Etiqueta: Deep Web

Todo lo que necesita saber del mundo de las Criptomonedas

Actualmente, existen más de 800 monedas en el ámbito digital, es decir, el Internet del Valor (IoV), también llamado Internet del Dinero, que permite una infinita posibilidad de transacciones sin que quede registros de las mismas. Esto permite a los usuarios tener el control absoluto de su dinero, así como la exposición total del mismo.

Es por ello que Always On, una compañía de protección digital de origen española y con presencia y expansión en latinoamérica, recomiendan conocer los aspectos imprescindibles antes de entrar en el mundo de IoV y la instalación de sistemas de ciberseguridad si se van a realizar este tipo de operaciones, ya que son el objetivo de numerosos hackers.

Algunos conceptos para conocer el mundo de las transacciones digitales mediante dinero virtual son los siguientes:

La diferencia entre la moneda digital o electrónica y la criptomoneda es que la primera es emitida por los bancos y cuenta con su correspondiente supervisión, mientras que la criptomoneda tiene un creador privado y no es controlada por ningún organismo o gobierno.

El monedero o cartera digital de un usuario es aquella en la que se registra el dinero y las transacciones. Es posible hackearlo mediante técnicas de phishing, robar sus credenciales, acceder al mismo y sustraer sus fondos.

En sus comienzos las criptodivisas se adquirían y utilizaban en la deep web, la red paralela a internet en la que se realizan la mayoría de las transacciones ilegales y que gracias a estos criptoactivos mantienen el anonimato de los usuarios. En la actualidad se utilizan en la plataforma común de internet para realizar transferencias a otros monederos o como método de pago.

Las criptomonedas se utilizan como método de pago de rescates en ciberataques por su alto valor y la irrastreabilidad tanto de las cuentas, como de las transacciones y los usuarios.

Su diferencia con una cuenta bancaria es que no se asocia a una numeración, por ejemplo, en Bitcoin, la criptomoneda más popular, cualquiera se puede generar un número de cuenta, completamente aleatorio, no se pueden predecir de antemano ni conocer a qué persona física está asociada.

 

IDG.es

El RaaS Philadelphia revela las habilidades de venta de los ciberdelincuentes

Cada vez es más sencillo construir y lanzar ransomware, independientemente de las habilidades. Lo único que se necesita es mala intención y acceso a la dark web (un mercado donde se venden kits de malware como juguetes en Amazon). La tendencia se conoce como ransomware as a service (RaaS) y pocos ejemplos son tan llanos y peligrosos como Philadelphia.

En el Black Hat 2017, Sophos publicó el informe “Ransomware como Servicio (RaaS): Deconstruyendo a Philadelphia”, escrito por Dorka Palotay, investigadora de amenazas en la oficina de SophosLabs en Budapest, Hungría. El análisis profundiza en la mecánica interior de un kit de ransomware que cualquiera puede comprar por 400 dólares, que permite secuestrar y mantener los datos de una computadora para el rescate a cambio de pago.

A la intemperie

Los creadores del kit RaaS, The Rainmakers Labs, dirigen su negocio de la misma manera que una compañía de software legítima para vender sus productos y servicios. Mientras comercializan Philadelphia en mercados escondidos en la dark web, también tienen videos online que explican el funcionamiento del kit y cómo personalizar el ransomware con una gama de opciones de funciones.

Mientras que el RaaS no es nuevo, la comercialización abierta de un ataque de ransomware “hágalo usted mismo”, sí lo es.

“Es sorprendentemente sofisticado lo que The Rainmakers Labs está tratando de hacer aquí. Todos los detalles sobre Philadelphia son públicos en la World Wide Web, en lugar de estar secretos en la dark web, que es donde la mayoría de otros kits de ransomware se comercializan. No es necesario un buscador de Tor para encontrar Philadelphia y el hecho de que sea descaradamente vendido es serio y, desafortunadamente, indicativo de lo que está por venir”, dijo Palotay.

Seguir a las víctimas y (quizá) tener compasión

Además de la comercialización, el producto en sí es muy sofisticado, con numerosas variables que los compradores pueden adaptar para orientar mejor sus ataques, incluyendo la posibilidad de “seguir a las víctimas en un mapa de Google” y “tener compasión”. También se explican consejos sobre cómo construir una campaña, configurar el centro de comando y control y recaudar dinero. Todo está ahí.

