Phishing y robo de cuentas en RRSS protagonizaron la ciberseguridad en febrero
El coronavirus que está afectando a gran parte del planeta en estos días ha servido de fuente de inspiración también para los ciberdelincuentes, que han aprovechado el asunto para realizar algunas campañas de propagación de malware.
A pesar de esto, las amenazas más destacadas en las últimas semanas han tenido como protagonista al phishing en varias de sus formas, lo que demuestra que los vectores de ataque clásicos como este siguen siendo muy efectivos actualmente.
Una de las tendencias que viene observando el laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, desde hace meses a la hora de analizar casos de phishing, son los correos electrónicos que se envían haciéndose pasar por empresas de reconocido prestigio y ligadas principalmente al sector del comercio electrónico y de los supermercados. En estos emails se indica a la víctima que ha sido seleccionada para realizar una encuesta de satisfacción y que, a cambio de hacerla, conseguirá un gadget tecnológico de elevado valor. Por supuesto, ni la encuesta es real ni se regalará nada, ya que la verdadera finalidad de los delincuentes es obtener los datos de la tarjeta de crédito de la víctima. Ejemplos de este tipo de amenaza los hemos visto durante las últimas semanas suplantando, por ejemplo, a Amazon o Makro.
El laboratorio de ESET también ha analizado otros casos en los que los delincuentes se hacen pasar por Mastercard y solicitan los datos de la tarjeta de crédito, usando como excusa un supuesto servicio obligatorio para poder realizar consultas de movimientos en nuestra cuenta. Un detalle importante en lo que respecta a la evolución del phishing es que casi todos los casos analizados recientemente ya incluyen un certificado válido en las webs fraudulentas, consiguiendo así el célebre candado verde, algo que provoca que muchos usuarios piensen que se trata de una web segura cuando no lo es. Además, los delincuentes tratan de obtener de forma ingeniosa los códigos de verificación que los bancos suelen enviar a sus clientes a la hora de hacer algunas operaciones. Estas estrategias se pudieron observar durante febrero al analizar el caso de un supuesto abono de una factura de Endesa.
Robo de cuentas en redes sociales
Uno de los incidentes de seguridad que más daño pueden hacer a la reputación de una empresa o persona es el robo de una cuenta o perfil de redes sociales. En un caso así, los delincuentes pueden difamar en nombre de la víctima y engañar a sus contactos para obtener información confidencial.
Con WhatsApp a la cabeza de los servicios de mensajería más usados en nuestro país y otras partes del mundo, no es de extrañar que muchos de estos ataques se centren en esta aplicación. El mes pasado se detectaron varios casos de intento de robo de cuentas de esta aplicación, con envíos de mensajes a las víctimas para tratar de engañarlas solicitando el código de doble factor de autenticación que los usuarios reciben en su móvil cuando los delincuentes intentan activar su cuenta en otro dispositivo.
Twitter ha sido otro de los servicios objetivo de los delincuentes, con casos como el del grupo OurMine, que tomó el control temporal de cuentas tan importantes como la del FC Barcelona o la del Comité Olímpico Internacional. El grupo aprovechó para difundir noticias falsas, como el posible regreso de Neymar al conjunto blaugrana, información que luego fue desmentida por el club y que anunció una investigación para evitar futuros incidentes similares.
A principios de febrero también supimos de un incidente de seguridad en Twitter que habría permitido en meses anteriores a delincuentes explotar una funcionalidad de esta red social para obtener los números de teléfono asociados a sus cuentas. Como consecuencia, Twitter suspendió inmediatamente todas las cuentas falsas que identificó explotando este fallo. Asimismo, realizaron una serie de modificaciones después de detectar los ataques para que no se puedan devolver nombres de cuentas específicos para las búsquedas.
Vulnerabilidad en el cifrado de millones de dispositivos
A pesar del impacto del coronavirus que produjo la cancelación del Mobile World Congress, otros eventos han seguido su curso, como es el caso de la RSA de San Francisco. Precisamente en este evento se reveló Kr00k, la investigación de ESET acerca de una vulnerabilidad que afecta al cifrado de alrededor de mil millones de dispositivos wifi.
Esta vulnerabilidad previamente desconocida en chips wifi es un grave fallo de seguridad (catalogado como CVE-2019-15126) y provoca que los dispositivos vulnerables usen una clave de cifrado compuesta únicamente por ceros para cifrar parte de la comunicación del usuario. Si se tiene éxito explotándola, permitiría que un atacante descifrase algunos paquetes de red inalámbrica transmitidos por un dispositivo vulnerable.
Por su parte, Microsoft siguió fiel a la publicación de sus boletines mensuales de seguridad y aprovechó los correspondientes al mes de febrero para reparar 99 vulnerabilidades, entre la que se encontraba un zero-day que afectaba a Internet Explorer. La propia empresa anunció semanas atrás que esta vulnerabilidad estaba siendo aprovechada en ataques dirigidos y permitía a un atacante ejecutar código de manera remota, llegando a tomar el control del equipo de la víctima con tan solo convencerla de que abriera un sitio web especialmente diseñado en Internet Explorer.
WordPress tampoco se libró de ser uno de los protagonistas destacados en lo que a vulnerabilidades se refiere durante el mes de febrero. El fallo descubierto en un plugin para importar la configuración exacta de los diseños para WordPress ofrecidos por ThemeGrill permitía a un atacante borrar todo el contenido del sitio. Según los investigadores que descubrieron este agujero de seguridad, a mediados de febrero el plugin vulnerable habría sido instalado más de 200.000 veces.