¡Vaya mes que llevamos! La «vuelta al cole» siempre genera mucho ruido: que si los libros, que si los uniformes, que si las matrículas, la ruta escolar… ¡Un sin vivir! Si tienes hijos, seguro que te suena familiar. Y pensábamos que solo pasaba en el ámbito escolar… pero no, en el sector de seguridad hemos vivido un mes más que agitado. Y es que los cibercriminales parece que se han tomado muy en serio esto de la vuelta a la actividad, y no nos dejan parar…
En el mes de septiembre hemos visto cómo se han producido multitud de incidentes relacionados con la seguridad informática y la privacidad. No es que durante los meses veraniegos se haya notado un descenso especialmente significativo de la actividad de los ciberdelincuentes, pero septiembre ha mostrado una pauta que, de seguir así, promete un otoño movidito. Así que te traemos un resumen para que, de un vistazo, sepas todo lo que ha pasado ;-).
Facebook ha sido objeto de varias críticas durante este mes por varias noticias con respecto a la privacidad de los usuarios. Por una parte, la red social anunció una nueva funcionalidad para los usuarios de cuentas Premium de publicidad, que otorga la potestad a las empresas de verificar si los usuarios de los que ya tienen datos previos se encuentran en Facebook y así conseguir acceso a los perfiles individuales para enviarles publicidad personalizada.
Además, también conocimos un fallo de diseño en Facebook que permitiría a un usuario colgar una foto o publicación comprometida en nuestro muro para, seguidamente, proceder a bloquearnos, de forma que nosotros no veríamos esa publicación pero tampoco podríamos eliminarla. El problema radica en que todos nuestros círculos de amistades sí que tendrían acceso a esa publicación y, en el caso de que esta sea algo que no nos deje muy bien parados, nuestra reputación online se vendría al traste.
Durante este mes pasado hubo también un ataque de ingeniería social que usó a Facebook como gancho. Se detectaron una gran cantidad de mensajes en Twitter que nos advertían de la publicación de un vídeo comprometido en Facebook. Si pulsábamos sobre el enlace seleccionado se nos redirigía a un enlace que simulaba ser la web de YouTube pero que nos indicaba la necesidad de instalar un códec para poder visualizar el vídeo. Obviamente, el vídeo como tal no existía, y la finalidad es que instalásemos el falso códec que en realidad era un código malicioso.
El popular WhatsApp sigue causando problemas de seguridad
Una de las aplicaciones estrella en dispositivos móviles, como es WhatsApp, también fue usada como gancho en Facebook para atraer a usuarios desprevenidos y alentarlos a que instalasen una versión falsa de esta conocida aplicación. No obstante, lo único que conseguían era tener que realizar interminables encuestas y solicitudes de redes de contactos que inundaban sus muros de basura.
También tuvo esta aplicación una gran cobertura mediática al convertirse en protagonista involuntaria en la difusión del vídeo erótico de la concejal socialista de Los Yébenes, población de Toledo, Olvido Hormigos. Y con respecto a su privacidad y seguridad, si bien desde hace semanas ya cifra los mensajes que los usuarios enviamos, varios investigadores demostraron que los mecanismos usados para generar la contraseña de nuestra cuenta eran, cuanto menos, muy débiles, tanto en sistemas Android como iOS de Apple. Conociendo estos mecanismos se podrían lanzar una serie de ataques que van desde el envío masivo de spam hasta el robo de nuestra cuenta.
Numerosas filtraciones y robo de datos
Las filtraciones y el robo de datos también tuvieron mucho protagonismo durante el pasado mes. Empezábamos con el robo de 12 millones de datos identificativos de usuarios de Apple. Al principio se dijo que esta información se obtuvo del ordenador de un agente del FBI pero, posteriormente, una empresa de Florida asumió la culpa. Otra filtración de datos sensibles que vieron la luz fue la de datos fiscales del candidato norteamericano por el partido republicano, Mitt Romney, supuestamente cometida por uno o más hackers.
Siguiendo con filtraciones, a finales de mes nos hicimos eco de que más de 100.000 nombres de usuario y contraseñas de personal de Apple, Google, IBM, Oracle y Samsung, entre otros, se habían hecho públicos al descubrir un investigador un fichero en texto plano alojado en un servidor FTP con acceso público. Y, de nuevo, el sistema de moneda virtual Bitcoin vio cómo se comprometía su seguridad al sufrir una intrusión en varios de los servidores donde los atacantes consiguieron acceder a una copia de seguridad sin cifrar de los monederos donde se almacenan las monedas que los usuarios han obtenido. De esta forma, los ladrones consiguieron robar cerca de 24.000 Bitcoins, que al cambio en la fecha cuando se produjo el robo, equivaldría a 208.000€.
Los ataques a empresas y Gobiernos se han ido sucediendo a lo largo del mes. Quizás uno de los más importantes fue el que dejó a GoDaddy, uno de los mayores registradores de dominios del mundo, fuera de servicio durante unas horas. Aun hoy no queda claro si realmente se trató de un ataque de denegación de servicio que algún supuesto miembro de Anonymous se atribuyó o un fallo interno en los servidores como informó la empresa.
Intenso hacktivismo en la Red: revueltas árabes por satirizar a Mahoma y apoyo al 25S
Pero si tenemos que referirnos a actividades hacktivistas no podemos dejar de hablar de todo el revuelo provocado tras la publicación de un vídeo y unas viñetas satíricas del profeta Mahoma. Muchos grupos hacktivistas musulmanes empezaron a realizar ataques, dejando varias webs inaccesibles y colgando sus mensajes de protesta. Incluso el semanario humorístico español El Jueves se vio afectado tras publicar una portada que hacía referencia a toda esta polémica.