Irónicamente, la función “tener compasión” no es necesariamente para ayudar a las víctimas, sino que está ahí para ayudar a los ciberdelincuentes a salir de una situación complicada. “En su mayor parte, la opción “compasión” significa dar a los cibercriminales una salida, si están en una posición precaria después de un ataque en particular”, dijo Palotay. También está allí en caso de que los amigos de un atacante accidentalmente se encuentren atrapados o si los criminales cibernéticos quieren probar su ataque.

La opción “seguir a las víctimas en un mapa de Google”, que suena espeluznante, da una idea de cómo los ciberdelincuentes determinan la demografía de los que han engañado, lo que podría ayudarles a decidir repetir un ataque o corregir un próximo ataque.

Philadelphia también tiene lo que se llama un “puente” – un script PHP para gestionar las comunicaciones entre atacantes y víctimas y guardar información sobre los ataques.

Tener opciones de personalización y puentes promete más beneficios y añade una nueva dimensión al ciberdelito que podría aumentar la velocidad de la innovación de ransomware, comentó Palotay. En otros casos de RaaS examinados por SophosLabs, las estrategias de fijación de precios abarcaban desde la división de un porcentaje del rescate procedente de las víctimas con los clientes del kit, hasta la venta de suscripciones a los paneles que siguen a los ataques.

Código robado

El informe también revela que otros ciberdelincuentes han “crackeado” o pirateado Philadelphia y venden su propia versión a un costo menor. Mientras que el crackeo no es nuevo, la escala es interesante. Los ataques que no requieren que los criminales sepan exactamente lo que hacen y que están fácilmente disponibles para su compra están en constante evolución. Sophos estima que esta tendencia aumentará la apuesta y también el fraude contra los ciberdelincuentes continuará.

“No es raro que los ciberdelincuentes roben el código de otros o se basen en versiones anteriores de otros programas de rescate, que es lo que vimos con el reciente ataque NotPetya”, dijo Palotay y explicó: “El ataque de NotPetya combinó Golden Eye, una versión anterior de Petya, con Eternal Blue para propagar e infectar computadoras a nivel mundial”.

N de P. Sophos

FBI y Europol cierran AlphaBay y Hansa, dos de las web oscuras más grandes

Los sitios AlphaBay y Hansa, enfocadas al comercio de artículos ilícitos tales como drogas, armas, malware y datos robados conocido como web oscura o dark web, han sido cerrados.

Según Europol, había más de 250,000 listados de drogas ilegales y productos químicos tóxicos en AlphaBay, web que ha estado inactiva desde principios de julio. Hansa, sin embargo, fue incautada y supervisada encubiertamente durante un mes antes de ser desactivada. La agencia ha dicho que creía que esta redada conduciría a cientos de nuevas investigaciones en Europa.

Debido a este tipo de mercado, ha habido víctimas mortales. Una víctima tenía sólo 18 años cuando en febrero se tomó una sobredosis de un poderoso opioide sintético que había comprado en AlphaBay y un niño de 13 años murió después de una sobredosis de un opioide sintético comprado por un compañero de escuela secundaria a través del sitio.

Esta enorme acción coordinada ha acabado en unos cuantos arrestos, un sospechoso clave que al parecer se suicidó siete días después de haber sido puesto bajo custodia, (Cazes fue encontrado muerto en una celda de la cárcel de Bangkok), y la incautación de millones de dólares en activo, tres propiedades y cuatros coches Lamborghini. “Los narcotraficantes y otros criminales importantes en todo el mundo han sufrido un golpe serio hoy”, explica el director ejecutivo de Europol, Rob Wainwright. Se trata de una operación “histórica”, según el director interino de la Oficina Federal de Investigaciones (FBI), Andrew McCabe.

Aun así, el DoJ y Europol ambos reconocen fácilmente que los nuevos servicios simplemente aparecerán para reemplazarlos. Esto ocurrió con el cierre del mercado de la web oscura anterior Silk Road en 2013, la cual fue finalmente sustituida con la aparición de AlphaBay -más grande, más lucrativo y, por su aspecto, más peligroso-.

