Enero es el mes que marca el inicio de un nuevo año, nos marcamos nuevos propósitos y observamos cómo los ciberdelincuentes continúan con sus campañas maliciosas. Durante las últimas semanas hemos analizado numerosas muestras de malware, revisado investigaciones muy interesantes relacionadas con ciberataques que se producen en varias partes del mundo y descubierto nuevas filtraciones de datos que nos toquen de cerca.
La inteligencia artificial como protagonista
A finales de mes observamos uno de los terremotos financieros más destacables de los últimos años con la presentación de DeepSeek un nuevo modelo de inteligencia artificial de origen chino diseñado para competir cara a cara (y, supuestamente, con menor coste) con modelos ya establecidos de origen estadounidense.
Más allá de las implicaciones económicas que supuso la presentación en sociedad de DeepSeek, los delincuentes no tardaron en aprovechar toda la atención mediática que estaba generándose para preparar sus propias campañas maliciosas. Así pues, en pocos días empezamos a detectar webs maliciosas que imitaban al sitio web oficial de DeepSeek y que ofrecían la descarga de un fichero ejecutable malicioso.
El éxito de su presentación también atrajo la atención lo suficiente para que algunos decidieran atacar el sitio web oficial de DeepSeek con ataques de denegación de servicio. Tampoco ayudo a la empresa que, unos días más tardes se filtrase información confidencial de los usuarios y datos internos desde una base de datos expuesta a Internet.
Los otros modelos de IA tampoco se libraron de sufrir incidentes ya que se descubrieron fallos de seguridad importantes en Llama Stack de Meta. Estos agujeros de seguridad podrían permitir a un atacante ejecutar código arbitrario en el servidor de inferencia de Llama Stack a través de la deserialización de datos no confiables.
Filtraciones de datos
Si hay constantes en lo que a incidentes de ciberseguridad se refiere, las filtraciones de datos son, sin duda alguna, una de ellas. Además, en España no somos ajenos a este tipo de incidentes y todos los meses tenemos alguna noticia relacionada con este tema que afecta a un número mayor o menor de usuarios y empresas.
Así pues, durante el mes de enero pudimos ver como se filtraban datos de la aseguradora Asisa, datos que pertenecían a sus usuarios y que, en principio, contendrían información báscia para la gestión de las pólizas como el nombre, DNI e incluso el IBAN de la cuenta bancaria en algunos casos específicos.
Igual de grave fue descubrir que se estaban vendiendo en ciertos foros especializados con el tráfico de datos información de más de 160.000 militares y guardias civiles, información que fue robada el año pasado. Recordemos que esta filtración fue una de las consecuencias del incidente protagonizado por el ransomware Lockbit 3.0 a una empresa encargada de realizar reconocimientos médicos a militares y guardias civiles.
Tampoco se libran de estos incidentes las organizaciones europeas, ya que durante el mes pasado también supimos del robo de los datos personales de alrededor de 97.000 aspirantes a la policía europea. Esta información incluía los nombres de usuarios, la dirección de email, el número de teléfono, el rango/título, las organizaciones, el país, las cualificaciones profesionales, el género, etc y podría afectar a aspirantes de varios países de la Unión Europea.
Ciberataques y vulnerabiolidades
Estando en época de rebajas no es de extrañar que los delincuentes hayan vuelto a utilizar el gancho del paquete no entregado. Durante esta época el número de pedidos online aumenta considerablemente y es el momento ideal para conseguir nuevas víctimas usando estrategias ya conocidas y que han demostrado su eficacia. Usando emails haciéndose pasar por una agencia de logística se intenta engañar a los usuarios para que introduzcan los datos de su tarjeta de crédito y así poder realizar compras a su cargo o suscribiendo a la víctima a servicios online no solicitados.
Por su parte, Apple comenzó el año lanzando parches de seguridad para todos sus dispositivos, al descubrirse ataques a ciertos usuarios de iPhone siendo explotados de forma activa en versiones de iOS anteriores a iOS 17.2. Los dispositivos de Apple suelen recibir parches y actualizaciones de forma habitual pero no es normal que se lancen actualizaciones para todos ellos al mismo tiempo, lo que podría darnos una idea de la gravedad de las vulnerabilidades parcheadas.
Tampoco debemos olvidar el peligro que suponen las botnets y, más concretamente, la botnet Mirai (y sus variantes), la cual ha protagonizado varios incidentes durante los últimos meses y enero no ha sido la excepción. Esta red de dispositivos comprometidos puede ser usada para lanzar ataques de denegación de servicio a gran escala y sigue creciendo de tamaño aprovechando dispositivos vulnerables.
Investigaciones y detenciones
Por mucho que los ciberdelincuentes se crean invulnerables lo cierto es que no lo son y tanto investigadores de ciberseguridad como fuerzas policiales trabajan constantemente para poner fin a sus acciones. Como ejemplo tenemos la vulnerabilidad descubierta por investigadores de ESET, una vulnerabilidad que permite eludir el UEFI Secure Boot y que afecta a la mayoría de los sistemas basados en UEFI. La explotación de esta vulnerabilidad permitiría la ejecución de código no fiable durante el arranque del sistema, permitiendo a atacantes potenciales desplegar fácilmente bootkits UEFI maliciosos incluso en sistemas con UEFI Secure Boot habilitado e independientemente del sistema operativo instalado.
Los investigadores de ESET también anunciaron el pasado mes de enero el descubrimiento de un grupo APT alineado con China, (bautizado como PlushDaemon), y una de sus operaciones de ciberespionaje. Esta operación permitió el compromiso de la cadena de suministro del software VPN desarrollado por una empresa surcoreana en el que los atacantes reemplazaron el instalador legítimo por uno que desplegó el implante de firma del grupo, SlowStepper, el cual es un backdoor rico en funciones con un toolkit de más de 30 componentes.
Las fuerzas policiales también han trabajado duro durante las últimas semanas, lo cual les ha permitido detener en Sabadell a 12 integrantes de una organización criminal dedicada, presuntamente, a diversas modalidades de ciberestafas, entre las que se encuentran las estafas tipo smishing (sms) y vishing (llamadas), “hijo en apuros” y carding (cargos en tarjeta), obteniendo un beneficio económico superior a los 1.900.000 euros. Entre los arrestados se encuentran las personas que formaban parte de la cúpula de la organización y se identificaron a 660 personas más vinculadas a la misma que ejercían como “mulas”.
También, a finales de mes, agentes de Policía Nacional y Guardia Civil intervinieron en una operación internacional que permitió detener en Valencia a dos personas relacionadas con dos importantes foros usados por cibercriminales. Los foros Cracked y Nulled operaban a nivel internacional y ofrecían herramientas y programas basados en Inteligencia Artificial para buscar automáticamente vulnerabilidades de seguridad y optimizar los ataques informáticos.