Inicio Blog

Un exploit permite conseguir permisos de root en cualquier router MikroTik

0

La seguridad no es precisamente uno de los puntos fuertes de MikroTik. En lo que va de año este fabricante ha sido noticia debido a una serie de vulnerabilidades en sus routers, fallos de seguridad que han permitido desde utilizarlos para minar criptomonedas hasta reenviar el tráfico a webs controladas por piratas informáticos. Hoy, este fabricante de routers vuelve a ser noticia, esta vez por haber ignorado una vulnerabilidad hasta que, finalmente, se han empezado a ver exploits por la red que han puesto en jaque la seguridad de todos sus usuarios.

El fallo de seguridad en cuestión es CVE-2018-14847, una vulnerabilidad encontrada en abril de este mismo año que podía permitir a un pirata informático ejecutar código de forma remota en cualquier router vulnerable, así como conseguir permisos de root para tener el control total del mismo. Este fallo de seguridad se encontraba en el componente Winbox, utilizado para configurar la interfaz web de RouterOS, así como en el software de Windows utilizado para configurar RouterOS desde un PC.

A pesar de ser una vulnerabilidad que permite ganar privilegios en los routers (hasta ser root) y ejecutar código de forma remota, para el fabricante fue considerada como un fallo de seguridad de peligrosidad “media”, por lo que fue ignorado.

Recientemente acaba de aparecer el primer PoC del exploit para aprovecharse de esta vulnerabilidad en todos los routers MikroTik vulnerables, exploit llamado “By the Way” y que está al alcance de cualquiera desde el siguiente enlace. Tras el descubrimiento de este fallo de seguridad, el fabricante ha aumentado la peligrosidad de la vulnerabilidad de “media” a “crítica”, por lo que habrá que ver si ahora realmente es digna de preocupación por la compañía o todavía no.

enable, además de publicar el exploit, también encontró otras vulnerabilidades en los routers MikroTik con RouterOS

Además del anterior PoC del exploit de RouterOS, estos investigadores de seguridad también detectaron otros fallos de seguridad en los routers de este fabricante con un firmware inferior a las versiones 6.42.7 y 6.40.9:

CVE-2018-1156: fallo del tipo buffer overflow que puede permitir a un atacante ejecutar código y ganar privilegios en el sistema.
CVE-2018-1157: fallo que permite subir un archivo a la memoria y bloquear el servidor HTTP.
CVE-2018-1158: error que bloquea el servidor HTTP al usar un parsing JSON de manera recursiva.
CVE-2018-1159: error de corrupción de memoria que bloquea el servidor HTTP al autenticarnos y cerrar sesión rápidamente.

Cómo proteger nuestro router MikroTik

A este fabricante de routers no le preocupa especialmente la seguridad de sus dispositivos, pero al menos cuando las vulnerabilidades se dan a conocer y suponen un verdadero riesgo para los usuarios (como al aparecer este exploit) suele actualizar actualizaciones para solucionarlas.

Para proteger nuestro router, lo que debemos hacer es asegurarnos de tener instalada la última versión de RouterOS, cualquiera igual o posterior a las 6.40.9, 6.42.7 y 6.43, lanzadas en agosto, deberían estar ya protegidas.

Además, un cambio de los credenciales por defecto por otros más seguros y complejos también nos ayudará a evitar que estas vulnerabilidades nos pongan en peligro.

¿Tienes un router MikroTik? ¿Has actualizado para protegerte de estos fallos de seguridad?

Nueva técnica de los Hacker para robar datos en Celulares y Computadoras

0

Proteger nuestros datos de los hackers cada vez parece un reto mayor. A medida que aprendemos a protegernos de ciertas ciberamenazas, aparecen otras técnicas para sobrepasar las barreras de seguridad.
Uno de los últimos métodos de los hackers para robar tus datos es a través del cable del cargador de tu ordenador. La vulnerabilidad es, específicamente, para los portátiles que tengan el nuevo conector USB tipo C.
Así se lo explicó un investigador que se hace llamar MG a la BBC. En el reportaje Dave Lee explica como el experto en seguridad abría el cargador e insertaba una serie de pequeños componentes en su interior; no quiso especificar exactamente qué componentes estaba empleando.
Al enchufar el cable a su Mac cargaba con normalidad, pero no era lo único que se había activado: el pequeño chip que había insertado MG también se encendió. El dispositivo después introdujo una pantalla de inicio falsa en una web, permitiendo que el hacker recopile cualquier tipo de datos que el usuario inserte en la página.

Mientras que en su demostración MG se limitó a captar el usuario y contraseña de Lee, explicó que los hackers también pueden emplear la técnica para introducir malware y otras infecciones maliciosas al portátil.
Pese a que MG solo ha puesto a prueba el ataque en un MacBook está convencido de que también es eficaz en otros dispositivos de marcas como HP, Lenovo y otros. Apple no ha hecho comentarios al respecto.

Usar el cargador como vía de acceso a los datos del usuario no es algo nuevo, ya se podía poner en práctica con los teléfonos móviles. El punto de carga es, a menudo, el medio por el que se transfieren los datos.

No obstante, ahora la amenaza tiene una dimensión mayor: con los portátiles usando el conector USB tipo C se convierten en igual de vulnerables que los móviles.

Y, ¿cuál es la solución? Como explicó David Rogers, experto en seguridad de la consultora Copper Horse, a BBC, los fabricantes tienen que empezar a diseñar los dispositivos para que el USB solo permita la carga automática, siendo necesario permitir la transferencia de datos.

Por su parte, MG cree que deben añadir soluciones de seguridad para que el dispositivo no confíe en el cargador inmediatamente, sino que alerte al usuario de que se trata de un dispositivo nuevo y desconocido.

Sin embargo, la solución más inmediata se reduce a un comportamiento responsable del usuario. Vigila tu cargador, recuerda que los ataques en el mundo virtual también pueden comenzar desde el mundo físico.

