Ataques contra centrales eléctricas en Ucrania y robos de información centran el inicio del año

blackenergy1

Los ciberdelincuentes no cambian de estrategia con el año y prueba de ello es que 2016 ha comenzado de la misma manera que terminó 2015: con ataques sofisticados y con objetivos cada vez más vulnerables, como el medio millón de ciudadanos ucranianos que vieron cómo las centrales eléctricas de su país sufrían cortes de luz debido a la infección de sus sistemas a través de una serie de documentos de Microsoft Office que incluían macros maliciosas. Este ataque causó mucho revuelo, especialmente por la situación geopolítica del país y por el posible origen ruso de los ataques. Sin embargo, según las investigaciones realizadas por ESET, estas afirmaciones no se pueden realizar de forma categórica. Independientemente del origen de esta amenaza, lo que ha quedado demostrado es el efecto que un ciberataque puede tener sobre la población si no se toman las debidas precauciones. “Las empresas que pertenecen al sector de las infraestructuras críticas harían bien en revisar sus políticas de ciberseguridad”, indica Josep Albors, director del laboratorio de ESET España.

Robo de información y ataques DDoS

El robo de datos también tuvo su protagonismo durante el pasado mes de enero. A finales de 2015 se detectó la presencia de malware en los ordenadores encargados de procesar los pagos de la cadena de hoteles Hyatt. Este malware fue utilizado por los criminales para robar los datos de las tarjetas de crédito de los clientes de 250 de los hoteles de la cadena en 50 países.

Por su parte, la Universidad de Virginia, en Estados Unidos, también sufrió un importante robo de datos. El 22 de enero fuentes de la universidad confirmaron la fuga de información personal alojada en sus sistemas. La técnica utilizada fue una campaña de phishing que engañaba a los usuarios para que pulsaran sobre un enlace malicioso. Los datos robados contenían información del departamento de recursos humanos e información bancaria de numerosos empleados.

A lo largo de enero también fuimos testigos de ataques DDoS o de denegación de servicio distribuido. Hacktivistas de Anonymous lanzaron ataques de este tipo contra la empresa japonesa Nissan en protesta por la caza indiscriminada de ballenas que realiza la flota pesquera del país nipón dentro de la campaña #OpWhales. Otra víctima de ataques DDoS fue la filial del banco HSBC en Reino Unido: durante varias horas, los servicios online del banco estuvieron inaccesibles, con lo que los usuarios no podían operar con normalidad. No obstante, ningún dato personal se vio comprometido y la empresa consiguió mitigar el ataque a las pocas horas de haberse iniciado.

La privacidad sigue en el punto de mira

Las últimas semanas también han sido muy interesantes en lo que respecta a la privacidad. Skype comenzó a ocultar las direcciones IP de sus usuarios. “Esta acción es importante, puesto que desde hace seis años se sabe que la IP de los usuarios es identificable y ha significado que determinados usuarios se hayan visto acosados por otros”, explica Albors.

Google puso su granito de arena también a la hora de proteger la privacidad y seguridad de los usuarios prohibiendo 780 millones de anuncios considerados dañinos. Estos anuncios contenían malware o dirigían a los usuarios a una web de phishing donde les robaban los datos. Además, Google también consiguió suspender miles de sitios con contenido engañoso como aquellos que ofrecen productos médicos de dudosa efectividad.

Un anuncio esperado es el que hizo WhatsApp al superar los mil millones de usuarios. Lo celebró dejando de cobrar el servicio de suscripción a sus usuarios. Esta noticia también provocó que muchas personas se preguntaran cómo iban a rentabilizar el servicio. “Echando un vistazo a los próximos cambios previstos en WhatsApp parece claro que la información que comparten los usuarios va a ser la nueva forma de pago”, indica Albors.

Ataques camuflados en ficheros y mails inofensivos

En enero, el laboratorio de ESET también observó un crecimiento en el malware que afecta a muchos usuarios, especialmente en Latinoamérica. Una de las técnicas que se siguen usando con bastante efectividad a la hora de propagar este tipo de ataques es la de camuflar las amenazas en archivos aparentemente inofensivos, como ficheros PDF o protectores de pantalla.

El ransomware también estuvo presente durante enero con variantes como Ransom32. Esta amenaza supone una vuelta de tuerca más al concepto de “ransomware as a service” puesto que permite a los delincuentes sin conocimientos de programación elaborar sus propias variantes. Las muestras analizadas hasta el momento vienen camufladas como un falso instalador del navegador Chrome, por lo que se ruega extremar las precauciones.

El troyano Bayrob también se ha expandido con fuerza durante diciembre y enero, siendo España uno de los países más afectados. Este troyano se adjunta a emails con asuntos llamativos y, una vez el usuario lo descarga y ejecuta, empieza a enviar información al delincuente, permitiendo también que este obtenga el control de la máquina.

Vulnerabilidades resueltas en OpenSSH, Microsoft y Adobe

No podía haber un mes sin sus correspondientes vulnerabilidades en sistemas y aplicaciones. Quizás la más destacada fue la sufrida por Open SSH, protocolo muy utilizado en comunicaciones seguras, y que podría provocar que un atacante obtuviese las claves SSH cuando los usuarios se conectasen a un servidor malicioso. Esta vulnerabilidad fue rápidamente solucionada poniendo a disposición de los usuarios una nueva versión del protocolo.

A lo largo del mes también se publicaron los parches para una vulnerabilidad en Magento, plataforma muy utilizada en tiendas online. Esta vulnerabilidad XSS permitía introducir código HTML en formularios web para alterar su apariencia original. Seguidamente, el delincuente podía proporcionar un email con código JavaScript malicioso que podía robar la sesión del administrador o crear otra cuenta con los mismos permisos, con lo que podía así acceder a datos de clientes.

Dentro de su ciclo mensual de actualizaciones, Microsoft publicó varios parches que corregían 26 vulnerabilidades en Windows, Office, Silverlight, Internet Explorer y Edge. Entre estas vulnerabilidades se encontraban varias consideradas como críticas que podrían permitir a un atacante ejecutar código malicioso sin que el usuario se diese cuenta.

Adobe también lanzó parches de seguridad para sus productos durante el mes pasado, solucionando así varias vulnerabilidades en Adobe Reader y Acrobat. Estas vulnerabilidades permitían, entre otras cosas, infectar y acceder a ordenadores con sistemas Mac OS y Windows vulnerables. Curiosamente, el software usado por Adobe para la descarga de actualizaciones también tenía una vulnerabilidad que permitía la ejecución de código no autorizado.

Josep Albors

Microsoft y Java publican actualizaciones que solucionan vulnerabilidades críticas