Como indicamos en reportes anteriores, el ambiente delictivo, en relación al desarrollo y propagación de amenazas, se encuentra de forma constante buscando nuevas  formas para lograr mayores indices de infección. Septiembre se caracterizó por presentar un crisol de metodologías de ataque y de propagación de amenazas bastante particular. Como todos los meses les presentamos un resumen de las más relevantes de las mismas:

• El mes de septiembre fue considerablemente agitado para Twitter. En primer lugar, a principios de mes, se descubrió una importante falla que permitía robar las credenciales de autenticación de los usuario mediante un vínculo que explota una falla de XSS (Cross Site Scripting). Nuevamente, hace dos semanas se detectó una vulnerabilidad en Twitter, permitiendo que, luego de pasar el mouse sobre un tweet especialmente armado, se ejecute un script que podría generar que el vínculo malicioso se retwittee a todos los contactos o inclusive se abra un pop-up que redirija al usuario a un sitio de contenido malicioso. Sobre este tema en este mismo blog desarrollamos la FAQ sobre la vulnerabilidad en Twitter.
• Un aspecto muy importante de la seguridad de equipos hogareños y corporativos es la implementación de parches y fixs que publican las empresas que desarrollan sistemas operativos. En el caso de Microsoft, nos referimos a un fixit que liberaron a principios de mes que soluciona temporalmente la vulnerabilidad publicada en el anuncio de seguridad 2269637. En la misma se explica un problema en el manejo de llamado a DLLs de terceros por parte del sistema operativo que permitiría a un atacante ejecutar código remoto con las aplicaciones que sean vulnerables y en cierto tipo de llamados a archivos.
• El miedo es un factor altamente explotado por los desarrolladores de malware para propagar sus amenazas. A principios de mes, se recibieron reportes de la circulación de un correo que falsamente alertaba de posibles terremotos en Ecuador. El mismo ofrecía un enlace para descargar presuntos informes del epicentro del terremoto y de  las zonas mas seguras para refugiarse. El archivo descargado no era otra cosa que un malware, detectado por ESET NOD32 Antivirus como Win32/AutoRun.IRCBot.FC gusano.
• La amenaza identificada como Win32/Visal que ha tenido repercusiones en la prensa internacional consiste en un gusano que se propaga por correo electrónico enviándose a todos los contactos de la libreta de direcciones con el asunto “Here you have” (“aquí tienes” en español). A mediados de mes demostramos cómo los usuarios de ESET NOD32 Antivirus ya se encontraban protegidos gracias a la detección por heurística de dicha amenaza. Esto denota la importancia de la detección proactiva de las soluciones antivirus al momento de enfrentar nuevas amenazas.
• El rogue, o falsos antivirus, son unas de las amenazas más comunes que inundan la red hoy en día. Los mismos engañan a los usuarios indicándoles que su equipo se encuentra infectado para luego ofrecerles la descarga de una supuesta herramienta antivirus que las eliminará. Las intenciones de esta herramienta distan de ayudar al usuario, sino que buscan, entre otras cosas, lucrar a base del mismo intentado que los usuarios compren una licencia para así activar todas las “funcionalidades” de la aplicación. A fines de mes publicamos un post donde indicamos cinco formas sencillas de como identificar un rouge. Finalmente, compartimos nuestra opinión sobre un incidente ocurrido en la industria, con algunas soluciones pareciéndose a un rogue.

Para obtener mayor información sobre las amenazas destacadas de septiembre, pueden visitar nuestro ranking de propagación y el informe de amenazas destacadas del mes.

Joaquín Rodríguez Varela
Sales Engineer

Categories: Reportes mensuales
4 Comments »

Desde hoy y hasta el día viernes se está desarrollando el congreso más importante de la industria antivirus: Virus Bulletin. Y como es costumbre, el equipo de ESET Latinoamérica ya estamos aquí disfrutando del evento, escuchando las conferencias y compartiendo el siempre valioso intercambio de ideas con los asistentes, todos de la industria de la seguridad de la información. En esta ocasión, el evento se desarrolla en la ciudad de Vancouver, Canadá, donde ya se había realizado la conferencia hace 11 años y en estos días vuelve a realizarse en su vigésima edición.