Navegador Microsoft Edge permite que terceros accedan a tus archivos; actualiza cuanto antes

0

Dentro de los navegadores más utilizados no encontramos Microsoft Edge. De hecho está muy lejos del más utilizado, que como todos sabemos es Google Chrome. Sin embargo lo cierto es que el navegador de Microsoft ha realizado avances importantes en los últimos tiempos. Ha sido considerado como uno de los más estables y seguros. Pero hoy hablamos de todo lo contrario. Hoy nos hacemos eco de una noticia en la que se informa de que Microsoft Edge permite que terceros puedan acceder a nuestros archivos locales. Una vulnerabilidad bastante importante y que insta a los usuarios a actualizar cuanto antes.

Microsoft Edge permite robar archivos locales

Mantener nuestros equipos actualizados es vital. Aquí tenemos que hablar tanto de sistemas operativos como de los diferentes programas que tengamos instalados. Un ejemplo más es el de Microsoft Edge. Gracias a los parches de seguridad y a las actualizaciones podemos resolver problemas similares al que comentamos en este artículo.

Microsoft ya ha solucionado esta vulnerabilidad que permitía a terceros poder acceder a archivos locales. Los ciberdelincuentes podrían utilizar este fallo para robar datos. Por suerte, los usuarios que utilicen este navegador simplemente necesitan actualizar cuanto antes a la última versión.

Para aquellos que tengan Microsoft Edge sin actualizar y lo hayan utilizado con esta vulnerabilidad, hay que mencionar que este fallo no podía ser ejecutado de forma automática. Los ciberdelincuentes necesitaban utilizar la ingeniería social. Esto significa que requerían de la interacción del usuario. Por tanto resultaba un problema menor de cara al usuario final.

Este fallo de seguridad fue descubierto por el investigador de Netsparker, Ziyahan Albeniz. Este problema está relacionado con el SOP, algo que soporta todos los navegadores. Su función es impedir que un atacante pueda cargar código malicioso a través de un enlace que no coincide con el mismo dominio, subdominio, puerto y protocolo.

En Microsoft Edge el SOP funcionaba correctamente, salvo en un caso. Este caso era cuando los usuarios son engañados para que descarguen un archivo HTML malicioso en el equipo y posteriormente lo ejecuten. Como hemos mencionado anteriormente, requería de la interacción del usuario. No se podía explotar de forma automática.

Una vez que el usuario ejecuta este código, se cargará a través del protocolo de archivos locales. De esta forma no tendrá un valor de dominio y puerto. Este archivo malicioso podría contener código que recopile y robe datos de archivos locales a los que se pueden acceder mediante una URL.

Acceder a archivos del equipo

Este fallo le permitiría al atacante acceder a los archivos del equipo. Los investigadores realizaron pruebas y pudieron robar datos de equipos locales y enviarlos a un servidor remoto.

El atacante debería de conocer la ruta en la que se guardan los archivos. Sin embargo algunos como la configuración del sistema operativo están en la misma ubicación en casi todos los dispositivos.

Indican que esta vulnerabilidad no sería muy útil en campañas de distribución masiva de malware, pero sí para ataques dirigidos a objetivos concretos.

Cómo evitar este problema

La principal recomendación para evitar éste y otros problemas similares, es prestar mucha atención a posibles archivos fraudulentos que recibamos. No hay que abrir URL que desconozcamos. En muchas ocasiones pueden contener archivos descargables que hay que evitar.

Para protegernos lo primero que tenemos que hacer es actualizar Windows Edge a la última versión, así como Windows Mail y Calendar.

Si tienes alguna de estas seis aplicaciones en tu celular o computadora, bórrala: te están espiando

0

Un estudio de AdGuard Research que apunta a varias «apps» y extensiones de navegadores que pueden haber infectado con «spyware» un mínimo de 20 millones de dispositivos y equipos.

A la vez que la tecnología avanza, su «lado oscuro» también se hace más grande y astuto: los cibercriminales cada vez más refinan sus tácticas y ya no solo el ordenador es su objetivo: todos los dispositivos que lleven la etiqueta de «conectados» son susceptibles de ser «hackeados». La última amenaza tiene que ver con extensiones para navegadores (funcionalidades que se añaden a estos programas que se utilizan para «bucear» por la densa internet) y aplicaciones para móviles que contienen «spyware». Es decir, programas que roban información sin que el usuario lo sepa.

Las extensiones maliciosas

Según un informe realizado por AdGuard Research, los mayores damnificados por esta campaña son quienes agregaron a los navegadores Chrome y Mozilla Firefox las siguientes extensiones, y que se cifran en un mínimo de 11 millones de personas afectadas en todo el mundo.

– «Block Site», que cuenta con más de 1,4 millones de usuarios en Chorme y 119.000 en Firefox
– «Popper Blocker», con 2,2 millones de instalaciones en Chrome y más de 50.000 en Firefox
– «CrxMouse», que cuenta con 410.000 usuarios en Chrome.

Aplicaciones con «sorpresa» añadida

Por otro lado, AdGuard Research habría encontrado que seis aplicaciones (cinco de Android y una para iOS) inoculan a los «espías» en el móvil de, al menos, 8,5 millones de teléfonos inteligentes, ya que son bastante populares y todas registran un mínimo de medio millón de descargas. En concreto, son las siguientes:

– «Block Site». La misma extensión tiene su versión en «app», y está instalada en más de 100.000 dispositivos Android.

– «AdblockPrime». Se trata de un «adblocker» para iOS, pero no se tienen datos acerca de cuánta gente se ha descargado esta aplicación.

– «Speed BOOSTER». Esta aplicación de Android tiene 5 millones de instalaciones.

– «Battery Saver». Esta aplicación de Android cuenta con 1 millón de descargas.
– «AppLock». Esta aplicación de Android está en 500.000 dispositivos.

