Se acaba 2015. Apenas quedan horas de este año que cerramos con múltiples sobresaltos en lo que respecta a la seguridad, pero antes de dar carpetazo queremos repasar las principales amenazas y vulnerabilidades que nos dejó este último mes:
Robando información privada de menores
Terminamos el año con varios incidentes de seguridad que afectaron a los más pequeños de la casa, o al menos a los datos que de ellos se almacenan en varios dispositivos y servicios online. Si ya de por sí el robo y la posterior filtración de datos supone un ataque a la privacidad de los usuarios, el problema se agrava cuando estos datos pertenecen a menores de corta edad. Estos ataques estuvieron marcados por dos incidentes que afectaron a empresas especializadas en productos infantiles. Por una parte, tenemos el ataque sufrido por VTech, empresa que cuenta con una amplia gama de dispositivos electrónicos como tablets orientados a los más pequeños. Más de 10 millones de usuarios de sus productos fueron comprometidos, siendo 6,4 millones menores. Accedieron a nombres, direcciones de correo electrónico, historial de descargas, contraseñas cifradas de los usuarios e incluso fotografías tomadas en conversaciones de chat entre padres e hijos. Los datos se robaron a través de la plataforma Learning Lodge, usada para descargar aplicaciones, siendo recomendable el cambio de las contraseñas.
Además, hasta 3,3 millones de fans de la popular Hello Kitty vieron sus datos comprometidos cuando un investigador encontró información filtrada del portal sanriotown.com. Entre esta información se encontraban los nombres completos, fechas de nacimiento, género direcciones de correo electrónico, hashes de contraseñas, solicitudes de restablecimiento de contraseñas y sus respuestas.
Estas brechas de seguridad en sistemas que almacenan información privada de usuarios menores de edad demuestran que todo tipo de información vale para los ciberdelincuentes, sin importar la edad de la víctima o si esta dispone de medios de pago que se puedan aprovechar como tarjetas de crédito.
También vimos como se confirmaban los temores que teníamos sobre uno de los juguetes más polémicos de 2015. Hello Barbie, la nueva versión de la famosa muñeca que permite la interacción con los niños (como si fuera uno de los conocidos asistentes personales al estilo de Siri o Cortana) demostró ser vulnerable a ataques que podrían interceptar estas comunicaciones e incluso enviar de vuelta mensajes ofensivos para los niños que juegan con ella.
Arruinando la navidad a los gamers
Tal y como se produjo el año pasado, varios grupos amenazaron con hacer inaccesibles los servidores de algunas de las plataformas más utilizadas para jugar online. Si el año pasado fue Lizard Squad la protagonista absoluta, este año se unieron otros dos grupos conocidos como Phantom Squad y SkidNP que amenazaron con dejar inaccesibles los servidores de Playstation Network, Xbox Live, Steam y Minecraft, entre otros.
En el momento de escribir estas líneas la peor parte se la había llevado Steam, cuyos servidores estuvieron inaccesibles de forma intermitente durante el día de Navidad. Además, un fallo en la caché de esta plataforma permitió durante un breve periodo de tiempo que algunos usuarios tuvieran acceso a ver información de otros usuarios como su email, la biblioteca de juegos o el historial de compras de ese usuarios. Responsables de Steam afirmaron que en ningún caso se pudo acceder a datos correspondientes a tarjetas de crédito.
Este tipo de ataques no son de extrañar y es que los jugones son cada vez más unas víctimas más interesantes para los ciberdelincuentes. La propia Steam declaró que 77.000 cuentas de usuarios son comprometidas cada mes, animándolos a utilizar mecanismos de autenticación más eficientes como las contraseñas de un solo uso que pueden generarse con la aplicación para móviles Steam Guard.
Amenazas y privacidad en dispositivos móviles
El uso de aplicaciones móviles de todo tipo nos aporta muchas posibilidades pero también pueden representar un nuevo vector de ataque para los delincuentes. Así lo pudimos comprobar el pasado mes cuando una aplicación pensada para ciclistas fue utilizada por los amigos de lo ajeno para robar un par de bicicletas al conocer su punto de origen y de llegada y suponer que se trataba de su casa.
La estafa clásica de los nuevos emoticonos de WhatsApp disponibles para su descarga siguiendo un enlace volvió con fuerza disfrazada de emoticonos navideños. Muchos usuarios recibieron la invitación para descargarlos supuestamente. En realidad eran redirigidos a la descarga de otras aplicaciones que nada tenían que ver con emoticonos.
En diciembre también vimos como se hacía público el descubrimiento de un nuevo troyano pensado para dispositivos de Apple como el iPhone o iPad que utilizan el sistema iOS. En este caso el troyano de nombre TinyV tan solo afectaba a aquellos dispositivos a los que se le había realizado el Jailbreak. Mediante la instalación de aplicaciones modificadas disponibles en tiendas de aplicaciones y enlaces de China los delincuentes conseguían acceso a información confidencial de las víctimas y la posibilidad de instalar malware adicional.
Malware variado para ordenadores
También vimos nuevos casos de ransomware, alguno de ellos muy dirigido a cierto tipo de usuarios como el que analizamos a principios de mes en perfecto catalán.
Aprovechando el estreno de la nueva película de Star Wars, varias aplicaciones potencialmente indeseadas intentaron engañar a los usuarios haciéndose pasar por avances o contenido exclusivo relacionado con esta popular saga. De la misma forma, entre los primeros screeners que se vieron también se pudo observar como alguien intentaba incluir código malicioso.
También durante este mes nos alegramos de anunciar que, gracias a la colaboración de ESET con Fuerzas y Cuerpos de seguridad de varios países se logró desmantelar Dorkbot, una de las botnets más veteranas y llegó a afectar a millones de usuarios en todo el mundo.
Vulnerabilidades para todos los gustos
Un repaso a las amenazas mensuales no estaría completo sin un resumen de las vulnerabilidades más importadas que fueron descubiertas y/o solucionadas durante ese mes. Entre las actualizaciones a las que estamos acostumbrados y que solucionan una importante cantidad de vulnerabilidades se encuentran las de Microsoft que, una vez más, acudió a su cita mensual y publicó boletines de seguridad para solucionar 71 fallos de seguridad en sus productos.
El conocido y extendido gestor de contenidos Joomla tuvo que publicar una actualización crítica para solucionar una grave vulnerabilidad que estaba siendo explotada por atacantes y que permitiría comprometer la seguridad de aquellas web que lo usasen. Muchos usuarios actualizaron su versión de Joomla a la más reciente pero aun quedan muchas webs vulnerables que pueden ser comprometidas.
Para terminar con las vulnerabilidades nos gustaría destacar la descubierta por dos investigadores de la UPV y que afectaba a Grub, el popular gestor de arranque utilizada en varias distribuciones de GNU/Linux. Mediante la pulsación de la tecla de retroceso 28 veces se abría una consola de recuperación que permitía ejecutar varios comandos e incluso podría llegar a saltarse el proceso de autenticación del usuario. Sin embargo, el impacto de esta vulnerabilidad es bastante limitado puesto que se necesita de acceso físico al sistema y las principales distribuciones de GNU/Linux ya la han solucionado.