Las investigaciones han sido dirigidas por el FBI, la Agencia Antidrogas de Estados Unidos (DEA) y la Policía Nacional Holandesa. Además, la policía de otros países también contribuyó, incluida la de Reino Unido, Francia y Lituania.

Redacción

 

Claves para enfrentar a la ciberdelincuencia en fechas electorales

El próximo 4 de junio en varios estados de la República Mexicana celebrarán elecciones para elegir gobernador y renovar al poder legislativo local, colocándose el Estado de México como la entidad que más ha acaparado la atención.

En estas épocas electorales el foco principal es la ventaja competitiva, el robo de información estratégica del adversario, acceso las bases de datos electorales rivales, pero también incrementan las operaciones encubiertas diseñadas para ocultar, engañar, difamar o desinformar a la audiencia para hacerle creer que ciertas actividades son llevadas a cabo por ciertos grupos, partidos u organizaciones completamente distintos de los que realmente las planearon y ejecutaron.

Carlos Ayala Rocha, Solution Architect LATAM para Arbor Networks, opinó que este tipo de amenazas está ligado a la inteligencia para el manejo de la información a través de operaciones psicológicas (PsyOP) que tienen que ver con cualquier acción con la finalidad de causar reacciones basadas en la influencia, motivos, emociones y creencias; manipulación psicológica de las personas en este caso el electorado.

“Si lo llevamos al terreno del ciber dominio podemos mencionar operaciones Pay-per-install, las cuales hemos identificado en el Gobierno Mexicano en donde adversarios talentosos venden acceso a los dispositivos comprometidos al mejor postor”, informó el especialista.

Agregó que estos servicios Pay-per-install son publicados en foros “en la deep web” atrayendo a atacantes y distribuidores de malware quienes han sido contratados para instalar código malicioso como Andrómeda, empleado por su diversidad y versatilidad maliciosa con módulos como troyanos, rootkits, “form grabbers”, “key loggers”, y accesos remotos ocultos para ganar acceso en la víctima objetivo”, explicó Ayala Rocha.

De acuerdo con el 13° Estudio sobre los Hábitos de los Internautas en México de la Asociación de Internet.mx (antes Amipci), el 92% de los usuarios realizó búsquedas específicas de información sobre procesos electorales en Internet, lo que demuestra que existe un gran interés en la evolución de los procesos electorales; en tanto, los sitios preferidos para buscar información sobre procesos electorales son las Redes Sociales (97%), Portales de noticias (79%) y Buscadores (74%).

Arbor Networks destaca que las herramientas defensivas deben cambiar para enfocarse en tácticas, técnicas y procedimientos para detener a los atacantes en su camino, y comparte 5 recomendaciones para que las organizaciones puedan frustrar un ataque.

Implantación de herramientas de detección temprana y forense asi como seguridad en la disponibilidad de servicios. Contar con una visibilidad total de lo que está pasando en materia de riesgo contribuye a una detección oportuna de amenazas o de actividades anómalas.  Las compañías deben mejorar la visibilidad en sus puntos ciegos, ya sea en el punto final, en los datos o en la nube. También deberán considerar la protección de disponibilidad de los servicios ya que DDoS es un gran vector de explotación utilizado en estos casos con motivación política.

Ciber inteligencia de amenazas y Respuesta a Incidentes. Tener una mayor conciencia a través de las vulnerabilidades del negocio significa que las organizaciones pueden predecir el siguiente movimiento de un atacante antes de que suceda. La ciber inteligencia facilita la toma de decisiones a través de una visión razonada de posibles ciber amenazas futuras; busca proporcionar múltiples fuentes de información para agregar contexto, así como tener una visión macroscópica de lo que sucede en el ciberespacio con el objetivo de mejorar el proceso de Respuesta a Incidentes.

Mejorar el proceso de priorización (triaje). La razón por la que las organizaciones tienen dificultad para enfocarse en lo importante no solo es por la naturaleza avanzada de las amenazas, sino porque tienen muchos datos por analizar. Por lo tanto, se requieren procesos analíticos de largo término, con múltiples fuentes de información para enfocarse en lo significativo y proporcionar Conciencia Situacional.

