Recientemente, la noticia sobre una importante erupción de un volcán ubicado al sur de Islandia, ha circulado por los medios de información más importante a nivel global y, como es habitual cuando una noticia logra captar la atención de las personas, la misma está siendo aprovechada para propagar malware:

En este caso, a través de SEO Poisoning (envenenamiento SEO), también conocida como BlackHat SEO, esta noticia se está utilizando para propagar un conocido adware detectado por ESET NOD32 con el nombre de Win32/Adware.180Solutions.

Esta técnica actualmente constituye un patrón característico en la propagación de malware a través de páginas fraudulentas, que si bien los usuarios de ESET se encuentran seguros de esta amenaza, siempre es recomendable tener precaución durante la navegación y evitar la descarga de archivos desde sitios web poco confiables.

Jorge Mieres
Analista de Malware

Categories: Alertas, Black Hat SEO, Malware
2 Comments »

En el día de ayer Google ha anunciado una nueva funcionalidad para los usuarios de su servicio de corre electrónico, GMail: se trata de la detección de actividades sospechosas en el servicio.

¿Cómo funciona? Hace unos meses Google incorporó la posibilidad de observar la actividad reciente en la cuenta, detallando los últimos ingresos y horarios de los mismos. Ahora, GMail incorpora un servicio de geo-localización de la dirección IP, para verificar de qué lugar del mundo proviene el acceso e identificar y alertar al usuario en caso que el mismo sea considerado sospechoso.

En el anuncio de Google se cita como ejemplo un usuario que se loguea siempre desde Estados Unidos y que en un momento aparece un acceso desde una dirección IP localizada en Polonia. En ese caso, el usuario recibe una alerta en color rojo y en la parte superior de bandeja de entrada, para verificar la información. Desde el mismo lugar, el propietario de la cuenta puede cambiar la contraseña si el acceso no fue realizado por él, o bien desestimar la alerta si se trató de un acceso legítimo.

Este tipo de iniciativas demuestran los peligros existentes detrás del correo electrónico, y cómo la colaboración de diversas capas de tecnologías de seguridad pueden ayudar a los usuarios a disminuir la probabilidad de un incidente.

Luego de incidentes como el ocurrido el día de ayer, con el compromiso de contraseñas para usuarios de club privado de compras, se refuerza la importancia de intentar evitar la utilización de contraseñas idénticas entre servicios críticos, como el correo electrónico o la banca en línea, con otros sitios web.

Ante incidentes como este, la funcionalidad incorporada por Google es de alto valor ya que el usuario puede identificar rápidamente si sus claves fueron comprometidas y un atacante está ingresando a su cuenta indebidamente.

Además, como último consejo, utilicen siempre contraseñas fuertes que brindan mayor protección ante ciertos ataques para realizar intrusiones en servicios protegidos por usuario y clave.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación
1 Comment »

Un reciente incidente (hace algunas horas) nos recuerda la necesidad no solo contar con contraseñas fuertes sino también de lo importante que es mantener distintas contraseñas para los servicios y sitios de Internet que utilizamos.

Durante la madrugada del 24 de Marzo, el sitio del club privado de compras Geelbe.com (con presencia en México y Argentina) fue comprometido por atacantes que obtuvieron acceso a la base de datos de los usuarios (y sus contraseñas) del mismo y la publicaron parcialmente en Internet.

El caso no es único y es algo que, aunque no sucede a diario, si se da en forma periódica. En nuestro blog hemos recordado más de una vez la necesidad de las contraseñas fuertes como medida de seguridad.

Ahora bien, ante este tipo de situaciones, donde un tercero tiene acceso a la base de datos de usuarios de un sitio y obtiene las contraseñas (porque están pobremente protegidas en términos de seguridad y codificación de las mismas), el tener una contraseña fuerte o débil no nos ayudará.

Es aquí donde se nota la necesidad de que todos sigamos el otro consejo que siempre damos sobre el uso de contraseñas: usar distintas en cada sitio o servicio de Internet que utilizamos. El por qué de este consejo queda claramente demostrado en este caso: al atacante contar con una dirección de email y una contraseña nuestra, puede utilizarlas para intentar ingresar en otros servicios donde usemos la misma información de autenticación.

