Se termina el 2010, y en ESET debemos confesarles que estamos muy contentos por varias razones y muy diversas. Este año fue duro y de mucho trabajo para Latinoamérica, especialmente para algunas regiones, y a la vez fue muy vertiginoso en el mundo de la tecnología y la seguridad de la información. Hubo grandes noticias, grandes eventos, y grandes avances, y lo terminamos con todo. En ESET tuvimos muchos cambios y un enorme crecimiento a nivel regional, y nos logramos adaptar a cada circunstancia, hasta comprobar aquella perla de sabiduría oriental que dice que “lo único permanente es el cambio”. En todo contexto tan competitivo, cambiante y acelerado, los más destacados resultan ser los que mejor se adaptan.

Nosotros entre otras cosas estamos muy contentos por tener un equipo de trabajo cada vez mas numeroso, por estar cada día más cerca de la comunidad de seguridad informática, por haber alcanzado nuestros objetivos, y por habernos acercado a la comunidad general por medio de charlas de concientización y proyectos sociales.

No podemos dejar de agradecerles por acompañarnos, por seguirnos y por leernos, y esperamos que el año que comienza podamos ofrecerles más y mejores recursos educativos, investigaciones, informes y mucho material sobre esto que nos apasiona tanto, que es la seguridad y la lucha contra el malware.

Con este gran final, todo el equipo de ESET Latinoamérica les desea un gran fin de año y un excelente comienzo de 2011.

¡Felicidades!

Federico Pacheco
Education & Research Manager

Categories: corporativo, Declaraciones
4 Comments »

Hace unos días les comentábamos acerca de un código malicioso que enviaba mensajes de texto a un cierto número de teléfono. En esta ocasión desde el Laboratorio de Investigación de ESET Latinoamérica realizamos un análisis detallado de este código malicioso en donde se puede observar un poco más en detalle qué es lo que hace.

En primer instancia al tratarse de un archivo JAR este se puede descomprimir y ver cómo se encuentra compuesto. Si se hace esta tarea con un decompilador, se puede acceder a parte del fuente de este código malicioso.  Una vez que se cuenta con parte de las fuentes, ya se puede hacer un análisis más detallado de qué es lo que realiza este malware.

La ejecución de este código malicioso comienza por la clase main, en donde se inicializa la aplicación y se mantiene ejecutándose.  Sin embargo, en esta clase de Java no está la parte que nos interesa. Al observar el archivo a.java, vemos algo que llama la atención: dentro del código que se puede observar que se construye la cadena correspondiente para realizar el envío de un mensaje de texto.  Es en esta clase es en donde se construye. Esta parte del código se puede apreciar en la siguiente captura:

Ahora, ¿por qué una aplicación que es para sacar fotos y editarlas debería de estar creando un mensaje de texto? La respuesta a esta pregunta es clara, se trata de la parte del código que envía mensaje de texto. Este método es llamado desde las otras clases que componen la aplicación y es así como produce el envío de los mensajes resultado en un costo para el usuario que ha sido infectado sin saberlo.

Este tipo de amenazas suelen ser comunes en las plataformas móviles. A lo largo del año se han presentado variantes para los diferentes sistemas operativos, como el primer troyano de SMS para Android. Es por ello que contar con una solución antivirus también para los dispositivos móviles, como ESET Mobile Security.

Las plataformas móviles se han vuelto un terreno en el que los desarrolladores de malware están incursionando, haciendo uso de técnicas de Ingeniería Social para propagar malware, un caso muy claro de esto es la cantidad de spyware que se ve en estas plataformas y que se ha vuelto muy común en los últimos tiempos.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análisis de malware
1 Comment »

Hoy les traigo una historia, un cuento, pero real. Se trata del relato contado por Zoz, en la prestigiosa conferencia sobre hacking, Defcon, llevada a cabo en Las Vegas en agosto de este año. La charla, disponible en video en este mismo post, fue presentada bajo el título “Pwned By The Owner: What Happens When You Steal A Hacker’s Computer” (¿Qué pasa cuando le robás la computadora a un hacker?), y relata cómo este profesional del hacking recuperó dos años después una computadora robada de su propia oficina.

