El mes de abril ha supuesto un claro punto de inflexión en lo que se refiere a infecciones provocadas por diferentes familias de ransomware (el malware que cifra la información almacenada en nuestros sistemas y pide un rescate para descifrarla), según apunta el laboratorio de ESET en España. Las amenazas provocadas por ransomware han causado innumerables problemas a usuarios y empresas y es más que probable que lo siga haciendo en las próximas semanas.
En concreto, dos han sido las variantes más propagadas durante el último mes. La primera de ellas es la conocida como Cryptolocker/Filecoder que se ha propagado utilizando, principalmente, falsos mensajes que suplantan a Correos de España. Muchos usuarios, convencidos de que se trata de un email legítimo, descargan la supuesta carta certificada y descubren poco después que no pueden acceder a sus ficheros.
De forma similar -aunque usando mensajes con facturas falsas y otros métodos como la descarga automática desde webs comprometidas-, otra variante de ransomware, la conocida como CTB-Locker/Elenoocka, también ha tenido porcentajes de propagación elevados durante el mes de abril. De hecho, si sumamos los porcentajes de detección de estas dos variantes, obtenidos gracias al servicio Virus Radar de ESET, el ransomware ocupa ya la segunda plaza en el ranking de amenazas de ESET.
Amenazas en móviles
Además del ransomware, los dispositivos móviles también han tenido mucho protagonismo durante abril. Precisamente durante este mes se han producido varias declaraciones por parte de Google en las que se hacía una revisión del estado actual de la seguridad en Android y se minimizaban las amenazas existentes. Por desgracia, todos los días aparecen nuevas amenazas más sofisticadas para estos dispositivos por lo que la técnica de ocultar lo evidente puede que no sea la mejor opción.
Una de las medidas de seguridad que viene implantándose con mayor o menor éxito en varios dispositivos es el lector de huellas dactilares. Esta medida, que aparentemente supone una mejora con respecto al habitual código PIN o patrón de desbloqueo, también puede ser esquivada por los atacantes y, en algunos modelos como el Samsung Galaxy S5, la información biométrica de la huella puede leerse antes de que ésta se almacene y se cifre en el dispositivo.
Un ataque curioso a dispositivos Android durante el pasado mes fue el que demostró un investigador, que se implantó un chip para poder realizar ataques a dispositivos con tecnología NFC activada. Acercando su mano a un dispositivo con NFC podía hacer que leyera la información almacenada en el chip, redirigiendo a la víctima un enlace malicioso.
Pero no solo Android fue protagonista en materia de seguridad. iOS también tuvo su ración de vulnerabilidades. La primera de ellas afectaba a miles de aplicaciones que no habían corregido un fallo ya solucionado y que apareció en la librería de código Abierto AFNetworking, que suele incluirse para añadir interconectividad entre usuarios. Esto permitiría a un atacante interceptar las comunicaciones para acceder a los datos enviados de forma cifrada entre el usuario y el servidor a través del protocolo HTTPS.
Pero quizás la vulnerabilidad más curiosa que afectó a iOS fue la que se presentó como “No iOS Zone” y que permitía realizar un ataque de denegación de servicio (DoS) a dispositivos iOS con la única condición de que se encontraran cerca de un punto de acceso WiFi especialmente preparado por el atacante, aun sin tener la WiFi activada. Este ataque puede ocasionar que las aplicaciones se cierren nada más abrirlas e incluso que el móvil entre en un bucle constante de reinicios hasta que se salga del alcance de la WiFi maliciosa.
Menores, privacidad y redes sociales
Respecto a la privacidad, el mes comenzó con el análisis de una propuesta polémica procedente de Facebook. Se trata de scrapbook, una herramienta pensada para fomentar que los padres suban fotografías de sus hijos menores de 13 años y que puede parecer interesante pero que mal utilizada puede llevar a una sobreexposición de los menores en la red social.
