Boletín semanal nº 36 Noticias Seguridad en Comunidad Movistar Empresas
* Consejos de Chema Alonso para empezar en el Hacking & Seguridad Informática En este vídeo Chema Alonso da consejo sobre cómo aprender hacking o seguridad informática. Principalmente indica 3 pautas: Leer mucho e informarte en foros y entornos web, practicar lo aprendido, y tener mucha constancia. * 350 nuevas apps maliciosas para Android cada hora durante el primer trimestre de 2017 Tim Berghoff, experto en seguridad de G DATA, comenta que “vivimos permanentemente conectados gracias a nuestros dispositivos móviles. Actividades tan delicadas como banca y compras online las realizamos ya desde nuestros smartphones. Además, el grado de amenaza cada vez es más preocupante, pues al crecimiento vertiginoso del número de apps maliciosas se añade el asunto de las actualizaciones de Android, que dependen de demasiados condicionantes para que lleguen al usuario en los tiempos adecuados.” Aunque en los dos años anteriores se ha podido apreciar un aumento considerable en el número de nuevas aplicaciones maliciosas para Android, G DATA estima que durante este 2017 el crecimiento será menos acusado. http://muyseguridad.net/2017/04/28/350-apps-maliciosas-android-hora-2017/ * Ataque masivo de #Phishing que se hace pasar por Google Docs Si han recibido este correo y han hecho clic en el enlace, deben verificar los permisos y la configuración de seguridad de su cuenta de Google y buscar la aplicación "Google Docs" que, aunque parece verdadera, en realidad esta es una aplicación falsa que obtuvo el acceso a su cuenta después de hacer clic en el enlace (debe tener un "Tiempo o Fecha de autorización" reciente). Desde aquí se puede eliminar la aplicación. https://motherboard.vice.com/en_us/article/massive-gmail-google-doc-phishing-email * Las empresas no están preparadas para una brecha de seguridad en sus dispositivos móviles Según el estudio Dimensional Research patrocinado por Check Point, el 64% de los encuestados duda sobre la capacidad de su compañía para prevenir un ciberataque a sus 'smartphones' y 'tablets'. Según el informe The Growing Threat of Mobile Device Security Breaches, dos de cada 10 encuestados declararon que su compañía ya había sido víctima de un ciberataque móvil, y el 24% no sabía si los dispositivos de sus empleados habían sido expuestos. http://cso.computerworld.es/alertas/las-empresas-no-estan-preparadas-para-una-brecha-de-seguridad-en-sus-dispositivos-moviles * El troyano móvil bancario ataca a Latinoamérica Marcher no es un troyano nuevo pero por su incidencia y los riesgos que representa merece ser tenido en cuenta. Este malware para Android es capaz de robar credenciales del usuario, así como obtener datos del dispositivo, interceptar SMS. Un kit completo. Además, cuenta con la posibilidad de monitorizar las APKs que están instaladas y activarse cuando detecta el uso de determinadas aplicaciones. En anteriores ocasiones, ha estado dirigido a entidades americanas, alemanas, británicas, rusas, pero esta vez se encarga de atacar a entidades latinoamericanas, incluyendo países como México, Argentina, Colombia o Perú. http://unaaldia.hispasec.com/2017/05/el-troyano-movil-bancario-ataca.html * Aparece el primer troyano a gran escala contra Mac Check Point ha descubierto recientemente a Dok, que se está distribuyendo sobre todo a través de phishing por email y se trata del primer troyano a gran escala contra macOS (el sistema operativo para los ordenadores Mac). Los mensajes maliciosos van dirigidos sobre todo a usuarios europeos y tienen adjuntado un fichero comprimido ZIP con un malware que toma el control del sistema y permite a los atacantes interceptar el tráfico de Internet de la víctima para espiarla o suplantar sitios web. Obviamente, nada de esto pasa si el usuario no abre el fichero ZIP correspondiente al ataque de phishing. Si el usuario es lo suficientemente incauto y abre el fichero ZIP (de nombre Dokument.ZIP), se mostrará un falso mensaje diciendo que el fichero no ha podido ser abierto debido a que está dañado, siendo ese el momento que aprovecha el malware para ejecutarse y mostrar otro mensaje emergente diciendo al usuario que le ha llegado una nueva actualización para macOS, invitándole a hacer clic sobre el botón Actualizar Todo (Update All). En caso de pulsar el botón, el malware pedirá la contraseña del usuario, cosa que culmina el proceso de infección en caso de suministrar la correcta. http://muyseguridad.net/2017/05/01/troyano-gran-escala-mac/ * Entrenar usuarios en redes corporativas para hacer frente a ataques de Phising Se trata de un sistema de