lunes, 15 de mayo de 2017

Ciberataque global: una simple explicación de qué ocurre


Los expertos de seguridad lo están llamando el mayor ciberataque que el mundo ha visto.
Esto es lo que tienes que saber sobre el WannaCry.
Qué hace el ataque
Hackers extendieron un virus ransomware, llamado WannaCry, que bloquea todos los archivos de una computadora infectada y le exige al administrador un pago de 300 dólares para recuperarlos. Por eso que se llama ransomware.
¿Cómo ocurrió?
WannaCry se aprovecha de una vulnerabilidad en Microsoft Windows.
Las herramientas de software para crear el ataque se dieron a conocer en abril, cuando se filtraron herramientas de espionaje de la Agencia Nacional de Seguridad (NSA) de Estados Unidos. Fueron hechas públicas por un grupo de hackers llamado Shadow Brokers.
Microsoft lanzó un parche de seguridad en marzo. Sin embargo, muchas empresas no actualizan automáticamente sus sistemas. Esto ha sido un problema persistente de seguridad durante años. Finalmente, el virus se encontró con las víctimas.
Los consumidores también están en riesgo. Microsoft requiere que los clientes de Windows 10 actualicen automáticamente sus computadoras, pero algunas personas con ordenadores antiguos tienen las actualizaciones automáticas deshabilitadas.
¿Qué tan extenso es el daño?
El ataque ha afectado a 200.000 computadoras en  150 países, de acuerdo con Europol, la agencia policial europea. FedEx, Nissan, y el Servicio Nacional de Salud de Gran Bretaña estaban entre las víctimas.
En Gran Bretaña, los hospitales quedaron paralizados por el ataque cibernético, que obligó a cancelar operaciones y desviar ambulancias.
Otros afectados fueron Deutsche Bahn, el Banco Central de Rusia, Ferrocarriles de Rusia, el Ministerio del Interior de Rusia, Megafon y Telefónica.
¿Quién es vulnerable?
Cualquier persona que no haya actualizado su PC con Windows recientemente.
Microsoft dijo que había tomado el "muy inusual paso" de liberar un parche para los equipos con sistemas operativos más antiguos como Windows XP, Windows 8 y Windows Server 2003. Incluso los usuarios con equipos más antiguos deben actualizarlos.
Las computadoras Mac de Apple no fueron blanco de este ataque. Generalmente los ataques se dirigen a Windows porque hay mucho más equipos que con este sistema operativo en todo el mundo.
¿Cómo evitar ser atacado?
De acuerdo con la compañía de seguridad Bitdefender, sigue estos cinco pasos:
1. Desactiva el protocolo SMB (Server Message Block)
2. Instala el parche de Microsoft.
3. Haz copias de seguridad de datos en un disco duro.
4. Instala todas las actualizaciones de Windows.

5. Utiliza un software de seguridad de confianza para evitar ataques en el futuro.
¿Quién está detrás del ataque?
Los piratas informáticos permanecen en el anonimato por ahora, pero parece que son aficionados. Un analista de 22 años en Gran Bretaña, que responde al nombre de MalwareTech, encontró la forma de detener el ataque.
MalwareTech halló un dominio no registrado en el ransomware y lo compró por 10,69 dólares. Luego, dirigieron el sitio a un sumidero, un servidor que compila y analiza el tráfico de malware. La facilidad de detener el ataque sugiere que los hackers no eran profesionales.
Los expertos dijeron que parecía que el virus había ocasionado poco más de 32.000 dólares en daños, aunque se esperaba que ese número ascendiera cuando la gente volviera a su oficina el lunes.
¿Qué sigue?
Computadoras y redes que no habían actualizado sus sistemas recientemente todavía están en riesgo debido a que el ransomware está al acecho. Y WannaCry amenaza con crear aún más estragos el lunes, cuando la gente vuelve al trabajo.
Los hackers han lanzado nuevas versiones del virus que las organizaciones de seguridad cibernética están tratando activamente de contrarrestar y eliminar.
"Tendremos una herramienta desencriptadora eventualmente, pero por el momento, sigue siendo una amenaza viva y seguimos en modo de recuperación de desastre", dijo este domingo Rob Wainwright, director de la agencia europea Europol, en entrevista con Becky Anderson de CNN.
Tomado de: CNN en español

