Inicio Blog

Boletín Informativo en Ciberseguridad de Hals Intelligence #12 #Seguridad

0
Yucatan Seguridad
Boletín de ciberseguridad

Boletín de seguridad quincenal de HALS INTELLIGENCE, 26 de octubre de 2018. Publicado el 26/10/2018. Boletín de seguridad quincenal de HALS INTELLIGENCE, 26 de octubre de 2018. Ciberseguridad

¿Víctima de robo cibernético? Detecte intrusiones en su empresa. Servicio Ciberseguridad. Proteja su información. Anticipe ataques. Seguridad Empresarial. Asesoría especializada.

LINK DE DESCARGA

Boletin 12 Hals Intelligence

Anonimato y Seguridad, crean una tarjeta SIM que conecta con la red Tor

0

Vivimos una época en la que la privacidad y la protección de datos están en boca de todos; el escándalo de Facebook o el envío de datos a Google por parte de multitud de apps son solo algunos ejemplos. Hoy en día, evitar la vigilancia masiva y mantener el anonimato en Internet puede ser todo un desafío.

Una solución a este problema la encontramos en la red Tor, pero hasta ahora solo servía para la navegación web y no para usarlo con otras aplicaciones de nuestro smartphone, como por ejemplo Twitter. Y decimos “hasta ahora” porque la empresa británica Brass Horns Communications está probando actualmente una tarjeta SIM que enruta automáticamente todo el tráfico de datos móviles a través de la red Tor.

Antes de entrar en detalles conviene recordar que la red Tor, abreviatura de The Onion Project, es un proyecto que pretende crear una red de comunicaciones, privada y anónima, por encima de la capa de Internet de manera que nunca se revelen los datos de los usuarios que la utilizan.

Hace relativamente poco, conectarse a la red Tor resultaba complicado para usuarios sin demasiada experiencia, ya que había que instalar varias aplicaciones que hicieran de proxy y permitieran el acceso a esta red. Hoy en día, sin embargo, la conexión a la red de anonimato de Tor en un teléfono móvil es tan sencillo como instalar una aplicación (como Tor Browser for Android, por ejemplo).

El problema, como decíamos al principio, es que ese tipo de software generalmente está diseñado para la navegación web y no para usarlo con otras aplicaciones que aún podrían filtrar tu dirección IP. Lo que nos propone Brass Horn Communications, proveedor de servicios de Internet con sede en Reino Unido, es completamente diferente y simplificaría muchísmo el proceso de configuaración.

Se trata de una tarjeta SIM de solo datos, denominada Brass Horn Onion3G, que impide cualquier tráfico que no sea a través de la red Tor. Su funcionamiento es muy sencillo, pues toda la configuración está codificada en la propia tarjeta y el usuario solo tendría que crear un nuevo nombre de punto de acceso en su dispositivo para conectarse a la nueva red.

La tarjeta SIM de Brass Horn Onion3G tiene un precio de 2 libras al mes y cada megabyte de tráfico transferido cuesta 25 peniques

Como su nombre indica, la tarjeta SIM de Brass Horn Onion3G se conecta solo a través del servicio 3G y ni siquiera Bras Horn puede monitorear el tráfico que pasa a través de ella. Todavía se encuentra en fase de pruebas en Reino Unido, pero la compañía pretende ponerla a disposición del público en 2019.

La tarjeta Tor-SIM que nos propone es de prepago y tiene un precio de 2 libras al mes; además, cada megabyte de tráfico transferido cuesta 25 peniques. Los clientes podrán recargar la cuenta utilizando una tarjeta de crédito (Visa o Mastercard) o criptomonedas como Bitcoin, Monero o ZCash. Debido al anonimato del titular de la cuenta, todo debe pagarse por anticipado. Si no hay suficiente crédito prepago en la cuenta, se desactivará la tarjeta SIM.

Un exploit permite conseguir permisos de root en cualquier router MikroTik

0

La seguridad no es precisamente uno de los puntos fuertes de MikroTik. En lo que va de año este fabricante ha sido noticia debido a una serie de vulnerabilidades en sus routers, fallos de seguridad que han permitido desde utilizarlos para minar criptomonedas hasta reenviar el tráfico a webs controladas por piratas informáticos. Hoy, este fabricante de routers vuelve a ser noticia, esta vez por haber ignorado una vulnerabilidad hasta que, finalmente, se han empezado a ver exploits por la red que han puesto en jaque la seguridad de todos sus usuarios.

El fallo de seguridad en cuestión es CVE-2018-14847, una vulnerabilidad encontrada en abril de este mismo año que podía permitir a un pirata informático ejecutar código de forma remota en cualquier router vulnerable, así como conseguir permisos de root para tener el control total del mismo. Este fallo de seguridad se encontraba en el componente Winbox, utilizado para configurar la interfaz web de RouterOS, así como en el software de Windows utilizado para configurar RouterOS desde un PC.