– «Clean Droid». Esta aplicación de Android tiene 500.000 instalaciones.

Una amenaza con un nombre: «Big Star Labs»

Tanto las tres extensiones como las seis aplicaciones cuentan con un denominador común. Detrás de su creación se encuentra el desarrollador «Big Star Labs», quien se erige como responsable de esta amenaza. «Se trata de una compañía de Delaware recientemente registrada, por lo que es difícil rastrearla hasta los verdaderos beneficiarios. Esto también hace que sea casi imposible rastrear con quién comparten sus datos», afirman desde la investigación.

En teoría, los datos que han recopilado estos programas no es información personal del usuario, pero guarda comportamientos de navegación o historiales que pueden ser cruzados con otros paquetes robados o no de datos y elaborar perfiles de los afectados. «El verdadero problema no es solo que esta única compañía sepa quién es usted. Los datos que se recopilan sobre usted se pueden compartir, vender y combinar con datos de otras fuentes. Al final, el producto final es su perfil completo», afirman fuentes de la analista.

La alarma es tan seria que hasta la Policía Nacional se ha hecho eco de la investigación a través de su cuenta de Twitter.

Cómo mandar un correo con seguridad en Gmail

0

Gmail es una de las plataformas de correo electrónico más utilizada hoy en día. Una de las razones es la gran variedad de funciones con las que cuenta, así como su facilidad de uso. Una de las cosas que más en cuenta tienen lo usuarios es la seguridad y privacidad. Hoy vamos a explicar cómo podemos mandar un e-mail con todas las garantías tanto en privacidad como en seguridad. Para ello Gmail cuenta con una función que fue parte de sus novedades más recientes.

Mandar correos con mayor privacidad y seguridad en Gmail

Gracias a esta novedad, Gmail permite ahora enviar correos más seguros y privados. El objetivo es que solamente el destinatario pueda llegar a leerlo sin que nadie ajeno pueda tener acceso. Esta característica, además, es muy sencilla de utilizar.

Cómo enviar un mensaje privado en Gmail

Para ello simplemente tenemos que seguir los pasos habituales. Iniciamos sesión con nuestra cuenta y le damos a enviar un correo. Justo a la derecha del botón Enviar, veremos varios iconos con opciones (adjuntar archivos, insertar imágenes…). Uno de ellos es un icono con un candado.

Tenemos que pulsar este icono y nos mostrará una serie de opciones. Nos ofrece la posibilidad de que ese correo caduque en una fecha que elijamos. Una manera de preservar nuestra privacidad en caso de que no nos interese tener un correo más tiempo del necesario circulando. Desaparece de la bandeja de la otra persona cuando llegue a ese tiempo límite.

Este tiempo puede ser el que queramos. Podemos poner que simplemente en 1 día caduque, 1 mes, 1 año… Eso sí, hay que mencionar que de momento no podemos poner una fecha y hora concreta. Desde Gmail planean incluir esta opción en un futuro. De momento nos tenemos que conformar con lo mencionado.

Este modo confidencial también permite agregar un código. Es una opción muy interesante para los usuarios. Con esto logramos que el destinatario reciba una clave vía SMS. Sin esta clave no podría abrir ese correo. De esta manera nos aseguramos de que lo abra realmente el destinatario y no algún intruso. Una garantía de privacidad importante.

Para esta última opción simplemente tenemos que seleccionar la casilla del código por SMS. Una vez guardemos todo, tendremos que introducir el número del destinatario y su país. Además, nos informa de que la otra persona no podrá reenviar, descargar o copiar el contenido del e-mail.

Evitar que la otra persona abra el correo

Si nos arrepentimos por algún motivo, gracias al modo confidencial podemos cancelar o evitar que el destinatario lo abra. Para ello, una vez recibamos una copia del correo, le damos a Eliminar acceso. De esta manera ya no podrán leer ese e-mail.

En definitiva, es muy sencillo enviar un correo con todas las garantías de seguridad y privacidad en Gmail. Es una opción muy interesante para evitar que algún intruso pueda acceder a nuestra cuenta. Algo a tener en cuenta para evitar problemas a la hora de contactar mediante el correo electrónico.

Llega otro peligroso ransomware como WannaCry a Windows

0

El ransomware se ha convertido en los últimos tiempos en una de las amenazas de seguridad más importantes para los usuarios. Es uno de los tipos de malware más presentes hoy en día y, con total probabilidad, uno de los que menos ganas tenemos de ser infectados. Como sabemos, los ciberdelincuentes logran secuestrar nuestros equipos. Cifran los archivos para que la víctima pague un rescate económico para descifrarlos. Un problema bastante serio si ocurre en un equipo en el que tenemos información importante o vital para trabajar. Hoy hablamos de una variante de GandCrab y cómo podemos protegernos.

Nueva variante de GandCrab

WannaCry, como sabemos, ha sido uno de los ejemplos de ransomware más peligrosos y con más víctimas. Se calcula que esta variedad afectó a más de 300.000 organizaciones en todo el mundo. La similitud de la nueva versión de GandCrab con Wannacry es que utiliza también el protocolo SMB para atacar a usuarios de Windows.

Ataca a la víctima a través de sitios web comprometidos. Según los investigadores, este nuevo ransomware se actualiza diariamente para atacar a víctimas de diferentes países. Los atacantes rastrean Internte en busca de páginas vulnerables donde poder llevar a cabo sus ataques. La nueva versión cuenta ya con una larga lista de páginas que se han visto comprometidas.

Los atacantes han utilizado un algoritmo pseudoaleatorio para seleccionar una palabra predefinida para completar la URL de cada sitio. La URL final se genera en formato “www. {Nombre} .com / data / tmp / sokakeme.jpg”.

Como hemos mencionado, los expertos creen que esta nueva variante del ransomware GandCrab logra propagarse a través de un exploit SMB. Este fue el mismo exploit que utilizó WannaCry y también Petya durante el año pasado.

