Archive for Seguridad Informática

agosto 19th 2016

¿Vas a jugar Pokemon Go? Sigue estos consejos

Número de lecturas: 530
{lang: 'es-419'}

Pokémon Go es el último juego que está siendo un enorme exito entre los usuarios de smartphones, ¿qué debemos tener en cuenta si lo instalamos?
¿Qué es Pokémon Go?
Es un videojuego de aventura que usa la realidad aumentada, mezcla imágenes reales captadas por la cámara del dispositivo con elementos multimedia. Usa además el GPS del móvil para posicionarnos en un mapa real, y conexión de datos para conectarnos al servidor.
El juego requiere que el usuario recorra físicamente su entorno para encontrar Pokémons que irán apareciendo. Éstos irán aumentando de nivel en base a pruebas y objetos que el usuario vaya encontrando y/o comprando. Además, existen sitios “especiales” para el juego como Poképaradas (Pokéstops) y gimnasios, donde siempre hay un nivel de acción alto, por lo que serán lugares físicos muy frecuentados por los jugadores.


Aunque la app se publicó el 6 julio en Australia y Nueva Zelanda y al día siguiente en Estados Unidos, copias de la aplicación han circulado por todo el mundo, superando en usuarios a aplicaciones populares como Tinder y siguiendo de cerca a Twitter.

En España esta aplicación comenzó a verse instalada en dispositivos móviles el jueves 7 de julio, sin que se hubiera publicado aún en nuestro país. Esto ha supuesto que los usuarios consiguieran la aplicación (.apk) de forma no oficial, y se la descargaran de sitios que no son las tiendas oficiales, con el consiguiente riesgo de privacidad y seguridad que a continuación detallaremos. Desde hoy, para todos aquellos impacientes en probarla, decir que ya está publicada la app en las tiendas oficiales de Google y de Apple.

¿Qué problemas puedo encontrarme al usar este juego?
Podemos encontrar inconvenientes en varios aspectos, unos más importantes que otros, pero deberemos tenerlos todos en cuenta.
Problemas físicos
Lo primero que hay que señalar es que es un juego en el que hay que moverse por el mundo real, y eso implica desplazamiento. Si vamos en un vehículo “cazando Pokémon” podemos acabar cazados por la Policía, por un bordillo o por una farola. También es posible que nos guíen a sitios en los que no deberíamos entrar, como por ejemplo una comisaría, un jardín de una casa privada, o incluso algún sitio peligroso como Mosul (Irak, zona de guerra contra el ISIS) o algún callejón discreto, donde además de Pokémons, han cazado también móviles, carteras, etc.
Al igual que con el tema de los selfis, el riesgo físico hay que valorarlo de forma adecuada, en caso contrario otros lo harán por nosotros (Policía Local, Guardia Civil, algún vecino celoso de su privacidad…)

Riesgos de privacidad
Esta aplicación, al instalarse requiere una serie de permisos para acceder a funciones y datos del dispositivo, igual que sucede con otras aplicaciones. Sin embargo, en la primera actualización de Pokémon Go para iOS los permisos ha sido uno de los cambios. Por este motivo, conviene revisarlos y comprobar que estamos de acuerdo con la información de nuestro dispositivo a la que accede la app. Según Google y Niantic, la empresa creadora del juego, se limitará la recogida de datos de la aplicación.
Los permisos, que a día de hoy solicita a los usuarios con dispositivos Android, son los que se muestran en la siguiente captura de pantalla:

En relación a este tema, la privacidad, comentar que se han detectado una serie de “aplicaciones de terceros” relacionadas con el juego, las cuales solicitan muchos más permisos que la propia aplicación Pokémon Go. Por ejemplo, un investigador de RiskIQ, dice haber detectado 172 de estas aplicaciones no oficiales relacionadas con la aplicación. También hay noticias que recogen algún caso que pone de manifiesto el problema de hacer uso de la geolocalización: Descubre que su novio le era infiel gracias a Pokémon GO.