A pesar de ser una vulnerabilidad que permite ganar privilegios en los routers (hasta ser root) y ejecutar código de forma remota, para el fabricante fue considerada como un fallo de seguridad de peligrosidad “media”, por lo que fue ignorado.

Recientemente acaba de aparecer el primer PoC del exploit para aprovecharse de esta vulnerabilidad en todos los routers MikroTik vulnerables, exploit llamado “By the Way” y que está al alcance de cualquiera desde el siguiente enlace. Tras el descubrimiento de este fallo de seguridad, el fabricante ha aumentado la peligrosidad de la vulnerabilidad de “media” a “crítica”, por lo que habrá que ver si ahora realmente es digna de preocupación por la compañía o todavía no.

enable, además de publicar el exploit, también encontró otras vulnerabilidades en los routers MikroTik con RouterOS

Además del anterior PoC del exploit de RouterOS, estos investigadores de seguridad también detectaron otros fallos de seguridad en los routers de este fabricante con un firmware inferior a las versiones 6.42.7 y 6.40.9:

CVE-2018-1156: fallo del tipo buffer overflow que puede permitir a un atacante ejecutar código y ganar privilegios en el sistema.
CVE-2018-1157: fallo que permite subir un archivo a la memoria y bloquear el servidor HTTP.
CVE-2018-1158: error que bloquea el servidor HTTP al usar un parsing JSON de manera recursiva.
CVE-2018-1159: error de corrupción de memoria que bloquea el servidor HTTP al autenticarnos y cerrar sesión rápidamente.

Cómo proteger nuestro router MikroTik

A este fabricante de routers no le preocupa especialmente la seguridad de sus dispositivos, pero al menos cuando las vulnerabilidades se dan a conocer y suponen un verdadero riesgo para los usuarios (como al aparecer este exploit) suele actualizar actualizaciones para solucionarlas.

Para proteger nuestro router, lo que debemos hacer es asegurarnos de tener instalada la última versión de RouterOS, cualquiera igual o posterior a las 6.40.9, 6.42.7 y 6.43, lanzadas en agosto, deberían estar ya protegidas.

Además, un cambio de los credenciales por defecto por otros más seguros y complejos también nos ayudará a evitar que estas vulnerabilidades nos pongan en peligro.

¿Tienes un router MikroTik? ¿Has actualizado para protegerte de estos fallos de seguridad?

Nueva técnica de los Hacker para robar datos en Celulares y Computadoras

0

Proteger nuestros datos de los hackers cada vez parece un reto mayor. A medida que aprendemos a protegernos de ciertas ciberamenazas, aparecen otras técnicas para sobrepasar las barreras de seguridad.
Uno de los últimos métodos de los hackers para robar tus datos es a través del cable del cargador de tu ordenador. La vulnerabilidad es, específicamente, para los portátiles que tengan el nuevo conector USB tipo C.
Así se lo explicó un investigador que se hace llamar MG a la BBC. En el reportaje Dave Lee explica como el experto en seguridad abría el cargador e insertaba una serie de pequeños componentes en su interior; no quiso especificar exactamente qué componentes estaba empleando.
Al enchufar el cable a su Mac cargaba con normalidad, pero no era lo único que se había activado: el pequeño chip que había insertado MG también se encendió. El dispositivo después introdujo una pantalla de inicio falsa en una web, permitiendo que el hacker recopile cualquier tipo de datos que el usuario inserte en la página.

Mientras que en su demostración MG se limitó a captar el usuario y contraseña de Lee, explicó que los hackers también pueden emplear la técnica para introducir malware y otras infecciones maliciosas al portátil.
Pese a que MG solo ha puesto a prueba el ataque en un MacBook está convencido de que también es eficaz en otros dispositivos de marcas como HP, Lenovo y otros. Apple no ha hecho comentarios al respecto.

Usar el cargador como vía de acceso a los datos del usuario no es algo nuevo, ya se podía poner en práctica con los teléfonos móviles. El punto de carga es, a menudo, el medio por el que se transfieren los datos.

No obstante, ahora la amenaza tiene una dimensión mayor: con los portátiles usando el conector USB tipo C se convierten en igual de vulnerables que los móviles.

Y, ¿cuál es la solución? Como explicó David Rogers, experto en seguridad de la consultora Copper Horse, a BBC, los fabricantes tienen que empezar a diseñar los dispositivos para que el USB solo permita la carga automática, siendo necesario permitir la transferencia de datos.

Por su parte, MG cree que deben añadir soluciones de seguridad para que el dispositivo no confíe en el cargador inmediatamente, sino que alerte al usuario de que se trata de un dispositivo nuevo y desconocido.