Para aquellos que no quieran ver el video (vale destacar que tiene algunas imágenes “fuertes”, que quizás no sean ideales para ver en horarios laborales) o no comprendan el idioma inglés, vamos a contarles la historia (una vez más, si pueden ver el video es mucho mejor que el extracto que realicé yo a continuación, recomiendo ir al pie y hacer clic en el video directamente):

La computadora de Zoz fue robada dos años atrás. No fue su laptop, no fue su dispositivo móvil, fue su computadora de escritorio. La misma fue robada por una “seria falla de seguridad física” (entraron por la ventana). Se trataba de una Macintosh, y por suerte Zoz es una persona que realiza periódicamente copias de respaldo (backup) de su computadora en dos discos externos, ¡que también fueron robados!. Con la computadora se perdieron toda la música, todas las fotos, todos los videos de la computadora.

¿Qué es lo único que tenía Zoz de su computadora? El número de serie. Con él, comenzó a rastrear en todo tipo de lugares, como eBay, durante muchos meses, sin éxito. El tiempo pasó y Zoz se dió por vencido en la búsqueda de su computadora robada.

Sin embargo, luego de que el equipo sea robado Zoz recibía mensualmente un correo del servicio Dyndns (un servicio para asignar nombres de dominio a equipos con conexión a Internet con dirección IP dinámica), indicando que no se había actualizado la dirección IP de su sistema, y que haga clic en un enlace si quería que el servicio siga activa. “Sin saber por qué”, Zoz seguía haciendo clic en el enlace mes a mes. Sin embargo, dos años después del robo notó que no había recibido más el correo de que su computadora estaba inactiva.

Al acceder al servicio, notó que su equipo había reportado el último mes, y estaba actualizando. Zoz tomó la dirección IP actual de la maquina, y su computadora, que había sido robada en Boston, parecía ahora estar en Las Vegas. Luego de contactar a la policía no logró obtener avances en el caso, ya que la dirección IP no estaba más activa. Entonces, intentó establecer un contacto con dicha dirección IP hasta que la observó activa, y luego intentó acceder remotamente al sistema como lo hacía dos años atrás… y funcionó.

Zoz estaba conectado remotamente a su computadora, que no había sido formateada, aunque sí habían cambiado el fondo de pantalla. Entonces, comenzó a analizar qué archivos había en la computadora… y enseguida encontró fotos del “nuevo dueño”. También identificó la cuenta de correo del dueño y sólo le faltaba “la maldad”: Zoz instaló un keylogger en la computadora del ladrón (o de él), que le permitía capturar todas las pulsaciones del teclado. Con este paso consumado, pudo descubrir que el atacante estaba guardando las contraseñas de forma cifrada con la contraseña de él mismo (¡de Zoz!), por lo que descargó el archivo Keychain (donde Mac almacena las claves) y pudo tener acceso a muchas contraseñas del ladrón. Finalmente, descubrió que todas las contraseñas para muchos servicios eran la misma. El ladrón accedía a Yahoo, Facebook, Gmail, Paypal y muchos sitios más con la misma clave, conformada por un apellido y un año de nacimiento (guzman85).

Finalmente, accediendo a la cuenta de PayPal del ladrón, Zoz obtuvo el domicilio de este, y así pudo mandar a la policía y recuperar su computadora perdida dos años atrás.

La historia es, además de graciosa, más que interesante, y las moralejas van más allá de la broma del título: nunca le robes la computadora a un hacker. Para que Zoz perdiera su computadora, y el ladrón se viera descubierto, se cometieron muchos errores desde el punto de vista de la seguridad: seguridad física, contraseñas débiles, no uso de software de seguridad (un software antivirus con capacidades proactivas de detección no hubiera permitido la instalación de un keylogger en el sistema), entre los más importantes.

