, hasta la fecha, SELinux podía funcionar en tres modos distintos configurables por el usuario (o el operador o fabricante):
  1. Desactivado en donde no estaba cargada ninguna política de seguridad.
  2. Permisivo ("permissive") donde el modelo de políticas estaba cargado si bien no se aplicaban. Una aplicación maliciosa podía acceder a recursos no permitidos. Aunque no se impedía el acceso la acción quedaba registrada. Algo solo útil a efectos de auditoría y depuración.
  3. Habilitado ("enforcing") donde el dispositivo cuenta con todas las políticas cargadas y activas.
En Android 5.0 todo esto cambia, y ahora es obligado el modo "enforcing" en todos los dispositivos.
  • También se incluyen otras características de seguridad en Android 5.0. Por ejemplo se podrá compartir el dispositivo de forma segura con el modo de usuario invitado. También se podrán crear múltiples cuentas de usuario lo que permitiría compartir el dispositivo de forma segura con cualquier amigo.
  • Por esto, una vez más jugando con el nombre de esta versión de Android, el responsable de seguridad de Android compara la seguridad de Lollipop con una piruleta. Adrian afirma que Android 5.0 es la actualización de Android más dulce hasta la fecha, en la que han puesto un rígido palo de seguridad para el núcleo de la piruleta y un envoltorio de kevlar para el exterior. Seguridad por dentro y por fuera.
  • "Lollipop is the sweetest update of Android to date, we also built in a rigid (security) Lollipop stick for the core and and kevlar wrapping on the outside."
Más información:
Fuente: Hispasec

QUICKTIME. Actualización de seguridad

Apple ha publicado una actualización para QuickTime, que solventa cuatro vulnerabilidades de seguridad en su versión para Windows 7, Vista y XP SP2 o posteriores.
 Las vulnerabilidades están relacionadas con desbordamientos de búfer en el tratamiento de archivos MIDI (CVE-2014-4350) y de samples de audio (CVE-2014-4351). También existen corrupciones de memoria en el tratamiento de películas codificadas RLS (CVE-2014-1391) y de átomos "mvhd" (CVE-2014-4979). Todos los problemas podrían permitir la ejecución remota de código arbitrario.
 Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática de Apple, o descargándolas directamente desde: http://www.apple.com/quicktime/download/
Más información:
Fuente: Hispasec

NAT-PMP . Implementación incorrecta del protocolo en múltiples dispositivos

Se ha descubierto que un gran número de dispositivos (de diferentes fabricantes) tienen una configuración incorrecta del protocolo NAT-PMP, que podrían permitir a un atacante interceptar tráfico privado y sensible de redes internas o externas.
Clientes como  µTorrent soportan NAT-PMP
  • NAT-PMP (Port Mapping Protocol) es un protocolo implementado en múltiples routers domésticos y otros dispositivos de red que permite a una computadora que está en una red privada (detrás de un router NAT) configurar automáticamente el router para permitir que sistemas externos puedan acceder a servicios TCP y UDP internos. Es empleado por servicios como "Volver a mi Mac" de Apple o sistemas de intercambio de archivos (Torrent).
  • Los investigadores de Rapid7 (conocidos por el producto Metasploit) han identificado aproximadamente 1,2 millones de dispositivos en Internet con una configuración NAT-PMP incorrecta por lo que quedan vulnerables a distintos ataques. Según Rapid7 han encontrado:
  1. Aproximadamente 30.000 dispositivos que permiten interceptar el tráfico NAT interno (aproximadamente el 2,5% de los dispositivos afectados).
  2. Aproximadamente 1,03 millones de dispositivos que permiten interceptar el tráfico NAT externo (aproximadamente el 86% de los dispositivos afectados).
  3. Aproximadamente 1,06 millones de dispositivos que permiten el acceso a los servicios de los clientes NAT internos (aproximadamente el 88% de los dispositivos afectados).
  4. Aproximadamente 1,06 millones de dispositivos que pueden verse afectados por denegaciones de servicio contra los servicios del host (aproximadamente el 88% de los dispositivos afectados).
  5. Aproximadamente 1,2 millones de dispositivos de los que el atacante puede obtener información sobre el propio dispositivo (el 100% de los dispositivos afectados).
Detalle e Impacto del fallo de emplementación del protocolo
  • Según el análisis de países realizado por Rapid7 las IPs de los routers afectados pertenecen a los siguientes: Argentina, Rusia, China, Brasil, India, Malasia, Estados Unidos, México, Singapur y Portugal.
  •  Rapid7 también indica que la causa más probable de las vulnerabilidades resida en configuraciones incorrectas de miniupnpd. Miniupnpd es un demonio UPnP ligero que también soporta NAT-PMP y está ampliamente disponible para todas las plataformas. Es posible que las interfaces de red interna y externa en miniupnpd estén configurados por los implementadores para que puedan intercambiarse, lo que puede explicar que algunos dispositivos sean vulnerables. 
  •  Desde la versión 1.8.20141022, miniupnpd descarta los paquetes NAT-PMP recibidos en la interfaz WAN. El archivo de configuración por defecto, "miniupnpd.conf", ahora contiene comentarios adicionales para permitir configuraciones más seguras.
  •  Para el anuncio responsable a los fabricantes Rapid7 confirma que optó por que fuera el CERT/CC el responsable de esta tarea. Este organismo ha confirmado los siguientes fabricantes afectados: Grandstream, MikroTik, Netgear, Radinet, Speedifi, Technicolor, Tenda, Ubiquiti Networks, ZTE Corporation y ZyXEL. Aunque Apple también hace uso de este protocolo no se ve afectado. Los fabricantes que hacen uso de miniupnpd han publicado actualizaciones para incorporar una versión actualizada no vulnerable.
Recomendación
  •  Los administradores que implementen NAT-PMP deberán asegurarse de que sus dispositivos estén configurados adecuadamente. Se recomienda implementar reglas en el firewall para bloquear que sistemas no confiables tengan acceso al puerto 5351/udp o bien desactivar NAT-PMP en caso de que no sea necesario.
Más información:
Fuente: Hispasec