Malware

Como no podía ser de otra forma, el hecho de que no estuviera publicada la app hasta hoy en las tiendas oficiales de aplicaciones de Google e iOS, hizo que proliferaran en la red versiones “manipuladas del juego” para que los usuarios las descargaran en sus dispositivos. La empresa de seguridad Proofpoint, por ejemplo, ha reportado la aparición de Droidjack en una copia de la aplicación, un malware con capacidades de administración remota que deja en manos del ciberdelincuente el control del dispositivo móvil.

Mediante este tipo de malware los criminales tienen acceso a las funciones y datos del móvil, y a los sitios desde los que se accede desde el mismo, de forma que un dispositivo con este malware estaría recopilando y enviando web visitadas, usuarios y contraseñas, además de otra mucha información.

Si hemos instalado la aplicación sin esperar a que estuviese publicada hoy en las tiendas oficiales y queremosasegurarnos de que no estaba infectada con el troyano podemos seguir la recomendación que nos hacen en esteartículo de Xatakandroid.

Coste o consumo

Aunque la aplicación es gratuita, uno de los permisos que solicita es la de hacer pagos, lo que indica que habrá posibilidad de comprar objetos, características, etc. Esto en manos de un niño puede ser un problema como se vio en su día con un ejemplo en Jurassic World y este otro con el FIFA 16.

Además del gasto económico directo del juego, hemos de analizar también el consumo de datos de la aplicación, según alguna noticia publicada con una hora diaria podría llegar a los 400MB al mes, lo que sumado al consumo habitual, podría superar nuestra tarifa de datos y tendríamos que pagar ese exceso, o bien sufrir una conexión muy lenta.

Por último la batería. En este juego deben estar activados el GPS y los datos de forma continuada, esto implica un gasto de batería enorme. Si además unimos el consumo de la cámara y de la pantalla, que aunque son menos tiempo, también cuentan, conseguiremos que nuestra batería se consuma en muy poco tiempo. Todo ello implica que nos podamos “quedar tirados” sin móvil en poco tiempo, y hemos de tenerlo en cuenta.

Aplicaciones mágicas

Como comentábamos en el apartado de malware, aprovechando el tirón del juego, los malos también han publicado “aplicaciones mágicas” relacionadas que si las instalas, ofrecen la posibilidad de robar los Pokémon de otros usuarios, subirlos de nivel, incrementar el nivel del entrenador, obtener más monedas, manipular la posición GPS, etc. Lo que los usuarios deben saber es que estas aplicaciones están diseñadas para robarnos información de nuestro móvil, que puede ir desde el robo de la cuenta de Google hasta la del Banco.

Esta estrategia de engaño no es nada nueva, ha pasado con muchos otros servicios y aplicaciones de moda,Facebook de colores, videollamadas Whatsapp, etc. y era de esperar que sucediera también con Pokémon GO, debido a su éxito.

 ¿Cómo prevenir todos los problemas mencionados?

En cuanto a los consejos tecnológicos, los más importantes son los siguientes:

  • Descargar la aplicación sólo de los mercados de aplicaciones oficiales.
  • Limitar al máximo los permisos que concedemos a las aplicaciones, y si no nos convencen los que solicita, mejor no instalarlas.
  • Configurar la opción de solicitar contraseña al realizar pagos desde el móvil.
  • Cuando no estemos usando la app, desactivar el GPS.
  • Para ahorrar consumo de datos, mientras se usa el juego se aconseja no usar otros servicios con conexión como: correo, Facebook, Whatsapp, etc. o bien maximizar el uso de wifi cuando se pueda, evitando riesgos si hacemos uso de wifis públicas.
  • Para ahorrar batería, apagar wifi, Bluetooth, bajar el brillo, cerrar aplicaciones en segundo plano… o disponer de una buena batería externa. El modo “ahorrar batería” del juego no es mágico.

Otros consejos, que aunque no están relacionados directamente con ciberseguridad, también son importantes aplicar:

  • Conducir nunca es compatible con jugar.
  • Pongamos cuidado cuando vayamos paseando y jugando. ¡Párate antes de cazar un Pokémon!
  • Ojo a determinadas zonas, donde el paso está prohibido o no aconsejado.

