CORONAVIRUS. Peligroso ataque informático amenaza el sistema de Hospitales españoles

Varios hospitales españoles han sido víctimas durante el último fin de semana de un ataque informático que, según la Policía Nacional, busca paralizar los sistemas de los centros sanitarios. La preocupación social por el Covid-19 se ha convertido en el gancho ideal para los ciberdelincuentes.

La Policía Nacional ha alertado del envío masivo de correos electrónicos a personal sanitario. Unos emails que contiene "un virus muy peligroso y malicioso" y que, en caso de ejecutarse, podrían "romper todo el sistema informático de los hospitales".

Los sanitarios no son los únicos afectados por los ataques informáticos que proliferan estos días en la red. Durante la rueda de prensa diaria del Comité Técnico de Gestión del Coronavirus, el director adjunto operativo (DAO) de la Policía Nacional, Jose Ángel González, ha advertido también de otros correos enviados que tienen como finalidad "acceder a nuestro sistema, infectar nuestro ordenador y tener acceso a todas nuestras claves e información personal".

Crecen los bulos sobre el coronavirus

Mientras, el mando ha pedido a la población que tenga cuidado con los "más de 200 bulos y falsas noticias detectados con la única intención de provocar miedo y pánico en la población".

Ha destacado dos: un audio que alertaba de una inminente declaración del estado de sitio y aconsejaba a hacer compras masivas en supermercados; y otro de un motín en un cárcel española con un vídeo de una prisión italiana de la pasada semana.

Para protegerse de estas amenazas informáticas, los mandos operativos de la Policía Nacional y la Guardia Civil han apelado a la prevención como la mejor herramienta. Sino se sabe la procedencia, mejor no abrirlo.

Y en el caso de los hospitales, han pedido a los sanitarios que les comuniquen cualquier amenaza, porque aunque ellos monitorizan las redes, es vital informar de cualquier actitud sospechosa.

El número dos de la Policía ha pedido a los ciudadanos que "desconfíen de esas noticias" ya que "la gente tiene mucho tiempo, hay mucha gente que se dedica a distraerse pero hay mucha gente que se dedica a crear estos bulos".

El Gobierno centralizará en una web toda la información sobre el coronavirus

• El Gobierno pondrá en marcha una web unificada con información verificada por el Ministerio de Sanidad sobre el coronavirus. El objetivo es "evitar la desinformación, la desprotección y la confusión que están creando webs desconocidas", explicó la ministra de Asuntos Económicos y Transformación Digital en rueda de prensa junto al titular de Sanidad.
• El Ejecutivo también creará un asistente conversacional para atender las necesidades de personas mayores, para que puedan comunicarse de forma oral. El Gobierno trabaja en un proyecto piloto en La Rioja para extenderlo a otras comunidades y a otros países, sobre todo latinoamericanos, que ya han mostrado interés.
• Otra iniciativa es una aplicación para teléfonos móviles que dará respuesta a las dudas de los ciudadanos sobre síntomas del coronavirus, con el fin de descongestionar el servicio telefónico. Aquí el piloto lo desarrollará la Comunidad de Madrid.
• El Gobierno también va a realizar un estudio de geolocalización para conocer mejor con la Inteligencia Artificial la movilidad de los ciudadanos, y así evitar movimientos desaconsejables o posibles cuellos de botella. El piloto se probará en la Comunidad Valenciana.
• Otra medida es la apertura de una 'Oficina del Dato contra el Coronavirus', que centralizará en un cuadro de mando integral todos los datos sobre la epidemia que vayan centralizando las comunidades autónomas.

Fuente: Expansion.com

CIBERATAQUES. Los ataques de 'stalkerware' a móviles se triplicaron en España durante 2019

Los ataques de 'stalkerware' y los 'adware' han sido las amenazas más peligrosas para los datos privados de los usuarios de teléfonos inteligentes durante el año 2019 y se han triplicado y han aumentado un 13 respectivamente en España, según un informe de Kaspersky.

El 'stalkerware' es un tipo de 'software' malicioso que permanece oculto en el teléfono de la víctima para extraer datos del dispositivo del usuario. Mientras, un 'adware' recoge datos privados de los usuarios para después mostrarles anuncios que les interesen.

Según el informe anual 'Mobile Malware Evolution' de la compañía de ciberseguridad Kaspersky, los 'adware' pueden hacer que los servidores de terceros tengan acceso a datos sensibles de la víctima sin su consentimiento ni conocimiento.

En 2019, el 21 por ciento de las amenazas analizadas por la compañía de ciberseguridad estaban relacionadas con el 'adware', según ha afirmado en un comunicado remitido a Europa Press.

El pasado año, Kaspersky detectó ataques de 'adware' a 23.371 usuarios únicos en España, lo que supone un 13 por ciento de incremento respecto a los datos de 2018, año en que se registraron 20.691 ataques.

Por su parte, en los ataques de 'stalkerware' las aplicaciones tienen acceso a datos personales como la ubicación del dispositivo, el historial del navegador, conversaciones en redes sociales e incluso fotos.

Kaspersky ha advertido de que existe la posibilidad de que "otros hackers obtengan acceso a los servidores de 'stalkerware' y recopilen toda esta información para sus propios fines".

Durante 2019, Kasperky detectó 1.243 ataques de 'stalkerware' en España, más de tres veces la cantidad de amenazas de este tipo en móviles que se registraron en 2018.

La compañía de ciberseguridad ha afirmado que los ataques a los datos personales de los usuarios de dispositivos móviles aumentaron de 40.386 en 2018 a 67.500 en 2019.

Además, en 2019 la cifra de ataques se duplicó en la segunda mitad del año en comparación con la primera. En este sentido, según datos de Kaspersky, en enero hubo 4.483 usuarios atacados, mientras en diciembre el número de personas afectadas llegó a 11.052.