Phishing de código abierto destinado a poner a disposición de todos el entrenamiento de Phishing, y supuestamente es extremadamente fácil de usar. GoPhish difiere de la mayoría de las ofertas comerciales similares en el hecho de que está alojado en un servidor de la propia red interna, por lo que cualquier información que se maneje con ella, no saldrá de la red interna. Tiene una interfaz de usuario de administración muy amigable. Construido desde el principio con una API JSON que hace que sea fácil para los desarrolladores y administradores de sistemas, automatizar campañas simuladas de Phishing. Al ejecutarla se inician dos servidores web, una base de datos y un agente en segundo plano, que gestionará el envío de correos electrónicos. Está disponible para Windows, Linux y OS X. http://www.gurudelainformatica.es/2017/04/entrenar-usuarios-en-redes-corporativas.html * Wikileaks revela el 'Scribbles', la herramienta de la CIA para espiar documentos de Microsoft Office WikiLeaks ha publicado una nueva entrega de la serie de filtraciones del proyecto Vault 7, destinado a sacar a la luz documentos clasificados que demuestran los supuestos programas de espionaje electrónico de la CIA. Se trata de un manual de usuario que describe un programa de la CIA conocido como "Scribbles". La herramienta permite a la agencia etiquetar y rastrear documentos creados con el software de Microsoft Office que sean filtrados por informantes o robados por "oficiales de Inteligencia extranjeros" https://actualidad.rt.com/actualidad/237133-vault7-wikileaks-cia-scribbles-herramienta * Supuestamente descifran un mensaje de #Whatsapp de un terrorista El usuario Bruce66423 de SlashDot dice que un mensaje de WhatsApp de un terrorista ha sido descifrado "usando técnicas que no pueden revelarse por razones de seguridad", aunque las fuentes dijeron que ahora tienen la experiencia técnica para repetir el proceso en el futuro. Al parecer, los servicios de seguridad del Reino Unido han logrado decodificar el último mensaje enviado por Khalid Masood, antes de que utilizase su coche para matar peatones a alta velocidad en en el puente de Westminster y apuñalara a muerte a un oficial de policía en las puertas del Parlamento el 22 de marzo pasado. https://it.slashdot.org/story/17/04/29/1617257/encrypted-whatsapp-message-recovered-from-westminster-terrorists-phone
Los tipos de malware más peligrosos para una pyme
En los últimos años, las pymes y los autónomos se han convertido en el blanco principal de los ciberdelincuentes, de hecho en España, el 91% de ellos han sufrido algún tipo de ataque informático, por lo que es muy importante la concienciación sobre los malware más peligrosos que existen hoy en día y sus posibles consecuencias. A continuación, te presentamos una infografía con los tipos de Malware más peligrosos: ¿Por qué son peligrosos estos tipos de malware? -Scam: Te engaña con promociones de viajes o lotería y te piden dinero para acceder al “premio”. - Gusano: Infecta los ordenadores ralentizando la red e incluso bloqueando el acceso a las comunicaciones. - Phishing: Crea una URL falsa para obtener tus datos y suplantar tu identidad para, entre otros, robar en tus cuentas bancarias. - Backdoor: Abre una puerta trasera y toma el control del sistema afectado. - BOT: Es un programa que, una vez dentro de tu equipo, es capaz de controlarlo de manera remota. - Ransomware: Bloquea el PC, te quita el control, cifra tus archivos y te pide rescate económico para liberarlos. - Spyware: Recoge nombres, cuentas de acceso, claves y, en general, cualquier dato de tu organización. - Keylogger: Recoge, guarda y envía todas las pulsaciones realizadas por el usuario. - Exploit: Aprovecha un fallo de seguridad o una vulnerabilidad en los protocolos de comunicaciones para entrar en tus equipos. - Troyano: Instala varias aplicaciones para que los hackers controlen tu equipo, tus archivos y roben tu información confidencial. Además de la concienciación sobre los peligros que acabamos de mencionar, también es necesaria la implantación de medidas de seguridad específicas que ayuden a disminuir las posibles consecuencias negativas. A continuación te mostramos varias soluciones de seguridad que pueden ayudarte a mantener protegida tu empresa ante un posible ciberataque. Si necesitas más información, no dudes en ponerte en contacto con nosotros y te ayudaremos!Noticias de Seguridad a nivel mundial: boletín nº 127
