HayCanal.com

El robo masivo de datos en agosto confirma el interés económico de los ciberdelincuentes

El robo masivo de datos en agosto confirma el interés económico de los ciberdelincuentes

Como viene siendo habitual, el mes de agosto no ha supuesto ningún descanso para los profesionales de la ciberseguridad. Los delincuentes no descansan ni tienen vacaciones. Además, es durante estas fechas cuando se suelen realizar dos de los congresos de seguridad más importantes del mundo en Las Vegas - BlackHat USA y Defcon-, donde se dan a conocer las tendencias en seguridad de las que se hablará durante los próximos meses.

Millones de datos filtrados

Si por algo ha destacado agosto con respecto a meses anteriores ha sido por la gran cantidad de datos personales robados. En  algunos casos, se han filtrado o, como mínimo, se han puesto a disposición de webs especializadas en clasificar este tipo de información para que los usuarios puedan comprobar si sus datos se han visto comprometidos.

El caso más grave del que tuvimos constancia a principios de agosto  fue el de Yahoo!, ya que se calcula que el número total de cuentas afectadas ascendería a 200 millones. Todo apunta a que el responsable de este robo masivo fue el mismo que meses antes obtuvo los datos de millones de usuarios de redes sociales como Myspace, Tumblr, Twitter y LinkedIn y que, en esta ocasión, puso a la venta esta información robada y por la cual pedía tres bitcoins.

Durante las siguientes semanas asistimos a más robos de datos similares, aunque centrados principalmente en webs y foros usados por jugadores de videojuegos online. Buena parte de culpa la tuvo el uso de versiones vulnerables del software de gestión de foros vBulletin, ya que los atacantes aprovecharon agujeros de seguridad conocidos para hacerse con estos millones de datos.

La web DLH.net, especializada en noticias relacionadas con videojuegos y con una importante comunidad fue una de las afectadas. Se calcula que los atacantes consiguieron hacerse con información de 3,3 millones de usuarios registrados en los foros de esta web, además de con más de 9,1 millones de claves de juegos canjeables en la plataforma Steam (a pesar de que muchas de estas claves ya habían sido utilizadas). Otro de los foros afectados pertenece a la empresa desarrolladora de videojuegos Epic Games, donde las cuentas de más de 800.000 usuarios se vieron comprometidas. También hubo un robo que afectó principalmente a usuarios rusos y a juegos alojados en servidores de mail.ru, ascendiendo la cifra a más de 24 millones de usuarios. Los usuarios afectados son aquellos seguidores de los juegos CFire, ParaPa Dance City y Ground War: Tank, juegos que cuentan con bastante popularidad en territorio ruso si nos atenemos al número de cuentas comprometidas.

Una de las últimas filtraciones de datos más importantes se produjo a finales de mes, cuando se comprobó la existencia de una base de datos robada con la información de más de 68 millones de usuarios de Drop box. Tras confirmarse este robo, la empresa declaró que los usuarios afectados eran aquellos que no hubieran actualizado sus contraseñas desde 2012. Los atacantes lograron acceder a la cuenta de un empleado de Drop box y obtener un documento que contenía los datos de millones de usuarios.

Este tipo de filtraciones tan seguidas y que afectan a tantos usuarios demuestran que queda mucho por hacer a la hora de proteger los datos de los usuarios, quienes confían en que los servicios online que utilizan protegerán su información”, afirma Josep Albors, director del laboratorio de ESET España. “Por parte de los usuarios, es importante que cambien sus contraseñas periódicamente o cada vez que se produzca uno de estos casos en alguno de los servicios que utilicen, complementando esta medida con la activación del doble factor de autenticación en el caso de que este se encuentre disponible”, concluye Albors.

Amenazas crecientes en dispositivos móviles

Los dispositivos móviles también estuvieron en el punto de mira de investigadores y delincuentes durante el mes de agosto. Como ejemplo tenemos QuadRooter, un conjunto de cuatro vulnerabilidades que fueron presentadas en Defcon y que afectarían a dispositivos Android con procesadores Qualcomm (alrededor de 900 millones en todo el mundo) y que permitían a un atacante tomar el control del smartphone con permisos de administrador.

De hecho, la repercusión de esta vulnerabilidad fue tal que algunos delincuentes aprovecharon para intentar engañar a los usuarios tras haberse hecho pública. Pocos días después  aparecieron dos aplicaciones en Google Play que prometían solucionar esta grave vulnerabilidad cuando, en realidad, tan solo mostraban pantallas con anuncios a aquellos incautos que las hubiesen comprado.

Otra de las aplicaciones estrella, WhatsApp, también fue utilizada como cebo en forma de webs. Desde ellas se ofrecía la posibilidad de “hackear” la app para espiar las comunicaciones de una tercera persona. Estas webs no eran más que una trampa con la que mostrar encuestas y anuncios de empresas afiliadas a redes de publicidad a aquellos que siguieran los pasos que se les mostraban. Por supuesto, la prometida funcionalidad no aparecía por ningún lado y los mensajes de la víctima tampoco.