INTECO. Publica el "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles"

El Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) de Red.es, junto con el Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), presentan la oleada del panel de hogares del "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles".
 Algunos datos que se pueden encontrar en el informe son:
  • Las medidas activas más utilizadas son las contraseñas (57,5 %) y el borrado de archivos temporales y cookies (53,4 %) generados durante la navegación a través de la red Internet.
  • El 69,4 % de los usuarios declara que la frecuencia de actualización de las herramientas de seguridad se determina de manera automática por las propias herramientas.
  • La mayoría de usuarios –superior al 73 %– mantiene buenos hábitos de comportamiento referentes a los servicios de banca y comercio a través de Internet. Únicamente el uso de tarjetas prepago o monedero es secundado por un porcentaje menor de usuarios (41 %).
  • El troyano sigue siendo el tipo de malware más detectado en los ordenadores españoles, llegando a presentarse en el 35,8 % de los ordenadores escaneados durante marzo de 2014.
Más información:
Fuente: Hispasec

PHP. Actualización que corrige diversas vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar tres vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.
 Se ha solucionado una vulnerabilidad, con CVE-2014-3669, de desbordamiento de enteros en la función "unserialize()"que podría dar lugar a una denegación de servicio. Este problema solo afecta a instalaciones sobre 32 bits. Otra vulnerabilidad de corrupción de memoria, con CVE-2014-3670, en "exif_thumbnail()" que podría permitir la ejecución de código arbitrario si un usuario abre una imagen jpeg específicamente creada. Por último, un desbordamiento de búfer en la función "mkgmtime()" (CVE-2014-3668).
Recomendación
Más información:
Fuente: Hispasec