Disfrutad de un juego que os obligará a moveros de verdad, pero tened siempre presente los consejos, prevenir es mejor que curar.

Fuente:

osi.es

agosto 3rd 2016

¿Cómo se comunican los terroristas?

Número de lecturas: 835
{lang: 'es-419'}

Los terroristas también necesitan comunicarse. Y la forma en que lo hacen puede que te sorprenda.

La empresa de seguridad Trend Micro ha analizado recientemente miles de cuentas de presuntos terroristas para ver cómo se comunican en línea. La compañía descubrió que Gmail de Google era la aplicación de correo electrónico más popular entre los terroristas que analizó, representando un 34% de todas las cuentas.

El siguiente fue el cifrado Mail2Tor con un 21%, seguido de otros servicios seguros, como Sigaint con una cuota de mercado del 19%. Curiosamente, Yahoo Mail también encontró su sitio en la lista, con un 12% de las más de 2.300 cuentas que analizó Trend Micro, basándose en esa plataforma para servicios de correo electrónico.

Sin embargo, cuando se trata de mensajería instantánea, los supuestos terroristas tienden a esconderse un poco más, dice Trend Micro. La empresa de seguridad dice que el 34% de las cuentas analizadas estaban en Telegram, un servicio de mensajería que utiliza un protocolo de comunicación cifrada para ocultar la identidad del usuario.

Otras aplicaciones silenciosas similares, incluidas Signal y Wickr, también eran populares. Sin embargo, WhatsApp, propiedad de Facebook ocupaba el segundo lugar en cuanto a servicio de chat más popular entre los presuntos terroristas, que representa el 15% de la cuota de mercado.

Los resultados llegan en un momento en el que el debate sobre cómo buscar e interceptar tramas terroristas mientras se comunican en línea ha llegado a un punto álgido.

Más recientemente, Apple libró una batalla con el FBI sobre si debería estar obligado a ayudar a la agencia a desbloquear el iPhone 5c utilizado por Syed Farook. Aunque al final el caso se abandonó después de que el FBI consiguiera una herramienta para desbloquear el teléfono ellos mismos, esto provocó una ola de protestas en Silicon Valley. Apple, junto con otros gigantes de la industria, prometió una comunicación digital y privacidad seguras. WhatsApp fue tan lejos como para asegurar el cifrado de extremo a extremo a través en todas sus aplicaciones.

Los organismos de seguridad del Estado, mientras tanto, han clamado contra este tipo de protestas. Aunque han reconocido que apoyan la privacidad digital, el director del FBI James Comey, entre otros, ha sostenido durante mucho tiempo que impedirle a las fuerzas del orden tener acceso a la comunicación terrorista puede poner en peligro a los ciudadanos.

Esa preocupación viene a raíz de los esfuerzos cada vez más sofisticados por parte del Estado Islámico y otros para usar la tecnología para comunicarse. Si bien los datos de Trend Micro sugieren que gran parte de esa comunicación tiene lugar en canales encriptados lejos de las miradas indiscretas de los gobiernos, también han utilizado las redes sociales y foros fácilmente accesibles para difundir propaganda.

Como se describe en el informe de seguridad de Trend Micro:

“Una de las diferencias más claras entre los delincuentes cibernéticos y los terroristas es su deseo de difundir propaganda. Mientras que los objetivos principales de los estos delincuentes son cometer delitos informáticos y permanecer oculto mientras lo hacen, los terroristas quiere que su contenido se haga viral”.

La empresa añadió que

“los terroristas y quienes les prestan apoyo usan Twitter y Facebook, no solo para difundir propaganda, sino también para comunicarse entre ellos y con los conversos en potencia”.

Las empresas de tecnología en realidad se han mostrado muy activas en cuanto a interrumpir las comunicaciones del ISIS. De hecho, Trend Micro señaló a Twitter, diciendo que “está tomando medidas enérgicas contra las cuentas que apoyan abiertamente y difunden propaganda terrorista, cerrando dichas cuentas por completo”.

