Categoría: Amenazas

IoT Industrial, posible blanco de ataques durante 2019

El Internet de las Cosas (IoT) es parte de la vida personal, profesional y laboral de muchas personas en el mundo y, como sucede con las grandes innovaciones tecnológicas, también ha generado problemas que están preocupando de manera sería a los responsables de TI.

En su reporte de Predicciones de Seguridad Cibernética 2019, Forcepoint incluye los resultados de una encuesta que realizó entre algunos de sus clientes, la cual revela que el 81% de ellos identificaron a las interrupciones en el IoT como un problema de seguridad importante para sus compañías. Esto demuestra la importancia que tiene para la operación de las empresas el correcto funcionamiento de sus redes y recursos tecnológicos.

De hecho, los sistemas de control industrial (ICS) en red requieren que la conectividad esté siempre disponible, sin embargo, dicha disponibilidad se convierte en el mayor blanco de los ataques, siendo los dispositivos del Internet de las Cosas los más vulnerables.

Vehículos autónomos y otros aparatos fuera de las empresas, pero conectados a ellas requieren un nivel de seguridad muy alto.

Es por eso que Forcepoint predice que los ataques en el Internet de las Cosas tienen amplias probabilidades de impactar en la industria, especialmente en las fábricas y en áreas similares, lo que convierte a esta amenaza en algo muy serio.

Durante  2019, los atacantes irrumpirán en los dispositivos del IoT Industrial (IIoT) al atacar la infraestructura de la nube subyacente. Para un atacante resulta mucho más redituable el acceso a los sistemas subyacentes en estos entornos de varios clientes.

Son tres los factores que agravan el problema: a) mayor conectividad en red con edge computing, b) la  dificultad para proteger los dispositivos en instalaciones remotas y c) la cantidad exponencial de dispositivos que se conectan a la nube para buscar actualizaciones y mantenimiento.

Los proveedores de servicios en la nube confían en la infraestructura, plataformas y aplicaciones compartidas para poder brindar servicios escalables a los sistemas del IoT. Los componentes subyacentes de la infraestructura tal vez no ofrezcan protección suficiente en una arquitectura para varios clientes o aplicaciones, lo que inevitablemente puede provocar grietas de tecnología compartida.

En el caso del IoT Industrial, los servidores de back-end se verán comprometidos causando cortes masivos en el servicio y se detendrán repentinamente los sistemas vitales. Entre ellos pueden estar la manufactura, la producción de energía y otros sectores clave que podrían verse afectados al mismo tiempo. Una verdadera calamidad.

Con Meltdown y Spectre en 2018 vimos vulnerabilidades que eluden las capas de software y firmware que exponen el hardware del procesador. En este escenario, los atacantes utilizan programas con privilegios bajos para acceder a datos críticos, como archivos privados y contraseñas.

Los atacantes centrarán su atención en el desarrollo de variantes que violen la infraestructura de la nube subyacente utilizada por los sistemas del IIoT.

Lamentablemente, la velocidad de procesamiento es crítica para el desempeño y por eso los fabricantes y los proveedores de servicios en la nube podrían seguir eligiendo la velocidad por sobre la seguridad. Esto provocaría la creación de vulnerabilidades adicionales.

Para enfrentar el problema, las empresas deberán cambiar de la visibilidad hacia el control, justo en el punto en donde convergen las redes de TI y TO. De esta manera podrán protegerse de los ataques dirigidos y deliberados al IoT Industrial.

El IoT será el área de la seguridad que presente mayores desafíos este 2019. No muchos profesionales de seguridad han tenido tiempo de enfocarse en él y esto se está convirtiendo en una tendencia. Se está volviendo más grande y puede ser muy peligroso cuando los dispositivos ya se vean vulnerados.

 

Por: Ramón Salas,

Director Regional México y Centroamérica,

Forcepoint.

La industria del transporte aéreo necesita mejorar sus sistemas de seguridad

La transformación digital ha cambiado nuestras vidas, facilitando casi todas nuestras acciones diarias como ir de compras, realizar transacciones bancarias o hacer diversos tipos de trámites. Definitivamente podemos decir que vivimos en un mundo digitalizado.

