Los teléfonos inteligentes o smartphones son cada vez más semejantes a una computadora tradicional. Dotados de hardware más sofisticado con mayor capacidad de cálculo, estos dispositivos permiten realizar una mayor cantidad de tareas como navegar por Internet a mayor velocidad, hacer trámites bancarios, revisar correo electrónico y usar redes sociales. Aunque esto pueda parecer a primera vista algo absolutamente positivo, su uso no está exento de riesgos inherentes a la tecnología inalámbrica como el robo o extravío del dispositivo, o en este caso, el almacenamiento de credenciales de acceso a distintas redes sociales sin ningún tipo de protección por parte de la aplicación.

En primer lugar, la aplicación móvil de Facebook tanto en su versión para Android como para iOS (iPhone) puede conllevar serios problemas para la seguridad y privacidad del usuario. La falla se origina debido a que esta almacena en un archivo denominado plist, información sensible de la cuenta de la persona como su nombre y contraseña de acceso sin ningún tipo de cifrado, es decir, en texto plano, legible para cualquiera. Esta situación se agrava aún más si se considera que este archivo plist es compartido con aplicaciones de terceros que requieren del acceso a esta red social como un software para compartir fotos.

Por lo mismo, es posible afirmar que esta vulnerabilidad de diseño facilita considerablemente que un atacante desarrolle aplicaciones maliciosas que se aprovechen de esta situación para acceder ilícitamente a las cuentas de las potenciales víctimas con tan sólo solicitar la información sin cifrar de plist. De acuerdo a Gareth Wright, quien descubrió esta falla, los datos permanecen por un período de 60 días luego que se ha solicitado el acceso a Facebook. Además, el experto afirma que el fichero plist tiene una fecha de caducidad establecida para el primero de enero del año 4001, siendo este mecanismo de protección absolutamente inútil.

Pese a que Facebook se comprometió a verificar el problema, la respuesta no ha dejado conforme a muchas personas debido a que la empresa afirma que este problema sólo se presentaría en equipos móviles modificados o iPhones que se le haya realizado un Jailbreak, sin embargo, la misma investigación de Wright plantea que este fallo sí se presenta en dispositivos sin modificar ya que es posible que un atacante desarrolle un código malicioso capaz de obtener el fichero plist en cuestión cuando el teléfono inteligente es conectado a la computadora para cargarlo o pasar información y no necesariamente a través de malware creado específicamente para la plataforma móvil.

Ver m�s… »

Categories: Alertas, Redes Sociales
1 Comment »

En varias ocasiones hemos hablado y reportado en este blog sobre diversos casos de phishing, técnica que consiste en la obtención de información sensible como nombres de usuarios y contraseñas a través de la suplantación de la imagen de una conocida compañía que simula pedir ese tipo de datos utilizando amenazas verbales como que si no se ingresa lo solicitado, la cuenta será deshabilitada. A diferencia del malware que puede robar este tipo de datos automáticamente, en los ataques de phishing es el usuario quien suministra la información de forma manual una vez que el cibercriminal ha logrado convencerlo de hacer tal acción.

En este caso el blanco elegido por los atacantes no es ni un banco, aerolínea o tarjeta de crédito, es Twitter, conocida red social que se caracteriza por su estilo acotado de 140 caracteres y el gran alcance mediático que generan los mensajes que son compartidos a través de la misma. Abusando de todas esas ventajas, los ciberdelincuentes están empleando como temática de Ingeniería Social, afirmaciones que apelan directamente a la curiosidad de la potencial víctima. Tweets o mensajes en inglés sobre supuestos rumores malintencionados o cosas “muy malas” son los ganchos que buscan cautivar al usuario para que haga clic sobre el enlace fraudulento. Si la persona no es precavida y sigue dicho hipervínculo, estará ingresando a un sitio malicioso que solicita las credenciales de acceso a Twitter. Para hacer más real el phishing, se utiliza la excusa que esa información es necesaria debido a que ha transcurrido un período largo de inactividad por parte del usuario y que la sesión ha sido cerrada como medida de seguridad.