APPLE. La versión 8.1 del iOS soluciona 5 vulnerabilidades

Apple ha liberado la versión 8.1 de su sistema operativo para móviles iOS. Esta versión, además de incluir nuevas funcionalidades y mejoras, contiene cinco correcciones a vulnerabilidades de diversa índole.
La nueva versión está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
Tras los problemas iniciales con iOS y la publicación de las versiones 8.0.1 y 8.0.2 de iOS, dos meses después de la publicación de iOS 8 llega la versión 8.1. Con múltiples funciones nuevas, mejoras y correcciones. Además se han solucionado cinco vulnerabilidades.
Detalles e Impacto de las vulnerabilidades coregidas
  • Una vulnerabilidad podría permitir a un dispositivo de entrada Bluetooth malicioso establecer una conexión suplantando a un dispositivo legítimo (CVE-2014-4428). Otro problema, con CVE-2014-4448, residía en que archivos transferidos al dispositivo podían grabarse con insuficiente protección criptográfica.
  • Por otra parte, una vulnerabilidad en la validación de certificados TLS un atacante en una posición privilegiada en la red podría acceder a información sensible en el acceso de datos de clientes iCloud (CVE-2014-4449). Otra vulnerabilidad, con CVE-2014-4450, podría permitir a QuickType aprender las credenciales del usuario. Por último, también se incluye la corrección para la vulnerabilidad en SSL, anunciada recientemente y conocida como Poodle (CVE-2014-3566).
Más información:
Fuente: Hispasec

PANASONIC NETWORK CAMERA . Descubiertas varias vulnerabilidades

Se han descubierto dos vulnerabilidades en Panasonic Network Camera View y Recorder, reportadas por Ariele Caltabiano (kimiya) y Andrea Micalizzi (rgod) respectivamente. Estas vulnerabilidades permitirían a atacantes remotos ejecutar código arbitrario en el sistema vulnerable.
 Panasonic Network Camera View y Recorder permiten al usuario grabar y reproducir en su PC cualquier imagen con sonido a través de su cámara de red conectada con LAN o internet. Soporta formatos MPEG-4 y Motion JPEG, además de la norma H.264 que proporciona compresiones de vídeo de alta calidad.
Detalle e Impacto de las vulnerabilidades detectadas
  •  La primera vulnerabilidad, con identificador CVE-2014-8755, se debe a un problema en la capacidad para anular una dirección arbitraria en la memoria en el método 'GetImageDataPrint' del control ActiveX WebVideoCam. Dicho error podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web o un archivo, especialmente manipulados.
  •  La segunda vulnerabilidad, con identificador CVE-2014-8756, se debe a que el método 'GetVOLHeader' puede ser usado para escribir bytes nulos en direcciones arbitrarias de memoria. Esto permite que un atacante remoto pueda ejecutar código arbitrario a través de una página web o bien un archivo, especialmente manipulados.
Recursos afectados
  •  Las vulnerabilidades se han reportado en versiones Panasonic Network Camera View 3, 4 y Panasonic Network Camera Recorder anteriores a 4.04R03.
Recomendación
Se recomienda actualizar a versiones superiores.
  1. http://security.panasonic.com/pss/security/library/howto_update_NCV.html
  2. http://panasonic.net/pcc/cgi-bin/products/netwkcam/download_us/tbookmarka_m.cgi?m=%20&mm=2010073014092324
Más información:
Fuente: Hispasec

VULNERABILIDAD en VMware vSphere Data Protection

 Se ha descubierto una vulnerabilidad en VMware vSphere Data Protection (VDP) que expone información crítica en los sistemas afectados, catalogada con Importancia: 4 - Alta
Recursos afectados
  • VDP 5.5 hasta 5.5.6

Detalle e Impacto de las vulnerabilidades detectadas
  • Esta vulnerabilidad puede ser explotada remotamente utilizando llamadas API de Java sin necesidad de credenciales, y expondría las contraseñas de cuentas GSAN y MCUser en los sistemas monitorizados.
  • Se ha reservado el CVE CVE-2014-4624

Recomendación
  • Actualizar a la versión 5.5.7

Más información


Fuente: INCIBE (antes INTECO) 