También relacionado con menores, el uso de Internet y la privacidad, el laboratorio de ESET analizó durante el mes pasado una vulnerabilidad en Adobe Flash que permitía espiar usando la cámara web del usuario. A nadie le gusta que le espíen sin su permiso pero este fallo de seguridad podría permitir a un atacante controlar la webcam sin tener que solicitar ningún tipo de permiso al usuario.
Para terminar con las amenazas a nuestra privacidad, durante abril se presentó una vulnerabilidad que, en teoría, permitiría espiar nuestro sistema, aplicaciones web o máquinas virtuales sin necesidad de instalar ningún tipo de software y con, aparentemente, pocas probabilidades de ser detectado. Todo ello desde el navegador y gracias a un código Javascript especialmente preparado que permitiría analizar la información que entra y sale de la caché del sistema de la víctima.
Durante el mes pasado, ESET publicó los resultados de una investigación sobre un malware para servidores Linux que reveló que miles de estas máquinas formaban parte de una botnet usada por los delincuentes para enviar spam de forma masiva. Esta botnet había estado actuando durante más de cinco años por lo que los delincuentes pudieron enviar una cantidad muy elevada de correos no deseados hasta que investigadores de ESET la descubrieron.
Amenazas en videojuegos
Cada vez más, los delincuentes ponen su punto de mira en los usuarios que utilizan sus sistemas para jugar de forma frecuente. Hace tiempo que ESET informa de amenazas dirigidas a ‘jugones’, pero éstas son cada vez más frecuentes. Durante el pasado mes, por ejemplo, se observó cómo varios usuarios de Steam eran engañados por supuestos juegos reales o que suplantaban a juegos originales para que pulsaran sobre enlaces maliciosos.
Los ciberdelincuentes también aprovecharon el lanzamiento de un juego esperado como fue Mortal Kombat X para propagar malware. Concretamente, se propagó una versión falsa para PC de este juego que en realidad infectaba al usuario con una variante del conocido troyano Zeus.
Otro de los juegos más conocidos, Minecraft, también fue protagonista durante el mes pasado cuando se comprobó que se podían colapsar sus servidores debido a un fallo en los mismos. Todo esto estaba provocado por la forma en la que el servidor de Minecraft descomprime y analiza los datos que, de ser aprovechada de forma maliciosa, podría causar una carga en el procesador que agotaría la memoria del servidor.
Abril también fue un mes de filtraciones. Por una parte, el estreno de la esperada quinta temporada de Juego de Tronos se vio empañada al haberse filtrado los primeros cuatro episodios de la serie. Algunos no perdieron la oportunidad y trataron de engañar a los fans que buscaban esos capítulos llevándoles a webs maliciosas en las que los suscribían a servicios de tarificación especial.
Otra filtración que lleva meses coleando es la de Sony Pictures, de nuevo de actualidad, puesto que el conocido sitio Wikileaks decidió organizar y, poner a disposición de todo aquel que los quiera consultar, decenas de miles de emails y centenares de archivos filtrados en el ataque que sufrió la compañía el pasado mes de noviembre.
También la conocida aerolínea RyanAir declaró haber sufrido un robo de 4,5 millones de euros de una cuenta bancaria de su propiedad. Las investigaciones apuntan a que se trató de un caso de phishing que los delincuentes utilizaron para obtener las credenciales de acceso a la cuenta y realizar una transferencia a un banco chino.
Con respecto al malware clásico, resulta curioso ver como hay técnicas que perduran aun a pesar del paso de los años. Los virus de macro, tan populares a finales de los 90 llevan meses volviendo a causar quebraderos de cabeza a todo tipo de usuarios, demostrando con varias muestras que es necesario echar la vista atrás para evitar caer en trampas que ya creíamos superadas. Un ejemplo de esta técnica fue analizado el mes pasado en el laboratorio de ESET: suplantando a una empresa de confianza como Amazon, los delincuentes trataban de ganarse la confianza de los usuarios para que abrieran un documento Word malicioso que ejecutaba malware gracias precisamente a las macros.