Sin embargo, como sucede siempre con las nuevas tecnologías, dicha transformación ha traído consigo nuevos retos, tal como lo son los ciberataques, actualmente clasificados como uno de los cinco mayores riesgos que enfrenta el mundo moderno según el informe de 2018 del Foro Económico Mundial.

Tan sólo en México, más de 22 millones de personas son afectadas por diversos delitos cibernéticos cada año, según la Estrategia Nacional de Ciberseguridad del Gobierno Federal, lo cual nos coloca en el top diez de ciberataques mundiales.

Bajo este contexto, tanto en instituciones públicas como privadas en todos los sectores de la economía, los riesgos de ciberataques se potencializan, por lo que es necesario revisar los desafíos y oportunidades asociados para construir un entorno digital más seguro y protegido.

Ejemplos claros se han presentado en México, siendo uno de los más destacado el ataque contra el sistema financiero el cual iba dirigido a un software que utilizan las instituciones financieras en el país para conectarse al Sistema de Pagos Electrónicos Interbancarios (SPEI) del Banco de México. Esto causó un impacto directo estimado en 300 millones de pesos según la propia institución. Otro caso reciente fue el ataque a la aseguradora AXA, el cual afortunadamente presentó reducidas afectaciones al sistema gracias a su pronta detección.

Si bien el sector financiero es uno de los más propensos a sufrir este tipo de ataques, es indispensable reconocer que todas las industrias son vulnerables ante una situación de riesgo similar, y la industria del transporte aéreo (ITA) no es una excepción debido a la interconectividad, complejidad y peso en la economía que la vuelve un blanco atractivo para amenazas cibernéticas.

Con esto en mente, el informe de perspectivas en ciberseguridad del transporte aéreo 2018  publicado por SITA reporta que el objetivo inmediato identificado para la industria del transporte aéreo se centra en la implementación de centros de operaciones de seguridad o Security Operations Centers (SOCs). Dichos centros representan un medio proactivo de monitoreo de la ciberseguridad; por lo que, a menudo es el primer componente que los ejecutivos de seguridad miran cuando cimentan sus capacidades en defensa cibernética. Como resultado de esta encuesta, solo 33% de las empresas participantes tienen un SOC ya implementado, y el 47% expresó tener contemplada su implementación para 2021.

Un ejemplo reciente de esta industria que resonó a nivel internacional fueron los cerca de 380,000 pagos realizados con tarjeta que se vieron afectados por el robo de información personal y financiera que denunció la aerolínea británica British Airways.

La gran cantidad de sistemas y dispositivos que se utilizan para operar los diversos procesos, los cuales van desde la documentación, abordaje y manejo de equipaje, hasta los controles de acceso, las operaciones aeroportuarias y aplicaciones para la gestión de recursos e infraestructura, todo está expuesto a un ataque.

También deja ver que un ciberataque puede causar daños financieros masivos a una aerolínea; ocasionar daños legales si se roban datos personales; o crear una reputación negativa y pérdida de la confianza de los consumidores. El despliegue de tecnologías optimizadas como el Wifi o los sistemas de entretenimiento a bordo, o el procesamiento automatizado de pasajeros en terminal, aumentan el panorama de amenazas al ofrecer nuevos vectores que los cibercriminales pueden explotar.

Estudios recientes demuestran que, en 2018, el costo promedio en la industria provocado por una perturbación a aerolíneas es de $68.48 dólares por minuto en tierra.

De acuerdo con la empresa PA Consulting, las pérdidas económicas que puede ocasionar la interrupción de las operaciones en un aeropuerto por un ciberataque puede representar hasta 55,000 dólares por hora.

Como resultado de este enfoque mayor, los resultados de las perspectivas en ciberseguridad del transporte aéreo 2018 muestran que la inversión en ciberseguridad está aumentando, a pesar de que hay más esfuerzo por hacer para que los niveles más altos de las empresas se apropien de iniciativas en ciberseguridad. Este estudio también demuestra que las aerolíneas dedicaron un promedio de 9% de su presupuesto general de TI en ciberseguridad en 2018 contra 7% en 2017, mientras que la inversión aeroportuaria en 2018 en ciberseguridad fue de 12%, siendo 2% más en relación a 2017.