MAC. Ventir, un keylogger y una puerta trasera para el SO. de Apple

La empresa de seguridad Kaspersky Labs ha detectado un nuevo troyano que está atacando a los usuarios de los sistemas Mac OS X. Este troyano, llamado Ventir, está compuesto principalmente de dos módulos:
  1. Keylogger: registra todas las pulsaciones del teclado de la víctima y las envía a un servidor bajo el control de los piratas informáticos.
  2. Backdoor: Una puerta trasera que permite el acceso del pirata informático al sistema y permite infectarlo con nuevas piezas de malware.
Cuando Ventir se ejecuta en el sistema de la víctima, lo primero que hace es comprobar si cuenta con permisos de administrador. De ser así se instalará junto a sus módulos en el disco duro y comenzará a funcionar. Si no cuenta con permisos de administrador el troyano creará una entrada en el kernel del sistema para ejecutarse desde allí.
Entre otros fines, Ventir principalmente recopila datos de usuario y contraseñas de los principales servidores de correo electrónico y, probablemente, datos bancarios. Estos datos los recopila en una base de datos que es enviada posteriormente al servidor de los piratas informáticos desde donde, probablemente, la venderán en el mercado negro.
Es posible que esta versión de Ventir esté basado en Morcut, otra herramienta maliciosa de estructura muy similar que atacó a los sistemas Apple el pasado 2012. Su naturaleza modular puede permitir que en un futuro el pirata informático opte por actualizar los módulos dotando al malware de nuevas y peligrosas funciones o actualizar alguno de los módulos para una mayor efectividad y esconder su actividad de la mirada de las herramientas de seguridad.
Cada vez es más recomendable utilizar software antivirus en los equipos Mac OS X, por suerte, las principales firmas de seguridad ya cuentan con versiones preparadas para este sistema operativo. Podemos ver una recopilación de los principales antivirus para Mac en el portal SoftZone.
Fuente: SC Magazine

GOOGLE. Añade a Gmail la verificación física en dos pasos

Los servicios de correo son ejemplo de seguridad manifiestamente mejorable, siendo prueba de ello la cantidad de cuentas robadas a lo largo del año (incluidas las cuentas que sus propietarios ignoran del robo de credenciales). Sin embargo, Google ha dado un paso adelante y ha introducido una mejora muy significativa en la seguridad de Gmail.
Hasta el momento existía la opción de realizar esta verificación en dos pasos haciendo uso por ejemplo de un número de teléfono, donde el servicio enviaba un mensaje con un código que el usuario debía introducir para completar el proceso de inicio de sesión en este. Sin embargo, esto es aún mucho mejor y tal vez incluso más cómodo para el usuario.
La idea nace del proyecto FIDO U2F, en el que la idea es utilizar un dispositivo USB con cierta capacidad de almacenamiento, permitiendo almacenar en él una clave que permitirá iniciar sesión en uno o varios sitios web. Sin lugar a dudas se trata de una buena noticia para los usuarios, sobre todo para los más descuidados, ya que ahora se podrá evitar que roben las credenciales de acceso de Gmail en páginas falsas, o por lo menos que se haga con tanta facilidad como se ha hecho hasta ele momento.
De momento el número de sitios web que ha adoptado esta forma de inicio de sesión segura es bastante limitado, sin embargo, es probable que en los próximos meses más servicios sigan los pasos de Google.
Dispositivos equipados con NFC y presencia física del usuario
  • Además de todo lo dicho hasta el momento, el dispositivo USB puede estar equipado con tecnología NFC, permitiendo un inicio de sesión seguro en dispositivos móviles, como por ejemplo en Android. Con el simple hecho de acercar la tarjeta USB al receptor NFC del dispositivo móvil se podría realizar el inicio de sesión de forma segura como si de un equipo de sobremesa se tratara. El único inconveniente es que se debe tener el dispositivo a mano para poder realizar el proceso, es decir, durante este proceso se va a indicar al usuario que presione un botón que posee esta memoria USB para validar dicho proceso.
  • Si en el día de ayer os hablábamos de una base de datos de contraseñas robadas en Facebook ahora es Google el que ha decido dar un paso muy importante en la seguridad de sus servicios.
Más información
Fuente: Softpedia

MALWARE. Se podría ocultar en Android utilizando archivos de imagen y PDF

Un grupo de investigadores ha descubierto como instalar un malware en un dispositivo Android haciendo que el usuario se crea que en realidad está ejecutando otro tipo de archivo.
La idea de este método es crear una entrada (archivo falso) que puede ser descifrado y convertirse en otro tipo de archivo (en este caso malware) y así conseguir infectar el dispositivo del usuario. A pesar de que la prueba se ha realizado con dispositivos Android, la idea de los archivos que mutan en otros puede ser también llevada a los sistemas operativos de escritorio sin ningún tipo de problema.
Archivos PNG, JPG, PDF y FLV son las entradas que se están utilizando en los experimentos que se han realizado.  El software utilizado se llama AngeCryption y puede ser descargado desde Google Code.
Desde el grupo de investigadores nos han dado una gran pista de cuál puede ser la hoja de ruta que seguirán los hackers para conseguir la infección de una gran cantidad de equipos.
Cifrar el APK del malware de Android para que parezca otro archivo
  • En la demostración realizada por el grupo de hackers se puedo ver como una imagen inicial de un personaje de Star Wars finalmente y después de un proceso de descifrado se convertía en otra imagen. Evidentemente esta prueba que se ha realizado con imágenes es aplicable a archivos ejecutables, por lo que una imagen o un archivo PDF podría mutar a un archivo APK que provocase la instalación de un virus en el terminal del usuario.
  • Sin embargo, la instalación de esta revela la solicitud de permisos de instalación que son necesarios por lo que se muestra al usuario que una segunda aplicación se está intentando instalar al abrir el archivo de imagen o PDF. Sin embargo nuevamente el no fijarse al realizar la instalación o visualización de archivos juega en contra de los usuarios.
Fuente: Softpedia