Naturgy sufre el chantaje de un 'hacker' que robó información ultraconfidencial Naturgy se ha visto obligada a implementar un plan especial contra la ciberseguridad tras sufrir meses atrás un chantaje de unos piratas informáticos que entraron en ordenadores claves de la cúpula directiva. El ataque fue de tal calibre que Francisco Reynés, presidente ejecutivo del grupo energético, elevó el problema al consejo de administración, que decidió encargar a cuatro empresas especializadas una nueva estrategia para hacer frente a estos riesgos de seguridad. Según han confirmado fuentes de Naturgy, el ciberataque selectivo, dirigido exclusivamente a una serie de ordenadores de altos directivos, se produjo en diciembre de 2018. Un técnico robó ciertas contraseñas particulares de ejecutivos de la multinacional y amenazó a la compañía con difundir por la red la información a la que había tenido acceso. Entre ellas, según otras fuentes, correos electrónicos personales, documentos internos altamente confidenciales, operaciones de fusiones y adquisiciones y potenciales objetivos estratégicos corporativos. Este servicio estaba subcontratado y externalizado con Cap Gemini. Continúa navegando en https://www.elconfidencial.com/empresas/. Fuga de datos de Attunity: datos de Netflix, Ford, TD Bank expuestos por Open AWS Buckets La filtración de datos ha sido revelada por la empresa UpGuard, en la que se han visto afectadas empresas como Netflix o Ford. El problema parece estar relacionado con un bucket de Amazon S3, un servidor abierto de AWS que contaba con terabytes de información sensible de esas compañías a través de una plataforma de integración de datos israelí llamada Attunity. La filtración fue descubierta el pasado 13 de mayo, en la que UpGuard descubrió esos tres servidores con información de Attunity sin ningún tipo de protección. De todos los datos que vieron sin cifrar, probaron a descargar en torno a un terabyte de información, entre los que había 750 gigas de copias de seguridad de emails, además de cuentas de OneDrive de trabajadores que tenían emails, contraseñas de acceso al sistema, información de ventas y marketing, datos de proyectos, etc. Para demostrar la filtración de datos, UpGuard envió pruebas cadenas de verificación de la base de datos a Netflix, una factura de una actualización de software a TD Bank, y a Ford unas diapositivas describiendo un proyecto próximo. En principio no han detectado datos pertenecientes a los usuarios. Con respecto a la propia Attunity, también se descubrieron multitud de datos como credenciales para sus sistemas y su cuenta oficial de Twitter, además de identificación de sus empleados, como nombres, salario, fecha de nacimiento y números de identificación dentro de la empresa. UpGuard informó a Attunity de la filtración de datos el 16 de mayo, y la compañía procedió rápidamente a cifrar estos buckets. Continúa navegando en https://securityaffairs.co/wordpress. 100 apps de préstamos filtran detalles personales y financieros, más de 4 millones de usuarios afectados Especialistas en protección de datos de la firma de seguridad Safety Detectives han descubierto una brecha de datos masiva (casi 900 GB de información comprometida) originada en un servidor establecido en China; el servidor expuesto ya ha sido cerrado. El servidor expuesto es una implementación de Elastic y expone la información personal de millones de ciudadanos chinos. Los expertos, liderados por el reconocido investigador Anurag Sen, descubrieron que la información expuesta fue recolectada y almacenada por más de 100 desarrolladores de aplicaciones, sobre todo servicios de préstamos bancarios en el país asiático. Acorde a los expertos en protección de datos, entre la información personal comprometida destacan detalles como: historial crediticio del usuario, información sobre gestión de riesgos financieros, números de identidad personal, nombres completos, dirección, detalles de contacto (número telefónico, email, etc). Además de los detalles personales, los expertos también descubrieron que el servidor almacenaba información sobre los dispositivos empleados por los usuarios de estas apps, como marca y modelo del smartphone, lista de contactos, detalles de ubicación, dirección IP, números IMEI, compañía operadora de red móvil, entre otros datos. Continúa navegando en https://noticiasseguridad.com/. Los apagones seguirán. Es hora de mejorar nuestra resistencia cibernética Un apagón invernal de seis horas en la Francia metropolitana podría causar daños a hogares, empresas e instituciones esenciales por más de 1500 millones de euros. Un ataque cibernético bien organizado a una infraestructura crítica de electricidad podría tener este tipo de repercusión económica en un país. ¿Es esta una opción realista? En 2018, los funcionarios del Departamento de Seguridad