Tras las protestas y los incidentes producidos en las manifestaciones de los días 25 y 26 en Madrid, otro grupo de hacktivistas españoles lanzó una amenaza a entidades gubernamentales españolas. En un escueto comunicado avisaba del inicio de una campaña contra las webs oficiales del Gobierno y la policía, entre otros, aunque, en el momento de escribir este resumen, aún no hayamos visto ningún indicio de que hayan cumplido su amenaza.
Septiembre: el mes de las vulnerabilidades
Pasando al campo de las vulnerabilidades, septiembre ha sido un mes prolífico. El software de Java se ha visto especialmente afectado al descubrirse a principios de mes una vulnerabilidad crítica que permite la ejecución de código. Esta vulnerabilidad estaba siendo aprovechada y, debido a la característica multiplataforma de Java, afectaba a múltiples sistemas operativos. El problema sigue tras publicarse los respectivos parches a esta y otras vulnerabilidades descubiertas a lo largo del mes y, todavía en el momento de escribir estas líneas, la versión más reciente de Java presenta fallos de seguridad.
Microsoft tampoco escapó a las vulnerabilidades durante el mes pasado y vio cómo su navegador Internet Explorer presentaba un grave agujero de seguridad que estaba siendo aprovechado para distribuir malware. La importante cuota de mercado de la que aún dispone el navegador y la inexistencia de un parche que solucionase la vulnerabilidad hizo cundir el pánico durante algunos días, llegando a algunos Gobiernos como el alemán a recomendar dejar de usarlo. Por suerte para los usuarios, a los pocos días de hacerse pública esta vulnerabilidad, Microsoft publicó un parche fuera de ciclo que la solucionó.
Microsoft también fue noticia en nuestro blog debido a un cambio en sus políticas de seguridad que, en resumen, representa la cesión de Microsoft de toda nuestra información y contenidos para que lo cotillee, analice, distribuya y hasta lo borre si sospecha que estamos incumpliendo algún punto de su Directiva de Privacidad y seguridad.
Pero no todo iban a ser malas noticias para la multinacional del software. En septiembre también nos hicimos eco de que Microsoft había participado activamente en la desmantelación de una botnet emergente. Gracias a la autorización que recibió consiguió interrumpir la propagación de más de 500 ejemplares de malware con capacidad de infectar a millones de sistemas. Dentro de esta operación también se descubrió que los ciberdelincuentes se habían infiltrado en las cadenas de suministros de montaje de ordenadores que vendían versiones ilegales de Windows y que contenían malware.
Otro sospechoso habitual en el tema de vulnerabilidades es Adobe, que este mes también ha tenido su dosis de protagonismo. Por una parte, una serie de vulnerabilidades críticas en varios productos de la compañía como Photoshop CS6, ColdFusion y Flash Player fueron solucionadas a mediados de mes. Estas vulnerabilidades podían ser aprovechadas incluso en el próximo sistema operativo de Microsoft, Windows 8.
Adobe sufrió además una intrusión en uno de sus servidores de desarrollo con acceso a la infraestructura de firma de código. Los atacantes pudieron sustraer un certificado de Adobe para firmar sus propias herramientas y que pasaran desapercibidas, probablemente para ser usadas en ataques dirigidos. La empresa ya ha anunciado una revocación del certificado comprometido para evitar males mayores.
Por su parte, Apple ha vuelto a ver cómo el malware OSX/Imuler volvía a hacer acto de presencia en su sistema Mac OS/X. De nuevo este código malicioso se propaga usando aplicaciones camufladas de fotografías, para así confundir a los usuarios. Nuestros compañeros del laboratorio de ESET también nos ofrecieron un completo análisis del troyano Flashback, hasta la fecha el malware más extendido en sistemas Mac.
Los dispositivos móviles también sufrieron importantes vulnerabilidades descubiertas en varios de los congresos de seguridad que se celebran en estas fechas. Tanto los iPhone de Apple como varios modelos de teléfonos con sistema Android de varios fabricantes vieron cómo se presentaban agujeros de seguridad graves. Especialmente destacable ha sido la presentación en Ekoparty de la vulnerabilidad que permite dejar inutilizado a varios teléfonos Android (incluyendo el Samsung Galaxy S3) con solo visitar un enlace malicioso especialmente preparado.
El spam ha seguido haciendo acto de presencia y son varios los correos que hemos recibido en nuestro laboratorio con ficheros adjuntos o enlaces maliciosos. Especialmente destacable fue la oleada de spam que sufrimos durante la última semana del mes y que, haciéndose pasar por facturas impagadas, proporcionaba enlaces que redirigían a archivos maliciosos alojados en webs legítimas comprometidas.
Por último, no nos gustaría despedirnos sin felicitar a nuestros compañeros de Virustotal por haber sido adquiridos por Google. El trabajo que les ha convertido en un referente a nivel mundial ha dado su fruto y esperamos que en el futuro sigan ofreciéndonos un servicio como el que nos han dado hasta ahora.
Los datos de septiembre en España
Estos son los datos de los ejemplares de malware más distribuidos en el mes de septiembre:
Y como esto no tiene pinta de que vaya a parar, los que habitualmente hacemos este blog estamos desayunando bien y tomando vitaminas, porque octubre presenta una pinta de lo más interesante. Así que te lo contaremos, todo, como siempre, en este blog ;-).