El mes de noviembre que acabamos de dejar atrás ha sido muy prolífico en cuanto a noticias de seguridad relacionadas con varios sistemas operativos, especialmente para los usuarios de sistemas Mac OS e iPhone, que han visto cómo sus dispositivos eran el blanco de los ciberdelincuentes, pero también hemos asistido al descubrimiento de nuevas vulnerabilidades en Windows y en Android.
A principios de mes conocíamos la existencia de Wirelurker, un malware diseñado para infectar a sistemas Mac OS y Windows y para robar la información de los dispositivos con iOS (iPhone principalmente) conectados al sistema infectado. La amenaza estuvo operativa durante al menos seis meses. Se encargaba primero de infectar a los sistemas Mac OS a través de aplicaciones troyanizadas distribuidas por una tienda de terceros en China.
¿Cómo funciona? Una vez que se conecta un dispositivo iOS al sistema infectado, Wirelurker intenta instalar aplicaciones troyanizadas en el iPhone del usuario, algo que ya hemos visto en casos anteriores con dispositivos con jailbreak. La novedad reside en que, de no tener el jailbreak realizado, los delincuentes realizan una copia de algunas de las aplicaciones instaladas en el móvil, las troyaniza y las vuelve a instalar. Esto es posible debido a una vulnerabilidad conocida como Masque Attack, que permite a un atacante sustituir aplicaciones legitimas por otras falsas usando la funcionalidad “aprovisionamiento de la empresa“, saltándose las restricciones de Apple, ya que se crea un repositorio de apps aparentemente legítimo que permite sustituir casi cualquier aplicación instalada (no afecta a las que ya se encuentren preinstaladas como Safari Mobile).
Poco tiempo después de darse a conocer esta amenaza, los responsables de la misma fueron detenidos en China y se pudieron identificar 467 aplicaciones maliciosas descargadas alrededor de 350.000 veces por usuarios chinos hasta mediados de octubre, lo que da una idea del alcance que tuvo esta amenaza.
Además de Wirelurker, los usuarios de Mac también vieron cómo sus sistemas (incluyendo el reciente Yosemite) eran afectados por una vulnerabilidad conocida como Rootpipe. Gracias al investigador que la descubrió se supo que esta vulnerabilidad permitiría a un atacante sin privilegios conseguir permisos de administrador en un sistema vulnerable. Por suerte, este investigador comunicó el fallo de seguridad de forma responsable a Apple y la empresa ya se encuentra trabajando en un parche de seguridad previsto para mediados de enero.
Windows, por su parte, tuvo que enfrentarse a sus propios problemas, que vinieron de parte de la vulnerabilidad conocida como WinShock, que permitía la ejecución remota de código en todas las versiones de Windows desde Windows 95. El aprovechamiento de esta vulnerabilidad, que había permanecido oculta desde hace casi 20 años, era posible desde el lanzamiento de Internet Explorer 3.0, versión en la que se introdujo Visual Basic Script.
Poco tiempo después de que Microsoft publicase el boletín de seguridad que solucionaba esta vulnerabilidad se descubrieron los primeros ataques que la estaban explotando activamente. Los delincuentes consiguieron comprometer un popular sitio web búlgaro para instalar malware en los sistemas de aquellos usuarios que la visitaran y no tuvieran instalado el parche correspondiente.
Ataques a Wordpress y Adobe
El popular gestor de contenidos WordPress, usado por millones de blogueros en todo el mundo tuvo que lanzar una actualización de seguridad que solucionaba 23 bugs y ocho problemas de seguridad. Estos fallos podrían permitir a un atacante comprometer un sitio web que usase WordPress, introduciendo código HTML en formularios web y modificando su apariencia original o incluso provocando una denegación de servicio al verificar las contraseñas introducidas.
Por su parte, Adobe se vio obligada a publicar una actualización de su software Flash para solucionar una vulnerabilidad crítica que permitía la ejecución de código y que supuestamente había sido solucionada en octubre. No obstante uno de los exploits utilizados funcionaba igualmente por lo que Adobe tuvo que lanzar esta actualización con carácter de urgencia.
Virus para móviles
En noviembre también vimos cómo seguía evolucionando el ransomware diseñado para móviles Android con una nueva variante que utilizaba una desagradable técnica que ya vimos en sistemas de escritorio: la utilización de imágenes de pornografía infantil. Tras mostrar estas desagradables imágenes, el usuario ve cómo en su teléfono aparece un mensaje del FBI, siempre que éste se encuentre en los Estados Unidos. En caso contrario intentará instalar un falso antivirus en el dispositivo.