Esto lo han logrado gracias a que han reescrito todo el código del ransomware. Los expertos en seguridad indican que ahora este ransomware está utilizando exploits de la Agencia de Seguridad Nacional de Estados Unidos de EternalBlue para atacar rápidamente.

Cómo protegernos de la nueva variante de GandCrab

Las medidas que tenemos que tomar no son muy diferentes a la de cualquier ransomware o malware en general. Hay que mencionar que desde Microsoft se han puesto manos a la obra y han lanzado el parche de seguridad MS17-010. Es por ello que es vital que nuestro equipo esté actualizado a la última versión. De esta manera podremos evitar la vulnerabilidad que permite penetrar a la nueva variante de GandCrab.

También es vital contar con programas y herramientas de seguridad. Es así como podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento. Este software, al igual que el sistema, debe de estar actualizado a la última versión.

Tan importante es hacer copias de seguridad como dónde almacenarlas

Realizar copias de seguridad es lo más recomendable para muchos posibles problemas, pero más aún para el ransomware. Como sabemos, su objetivo es cifrar los documentos y archivos y pedir un rescate. Es importante realizar una copia donde tengamos todos esos archivos guardados. De esta manera, en caso de sufrir un hipotético ataque, siempre tendremos un respaldo de todos esos archivos.

Democracia Hackeada, como influir en los procesos electorales

0

Sabemos que los medios de comunicación y la tecnología desempeñan un papel importante en los eventos políticos de un estado, de ahí la importancia de reflexionar sobre la relevancia de estos actores en la sociedad, sobre todo en tiempos electorales.

Los medios condicionan nuestra percepción del mundo; por supuesto, esta influencia se extiende hacia nuestra capacidad de ejercer decisiones en lo político. Expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética comentan que, en una elección, sólo el 40% de los votantes tienen decidido su voto por un candidato en particular, mientras que 35% siguen indecisos y el restante 25% puede ser condicionado con diferentes técnicas estadísticas y de mercadotecnia a lo largo de la campaña electoral.

Existen muchas formas diferentes en las que los medios y la tecnología tratan de convencernos o de influir en nuestras preferencias políticas, intervención en seguridad informática, vigilancia masiva, monitoreo de cuentas de Twitter y Facebook, y campañas de marketing son algunos de los recursos utilizados con la intención de ejercer dicha influencia. Expertos en seguridad informática señalan cuatro principales métodos empleados para influir en una elección con el uso de estos recursos electrónicos: cambiando el voto, manipulando información que pueda cambiar el voto, obstruyendo el voto, y atentando contra la confianza en el voto.

Cómo influenciar y hackear el proceso electoral

La influencia en las decisiones políticas implica un largo proceso, comenzando alrededor de dos años antes de las elecciones. Este trabajo requiere el uso de:

1. Vigilancia masiva.
2. Acumulación de datos sobre palabras clave y metadatos.
3. Análisis geográfico y segmentación poblacional.
4. Identificación de actores de la oposición.
5. Geomarketing, utilizando medios tradicionales y digitales enfocados en grupos de gente identificados previamente.

Después llega la etapa de influencia sobre los electores, donde los datos recolectados se utilizarán para trabajar sobre la población objetivo, tratando ya sea de mantener o de cambiar sus intenciones de voto.

Como todos sabemos, las empresas privadas se prestan a los objetivos de los actores políticos, pero esta ayuda no será gratis. Es complicado que un gobierno o un partido político puedan inyectar dinero a una empresa privada con fines electorales dentro de los márgenes de la ley, por lo que se recurre a acuerdos previos entre los actores privados y los futuros gobernantes y legisladores para impulsar los planes y proyectos de los particulares una vez que los candidatos resulten ganadores en una elección.

PASOS PARA INFLUIR EN UN PROCESO ELECTORAL

Vigilancia digital masiva y análisis de palabras clave

Explicado de un modo simple, la vigilancia masiva se presenta cuando un actor, ya sea público o privado, controla y acumula grandes volúmenes de información acerca del comportamiento de las personas en sus teléfonos, computadoras y otros dispositivos. Expertos en seguridad informática sostienen que como parte de esta vigilancia los gobiernos y empresas privadas tienen acceso a llamadas telefónicas, conversaciones y correos electrónicos.

La vigilancia masiva se remite de igual manera a todo lo que hacemos en internet. Los documentos que Edward Snowden hizo públicos en 2013 revelan cómo las agencias gubernamentales utilizan la vigilancia masiva para recolectar, almacenar y analizar en secreto millones de comunicaciones privadas de gente de todo el mundo.

Es igualmente conocido cómo los gobiernos de países como Estados Unidos, Reino Unido, India, China, México, Japón, Brasil y Rusia, por mencionar algunos, han mantenido encubiertas las acciones de los proveedores de telecomunicaciones, permitiendo espiar la voz y datos de millones de usuarios de telefonía móvil e internet.

Empresas de seguridad informática y los gobiernos utilizan diferentes herramientas de vigilancia masiva, entre las que se encuentran:

Intercepción de comunicaciones móviles: En resumen, es la vigilancia de teléfonos, llamadas, mensajes de texto y correos electrónicos utilizando dispositivos receptores de señal. Un Stingray “Mantarraya” es un dispositivo capaz de acumular datos de miles de teléfonos móviles en un área determinada e interceptar llamadas sin intervenir el equipo telefónico. Existen diversos equipos de esta clase disponibles en el mercado, como el Gossamer, un dispositivo parecido a un teléfono móvil que cumple a la perfección las funciones de un Stingray. Acorde a reportes de analistas en seguridad informática, el costo aproximado de un Gossamer en el mercado negro de países como México, Brasil y Argentina va desde los 10 mil hasta los 20 mil dólares.

