Apple se convierte en el punto de mira de los fallos de seguridad en junio
Acabó la primavera pero no los ataques a empresas y organismos públicos ni las vulnerabilidades a sistemas informáticos. El mes de junio ha traído numerosas noticias en materia de seguridad informática, entre las que destacan las vulnerabilidades en diferentes sistemas y aplicaciones de Apple, fallos en los teléfonos Samsung Galaxy, un repunte en los correos con malware, conflictos en la privacidad de Facebook y nuevos ransomware, entre otros.
Las vulnerabilidades de Apple ya no son una quimera
No ha sido un mes tranquilo para Apple. La empresa de la manzana ha visto cómo se han publicado varias vulnerabilidades en sus sistemas y aplicaciones que comprometían su seguridad y la de los datos de los usuarios.
Comenzaba el mes con la publicación de una vulnerabilidad en la EFI (firmware que permite iniciar la carga del sistema operativo y los componentes del ordenador en Mac) de los portátiles MacBook fabricados antes de mediados de 2014. Este fallo provocaba que el firmware de la máquina no se bloqueara, con lo que los delincuentes podían escribir sobre el EFI y obtener el control del portátil mediante la instalación de un rootkit.
Además, se descubrió un conjunto de vulnerabilidades en los sistemas iOS y Mac OS que permitían saltarse la seguridad de la App Store y publicar aplicaciones maliciosas, utilizadas posteriormente para acceder al llavero donde se almacenan las contraseñas críticas del usuario. Según los investigadores, más del 88 % de las aplicaciones presentes en la App Store estuvieron expuestas a un ataque de este tipo.
Siguiendo con el tema de las contraseñas en servicios y aplicaciones de Apple, un investigador encontró un fallo de seguridad en la aplicación de correo presente en la versión 8.3 de iOS. Este fallo permite cargar contenido HTML de forma remota, reemplazando el mensaje en el email original y permitiendo a un atacante, por ejemplo, insertar un formulario en el correo que sea idéntico a los mensajes mostrados por iCloud. De esta forma, se podrían robar credenciales de iCloud sin que los usuarios afectados sospechasen.
La instalación de aplicaciones fraudulentas en sistemas iOS sin jailbreak está comenzando a ser una realidad, al menos en el mercado asiático. Masque Attack y Wirelurker ya demostraron hace unos meses que era posible instalar aplicaciones no firmadas por Apple sin necesidad de liberar el teléfono. Durante junio supimos cómo se utilizaron estas técnicas para engañar a usuarios japoneses, haciéndoles creer que deberían pagar elevadas cantidades de dinero tras haber contratado, supuestamente, un acceso a webs de contenido erótico.
Y precisamente Apple fue el gancho utilizado por algunos delincuentes para una campaña de phishing en la que se animaba a los usuarios a rellenar un formulario con información personal, incluyendo el Apple ID y la contraseña, junto con los datos de la tarjeta de crédito, todo ello emulando de forma acertada la web de Apple y su imagen corporativa.
Vulnerabilidades en Adobe, Microsoft y en los teléfonos Samsung Galaxy
En junio también han aparecido numerosas vulnerabilidades en otros sistemas operativos y aplicaciones. El caso más grave fue el de Adobe Flash Player, puesto que algunas de las vulnerabilidades corregidas ya estaban siendo explotadas por atacantes para propagar malware a través de navegadores como Internet Explorer o Firefox. Además, Adobe tuvo que lanzar actualizaciones varias veces a lo largo del mes para evitar que los agujeros de seguridad en sus productos fueran utilizados de forma masiva por los ciberdelincuentes.
En lo que respecta a Microsoft, los habituales parches de seguridad publicados cada segundo martes de mes corregían numerosas vulnerabilidades en Internet Explorer, Microsoft Office y Windows Media Player, entre otros. Además, un investigador de Google publicó una lista de quince vulnerabilidades que afectaban tanto a Adobe Reader como Windows y que podrían utilizarse para escalar privilegios en un sistema vulnerable.
Los teléfonos móviles de Samsung y más concretamente los de su familia Galaxy vieron cómo se publicaba una vulnerabilidad que afectaba a la actualización de la aplicación de su teclado SwiftKey. Al parecer, esta aplicación se comunica periódicamente con los servidores en busca de actualizaciones pero lo hace sin cifrar los datos. Esto permitiría un ataque Man-In-The-Middle que sería capaz de interceptar los datos y modificarlos para que se descargase un código malicioso en lugar de una actualización, poniendo en riesgo la seguridad del smartphone. Se calcula que alrededor de 600 millones de dispositivos Samsung serían vulnerables.