Educación de los empleados e incrementar personal especializado en seguridad.  Las organizaciones deben educar a los empleados hasta asegurarse de que todos son conscientes de los diferentes tipos de amenazas y qué hacer si detectan algo malicioso en la red. Además, la asimetría contra los adversarios se combate con talento humano, por ello será necesario robustecerse con personal especializado en seguridad; las herramientas son necesarias, y los procesos guías, pero quien instrumenta ambos son las personas.

Organizar un equipo de caza. Si las compañías no tienen un equipo de caza están perdiendo la batalla contra la ciberdelincuencia. Requieren de un equipo activo de caza para que la ciber inteligencia de amenaza tenga un impacto positivo en la organización.

N. de P. Arbor Networks

Hacker demuestra que la Deep web puede ser comprometida

En la actualidad todo es vulnerable. El viernes pasado un hacker no identificado se descargó una gran base de datos robada de Freedom Hosting II en Internet, exponiendo potencialmente a sus usuarios. Este sitio es conocido por operar miles de webs accesibles a través del navegador Tor, un sistema utilizado en una red encriptada a la que llamamos “la web oscura”. Pero la semana pasada este servicio parecía haber caído. Su página de destino principal fue reemplazada por un mensaje que decía: “Hola, Freedom Hosting II, has sido hackeado”.

El hacker responsable de este ataque apunta que Freedom Hosting miente ya que, aunque el servidor asegura que no almacena pornografía infantil, él pudo encontrarla sin problemas. “Lo que encontramos durante la búsqueda es que más del 50% era pornografía infantil”, escribe el hacker en el sitio web. “Además, aloja sitios fraudulentos, algunos de los cuales son evidentemente ejecutados por usted mismo para cubrir los gastos de alojamiento”.

En un correo electrónico al servicio de noticias IDG, el hacker explicó cómo se produjo el ataque. Freedom Hosting II trabajó como un servicio gratuito que permitió a cualquier persona registrarse y crear un sitio en la web oscura.

Sin embargo, a partir del 30 de enero, el hacker obtuvo acceso a su servidor web, utilizando un método de 20 pasos.

El hack inició un nuevo sitio en Freedom Hosting II y creó un enlace para obtener acceso al directorio raíz del servicio. Esto permitió al hacker explorar todo el servidor. Después de atravesar sitios pornográficos infantiles, el hacker decidió hacerse cargo de Freedom Hosting II alterando su archivo de configuración para activar un restablecimiento de contraseña. “Una vez que descubrí lo que estaban hospedando, sólo quería cerrarlos”, asegura el hacker. Además, “la IP del servidor se ha filtrado, lo que potencialmente podría revelar la identidad del administrador”, agregó el hacker.

Chris Monteiro, un investigador de cibercrimen de Reino Unido, ha estado mirando los datos obtenidos y asegura que parecen reales. La información incluye los sitios que Freedom Hosting II había estado operando, las credenciales de administrador para acceder a ellos, una base de datos de clientes, esto significa que cualquier persona que utilizó Freedom Hosting II podría estar expuesta, mensajes en el foro de usuarios que mencionan sexo con menores, la venta de cuentas de Internet hackeadas y archivos que hacen referencia a botnets y estafas online.  Aun así, Monteiro duda que encuentren sitios grandes que exploten pornografía infantil”, señala Monteiro.

De acuerdo con el mensaje del hacker, Freedom Hosting II es responsable de 10,613 sitios. Sin embargo, la base de datos descargada indica que una gran mayoría de esos sitios tenían sólo unas pocas decenas o cientos de visitas de usuarios. Troy Hunt, un experto en violación de datos, dijo en un tweet que observó que la base de datos contenía 381,000 direcciones de correo electrónico. “La policía tendrá absolutamente estos datos, son muy públicos. Obviamente contiene muchas direcciones de correo electrónico reales en él”, explica en el tweet.

Redacción

 

El robo de datos personales aumentó 250% en 2016

Es probable que haya oído hablar de los dueños de empresas de tecnología, como Jeff Bezos, Larry Page y Warren Buffet. Sin embargo, ¿Sabía usted que hay una larga lista de propietarios de negocios, que tienen millones de dólares a su alcance, pero de los que nunca oyó u oirá hablar? Estas personas nunca estarán en un artículo ni publicarán una biografía.