Por suerte para los usuarios de Android que puedan actualizar a Lollipop, Google ha incluido importantes mejoras de seguridad. Quizás la más importante ha sido el cifrado por defecto que, a partir de esta versión deja de ser algo opcional para convertirse en obligatorio, lo que mantendrá seguros nuestros vídeos, fotos y documentos privados de miradas indiscretas en caso de robo o pérdida del dispositivo, siempre que configuremos una contraseña robusta.
WhatsApp ha sido también uno de los principales protagonistas durante las últimas semanas. La inclusión del doble check azul como comprobante de que un destinatario ha visto nuestros mensajes ha causado muchas reacciones encontradas entre los usuarios del popular sistema de mensajería móvil. Los delincuentes no tardaron en aprovechar el revuelo ocasionado por esta nueva característica y empezaron a proporcionar enlaces maliciosos donde supuestamente se indicaba cómo eliminar esta funcionalidad pero que dirigían a estafas con mensajes SMS premium.
En el lado positivo, WhatsApp anunció que comenzaría a cifrar los mensajes entre terminales, una característica demandada por los usuarios desde hace tiempo y que otros sistemas de mensajería como Telegram ya incorporan. No obstante, este cifrado sólo está disponible en conversaciones entre dos usuarios que utilicen la aplicación para Android, quedándose fuera por el momento a usuarios de otros sistemas operativos móviles, conversaciones de grupos, fotos y vídeos.
Privacidad en redes sociales
Facebook anunció en noviembre cambios en su política de privacidad y además presentó una completa guía interactiva destinada a que los usuarios aprendan a configurar las opciones de privacidad adecuadamente. Así pues, en tres apartados diferentes podremos aprender a configurar lo que los demás ven sobre nosotros, cómo interactúan los demás con nosotros y lo que nosotros vemos en nuestro timeline.
También causó mucho interés la publicación en varios medios generalistas de la noticia sobre la existencia de una web rusa que recopila miles de cámaras IP en todo el mundo y que permite a quien la visite observar lo que esa cámara está visualizando. Si bien la existencia de este sitio no es algo nuevo y el número de cámaras que muestra ha descendido mucho en las últimas semanas, esta noticia sirvió para que más de un usuario propietario de una cámara IP se preocupara por la seguridad de la misma y, al menos, cambiara la contraseña por defecto.
Los jugones y, especialmente aquellos que usan la plataforma digital Steam, volvieron a ser el objetivo de los delincuentes. En esta ocasión se intentaba atraer a los usuarios con supuestas gangas en sitios de intercambio y compra/venta de objetos digitales para que instalaran un supuesto salvapantallas. En realidad este fichero contenía una amenaza que, una vez instalada, robaba los bienes digitales más preciados que tuvieran en su cuenta y los transfería a la de los delincuentes, propagándose a continuación esta amenaza mediante un enlace a los contactos de las víctimas usando el servicio de mensajería de Steam.
Grandes empresas como Sony también sufrieron el ataque de los ciberdelincuentes. A finales de mes apareció un mensaje en varios ordenadores de las oficinas de Sony Norteamérica en los que se indicaba que se había robado información confidencial de la empresa. Pocos días después empezaron a filtrarse copias de películas aún sin estrenar, hecho que, aunque no haya sido reivindicado por los atacantes, parece que fue una consecuencia directa del ataque.
Ciberataques políticos
Varios medios de comunicación internacionales, entre los que se encontraba un medio español, vieron cómo el Syrian Electronic Army aprovechaba una vulnerabilidad en el proveedor del sistema de comentarios utilizados por estos medios para mostrar un mensaje donde se podía leer “Ha sido hackeado por el Ejercito Electrónico Sirio”. Si bien no parece que este ataque haya conseguido información confidencial demuestra la capacidad de este tipo de grupos para atacar a medios de comunicación internacionales y otros objetivos similares.
La cumbre del G20 celebrada el pasado mes de octubre también fue utilizada para espiar a varias ONGs tibetanas utilizando herramientas de acceso remoto. El envío de un correo electrónico que tenía como asunto un evento organizado por el Consejo Tibetano de Australia servía de gancho para que el usuario abriera el adjunto infectado y se infectara su máquina.