Ahora sí, para aquellos que quieran ver el relato en la voz de Zoz, aquí va (una vez más: el video contiene vocabulario e imágenes de contenido agresivo o sexual, queda a criterio del lector avanzar con su visualización) :

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Curiosidades
4 Comments »

Como venimos planteando desde hace un tiempo en este mismo blog, la fuga de información es uno de los temas que más preocupa a las organizaciones en la actualidad, especialmente luego del escándalo provocado por el caso Wikileaks, que motivó a la opinión pública a colocarse de algún lugar de una delgada línea difícil de reconocer y comprender en profundidad.

En esta ocasión, y de una manera bastante pragmática, brindamos algunos consejos a tener en cuenta ante este escenario, de tal modo que sea posible evitar las principales causas de fuga de información, principalmente en el ámbito corporativo:

1. Conocer el valor de la propia información. Realizar un análisis de riesgos y un estudio de valuación de activos para poder determinar un plan de acción adecuado que permita evitar posibles filtraciones.
2. Concientizar y disuadir. Diseñar una estrategia de concientización que incluya la responsabilidad en el manejo de la información, que funcione tanto para capacitar a las personas que podrían filtrar información por error u omisión, como para persuadir a las que deliberadamente intenten hacerlo, mostrando las potenciales consecuencias.
3. Utilizar defensa en profundidad. Considerar el modelo de defensa en capas para tomar distintas medidas de diferente naturaleza, a fin de no centralizar las soluciones ni promover puntos únicos de falla.
4. Incluir herramientas tecnológicas. En ámbitos corporativos, contar de ser posible con una solución técnica de protección, por medio de hardware, software, o combinación de ambos, tanto a nivel de redes como de equipos (servidores y estaciones de trabajo). El crecimiento de amenazas como el spyware hacen que los códigos maliciosos también sean potenciales puntos de fuga de información.
5. Seguir los estándares. Alinearse con estándares internacionales de gestión de la seguridad permite disminuir el riego de que puedan ocurrir incidentes, así como también de que el negocio se vea afectado por un determinado evento de filtración.
6. Mantener políticas y procedimientos claros. Relacionado con el punto anterior, se debe tener una clara definición y comunicación de las políticas de seguridad y acuerdos de confidencialidad, aceptados y firmados por todos los usuarios. Esto minimiza potenciales fugas de información, al contar con un consentimiento firmado del usuario para no realizar ciertas acciones.
7. Procedimientos seguros  de contratación y desvinculación. En estos dos momentos se conecta o desconecta una nueva pieza externa con el motor de la organización, por lo que deben tenerse en cuenta de manera muy particular, controlando especialmente los accesos y registros de los usuarios en sus primeros o últimos momentos de trabajo.
8. Seguir procesos de eliminación segura de datos. Es fundamental que los datos que se desean eliminar sean efectivamente eliminados, y los medios de almacenamiento adecuadamente tratados antes de ser reutilizados.
9. Conocer a la propia gente. En algunos casos es posible identificar a las personas conflictivas o con un determinado grado de disconformidad, que podrían ser foco de cierto tipo de problemas relacionados con la confidencialidad. Muchas veces es dificultoso detectarlo, pero es recomendable prestar atención a los indicadores de conflicto.
10. Aceptar y entender la realidad. Seguir todos estos consejos no garantiza nada, pero ayuda a comprender que se deben tomar medidas concretas y definir un plan realista, alejado de la paranoia innecesaria. No se pueden controlar absolutamente todas las acciones de todas las personas en todo momento, por lo que siempre habrá un margen de error que quedará abierto, y que deberá intentar reducirse al mínimo a medida que pasa el tiempo.

Con esta pequeña lista podemos darnos una idea, aunque ligera, de los puntos mas importantes a tener en cuenta a la hora de combatir la fuga de información. Como es de esperarse, muchas medidas aplican también a la solución de los más diversos problemas relacionados con la seguridad, y justamente es por esto que conviene contar con una estrategia global, que incluya todos los aspectos de interés para una organización.