¿Quiénes son estas personas? los propietarios de negocios Crimeware como un Servicio o CaaS (por sus siglas en inglés, crimeware-as-a-service). Para los cibercriminales subterráneos, CaaS ofrece una nueva dimensión de la delincuencia informática, ya que está más organizado, automatizado y accesible para los criminales con conocimientos técnicos limitados. Hoy en día, los cibercriminales pueden desarrollar, promocionar y vender cualquier cosa, desde una red de bots a un navegador Exploit Pack o DDoS kits de herramientas de ataque. En resumen, los ciberdelincuentes pueden obtener datos confidenciales, como números de tarjetas de crédito, nombres y direcciones, con sólo un par de clics y un pago.

El mercado CaaS no se define por un par de pequeños actores maliciosos, sino que es una red compleja y con una variada gama de organizaciones, todas enterradas dentro de Internet. Estas organizaciones se encuentran fuera del alcance de los índices de búsqueda y puntos de acceso frecuentes, haciéndolos invisibles para un usuario Web común. Según el Grupo Antiphishing APWG, el robo de datos personales ha crecido un 250% en 2016, aunque el phishing es sólo un ejemplo de cómo el Crimeware ha alcanzado un tamaño sin precedentes durante este año.

Hace diez años, CaaS estaba todavía en las primeras etapas. Como se evidencia en “Una breve historia de la piratería” (A Brief History of Hacking), los actores maliciosos tenían las herramientas y la tecnología que necesitaban para causar graves problemas, pero su atención se centraba más en el poder que en el rédito económico. En ese momento, los principales cortes eran para demostrar que los hackers podían entrar en los sistemas al aprovechar distintas vulnerabilidades.

Aditya K Sood, director de seguridad y del laboratorio de amenazas a la nube en Blue Coat Systems muestra algunos de los productos más vendidos por el CaaS en 2016:

  • Las redes de bots o botnets de control: Un botnet es una red de computadoras que están infectados con un software malicioso que permite a los ciber delincuentes controlar los ordenadores sin el conocimiento de los usuarios. Empresarios subterráneos venden el acceso a estos ordenadores ya infectados que controlan, a menudo en grandes cantidades, por precios que van desde 100 dólares por mes (para alquilar la infraestructura) a 7.000 dólares para comprar un sistema completo.
  • Paquetes explotadores de navegador (BPE, por sus siglas en inglés): Junto con un Botnet, los BPEs permiten a los compradores compartir ransomwares o softwares espías a gran escala. Al igual que cualquier sofisticada pieza de malware, BEP tienen módulos integrados para la ofuscación, listas negras, administración y optimización del tráfico. Para un paquete completo BEP, los vendedores pueden pedir de 3.000 a 7.000 dólares.
  • Phishing Toolkits personalizados con Exploits armados: Para los hackers que desean dirigirse a un grupo específico, o sólo a usuarios inesperados, pueden pagar por un agente malicioso para establecer un protocolo de transferencia de correo simple (SMTP), página Web estafa o proporcionar listas de correo de alta calidad. Cada una de estas opciones puede costar entre 15 y 40 dólares. Otra oferta popular que combina bien con un conjunto de herramientas de ataque de phishing son los “documentos armados”. Estos archivos maliciosos se ven como un regulador documentos de Microsoft Office (Word, XLS, PPT, etc.), aprovechando las vulnerabilidades inherentes en el paquete MS Office para descargar malware en el sistema del usuario final.

¿Por qué el CaaS está creciendo?

CaaS ha florecido junto con el crecimiento de malware y otros softwares de Crimeware. Aparte de los factores tecnológicos que ayudan a crecer a la actividad cibernética maliciosa, las economías de mercado simple están apoyando a la industria.

La oferta y la demanda juegan un papel importante al bosquejar los precios del crimeware. De esta manera, el costo de los diferentes servicios de crimeware se ha incrementado recientemente debido a que varios de estos criminales fueron atrapados durante las operaciones de lucha contra la ciberdelincuencia, afectando el suministro de estos servicios.

¿Podemos frenarlo?

La detención de delincuentes informáticos es una prioridad para las organizaciones como el FBI y de los cuerpos de seguridad de todo el mundo. Ya ha habido varios esfuerzos para combatir el delito cibernético, pero ninguno hasta la fecha ha tenido un impacto monumental en la industria de servicios de Crimeware.