Sin embargo, la solución más inmediata se reduce a un comportamiento responsable del usuario. Vigila tu cargador, recuerda que los ataques en el mundo virtual también pueden comenzar desde el mundo físico.

Navegador Microsoft Edge permite que terceros accedan a tus archivos; actualiza cuanto antes

0

Dentro de los navegadores más utilizados no encontramos Microsoft Edge. De hecho está muy lejos del más utilizado, que como todos sabemos es Google Chrome. Sin embargo lo cierto es que el navegador de Microsoft ha realizado avances importantes en los últimos tiempos. Ha sido considerado como uno de los más estables y seguros. Pero hoy hablamos de todo lo contrario. Hoy nos hacemos eco de una noticia en la que se informa de que Microsoft Edge permite que terceros puedan acceder a nuestros archivos locales. Una vulnerabilidad bastante importante y que insta a los usuarios a actualizar cuanto antes.

Microsoft Edge permite robar archivos locales

Mantener nuestros equipos actualizados es vital. Aquí tenemos que hablar tanto de sistemas operativos como de los diferentes programas que tengamos instalados. Un ejemplo más es el de Microsoft Edge. Gracias a los parches de seguridad y a las actualizaciones podemos resolver problemas similares al que comentamos en este artículo.

Microsoft ya ha solucionado esta vulnerabilidad que permitía a terceros poder acceder a archivos locales. Los ciberdelincuentes podrían utilizar este fallo para robar datos. Por suerte, los usuarios que utilicen este navegador simplemente necesitan actualizar cuanto antes a la última versión.

Para aquellos que tengan Microsoft Edge sin actualizar y lo hayan utilizado con esta vulnerabilidad, hay que mencionar que este fallo no podía ser ejecutado de forma automática. Los ciberdelincuentes necesitaban utilizar la ingeniería social. Esto significa que requerían de la interacción del usuario. Por tanto resultaba un problema menor de cara al usuario final.

Este fallo de seguridad fue descubierto por el investigador de Netsparker, Ziyahan Albeniz. Este problema está relacionado con el SOP, algo que soporta todos los navegadores. Su función es impedir que un atacante pueda cargar código malicioso a través de un enlace que no coincide con el mismo dominio, subdominio, puerto y protocolo.

En Microsoft Edge el SOP funcionaba correctamente, salvo en un caso. Este caso era cuando los usuarios son engañados para que descarguen un archivo HTML malicioso en el equipo y posteriormente lo ejecuten. Como hemos mencionado anteriormente, requería de la interacción del usuario. No se podía explotar de forma automática.

Una vez que el usuario ejecuta este código, se cargará a través del protocolo de archivos locales. De esta forma no tendrá un valor de dominio y puerto. Este archivo malicioso podría contener código que recopile y robe datos de archivos locales a los que se pueden acceder mediante una URL.

Acceder a archivos del equipo

Este fallo le permitiría al atacante acceder a los archivos del equipo. Los investigadores realizaron pruebas y pudieron robar datos de equipos locales y enviarlos a un servidor remoto.

El atacante debería de conocer la ruta en la que se guardan los archivos. Sin embargo algunos como la configuración del sistema operativo están en la misma ubicación en casi todos los dispositivos.

Indican que esta vulnerabilidad no sería muy útil en campañas de distribución masiva de malware, pero sí para ataques dirigidos a objetivos concretos.

Cómo evitar este problema

La principal recomendación para evitar éste y otros problemas similares, es prestar mucha atención a posibles archivos fraudulentos que recibamos. No hay que abrir URL que desconozcamos. En muchas ocasiones pueden contener archivos descargables que hay que evitar.

Para protegernos lo primero que tenemos que hacer es actualizar Windows Edge a la última versión, así como Windows Mail y Calendar.

Si tienes alguna de estas seis aplicaciones en tu celular o computadora, bórrala: te están espiando

0

Un estudio de AdGuard Research que apunta a varias «apps» y extensiones de navegadores que pueden haber infectado con «spyware» un mínimo de 20 millones de dispositivos y equipos.

A la vez que la tecnología avanza, su «lado oscuro» también se hace más grande y astuto: los cibercriminales cada vez más refinan sus tácticas y ya no solo el ordenador es su objetivo: todos los dispositivos que lleven la etiqueta de «conectados» son susceptibles de ser «hackeados». La última amenaza tiene que ver con extensiones para navegadores (funcionalidades que se añaden a estos programas que se utilizan para «bucear» por la densa internet) y aplicaciones para móviles que contienen «spyware». Es decir, programas que roban información sin que el usuario lo sepa.

Las extensiones maliciosas

Según un informe realizado por AdGuard Research, los mayores damnificados por esta campaña son quienes agregaron a los navegadores Chrome y Mozilla Firefox las siguientes extensiones, y que se cifran en un mínimo de 11 millones de personas afectadas en todo el mundo.