Hace unos minutos disfrutamos de la apertura del evento a cargo de Helen Martin, de Virus Bulletin, quién dio el puntapié inicial para luego dar lugar a Nick Bilogorskiy, de Facebook, que ya nos está contando las principales amenazas a la seguridad asociadas a la red social, y como ya se imaginarán ya mencionó a Koobface, el phishing, el scam y muchas amenazas más. Aquí tienen una imagen de la apertura del evento:

Martin comenzó contando los inicios del evento, desde su primer edición en Jersey en el año 1991 y algunos incidentes (con incendios e inundaciones incluidas) asociadas a estas primeras experiencias. Hoy, dando comienzo a la edición número 20, la oradora hizo hincapié en el importante cambió que sufrió la industria del malware en los últimos diez años. Según sus palabras:

Diez años atrás, la idea de que el desarrollo de malware sería una industria profesional siquiera estaba en la agenda.

Otros temas que serán importantes en el evento: el rol de las redes sociales, las redes botnets y el cibercrimen y, relacionados, la persecución a creadores de códigos maliciosos. También habrá varias conferencias relacionadas al spam, otra de las amenazas que son tratadas en Virus Bulletin además de los códigos maliciosos.

Por último, también habrá lugar para analizar algunas temáticas relacionadas a la industria antimalware, como la colaboración entre laboratorios y las evaluaciones de soluciones antivirus, sobre las cuales estará disertando ESET, en la charla que dictarán el día viernes Peter Kosinar, Juraj Malcho, Richard Marko y David Harley. También habrá lugar para otras presentaciones de compañeros de ESET, como la que participará Pierre-Marc Bureau relacionada a las investigaciones extensas sobre malware, y el espacio para Jeff Debrose en la presentación corporativa, sobra la industria del malware y el dinero que esta moviliza.

Además, este año somos cuatro argentinos en Virus Bulletin (record histórico), ya que además de las presencias de quién les escribe y Federico Pacheco, Gerente de Educación e Investigacion, también se encuentra Ignacio Sbampato, CEO de ESET Latinoamérica y, también Flavia Gramajo, la ganadora del Premio ESET 2010 el Mejor Trabajo de Investigación en Seguridad Antivirus, quién desarrolló un paper sobre botnets, uno de los temas que será muy tratado en el evento; quién además podrá disfrutar de la belleza de esta ciudad que nos aloja desde el día de ayer, y de la cual también les comparto una de las fotos que pudimos sacar ayer luego de nuestro arribo.

Esperamos la próxima semana poder contarle algunas de las tantas novedades que serán tratadas en las conferencias a través de este mismo espacio. Sigan conectados.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Eventos
5 Comments »

El tema de las inversiones en seguridad ya lo he mencionado varias veces en el blog, ya que cada vez son mas las empresas preocupadas sobre cómo asignar eficientemente el dinero abocado a la seguridad de la información. Mientras algunas inversiones son consideradas un desperdicio, otras empresas siquiera poseen el presupuesto para considerarlas así. ¿Cuál es el estado de las inversiones en controles de seguridad?

Según reporta PC World, la prestigiosa empresa Gartner ha realizado un estudio sobre las inversiones en seguridad, consultando a 1500 compañías en todo el mundo. Según el análisis de los resultados, en promedio las empresas asignan 5% del presupuesto de IT a la seguridad. Este dato es consistente con el presentado anteriormente en este mismo blog, donde comentaba que según el ESET Security Report Latinoamérica, “más de la mitad de los encuestados (57,86%) afirmaban que menos del 5% del presupuesto de IT es utilizado para seguridad“.