Aún hay mucho trabajo por hacer, pero estamos trazando el camino.

 

Por: Uriel Torres,

Director General, 

México y Centroamérica,

SITA.

52 segundos, lo que les toma a cibercriminales atacar un servidor

Sophos presentó los resultados de su informe Expuesto: Ciberataques en Cloud Honeypots, que revela cómo los ciberdelincuentes atacaron a uno de los servidores cloud honeypots analizados en tan solo 52 segundos. El mismo operaba en San Pablo, Brasil.

En promedio, los servidores en la nube se vieron afectados por 13 intentos de ataques por minuto, por honeypot.

Éstos se instalaron durante un periodo de 30 días en 10 de los centros de datos de servicios web de Amazon (AWS) más populares del mundo: California, Frankfurt, Irlanda, Londres, Mumbai, Ohio, París, San Pablo, Singapur y Sydney. Un honeypot es un sistema destinado a imitar los posibles objetivos de los ciberataques, para que los investigadores de seguridad puedan monitorear los comportamientos de los ciberdelincuentes.

En el estudio, se analizaron más de cinco millones de ataques en la red global de honeypots durante 30 días, lo que demuestra cómo los ciberdelincuentes están escaneando automáticamente en busca de brechas en nubes abiertas débiles. Si los atacantes logran ingresar, las organizaciones podrían ser vulnerables a las violaciones de datos. Los ciberdelincuentes también utilizan servidores en la nube vulnerables como puntos para obtener acceso a otros servidores o redes.

“El reporte de Sophos, Expuesto: Ciberataques en Cloud Honeypots, identifica las amenazas que enfrentan las organizaciones que migran a plataformas híbridas y a todas las nubes. La agresiva velocidad y escala de los ataques a los honeypots muestra lo persistentes que son los ciberdelincuentes e indica que están utilizando botnets para atacar las plataformas de una organización en la nube. En algunos casos, puede ser un atacante humano, pero a pesar de eso, las empresas necesitan una estrategia de seguridad para proteger lo que están poniendo en la nube”, afirmó Matthew Boddy, especialista en seguridad de Sophos.

“El problema de la visibilidad y la seguridad en las plataformas en la nube es un gran desafío empresarial que va en aumento con la creciente migración a la nube”.

Las empresas necesitan contar con una continua visibilidad de la infraestructura de la nube pública, ya que ésta es vital para que las empresas sepan qué proteger y garantizar el cumplimiento de las normas.

Nuevo phishing de Netflix busca robar credenciales de usuarios

Con más de 140 millones de usuarios en todo el mundo, la plataforma de streaming Netflix sigue siendo un objetivo para cualquier cibercriminal que busque hacerse de información personal de manera rápida. ESET lanza alerta sobre un nuevo engaño relacionado a correos falsos que se hacen pasar por Netflix para robar las credenciales de accesos y datos de las cuentas de usuarios desprevenidos.

Recientemente el laboratorio de ESET identificó un nuevo correo supuestamente proveniente de la plataforma, indicando que había ocurrido alguna actividad sospechosa y que se necesitaba verificar la información de inicio de sesión a la misma.

Correo que suplanta la identidad de Netflix.

Cualquier usuario desprevenido podría suponer que se trata de un envío real por parte del proveedor de servicios de series y películas, y hacer clic en el enlace de ACTUALIZAR para evitar perder el acceso a su servicio. Mediante ese enlace directo, no se identifica de primera mano que la web a la que se dirige no corresponde a ninguna dirección oficial del servicio Netflix, ni siquiera aparece en alguna parte de la composición del link.

Luego, se ingresa a un dominio que hace referencia a un supuesto equipo de Netflix, donde se nota que el servidor corresponde a un servicio de hosting gratuito de Emiratos Árabes. La pantalla con la que el usuario se encontrará es la siguiente:

Falsa pantalla de inicio.