Al final del día, el mercado del CaaS es innovador, pero nosotros también. Nuestra mejor esperanza es continuar iluminando la Web oscura y que se sepa que el CaaS existe.

Redacción

Aumenta en los últimos seis meses la Deep Web

Lo que más se ha encontrado en la Deep Web es el comercio de órganos para trasplantes, la compra de armas, la captación de sicarios o la contratación de hackers para atacar a empresas de la competencia son, entre otras, muchas de las actividades ilegales que se llevan a cabo en la red.

El informe Net Index Eliminalia, un servicio de estudios de la compañía Eliminalia cuya función es borrar contenido de la red, ha publicado hoy la evolución de la Internet profunda durante los últimos seis meses. Este espacio virtual, también llamado Internet invisible, alberga contenidos no indexados por los motores de búsqueda convencionales y, por consiguiente, no se encuentran a través de Google, Yahoo, Bing, DuckDuck Go y otros buscadores conocidos.

Su acceso es complejo ya que suelen ser páginas web protegidas con contraseña o que requieren un programa o protocolo específico para poder acceder a ellas. Sus lenguajes en general no están construidos en html y establecen “trampas” de intermediación, sobre todo servidores proxy o VPN, para reconducir el tráfico. Son archivos o informaciones almacenadas o no, que pueden ser recuperadas o no, de diferentes formas. El más utilizado, sin embargo, es el contenido alojado en páginas web que cambian constante y automáticamente de dominio. En todo caso, sus contenidos están protegidos por sistemas configurados para maximizar la privacidad y el anonimato.

El “Top 10” de las actividades ilegales que se llevan a cabo en la red son: el comercio de órganos para trasplantes, la venta de armas y creación de explosivos, la venta de narcóticos, el cruce de fronteras, la contratación de hackers para atacar a empresas de la competencia, la suplantación y nueva identidad para personas, la captación de sicarios y mercenarios, la falsificación de billetes, la trata y el trabajo ilegal de mujeres y niños, y la venta de productos robados. Además, existen otros muchos contenidos ilegales que siguen siendo muy activos: las páginas eróticas, la distribución ilegal de música, libros e imágenes, el activismo político expresado en la difusión de manuales de guerrilla urbana, y las falsificaciones de todo tipo, ya sea de productos de gran consumo como de pasaportes y carnets de estudiantes o de transporte urbano.

Según el presidente de Eliminalia, Dídac Sánchez, empieza a ser urgente que los Gobiernos adopten medidas de seguridad para limitar al máximo la facilidad de ciertos accesos”. “Proponemos de entrada bloquear la IP de los usuarios que se sabe consumen pornografía infantil o compran droga. El último caso del suicidio de la italiana Tiziana Cantone pone de relieve la necesidad de poner coto a ciertos abusos que se están produciendo en internet”, afirmó.

Claudia Ortiz-Tallo

 

Hacker intenta vender 167 millones de cuentas de usuarios de LinkedIn

Los datos ofrecidos en la red contiene contraseñas en formato hash de 117 millones de cuentas de LinkedIn, es presume que el robo de la información fue en 2012. Se recomienda cambiar la contraseña, sobre todo si se usa la misma para otros sitios, por ello durante esta semana la red social ha realizado la petición de cambio de contraseña al intentar accesar.

Un hacker ha intentado vender una base de datos que contiene registros de cuentas de 167 millones de usuarios de LinkedIn. El anuncio se publicó en un sitio web del mercado oscuro llamado TheRealDeal por un usuario que pedía 5 bitcoins, unos 2 200 dólares, por el conjunto de datos que supuestamente contenían ID de usuarios, direcciones de correo electrónico y contraseñas SHA1 de 167 370 940 usuarios. Según el anuncio de la venta, el volcado no cubría la base de datos completa de LinekdIn. De hecho, LinkedIn afirma que su sitio web tiene más de 433 millones de miembros registrados.

Triy Hunt, creador de Have I been pwned?, un sitio web que permite a los usuarios comprobar si han sido afectados por filtraciones de datos conocidas, considera que es muy probable que la fuga sea verídica. Él ha tenido acceso a alrededor de un millón de registros del conjunto de datos. “He visto un subconjunto de esos datos y puedo verificar que es real”, explica Hunt.