PHISHING. Detectan correo con keylogger que hace capturas de pantalla

Se ha detectado la presencia de un keylogger en un correo phishing que no solo es capaz de capturar la pulsación de las teclas, siendo también capaz de realizar capturas de pantalla del sistema operativo infectado.
En esta ocasión el archivo malicioso solo afecta a los usuarios con sistema operativo Windows y se encuentra programado en .NET. Después de realizar un análisis archivo contenido en un correo falso de HSBC se ha podido comprobar de que se trata de un keylogger programado para realizar también capturas de pantalla del escritorio del sistema operativo infectado. Algunos expertos en seguridad tampoco descartan que pueda hacer uso de las cámaras web que poseen los equipos.
Todas las contraseñas recopiladas y las capturas de pantalla son recopiladas en una carpeta oculta que se crea en el sistema operativo para ser enviadas posteriormente.
El malware utiliza el protocolo SMTP para realizar el envío de correos
  • Gracias a la utilización de este servicio es capaz de enviar toda la información recopilada a una información que se indica de forma periódica, ya que el malware es capaz de establecer una comunicación con un servidor de control que se encarga de enviar información sobre qué tareas se debe desempeñar, de ahí que se piense que es probable que el keylogger sea capaz también de acceder a la webcam instalada en el equipo.
  • Además de utilizar el correo electrónico, el archivo malicioso es capaz de replicarse en unidades externas para así instalarse en otros equipos de forma mucho más sencilla.
Fuente: Softpedia

SSDP. Aumentan los ataques DDoS que utilizan ese protocolo

No es la primera que UPnP muestra signos de debilidad ya que en una ocasión anterior más de 50 millones de dispositivos (sobre todo routers) estaban en peligro por una vulnerabilidad detectada que afectada a este protocolo. En esta ocasión este se ve salpicado pero es uno de los protocolos abarcados el que está siendo utilizado por los hackers, concretamente SSDP.
Para que podamos entender a grandes rasgos cuál es la función de este protocolo, podría decirse que permite que dispositivos se conecten entre sí, como por ejemplo routers, ordenadores, impresoras, consolas de videojuegos o cualquier otro dispositivos que imaginemos.
Los hackers han comenzado a utilizar el protocolo SOAP ( del inglés Simple Access Object Protocol) para realizar peticiones de paquetes a otros equipos. En condiciones normales los equipos a los que se les ha enviado el paquete de sondeo contestan con un paquete pequeño. Sin embargo, los hackers se las han arreglado para provocar que el equipo al que se le ha realizado la “pregunta” devuelva un paquete mucho más grande y redirigir este paquete contra la víctima sobre la que se quiere realizar el ataque de denegación de servicio.
Expertos en seguridad destacan que el número de dispositivos tan elevado y lo variado que puede ser en lo referido al tipo de dispositivos hace que la creación de una actualización no sea tan fácil. Si los hackers utilizasen solo los routers los fabricantes se pondrían a trabajar en actualizaciones, sin embargo una variedad tan amplia de dispositivos hace que este aspecto no sea tan sencillo.
4,35 Gb por segundo y más de 7 millones de paquetes
  • Después de visualizar algunos ataques se ha podido ver que se han conseguido una transmisión muy elevada y también un gran número de paquetes. Aunque no está confirmado, desde varias fuentes creen que en la actualidad podrían existir más de 4 millones de dispositivos afectados por este problema, y evidentemente su localización resulta muy complicada.
  • A la hora de realizar el ataques los ciberdelincuentes realizan su actividad en el puerto 1900 UDP. Por lo tanto, si al utilizar un analizador de tráfico de red vemos actividad en ese puerto de forma anormal (mucha más actividad de lo que es normal) tendríamos que tener en cuenta que lo mejor sería bloquearlo para evitar que nuestro equipo sea utilizado para realizar el ataque de denegación de servicio.
Fuente: Coordinación de la Seguridad de la información