La pantalla copia a la perfección el sitio original y tiene como particular que ante el ingreso de cualquier usuario y clave, no se produce ningún tipo de verificación de credenciales sino que lleva el intento de robo de datos un paso más allá, solicitando el ingreso de los datos de la tarjeta de crédito asociada a la cuenta.

Nuevamente no verifica los datos ingresados, solamente se valida que cumpla con el requisito de longitud en algunos campos. Luego de dar la información solicitada, el sitio finalmente rediccionará al usuario al portal original de Netflix, habiendo logrado el cometido del robo de credenciales de acceso y los datos de pago de la cuenta.

“En un análisis un poco más exhaustivo no se pudo verificar que se realizaran segundas acciones como la descarga de algún malware, o la ejecución de algún código adicional que afecte los recursos de la máquina, con lo que se puede interpretar que se trata de una campaña que busca únicamente el robo de información personal, presumiblemente para vender en el mercado negro (la venta de los datos de una tarjeta de crédito activa ronda los 45 U$D en la Dark Web) , o bien para utilizar en otros ataques dirigidos.”, comentó Camilo Gutierrez, Jefe del Laboratorio de ESET Latinoamérica.

Aprovechan la euforia de Game of Thrones para propagar malware

Los programas de televisión son uno de los tipos de entretenimiento más populares y universales, pero con el aumento del uso de los torrents (servidores que almacenan contenido compartido P2P disponible en Internet y especialmente destinado a videos), el streaming y otros métodos de distribución digital, a menudo sufren la infracción de derechos de autor. En muchas regiones, estos programas ahora se pueden consumir a través de canales ilegales, como los rastreadores de torrents y las plataformas de streaming ilegales.

A diferencia de los recursos legítimos, los rastreadores de torrents y los archivos alojados pueden enviar a un usuario un archivo que se parece a un episodio de un programa de televisión, pero en realidad es un malware con un nombre similar.

Al ver la facilidad con la que los programas de televisión descargados de fuentes ilegítimas se pueden reemplazar por versiones con malware, los investigadores de Kaspersky Lab analizaron detenidamente esos archivos comprometidos, durante 2018 y  2017.

Encabezando la lista en ambos años estaba Game of Thrones (Juego de Tronos). En 2018, representó el 17% de todo el contenido pirateado infectado, con 20,934 usuarios atacados, seguido por The Walking Dead, con 18,794, y Arrow, con 12,163.

Esto fue a pesar de que en 2018 no se presentaron nuevos episodios de Game of Thrones, mientras que los otros programas incluidos en el ranking fueron acompañados por importantes campañas promocionales.

En todos los casos observados, los distribuidores de malware optaron por el primer y el último episodio de cada temporada, y el episodio de estreno fue el más utilizado (por ejemplo, el episodio “El invierno se acerca” de Game of Thrones en la temporada 1).

Estas son las 15 series de TV utilizadas durante 2018 por criminales para encubrir malware, según el número de atacados.

  1. Game Of Thrones
  2. The Walwing Dead
  3. Arrow
  4. Suits
  5. Vikings
  6. The Bing Bang Theory
  7. Supernatural
  8. Grey-s Anatomy
  9. This is Us
  10. The Good Doctor
  11. Stranger Things
  12. Homeland
  13. House Of Cards
  14. American Horror Story
  15. Westworld

“Podemos ver claramente que los distribuidores de malware explotan programas de televisión que tienen una gran demanda en sitios web comprometidos: estos son generalmente dramas o series de acción promovidos activamente. El primer y último episodio, que atraen a la mayoría de los espectadores, probablemente corren mayor riesgo de falsificación maliciosa. Los estafadores tienden a aprovecharse de la lealtad y la impaciencia de las personas, ofreciendo material completamente nuevo para descargar pero que en realidad es una ciberamenaza. Teniendo en cuenta que la temporada final de Game of Thrones comienza este mes, nos gustaría advertir a los usuarios que es muy probable que haya un aumento en la cantidad de malware haciéndose pasar por nuevos episodios de este programa”, dijo Anton V. Ivanov, investigador de seguridad en Kaspersky Lab.