Recolección de metadatos a través de las empresas de telecomunicaciones: Este es un método más sofisticado de vigilancia masiva. A pesar de que las empresas se dicen comprometidas a resguardar los datos acumulados, todos los usuarios de estos servicios se encuentran bajo vigilancia sistemática. Estos datos son un diario digital de todas las actividades de las personas, se puede observar de manera textual a dónde van, qué hacen y qué busca, cuáles son sus rutinas, con qué tendencias políticas simpatizan y cómo está conformado su círculo social.

Backdoors en dispositivos inteligentes: Expertos en seguridad informática han reportado la existencia de puertas traseras que afectan a millones de dispositivos conectados a la red, que pueden estar pre instalados en el aparato, o pueden ser generados por hackers. En el caso de que los dispositivos contengan estos backdoors por configuración de fábrica, los fallos de seguridad pueden enviar a los fabricantes información del equipo, como su localización, o los mensajes y llamadas que entran y salen de éste; la información es acumulada por los fabricantes y, si tienen relación con los gobiernos, toda esta información puede terminar en manos del Estado. Un ejemplo de esto es la empresa china de telefonía móvil ZTE, acorde a expertos en seguridad informática de WebImprints, sus equipos cuentan con backdoor que conduce la información del usuario directo al gobierno de China.

Expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética sugieren que, a su vez, las agencias de inteligencia recolectan registros de localización de casi 5 billones de teléfonos móviles y más de 200 millones de mensajes de texto cada día en conjunto con diferentes agencias gubernamentales de todo el mundo.

¿Cómo son utilizados los datos recolectados por vigilancia masiva en una elección?

Los datos recolectados pueden pasar de manos de las empresas a los gobiernos y viceversa. Conocemos el caso de Cambridge Analytica, en el que metadatos (datos sobre tendencias políticas, likes, dislikes, etc.) fueron vendidos a privados y que en última instancia fueron utilizados por operadores políticos rusos para esparcir mensajes negativos sobre Hilary Clinton y difundir noticias falsas en el proceso de elección presidencial estadounidense en 2016.

Los metadatos recolectados son útiles para las organizaciones políticas para saber en qué zonas o demarcaciones territoriales necesitan enfocarse basados en grupos de habitantes y preferencias políticas. Gracias a la información generada por las distintas herramientas de localización y seguridad informática, los candidatos conocen a sus simpatizantes y opositores, las áreas donde estos se encuentran y sus actividades diarias. A partir de estos metadatos, se generan reportes de las áreas geográficas en las que los equipos de los candidatos realizarán campañas de marketing con el propósito de alcanzar al mayor número de posibles votantes.

A continuación algunos ejemplos del uso de estos metadatos:

Geomarketing político: Es una metodología de marketing que permite el análisis de la situación de un partido político, basado en estudios de vigilancia masiva, muestra qué áreas geográficas muestran preferencia por algún candidato y cuál es el perfil de las personas que en ella viven, localizándolos en un mapa digital diferenciado por el uso de distintos colores y emblemas. Según expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética, toda la información es utilizada en la labor de marketing para un candidato o partido, recurriendo a los anuncios en medios digitales o a la divulgación de noticias falsas en áreas identificadas donde el candidato o partido tengan menor presencia o preferencia.

 

Anuncios de Facebook y campañas de noticias falsas en redes: El análisis poblacional realizado con los metadatos recolectados permite la segmentación geográfica, utilizada para saber qué tipo de publicidad utilizará un partido político acorde a un área geográfica determinada. Expertos en seguridad informática sostienen que los metadatos se utilizan para mostrar anuncios sobre un partido político, o propaganda negativa sobre sus adversarios en plataformas como Facebook, WhatsApp o Twitter, basados en la segmentación geográfica.

 

¿En qué forma utilizan los metadatos los medios tradicionales?

Especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética ubican a la televisión, la radio y los medios impresos como medios de comunicación tradicionales, estos se distinguen de los digitales por su alcance a grandes audiencias, sin importar su contacto con la tecnología.

En países como Estados Unidos, México, India y Brasil, entre otros, los medios tradicionales cobren mayor relevancia y son reconocidos como autoridades informativas, manteniendo una mejor reputación respecto a sus contrapartes digitales.

Usando los datos recolectados en la vigilancia masiva sobre preferencias políticas y segmentación geográfica, los partidos políticos trabajan con los encargados de los medios tradicionales; el análisis de población se lleva cabo en base a esta segmentación, identificando a las personas con ciertas características en ciertas áreas. La oposición es bombardeada con publicidad. Si una cierta área geográfica es roja, no se realiza un trabajo de marketing intenso para el “partido rojo” ahí, por tanto, una estrategia publicitaria para el “partido azul” debería realizarse en ese lugar y a la inversa. A continuación alguna estrategias para el uso de los medios tradicionales:

Anuncios en radio, periódicos o televisión: La compra de espacios publicitarios en los medios de comunicación tradicionales es una herramienta que aún se utiliza y se seguirá utilizando. Las organizaciones políticas y sus candidatos pueden utilizar las herramientas de vigilancia masiva para identificar las zonas donde es necesario y pertinente invertir en publicidad de este tipo. Además de la promoción de su propia imagen, los candidatos y partidos promueven investigaciones para desprestigiar a la oposición.

Pagos a empresas operadoras de televisión: Expertos en seguridad informática afirman que los partidos y otros actores políticos tratan de intervenir en los planes y programación de las señales de televisión en función de la agenda que desean promover y los temas de los que no quieren que se hable en público. Los gobiernos compensan a las empresas de televisión y agencias de noticias por su “buen comportamiento”, celebrando con determinadas cadenas contratos de publicidad oficial y compensando a diversos periodistas y líderes de opinión.

Amenazas a periodistas: Expertos en seguridad informática afirman que los gobiernos e instituciones políticas pueden utilizar la vigilancia y el espionaje a periodistas identificados como opositores o que no son fáciles de sobornar, con el fin de ejercer alguna influencia sobre sus trabajos e investigaciones.