domingo, 14 de mayo de 2017

Centenar de países afectados por ransomware habilitado por la NSA

Cargando..
WannaCry. Imagen tomada de: Diario TI

El ransomware WannaCrypt, también conocido como WannaCry (Quieres llorar) es instalado en computadoras vulnerables, operadas con Windows, mediante un gusano que se propaga por las redes explotando una vulnerabilidad en el servicio de intercambio de archivos SMB de Microsoft. Concretamente, aprovecha un error de código, o “bug”, parcheado por Microsoft en marzo pasado mediante la actualización MS 17-010. Inicialmente, el bug fue detectado y utilizado por la agencia de seguridad nacional estadounidense, NSA, con el fin de hacerse del control de las computadoras de quienes investigaba. Esta herramienta, que al interior de la NSA era conocida como EthernalBlue, fue sustraída a la agencia y filtrada a Internet en abril junto a otras herramientas de intrusión y espionaje informático, que de esa forma quedaron a disposición de cualquier interesado.

Mediante WannaCrypt, está vulnerabilidad fue colgada a una herramienta de ransomwave que al ser descargada en una computadora, cifra el mayor número de archivos posible. Luego presenta una notificación al usuario, exigiendo el pago de un rescate de USD 300 en Bitcoin para recuperar los archivos. WannaCrypt también instala DoublePulsar, puerta trasera que permite asumir el control de la computadora vía Internet. DoublePulsar es otra herramienta de la NSA filtrada junto a EthernalBlue.

WannaCrypt es controlado mediante la red Tor, conectándose a servicios ocultos desde los que recibe instrucciones de sus creadores.

“Héroe accidental”frenó la propagación

El código del malware incluye un “kill switch” que fue descubierto por un joven británico de 22 años de edad, quien desde el suroeste de Inglaterra trabaja para la empresa estadounidense Kryptos Logic. El joven, quien opera con el seudónimo MalwareTech, comentó a la publicación The Guardian que el malware incluía un “kill switch” diseñado por los creadores de WannaCry para desactivar el malware en caso de así decidirlo. El malware se conectaba a un dominio del hombre ininteligible y estaba diseñado para desactivarse en caso de establecer una conexión exitosa con dominio. MalwareTech registró el dominio por 10 dólares, y al activarlo en DNS constató como este recibía miles de conexiones por segundo. La intención del joven al registrar el dominio no era frenar la propagación de WannaCrypt, sino entender la forma en que el malware se estaba propagando. “Mi intención sólo fue monitorizar la propagación y ver si eventualmente sería posible hacer algo al respecto. Sin embargo, frenamos la propagación simplemente registrando el dominio”.

MalwareTech advierte que su iniciativa sólo frena temporalmente al malware. “Esto no termina aquí. Los atacantes entenderán como frenamos la propagación, cambiarán el código y lo intentarán nuevamente”. Luego, sugirió actualizar el sistema operativo mediante Windows Update y reiniciar el sistema.

Microsoft ofrece protección

Microsoft, por su parte, escribe en su blog TechNet que las computadoras que tengan activada la actualización automática de Windows, en Windows Update, ya están protegidas mediante el parche MS17-010 mencionado anteriormente. Los usuarios que tengan configurado Windows Update con actualización manual deberán instalar la actualización lo antes posible.

La empresa sugiere a los usuarios ser cuidadosos al abrir documentos recibidos de fuentes desconocidas o no confiables. Para el caso de los usuarios de Office 365, la empresa dice estar monitoreando y actualizando continuamente la plataforma con el fin de proteger contra amenazas como WannaCrypt.