Asimismo, la compañía ha dejado constancia de un incremento del 5 por ciento en los troyanos bancarios durante 2019, que afectaron a 3.713 usuarios únicos de móviles solo en España, según Kaspersky.

Fuente: Europa Press

PHISHING. Facebook, Yahoo y Netflix son las marcas más imitadas en este tipo de ataque

Facebook ha sido la marca más imitada en el pasado año 2019 en los ataques de 'phishing' -en los que los cibercriminales se hacen pasar por una compañía para hacerse con los datos de los usuarios y sus cuentas- y ha acumulado el 18 por ciento de los ataques de este tipo a nivel global, que también afectan a empresas como Yahoo y Netflix.

Así lo ha revelado el informe 'Brand Phishing Report 2019' de la compañía de ciberseguridad Check Point, en el que se han analizado los intentos de ataques de 'phishing' en todo el mundo durante el cuarto trimestre del pasado año.

En el ranking global del 'phishing', por detrás de Facebook se encuentran por volumen de ataques Yahoo, segundo con el 10 por ciento; Netflix, tercero con el 5 por ciento; así como otras compañías tecnológicas como Microsoft (3 por ciento), Spotify (3 por ciento), Apple (2 por ciento) y Google (2 por ciento).

No obstante, durante el último trimestre del año se produjeron grandes diferencias entre las marcas utilizadas en cada vector de ataque, según explica Check Point en un comunicado.

Los ataques a través de la Web fueron los más frecuentes y comprendieron el 48 por ciento de todos los ataques de 'phishing' del cuarto trimestre de 2019. Los cibercriminales de esta categoría eligieron hacerse pasar por empresas como Spotify, Microsoft, PayPal y Facebook.

En segunda posición se encuentran los ataques de 'phishing por email, que supusieron el 27 por ciento del total y que suplantaron preferentemente a Yahoo, por delante de la marca de gafas de sol Ray-Ban, Microsoft y de DropBox.

Muy cerca se encuentran los atacantes que optan por campañas de 'phishing' a través del móvil, que en los últimos tres meses de 2019 congregaron el 25 por ciento de todos los ataques. La marca más imitada fue la de servicio bancarios Chase Mobile Banking, seguida de Facebook, Apple y PayPal.

"En los dos últimos años, los incidentes de este tipo de ataque se han disparado con el aumento del uso del correo electrónico basado en la nube, lo que facilita a los delincuentes camuflarse como un elemento de confianza", como señala Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point Research, que considera que "el 'phishing' seguirá siendo una amenaza creciente en 2020".

Fuente: Europa Press

CIBERATAQUES. Ciberdelincuentes usan credenciales robadas en 60% ataques a empresas.

La división de seguridad de la compañía IBM, IBM X-Force, ha informado de que los ciberdelincuentes utilizaron credenciales robadas y vulnerabilidades de software conocidas para el 60 por ciento de los ataques a empresas en 2019.

De esta forma, según IBM X-Force, los ciberdelincuentes han tenido que hacer un menor uso del engaño para acceder a la información.

En el informe llamado 'Index 2020', la compañía afirma que el uso de credenciales previamente robadas supone el 29 por ciento de los casos. Con esta estrategia, los atacantes "ya no necesitan invertir tiempo en idear formas sofisticadas", sino que pueden entrar en una red "simplemente utilizando recursos conocidos, como por ejemplo iniciando sesión con credenciales robadas", según ha indicado la vicepresidenta de IBM X-Force Threat Intelligence, Wendi Whitmore.

Por ello, Whitmore advierte de que para mejorar la protección y privacidad de los datos de los usuarios es "esencial" utilizar medidas como el inicio de sesión único.

Según el estudio, los ciberdelincuentes explotaron las vulnerabilidades en el 30 por ciento de los incidentes analizados, en comparación con el 8 por ciento el año anterior.

IBM ha señalado que cerca del 85 por ciento de los más de 8.500 millones de archivos comprometidos en 2019, se debieron a sistemas y servidores cloud mal configurados.

31% DE EFECTIVIDAD DEL 'PHISHING' EN 2019

Sin embargo, los ataques de 'phishing' -en los que los cibercriminales se hacen pasar por una compañía para hacerse con los datos de los usuarios y sus cuentas- en 2019 tuvieron éxito únicamente un 31 por ciento de las ocasiones, mientras el año anterior supusieron cerca de la mitad.

Según IBM, los atacantes se hacen pasar por marcas de confianza de los consumidores y suplantan a empresas de tecnología, redes sociales y plataformas de 'streaming'.

Entre las diez principales marcas suplantadas se encuentran Google y YouTube, que han sido las que más se han visto afectadas, concretamente un 60 por ciento de los casos, seguidos por dominios de Apple (15 por ciento) y Amazon (12 por ciento). Facebook, Instagram y Netflix también se encuentran en la lista, aunque se han visto menos afectadas.

"Con un conjunto total de casi 10.000 millones de cuentas, las diez principales marcas suplantadas que aparecen en el informe ofrecen a los atacantes un amplio número de objetivos, lo que aumenta la probabilidad de que un usuario desprevenido pueda hacer clic en un enlace aparentemente inocente, pero fraudulento", recalca la compañía.

El informe también destaca que el comercio minorista es uno de los sectores más atacados por ciberdelincuentes, convirtiéndose en la segunda industria que más ataques ha sufrido en 2019, detrás de los servicios financieros.

Asimismo, América del Norte y Asia fueron las regiones que más ataques registraron en 2019 y se expusieron más de 5.000 y 2.000 millones de archivos respectivamente.

Fuente: Europa Press

CIBERCRIMEN. Instalan malware en dispositivos de soldados israelíes

Un grupo de cibercriminales ha conseguido infectar los dispositivos móviles de varios soldados israelíes utilizando aplicaciones de chat falsas.

Para lograr instalar las aplicaciones maliciosas en los dispositivos móviles de los soldados, los atacantes se hicieron pasar por chicas jóvenes y atractivas, que les enviaban imágenes a las víctimas y les pedían que instalasen el malware.