Problemas de seguridad alrededor de Blockchain

Blockchain parecía una tecnología prácticamente invulnerable siendo implementada en industrias como el sistema financiero y la salud por sus ventajas en pro de la seguridad. En el último tiempo se identificaron alguna fallas que llaman la atención, por eso ESET, analiza la tecnología y los recientes casos en relación a Blockchain y su seguridad.

“Con el surgimiento de nuevas criptomonedas, el interés de otras industrias por la adopción del uso de blockchain hizo que la implementación de la tecnología se complejizara, aumentando el margen de error por la exigencia de un desarrollo más complejo”,  mencionó Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica.

La revista del MIT Technology Review, publicó un artículo en el que asegura que así como blockchain cuenta con funcionalidades de seguridad únicas, también presenta vulnerabilidades únicas. Como ejemplo se menciona el caso de Zcash, una criptomoneda que utiliza un proceso matemático complejo para permitir a los usuarios realizar transacciones en privado y que reveló públicamente que tuvieron que reparar una falla criptográfica en el protocolo que, de haber sido explotada por un atacante, podría haber permitido crear ilimitadas Zcash falsas.

Los especialistas de ESET anticiparon en su reporte de Tendencias 2019 que los ataques dirigidos al robo de criptomonedas darían que hablar este año. En 2018 se observaron casos de ataques de distinta naturaleza que utilizaron malware con el fin de obtener criptomonedas mediante la minería ilegal. Entre los más destacados se encuentran el caso de Kodi y la manipulación por parte de cibercriminales para distribuir malware de criptominería y el ataque de cadena de suministro al Exchange gate.io. Sin embargo, el más grave tuvo lugar en los primeros días de enero de 2019 y  fue el ataque del 51% dirigido a Ethereum Classic en el que los cibercriminales lograron robar un millón de dólares.

El ataque del 51%, es una amenaza a la que cualquier criptomoneda es susceptible de ser víctima, debido a que la mayoría están basadas en cadenas de bloques que utilizan protocolos proof of work para verificar las transacciones.

Un protocolo de blockchain es un conjunto de reglas que determinan cómo las computadoras conectadas a una red deberán verificar nuevas transacciones y añadirlas a la base de datos. En este sentido, “un minero que de alguna manera obtiene control de una mayoría del poder de minería de una red puede engañar a otros usuarios enviándoles pagos y luego crear una versión alternativa de la blockchain, denominada fork, en la cual el pago nunca ocurrió”, explica el artículo de Technology Review.

La tecnología blockchain también se utiliza para los contratos inteligentes. Un contrato inteligente es un programa informático que corre en una red blockchain y que puede ser utilizado para el intercambio de monedas, propiedades o cualquier cosa de valor. Otro uso que se le puede dar es el de crear un mecanismo de votación a través del cual todos los inversores de un fondo de capital de riesgo pueden decidir cómo distribuir el dinero.

Un fondo de estas características (llamados Organización Autónomas Descentralizadas) que se creó en 2016 bajo el nombre de The Dao y utiliza el sistema de blockchain Ethereum, fue víctima de un ataque informático en el que los ciberciminales robaron más de 60 millones de dólares en criptomonedas al explotar un fallo en un contrato inteligente que administraba esta organización. Este ataque dejó en evidencia que un error en un contrato inteligente activo puede tener consecuencias críticas, ya que al apoyarse en la blockchain no puede repararse con un parche. En este sentido, los contratos inteligentes pueden ser actualizados, pero no se pueden reescribir.

“La tecnología blockchain continúa siendo una gran herramienta para garantizar la seguridad, aunque se han identificado casos que la han convertido en vulnerable debido a la implementación que hacen de la tecnología. Esto no quiere decir que dejó de ser segura, sino que con el paso del tiempo y el desarrollo natural del ecosistema tecnológico (incluyendo aquí la evolución del cibercrimen) surgen desafíos que ponen a prueba cualquier tipo de tecnología, como es la cadena de bloques.”, concluyó Gutierrez.

