Agosto es un mes en el que la mayoría está disfrutando de las vacaciones pero, en el mundo de la ciberseguridad es uno de los meses más importantes ya que se celebran los congresos más importantes a nivel mundial como son BlackHat USA y Defcon en la ciudad de Las Vegas. Es durante esas fechas cuando se publican investigaciones muy interesantes que nos impactan directa o indirectamente a la gran mayoría de nosotros, investigaciones que desde ESET no nos hemos querido perder, acudiendo en persona para oírlas de primera mano e incluso, hablar con los investigadores.
Al calor de las conferencias en Las Vegas
Tanto en Black Hat USA como en
Defcon se trataron muchos temas diferentes, desde las amenazas clásicas
dirigidas a ordenadores domésticos y corporativos como a todo tipo de
dispositivos conectados, incluyendo vehículos y dispositivos médicos. Pero este
año había un interés especial en todo lo relacionado con los sistemas
de votación y su seguridad en un año protagonizado por campañas electorales
tan importantes como la que se celebrará en noviembre en Estados Unidos.
Pero la investigación que más nos
interesaba por haber sido realizado por españoles y centrarse específicamente
en el sistema ferroviario español es la que cerraba la conferencia Defcon. En
su ponencia, los investigadores Gabriela García y David Melendez demostraron la
posibilidad de explotar
vulnerabilidades en el sistema ferroviario español y, de paso, llamaron la
atención para que pudieran ser corregidas. Concretamente, estos investigadores demostraron
cómo es posible replicar una baliza del sistema ASFA utilizando únicamente
información de dominio público y herramientas accesibles, para con la que un
actor malicioso podría enviar órdenes a un tren y consiguiendo, en determinadas
circunstancias, llegar a detenerlo.
Otra de las investigaciones que nos llamó la atención y que fue presentada en Black Hat USA fue la que realizaron investigadores de la Universidad Estatal de Pensilvania. Estos investigadores descubrieron un fallo en un grupo de bandas base fabricadas por Samsung, MediaTek y Qualcomm, utilizado en teléfonos fabricados por Google, OPPO, OnePlus, Motorola y Samsung. Esta vulnerabilidad en la red 5G ponía en riesgo la seguridad de los teléfonos de las marcas afectadas, ya que un atacante podría aprovecharla para espiar a usuarios sin que estos se dieran cuenta. Afortunadamente, los investigadores a los fabricantes y, a día de hoy, la mayoría de los proveedores ya ha solucionado este fallo de seguridad.
ESET descubre varias vulnerabilidades
Precisamente de amenazas dirigidas a teléfonos móviles trataron dos de las investigaciones realizadas por los expertos de ESET publicadas durante el pasado mes de agosto. Investigadores de ESET descubrieron una campaña dirigida a clientes de tres bancos checos y donde los delincuentes usaron un malware, al que nombramos NGate, con la capacidad única de transmitir datos de las tarjetas de pago de las víctimas, a través de una aplicación maliciosa instalada en sus dispositivos Android, al teléfono Android rooteado del atacante.
El equipo de investigadores de ESET descubrieron varias de estas campañas poco comunes de phishing que combinan técnicas tradicionales con el uso de las tecnologías PWAs de iOS y WebAPK de Android para instalar aplicaciones maliciosas sin el consentimiento del usuario. Para los usuarios de iOS, una acción de este tipo podría romper las medidas de seguridad implementadas por Apple. En Android, esto podría dar lugar a la instalación silenciosa de un tipo especial de APK, que en una inspección más detallada incluso parecería haber sido instalado desde la tienda oficial Google Play.
El equipo de ESET research también descubrió una vulnerabilidad de ejecución de código en WPS Office para Windows, que estaba siendo explotada por el grupo de ciberespionaje APT C-60 y dirigida a países del este de Asia. Según su web oficial, este software tiene más de 500 millones de usuarios activos en todo el mundo, lo que lo convierte en un buen objetivo para llegar a un número considerable de personas.
Incidentes en España
A pesar de que tal y como se está observando durante los últimos años en España, durante los meses de verano descienden notablemente ciertas campañas de propagación de malware que usan el email, durante la segunda quincena de agosto hemos visto como se reactivaban varias campañas de infostealers. Los delincuentes parece que están al acecho para cazar credenciales corporativas conforme los empleados se van incorporando a su puesto de trabajo tras el periodo vacacional. Así las cosas, hemos visto como los correos con supuesta facturas de proveedores han vuelto con fuerza, con la esperanza de encontrar a empleados despistados que pulsen sobre los enlaces proporcionados o abran ficheros adjuntos que comprometan la seguridad del sistema.
Las filtraciones de datos tampoco han cesado durante las últimas semanas afectando por ejemplo, a hospitales de Granada. Un ciberataque, del cual tuvimos constancia a principios de agosto, a los tres hospitales principales de la provincia habrían robado datos de los profesionales que trabajan en esas dependencias sanitarias. También habría provocado que las webs de los hospitales estuvieran caídas durante varias horas.
Radio Televisión Española se habría visto afectada por un agujero de seguridad que dejó al descubierto datos personales de opositores de este ente público. La información personal de miles de candidatos a los exámenes de oposición de RTVE habría quedado expuesta durante varios días permitiendo a cualquier usuario el acceso a un número indeterminado de inscritos a estas oposiciones.
Josep Albors