Estas aplicaciones aparentaban ser aplicaciones de chat similares a Snapchat, que supuestamente las chicas utilizarían para seguir enviando fotos intimas a los soldados.

Hamas created fake social media profiles, using photos including this one, in an attempt to hack the phones of IDF soldiers.

What Hamas didn’t know was that Israeli intelligence caught onto their plot, tracked the malware & downed Hamas’ hacking system.#CatfishCaught

— Israel Defense Forces (@IDF) February 16, 2020

Se estima que podrían ser unos cien soldados los que podrían haber sido infectados por este malware, que han sido llamados para examinar sus dispositivos y eliminar las aplicaciones maliciosas.

Estas apps, llamadas «GrixyApp«, «ZatuApp«, y «Catch&See«, tenían incluso una página web para ser descargadas, lo que hacia aún más sencillas las labores de ingeniería social para que las víctimas acabasen instalando la aplicación.

El malware instalado se trata de un troyano móvil de acceso remoto (MRAT), que una vez instalado en el dispositivo de control total del sistema a sus atacantes.

La conexión con el servidor de control se realiza a través del protocolo MQTT, que esta pensado para utilizarse en comunicaciones entre dispositivos IoT debido a lo ligero que es. Entre los datos recopilados y enviados al servidor de control se encuentra: el número de teléfono, información GPS, ficheros almacenados y SMS.

Debido a la forma de realizar el ataque, la investigación apunta al grupo militar Hamas como el posible responsable del ataque.

Las imágenes de las chicas parecen haber sido editadas, por lo que hace más complicado encontrar la fuente y quiénes son.

Más información:

BleepingComputer: https://www.bleepingcomputer.com/news/security/hacker-group-catfishes-israeli-soldiers-into-installing-mobile-rat/

Fuente: Hispasec

“GHOST IN THE SHELL”: Microsoft investiga los ataques web

Microsoft, a través de una entrada en su blog, ha revelado los resultados de una investigación en la cual asegura detectar una media de 77.000 “web shells” en alrededor de 46.000 máquinas distintas.

La investigación se ha llevado a cabo a través de tres ramas del gigante de Redmon: Detection and Response Team (DART), Microsoft Defender ATP Research Team y Microsoft Threat Intelligence Center (MSTIC). Dicha investigación comenzó a través de la contratación del servicio DART por parte de un sector público que detectó que tenía mal configurado uno de sus servidores; lo que encontraron fue una “web shell” en la máquina.

Una “web shell“ (más conocida como “shell” a secas) es un programa o script malicioso que introduce un atacante en una máquina (servidor) comprometida. Este script o programa proporciona al atacante acceso remoto al servidor, así como una interfaz web para ejecutar el código deseado en el servidor comprometido. Las acciones que se pueden llevar a cabo van desde realizar acciones básicas como manipular ficheros, hasta facilitar un terminal en el cual se pueden ejecutar comandos más avanzados.

Estas shells son introducidas por los atacantes en los servidores a los que previamente han conseguido un acceso, ya sea por medio de una vulnerabilidad (conocida o no) en el servidor objetivo, ingeniería social o fallas de configuración en la seguridad. Estas shells, para ampliar su impacto, suelen estar escritas en un lenguaje que entienden casi todos los servidores como puede ser ASP, PHP, JSP, etc.

Esta investigación realizada por el equipo de Microsoft ha desvelado que el uso de shells está muy extendido, llegando a un promedio de  77.000 aplicaciones web maliciosas en tan solo 46.000 máquinas.

De esto último podemos sacar como conclusión final que, a pesar de la concienciación in crescendo en materias de ciberseguridad, la seguridad general de las máquinas en la actualidad sigue siendo bastante mejorable.

Más información:

Ghost in the shell: Investigating web shell attacks https://www.microsoft.com/security/blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks/

Fuente: Hispasec

ESTAFAS. Nueva técnica, usar tarjetas de crédito caducadas para compras 'online'

Los ciberestafadores pueden utilizar números de tarjetas de crédito caducadas para realizar compras por Internet y enviar los productos a la dirección del titular de la tarjeta para luego recogerlos, en principio sin que se percate de esta estafa.

Las tarjetas bancarias añadidas por los usuarios en cualquier plataforma para realizar compras 'online', como por ejemplo Amazon, pueden verse comprometidas incluso si están caducadas.

Esto se debe a que si un comerciante tiene un acuerdo con un emisor de tarjetas y acepta arriesgarse, "pueden darles luz verde para utilizar tarjetas que técnicamente no se consideran válidas", según ha explicado el experto en consumo Clark Howard al portal especializado Life Hacker.

"El sistema está establecido sabiendo que puede haber algún fraude", ha señalado Howard, añadiendo que el riesgo que se asume es muy pequeño comparado con la cantidad de ingresos que puede tener una página web al permitir compras de clientes que no han actualizado su información de pago.

Además, Howard ha recalcado que las personas que participan en estas estafas por Internet "generalmente saben qué compañías están dispuestas a asumir el riesgo, como Amazon, y cuáles no".

Una vez el estafador encuentra una tarjeta caducada que funciona, hace un pedido al nombre del titular y va rastreando cada paso del paquete. Cuando llega, el estafador o uno de sus compinches recogerá el pedido. Sin embargo, si llegan a despistarse, los usuarios titulares de la tarjeta empezarán a recibir productos que no han comprado.

Este fraude es similar a uno conocido como 'brushing', por el que un vendedor 'online' externo de una plataforoma como Amazon compra sus propios productos a través de cuentas de compradores falsas, mientras los productos se envían a una dirección real. Después, el vendedor escribe una reseña positiva sobre su artículo desde la cuenta del comprador falso, pero bajo la marca de 'compra verificado'. Con esta técnica, puede impulsar su clasificación.