Federico Pacheco
Education & Research Manager

Categories: Fuga de información, Gestión
6 Comments »

Los spyware son códigos maliciosos que tienen por característica principal el robo de información del sistema infectado. Suelen tomar datos confidenciales de los usuarios y enviarlos a un atacante para algún fin delictivo. Por lo general, suelen estar enmascarados bajo alguna técnica de Ingeniería Social, simulando ser alguna aplicación de utilidad. Pero, ¿las aplicaciones populares también suelen enviar información sin que el usuario lo sepa?

Esta pregunta viene a colación a un interesante estudio realizado por el Wall Street Journal, que analizó las características de 101 populares aplicaciones para dispositivos móviles y publicó los (¿escalofriantes?) resultados en una nota titulada Your Apps Are Watching You (“Tus aplicaciones te están espiando”). Como bien indica el artículo fuente en sus primeras lineas, “pocos dispositivos conocen tanto sobre las personas como los dispositivos móviles”, y este dato no es pasado por alto por las empresas desarrolladoras de software que, aparentemente, y según el informe, algunas están cruzando la raya al enviar información sensible desde el dispositivo hacia el fabricante, sin el consentimiento del usuario.

El estudio fue realizado sobre aplicaciones para iPhone y Android, y los números son concluyentes. Por ejemplo, 56 de las 101 aplicaciones envían el ID del dispositivo móvil (también conocido como IMEI) a terceros, en todos los casos sin que el usuario haya aceptado el envío de dicha información. Algunos otros datos interesantes extraídos del artículo:

• Las aplicaciones para iPhone transmitían más información que aquellas para Android.
• Entre las aplicaciones que enviaban más información, aparece TextPlus 4, una popular aplicación para envío de mensajes de texto en iPhone. Esta envía el IMEI a ocho compañías publicitarias con el código de área del teléfono, junto con la edad del usuario y el género a dos de ellas.
• Las versiones para iPhone y Android de Pandora, una popular aplicación de música, envían edad, género, geo localización y número de teléfono a varias redes publicitarias.
• Ambas versiones del juego Paper Toss envían información al menos a cinco compañías. Grindr, una aplicación de iPhone para conocer parejas homosexuales, envía información a tres compañías.

Es posible visualizar un reporte detallado y completo sobre las aplicaciones que se analizaron, y qué tipo de información enviaba cada una de ellas al fabricante, sin el consentimiento del usuario. Muchas de las empresas involucradas declararon en su defensa que “la información no es personal ya que no puede ser asociada a una persona” o certificaron que “siempre se pide permiso al usuario“, aunque el estudio diga lo contrario. Algunas otras prefirieron el silencio. Ninguna de las respuestas es muy alentadora. Quien mejor resumió la historia fue Michael Backer, de la Mobile Marketing Association, quien declaró:

En el mundo móvil, no hay anonimato.

En resumen, el informe pone en evidencia cómo muchas empresas de software están realizando acciones sin el consentimiento del usuario, muy similares a las realizadas por malware convencional, como es el caso del spyware.

Pero es el caso aún, cuando varias de estas aplicaciones están legitimadas en los sitios web de los fabricantes de los sistemas operativos, aumentando la gravedad del caso, ya que este hecho aumenta la confianza del usuario sobre las mismas.

Entonces, ¿está legitimado el spyware en los dispositivos móviles? Como bien indica el informe, en muchos casos no son solo aplicaciones meramente maliciosas, diseñadas con estos fines, sino muchas veces populares programas están “robando” información del usuario de forma oculta.

Muchas de estas aplicaciones están legitimadas por los propios usuarios, por las empresas que las fabrican o por la misma industria, y por lo tanto la linea entre si son o no códigos maliciosos es demasiado fina, incluso muchas de ellas entrarían en la categoría de Grayware. Informes como este certifican que, más allá de la educación del usuario y de la existencia de herramientas de detección de malware para dispositivos móviles, como ESET Mobile Security, es necesaria e indispensable la decisión de las empresas desarrolladores de software para no crear aplicaciones que extraigan información del usuario de forma innecesaria, rozando la delgada linea entre una aplicación legítima y el spyware. Sin lugar a dudas, el único perjudicado es el usuario.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Malware
5 Comments »