Tomado de: Diario TI

domingo, 15 de enero de 2017

Denuncian una vulnerabilidad en WhatsApp que permitiría interceptar los mensajes

Cargando...
WhatsApp. Imagen tomada de: whatsappgratis.org.

El servicio de mensajería de WhatsApp adolece de una "vulnerabilidad" en su sistema de seguridad que puede permitir a Facebook y otros portales interceptar mensajes codificados entre usuarios, informa este viernes The Guardian. 

Según sostiene la red social Facebook, nadie puede interceptar mensajes intercambiados mediante WhatsApp, ni tan siquiera la propia compañía y sus empleados, a fin de garantizar así la privacidad de sus millones de usuarios. 

No obstante, una nueva investigación que recoge el citado periódico británico revela que la compañía podría, de hecho, leer mensajes cifrados debido a la manera en que WhatsApp ha implementado su llamado protocolo de codificación de extremo a extremo. 

Los activistas en pro de la privacidad aseguran que esa "vulnerabilidad" hallada en el popular servicio de mensajería representa "una enorme amenaza para la libertad de discurso". Además, advierten de que podría ser utilizada por las agencias de inteligencia de los gobiernos llegado el caso.

Claves de seguridad únicas

Ese protocolo de seguridad de WhatsApp, que ha hecho de la privacidad y la seguridad su principal baza comercial, depende de unas claves de seguridad únicas —empleando el sistema Signal, desarrollado por Open Whisper Systems—, que se verifican entre usuarios a fin de garantizar que las comunicaciones son seguras y no pueden ser interceptadas.

No obstante, WhatsApp tiene una manera de lograr que se recodifiquen esas claves, de manera que el receptor del mensaje no tenga constancia de que se ha producido ningún cambio en la codificación.

En ese caso, además, al remitente tan solo se le notifica que ha habido un cambio en las claves de codificación si previamente se ha optado por la opción de codificado a la hora de hacer los ajustes y solo después de que los mensajes hayan sido reenviados. 

Esta vulnerabilidad en la seguridad fue descubierta por Tobias Boelter, un investigador especializado en codificación de la Universidad de Berkeley, en California (EE UU). 

Boelter indicó al periódico británico que "si una agencia de inteligencia pidiera a WhatsApp que divulgue su historial de mensajes, puede efectivamente garantizar el acceso debido al cambio en las claves". 

Ese experto informó del hallazgo de ese problema a Facebook en abril de 2016 y la compañía le notificó que ya tenían constancia del tema. Este asunto, según The Guardian, cuestiona la privacidad de los mensajes que se envían mediante ese servicio de mensajería online, que se utiliza por todo el mundo.

Tomado de: 20minutos

lunes, 1 de agosto de 2016

Iniciativa global busca erradicar el ransomware

Cargando...
La Policía Nacional Holandesa, la Europol, Intel Security y Kaspersky Lab anuncian la iniciativa No More Ransom (Fotografía: Kaspersky).

La Policía Nacional Holandesa, la Europol, Intel Security y Kaspersky Lab han unido fuerzas para poner en marcha una iniciativa llamada No More Ransom, un paso adelante en la cooperación entre organismos policiales y el sector privado para luchar juntos contra el ransomware. No More de Ransom es un nuevo portal destinado a informar al público sobre los peligros del ransomware y ayudar a las víctimas a recuperar sus datos sin tener que pagar un rescate a los ciberdelincuentes.

