El viernes de la semana pasada estuvimos hablando sobre una muestra de un código malicioso que se hacía pasar por una solución de seguridad gratuita que para cobrarle al usuario por su uso. Analizando el archivo más en detalle se puede observar que el ejecutable se encuentra en un paquete autoextraíble. Al descomprimirlo, curiosamente, el archivo despliega varias escenas de la famosa obra Romeo y Julieta de William Shakespeare:

Con estos comentarios se busca ofuscar algunos parámetros que utiliza el código malicioso para autoejecutarse en la computadora de la víctima. Este autoejecutable, una vez extraído, contiene otro archivo comprimido en su interior. No obstante, el segundo está cifrado con contraseña. Para poder descifrarse en la computadora de la víctima, el archivo necesita que la clave se encuentre embebida en alguna parte. Para eso, el autor de este código malicioso decidió utilizar la obra de Shakespeare para disfrazar su clave de la siguiente forma:

Setup = [ARCHIVO] –e –p [CONTRASEÑA]

Ver más… »

Categories: Análisis de malware
No Comments »

Durante los últimos día se ha estado alertando a los usuarios acerca de una vulnerabilidad presente en el navegador de Android que puede ser utilizada para falsificar certificados de páginas oficiales. A través de este exploit un ciber criminal podría atacar a usuarios que utilicen la versión 2.3 del sistema operativo de Google o anteriores para el robo de credenciales o ataques de phishing.

La vulnerabilidad se centra en la utilización de un iframe en dónde se hace referencia a una página oficial y se engaña al usuario quien cree que se encuentra en una página verídica. Uno de los mayores riesgos que presenta es que se puede realizar el ataque tanto en páginas con HTTPS o HTTP, que le permite a un atacante simular una página del banco para obtener las credenciales del usuario.

Un iframe es un elemento del lenguaje HTML, que permite hacer referencia a una página remota e insertar este contenido dentro de la primera. De esta manera es un recurso que suele ser utilizado por los desarrolladores de códigos maliciosos para explotar una vulnerabilidad en los navegadores con el objetivo de realizar ataques de Drive-by-download. En esta técnica está siendo utilizada para engañar a los usuarios que visitan una página exponiéndolos distintas amenazas.

El uso de esta vulnerabilidad por parte de los ciber criminales podría llevar al robo de credenciales de acceso. A través de la combinación de técnicas de Ingeniería Social e iframe un atacante puede hacerle creer al usuario que está ingresando al sitio oficial de redes sociales o correos electrónicos para luego sustraer su información personal. Esta técnica también podría aplicarse al robo de información bancaria.

Google recibió el reporte de esta vulnerabilidad a principios de diciembre por parte del investigador que la descubrió. Uno de los mayores riesgos se da cuando el usuario intenta visualizar las propiedades de la web fraudulenta, ya que verá el certificado de la web contenida en el iframe creyendo que se trata de un sitio real. Por este motivo no podrá identificar si se trata de una página verdadera o de un engaño.

Siempre es recomendable que al acceder a páginas web de banca electrónica, redes sociales o correos el usuario se asegure de estar ingresando a un sitio oficial ya que de otra manera podría ser víctima del robo de información. Además les recomendamos leer las buenas prácticas para usuarios  móviles en dónde podrán conocer de qué manera proteger su información.

Pablo Ramos
Especialista en Awareness & Research

Categories: Alertas
No Comments »

La seguridad informática es una temática que está teniendo una muy grande repercusión, más que nada en un equipo conectado a Internet, que es el foco principal de propagación de malware. Para esto se han generado distintas políticas de seguridad, como por ejemplo la navegación con el protocolo HTTPS, para navegar en sitios que contengan o soliciten información personal, confidencial, o simplemente privada sin temer la pérdida, hurto o mal uso de la misma.

En un principio estas políticas eran utilizadas en sitios web bancarios entre otros, debido a los hurtos de datos de las tarjetas de crédito, y por ende, el robo del dinero. Luego, estas políticas de seguridad informática fueron aplicándose a distintos sitios, tales como redes sociales y servidores de correo por ejemplo:

Google +, la red social de Google posee HTTPS, y es posible corroborarlo no solo con la URL, sino que también con el candado ubicado en la esquina inferior derecha:

Gmail, es el servicio de correo de Google, el cual se presenta bajo este protocolo para una navegación segura:

Actualmente el buscador más conocido de todo Internet posee su gran mayoría de prestaciones bajo el protocolo HTTPS, entre otras políticas, lo cual favorece al resguardo de los datos de los usuarios de estos servicios.

Actualmente existe un centro de seguridad familiar de Google, en el cual muestra, entre muchas otras funciones, la posibilidad de predeterminar una configuración para las búsquedas tanto en Google como en YouTube y así evitar que los menores de edad puedan acceder a sitios web o contenido ofensivo o inadecuado para su edad.