Un portavoz de Twitter se hizo eco de ese sentimiento en la revista Fortune, diciendo que Twitter ha suspendido muchas cuentas relacionadas con el terrorismo.

“Condenamos el uso de Twitter para promover el terrorismo y las Normas de Twitter dejan claro que este tipo de comportamiento, o cualquier amenaza violenta, no están permitidos en nuestro servicio. A medida que la naturaleza de la amenaza terrorista ha cambiado, también lo ha hecho nuestro trabajo en curso en este área. Tan solo desde mediados de 2015, hemos suspendido más de 125.000 cuentas por realizar amenazar o promover actos terroristas, principalmente relacionados con el ISIS”.

Google y Facebook, que también han tomado medidas enérgicas contra las cuentas relacionadas con los militantes, no respondieron inmediatamente a la petición de comentarios.

Sin embargo, los grupos terroristas no se detienen en las redes sociales. Según Trend Micro, a medida que sus esfuerzos se han ido desvaneciendo en internet, han construido sus propias herramientas “personalizadas” para comunicarse. Estas herramientas incluyen una aplicación de correo electrónico encriptado llamado Mujahideen Secrets, una aplicación móvil llamada Tashfeer al-Jawwal, e incluso una aplicación de noticias basada en Android para “acciones relacionadas con el terrorismo”, llamados Alemarah.

Por su parte, Trend Micro cree que las estrategias sofisticadas utilizadas en línea por grupos terroristas crea un “desafío significativo para los cuerpos de seguridad internacionales”.

Anteriormente, el New York Times informó que el Comando Cibernético de EE. UU., que está dirigido por la NSA, ha estado hackeando al ISIS desde hace bastante tiempo. Esos esfuerzos se han centrado en desviar los pagos en efectivo a los militantes e incluso emitir órdenes falsas para dirigir a los militantes a las áreas donde hay drones esperando.

Robert Work, el vicesecretario de Defensa, sostiene:

“Estamos lanzando ciberbombas. Nunca antes hemos hecho esto”.

Un valor agregado de hackeruna.com poner el acceso del documento: “Uso de Internet con fines Terroristas”

Download (PDF, 835KB)

Fuente:

insider.pro

junio 30th 2016

Informe KSN: Ransomware móvil en 2014-2016

Número de lecturas: 1365
{lang: 'es-419'}

Estadísticas

La actividad del ransomware móvil, aunque no goza de tanta cobertura mediática como sus pares para PC, también se disparó en el periodo de referencia de este estudio. Especialmente en la segunda mitad.

Informe KSN: Ransomware móvil en 2014-2016

Cantidad de usuarios atacados por lo menos una vez con programas ransomware entre abril 2014 y marzo 2016

Desde abril de 2014 hasta marzo de 2105, las soluciones de seguridad para Android de Kaspersky Lab protegieron a 35.413 usuarios contra programas ransomware para dispositivos móviles. Un año después, esta cantidad casi se cuadriplicó, alcanzando los 136.532 usuarios. También aumentó la proporción de usuarios atacados con programas ransomware en relación a los atacados con cualquier otro tipo de programas maliciosos: del 2,04% en 2014-2015 al 4,63% en 2015-2016. La curva de crecimiento puede ser menor que la de los programas ransomware para PC, pero es lo suficientemente significativa como para confirmar una preocupante tendencia.

Principales actores del ransomware móvil

Durante todo el periodo cubierto en el informe, los investigadores de Kaspersky Lab lograron identificar algunas familias de ransomware para dispositivos móviles que atacaron con más frecuencia a los usuarios de nuestros productos. En 2014-2015 estas familias fueron: Pletor, Fusob, Svpeng y Small. En 2015-2016, Svpeng redujo notablemente su actividad, limitándose a atacar a un pequeño número de usuarios.