Anuncios físicos (folletos, anuncios espectaculares, etc.): Este es un recurso valioso en términos de visibilidad para el candidato; un anuncio espectacular colocado acorde a los datos obtenidos con los métodos mencionados, puede atraer la atención de millones de posibles votantes al día.

¿Cómo un gobierno autoritario puede hacer un mal uso de esta información?

Utilizando los recursos en listados en este documento, un gobierno puede ejercer el poder de manera autoritaria e imponer control sobre distintas facultades de los civiles. Acorde a expertos de seguridad informática del Instituto Internacional de Seguridad Cibernética, la información obtenida es utilizada por esta clase de gobernantes para establecer restricciones a las libertades de las personas, estableciendo un control sobre los medios, la oposición y beneficiando sólo a la élite al mando. Algunos ejemplos de este tipo de control son:

Democracia controlada: Son grupos que han conseguido un establecimiento en la élite a pesar de que existan transiciones de partidos políticos al mando. Esto elimina las posibilidades de analizar distintas alternativas o proyectos de nación.

Erradicar a los partidos de oposición: Los gobiernos utilizan las herramientas de vigilancia masiva para intervenir en las posibles acciones que atenten contra el estado vigente de las cosas. Los gobiernos e instituciones políticas tienden a erradicar a las personas dentro de las propias instituciones que pudieran atentar contra sus intereses.

Falsa oposición: Los gobiernos erradican a los partidos de oposición con campañas electorales en desigualdad de condiciones o cooptando a sus miembros, limitando el papel de la oposición a simples observadores de las acciones del partido dominante, o a un papel de apoyo.

Control total de las instituciones de justicia: Utilizando la vigilancia masiva y vulnerando la seguridad informática, los gobiernos pueden anticiparse a las acciones de sus opositores y utilizar las instituciones del Estado encargadas de la justicia para eliminar las posibles amenazas a su estabilidad al mando.

Como podemos observar, el uso de la tecnología y los medios tiene grandes ventajas y desventajas, depende de las personas, los gobiernos e instituciones políticas, y las compañías el cómo usarlos y qué tanto pueden influir en nuestras decisiones.

Para mayor información sobre este artículo sobre seguridad informática, favor de contactar a sarah.hogan@iicybersecurity.com.

InvisiMole: el malware espía que convierte tu ordenador en un sistema de vigilancia

0

InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.

Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.

Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.

El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia “secuestrando” una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe’, ‘explorer.exe’ o ‘svchost.exe’. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas.

Los dos módulos ejecutados por el malware: ‘RC2FM’ y ‘RC2CL’ cumplen diferentes propósitos:

RC2FM

Introduce una puerta trasera que implementa hasta 15 comandos para realizar tareas de espionaje o hacer cambios en el sistema. Este módulo se comunica con el servidor de C&C que se encontraba hardcodeado en las muestras analizadas por el equipo de ESET.

Listado de los comandos implementados (ID, descripción)

0 Muestra información sobre los discos, ficheros y directorios y carpetas compartidas.
2 Operaciones de creación, modificación y borrado de ficheros y directorios.
4 Abre un fichero y posiciona el puntero de fichero al inicio.
5 Cierra un fichero abierto anteriormente.
6 Escribe un fichero abierto anteriormente.
7 Cambia la fecha del fichero.
8 Posiciona el puntero de fichero al final.
10 Modifica la fecha del fichero/Elimina el fichero
12 Busca ficheros especificando una máscara de búsqueda.
13 Toma una captura de pantalla.
14 Sube o modifica algún fichero con datos internos.
15 Graba el sonido de los dispositivos de audio disponibles.
16 Comprueba si hay algún fichero abierto.
17 Actualiza la lista de servidores de C&C
19 Crea, modifica o elimina el registro.

RC2CL

Este módulo también introduce otra puerta trasera que permite al operador del malware recopilar toda la información posible sobre la víctima, desde información sobre el sistema hasta listados de procesos activos, servicios en ejecución, drivers disponibles, información sobre la red, etc. No sólo eso, el malware permite deshabilitar el control de acceso a usuarios (UAC) para poder manipular ficheros protegidos sin tener permisos de administrador. Tomar capturas de la webcam o grabaciones desde el micrófono.

Para evitar ser detectado, el malware cifra todos sus strings, ficheros internos, configuraciones y comunicaciones.

Algunos IOCs:

SHA1- 5EE6E0410052029EAFA10D1669AE3AA04B508BF9
SHA1- 2FCC87AB226F4A1CC713B13A12421468C82CD586
SHA1- B6BA65A48FFEB800C29822265190B8EAEA3935B1
SHA1- C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
SHA1- A5A20BC333F22FD89C34A532680173CBCD287FF8

Dos vulnerabilidades zero-day permiten atacar Windows mediante Adobe Reader

0

Además de Flash, otro producto de Adobe que generalmente se encuentra instalado en los ordenadores es Adobe Reader, el conocido lector de documentos. Hace poco los investigadores de ESET descubrieron dos vulnerabilidades zero-day, una en la mencionada aplicación y otra en el sistema operativo Windows, que combinadas puede terminar siendo un arma peligrosa en manos de los atacantes.

La vulnerabilidad que afecta a Adobe Reader (CVE-2018-4990) es una ejecución de código en remoto, mientras que la de Windows (CVE-2018-8120) es una escalada de privilegios que se ejecuta en el espacio del kernel. Esto abre la puerta a ejecutar código arbitrario con altos privilegios sobre un sistema vulnerable, sin que se requiera de un elevado nivel del interacción por parte del usuario. Las Ameanzas Persistentes Avanzadas suelen apoyarse bastante en este tipo de combinaciones para llevar a cabo campañas que llegan a tener un gran impacto.

