Como cada mes, desde ESET España publicamos un resumen de las noticias e incidentes de seguridad más destacados durante las últimas semanas.
Ataques a Playstation Network y XBOX Live
El año 2015 ha comenzado con los coletazos de los ataques realizados durante las fechas navideñas a los servicios online de PlayStation Network de Sony y Xbox Live de Microsoft y que dejó a millones de personas sin poder utilizarlos durante las vacaciones de Navidad. Este hecho causó una gran indignación entre todos aquellos usuarios que pagan religiosamente sus cuotas para poder disfrutar de esos servicios precisamente en fechas en las que se dispone de abundante tiempo libre.
Los ataques fueron atribuidos al grupo Lizard Squad, uno de los más activos actualmente cuando se trata de realizar ataques de denegación de servicio distribuido o filtración de información confidencial. Estas actividades delictivas les hicieron ganar renombre y la atención de Fuerzas y Cuerpos de Seguridad de varios países, por lo que se realizaron varias operaciones en busca de los responsables del grupo, que terminaron con la detención de alguno de sus miembros.
Curiosamente, muchas de las amenazas parecían estar diseñadas para hacer publicidad de su servicio de ataques DDoS, servicio que alquilaban por un precio a quien estuviese dispuesto a pagarlo. El cómo un grupo de jóvenes delincuentes fue capaz de poner contra las cuerdas a los servicios online de dos gigantes como Sony y Microsoft se descubrió cuando se supo que estaban usando miles de routers caseros comprometidos y que se encontraban protegidos únicamente por usuarios y contraseñas por defecto y conocidas.
Vulnerabilidades en sistemas operativos
En enero, el laboratorio de ESET también observó vulnerabilidades para todo tipo de sistemas, muchas de ellas reveladas por el proyecto Project Zero de Google. Durante todo el mes, especialistas de Google fueron publicando vulnerabilidades en varios sistemas operativos, publicaciones que no estuvieron exentas de polémica debido a la peligrosidad de alguna de las vulnerabilidades reveladas, y al, según algunos, poco tiempo ofrecido para solucionarlas (90 días).
Empezando por Windows, durante enero se publicaron varias vulnerabilidades de diferente criticidad, algunas de las cuales fueron solucionadas en las actualizaciones periódicas que publica Microsoft cada mes. Precisamente, estas actualizaciones trajeron importantes cambios a la hora de consultar los boletines de seguridad y además nos dejó el fin del soporte técnico principal para Windows 7, el sistema de Microsoft más usado en la actualidad con alrededor del 50% de cuota de mercado cuando hablamos de sistemas Windows.
En lo que respecta a Mac OS, Google también publicó tres vulnerabilidades para el sistema de Apple. Estas vulnerabilidades permitirían ejecutar código pero necesitan de acceso físico al sistema vulnerable, lo que mitiga su criticidad. La política de revelación de vulnerabilidades de Google también fue criticada en este caso, aunque desde la empresa se asegura que el plazo dado a los fabricantes es más que suficiente.
Paradójicamente, Google tuvo que lanzar la versión 40 de su popular navegador Chrome para solucionar un total de 62 fallos de seguridad repartidos en 26 vulnerabilidades, de las cuales 17 fueron catalogadas como de alta importancia. El descubrimiento de alguna de estas vulnerabilidades fue realizado por investigadores ajenos a Google, pero que participaron en el programa de recompensas de esta empresa y recibieron dinero a cambio de informar sobre estos fallos de seguridad.
Linux tampoco se libró en enero de ver cómo una grave vulnerabilidad presente durante más de 15 años era publicada para muchas de las distribuciones más conocidas. Esta vulnerabilidad, bautizada como GHOST, permitiría a un atacante tomar remotamente el control de un sistema sin conocer las credenciales de acceso. A pesar de afectar a muchas de las distribuciones de Linux más utilizadas, el parche se publicó a las pocas horas de hacerse este anuncio. Sin embargo, el peligro se encuentra en los millones de dispositivos pertenecientes al Internet de las cosas que utilizan alguna de las distribuciones vulnerables y que no serán actualizados.
Precisamente, durante el mes pasado conocimos como un dispositivo aparentemente tan inofensivo como un cargador conectado a una toma de corriente puede ser utilizado para registrar las pulsaciones de ciertos modelos de teclados Microsoft. Esta prueba de concepto desarrollada por un investigador independiente demostró que, usando materiales muy baratos, se podrían espiar comunicaciones utilizando un dispositivo que apenas levanta sospechas.
Ransomware con especial incidencia en España
En lo que respecta al malware, durante enero vivimos una nueva oleada de infecciones por ransomware. Esta molesta amenaza que cifra los archivos almacenados en el sistema y pide el pago de un rescate para recuperarlos lleva meses causando problemas por todo el mundo. En esta ocasión, la variante CTB-Locker fue la responsable de miles de infecciones en España y otros países.
Apareció primero a mediados de mes con el mensaje anunciando el cifrado de los ficheros y las instrucciones para descifrarlo en inglés para, tan sólo una semana después, contar con una versión en español. La forma de propagación utilizada era mediante ficheros adjuntos a correos electrónicos que decían contener un fax importante o una factura de una compañía de aguas y que consiguió que muchos usuarios desprevenidos lo ejecutasen e infectasen sus sistemas.
También por correo electrónico venía una de las amenazas analizadas en el laboratorio de ESET durante el pasado mes. Se trataba de una falsa actualización de Outlook que redirigía al usuario a un supuesto reproductor de medios online y que, a su vez, intentaba que descargásemos una versión de la conocida aplicación VLC cargada de adware.
WhatsApp Plus en el punto de mira
En lo que respecta a redes sociales y servicios de mensajería, sin duda WhatsApp ha tenido un mes de enero movido. Primero por el bloqueo y posterior cierre de la conocida aplicación no oficial WhatsApp Plus, que dejó a miles de usuarios sin servicio durante 24 horas y que después fue obligada a dejar de funcionar.
Otra de las novedades lanzadas por WhatsApp fue el lanzamiento de su esperada aplicación web, con la que se permite mantener conversaciones con nuestros contactos desde el navegador de nuestro ordenador de sobremesa o portátil. Sin embargo, esta aplicación aún debe mejorar su seguridad y privacidad puesto que, al poco tiempo de ser lanzada, se descubrieron dos fallos que permitían observar las fotos de los contactos a pesar de haberlos eliminado y ver también aquellas fotografías recibidas o enviadas y posteriormente eliminadas.
A finales de mes se descubría una nueva amenaza que se propagaba por Facebook. A diferencia de casos anteriores, ésta no enviaba mensajes a los contactos de la víctima infectada, sino que colgaba un vídeo pornográfico y etiquetaba a un número de sus contactos en esa publicación. El vídeo solicitaba la descarga de una supuesta actualización de Flash Player, actualización que en realidad se trataba de un troyano con funciones de keylogger.