Oleadas de correos con malware
Durante junio se ha observado un repunte en el uso de correos electrónicos para propagar códigos maliciosos. A principios de mes analizábamos un email con un adjunto que se hacía pasar por un fax y que en realidad se trataba de un troyano bancario.
La cercanía del lanzamiento de Windows 10 también está siendo aprovechada por los ciberdelincuentes como gancho para conseguir engañar a usuarios desprevenidos. A través de varios vídeos publicados en YouTube se proporcionaban enlaces para descargar los supuestos instaladores de Windows 10. La realidad era que estos enlaces redirigían a servicios de suscripción a mensajes Premium y también instalaban molesto adware.
Además, durante el mes de junio también se han propagado campañas de correos maliciosos orientadas a usuarios españoles que suplantaban operadoras de telefonía móvil (como Movistar y Orange) y otras empresas. La buena redacción de los correos, e incluso el uso de logotipos corporativos y la suplantación de los remitentes, provocó que más de un usuario estuviera tentado o incluso ejecutara el código malicioso.
“Los casos de correos electrónicos maliciosos suplantando empresas legítimas y con buena reputación demuestran que aún hoy es posible propagar malware de forma efectiva con técnicas muy básicas”, comenta Josep Albors, director de comunicación y del laboratorio de ESET España. “Debemos aprender a identificar estos correos y desconfiar de aquellas comunicaciones inesperadas y no solicitadas que podamos recibir por parte de supuestas empresas”.
El creador del ransomware Locker se arrepiente
Para hacernos una idea del impacto del ransomware a nivel mundial, el FBI publicó recientemente un informe en el que se afirmaba que sólo la variante Cryptowall en Estados Unidos había conseguido de los usuarios infectados la cantidad de 18 millones de dólares en el periodo comprendido entre abril de 2014 y junio de 2015.
Pero también hubo buenas noticias en el mundo de la seguridad, que vinieron de las manos del creador del ransomware Locker, quien, en un signo de supuesto arrepentimiento, hizo público un fichero .csv con las claves privadas de más de 60.000 víctimas de todo el mundo. A pesar de no ser un ransomware que haya afectado especialmente a usuarios españoles, esta noticia habrá alegrado a aquellos usuarios afectados.
Sin embargo, este vector estuvo muy presente durante el mes de junio con ataques como los perpetrados por Tox, un servicio web que permitía a cualquiera crear su propia muestra de ransomware de manera sencilla. Poco después, su creador abandonaba el proyecto, desbordado por la cantidad de peticiones recibidas.
Uno de los vectores de infección más peligrosos que se están utilizando actualmente para propagar ransomware es el uso de kits de exploits para infectar webs legítimas y conseguir que los usuarios se infecten al visitarlas. Aquellos usuarios que no tengan su sistema y aplicaciones actualizados ponen en riesgo sus ordenadores al visitar incluso aquellas webs de alta reputación que podrían haber sido atacadas por los delincuentes.
Un año después de que ESET publicara la primera investigación sobre Simplocker, las variantes de ransomware para Android siguen estando presentes y cada vez afectan a más usuarios. El método de infección más utilizado siguen siendo las aplicaciones falsas descargadas desde el terminal, aunque también se han visto casos de usuarios que se han infectado al visitar una web modificada por los atacantes.
Ataques a la privacidad en Facebook
Miles de usuarios de Facebook vieron mermada su privacidad durante el pasado mes cuando observaron que se habían publicado imágenes pornográficas sin su consentimiento en sus muros, provocando además que la imagen se propagase a varios de los contactos de cada usuario afectado. Su finalidad era instalar un complemento malicioso para el navegador Chrome.
Por otro lado, una agencia federal de Estados Unidos vio cómo se comprometían los datos de alrededor de cuatro millones de usuarios. Al tratarse de una agencia que funciona como servicio de recursos humanos a otras, como el FBI, el robo de estos datos causó bastante revuelo, especialmente desde que algunos expertos comenzaron a apuntar a China como el principal sospechoso.
El gestor de contraseñas LastPass se vio obligado a advertir a sus usuarios para que cambiasen las contraseñas de sus cuentas maestras, después de que su red de almacenamiento sufriese un ataque. Investigaciones posteriores descubrieron que el ataque no había afectado a los datos cifrados de los usuarios pero sí a otros datos como emails, recordatorios de contraseñas y hashes de autenticación.