Otros datos interesantes arrojados por el informe indican que:

• La inversión por empleado ha aumentado de 525 dólares en 2009 a 636 en 2010. En Latinoamérica, los estudios también indican que aumentan las inversiones en seguridad.
• El total del presupuesto en seguridad se distribuye así: 37% es abocado a personal, 25% al software, 20% al hardware, 10% a tercerización (outsourcing) y un 9% a consultoría.

La distribución arroja un dato muy interesante: la seguridad de la información es un campo complejo y heterogéneo, y a esto se debe los resultados a priori parejos en la repartija del dinero asignado a la seguridad. Todos los componentes mencionados son importantes y conforman un Sistema de Gestión de la Seguridad de la Información. El software de seguridad es complementado por el personal que aplica en él una correcta configuración, que a la vez puede ser auditada por una consultora. Todas las partes se complementan, y es necesario trabajar los presupuestos de seguridad en este contexto.

Como se puede observar, el tema de las inversiones en seguridad es hoy una de las prioridades a resolver por las organizaciones en este campo. Recuerden que mediciones como TCO (Total Cost of Ownership) el retorno de inversión pueden colaborar para hacer evaluaciones más precisas y eficientes en el proceso de asignar dinero a la protección de la información.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Gestión
1 Comment »

La semana pasada ocurrió un incidente en el mercado de los software de seguridad que creemos, merece nuestra opinión, y eso intentaré volcar en estas lineas. Pero antes de compartir con ustedes nuestro pensamiento sobre los hechos, prefiero contarlos tal cual ocurrieron para que ustedes puedan analizarlos por su cuenta.

ZoneAlarm Firewall es un software gratuito ofrecido por la empresa CheckPoint, que también posee una suite de seguridad con licencia paga. A los usuarios del firewall gratuito les apareció hace unos días el siguiente cartel, que les pido vean con atención y piensen qué es lo que está indicando:

¿Está el equipo del usuario infectado? No, el alerta fue mostrado a muchos usuarios, independientemente si estos estaban o no infectados. ¿Es ZeuS una nueva amenaza? Tampoco, quienes lean nuestro blog sabrán que hace más de un año ya comentamos sobre la relación entre ZeuS y el robo de credenciales bancarias.

¿Qué es lo que indica entonces el cartel? Resulta que la empresa decidió alertar a los usuarios por ¡la aparición de una nueva variante! Sí, están leyendo bien. Mientras nosotros les comentamos a los usuarios cómo en los Laboratorios de ESET recibimos más de 200 mil muestras por día, para esta empresa de seguridad la aparición de una única variante de esta amenaza que lleva años entre nosotros, es suficiente para alertar a todos sus usuarios. Y encima eligen realizarlo con un mensaje poco claro que enlaza a la oferta de su producto pago. ¿Les suena a algo?

Entonces, lo que ocurrió es simplemente que una empresa de seguridad decidió asustar a los usuarios, tal cual lo hacen los rogue, ya conocidos por nuestros lectores del blog: aplicaciones que simulan ser soluciones de seguridad para engañar al usuario y ser comercializadas con métodos fraudulentos.

Esto trajo repercusiones de todo tipo, comenzando por los propios usuarios del firewall enojados en el foro oficial y repercusiones en diversos medios internacionales. La empresa emitió un comunicado oficial indicando que “creímos que estábamos siendo proactivos con el mensaje” y que “no fue nunca nuestra intención que los usuarios piensen que estaban infectados“. De todas formas, esta respuesta no ha sido muy aceptada por la comunidad, e incluso criticada por medios prestigiosos como Hispasec, que en su blog oficial afirma claramente como resumen del incidente:

CheckPoint ha perpetrado todo un despropósito (afortunadamente ya retirado) que nos retrotrae a tiempos en los que la publicidad antivirus era mucho más irresponsable que la actual.

[...] han vuelto 10 años atrás en el marketing antivirus.

