Robo de credenciales, el objetivo de los ciberdelincuentes

La siguiente noticia fue publicada el Jueves, 03 de Mayo 2012.

En abril, el gusano Flashback logró infectar miles de equipos con sistemas operativos Mac con el objetivo de robar nombres de usuarios y contraseñas a través de la inyección de código malicioso en navegadores que poseían una vulnerabilidad en la plataforma Java. Además, un nuevo caso de phishing en Twitter afectó a 31.000 usuarios de la red social, cuyos datos de acceso también fueron sustraídos, según informó ESET Latinoamérica.

Durante este periodo, Apple publicó una extensa actualización de seguridad para los usuarios de Java de OS X Lion 2012 – 002 y OS X 10.6 Update 7 que soluciona varias vulnerabilidades, entre ellas la que sirve de puerta de ingreso para el troyano OSX/Flashback. El malware, cuya aparición se reportó inicialmente en febrero, inyecta código malicioso en los navegadores y otras aplicaciones en pos de robar nombres de usuarios y contraseñas de sitios conocidos como Google, Yahoo!, PayPal, entre otros. Además, convierte a los equipos infectados en parte de una red botnet.

“Una vez que el atacante logra vulnerar las cuentas de correo electrónico de los usuarios, obtiene una vía casi directa para obtener las credenciales de diferentes sitios que éste utilice, ya que los mecanismos para restablecer contraseñas normalmente están vinculados con el correo electrónico personal. Este caso demuestra, una vez más, la importancia de seguir buenas prácticas de prevención como la actualización de las aplicaciones y los sistemas operativos”, aseguró Sebastián Bortnik, Gerente de Educación e Investigación de la empresa.

También durante abril, apareció un nuevo caso de phishing en Twitter con más de 31.000 afectados. El engaño, cuyo objetivo también era el robo de datos de usuario y contraseña, apelaba a la curiosidad del usuario por descubrir supuestos rumores malintencionados sobre su persona y así instarlo a hacer clic en un enlace malicioso. Al seguir el hipervínculo, se ingresaba a un sitio malicioso que solicitaba las credenciales de acceso de la popular red social.

De acuerdo al análisis de las 31.000 contraseñas sustraídas por los ciberdelincuentes, la mayoría están formadas por ocho caracteres y frases fáciles de adivinar como twitter1 o la repetición de una palabra varias veces como es el caso de boysboysboys.

“Además de la longitud de las contraseñas, los usuarios deben tener en cuenta cuestiones como la variedad de caracteres, entre otras, para aumentar la robustez de las mismas”, concluyó Raphael Labaca Castro, Coordinador de Awareness & Research de ESET Latinoamérica.

Los ciberdelincuentes se profesionalizan con ataques muy selectos y rentables

La siguiente noticia fue publicada el 24 de abril en el economista.
Frente a los clásicos ataques informáticos de los ciberdelincuentes más por despecho que con fines lucrativos, auténticas mafias acceden ahora de forma muy organizada y planeada a datos de organizaciones y empresas seleccionadas muy minuciosamente, para obtener ingentes beneficios.
Así lo ha manifestado hoy en un acto con los medios Mario García, director general de Iberia en Check Point, multinacional israelí de seguridad informática, que ha advertido de la profesionalidad de los ciberdelincuentes actuales en sus ataques a todo tipo de empresas e instituciones, dotadas incluso de los más potentes sistemas de seguridad.
Aparte de las múltiples amenazas informáticas contra las empresas desde el exterior -se dan 50.000 nuevas variantes diarias de software malicioso, según sus datos-, este experto ha advertido de que las grandes compañías apuestan cada vez más por proteger posibles "escapes" de su información confidencial, con fuertes inversiones en sistemas que impidan a los trabajadores difundir datos privados a la competencia.

Ciberdelincuentes atacan a los usuarios de Pinterest desde Facebook

Esta noticia ha sido publicada el 3 de abril en europapress.

Investigadores de seguridad han detectado un campaña de publicidad en Facebook en la que se promete a los usuarios información para "ganar dinero en Pinterest". En realidad es una forma de estafa que aprovecha las características de la publicidad en la red social para engañar a los usuarios. Desde Pinterest ya han expresado su condena a este tipo de contenidos.  
   La compañía de seguridad Bitdefender ha sido la encargada de dar la alarma sobre esta campaña. Investigadores de seguridad de la firma han descubierto los anuncios en Facebook. La utilización del servicio de publicidad de Facebook con este fin  permite ver un aumento "en la inversión y sofisticación de campañas fraudulentas", según han explicado desde Bitdefender. Los cibercriminales usan un reclamo que considera interesante, la forma de lucrarse en otra red social, para captar la atención de los usuarios.
   Según Bitdefender, el anuncio en cuestión promete enseñar la manera de "ganar dinero con Pinterest". Dicho contenido se distribuye por Facebook y contiene un link que lleva a los usuarios a una página web que cuenta con una encuesta que ofrece al usuario, a cambio de contestarla, una tarjeta Visa de regalo. Junto a este supuesto vale regalo, los ciberdelincuentes ofrecen a los interesados la posibilidad de suscribirse para recibir futuras promociones similares.
   En el caso de la "tarjeta de regalo", no es la primera vez que los ciberdelincuentes utilizan este sistema. El último caso registrado se produjo precisamente con la primera oleada de spam que afectó a Pinterest (con falsos vales de descuento en H&M). En el caso de la opción de suscripción a novedades, desde Bitdefender han asegurado que recuerda a las campañas de Twitter para ganar seguidores para cuentas falsas o maliciosas.
   Detrás de estos dos sistemas de estafa, el elemento novedoso es que los ciberdelincuentes parecen estar haciendo una fuerte inversión para asegurarse que sus campañas tienen éxito. El uso de la plataforma de publicidad de Facebook para la distribución de la amenaza confirma esta percepción y previene ante importantes consecuencias. 
   La campaña de publicidad puede aumentar la eficiencia de las estafas ya que Facebook permite definir el público al que se quiere llegar, seleccionando perfiles o temas de conversación. En el caso de esta amenaza en concreto, el perfil seleccionado ha sido el de fans de Pinterest, es decir, usuarios que publican desde Pinterest o están hablando de esta red social.
  

Ciberdelincuentes utilizan falsas denuncias relacionadas con Megaupload

La siguiente noticia ha sido publicada hoy en europapress.es

Una estafa utiliza supuesta denuncias de grandes compañías como Sony o Paramout contra usuarios de Megaupload para intentar engañar a los internautas. En la estafa, los cibercriminales se hacen pasar por un bufete de abogados que asegura representar a algunas de las empresas de contenidos más grandes del mundo. Los falsos abogados aseguran que llevarán a cabo una estafa de miles de euros a no ser que los usuarios abonen 147 euros en concepto de indemnización.
   El cierre de Megaupload no ha pasado desapercibido para los ciberdelincuentes, que no han tardado en utilizar el incidente para engañar a los usuarios. Durante los últimos meses, mensajes sobre la vuelta del sistema, supuestos enlaces alternativos al servicio y mensajes falsos para la recuperación de los archivos se han sucedido. Los ciberdelincuentes han aprovechado la novedad y actualidad de Megaupload para todo este tipo de amenazas.
   Ahora que han pasado meses tras el cierre del servicio, lo que sigue estando de actualidad es el futuro de los datosque contenían los servidores. Muchos usuarios se preguntan cuándo podrán recuperarlos y el motivo por el que el FBI no permite que los usuarios tengan acceso a su información. Algunas teorías en los últimos días han apuntado a que los agentes podrían retener los documentos porque empresas afectadas por las copias ilegales de sus productos querrían utilizar el material almacenado como supuestas pruebas para tomar acciones legales contra usuarios.
   Los ciberdelincuentes también han estado al tanto de estas especulaciones y han desarrollado una estafa online para intentar aprovecharse. En concreto, según Torrentfreak, los ciberdelincuentes han estado enviando a los usuarios una serie de mensajes en las que se han hecho pasar por un despacho de abogados alemán. En el mensaje, los ciberdelincuentes, en el papel de abogados, han asegurado que representan a empresas como Sony, Paramout, EMI o Warner.
   El mensaje en cuestión es una amenaza de demanda. Los ciberdelincuentes han asegurado que sus clientes tienen intención de denunciar a los usuarios que han publicado o utilizado copias ilegales de productos de estas compañías. De esta forma, los usuarios que reciben el mensaje son emplazados a abonar 147 euros para evitar que la demanda sea presentada, en cuyo caso los criminales prometen solicitar una multa de 10.000 euros.
   Se trata de una estafa que está distribuyéndose actualmente y que intenta aprovecharse por la actualidad e incertidumbre que el caso Megaupload ha generado entre los usuarios. Por el momento parece que solo se ha distribuido por Europa, pero no se descarta que amplíe su radio de acción. En cualquier caso, la recomendación es desconfiar de mensajes de este tipo y mantener en todo momento precauciones antes de realizar cualquier pago o transacción.

Ciberdelincuentes controlaron los ordenadores de la NASA

La entrada de esta semana va dirigida a una noticia publicada el 5 de marzo en el periodico el Mundo.