LinkedIn ya sufrió una brecha de datos en 2012, que dio como resultado que los registros de seis millones y medio de usuarios y las contraseñas se publicaran online. Es muy posible que esa brecha de 2012 fuera más grande de lo que se pensaba y el resto de datos robados estén saliendo a la luz ahora. Por el momento, Linkedin no se ha pronunciado al respecto a pesar de sólo pedir el cambio de la contraseña sin especificar la causa.

Los intentos de ponerse en contacto con el vendedor fracasaron, pero los administradores de LeakedSource, un sitio web de indexación de fugas de datos, afirman tener también una copia del conjunto de datos y creen que estos registros provienen de la brecha de 2012.

Contraseñas hash

Las contraseñas fueron almacenadas en SHA1 sin salt, explicaron los administradores de LeakedSource en su blog. “Eso no es lo que proponen los estándares de Internet. Sólo 117 millones de cuentas tienen contraseñas y suponemos que el resto de usuarios se registraron a través de Facebook o algo similar”. Las mejores prácticas de seguridad exigen que las contraseñas se almacenen en formato hash dentro de las bases de datos. El hashing es una operación unidireccional que genera representaciones criptográficas únicas y verificables de una cadena llamada hash. El hashing es la forma más utilizada para validar contraseñas porque la ejecución de una contraseña con el mismo proceso de hashing, siempre va a dar como resultado el mismo hash, lo que permite la comparación con una almacenada previamente en la base de datos.

La conversión de un hash a la contraseña original debería ser imposible, por lo que es más seguro almacenar hashes en lugar de contraseñas de texto sin formato. Sin embargo, existen antiguas funciones de hashing, como el MD5 y el SHA1, que son vulnerables a varias técnicas de crackeo y no deberían ser usadas. Cuando 6.5 millones de contraseñas hash de LinkedIn se filtraron en 2012, los hackers lograron desencriptar un 60% de ellas. Lo mismo puede pasar con estos 117 millones de nuevos hashes, por lo que no se puede considerar que estén a salvo.

Peor aún, es posible que muchos de estos usuarios de LinkedIn que se vieron afectados por la filtración, no hayan cambiado sus contraseñas desde 2012. Hunt ha podido verificar este punto porque al menos un suscriptor de HIBP tenía su contraseña hash y dirección de correo en el nuevo conjunto de datos que ahora ha salido a la venta.

Gran parte de los afectados por esta fuga son propensos a utilizar las mismas contraseñas en múltiples sitios de la web, según comentó Hunt. Se ha recomendado a los usuarios de LinkedIn que no hayan cambiado sus contraseñas durante mucho tiempo, que lo hagan lo antes posible. También se recomienda activar la verificación en dos pasos de LinkedIn y si se utiliza la misma contraseña para otros sitios web, también se debería cambiar.

Lucian Constantin

Las principales brechas de seguridad de 2015

Tanto el ransomware, como la pérdida de dispositivos o exploits-day-to-day son algunos de los ingredientes de los problemas a los que se enfrentan las empresas, según el último informe de seguridad de Trend Micro.

Dentro del informe anual de seguridad, llamado, “Preparando el escenario: el horizonte de amenazas dicta las futuras estrategias de respuesta”, estudia las mayores brechas de seguridad del 2015 y marca las tendencias generales de esta área. Los ciberdelincuentes son cada vez más atrevidos e ingeniosos así como el ciberespionaje que llevan a cabo y su actividad clandestina.

“Los métodos tradicionales de protección de datos y activos no son suficientes, deben reevaluarse la seguridad corporativa y personal”, señala Raimund Genes, CTO de Trend Micro.

El ransomware y otros tipos de ataques es una preocupación creciente para las organizaciones; casos famosos como el de Hacking Tean y Anthem, representan los mayores miedos y riesgos de las empresas. Las brechas más importantes en los Estados Unidos del año pasado fueron el resultado de la pérdida de dispositivos en un 41% de los casos (la piratería y el malware le siguen de cerca).

“Las organizaciones deben estar preparadas para defenderse de unos ataques potencialmente mayores en 2016. Este descubrimiento puede ayudar a la comunidad de seguridad a anticiparse y responder en las áreas en las que los hackers están intentando mejorar”, añade Genes.