Nacional de los Estados Unidos declararon públicamente que piratas informáticos se habían infiltrado en las salas de control de varias empresas de electricidad de los Estados Unidos, hasta el punto de tener la capacidad de interrumpir el flujo de electricidad a los clientes. Como copresidentes del pasado año de los sistemas de resistencia cibernética del Foro Económico Mundial: grupo de trabajo público-privado sobre electricidad, hemos dedicado tiempo a analizar la manera de mitigar el riesgo de ataques cibernéticos que afecten a la infraestructura crítica de electricidad y definir el mejor enfoque para la resistencia cibernética en una comunidad eléctrica cada vez más compleja. En los últimos 10 años, el sector eléctrico ha padecido ataques cibernéticos importantes: el mapa a continuación ofrece una vista rápida no exhaustiva. En 2010, el virus informático Stuxnet ocasionó un daño considerable a las centrifugadoras nucleares de Irán, que fueron manipuladas para quedar fuera de control. Continúa navegando en https://es.weforum.org/agenda/. Vulnerabilidades en mouse y teclados Logitech permiten robar contraseñas Logitech cuenta con los teclados y ratones más vendidos de Internet. Algunos de sus modelos se encuentran entre los más vendidos de Amazon, como el B100 de 5 euros, el G203 Prodigy, o el M185, su popular ratón inalámbrico por 10 euros. Ahora, una vulnerabilidad afecta al protocolo inalámbrico usado por ratones, teclados y punteros para presentaciones de la compañía. Los ratones y teclados inalámbricos de Logitech llevan 10 años con graves vulnerabilidades. El investigador de seguridad Marcus Mengs ha descubierto que un gran número de teclados y ratones de Logitech son vulnerables a ataques mediante wireless. Su investigación sobre las conexiones wireless de los mencionados dispositivos ha puesto al descubierto numerosas debilidades. Estas vulnerabilidades afectan a teclados, ratones, y a punteros láser inalámbricos. Los fallos permitirían a un atacante espiar las pulsaciones de los teclados. Todo lo que el usuario escribe puede ser capturado y leído por un potencial atacante. También permitiría enviar cualquier comando si un dispositivo vulnerable está conectado a la máquina víctima. Marcus Mengs demuestra cómo infectar un sistema con un troyano controlado remotamente por radio. El uso de un canal de radio, implica que el ataque es incluso efectivo con máquinas que ni siquiera están conectadas a Internet. Continúa navegando en https://www.heise.de/ct/artikel/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 95
Descubrieron 29 troyanos bancarios en Google Play simulando ser apps reales Los creadores de malware continúan poniendo a prueba la atención de los usuarios de Android al infiltrar de manera camuflada troyanos bancarios para móviles dentro de la tienda Google Play. Recientemente, analizamos un conjunto de 29 sigilosos troyanos de este tipo que fueron descubiertos en la tienda oficial de Android entre agosto y principios de octubre de 2018; disfrazados como complementos para el dispositivo y limpiadores, administradores de batería y hasta apps de horóscopo. A diferencia de la creciente prevalencia de apps maliciosas que se enfocan solamente en intentar suplantar la identidad de instituciones financieras legítimas y mostrar pantallas con falsas instancias de registro, las apps analizadas en esta oportunidad pertenecen a la categoría de sofisticado malware bancario para móviles con complejas funcionalidades y un fuerte enfoque en la sigilosidad. Estos troyanos controlados de forma remota son capaces de afectar de manera dinámica cualquier aplicación que encuentren en el dispositivo de la víctima mediante formularios de phishing personalizados. Aparte de esto, pueden interceptar y redirigir mensajes de texto para evadir sistemas de doble factor de autenticación con base en SMS, interceptar registros de llamadas y descargar e instalar otras aplicaciones en los dispositivos comprometidos. Estas apps maliciosas fueron subidas en su mayoría bajo el nombre de diferentes desarrolladores, pero las similitudes en el código y un mismo servidor C&C sugieren que estas apps son obra de un solo atacante o grupo. Más información en https://www.welivesecurity.com/. La piratería de la FIFA amenaza con avergonzar al organismo rector del fútbol Los sistemas informáticos de la FIFA han sido pirateados una vez más y la federación de fútbol está preparada para fugas de información confidencial más dañinas. Los oficiales de la FIFA han admitido el ataque y esperan que se publiquen rápidamente una serie de historias basadas en un conjunto de documentos