– «Block Site», que cuenta con más de 1,4 millones de usuarios en Chorme y 119.000 en Firefox
– «Popper Blocker», con 2,2 millones de instalaciones en Chrome y más de 50.000 en Firefox
– «CrxMouse», que cuenta con 410.000 usuarios en Chrome.

Aplicaciones con «sorpresa» añadida

Por otro lado, AdGuard Research habría encontrado que seis aplicaciones (cinco de Android y una para iOS) inoculan a los «espías» en el móvil de, al menos, 8,5 millones de teléfonos inteligentes, ya que son bastante populares y todas registran un mínimo de medio millón de descargas. En concreto, son las siguientes:

– «Block Site». La misma extensión tiene su versión en «app», y está instalada en más de 100.000 dispositivos Android.

– «AdblockPrime». Se trata de un «adblocker» para iOS, pero no se tienen datos acerca de cuánta gente se ha descargado esta aplicación.

– «Speed BOOSTER». Esta aplicación de Android tiene 5 millones de instalaciones.

– «Battery Saver». Esta aplicación de Android cuenta con 1 millón de descargas.
– «AppLock». Esta aplicación de Android está en 500.000 dispositivos.

– «Clean Droid». Esta aplicación de Android tiene 500.000 instalaciones.

Una amenaza con un nombre: «Big Star Labs»

Tanto las tres extensiones como las seis aplicaciones cuentan con un denominador común. Detrás de su creación se encuentra el desarrollador «Big Star Labs», quien se erige como responsable de esta amenaza. «Se trata de una compañía de Delaware recientemente registrada, por lo que es difícil rastrearla hasta los verdaderos beneficiarios. Esto también hace que sea casi imposible rastrear con quién comparten sus datos», afirman desde la investigación.

En teoría, los datos que han recopilado estos programas no es información personal del usuario, pero guarda comportamientos de navegación o historiales que pueden ser cruzados con otros paquetes robados o no de datos y elaborar perfiles de los afectados. «El verdadero problema no es solo que esta única compañía sepa quién es usted. Los datos que se recopilan sobre usted se pueden compartir, vender y combinar con datos de otras fuentes. Al final, el producto final es su perfil completo», afirman fuentes de la analista.

La alarma es tan seria que hasta la Policía Nacional se ha hecho eco de la investigación a través de su cuenta de Twitter.

Cómo mandar un correo con seguridad en Gmail

0

Gmail es una de las plataformas de correo electrónico más utilizada hoy en día. Una de las razones es la gran variedad de funciones con las que cuenta, así como su facilidad de uso. Una de las cosas que más en cuenta tienen lo usuarios es la seguridad y privacidad. Hoy vamos a explicar cómo podemos mandar un e-mail con todas las garantías tanto en privacidad como en seguridad. Para ello Gmail cuenta con una función que fue parte de sus novedades más recientes.

Mandar correos con mayor privacidad y seguridad en Gmail

Gracias a esta novedad, Gmail permite ahora enviar correos más seguros y privados. El objetivo es que solamente el destinatario pueda llegar a leerlo sin que nadie ajeno pueda tener acceso. Esta característica, además, es muy sencilla de utilizar.

Cómo enviar un mensaje privado en Gmail

Para ello simplemente tenemos que seguir los pasos habituales. Iniciamos sesión con nuestra cuenta y le damos a enviar un correo. Justo a la derecha del botón Enviar, veremos varios iconos con opciones (adjuntar archivos, insertar imágenes…). Uno de ellos es un icono con un candado.

Tenemos que pulsar este icono y nos mostrará una serie de opciones. Nos ofrece la posibilidad de que ese correo caduque en una fecha que elijamos. Una manera de preservar nuestra privacidad en caso de que no nos interese tener un correo más tiempo del necesario circulando. Desaparece de la bandeja de la otra persona cuando llegue a ese tiempo límite.

Este tiempo puede ser el que queramos. Podemos poner que simplemente en 1 día caduque, 1 mes, 1 año… Eso sí, hay que mencionar que de momento no podemos poner una fecha y hora concreta. Desde Gmail planean incluir esta opción en un futuro. De momento nos tenemos que conformar con lo mencionado.

Este modo confidencial también permite agregar un código. Es una opción muy interesante para los usuarios. Con esto logramos que el destinatario reciba una clave vía SMS. Sin esta clave no podría abrir ese correo. De esta manera nos aseguramos de que lo abra realmente el destinatario y no algún intruso. Una garantía de privacidad importante.

Para esta última opción simplemente tenemos que seleccionar la casilla del código por SMS. Una vez guardemos todo, tendremos que introducir el número del destinatario y su país. Además, nos informa de que la otra persona no podrá reenviar, descargar o copiar el contenido del e-mail.