En algún momento durante 2014-2015, Svpeng, originalmente conocido como un programa malicioso bancario, fue modificado por sus creadores para añadirle la capacidad de bloquear un dispositivo infectado. Desde entonces hemos detectado las dos versiones de Svpeng: el bancario y el ransomware. El ransomware se hizo visible y famoso durante 2014-2015, representando el 5,64% de los usuarios atacados por programas maliciosos.

Esto cambió en el segundo periodo, pues el ransomware bajó hasta los últimos puestos de las 30 amenazas principales. Sin embargo, los programas bancarios de la familia Svpeng se reactivaron, lo que probablemente significa que sus autores sencillamente perdieron el interés en desarrollar ransomware y decidieron concentrarse en los bancarios.

Algo parecido sucedió con Pletor, considerado como el primer ejemplo de ransomware y al parecer creado por los mismos autores del famoso troyano bancario Acecard. En 2014-2015, Pletor se constituyó en un actor principal de los ataques de ransomware contra dispositivos móviles, pero en 2015-2016 perdió protagonismo, con lo que quedaron sólo tres grandes familias de ransomware en el “mercado”.

Informe KSN: Ransomware móvil en 2014-2016

Distribución de los usuarios atacados por las familias más activas de ransomware móvil en 2014-2015 (izquierda) en comparación con los atacados en 2015-2016 (derecha).

Otro hallazgo importante realizado durante los 24 meses cubiertos por el informe fue la rivalidad entre dos grandes familias de ransomware: Small y Fusob. En 2014-2015, la familia Small era líder, al menos en cuanto a la cantidad de usuarios atacados. Representaba el 69,11% de todos los usuarios atacados al menos una vez por programas ransomware para dispositivos móviles. Pero un año después, la familia Fusob tomó el liderazgo con el 56,25% de usuarios atacados. No obstante, la familia Small se mantuvo en segundo lugar con el 37,23% de usuarios atacados. Es probable que los autores de Svpeng, Pletor, Small y Fusob los estén vendiendo a otros ciberdelincuentes o que se empiecen a propagar mediante redes afiliadas, ya que las cuatro familias tienen numerosas modificaciones. Sin embargo, parece que Small y Fusob son los que más modificaciones han tenido, lo que queda claramente demostrado en las estadísticas.

A diferencia de los programas ransomware para PC, que reciben una atención relativamente mayor de parte de los investigadores de diferentes compañías, entre ellas Kaspersky Lab, el ransomware para dispositivos móviles hasta ahora no ha sido estudiado en profundidad. Para hacer frente a esto, ofrecemos una breve descripción de los ejemplos de programas de ransomware más peligrosos para dispositivos móviles detectados hasta abril de 2016.

Para conocer más sobre la evolución de la amenaza que representa el ransomware móvil, lea el informe completo aquí.

Fuente:

securelist.com

junio 30th 2016

xDedic: El sombrío mundo de los servidores hackeados en venta

Número de lecturas: 1400
{lang: 'es-419'}

En los últimos años, en las profundidades oscuras de Internet ha florecido un nuevo tipo de mercado clandestino.

Su nombre, corto y cifrado, no nos dice mucho: xDedic. Sin embargo, en este mercado marginal se encuentran a la venta más de 70.000 servidores hackeados en todas partes del mundo.

xDedic: El sombrío mundo de los servidores hackeados en venta

Ingreso al foro de xDedic

Desde redes gubernamentales hasta redes corporativas, desde servidores web hasta bases de datos, xDedic es un mercado que ofrece de todo. Y lo mejor de todo es que es barato: el precio de acceso a un servidor en la red gubernamental de un país de la Unión Europea no cuesta más de 6USD.

Una vez hecho el pago, el comprador malicioso puede acceder a todos los datos en ese servidor y a la posibilidad de usarlo para lanzar ataques. Es el sueño de todo hacker: acceso barato, rápido y simplificado a las víctimas, además de nuevas oportunidades para los ciberdelincuentes y atacantes expertos.

xDedic: El sombrío mundo de los servidores hackeados en venta

Foro de compra-venta de servidores

La investigación realizada de forma conjunta entre Kaspersky Lab y European ISP nos permitió recopilar datos sobre las víctimas y descubrir la forma en que funciona este mercado.