Este incidente nos permite recordarle a aquellos que usan una o dos contraseñas para todos sus servicios y sitios de Internet, la necesidad de hacer un uso más responsable de sus contraseñas dado que son lo que protegen gran parte de su identidad e información en línea.

Ignacio Sbampato
Vicepresidente de ESET para Latinoamérica

Categories: Alertas, Gestión
1 Comment »

En estos momentos se encuentra activa una campaña de infección que a través de ingeniería social aplicada a la imagen del popular sitio PornTube, mediante la cual se propaga un código malicioso detectado proactivamente por ESET NOD32 a través de heurística como una variante de Win32/Kryptik.BFA, y cuyo vector de ataque, además de la página falsa, es su difusión a través de spam.

Los dominios utilizados en esta estrategia de infección son del estilo http://[ELIMINADO].in/PornoTube.php. Esta página realiza un Drive-by-Download redireccionando hacia un sitio falso de PornTube, desde la cual se descarga un binario llamado Lolita_Fuck_Movie_012.mpeg.exe (o similar). A continuación podemos ver un ejemplo:

En nuestro Laboratorio de Análisis e Investigación hemos detectado al menos 100 sitios que están explotando esta metodología  y se estima que la cifra aumente en las horas sucesivas, por lo que se recomienda obrar con cautela evitando la visita a las páginas que presenten este formato, e implementar ESET NOD32 para detectar cualquier archivo dañino propagado.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Ingeniería Social, Malware
1 Comment »

Hace unos días la consultora Gartner publicó un estudio en donde estima que “para el 2012, el 60% de los servidores virtualizados tendrán menos seguridad que los servidores físicos que estos reemplacen”.

Aunque como indica Neil MacDonald, vice presidente de Gartner, “la virtualización no es inherentemente insegura“, el estudio realizado encuentra que en la mayoría de las migraciones de servidores físicos a virtuales, se resignan aspectos de seguridad, en muchos casos incluso críticos.

El estudio, toma el año 2012 como base, ya que se estima que para esa fecha el 50% de los servidores físicos actuales habrán sido virtualizados, un valor elevado confirmando la tendencia en la materia.

En este contexto, la firma responsable del estudio identifica los principales riesgos respecto a la seguridad y la virtualización, que deben ser considerados por las empresas, destacándose los siguientes:

1. La seguridad de la información no es considerada desde el inicio en proyectos de virtualización. Según los datos de Gartner de 2009, un 40% de los proyectos de virtualización fueron llevados a cabo sin incluir tareas de seguridad de la información en las etapas de planificación y arquitectura. Esto deja en evidencia un problema antiguo y clásico de no involucrar a los responsables de seguridad en la totalidad de cualquier proyecto de la organización.
2. Si la capa de virtualización en el servidor es comprometida, esto puede afectar todos los equipos virtualizados. La capa de virtualización puede contener vulnerabilidades como cualquier otra aplicación que sea desarrollada por un humano. En este contexto, los alcances de un compromiso en dicha capa son impredecibles, pudiendo afectar a todos los equipos virtualizados en un mismo host.
3. Las redes virtuales internas pueden saltearse mecanismos de seguridad por hardware. Existen aplicaciones por software que permiten la comunicación entre máquinas virtuales a través de redes también virtuales, el problema es que estas comunicaciones pueden omitir seguridad disponible en dispositivos de hardware de red.

La virtualización ofrece a las empresas muchas soluciones y optimización de los recursos, así como un uso más sano y ecológico de las tecnologías. Sin embargo, los datos que arroja el informe son preocupantes: “los responsables de dichos proyectos deben tener en cuenta los aspectos de seguridad, caso contrario se estará implementando una nueva tecnología, pero estará exponiendo la información corporativa a riesgos innecesarios que pueden causar pérdida o daño de la información y pérdida de dinero”.

Por ejemplo, si un servidor físico posee un antivirus instalado, no hay motivos para que un servidor virtualizado no lo tenga. Las amenazas son las mismas y deben considerarse a la hora de configurar la seguridad en los sistemas operativos.

Los avances tecnológicos suelen impulsar a las empresas a “subirse a la ola”, pero las organizaciones deben ser conscientes que dichos cambios no deben olvidarse de la seguridad, porque se están corriendo riesgos innecesarios

Sebastián Bortnik
Analista de Seguridad

Categories: Declaraciones, Educación, Gestión, Informes
1 Comment »