Millones de registros de Facebook expuestos por servidores mal configurados

La última semana no ha sido la mejor para Facebook. La primera mala noticia que se conoció esta semana fue que la red social ha estado solicitando a nuevos usuarios la dirección y la contraseña de sus cuentas de correo como parte del proceso de verificación para registrar nuevas cuentas; lo cual representa un riesgo la seguridad de los usuarios. La segunda mala noticia, que se hizo pública en el día de ayer y que también tiene como protagonista a Facebook, es el hallazgo de más de 540 millones de registros de usuarios que estaban alojados en servidores de Amazon sin protección.

Registros de más de 540 millones de usuarios de Facebook expuestos de manera pública

Ayer, investigadores de UpGuard revelaron que servidores utilizados por dos desarrolladores de terceras partes de aplicaciones para Facebook expusieron datos de millones de usuarios que estaban almacenados en servidores de Amazon mal configurados, quedando la información al alcance público.

Uno de estos servidores pertenece al medio digital mexicano Cultura Colectiva, el cual almacenaba 146GB  con más de 540 millones de registros que contenían datos como nombres y ID de usuarios, información variada relacionada a gustos e intereses de los usuarios, como “me gusta”, comentarios, entre otras cosas más.

El segundo, también almacenado en un servidor Amazon (Amazon S3 bucket), pertenece a la aplicación “At the Pool” y contiene información como contraseñas en texto plano, además de información de los usuarios, como intereses, amigos, música, entre otros.

Según los investigadores, se cree que las contraseñas descubiertas en la base de datos eran de la propia aplicación, pero dado que muchos usuarios utilizan la misma contraseña para otros servicios, la exposición supone un riesgo mayor.

Facebook solicita dirección y contraseña del correo de los usuarios

La otra noticia la dio a conocer el 31 de marzo un especialista en ciberseguridad, conocido como e-sushi, cuando a través de su cuenta de twitter publicó el hallazgo de que Facebook ha estado solicitando a nuevos usuarios que deciden registrase en la red social que ingresen la dirección y la contraseña de su cuenta de correo como parte del proceso de verificación. Si bien esto no es para todos los servicios de correo, el almacenamiento de esta información supone un riesgo para la seguridad de los usuarios.

De acuerdo a una declaración pública que hizo la red social al medio Daily Beast, la compañía confirmó la existencia de ese proceso de verificación, pero aseguró que no almacena en sus servidores las contraseñas aportadas por los usuarios en dicha instancia.

Asimismo, la compañía aseguró que dejará de realizar esta práctica de solicitar la contraseña del correo como parte del proceso de verificación.

Lo particular de esta última noticia es que el hecho se conoció dos semanas después de que la compañía liderada por Mark Zuckerberg admitiera que durante años almacenó cientos de millones de contraseñas de usuarios en texto plano de manera insegura en servidores de la compañía que estaban accesibles a más de 20,000 empleados.

 

Por: Juan Manuel Harán, Security Editor de ESET Latinoamérica.

Se detecta nueva modalidad de phishing ligada al robo de iPhone

S21sec recibió reportes recientes de una nueva modalidad de fraude tipo phishing relacionado con el hurto de dispositivos móviles de la línea iPhone, registrado en el transporte público de la Ciudad de México.

Esta nueva modalidad de phishing intenta convencer a la víctima de compartir información personal con el pretexto de localizar su dispositivo robado, a través de mensajes firmados supuestamente por Soporte Apple.

Cuando la persona asaltada solicita a la empresa de telefonía que le brinda servicio un nuevo chip para recuperar su línea, y tras ser colocado este en un equipo nuevo, comienza a recibir avisos donde se le pide acceder a un enlace para ubicar su iPhone robado.

Dichos mensajes poseen un diseño y tipografía similares a los usados en las comunicaciones oficiales de la empresa fabricante, lo que aumenta el riesgo de compartir la contraseña para acceder al dispositivo y a toda la información guardada en él.

Phishing “Soporte Apple”, paso a paso

1. El iPhone es robado mientras el usuario viaja en transporte público.

2. La víctima cancela el chip y solicita uno nuevo a su proveedor de servicio de telefonía.

3. Al colocar el chip en un nuevo dispositivo, comienza a recibir mensajes con un enlace a través del cual supuestamente podrá localizar su dispositivo; el número telefónico desde donde se envían estos avisos es ocultado por una máscara informática que cambia los dígitos.