Para explotarlas solo se necesita de un fichero PDF malicioso con JavaScript embebido, aunque este también tiene que saltarse un mecanismo de aislamiento (sandbox) incorporado en Adobe Reader llamado Protected Mode. Esta medida de protección dificulta la explotación de vulnerabilidad en la propia aplicación, y la forma más efectiva de saltársela es apoyándose en otro fallo de seguridad localizando en el sistema operativo que está ejecutando Adobe Reader.

Nada más abrir el PDF malicioso, el JavaScript que contiene entra en ejecución para manipular el objeto Button1, que contiene una imagen JPEG2000 específicamente diseñada para explotar las dos vulnerabilidades. Los atacantes han implementado técnicas de pulverización para corromper las estructuras internas de datos y así poder leer y escribir en el acceso a la memoria. Luego los atacantes localizan la dirección de memoria en la que se encuentra en plugin Escrip.api, que es el motor de JavaScript propio de Adobe Reader. El JavaScript malicioso establece una cadena de instrucciones de ensamblaje que podría llevar a la ejecución código de shell nativo.

La vulnerabilidad de Windows es utilizada para romper el aislamiento de Adobe Reader. Concretamente, se encuentra en la función NtUserSetImeInfoEx de win32k, que es un componte del kernel de Windows. Lo que hay que hacer para llevar a cabo el ataque es que la subrutina SetImeInfoEx de NtUserSetImeInfoEx no valide ningún puntero de datos, permitiendo así punteros de desreferencia NULL. Por lo tanto mapeando una página NULL y estableciendo un puntero a offset 0x2C, un atacante puede apoyarse en la vulnerabilidad para escribir en una dirección de memoria arbitraria en el espacio del kernel. Sin embargo, es importante tener en cuenta que desde Windows 8 los usuarios no pueden mapear una página NULL.

La lista de productos afectados es la siguiente:

Acrobat DC (versión 2018.011.20038 y anteriores)
Acrobat Reader DC (versión 2018.011.20038 y anteriores)
Acrobat 2017 (versión 011.30079 y anteriores)
Acrobat Reader DC 2017 (versión 2017.011.30079 y anteriores)
Acrobat DC (Classic 2015) (versión 2015.006.30417 y anteriores)
Acrobat Reader DC (Classic 2015) versión (2015.006.30417 y anteriores)
Windows 7 para 32-bit Service Pack 1
Windows 7 para x64 Systems Service Pack 1
Windows Server 2008 para 32-bit Service Pack 2
Windows Server 2008 para sistemas basados en Itanium Service Pack 2
Windows Server 2008 para x64 Service Pack 2
Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1

Consejos para evitar ser víctima de estafas durante el Mundial de Rusia

0

Como muchas veces sucede, los cibercriminales aprovechan la ocasión cuando se aproximan eventos masivos, como la Copa del Mundo de la FIFA Rusia 2018, para desarrollar campañas de engaño a través de la web o para estafar a los extranjeros que tienen pensado visitar el país para disfrutar del espectáculo deportivo. Para estos últimos, engaños relacionados con la compra de entradas baratas, paquetes que incluyen alojamiento o vuelos hacia las ciudades que son sede, solo por nombrar algunas, suelen ser las elegidas por los cibercriminales para desarrollar campañas de ingeniería social a través del correo electrónico o las redes sociales.

Como suele ocurrir, cuando al usuario le llega un mensaje que habla de una oportunidad que despierta su interés, es común que pinche en un enlace que redirija en una página de phishing que intentará simular ser de un sitio oficial. Ante esta situación, la víctima accederá a ingresar sus datos personales para pagar y que le envíen sus “entradas”, mientras que los cibercriminales obtendrán los detalles de su tarjeta de crédito y atacarán su cuenta bancaria.
Páginas falsas que simulan ser de entidades oficiales relacionadas con el evento

En este sentido, los estafadores intentarán replicar páginas de la entidad organizadora, que este caso es FIFA, así como también de patrocinadores, como pueden ser Visa, Adidas o Coca-Cola, para enviar mensajes de felicitaciones por haber tenido la “suerte” de haber ganado un par de entradas, pasajes de avión o algo similar para disfrutar del mundial. Así, solicitarán tus datos personales o te pedirán que efectúes un pago para que puedan hacerte llegar el beneficio.

Nunca asumas que un sitio es legítimo solo porque su dirección aparenta tener un certificado de seguridad (HTTPS), ya que varios sitios fraudulentos utilizan HTTPS en sus direcciones. De forma similar, el mero hecho de que un sitio aparezca en los resultados de una búsqueda en Google no quiere decir que sea genuino, ya que los cibercriminales pueden promover sus sitios mediante estrategias de blackhat SEO o por intermedio de anuncios pagos en los motores de búsqueda.
Mensajes fraudulentos con contenido de interés

Incluso si no tienes intenciones de viajar a Rusia puedes recibir un correo o un mensaje a través de las redes sociales que contenga archivos adjuntos o enlaces maliciosos escondidos detrás de un supuesto juego, aplicación, videos con noticias acerca de algunos jugadores u otro tipo de contenido. Y será así que mediante la “ayuda” de un malware como puede ser un Troyano bancario implantado en tu computadora o teléfono luego de que pinches en el contenido enviado, que los atacantes robarán los datos de tu cuenta bancaria.

La recomendación en este punto es ser inteligentes para reconocer mensajes de phishing. Esto quiere decir desconfiar de esas ofertas que son demasiado buenas y que además solicitan información personal como nuestros datos o los de nuestra tarjeta de crédito. Recordar que organizaciones legítimas, como un banco, nunca solicitarán por correo electrónico tal información. La misma recomendación corre para campañas que ofrecen un premio a cambio de que realices un pago, ya que una verdadera campaña de este tipo nunca solicitará que pagues para que hacerte llegar un premio.