Los smartphones de Apple también tuvieron su cuota de protagonismo cuando se conoció la existencia de Pegasus, una herramienta de espionaje para dispositivos iOS que se aprovechaba de varias vulnerabilidades sin solución. La investigación a fondo de esta herramienta descubrió cómo a través de, por ejemplo, enlaces en mensajes SMS permitía realizar un jailbreak en el dispositivo de la víctima para, a continuación, instalar un software espía. Esta herramienta habría sido utilizada por los servicios de inteligencia de algunos gobiernos para espiar a disidentes o defensores de los derechos humanos, por lo que, una vez se conoció su existencia, Apple decidió publicar un parche de emergencia que solucionaba las vulnerabilidades que Pegasus aprovechaba, no solo en dispositivos iOS sino también en MacOS.

Precisamente de MacOS es otro malware que volvió a aparecer en agosto.  OSX/Keydnapse distribuyó en una web legítima y de confianza, como es la del popular gestor de archivos torrent Transmission. Una versión modificada de esta aplicación fue subida a los servidores oficiales, desde donde estuvo propagando este malware hasta que fue eliminada tras darse la voz de alerta.

El Internet de las cosas, cada vez más inseguro

Si hubo un tema que se trató a fondo en las conferencias de seguridad BlackHat Usa y Defcon éste fue, sin duda, el de los problemas de seguridad del Internet de las cosas. En varias de las presentaciones ofrecidas por expertos de todo el mundo se vio en directo cómo los fabricantes de estos dispositivos no aplican las suficientes medidas de seguridad para evitar que supongan un riesgo para otros dispositivos e incluso para nuestra información privada.

Siguiendo con la tradición de los últimos años, Charlie Miller y Chris Valasek volvieron a ofrecer los resultados de sus investigaciones en automóviles modernos, demostrando que aún queda mucho trabajo por hacer. Demostraron cómo, con un simple dispositivo conectado a alguna de las centralitas del automóvil y un ordenador, podían hacer que un vehículo, circulando a una velocidad respetable, diera un giro brusco capaz de provocar un accidente.

Otro tipo de dispositivos más “íntimos” y que también cuentan con numerosos fallos de seguridad son algunos juguetes sexuales y vibradores que se conectan al smartphone de su propietario. Además de poder controlar la intensidad o tipo de la vibración, las aplicaciones móviles que los gestionan almacenan un buen número de información privada e incluso permiten realizar conversaciones y  vídeo llamadas con otros usuarios. El robo de esta información privada y su utilización en contra de los usuarios podría ponerlos en un serio compromiso, especialmente si esta información se hace pública en aquellos países en los que este tipo de dispositivos están prohibidos.

Para terminar con ejemplos de dispositivos del Internet de las cosas que son inseguros a día de hoy, otro de los puntos de atención estuvo centrado en las, cada vez más populares, cerraduras inteligentes. Este tipo de cerraduras son normalmente controladas desde una aplicación instalada en el smartphone que concede permisos temporales a nuestros contactos para que puedan acceder a nuestra casa sin disponer de llaves. Obviamente, este tipo de aplicaciones fueron analizadas por varios investigadores que descubrieron numerosos fallos de seguridad y que permitirían a un atacante obtener acceso a nuestra vivienda, incluso como si fuéramos el usuario principal.

El ransomware tampoco se va de vacaciones

La amenaza más persistente desde hace meses también estuvo muy presente durante agosto, con numerosas variantes apareciendo prácticamente cada día. Algunas de estas variantes son desarrolladas por gente con pocos conocimientos y aprovechando el trabajo ya realizado o los kits de creación existentes, muchas veces cambiando solamente el fondo de pantalla y el mensaje mostrado a la víctima. Sin embargo, hubo algunas variantes que destacaron por encima del resto, bien porque usaban técnicas novedosas o porque supieron poner un cebo lo suficientemente atractivo para conseguir que los usuarios ejecutaran el código malicioso.

Un ejemplo de esto último lo tenemos con el ransomware que usaba temática de Pokémon para conseguir atraer a sus víctimas. Los creadores de este malware camuflaron su creación como un aparentemente inofensivo fichero ejecutable con el icono de un Pikachu y el nombre PokemonGo.exe. Aquellos usuarios que cayeron en la trampa pensando que se trataba de una versión para Windows del conocido juego de Niantic se encontraron al poco tiempo de ejecutarlo con un fondo de pantalla cambiado, en el que de nuevo aparecía Pikachu y un mensaje en árabe acompañado de una dirección de correo electrónico. Por suerte para los afectados, todo apuntaba a que se trataba de un proyecto en desarrollo y la clave de recuperación de los archivos cifrados fue obtenida poco después. No obstante, alguna de las funcionalidades incorporadas, como la creación de una cuenta con permisos de administración para poder acceder remotamente al sistema infectado o su propagación por medios extraíbles, son lo bastante interesantes como para seguirle la pista a los desarrolladores.

Por último, un veterano como es Torrentlocker, también conocido como el ransomware de Correos y de Endesa, volvió a la carga durante las últimas semanas. En esta ocasión los delincuentes volvieron a utilizar la plantilla de Correos, aunque saltándose el paso intermedio de la introducción del captcha y redirigiendo a la víctima a un script en PHP alojado en un servidor comprometido controlado por los delincuentes. Tras realizar una serie de comprobaciones y redirecciones, la víctima descarga el fichero comprimido que contiene el archivo que descargará y ejecutará el ransomware en su sistema, cifrando todos los archivos con las extensiones definidas por los delincuentes. Este ligero cambio, junto con otros relacionados con las conexiones con los centros de mando y control, demuestran que el grupo de delincuentes que están detrás de Torrentlocker sigue activo en busca de nuevas víctimas.


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos