Acaba de terminar un mes de septiembre que ha estado de lo más movido en cuanto a seguridad informática se refiere. Muchos asuntos han centrado nuestra atención durante estos 30 días. Si te has perdido alguno, no te preocupes que, como siempre, aquí te traemos el resumen mensual con los hechos más destacados.
Dos han sido los temas que han centrado las noticias de seguridad durante el mes de septiembre: Shellshock, la vulnerabilidad en el intérprete de comandos Bash, incluido en un elevado número de sistemas basados en UNIX, y las filtraciones de fotos privadas de famosas que provocaron una oleada de reacciones en la red e incluso algún que otro caso de malware.
Con respecto a Shellshock, estamos ante un caso similar al de HeartBleed, que afecta a una gran cantidad de sistemas como GNU/Linux, Mac OS X o Android, entre otros, además de a un buen puñado de dispositivos de todo tipo conectados y que integrarían el conocido como Internet de las cosas.
La vulnerabilidad en Bash, el intérprete de comandos que viene por defecto en estos sistemas, permitiría la ejecución remota de código, lo que llevaría a un atacante a tomar el control del dispositivo. Todo ello debido a que una de las características de Bash se extralimita en sus funciones y sigue ejecutando código a pesar de haber finalizado de procesar una función declarada por el usuario.
La mayoría de distribuciones de GNU/Linux y Apple con su Mac OS X ya han publicado parches para solucionar este problema, pero quedan aún millones de dispositivos vulnerables que no recibirán actualización alguna, con el riesgo que eso conlleva. De hecho, al poco tiempo de hacerse pública esta vulnerabilidad se empezaron a detectar muestras de malware que la aprovechaban e incluso algún delincuente ya estaba montando su propia botnet aprovechándose de este agujero de seguridad.
Miles de fotos de famosas al desnudo
A principios de mes tuvimos la noticia de la filtración de fotos privadas de muchas celebridades en lo que se ha llamado el “Celebgate”. Estas filtraciones se han seguido produciendo en semanas posteriores y muchas de las famosas (principalmente de Estados Unidos) han visto cómo se publicaban fotos íntimas realizadas con sus dispositivos móviles.
Casi inmediatamente, el sistema iCloud de Apple fue señalado por muchos como responsable, ya que existía una vulnerabilidad en la autenticación de los usuarios que permitía utilizar fuerza bruta e ir probando varias contraseñas hasta averiguar la correcta y acceder a los datos almacenados de un usuario en concreto.
No obstante, Apple desmintió que esta vulnerabilidad hubiese tenido algo que ver en la filtración de estas fotografías y vídeos, y además hubo fotografías que se realizaron desde dispositivos distintos a los de Apple, por lo que el ataque debía de haber sido de mayor magnitud.
A día de hoy, sigue sin estar claro cómo se ha conseguido tal cantidad de material privado pero todos los indicios apuntan a que se trató de una operación realizada durante varios meses y que se usaron técnicas de phishing para suplantar y robar las credenciales de los servicios de almacenamiento en la nube de varias empresas.
Como consecuencia positiva, a raíz de este incidente muchos usuarios han empezado a utilizar sistemas de doble factor de autenticación e incluso Apple ha mejorado los que tenía. No obstante, aún no se puede decir que se haya publicado toda la información a la que los atacantes han tenido acceso, por lo que esperamos nuevas filtraciones en las próximas semanas.
A raíz de esta noticia hubo algunos delincuentes avispados que aprovecharon el revuelo formado para intentar conseguir alguna víctima. Así fue como vimos scams propagándose por Facebook que prometían la visualización de un vídeo íntimo de Jennifer Lawrence, pero que en realidad descargaban falsas soluciones de seguridad o dirigían al usuario a interminables encuestas online.
Otro ejemplo que usaba a la actriz ganadora de un Oscar y protagonista de Los juegos del hambre fue el de un troyano que, haciéndose pasar por una aplicación que descargaba vídeos íntimos de la actriz, infectaba el sistema de la víctima con una herramienta de control remoto y además lo convertía en parte de una botnet.