Por otra parte, utiliza medios confiables para informarte sobre las últimas novedades de los jugadores y los partidos.
Entradas, Credenciales de acceso o Visas

Otras estafas pueden centrarse en visas de viaje o las credenciales de acceso obligatorias para ingresar a ver un partido (FAN ID) que solicitan las autoridades del país organizador, además de la entrada. Además, mediante el uso de sitios u ofertas falsas los estafadores intentarán venderte merchandising o enviarte regalos falsos.

Para que tengas en cuenta a modo de recomendación, la Federación Internacional de Futbol Asociado (FIFA) emitió un comunicado en abril en el que advierte a quienes tienen pensado viajar a Rusia que las entradas para los partidos están disponibles únicamente en su sitio web, mientras que los paquetes de hospedaje que incluyen entradas están disponibles solamente a través de empresas designadas y sus respectivos agentes de venta.

En este sentido, varios sitios que ofrecían entradas fueron removidos, aunque es probable que no se haya eliminado todos. La misma advertencia corre para las ofertas de entrada que puedan encontrarse en cuentas de redes sociales legítimas. Por lo tanto, quien compre entradas en cualquier otro lugar que no sea una fuente oficial, tiene muchas chances de que su ingreso al estadio sea denegado.

En caso de necesitar tramitar una Visa para ingresar al país anfitrión, comunícate con la embajada de Rusia en tu país en primer lugar.
Plataformas de streaming para ver los partidos gratis

También puede llegarte una oferta para que veas los partidos de forma gratuita en una plataforma de streaming maliciosa (o legítima pero infectada por cibercriminales), donde lo único que se solicitará a la víctima será que descargue un complemento o que realice una actualización de su navegador o de un complemento ya instalado (como puede ser Flash Player) y que sin querer termine comprometiendo tu máquina con un malware o programa malicioso como adware, o instalando un navegador web malicioso.

Para evitar comprometer tu dispositivo, lo mejor es que tengas una solución de seguridad instalada en tu dispositivo. Por otra parte, evita caer en la tentación de descargar cualquier complemento que sea requerido para ver el partido.
Redes Wi-Fi públicas

Los atacantes también pueden acceder a tus datos personales cuando te conectas a una red Wi-Fi pública. Pueden configurar un punto de acceso benigno y nombrarlo “Free Wi-Fi” y utilizarlo como señuelo. Incluso las redes de Wi-Fí publicas legítimas no son seguras a menos que cuenten con algún tipo de seguridad. Los ataques mediante puntos de acceso son los típicos ataques de hombre en el medio, donde un atacante tiene la posibilidad de interceptar tus datos a medida que viajan.

En caso de que viajes a Rusia y quieras conectarte a una red pública, un consejo es que navegues a través de una red privada virtual (VPN). Esta herramienta tiene un mecanismo de seguridad llamado Internet Kill Switch, el cual no te permitirá conectarte a la red Wi-Fi si la VPN tampoco puede hacerlo. Por otra parte, cuando estés conectado a una red pública, evita ingresar a la aplicación de tu banco o a cualquier sitio que pueda contener información personal.
Estafas ATM y clonación de tarjetas

Otro tipo de amenaza que afecta a los turistas se trata de las estafas en los cajeros automáticos (ATM, por sus siglas en inglés). Recientemente las autoridades rusas emitieron una advertencia por la existencia de estafadores que compran cajeros automáticos fuera de circulación para reacondicionarlos y utilizarlos para engañar a los turistas que llegan para la Copa del Mundo.

Esto además de la estafa común que ocurre con los cajeros automáticos, donde los cibercriminales extraen la información de la tarjeta mediante la utilización de otras herramientas, como cámaras ocultas.

En cuanto al uso de cajeros automáticos, para no caer en la estafa que circula en el país organizador, una simple precaución es utilizar cajeros ubicados en zonas de mucho movimiento. Asimismo, siempre presta atención a cualquier cosa sospechosa que te haga pensar que la máquina dispensadora fue manipulada.
Aplicaciones de encuentro

En caso de viajar, ten cuidado si vas a utilizar aplicaciones para conocer personas, como Tinder o Happn. Hay quienes crean perfiles falsos y cuando conoces a la persona puedes terminar pasando un mal momento. Si bien apps como Tinder intentan prevenir este tipo de inconvenientes al asociar el perfil de los usuarios con sus cuentas de Facebook o Instagram, sucede que los estafadores también crean perfiles falsos en estas redes sociales. Si bien puede resultar difícil reconocer cuándo alguien del otro lado de la aplicación pretenderá engañarnos, evita encontrarte de manera inmediata.
Apps para traducir

Si viajas a la Copa del Mundo y piensas descargar una aplicación para traducir, asegúrate elegir apps confiables. Para ello utiliza las tiendas oficiales como Google Play o App Store y verifica los comentarios de los usuarios y la calificación que tiene. Asimismo, revisa los permisos que solicita la aplicación, ya que puede suceder que pida accesos innecesarios, como tu ubicación. Para más información sobre qué precauciones tomar a la hora de revisar los permisos que otorgas a una aplicación te invitamos a leer el artículo ¿Con qué permisos de aplicaciones deberías tener cuidado?
Protege tu privacidad

Evita tomar fotos de tu pasaporte, pasaje o entradas en caso de que viajes a Rusia. Muchas veces aparecen datos nuestros que pueden ser utilizados de forma malintencionada. Asimismo, evita anunciar en redes sociales que te fuiste para evitar que intenten robarte. Asegúrate también de revisar la configuración de ubicación en tus cuentas de redes sociales.
Advertencias que emitió la FIFA

En la medida que nos aproximamos a la Copa del Mundo, los atacantes intentarán aprovecharse de la fiebre mundialista. Así que cualquier noticia relevante vinculada con el mundial de Rusia 2018 o los jugadores será utilizada para intentar que potenciales víctimas pinchen en un enlace malicioso o descarguen un archivo adjunto de la misma naturaleza. Por lo tanto, nunca sucumbas ante la tentación si el mensaje que nos llega proviene de un remitente desconocido.