4. Al dar clic en el enlace, este redirecciona a una página web que solicita el código de acceso del dispositivo, con el pretexto de “bloquear el iPhone perdido”.

5. Tras ingresar el código, la página pide también la contraseña para acceder a los servicios de iCloud del usuario, con el supuesto fin de “bloquear la activación”.

6. Si la víctima hace caso omiso, los criminales envían nuevos mensajes para incrementar el sentido de urgencia, firmados en nombre de Soporte iCloud.

7. Al ingresar en ese nuevo enlace, la página redirecciona a un sitio web bastante similar al oficial de iCloud y solicita el ID de Apple del usuario.

Incluso una semana después de efectuado el robo, si la víctima aún no cae en el engaño, los criminales pueden enviar mensajes de audio pregrabados desde un número marcado como desconocido para avisar que existe el peligro de que la cuenta sea “hackeada”, e informando que enviarán un enlace para protegerla.

Al buscar en los códigos de programación de los enlaces compartidos por los asaltantes, los expertos en ciberseguridad de S21sec encontraron directorios no protegidos donde se alojan las imágenes utilizadas para crear las páginas web antes mencionadas, que en realidad son screenshots (capturas de pantalla) de los sitios oficiales de la empresa fabricante, así como los audios de los mensajes pregrabados en formato wav.

Este tipo de fraude es una respuesta ante las medidas de seguridad que ofrecen los modelos recientes de iPhone, como reconocimiento facial, el cual dificulta a las personas ajenas el acceso al contenido del dispositivo.

El robo de teléfonos celulares, que está alcanzando cifras récord en el transporte público de la Ciudad de México, no sólo supone la pérdida de la inversión que un usuario realiza al momento de adquirir uno de estos dispositivos: también conlleva el riesgo de que sus datos personales puedan caer en manos del crimen organizado.

Las recomendaciones

Manuel Macías, Security Consultant de S21sec, aconseja seguir los pasos de protección básicos para evitar el phishing en este tipo de situaciones: “Es necesario aprender a identificar las direcciones URL que parecen sospechosas y revisarlas a conciencia antes de compartir nuestros datos. Además, los mensajes enviados en este tipo de fraude suelen mostrar faltas de ortografía, como ausencia de acentos con tilde, y las empresas originales son muy cuidadosas en la redacción de sus comunicados oficiales”.

Macías además puntualiza que: “Una empresa establecida jamás enviará mensajes con hipervínculos que redireccionen a una página web para solicitar datos personales, como contraseñas de cuentas y servicios. Ante cualquier duda, por mínima que sea, lo mejor es ser prudente y contactar directamente al área de soporte de la empresa fabricante”.

Se lanza alerta sobre un nuevo engaño en WhatsApp

El laboratorio de ESET recibió varios reportes sobre un mensaje que llega a través de WhatsApp invitando a acceder a nuevos colores en la red social con solo hacer un clic. La compañía de seguridad analiza qué hay detrás de este engaño que busca llenar de publicidad los teléfonos.

Como es frecuente en este tipo de campañas, el link reacciona de manera diferente si se hace clic desde un teléfono celular o desde la aplicación WhatsApp web.

En el caso de acceder desde una computadora a través de WhatsApp web, se invita al usuario a instalar una extensión de Google Chrome, llamada Black Theme for Whatsapp, que permitirá cambiar la aplicación a un color más oscuro. Se observó también que el mensaje aparece en portugués, a diferencia del mensaje original en español, lo que puede ser una señal de que la campaña originalmente buscaba víctimas en Brasil y solo se preocuparon por traducir algunos mensajes claves.

Mensaje de WhatsApp con la invitación para cambiar los colores.

En el caso de que un usuario desprevenido instale la extensión y abra su sesión de WhatsApp web, automáticamente enviará un mensaje a toda su lista de chats activos invitando a cambiar los colores de la aplicación. Dentro del complemento se encuentran mensajes en diferentes idiomas para enviar, además de los diferentes componentes que integran el mensaje incluyendo la imagen. Además son diferentes URLs que pueden estar asociadas con el mensaje que se va construyendo de manera aleatoria a medida que se envían los mensajes.