Malware desde webs legítimas y ciberguerra
Las webs legítimas pertenecientes a importantes empresas tampoco se libraron de verse involucradas en la propagación del malware. Java.com, DeviantART, TMZ o Photobucket estuvieron propagando amenazas durante un tiempo no porque su seguridad se hubiese visto comprometida, sino por un agujero de seguridad en una web de terceros que les suministraba publicidad y que fue aprovechado por atacantes.
Otro uso ilícito de una empresa con buena reputación para propagar malware fue el caso de Torrentlocker, un ransomware que cifra los documentos de las víctimas y que utilizan webs falsas simulando ser el sistema de rastreo de Royal Mail, el servicio de correos británico. En esas webs falsas, los usuarios se descargan un fichero comprimido que contiene el código del malware y que empieza a cifrar archivos tan pronto como se ejecuta.
Siguiendo con malware pero ya destinado a otros menesteres de más alto nivel, el pasado mes hablamos de BlackEnergy, un troyano que lleva evolucionando desde 2007 y que ha pasado de lanzar ataques DDoS, enviar spam y robar credenciales bancarias a protagonizar ataques dirigidos a instituciones y empresas de Ucrania y Polonia, tal como descubrió recientemente nuestro compañero de los laboratorios de ESET Robert Lipovsky.
La privacidad y la seguridad en móviles, siempre protagonistas
La privacidad ha tenido protagonismo durante las últimas semanas no solo por las filtraciones de fotos de famosas. Una empresa que suele estar en el punto de mira cuando se trata este tema es Facebook, la cual sorprendió al lanzar una nueva iniciativa para que los usuarios se preocupen por mejorar su configuración de privacidad en la popular red social a través de los consejos de un simpático dinosaurio azul.
Tras anunciar Apple y Google mejoras en sus sistemas de cifrado en dispositivos móviles, el director del FBI ha declarado estar preocupado por la dificultad añadida que esto supone a las agencias de seguridad gubernamentales a la hora de investigar a sospechosos. El director de esta poderosa agencia plantea la duda de qué pasará cuando no se puedan prevenir crímenes por no poder acceder a los dispositivos de posibles terroristas o pederastas, incluso con autorización judicial, aunque seguramente los usuarios tengan otro punto de vista.
Precisamente la seguridad en móviles ha visto cómo un fallo en el navegador que viene por defecto en Android podría permitir a un sitio web malicioso obtener datos privados como la dirección de email e incluso robar la sesión entera al haber copiado las cookies y suplantar así nuestra identidad. Las cifras hablan de un 75% de usuarios de Android vulnerables al usar versiones anteriores a la 4.4, que no se ve afectada.
Y como no podía ser de otra manera, tras el lanzamiento del iPhone 6 aparecieron los primeros scams que se aprovechaban de la popularidad del terminal de Apple para engañar a usuarios despistados. Mediante la creación de varias webs en redes sociales como Facebook, los delincuentes convencen a los usuarios para que se hagan fans de esa web, la compartan con sus contactos, descarguen una aplicación para participar en concursos, rellenen encuestas online y proporcionen datos privados como su número de teléfono.
Para terminar con el resumen, los más jugones estaban esperando el lanzamiento de uno de los juegos estrella del año. Estamos hablando de Destiny, el nuevo proyecto de Bungie (creadores de la saga Halo) y que ha batido récords de ventas en pocos días. Con el juego online como máximo exponente era de esperar que los servidores estuviesen repletos de jugadores durante los primeros días, pero esta experiencia se vio enturbiada por los constantes ataques de Denegación de servició que sufrieron los servidores de Destiny y también de Call of Duty: Ghosts.
Estos ataques se los atribuyeron el grupo LizardSquad, supuestamente responsables de haber dejado fuera de servicio los servidores de otros juegos online como algunos de Blizzard o la propia PlayStation Network el pasado mes de agosto. Parece evidente que la interrupción de este tipo de servicios es una de las actividades favoritas de los atacantes por la repercusión que tienen al verse afectados millones de jugadores en todo el mundo, y no creemos que la tendencia vaya a desaparecer pronto a menos que las empresas tomen cartas en el asunto.