En mayo de 2016, contabilizamos 70.624 servidores disponibles a la venta, desde 416 vendedores únicos en 173 países afectados. En marzo de este mismo año, esa cifra rondaba los 55.000, lo que es un claro indicio de que la base de datos de usuarios y servidores se mantiene y actualiza de forma cuidadosa.

xDedic: El sombrío mundo de los servidores hackeados en venta

Principales países con servidores en venta

Curiosamente, los desarrolladores de xDedic no venden nada; en lugar de ello, han creado un mercado donde una red de afiliados es la que vende accesos a servidores capturados. A decir verdad, los responsables de xDedic han creado lo que parece ser un servicio de “calidad”, pues el foro incluye soporte técnico en línea, herramientas especiales para parchar servidores hackeados para acceder a sesiones RDP múltiples y a herramientas de perfilaje para obtener información sobre los servidores hackeados en la base de datos xDedic.

xDedic: El sombrío mundo de los servidores hackeados en venta

Los 10 principales vendedores (mayo de 2016)

¿Quiénes son los vendedores xDedic que aparecen en la lista de arriba? Hemos logrado identificar un programa malicioso muy específico (SCCLIENT) de uno de ellos y obtener información de uno de sus servidores de administración. Esto nos permitió echar un vistazo a las operaciones de una de estas entidades, que por su número de víctimas, nos hace sospechar que se trata de Narko, xLeon o sirr.

xDedic: El sombrío mundo de los servidores hackeados en venta

Troyano SCCLIENT: Información de las víctimas a partir del drenaje (primeras 12 horas)

El programa de perfilaje diseñado por los desarrolladores de xDedic también recopila información sobre los programas instalados en el servidor (juegos de azar, compras y pagos en línea).

Al parecer, hay un marcado interés en programas de contabilidad, de informes de impuestos y de puntos de venta (PoS), que pueden abrir muchas oportunidades para los ciberpiratas.

Herramientas spam y de ataque Programas financieros y de juegos de azar Programa PoS
Advanced Mass Sender
Bitvise Tunnelier
DU Brute
LexisNexis Spam Soft
LexisNexis Proxifier
Proxifier
Spam Soft
Full Tilt Poker
iPoker Network
UltraTax 2010 (2011,..,2015)
Abacus Tax Software
CCH tax14 (tax15)
CCH Small Firm Services
ChoicePoint
ProSeries TAX (2014,2015)
ProSystem fx Tax
TAX Software
2015 Tax Praparation
Tax Management Inc.
Lacerte Tax
PosWindows
BrasilPOS
POS AccuPOS
POS Active-Charge
POS Amigo
POS Catapult
POS Firefly
POS ePOS
POS EasiPos
POS Revel
POS Software (Genérico)
POS Toast
POS QBPOS
PosTerminal
POS kiosk.exe
POS roi.exe
POS PTService.exe
POS pxpp.exe
POS w3wp.exe
POS DpsEftX.ocx
POS AxUpdatePortal.exe
POS callerIdserver.exe
POS PURCHASE.exe
POS XPS.exe
POS XChgrSrv.exe

En el transcurso de la investigación, contamos 453 servidores de 67 países con programas de puesto de ventas (PoS) instalados:

xDedic: El sombrío mundo de los servidores hackeados en venta

Servidores para programas PoS (mayo de 2016)

Por ejemplo, un ciberpirata podría ingresar al foro de xDedic, abrir una cuenta, llenarla de Bitcoins y comprar varios servidores que tengan instalados programas de puesto de ventas. Después, podrá instalar programas maliciosos para puestos de venta, como Backoff para recopilar números de tarjetas de crédito. La verdad es que las posibilidades son realmente infinitas.

Kaspersky Lab ha informado sobre este problema a las autoridades correspondientes y está cooperando en una investigación en curso.

Para leer nuestro informe completo sobre xDedic, que incluye IOCs, descargue aquí el documento PDFxDedic Marketplace Analysis.

Fuente:

Página de inicio