Aunque por el momento sólo se han detectado mensajes en inglés, es posible que este ataque de phishing sea traducido a otros idiomas como el español con tal de aumentar aún más la cantidad de afectados. Realizando un análisis detallado hemos encontrado que al menos 31.000 usuarios han sido víctima de este phishing, quedando a merced de los ciberdelincuentes información como nombres de usuarios, correos electrónicos y contraseñas. En este último punto nos detendremos un poco: pese a que el principal error de toda esta situación es la entrega de información sensible siguiendo enlaces sospechosos, las contraseñas que escogen los usuarios suelen no ser aptas ni robustas, hecho que pudimos constatar nuevamente. De las 31.000 credenciales sustraídas, la mayoría están formadas por ocho caracteres, sin embargo, en reiteradas oportunidades observamos que a pesar que la longitud de la claves es relativamente larga, estas pueden ser vulneradas en pocos segundos y además, están formadas por frases fáciles de adivinar como twitter1 o la repetición de una palabra varias veces como es el caso de boysboysboys.

Ver m�s… »

Categories: Alertas, Redes Sociales
5 Comments »

Tenemos el agrado de compartir con ustedes el reporte mensual de amenazas y tendencias correspondientes a marzo, mes en el que ocurrieron varios acontecimientos. Por un lado, se realizó por decimonovena vez, el congreso y exposición de seguridad informática SEGURINFO 2012 que tuvo lugar este año, en el Sheraton Buenos Aires Hotel & Convention Center. Por otra parte y aprovechando la ocasión, elegimos esa segunda semana de marzo para iniciar oficialmente nuestra Gira Antivirus 2012. En esta oportunidad, el primer país en recibirnos fue República Dominica, luego Venezuela y Colombia. A través de la constante mejora del contenido y las presentaciones que se ofrecen, logramos perfeccionar aún más esta edición de la Gira Antivirus que en 2011, ya fue muy exitosa.

• Siguiendo la misma línea de concientización a través de la educación, nuestra compañía inició por séptimo año consecutivo el Premio Universitario 2012 de ESET Latinoamérica, instancia que busca premiar a los alumnos y entidades educacionales que a través de un trabajo de investigación sobre la seguridad de la información, demuestren la importancia de ahondar en la materia con el fin de mitigar y evitar el impacto de las amenazas informáticas.
• Debido al alto crecimiento que continúan experimentando las redes sociales, y al gran impacto mediático que pueden generar con respecto a la rapidez y el alcance en la transmisión de información, el usuario se ve expuesto a una serie de amenazas informáticas como fraudes, códigos maliciosos, o la reportada por nuestro laboratorio durante marzo, en donde se buscaba propagar un adware a cambio de poder cambiar supuestamente, el color de fondo de Facebook a rosa. Frente a este tipo de situaciones resulta imprescindible saber actuar frente a una infección. Sin embargo, también existe otro riesgo en el uso de este tipo de servicios más allá del aspecto netamente técnico. Una configuración inadecuada de una cuenta puede acarrear consecuencias graves como compartir información privada con un tercero sin saberlo, o hacer de esta más susceptible ante la eventualidad que un usuario malintencionado quiera acceder a la misma. De aquí la importancia de saber cómo configurar correctamente redes sociales como LinkedIn y Pinterest, o conocer las cuatro cosas que no deben hacerse en Foursquare.
• Aunque las redes sociales son uno de los blancos predilectos de los ciberdelincuentes, el correo electrónico sigue siendo una vía válida y vigente para propagar códigos maliciosos. A principios de marzo pudimos observar cómo a través de una falsa y sensacionalista historia de romance entre Alexis Sánchez y Shakira, se propagó un troyano cuyo objetivo era obtener información bancaria de la víctima. Siguiendo con historias escabrosas e inventadas, los cibercriminales también utilizaron la imagen del presidente de Panamá, Ricardo Martinelli para propagar un código malicioso mencionando que el mandatario habría incurrido en sórdidos actos de pedofilia. Luego, fue el turno de tres historias que entre tragedia, vergüenza y delincuencia, propagaban más amenazas informáticas. Sumado a todo lo anterior y haciendo uso de este mismo medio, apareció un rogue que engañaba al usuario haciéndole creer que estaba infectado y que la única solución al problema es mediante la compra del falso antivirus. Resulta curioso que ciertos datos de esta amenaza informática hayan sido “ofuscados” utilizando una conocida obra de Shakespeare.
• Además, mencionar la aparición de una novedosa botnet, Aidra, cuyo objetivo es convertir en zombi dispositivos como routers, tablets y otros. También recomendamos la lectura de la evolución de los troyanos bancarios para  dispositivos móviles con el fin de estar informado sobre las últimas tendencias y amenazas que afectan a estos equipos. Finalmente, destacar que ha aparecido un código malicioso diseñado específicamente para atacar organizaciones no gubernamentales del Tíbet y que funciona tanto para Windows como para Mac OS X.