El ransomware es un tipo de malware que bloquea el ordenador de la víctima y cifra sus datos, exigiendo el pago de un rescate con el fin de recuperar el control sobre el dispositivo o los archivos afectados. Se trata de una amenaza Top para los organismos policiales de la UE: casi dos tercios de los Estados miembros de la UE están llevando a cabo investigaciones sobre esta forma de ataque de malware. Mientras que los objetivos suelen ser los dispositivos de los usuarios, las empresas e incluso las instituciones gubernamentales pueden verse afectadas también. El número de víctimas está creciendo a un ritmo alarmante: según Kaspersky Lab, el número de usuarios atacados por criptoransomware aumentó en un 5,5%, pasando de 131.000 en 2014-2015 a 718.000 en 2015-2016.

NoMoreRansom.org

El objetivo del portal online www.nomoreransom.org es proporcionar recursos que ayuden a las víctimas del ransomware. Los usuarios pueden encontrar información sobre qué es el ransomware, cómo funciona y, lo más importante, la forma de protegerse. La concienciación es clave, ya que no existen herramientas de descifrado para todos los tipos de malware que existen en la actualidad. Si estás infectado, hay muchas posibilidades de que los datos se pierdan para siempre. Hacer un uso de Internet consciente y responsable y seguir una serie de sencillos consejos de ciberseguridad puede ayudar a evitar la infección.

El proyecto proporciona a los usuarios herramientas que pueden ayudar a recuperar sus datos una vez bloqueados por los cibercriminales. En su etapa inicial, el portal contiene cuatro herramientas de descifrado para diferentes tipos de malware, el último desarrollado en junio de 2016 para la variante Shade.

Shade es un troyano tipo ransomware que surgió a finales de 2014. El malware se propaga a través de sitios web maliciosos y archivos adjuntos de correo electrónico infectados. Tras entrar en el sistema del usuario, cifra los archivos almacenados en el equipo y crea un archivo .txt que contiene la nota de rescate y las instrucciones de los cibercriminales sobre qué hacer para acceder a los archivos personales del usuario de nuevo. Utiliza un fuerte algoritmo de cifrado para cada archivo cifrado, con dos claves 256-bit AES: uno se utiliza para cifrar el contenido del archivo, mientras que el otro se utiliza para cifrar el nombre del archivo.

Desde 2014, Kaspersky Lab e Intel Security impidieron más de 27.000 intentos de Shade de atacar a usuarios. La mayoría de las infecciones se produjeron en Rusia, Ucrania, Alemania, Austria y Kazajstán. Pero también se registró actividad en Francia, República Checa, Italia y los EE.UU.

Al trabajar en estrecha colaboración, el intercambio de información entre las diferentes partes, el servidor de comando y control de Shade utilizado por los delincuentes para almacenar las claves de descifrado fue capturado, y las claves compartidas con Kaspersky Lab e Intel Security. Eso ayudó a crear una herramienta especial que las víctimas pueden descargar desde el portal para recuperar sus datos sin tener que pagar a los criminales. La herramienta contiene más de 160.000 claves.

Cooperación privada – pública

El proyecto ha sido concebido como una iniciativa no comercial que une a instituciones públicas y privadas bajo el mismo paraguas. Debido a la naturaleza cambiante del ransomware, el portal está abierto a la cooperación de nuevos socios.

Según Wilbert Paulissen, director de la División Nacional de Investigación Criminal de la Policía Nacional de los Países Bajos: “La policía holandesa no puede luchar sola contra la ciberdelincuencia y el ransomware. Esta es una responsabilidad conjunta de la policía, el Departamento de Justicia, Europol, y las empresas TIC y requiere de un esfuerzo conjunto. Por eso, estamos muy satisfechos colaborando con Intel Security y Kaspersky Lab. Juntos vamos a hacer todo lo que esté a nuestro alcance para perseguir a los ciberdelincuentes y conseguir que los archivos regresen a sus legítimos propietarios”.