FACEBOOK. Crea un base de datos de contraseñas robadas

En esta ocasión debemos felicitar a Facebook por una nueva iniciativa que puede ayudar a los usuarios a proteger su cuenta de posibles intrusos.
Desde la red social se ha pretendido crear una base de datos que posea credenciales que han sido robadas. A pesar de no haber trascendido mucha información, todo parece indicar que desde Facebook utilizarán como repositorios para actualizar esta base de datos aquellos portales donde los ciberdelincuentes suelen postear las contraseñas que han sido robadas de diferentes servicios. Uno de estos repositorios que sí han mencionado desde la red social es Pastebin, así que podemos hacernos a la idea de por dónde van a ir los tiros.
Como va a funcionar esta nueva funcionalidad
  • Según se ha detallado, en ningún momento Facebook conoce la contraseña del usuario pero sí el hash que va asociado a esta. Para calcular este se utiliza un algoritmo interno de la red social de tal forma que el resultado para cada una de las contraseñas es único. De esta forma, al acudir a la base de datos de contraseñas robadas se aplica este algoritmo para así poder cotejar una por una.
  • Se trata de una herramienta que va a tener una gran utilidad, sobre todo a la hora de evitar robos de cuentas y datos de los usuarios.
  • La red social creará un sistema de notificaciones que avisará al usuario si su contraseña se encuentra entre las robadas, no permitiendo el inicio de sesión hasta que no se produzca un cambio de contraseña.
  • Hay que tener muy en cuenta que no tienen porque haber sufrido un robo las credenciales de Facebook, sino que ha podido ser otro servicio el que ha sido hackeado. Sería el reflejo del problema de utilizas el mismo usuario y la misma contraseña en varios servicios a la vez.
  • De momento no se han dado plazos sobre la implementación y su puesta en funcionamiento pero todo parece indicar que desde la red social ya se han puesto manos a la obra para que esté disponible lo más pronto posible.
Fuente: Softpedia

SPAM. Los correos spam hablando de ébola se disparan

En esta ocasión, utilizan la enfermedad del ÉBOLA para extender mensajes falsos y hacer que los usuarios descarguen e instalen malware en sus equipos.
En Estados Unidos es donde se ha detectado un mayor uso de este tipo de correos, sobre todo porque allí la situación es más delicada que en el resto de países afectados, ya que el número de afectados es mayor. En los mensajes que se envían a los usuarios se busca mentalizar al usuario para cumplir medidas de seguridad. Junto con el correo se añaden documentos que se hacen pasar al usuario como vídeos, documentos de texto o imágenes con medidas a seguir.
Una técnica muy utilizada durante años y que sigue dando aún sus frutos, sobre todo ante este tipo de situaciones en los que los usuarios pueden llegar a temer por su vida y se crea cierta alarma social. Y es que como es de imaginar los archivos que son adjuntados o el contenido  al que es redirigido el usuario no es para nada legítimo.
Contenido malware para afectar al mayor número de usuarios
  • Tal y como es de imaginar estos archivos tendrían que ser algún tipo de contenido malicioso, siendo en su mayoría troyanos que llegan al equipo del usuario con la intención de robar datos de los usuarios o incluso secuestrar los datos del equipo cifrándolos y pidiendo un rescate por ello.
  • Ante este tipo de mensajes lo mejor es ignorar dicho contenido y proceder al borrado de forma inmediata, evitando sobre todo realizar la apertura del contenido para evitar que el equipo sufra algún tipo de infección de troyanos, keyloggers o programas maliciosos similares.
  • Desde Bitdefender advierten que el contenido malicioso detectado en la mayoría es malware que puede ser detectado por una gran cantidad de suites de seguridad y que el usuario no correría ningún peligro si el usuario posee una herramienta de seguridad instalada y actualizada.
Fuente: Softpedia