Para obtener mayor información sobre las amenazas destacadas de marzo, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

André Goujon
Especialista de Awareness & Research

Categories: Reportes mensuales
2 Comments »

El fenómeno de las redes sociales sigue experimentando alzas en cuanto al crecimiento de usuarios y la diversificación de opciones disponibles, de las cuales cada una ofrece características distintivas que atraen el interés de las personas y también el de los ciberdelincuentes, quienes ante este gran abanico de ofertas disponibles, buscan cómo engañar a los usuarios mediante Ingeniería Social para obtener algún rédito económico a través de la propagación de códigos maliciosos.

Si algunas redes sociales se distinguen por su sentido informativo, otras por ser más personales, o por contar la historia de una forma más gráfica, LinkedIn se diferencia del resto al ser un servicio enfocado principalmente al aspecto profesional y laboral, ofreciendo a sus usuarios la posibilidad de compartir con personas conocidas y generar nexos con varias compañías que pueden ofrecer empleo. De este modo, es común observar en los perfiles personales aspectos como estudios y grado académico, puestos de trabajos e información corporativa. También resulta útil para aquellos que buscan generar lazos profesionales con otras personas o compañeros de oficina.

Frente a tanta información publicada, los cibercriminales idean formas de manipulación que resulten más creíbles y por lo tanto efectivas para propagar malware y así obtener acceso a una organización. Perfectamente un atacante cuyo objetivo sea una empresa en particular, puede estudiar la información y el comportamiento de sus víctimas para luego crear una cuenta falsa que parezca pertenecer a un empleado real, pero que aparte de ser ilegítima, sirva como instrumento para ganarse la confianza de los compañeros, quienes no dudarían en ejecutar un código malicioso camuflado astutamente como algo de interés corporativo.

Por lo mismo, en ESET Latinoamérica hemos preparado una serie de medidas que puede adoptar el usuario para mejorar la protección de la cuenta con respecto a la privacidad y seguridad. Para acceder a las siguientes opciones se debe hacer clic sobre el nombre del usuario en la parte superior derecha y luego en configuración. Allí se encuentran agrupadas en cuatro categorías los parámetros disponibles:

Ver m�s… »

Categories: Redes Sociales
2 Comments »

Mes a mes los lectores comparten con nosotros información sobre tendencias y estadísticas que se plantean a través de las encuestas mensuales que preparamos en ESET Latinoamérica. En el mes de febrero el tema que se abarcó fue el de los dispositivos móviles y las distintas conductas que exhiben los usuarios con respecto al uso de los mismos y el potencial riesgo que ello implica para la seguridad.

El aumento de las capacidades y características de los teléfonos inteligentes, cada vez más similares a las de computadoras, y el consiguiente almacenamiento de información personal y sensible sumado a la utilización de servicios bancarios, ha provocado que los ciberdelincuentes utilicen gran parte de sus recursos en la creación de códigos maliciosos diseñados exclusivamente para plataformas móviles como Symbian o Android. De esta forma, la importancia en el uso de tecnologías de protección y la educación correcta del usuario con el fin de salvaguardar la seguridad del dispositivo móvil es fundamental.

Del total de los encuestados podemos observar que si bien es cierto, los teléfonos celulares tradicionales siguen siendo los más utilizados con un 46,2%, los teléfonos inteligentes o smartphones están muy cerca de sus antecesores con 42,6% de las elecciones. También, un 8,7% de los usuarios afirmaron utilizar ambos tipos de dispositivos y sólo un 2,5% no utiliza ninguno.

Ver m�s… »

Categories: Estadísticas
No Comments »