Evitar que la otra persona abra el correo

Si nos arrepentimos por algún motivo, gracias al modo confidencial podemos cancelar o evitar que el destinatario lo abra. Para ello, una vez recibamos una copia del correo, le damos a Eliminar acceso. De esta manera ya no podrán leer ese e-mail.

En definitiva, es muy sencillo enviar un correo con todas las garantías de seguridad y privacidad en Gmail. Es una opción muy interesante para evitar que algún intruso pueda acceder a nuestra cuenta. Algo a tener en cuenta para evitar problemas a la hora de contactar mediante el correo electrónico.

Llega otro peligroso ransomware como WannaCry a Windows

0

El ransomware se ha convertido en los últimos tiempos en una de las amenazas de seguridad más importantes para los usuarios. Es uno de los tipos de malware más presentes hoy en día y, con total probabilidad, uno de los que menos ganas tenemos de ser infectados. Como sabemos, los ciberdelincuentes logran secuestrar nuestros equipos. Cifran los archivos para que la víctima pague un rescate económico para descifrarlos. Un problema bastante serio si ocurre en un equipo en el que tenemos información importante o vital para trabajar. Hoy hablamos de una variante de GandCrab y cómo podemos protegernos.

Nueva variante de GandCrab

WannaCry, como sabemos, ha sido uno de los ejemplos de ransomware más peligrosos y con más víctimas. Se calcula que esta variedad afectó a más de 300.000 organizaciones en todo el mundo. La similitud de la nueva versión de GandCrab con Wannacry es que utiliza también el protocolo SMB para atacar a usuarios de Windows.

Ataca a la víctima a través de sitios web comprometidos. Según los investigadores, este nuevo ransomware se actualiza diariamente para atacar a víctimas de diferentes países. Los atacantes rastrean Internte en busca de páginas vulnerables donde poder llevar a cabo sus ataques. La nueva versión cuenta ya con una larga lista de páginas que se han visto comprometidas.

Los atacantes han utilizado un algoritmo pseudoaleatorio para seleccionar una palabra predefinida para completar la URL de cada sitio. La URL final se genera en formato “www. {Nombre} .com / data / tmp / sokakeme.jpg”.

Como hemos mencionado, los expertos creen que esta nueva variante del ransomware GandCrab logra propagarse a través de un exploit SMB. Este fue el mismo exploit que utilizó WannaCry y también Petya durante el año pasado.

Esto lo han logrado gracias a que han reescrito todo el código del ransomware. Los expertos en seguridad indican que ahora este ransomware está utilizando exploits de la Agencia de Seguridad Nacional de Estados Unidos de EternalBlue para atacar rápidamente.

Cómo protegernos de la nueva variante de GandCrab

Las medidas que tenemos que tomar no son muy diferentes a la de cualquier ransomware o malware en general. Hay que mencionar que desde Microsoft se han puesto manos a la obra y han lanzado el parche de seguridad MS17-010. Es por ello que es vital que nuestro equipo esté actualizado a la última versión. De esta manera podremos evitar la vulnerabilidad que permite penetrar a la nueva variante de GandCrab.

También es vital contar con programas y herramientas de seguridad. Es así como podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento. Este software, al igual que el sistema, debe de estar actualizado a la última versión.

Tan importante es hacer copias de seguridad como dónde almacenarlas

Realizar copias de seguridad es lo más recomendable para muchos posibles problemas, pero más aún para el ransomware. Como sabemos, su objetivo es cifrar los documentos y archivos y pedir un rescate. Es importante realizar una copia donde tengamos todos esos archivos guardados. De esta manera, en caso de sufrir un hipotético ataque, siempre tendremos un respaldo de todos esos archivos.

Democracia Hackeada, como influir en los procesos electorales

0

Sabemos que los medios de comunicación y la tecnología desempeñan un papel importante en los eventos políticos de un estado, de ahí la importancia de reflexionar sobre la relevancia de estos actores en la sociedad, sobre todo en tiempos electorales.

Los medios condicionan nuestra percepción del mundo; por supuesto, esta influencia se extiende hacia nuestra capacidad de ejercer decisiones en lo político. Expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética comentan que, en una elección, sólo el 40% de los votantes tienen decidido su voto por un candidato en particular, mientras que 35% siguen indecisos y el restante 25% puede ser condicionado con diferentes técnicas estadísticas y de mercadotecnia a lo largo de la campaña electoral.