internos que fueron originalmente obtenidos por el sitio web Football Leaks en 2015. El presidente de la FIFA, Gianni Infantino, dijo a The Associated Press que los medios de comunicación habían contactado a la organización por la información filtrada que habían recibido. Una campaña de suplantación de identidad (phishing) es la causa sospechosa del hackeo, que según la FIFA ocurrió en marzo, pocos meses después de que fuera víctima de otro ataque cibernético, lo que llevó al grupo ruso de piratería Fancy Bears a filtrar detalles de pruebas de drogas fallidas por parte de los futbolistas. Más información en https://www.networksasia.net/. PortSmash: nueva vulnerabilidad que afecta a CPUs Intel Un grupo de investigadores de la Universidad Tecnológica de Tampere, en Finlandia, y la Universidad Tecnológica de la Habana, en Cuba, ha descubierto una nueva vulnerabilidad que afecta a procesadores Intel. Ha sido "bautizada" como PortSmash (CVE-2018-5407) y de momento se ha confirmado su presencia en las generaciones Skylake y Kaby Lake, es decir, en los procesadores Core de sexta y séptima generación. PortSmash permite a los atacantes filtrar datos encriptados de los procesos internos de la CPU, recurriendo a lo que se conoce como un ataque de canal lateral. Este tipo de ataque se describe como una técnica utilizada para filtrar datos encriptados de la memoria de una computadora o del procesador que funciona a través del registro y análisis de discrepancias en los tiempos de operación, consumo de energía, fugas electromagnéticas o incluso sonido para obtener información adicional que sea útil para romper los algoritmos de cifrado y recuperar los datos procesados por la CPU. El proceso malintencionado, PortSmash, filtra pequeñas cantidades de datos del proceso objetivo, lo que ayuda a un atacante a reconstruir los datos cifrados procesados dentro de éste. Según los investigadores que han descubierto la existencia de PortSmash estamos ante una vulnerabilidad que tiene potencial para afectar a todos los procesadores que utilizan tecnología de subprocesamiento, es decir, a aquellos que son capaces de aprovechar los tiempos de espera de la CPU para ejecutar múltiples subprocesos. Más información en https://www.muycomputer.com Robo de datos en Radisson Hotel Group Acorde al reporte de seguridad de Radisson Hotel Group, la violación de seguridad solamente afectó a un “pequeño porcentaje” de los miembros de Radisson Rewards: “Todas las cuentas de los miembros afectados ya se encuentran protegidas y se están monitoreando en busca de cualquier actividad anómala. Si bien el riesgo para las cuentas de Raddison Rewards es bajo, se recomienda a los usuarios que revisen personalmente la actividad en su cuenta para detectar cualquier conducta sospechosa”, menciona el reporte de seguridad de la empresa. “Radisson Rewards toma en serio este incidente y está llevando a cabo una investigación exhaustiva para ayudar a evitar que algo parecido vuelva a suceder en el futuro”. Aún no se hacen públicos los detalles técnicos sobre esta violación de seguridad. Más información en http://noticiasseguridad.com/. Dos vulnerabilidades día cero exponen millones de puntos de acceso El error, conocido como BleedingBit, afecta a las redes inalámbricas utilizadas en un gran porcentaje de empresas a nivel mundial. Dos vulnerabilidades día cero presentes en los chips Bluetooth de baja energía fabricados por Texas Instruments y utilizados en millones de puntos de acceso inalámbrico, exponen las redes corporativas donde se utilizan a silenciosos y peligrosos ataques, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. Según los reportes, los atacantes podrían explotar las vulnerabilidades simplemente acercándose a una distancia suficiente (entre 100 y 300 pies de distancia de los dispositivos vulnerables). Un punto de acceso comprometido podría permitir a un atacante tomar el control del punto de acceso, capturar todo el tráfico y luego usar el dispositivo comprometido como una vía de acceso para futuros ataques internos. La vulnerabilidad afecta los puntos de acceso WiFi de Cisco, Cisco Meraki y Aruba Enterprise de Hewlett-Packard, que representan un gran porcentaje del hardware utilizado en las corporaciones. Las dos fallas fueron descubiertas a principios de año y reveladas al público en los días recientes. “Un usuario no autenticado puede desplegar devastadores ataques en redes empresariales sin ser detectado desde una ubicación cercana a los dispositivos vulnerables, como el lobby de la empresa. Más información en http://noticiasseguridad.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