Resumiendo: el mensaje del producto era exagerado, contenía información poco precisa (como se trataba de una nueva amenaza o que era un virus) y asustaba innecesariamente a los usuarios, con el condimento de que contenía una publicidad de un producto pago. Sin embargo, sólo se trataba de una de las miles de variantes existentes de ZeuS, para el cual soluciones como ESET NOD32 Antivirus ofrecen efectiva protección proactiva a los usuarios. Sin necesidad de asustarlos.

Lamentablemente, algunas empresas del mercado entienden que no hay limites para el marketing, y los principales afectados son los usuarios, que deberían tener herramientas para discernir de forma relativamente sencilla entre una solución legítima y un rogue, tal cual explicábamos hace unos días en el post sobre las formas de identificar un rogue. Sin faltarle el respeto al usuario, es posible alertarlo sobre las amenazas reales sin trasmitir información poco precisa o exagerada, y sin utilizar mensajes llamativos ni de alerta que son innecesarios y que solían ser utilizados sólo por los famosos falsos antivirus. Lamentablemente, ahora por uno verdadero también. Esperemos que no se repita.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación, Rogue
7 Comments »

Como todos los meses, les acerco una vez más los resultados de la encuesta que realizamos durante el mes de agosto a través de nuestro boletín de noticias ESET News. En esta oportunidad, nos tocó consultar a nuestros lectores sobre sus hábitos relacionados a las actualizaciones de seguridad en sus aplicaciones, y estos son los principales resultados.

Para comenzar, un 29,5% de los usuarios indicó no tener la costumbre de instalar las actualizaciones de seguridad. A estos usuarios se les consultó cuál es el principal motivo por el cual no tienen esta costumbre, y el resultado mayoritario es la falta de licencia de software. Esto es muy significativo: tres de cada diez usuarios no mantienen seguro su sistema por tener versiones del software no licenciadas. Esto se debe a que en muchos casos las actualizaciones poseen mecanismos para detectar estas copias no legítimas de software, y es por ello que muchos usuarios prefieren no correr ese riesgo, y a cambio (en muchos casos sin saberlo) terminan corriendo otros riesgos. Este tipo de datos explican, por ejemplo, por qué el gusano Conficker sigue infectando organizaciones en todo el mundo, a pesar de que desde octubre de 2008 está el parche seguridad disponible. El resto de los motivos por los cuales los usuarios no actualizan su software puede observarse en el siguiente gráfico:

Sin embargo, vale destacar que otros resultados demuestran que, a pesar de las trabas mencionadas, muchos usuarios han comenzado a preocuparse por mantener al día sus sistemas operativos y aplicaciones, respecto a los parches de seguridad: casi la mitad de los usuarios manifestó instalar las aplicaciones ni bien son publicadas y otro 20% manifestó hacerlo así sólo con aquellas que son críticas. Además, la mayoría se mostraron conscientes que el principal motivo para instalar las actualizaciones es “mayor seguridad” y “corrección de errores en el sistema operativo” (89,7% y 85,9% respectivamente). Asimismo, el 79,5% entiende que los parches de seguridad minimiza el riesgo de infección de malware.

Por otro lado, otro aspecto importante de las actualizaciones de seguridad es que, a diferencia de la creencia de muchos usuarios, no es sólo en el sistema operativo dónde deben aplicarse. Es cierto que los updates de Windows son los más populares, pero vulnerabilidades en otras aplicaciones también pueden causar problemas de seguridad a los usuarios. Sin embargo, mientras tres de cada cuatro usuarios manifestaron actualizar su sistema operativo y su navegador; sólo la mitad de los encuestados tienen la misma costumbre con aplicaciones de ofimática, lectores de PDF o tecnologías web como Java, a pesar de que estas también suelen ser explotadas por los atacantes.

Como siempre, les recuerdo que este mes tenemos una nueva encuesta sobre incidentes de seguridad que sufrieron durante 2010, que los invitamos a contestar para participar por el sorteo de licencias de ESET NOD32 Antivirus.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Estadísticas
8 Comments »