Existen muchas formas diferentes en las que los medios y la tecnología tratan de convencernos o de influir en nuestras preferencias políticas, intervención en seguridad informática, vigilancia masiva, monitoreo de cuentas de Twitter y Facebook, y campañas de marketing son algunos de los recursos utilizados con la intención de ejercer dicha influencia. Expertos en seguridad informática señalan cuatro principales métodos empleados para influir en una elección con el uso de estos recursos electrónicos: cambiando el voto, manipulando información que pueda cambiar el voto, obstruyendo el voto, y atentando contra la confianza en el voto.

Cómo influenciar y hackear el proceso electoral

La influencia en las decisiones políticas implica un largo proceso, comenzando alrededor de dos años antes de las elecciones. Este trabajo requiere el uso de:

1. Vigilancia masiva.
2. Acumulación de datos sobre palabras clave y metadatos.
3. Análisis geográfico y segmentación poblacional.
4. Identificación de actores de la oposición.
5. Geomarketing, utilizando medios tradicionales y digitales enfocados en grupos de gente identificados previamente.

Después llega la etapa de influencia sobre los electores, donde los datos recolectados se utilizarán para trabajar sobre la población objetivo, tratando ya sea de mantener o de cambiar sus intenciones de voto.

Como todos sabemos, las empresas privadas se prestan a los objetivos de los actores políticos, pero esta ayuda no será gratis. Es complicado que un gobierno o un partido político puedan inyectar dinero a una empresa privada con fines electorales dentro de los márgenes de la ley, por lo que se recurre a acuerdos previos entre los actores privados y los futuros gobernantes y legisladores para impulsar los planes y proyectos de los particulares una vez que los candidatos resulten ganadores en una elección.

PASOS PARA INFLUIR EN UN PROCESO ELECTORAL

Vigilancia digital masiva y análisis de palabras clave

Explicado de un modo simple, la vigilancia masiva se presenta cuando un actor, ya sea público o privado, controla y acumula grandes volúmenes de información acerca del comportamiento de las personas en sus teléfonos, computadoras y otros dispositivos. Expertos en seguridad informática sostienen que como parte de esta vigilancia los gobiernos y empresas privadas tienen acceso a llamadas telefónicas, conversaciones y correos electrónicos.

La vigilancia masiva se remite de igual manera a todo lo que hacemos en internet. Los documentos que Edward Snowden hizo públicos en 2013 revelan cómo las agencias gubernamentales utilizan la vigilancia masiva para recolectar, almacenar y analizar en secreto millones de comunicaciones privadas de gente de todo el mundo.

Es igualmente conocido cómo los gobiernos de países como Estados Unidos, Reino Unido, India, China, México, Japón, Brasil y Rusia, por mencionar algunos, han mantenido encubiertas las acciones de los proveedores de telecomunicaciones, permitiendo espiar la voz y datos de millones de usuarios de telefonía móvil e internet.

Empresas de seguridad informática y los gobiernos utilizan diferentes herramientas de vigilancia masiva, entre las que se encuentran:

Intercepción de comunicaciones móviles: En resumen, es la vigilancia de teléfonos, llamadas, mensajes de texto y correos electrónicos utilizando dispositivos receptores de señal. Un Stingray “Mantarraya” es un dispositivo capaz de acumular datos de miles de teléfonos móviles en un área determinada e interceptar llamadas sin intervenir el equipo telefónico. Existen diversos equipos de esta clase disponibles en el mercado, como el Gossamer, un dispositivo parecido a un teléfono móvil que cumple a la perfección las funciones de un Stingray. Acorde a reportes de analistas en seguridad informática, el costo aproximado de un Gossamer en el mercado negro de países como México, Brasil y Argentina va desde los 10 mil hasta los 20 mil dólares.

Recolección de metadatos a través de las empresas de telecomunicaciones: Este es un método más sofisticado de vigilancia masiva. A pesar de que las empresas se dicen comprometidas a resguardar los datos acumulados, todos los usuarios de estos servicios se encuentran bajo vigilancia sistemática. Estos datos son un diario digital de todas las actividades de las personas, se puede observar de manera textual a dónde van, qué hacen y qué busca, cuáles son sus rutinas, con qué tendencias políticas simpatizan y cómo está conformado su círculo social.

Backdoors en dispositivos inteligentes: Expertos en seguridad informática han reportado la existencia de puertas traseras que afectan a millones de dispositivos conectados a la red, que pueden estar pre instalados en el aparato, o pueden ser generados por hackers. En el caso de que los dispositivos contengan estos backdoors por configuración de fábrica, los fallos de seguridad pueden enviar a los fabricantes información del equipo, como su localización, o los mensajes y llamadas que entran y salen de éste; la información es acumulada por los fabricantes y, si tienen relación con los gobiernos, toda esta información puede terminar en manos del Estado. Un ejemplo de esto es la empresa china de telefonía móvil ZTE, acorde a expertos en seguridad informática de WebImprints, sus equipos cuentan con backdoor que conduce la información del usuario directo al gobierno de China.

Expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética sugieren que, a su vez, las agencias de inteligencia recolectan registros de localización de casi 5 billones de teléfonos móviles y más de 200 millones de mensajes de texto cada día en conjunto con diferentes agencias gubernamentales de todo el mundo.

¿Cómo son utilizados los datos recolectados por vigilancia masiva en una elección?

Los datos recolectados pueden pasar de manos de las empresas a los gobiernos y viceversa. Conocemos el caso de Cambridge Analytica, en el que metadatos (datos sobre tendencias políticas, likes, dislikes, etc.) fueron vendidos a privados y que en última instancia fueron utilizados por operadores políticos rusos para esparcir mensajes negativos sobre Hilary Clinton y difundir noticias falsas en el proceso de elección presidencial estadounidense en 2016.

Los metadatos recolectados son útiles para las organizaciones políticas para saber en qué zonas o demarcaciones territoriales necesitan enfocarse basados en grupos de habitantes y preferencias políticas. Gracias a la información generada por las distintas herramientas de localización y seguridad informática, los candidatos conocen a sus simpatizantes y opositores, las áreas donde estos se encuentran y sus actividades diarias. A partir de estos metadatos, se generan reportes de las áreas geográficas en las que los equipos de los candidatos realizarán campañas de marketing con el propósito de alcanzar al mayor número de posibles votantes.

A continuación algunos ejemplos del uso de estos metadatos:

Geomarketing político: Es una metodología de marketing que permite el análisis de la situación de un partido político, basado en estudios de vigilancia masiva, muestra qué áreas geográficas muestran preferencia por algún candidato y cuál es el perfil de las personas que en ella viven, localizándolos en un mapa digital diferenciado por el uso de distintos colores y emblemas. Según expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética, toda la información es utilizada en la labor de marketing para un candidato o partido, recurriendo a los anuncios en medios digitales o a la divulgación de noticias falsas en áreas identificadas donde el candidato o partido tengan menor presencia o preferencia.

 

Anuncios de Facebook y campañas de noticias falsas en redes: El análisis poblacional realizado con los metadatos recolectados permite la segmentación geográfica, utilizada para saber qué tipo de publicidad utilizará un partido político acorde a un área geográfica determinada. Expertos en seguridad informática sostienen que los metadatos se utilizan para mostrar anuncios sobre un partido político, o propaganda negativa sobre sus adversarios en plataformas como Facebook, WhatsApp o Twitter, basados en la segmentación geográfica.

 

¿En qué forma utilizan los metadatos los medios tradicionales?

Especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética ubican a la televisión, la radio y los medios impresos como medios de comunicación tradicionales, estos se distinguen de los digitales por su alcance a grandes audiencias, sin importar su contacto con la tecnología.

En países como Estados Unidos, México, India y Brasil, entre otros, los medios tradicionales cobren mayor relevancia y son reconocidos como autoridades informativas, manteniendo una mejor reputación respecto a sus contrapartes digitales.

Usando los datos recolectados en la vigilancia masiva sobre preferencias políticas y segmentación geográfica, los partidos políticos trabajan con los encargados de los medios tradicionales; el análisis de población se lleva cabo en base a esta segmentación, identificando a las personas con ciertas características en ciertas áreas. La oposición es bombardeada con publicidad. Si una cierta área geográfica es roja, no se realiza un trabajo de marketing intenso para el “partido rojo” ahí, por tanto, una estrategia publicitaria para el “partido azul” debería realizarse en ese lugar y a la inversa. A continuación alguna estrategias para el uso de los medios tradicionales:

Anuncios en radio, periódicos o televisión: La compra de espacios publicitarios en los medios de comunicación tradicionales es una herramienta que aún se utiliza y se seguirá utilizando. Las organizaciones políticas y sus candidatos pueden utilizar las herramientas de vigilancia masiva para identificar las zonas donde es necesario y pertinente invertir en publicidad de este tipo. Además de la promoción de su propia imagen, los candidatos y partidos promueven investigaciones para desprestigiar a la oposición.

Pagos a empresas operadoras de televisión: Expertos en seguridad informática afirman que los partidos y otros actores políticos tratan de intervenir en los planes y programación de las señales de televisión en función de la agenda que desean promover y los temas de los que no quieren que se hable en público. Los gobiernos compensan a las empresas de televisión y agencias de noticias por su “buen comportamiento”, celebrando con determinadas cadenas contratos de publicidad oficial y compensando a diversos periodistas y líderes de opinión.

Amenazas a periodistas: Expertos en seguridad informática afirman que los gobiernos e instituciones políticas pueden utilizar la vigilancia y el espionaje a periodistas identificados como opositores o que no son fáciles de sobornar, con el fin de ejercer alguna influencia sobre sus trabajos e investigaciones.