El informe también señala que en el 2015 se descubrieron más de 100 ataques zero-day, junto con la campaña de ciberespionaje de larga duración, Pawn Storm. Esta campaña empleó exploits de día cero para atacar organizaciones de cierta importancia (alcanzando organismos de defensa de Estados Unidos, fuerzas armadas de cierto país de la OTAN o ministerios de asuntos exteriores).

La Deep Web tampoco se queda al margen; la parte más oscura de la red ofrece refugio a los mercados clandestinos en los que se ofertan datos específicos muy rentables según la región (desde pornografía infantil hasta información sensible privada).

Otra área que empieza a vivir un auge en sus ataques es el IoT, una industria que se está desarrollando a marchas forzadas en cuanto a seguridad se refiere y que según comentan los expertos no cuenta con la preparación necesaria para proteger al usuario de ciberataques sencillos.

El malvertising que aparece en el estudio tampoco es ninguna novedad: en el 2015 el Angler Exploit Kit fue el más sonado, con un 57.3%  en la “cuota de mercado” de los los Kit Exploit.

El informe concluye no sin buenas noticias: durante el año pasado se desmanteló la famosa botnet DRIDEX, aunque como repercusión negativa se relanzó la infraestructura Comando y Control (C&C) alojada en un proveedor de hosting inexpugnable.

-Redacción

Presentan estudio de ciberdelincuencia de la Deep Web

Dentro de la Deep Web, encontramos la ciberdelincuencia, analizado en profundidad por Trend Micro, se marca una gran diferencial de otros como el de Rusia o China en este se tiene un alto nivel de apertura, dando cabida a todos los negocios y sirviendo como ruta de migración para que los delincuentes tradicionales se conviertan en ciberdelincuentes.

La firma de seguridad ha publicado su informe sobre el mercado clandestino o “underground” del cibercrimen en Norteamérica. Titulado “North American Underground: The Glass Tank”, esta investigación forma parte de la iniciativa Deep Web y la Cybercriminal Underground Economy Series (CUES) Program.

A diferencia de sus homólogos en otros países, la web profunda de Norteamérica fomenta por igual la actividad cibercriminal entre los principiantes y los profesionales experimentados. Los importantes autores de esta investigación, Kyle Wilhoit y Stephen Hilt, ambos del equipo de investigación FTR de Trend Micro, muestran cómo el mundo este mercado clandestino de la ciberdelincuencia en América del Norte ha madurado pasando de las actividades habituales relacionadas con las drogas, para convertirse en un creciente y diverso mercado de descarga de datos y documentos falsos, entre otras muchas actividades.

“El alto nivel de sofisticación de los servicios y herramientas que encontramos en el underground norteamericano permite a los ciberdelincuentes evolucionar en todo el espectro de la experiencia”, explica Raimund Genes, CTO de Trend Micro.

“Con bienes y servicios ilegales que abarcan tanto el ámbito físico como el virtual, y que van desde malware avanzado a estupefacientes, este mercado preocupa particularmente. Como tal no es de extrañar que hayamos visto una concentración de la actividad policial en la denominada Deep Web que está permitiendo que se produzcan arrestos y persecución de sus usuarios”. El acceso a este mercado clandestino es relativamente sencillo a través de los principales motores de búsqueda, es decir, en web superficial. Las transacciones que se llevan a cabo  en él implican varios pasos para mantener el anonimato tanto de compradores como de vendedores a través de moneda virtual e intercambios.

El estudio obtuvo algunos hallazgos

Crimeware: considerado como un elemento esencial dentro de cualquier mercado clandestino básico, algunos foros de América del Norte venden exclusivamente herramientas de hacking.

Servicios Crypting: posiblemente el crimeware más codiciado en el underground hasta la fecha. Estos proveedores de servicios ofrecen comprobar cómo muchos productos de seguridad marcan el código “malicioso” y luego cifran el malware tantas veces como sea necesario para evitar su detección.

Datos de tarjetas de crédito, clones y falsificaciones: los cibercriminales más comunes venden información como, por ejemplo, datos de tarjetas de crédito. También abundan los clones o copias de tarjetas de crédito robadas.

Drogas y armas: las personas que participan en las transacciones relacionadas con drogas tratan de mantener el anonimato, mientras que el mercado de armas revela contactos extranjeros que permiten la entrega fuera de América del Norte.

-Marga Verdú