La NASA ha informado que algunos de sus ordenadores principales cayeron bajo el control de hackers el pasado año 2011. Se vio comprometido material sensible, como contraseñas de empleados, que pudieron ser robadas, o archivos con información privilegiada, que pudieron copiarse, modificarse o borrarse.
El inspector general de la NASA Paul K.Martin ha dado a conocer a las autoridades de EEUU los detalles del ataque sufrido por la organización. Los ciberdelincuentes llegaron a comprometer las cuentas de la mayoría de los usuarios privilegiados JPL (Jet Propulsion Laboratory o Laboratorio de Propulsión). Dicho centro construye y dirige naves espaciales.
El documento emitido por Martin señala que los delincuentes lograro acceso completo al sistema, destacando asimismo que podrían haber sido capaces de copiar, modificar o incluso eliminar archivos con información sensible. El robo de contraseñas y datos personales de cuentas de la NASA también habría sido posible, según relata la BBC.
En cuanto a los autores de los ataques, los investigadores han descubierto algunos indicios que apuntan a direcciones IP provenientes de China. De confirmarse esta información el suceso podría tratarse de un capítulo más de la guerra cibernética entre el país asiático y Estados Unidos, en la que se enmarcan los incidentes con Google y Yahoo a principios de 2010.
Respecto a todo lo que dice el documento, la NASA ha emitido una declaración oficial en la que afirma haber realizado avances significativos a la hora de proteger sus sistemas IT.

Como conclusion personal, me parece un episodio mas entre el conflicto que tienen Estados Unidos y el país asiatico. Logicamente, el hecho no me parece bueno pero si ayudado a que se mejore la seguridad quizás, no se vuelvan a repetir hechos así.

Ciberdelincuentes captan mulas en Twitpic para el blanqueo de dinero

Esta semana de nuevo la entrada esta dirigida a una noticia reciente de hace un mes aproximadamente en la que unos ciberdelincuentes captan mulas en twipic para el blanqueo de dinero.

La filial española de Kaspersky descubrió una red de blanqueo de dinero que utiliza anuncios de este tipo en la red de imágenes Twitpic para reclutar mulas tanto en inglés como en español, para volver al circuito legal dinero robado de cuentas de banca online.
Estas organizaciones están pagando fuertes sumas de dinero para posicionar sus avisos y obtener la mayor cantidad de impresiones para lograr altos niveles de clics en sus anuncios. Aprovechando la escalada de desempleo que existe en gran parte de Europa en la actualidad, los anuncios son segmentados tanto en inglés como en español.
Cuando un interesado hace clic en uno de estos anuncios es redireccionado a un sitio web en el idioma original desde donde se conecta, donde encuentra publicidad y testimoniales falsos sobre los beneficios del trabajo desde el hogar. Además, los cibercriminales propietarios del sitio crearon un script que determina la dirección IP y el país de la víctima y personaliza el sitio tanto en el título como en los testimoniales.
Para los especialistas, no es un dato menor que ahora estos ciberdelincuentes intenten captar víctimas en español. Esto significa que poseen mucho más dinero para segmentar sus anuncios y así llegar a un mayor cantidad de personas potencialmente interesadas.
El blanqueo de dinero es una práctica ilegal en casi todos los países del mundo y de acuerdo a la legislación del código penal de cada país se encuentra penalizado con prisióny altas multas. En general, la práctica más común utilizada para blanquear dinero robado de la banca online es transferirlo a una cuenta a nombre de una mula (o víctima), quien lo retira en efectivo y lo deposita en otras cuentas predeterminadas por los criminales.

Ciberdelincuentes en España

La entrada de esta semana es de una noticia reciente del 28 de Febrero en la que fueron detenidos 4 'ciberdelincuentes' de anonymous.

La Policía Nacional detuvo ayer en Madrid y Málaga a cuatro ciberdelincuentes de Anonymous como presuntos responsables de ataques de denegación de servicio o ataques a páginas web de partidos políticos, instituciones y empresas, así como de la publicación en la red de datos de escoltas y policías.
Según informó la Dirección General de la Policía, dos de los arrestados ingresaron en prisión por orden judicial, otro quedó en libertad bajo fianza y el cuarto, menor de edad, bajo la custodia de sus padres.
Las detenciones se produjeron dentro de una operación internacional contra el ciberdelito coordinada por Interpol y denominada Exposure, en la que resultaron imputadas también 10 personas en Argentina, seis en Chile y cinco en Colombia.
Los detenidos en España son los presuntos responsables de ataques DDoS (denegación de servicio) y defacement (modificación de una web sin autorización del propietario), a páginas web de partidos políticos, instituciones y empresas, así como de la publicación de datos referentes, entre otros, a escoltas de la Presidencia del Gobierno y de miembros de los GEO de la Policía Nacional en la Red. Los investigadores identificaron y detuvieron en Málaga a F.J.B.D., conocido como Thunder o Pacotron, presuntamente encargado de administrar y gestionar la infraestructura informática utilizada por Anonymous en España e Iberoamérica. Los agentes también identificaron a J.M.L.G., Troy, presunto autor material de los ataques más destacados y filtraciones reivindicadas por Anonymous en España.
Entre los ciberataques estarían la publicación de datos personales de miembros de la Policía Nacional destinados en la Casa Real, la escolta del Presidente del Gobierno, el Grupo Especial de Operaciones y de la líder de UPyD, Rosa Díez.

Como reflexion personal, me gustaria recalcar la labor que ha realizado la policía por mantener la privacidad aunque los ataques hayan sido a partidos politicos y empresas y no a gente inocente en concreto.

.