Anuncios físicos (folletos, anuncios espectaculares, etc.): Este es un recurso valioso en términos de visibilidad para el candidato; un anuncio espectacular colocado acorde a los datos obtenidos con los métodos mencionados, puede atraer la atención de millones de posibles votantes al día.

¿Cómo un gobierno autoritario puede hacer un mal uso de esta información?

Utilizando los recursos en listados en este documento, un gobierno puede ejercer el poder de manera autoritaria e imponer control sobre distintas facultades de los civiles. Acorde a expertos de seguridad informática del Instituto Internacional de Seguridad Cibernética, la información obtenida es utilizada por esta clase de gobernantes para establecer restricciones a las libertades de las personas, estableciendo un control sobre los medios, la oposición y beneficiando sólo a la élite al mando. Algunos ejemplos de este tipo de control son:

Democracia controlada: Son grupos que han conseguido un establecimiento en la élite a pesar de que existan transiciones de partidos políticos al mando. Esto elimina las posibilidades de analizar distintas alternativas o proyectos de nación.

Erradicar a los partidos de oposición: Los gobiernos utilizan las herramientas de vigilancia masiva para intervenir en las posibles acciones que atenten contra el estado vigente de las cosas. Los gobiernos e instituciones políticas tienden a erradicar a las personas dentro de las propias instituciones que pudieran atentar contra sus intereses.

Falsa oposición: Los gobiernos erradican a los partidos de oposición con campañas electorales en desigualdad de condiciones o cooptando a sus miembros, limitando el papel de la oposición a simples observadores de las acciones del partido dominante, o a un papel de apoyo.

Control total de las instituciones de justicia: Utilizando la vigilancia masiva y vulnerando la seguridad informática, los gobiernos pueden anticiparse a las acciones de sus opositores y utilizar las instituciones del Estado encargadas de la justicia para eliminar las posibles amenazas a su estabilidad al mando.

Como podemos observar, el uso de la tecnología y los medios tiene grandes ventajas y desventajas, depende de las personas, los gobiernos e instituciones políticas, y las compañías el cómo usarlos y qué tanto pueden influir en nuestras decisiones.

Para mayor información sobre este artículo sobre seguridad informática, favor de contactar a sarah.hogan@iicybersecurity.com.

InvisiMole: el malware espía que convierte tu ordenador en un sistema de vigilancia

0

InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.

Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.

Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.

El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia “secuestrando” una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe’, ‘explorer.exe’ o ‘svchost.exe’. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas.

Los dos módulos ejecutados por el malware: ‘RC2FM’ y ‘RC2CL’ cumplen diferentes propósitos:

RC2FM

Introduce una puerta trasera que implementa hasta 15 comandos para realizar tareas de espionaje o hacer cambios en el sistema. Este módulo se comunica con el servidor de C&C que se encontraba hardcodeado en las muestras analizadas por el equipo de ESET.

Listado de los comandos implementados (ID, descripción)

0 Muestra información sobre los discos, ficheros y directorios y carpetas compartidas.
2 Operaciones de creación, modificación y borrado de ficheros y directorios.
4 Abre un fichero y posiciona el puntero de fichero al inicio.
5 Cierra un fichero abierto anteriormente.
6 Escribe un fichero abierto anteriormente.
7 Cambia la fecha del fichero.
8 Posiciona el puntero de fichero al final.
10 Modifica la fecha del fichero/Elimina el fichero
12 Busca ficheros especificando una máscara de búsqueda.
13 Toma una captura de pantalla.
14 Sube o modifica algún fichero con datos internos.
15 Graba el sonido de los dispositivos de audio disponibles.
16 Comprueba si hay algún fichero abierto.
17 Actualiza la lista de servidores de C&C
19 Crea, modifica o elimina el registro.

RC2CL

Este módulo también introduce otra puerta trasera que permite al operador del malware recopilar toda la información posible sobre la víctima, desde información sobre el sistema hasta listados de procesos activos, servicios en ejecución, drivers disponibles, información sobre la red, etc. No sólo eso, el malware permite deshabilitar el control de acceso a usuarios (UAC) para poder manipular ficheros protegidos sin tener permisos de administrador. Tomar capturas de la webcam o grabaciones desde el micrófono.

Para evitar ser detectado, el malware cifra todos sus strings, ficheros internos, configuraciones y comunicaciones.

Algunos IOCs:

SHA1- 5EE6E0410052029EAFA10D1669AE3AA04B508BF9
SHA1- 2FCC87AB226F4A1CC713B13A12421468C82CD586
SHA1- B6BA65A48FFEB800C29822265190B8EAEA3935B1
SHA1- C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
SHA1- A5A20BC333F22FD89C34A532680173CBCD287FF8