Para evitar este tipo de fraudes, los expertos recomiendan, como explica Howard, utilizar una única tarjeta de crédito para realizar todos los pagos por Internet, ya que permite rastrear más fácilmente las compras y cualquier actividad sospechosa.

Asimismo, recomiendan utilizar un programa que ofrezca números de tarjeta de crédito de un único uso para cada vez que se realice una compra por Internet. De esta forma, aunque el número de la tarjeta se vea comprometido, será inútil para el estafador.

Por último, aconsejan colocar una cámara en la puerta de la vivienda o en el lugar en el que se dejen los pedidos realizados a través de Internet para ayudar a las autoridades a capturar a ladrones y estafadores.

Fuente: Europa Press

El proveedor de servicio SmarterASP.NET atacado con un ransomware

El servicio de hosting SmarterASP.NET sufría el pasado 9 de noviembre un ataque por ransomware que ha dejado sin servicio total o parcialmente a unos 440.000 clientes.

La compañía ha reconocido en un comunicado oficial el ataque y ha informado a sus usuarios que se está llevando a cabo la restauración progresiva de sus cuentas.

Por lo que han podido comprobar algunos de los usuarios que han conseguido acceder a su cuenta, sus ficheros se encontraban cifrados y con la extensión «.kjhbx».

Un usuario compartía en Twitter la nota de rescate:

Nota de rescate. Fuente @calamitatum en Twitter

Por la nota, puede tratarse de una versión de Snatch. Aunque se desconocen más detalles sobre el ataque ni cuál fue el vector de entrada.

SmarterASP.NET se une a la lista de empresas de hosting golpeadas por un ransomware. A lo largo de este año, compañías como A2 y iNSYNQ se han visto afectadas por esta amenaza.

Por el momento no existe ninguna forma de descifrar los archivos cifrados por Snatch. No sabemos si la compañía ha optado por pagar el rescate o está utilizando copias de seguridad para restaurar sus sistemas.

Más información:

http://status.smarterasp.net/post/your-hosting-accounts-are-under-attack

Fuente:Hispasec

Filtrados datos de ZoneAlarm Forum

El foro dedicado al producto de seguridad ZoneAlarm de Check Point parece haber sido hackeado tras aprovechar una vulnerabilidad parcheada a finales de septiembre y los detalles de los miembros del foro se han hecho públicos.

CheckPoint dice que su producto ZoneAlarm ha sido utilizado por casi 100 millones de usuarios en todo el mundo, pero el incidente solo parece afectar a unos pocos miles de usuarios. El foro ZoneAlarm tiene aproximadamente 4.500 miembros, pero Breach Report afirma haber encontrado un archivo que contiene 5.175 registros filtrados.

El archivo contiene direcciones de correo electrónico, valores hash de contraseña, fechas de nacimiento y direcciones IP de usuarios. El foro ZoneAlarm funciona con el software del foro vBulletin y Breach Report sugirió que los piratas informáticos pueden haber obtenido los datos después de aprovechar la vulnerabilidad CVE-2019-16759, una vulnerabilidad de vBulletin que se parcheó a finales de septiembre.

La falla habría sido explotada antes del lanzamiento de un parche y algunos afirmaron que su existencia se conocía desde hacía años.

Los representantes de Check Point aseguran que el equipo de ZoneAlarm contactó a las personas afectadas dentro de las 24 horas posteriores a la detección de la bracha de seguridad. La compañía llevó a cabo una investigación sobre el incidente y no confirmó que se tratara de la explotación de una vulnerabilidad de vBulletin.

Además la compañía aseguró que las contraseñas «permanecen encriptadas«, pero aconsejó a los usuarios que las cambien «como medida de seguridad».

«Es importante destacar que este sitio web está aislado de cualquier otro sitio web de Check Point y fue utilizado solo por los suscriptores registrados del foro ZoneAlarm. ZoneAlarm es una de nuestras líneas de productos más pequeñas ”, dijo Check Point a SecurityWeek por correo electrónico.

El foro ZoneAlarm no se encuentra disponible actualmente. Por otro lado, desde Hispasec recomendamos que se cambien periódicamente las contraseñas de los sitios webs en los que tengamos cuenta y recordamos la necesidad de que estos sitios webs implementen mecanismos de segundo factor de autentificación.

Más información:

• Parche de septiembre en vBulletin https://www.securityweek.com/vbulletin-patches-vulnerability-exploited-wild
• Explotación de vBulletin https://seclists.org/fulldisclosure/2019/Sep/31

Fuente: Hispasec

ONU, Cruz Roja y UNICEF afectadas por una campaña de phishing móvil

Una campaña de phishing que utilizaba certificados SSL para suplantar webs de Office 365 y capturar pulsaciones de teclado, ha afectado a varias organizaciones de ayuda humanitaria.

La campaña estaría utilizando certificados SSL para firmar páginas de phishing dirigidas contra las Naciones Unidas, Cruz Roja estadounidense, UNICEF, Programa Mundial de Alimentos y diversas organizaciones de ayuda humanitaria. Las páginas de phishing simulaban ser páginas de login de Microsoft Office 365.

¿Dónde está la novedad? Que esta vez la campaña detectaba los teléfonos móviles y una vez que los detectaba, se activaba la función de registrar y capturar lo que el usuario escribía en su teclado. A este ataque se le denomina Keylogger.

Esto ha sido posible gracias a código JavaScript que permitía identificar si se estaba utilizando un teléfono móvil para visualizar el contenido y si así era, mostraba un contenido específico en cada caso. Además, los investigadores también se dieron cuenta que los navegadores web móviles, también ayudan involuntariamente a ofuscar las URL de phishing al truncarlas, lo que dificulta a las víctimas verificar la legitimidad de las páginas.

Los propios investigadores de Lookout hicieron mención a que este ataque demuestra cómo los teléfonos móviles se han convertido en un objetivo cada vez más emergente. Los investigadores alegan a que, en parte, puede deberse a las políticas de «Trae tu propio dispositivo» (Bring Your Own Device: BYOD), pues hace difusa la delgada línea entre «lo personal y lo profesional».

La función de registrar lo que se introduce por teclado residía en el campo de la contraseña de las páginas de login, de tal forma que con un simple JavaScript, se podría guardar lo que el usuario ha introducido, en este caso su contraseña.

El simple hecho de que ataques de este tipo hayan conseguido afectar a UNICEF, ONU o la Cruz Roja estadounidense demuestra cómo ha evolucionado el phishing y cómo se está sofisticando. Para este caso, el phishing era efectivo gracias a que el propio código de la página detectaba si se trataba o no de un smartphone y en la confianza que los usuarios tienen hacia el «candado verde» que solemos ver en las webs que visitamos.

No obstante, que una web tenga el «candado verde», no implica que sea segura, sino que los datos viajan (en tránsito) cifrados. Para ejemplificarlo mejor, hemos desarrollado una pequeña demo que puede ser muy similar al ataque que estamos exponiendo.

Para este caso, se ha creado una web de login muy simple a la que se le ha añadido un certificado SSL de Let’s Encrypt. Let’s Encrypt es un tipo de certificado SSL gratuito que cualquiera pued einstalar en su servidor utilizando el certbot y especificando su dominio. Su instalación es sencilla, rápida y totalmente gratuita, lo que demuestra que, no por tener un candado verde en la web, implica que la web sea segura «per se».

Al introducir los datos, registra todo lo que escribimos (incluida la tecla de Enter) en un archivo que se ha especificado previamente. Este ejemplo es una evidencia más de cómo de fácil lo pueden tener los cibercriminales a la hora de elaborar sus ataques para obtener información personal o confidencial.

Por otro lado, gran parte de los certificados emitidos por el creador de esta campaña de Phishing contra organizaciones de ayuda humanitaria ya han están caducados.

Se recomienda que nunca se introduzcan datos personales tales como contraseñas o tarjetas de crédito en webs sospechosas o de las que no nos fiemos. Para garantizar que estamos ante una web benévola, podemos comprobar que el certificado emitido sea realmente de la entidad o de alguna entidad certificadora de fiar. En caso de seguir teniendo dudas, siempre se puede consultar con la empresa u organización para cerciorarnos de la validez de una determinada URL y además, alertar a la empresa afectada de una posible campaña de phishing contra ellos.

Más información

U.N., UNICEF, Red Cross Under Ongoing Mobile Attack https://threatpost.com/un-unicef-red-cross-mobile-attack/149556/ 

Fuente: Hispasec

WHATSAPP. Espían a funcionarios de países aliados de EEUU a través de la red social.

Funcionarios de alto rango de gobiernos de varios países aliados de Estados Unidos fueron blanco este año de un software de piratas informáticos que utilizó WhatsApp para controlar sus teléfonos móviles, dijeron personas que están al tanto de la situación.

Fuentes con conocimiento de la investigación interna de WhatsApp sobre la violación de seguridad dijeron que una porción “significativa” de las víctimas conocidas son funcionarios de alto perfil del gobierno y el ejército de al menos 20 países en cinco continentes.

El ataque informático contra un número mayor de teléfonos inteligentes de funcionarios gubernamentales de alto rango que el previamente reportado sugiere que la intrusión contra WhatsApp podría tener profundas consecuencias políticas y diplomáticas.

WhatsApp presentó una demanda el martes contra el desarrollador israelí NSO Group, responsable de una herramienta para ataques informáticos. NSO no respondió inmediatamente a una solicitud de comentarios pero antes había negado cualquier ilícito, afirmando que sus productos sólo buscan ayudar a los gobiernos a capturar a terroristas y criminales.

La compañía de mensajería propiedad de Facebook Inc alega que NSO Group creó y vendió una plataforma de piratería que explota una falla en los servidores de WhatsApp para ayudar a sus clientes a entrar en los teléfonos de al menos 1.400 usuarios.

Si bien no está claro quién utilizó el software para atacar los teléfonos de las autoridades, NSO dice que vende su herramienta exclusivamente a clientes gubernamentales.

Algunas de las víctimas están en Estados Unidos, México, Emiratos Árabes Unidos, Bahréin, Pakistán e India, dijeron las fuentes. Reuters no pudo verificar si las víctimas de esos países incluían funcionarios gubernamentales.

En los últimos años, investigadores de ciberseguridad han determinado que los productos de NSO fueron utilizados contra diversos objetivos, incluidos manifestantes en países de gobierno autoritario.

Un grupo de investigación independiente que trabaja con WhatsApp, llamado CitizenLab, dijo que al menos 100 de las víctimas son periodistas y disidentes, no criminales.

Fuente: Reuters.

INCIBE. Investiga el ciberataque de 'ransomware' que afecta a varias empresas españolas

El Instituto Nacional de Ciberseguridad (INCIBE-CERT) investiga actualmente un ciberataque a través de 'ransomware', un tipo de virus que encripta los archivos y exige el pago de rescates para recuperarlos, que afecta este lunes a varias empresas españolas y que se ha relacionado con una campaña de 'spam' masivo.

INCIBE ha asegurado que su equipo de respuesta de ciberseguridad trabaja "en estos momentos en la mitigación y recuperación del incidente en coordinación con las empresas afectadas y las empresas de ciberseguridad que les dan soporte", así como con "el resto de organismos públicos nacionales", como ha confirmado en un comunicado la institución, dependiente del Ministerio de Economía y Empresa a través de la Secretaría de Estado de Avance Digital.

Para evitar este tipo de ataques, que cada vez resultan más rentables para los delincuentes, INCIBE recomienda no pagar nunca el rescate, ya que este no garantiza la recuperación de los archivos, sino reportarlo al correo incidencias@incibe-cert.es acompañado de capturas de pantalla y dos archivos infectados.

Además, si la incidencia afecta a datos de carácter personal, la empresa debe informar de ello a sus clientes en un plazo de 72 horas, como establece el Reglamento General de Protección de Datos (RGPD) que entró en vigor en 2018.

POSIBLE CAMPAÑA DE SPAM

La compañía de ciberseguridad Panda Security ha comentado que para este "ataque masivo en España" existen tres posibles vías de entrada. El primero de ellos es que se trate de una campaña de 'spam'.

La empresa ha tenido acceso a la nota de rescate recibida por los clientes externos afectados, y ha asegurado que tiene un alto grado de similitud con la usada por el 'ransomware' BitPaymer, utilizado para campañas de envío de 'spam'.

"Las víctimas podrían ser empresas que se vieron afectadas por algunas de las campañas de SPAM que se lanzaron las semanas previas, cuyo objetivo era infectar las máquinas con el malware EMOTET", ha explicado Panda, aunque por el momento njo dispone de confirmación.

Las otras dos posibilidades que se barajan es que el ataque se deba a la vulnerabilidad BlueKeep, que afecta a Procolo de Escritorio Remoto de Windows y que fue parcheada en mayo por Microsoft, o bien que se trate de una vulnerabilidad en Microsoft Teams, que usa el proceso para descargar y ejecutar un 'malware'.

EMPRESAS IMPLICADAS

A través de un comunicado, la cadena SER ha confirmado que ha sido una de las afectadas y que ha sufrido una "afectación grave y generalizada de todos sus sistemas informáticos" a causa del virus, lo que le ha llevado a desconectarlos.

La consultora Accenture ha confirmado a Europa Press que no se ha visto afectada por el ataque a pesar de la existencia de rumores previos, algo que también ha hecho KPMG en Twitter.

Fuente: Europa Press.

CIENCIA FICCIÓN REAL. Investigadores descubren que es posible dar órdenes silenciosas a altavoces inteligentes con un láser

Un grupo de investigadores de la Universidad de Electrocomunicaciones de Tokio (Japón) y la Universidad de Michigan (Estados Unidos) ha descubierto que se pueden controlar los altavoces inteligentes con un láser incluso a más de 105 metros de distancia y poder hackear cualquier sistema inteligente al que el dispositivo esté conectado.

Los investigadores descubrieron que podían controlar dispositivos como el Asistente de Google, Alexa o Siri apuntando un láser al micrófono del altavoz para que realizase acciones como encender o apagar las luces, abrir puertas e incluso encender un coche como explican en su página web. Estas acciones se harían mediante órdenes silenciosas, a través de la luz.

"Esto abre una clase completamente nueva de vulnerabilidades. Es difícil saber a cuántos dispositivos afecta ya que es un problema muy básico." ha declarado Kevin Fu, profesor de la Universidad de Michigan y uno de los investigadores a The New York Times.

Descubrieron que el micrófono de los altavoces inteligentes responde a la luz de láser como si fuera sonido, concretamente, por una pequeña pieza llamada diafragma que se mueve cuando recibe un sonido. Encontraron que mediante el láser podían emular el movimiento del sonido y hacer que el sistema actuara como si hubiese recibido una orden. En sus pruebas, han conseguido replicarlo incluso a más de 105 metros de distancia.

Para solucionar este problema, los investigadores afirman que se tienen que rediseñar los micrófonos. En su estudio, recogen una posibilidad, mediante el empleo de varios micrófonos en lugar de uno para recoger el sonido, ya que un láser afecta solo a un micrófono. También sugieren reducir la cantidad de luz que recibe el diafragma mediante materiales opacos.

Otro de los investigadores, el profesor Daniel Genkin, ha dado una serie de pautas para evitar que ataquen a nuestro dispositivo. Así, si se tiene un altavoz inteligente es mejor mantenerlo alejado de la vista de las personas que están en el exterior. Además, desaconseja dar al altavoz permiso y acceso a aquellas acciones a las que no se quiere otras personas puedan tener acceso.

Fuente: Europa Press.

Hackers vinculados con China espían mensajes SMS con el malware MessageTap

Hackers patrocinados por China están atacando las redes de telecomunicaciones para interceptar los mensajes SMS que contienen palabras clave que giran en torno a los disidentes políticos.

Los investigadores han descubierto un nuevo malware para espionaje utilizado por el grupo relacionado con China APT41. El malware intercepta el tráfico del servidor SMS de telecomunicaciones y detecta ciertos números de teléfono y mensajes SMS, especialmente aquellos con palabras clave relacionadas con disidentes políticos chinos.

La herramienta de espionaje, llamada MessageTap, fue descubierta por FireEye Mandiant durante una investigación en 2019 sobre un grupo de servidores Linux dentro de una red de telecomunicaciones no especificada; estos operaban como servidores del Centro de Servicios de Mensajes Cortos (SMSC). En las redes móviles, los SMSC son responsables de enviar mensajes SMS a un destinatario previsto o de almacenarlos hasta que el destinatario se haya conectado.

«La herramienta fue desplegada por APT41 en un proveedor de redes de telecomunicaciones en apoyo a los esfuerzos de espionaje chino», dijeron los investigadores de FireEye Raymond Leong, Dan Pérez y Tyler Dean, en un informe el jueves. «Las operaciones de la APT41 han incluido misiones de ciberespionaje patrocinadas por el estado, así como intrusiones por motivos económicos. Estas operaciones han abarcado desde 2012 hasta la actualidad».

En este caso, el malware fue visto interceptando el tráfico de la red para leer el contenido de los mensajes SMS, captar los números de identidad del suscriptor móvil internacional (IMSI), así como acceder a los números de teléfono de origen y destino de las llamadas telefónicas. Los investigadores dijeron que estos datos robados – en particular los números del IMSI – muestran la «naturaleza altamente dirigida de esta ciber-intrusión».

Diagrama del funcionamiento de MessageTap. Por fireeye.

MessageTap se carga inicialmente en los servidores a través de un script de instalación. Una vez instalado, el malware busca dos archivos: keyword_parm.txt y parm.txt.

Estos dos archivos contienen instrucciones para que el malware apunte y guarde el contenido de determinados mensajes SMS. A partir de ahí, el malware intenta leer los archivos de configuración cada 30 segundos.

«Ambos archivos se borran del disco una vez que los archivos de configuración se leen y cargan en la memoria», dijeron los investigadores. «Después de cargar la palabra clave y los archivos de datos telefónicos, MessageTap comienza a supervisar todas las conexiones de red hacia y desde el servidor. Utiliza la biblioteca libpcap para escuchar todo el tráfico y analizar los protocolos de red empezando por las capas Ethernet e IP».

A continuación, el malware extrae del tráfico de la red el contenido de los datos de los mensajes SMS utilizando determinadas palabras clave, así como determinados números IMSI (utilizando números predeterminados en una lista imsiMap) y la fuente y los destinos de los números de teléfono (con números predeterminados en la lista phoneMap).

«Si un mensaje SMS contenía un número de teléfono o un número IMSI que coincidiera con la lista predefinida, se guardaba en un archivo CSV para su posterior robo por parte del responsable de la amenaza.»

«Del mismo modo, la lista de palabras clave contenía elementos de interés geopolítico para la recopilación de información de la inteligencia china. Ejemplos saneados incluyen los nombres de líderes políticos, organizaciones militares y de inteligencia y movimientos políticos en desacuerdo con el gobierno chino. Si algún mensaje SMS contenía estas palabras clave, MessageTap guardaba el mensaje SMS en el archivo CSV.»

APT41 es un grupo que los investigadores han encontrado históricamente (desde 2012) llevando a cabo actividades duales de espionaje patrocinadas por el estado chino y actividades personales motivadas financieramente. Los investigadores, por su parte, afirmaron que este malware recién descubierto demuestra que la APT41 (y otros grupos de hacking patrocinados por el estado) no se ralentizarán en un futuro próximo. Con esto en mente, es importante que los «individuos altamente atacados» – como disidentes, periodistas y funcionarios – adopten precauciones de seguridad adicionales, según el análisis.

«El uso de MessageTap, la selección de los mensajes de texto sensibles y los registros de detalle de llamadas a escala son representativos de la naturaleza evolutiva de las campañas de ciberespionaje chinas observadas por FireEye», dijeron los investigadores. «La APT41 y otros múltiples grupos de amenazas atribuidos a actores chinos promovidos por el estado han incrementado el número de entidades de datos desde 2017.»

Más información:

• FireEye https://www.fireeye.com/blog/threat-research/2019/10/messagetap-who-is-reading-your-text-messages.html
• ThreatPost https://threatpost.com/china-hackers-spy-texts-messagetap-malware/149761/

Fuente: Hispasec

Datos de 92 millones de brasileños se subastan en la Deep Web

De acuerdo a una publicación de BleepingComputer, se han encontrado los datos de 92 millones de brasileños expuestos y a la venta en foros de la Deep Web.

Tal y como se especifica en el reporte, la subasta estaba disponible en múltiples mercados de la Deep Web a la que solamente se podía acceder pagando una pequeña cantidad de dinero o mediante invitación de alguien que tuviera una cuenta activa en dichos portales webs.

16 GB de datos de usuarios brasileños clasificados en una base de datos SQL que se ofrecía por una puja inicial de 15.000 dólares y una sobrepuja de 1.000 dólares adicionales.

Esta base de datos contenía: nombres, fechas de nacimiento, IDs de contribuyentes y alguna información extra sobre direcciones, el sexo o el nombre de la madre de cada víctima.

El origen de la base de datos no es claro, aunque por la información del ID del contribuyente u otra información única de la persona, hace pensar que el origen sea una base de datos gubernamental de aproximadamente 93 millones de ciudadanos que actualmente se encuentran empleados.

La fuga de información es bastante grande, y más, cuando se observa que, según datos demográficos como los presentados en la anterior captura, la población de Brasil es de unos 210 millones de personas mientras que la fuga es de 92 millones (más del 43% de la población). Es decir, casi la mitad de la población brasileña se ha podido ver afectada por esta subasta de información personal.

Bajo el Artículo 18 de la Ley General de Protección de Datos de Brasil, los ciudadanos tienen derechos asociados a sus datos, por lo que las organizaciones tienen el deber de asegurar que su información está anonimizada, redactada y eliminada. Desafortunadamente, esta Ley no entra en vigor hasta agosto de 2020.

Jonathan Deveaux , Jefe de Protección de Datos empresariales con Comforte AG considera que en el futuro, las empresas deberían depender más de métodos como los de tokenización para proteger datos de los ciudadanos. Tal y como Jonathan Deveaux dijo:

«Una buena práctica emergente entre muchos líderes tecnológicos es adoptar un enfoque de seguridad centrado en los datos, que protege los datos personales con tecnología de anonimización como la tokenización.

La tokenización no solo permite que las organizaciones cumplan con los requisitos de cumplimiento y permanezcan seguras, sino que la tokenización también permite que las organizaciones adopten de forma segura la tecnología moderna, como la computación híbrida o en la nube».

Esta fuga de información sirve para mantener una actitud escéptica con respecto a cómo se están realizando, por ejemplo, las transferencias bancarias en compras online, puesto que con la última normativa PSD2, muchas entidades bancarias han optado por utilizar SMS para acceder o verificar pagos, algo que posiblemente no sea lo más seguro (sobre todo teniendo en cuenta noticias como las de SimJacker).

Más información:

• Publicación de BleepingComputer https://www.bleepingcomputer.com/news/security/details-of-92-million-brazilians-auctioned-on-underground-forums/
• Datos demográficos de Brasil https://es.statista.com/estadisticas/635252/poblacion-total-de-brasil-en-2020/
• Normativa PSD2 https://www.xataka.com/empresas-y-economia/adios-a-tarjetas-coordenadas-asi-afecta-a-nuestro-banco-normativa-psd2-que-cambios-llegan-al-pagar-internet
• SimJacker https://www.forbes.com/sites/zakdoffman/2019/09/12/new-spyware-warning-as-1-billion-mobiles-at-risk-from-nasty-simjacking-attack/#73f98f1cb320

Fuente: Hispasec

'PHISHING'. El WhatsApp de Albert Rivera, hackeado

El político de Ciudadanos acudió el pasado viernes a la Guardia Civil para denunciar que alguien había robado sus claves de WhatsApp

Albert Rivera denunció el pasado viernes que su cuenta de WhatsApp fue hackeada. Según publica El Mundo, el líder de Ciudadanos presentó una denuncia ante la Guardia Civil hace tres días y desde entonces, la Unidad de Delitos Telemáticos de la UCO está investigando el incidente. Los atacantes habrían tenido acceso a la agenda de contactos del político y a todas sus conversaciones. Además, podrían haber enviado y recibido mensajes haciéndose pasar por él. ¿Pero cómo podría alguien hacerse con las claves de Rivera y entrar en la app de mensajería?

Los servidores de WhatsApp se encuentran en Oregón (EEUU), junto a los de Facebook. La compañía no tiene acceso a los mismos y las conversaciones van cifradas de extremo a extremo, por lo que es altamente improbable que alguien se haya colado allí y conseguido acceso a la cuenta de Rivera. Pero fuentes del partido confirmaron al diario digital "diario.es" que se ha tratado de un ataque de phishing, el método más común para hacerse con las credenciales de una cuenta, ya sea bancaria, de una red social o de un servicio de mensajería.

Recomendación 

Siempre se debe tomar una serie de precauciones para prevenir un ataque de phishing, como son:

• Tener acutualizado tanto el dispositino como  la "app". 
• Eliminar y monitorizar qué "apps" del teléfono pueden estar enviando datos sin que lo sepamos.
• Y sobre todo activar la verificación en dos pasos.

Fuente: El Diario.es

CIBERSEGURIDAD. Los peligros de las plataformas de videojuegos online

Los cambios en la industria del videojuego, que apuntan a un progresivo traslado de los usuarios del formato físico a las plataformas de distribución digital de videojuegos -ya sea en PC o para consolas- y a las plataformas de 'streaming' (con actores tan importantes como Google o Apple entrando en el negocio) despiertan dudas sobre si las empresas están lo suficientemente preparadas como para hacer frente a las amenazas en el área de la ciberseguridad.

El pasado mes de agosto se descubría una vulnerabilidad en la mayor plataforma de distribución de juegos para PC, Steam, que ha puesto en peligro directo al 72 por ciento de sus más de 100 millones de usuarios y en riesgo indirecto a otros 24 millones. Esta vulnerabilidad permitiría a un atacante conseguir instalar 'software' de forma arbitraria y, eventualmente, hacerse con el control del equipo o robar información del propietario.

Valve, la compañía propietaria de Steam, aseguró hace unas semanas que esta vulnerabilidad está solucionada, pero los expertos en seguridad aún tienen dudas al respecto. Esta brecha fue descubierta por el investigador de seguridad Vasily Kravets, quien detalla que aprovechando este fallo de la plataforma un atacante podría utilizar una cuenta de usuario sin privilegios para conseguir acceso de administrador en el equipo y realizar un ataque.

"Es fundamental que los usuarios de Steam en Windows actualicen a la última versión beta del cliente para protegerse de esta vulnerabilidad. Este tipo de brechas de seguridad nos recuerdan que es fundamental tomar un papel activo a la hora de proteger la seguridad y privacidad en nuestros dispositivos, incluyendo mantener actualizados el software y el sistema operativo", explica Harold Li, vicepresidente de ExpressVPN.

RECOMENDACIONES DE SEGURIDAD

Express VPN, compañía que ofrece a los usuarios herramientas para encriptar el tráfico web de y enmascarar sus direcciones IP, ha lanzado una serie de recomendaciones para que los 'gamers' tomen precauciones y eviten que un atacante pueda estar en disposición de sacar beneficio de esta vulnerabilidad.

De esta forma, recomienda instalar un antivirus para detectar si se ejecuta un código malicioso en el equipo, así como mantener todos los programas actualizados -incluido el sistema operativo- y asegurarse de que el cortafuegos está activado.

También insta a comprobar que el 'router' doméstico está actualizado y utilizar una conexión VPN para añadir un nivel de seguridad adicional, dificultando así que un atacante pueda utilizar esas conexiones para conseguir acceso al equipo y explotar la vulnerabilidad.

ANTE UN NUEVO PANORAMA

   El sector de los videojuegos está poco a poco adoptando el modelo de negocio que tanto éxito ha dado a plataformas como Netflix o HBO. De momento, el sistema de descarga online para jugar en el ordenador o la consola es el más efectivo (aquí Steam es el líder del mercado para PC), pero con la inminente llegada del 5G a los hogares españoles las plataformas de 'streaming' desde la nube por suscripción cobrarán mayor protagonismo.

En este campo aparece con fuerza Google con su plataforma Stadia, un servicio de suscripción para videojuegos que hace uso de los centros de datos de la compañía estadounidense para retransmitir videojuegos a gran calidad. Las últimas noticias apuntan a que Amazon también prepara un servicio para jugar 'online' desde un Fire TV, mientras que Apple anunciaba en su última presentación un servicio para disfrutar de un catálogo de juegos en sus dispositivos.

Este cambio de paradigma, con el gran salto que supone pasar del CD -o el viejo cartucho- a los servicios 'online', dispara las alarmas. La ciberseguridad va a ser un elemento clave en estos nuevos modelos para seguir garantizando la privacidad y la protección de los 'gamers', por lo que tanto las empresas como los propios usuarios tienen que poner de su parte para poner barreras a los cibercriminales ante amenazas como las vividas recientemente.

Fuente: Europa Press