Inclusive si el usuario identifica lo que está ocurriendo y cierra la ventana del navegador web, la acción no se detiene, ya que es el propio teléfono el que envía los mensajes. Esta funcionalidad en particular demuestra las estrategias utilizadas por los atacantes para propagar de manera rápida y efectiva este tipo de campañas y así lograr un mayor alcance. Permitiendo que el mensaje llegue a todos sus contactos cuando el mensaje no se compartió de manera consciente.

Si se accede a través del teléfono aparece el siguiente mensaje solicitando que se envíe una invitación a sus contactos para continuar.

Por otro lado, si se accede al enlace de manera convencional desde el celular, aparece un mensaje solicitándole al usuario que comparta la aplicación con 30 amigos o 10 grupos antes de llegar a la posibilidad del cambio de colores.

Igualmente, aunque no sea compartido entre los contactos y se quiera seguir adelante, la aplicación solicita descargar una APK llamada best_video.apk y activar notificaciones desde un servidor ubicado en Rusia. Si la potencial victima deja que ocurra todo lo anterior, el teléfono celular quedará infectado con una familia de troyanos que propaga adware entre usuarios de Android.

La aplicación se instala en el dispositivo pero no deja ninguna evidencia de su instalación, ya que se oculta el icono y solamente se activa cuando el usuario empieza a navegar, mostrando banners publicitarios al usuario asociados a diferentes servicios legítimos de publicidad; pero para el usuario no es evidente que se están utilizando sus recursos para este tipo de acciones.

En estos casos lo primero que se debe hacer es verificar la veracidad del enlace, por ejemplo, consultar con el contacto que nos envió el mensaje ─en este caso del cambio de colores de WhatsApp─ si efectivamente es algo que compartió conscientemente o si fue por haber sido víctima del engaño y lo envió sin intención a su propagación. Además, es fundamental contar con una solución de seguridad instalada en el teléfono que haga sonar las alarmas ante la presencia de enlaces o descargas de contenidos potencialmente maliciosos.

Backup, más allá de la Recuperación de Datos

Commvault informó que  lamentablemente, por más que el Backup (Copia de Seguridad) sea fácil de realizar, la mayoría de las empresas no ejecuta este procedimiento de forma recurrente, dejando sus datos en situación vulnerable.

La iniciativa de la celebración del día del Backup, cada 31 de marzo, surgió con el objetivo de alertar sobre la importancia de realizar una copia de seguridad en los datos, sean personales o empresariales, ya que de acuerdo con una encuesta realizada por Gartner en 2018, el volumen de datos diarios es de cerca de 2,2 millones y la previsión es que para el año 2020 llegue a 40 billones de gigabytes; lo cual nos alerta del contexto y grado de riesgo en que se encuentra desde ahora la información.

Enrique Valerio, director de Ventas para Latinoamérica Hispana de Commvault, entiende que la tendencia hacia este universo es el aumento en el cuidado que las organizaciones tienen con sus propios datos y en ese sentido hace las siguientes recomendaciones:

 

  • Los sistemas de respaldo deben ser escalables para mantener el ritmo del crecimiento de los datos

Los datos se han convertido en un componente integral para nuestra vida privada y profesional, desde información confidencial de negocios hasta fotos y videos personales; con un estimado de 1.8 zettabytes de datos generados anualmente sorprende que pocas compañías tengan completamente documentado un plan de protección y recuperación de información.

 

  • Entender el ambiente en que se mueven los datos

Hoy por hoy, es importante que se reconozca el valor que tiene toda la información que los empleados generan, no solo como información general, sino como su activo más importante que le ayudará a tomar todas las decisiones de su negocio. Ahora en México, se comienza a entender la importancia de la gestión de datos y lo esencial que es darle continuidad, así como invertir al departamento de TI.

 

  • Centralizar y automatizar las copias de seguridad desde donde se desee

Con Commvault, se tiene absoluto control de sus datos gracias a su única plataforma que funciona de una forma sencilla, en donde puede se activan los datos desde donde el usuario se encuentre.