Este centro de seguridad familiar trata de concientizar la correcta utilización de los recursos en Internet, para evitar tanto el mal uso de la misma, como la posibilidad de convertirse en objetivos de un ataque, siendo los niños los más vulnerables debido a su grado de desconocimiento acerca del tema.

Para poder generar un mayor porcentaje de protección ante las distintas amenazas es indispensable la concientización de los usuarios en conjunto con una actualización periódica de su software y contar con una solución antivirus con capacidad de detección proactiva, por esto es importante que lo usuarios de Internet se asesoren acerca de las distintas problemáticas posibles para, por ejemplo, los menores que utilizan los equipos y así poder enseñarles cómo evitar comprometer la información y el equipo.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Educación
2 Comments »

En julio del año 2008, Google incorporó la posibilidad de que los usuarios utilicen HTTPS en el acceso a Gmail, es decir, cifrar la comunicación entre  sus servidores y los clientes. No obstante, HTTPS se aplicó por defecto para todos los usuarios de Gmail recién en enero de este año. Ahora, Google vuelve a incentivar la utilización de protocolos seguros, en esta ocasión a través de sus búsquedas, que podrán ser accedidas a través del protocolo mencionado en https://www.google.com.

Según Evelyn Kao, su Manager de Producto, las búsquedas se están realizando cada vez más personalizadas. Por lo tanto, su foco ahora está en proteger los resultados que brindan a los usuarios identificados a través de su correo electrónico. Cuando un usuario que esté registrado en el sitio realice una búsqueda el sitio pasará automáticamente a utilizar el protocolo HTTPS. Eso significa que la búsqueda que realice el usuario registrado se va a enviar utilizando SSL, que es un protocolo que proporciona una comunicación más segura en Internet cifrando los datos que se transmiten entre el cliente y el servidor.

Al realizarse el uso de la búsqueda a través de SSL, el equipo de Google Analytics también publicó en su blog oficial el impacto que producirá a los usuarios que utilicen su herramienta. A partir de ahora, todas las búsquedas orgánicas (los resultados que se muestran que no son pagos) que se realicen, no mostrará más los términos utilizados para la misma. Según Google, esto solamente va a afectar una parte menor del tráfico de las páginas.

A través de esta medida Google establece por defecto la funcionalidad que brinda una capa más de seguridad al usuario, dado que con este mecanismo, no se podrá saber qué es lo que está buscando en la web. Esta característica estará disponible para todo tipo de búsquedas que realice, excepto para los mapas. Google aclara, además, que esta modalidad puede ser un poco menos eficiente que la búsqueda tradicional, ya que se necesita establecer primero una conexión segura con los servidores de Google antes de continuar.

Ahora resta saber cuál es la incidencia que puede tener esta implementación en gobiernos más estrictos donde se regula la información que se comparte en Internet. Además, para algunos administradores de sitios, esto puede no favorecerles dado que no obtendrán la misma información que antes para analizar a través de qué búsquedas llegaban los usuarios a sus sitios.

Raphael Labaca Castro
Especialista en Awareness & Research

Categories: Curiosidades, Educación
No Comments »

Al momento de navegar en Internet, acceder a las redes sociales, los correos electrónicos o llenar un formulario en línea, existen una serie de inconvenientes que muchos usuarios suelen encontrar. Muchos problemas que pueden causar la infección de un equipo, smartphone o la fuga de información son reportados a diario y la cantidad de usuarios que ven su información comprometida es considerable. Es por ello que hoy, vamos a repasar 10 consejos para evitar la infección de un sistema o dispositivo.

1. Utilizar una conexión segura

Parece sencillo, pero muchos usuarios suelen pasar por alto que al momento de iniciar sesión en un sitio web la conexión sea a través de HTTPS (Hipertext Transfer Protocol Secure). Al acceder a una página web a utilizando este protocolo, la comunicación entre el cliente y el servidor viaja cifrada, lo que aumenta la seguridad y minimiza la posibilidad del robo de contraseñas. Al acceder a este tipo de sitios, se puede observar la diferencia entre acceder utilizando HTTPS o sin seguridad a través de HTTP. Es posible configurar una conexión segura en las redes sociales, para que toda la comunicación con el sitio sea cifrada.

2. Evitar los enlaces engañosos

Cuando se reciben correos electrónicos de dudosa procedencia, como por ejemplo de un contacto que habla en español recibimos un correo en portugués, un supuesto correo de una entidad bancaria para actualizar la información, cadenas de correo acerca del cambio de un servicio de correos gratuito a pago o un multimillonario que quiere regalar su dinero. En más de una ocasión hemos compartido con ustedes los análisis e investigaciones en dónde los atacantes ocultan el enlace real dentro de un link de YouTube u otra estrategia similar.

Ver más… »

Categories: Ingeniería Social, Vulnerabilidades
3 Comments »