“El mayor problema del criptoransomware es que cuando los usuarios tienen datos valiosos bloqueados, enseguida pagan a los ciberdelincuentes para recuperarlo. Esto impulsa una economía sumergida y provoca un aumento en el número de ataques. Sólo podemos cambiar la situación si coordinamos nuestros esfuerzos para luchar contra el ransomware. La aparición de herramientas de descifrado es sólo el primer paso. Esperamos que este proyecto crezca, y pronto haya muchas más empresas y organismos policiales de otros países y regiones”, dice Jornt van der Wiel, analista de seguridad del GREAT de Kaspersky Lab.

“Esta iniciativa demuestra el valor de la cooperación público-privada en la adopción de medidas serias en la lucha contra la ciberdelincuencia” dice Raj Samani, director de tecnología de Intel Security EMEA. “Esta colaboración va más allá de intercambio de inteligencia y la educación del consumidor para ayudar realmente a reparar el daño causado a las víctimas. Al restaurar el acceso a sus sistemas, que brindan a usuarios mostrándoles que puedan tomar medidas y evitar recompensar a los criminales con el pago de un rescate”.

Por último, Wil van Gemert, director adjunto de Operaciones de Europol destaca: “Desde hace unos años, el ransomware se ha convertido en una preocupación en la UE. Es un problema que afecta a ciudadanos y empresas por igual, ordenadores y dispositivos móviles, con cibercriminales desarrollando técnicas sofisticadas para causar el mayor impacto en los datos de la víctima. Iniciativas como el proyecto Mo More Ransom demuestra que la vinculación de la experiencia y la unión de fuerzas es el camino a seguir para la lucha exitosa contra el ciberdelito”.

Informar siempre

Informar a la policía del ransomware es muy importante para ayudar a que las autoridades tengan una visión de conjunto más clara y con ello una mayor capacidad para mitigar la amenaza. La página web No More Ransom ofrece a las víctimas la posibilidad de reportar un crimen, que conecta directamente con el resumen de mecanismos nacionales de informes de Europol.

“Si te has convertido en una víctima del ransomware, no pagues el rescate. Al hacer el pago apoyas los negocios de los cibercriminales. Además, no hay garantía de que el pago de la multa devuelva el acceso a los datos cifrados”, concluye señalando Kaspersky.

Tomado de: Diario TI

Crece el chantaje digital, una nueva forma de extorsión en las redes sociales

Cargando...
Redes Sociales. Imagen tomada de: El Tiempo.com

En 2015 se cometieron más de 60.000 hechos delictivos, entre fraudes informáticos, estafas, amenazas y coacciones, según datos del Ministerio del Interior.

Los ciberdelincuentes han ido ampliando las tácticas para obtener información de los usuarios a partir de lo publicado en redes sociales, por eso la compañía de seguridad Vector ITC Group ha hecho una serie de recomendaciones para protegerse de las ciberamenazas y contar con mejores contraseñas de acceso a los servicios online.

En la actualidad, el usuario tiene que gestionar muchas contraseñas, como el pin de las tarjetas de crédito y débito, las contraseñas de correo, redes sociales, Spotify, Dropbox, Skype o Amazon, entre otros. A la hora de establecer estas claves hay que seguir unas normas básicas para evitar que la información personal y privada se vea expuesta.

Así, las contraseñas deben contar con una longitud mínima de 8 caracteres, usar números, caracteres no alfanuméricos, habilitar un segundo factor de autenticación (por ejemplo, un aviso al móvil con una segunda clave) y cambiar la contraseña cada 3 ó 6 meses.

El verano es un período especialmente propenso a la actuación de los hackers. Actualmente, la actividad más desarrollada es el chantaje digital, una nueva forma de extorsión en redes sociales como Facebook y LinkedIn, coordinadas en su mayoría por mafias de Nigeria o Senegal.

Para defenderse de las ciberamenazas cabe tomar precauciones, como procurar no conectarse a redes WiFi gratuitas que se ofrecen en muchos lugares públicos. En el caso de conectarse, se recomienda no proporcionar datos personales ni tampoco realizar compras ni otro tipo de operaciones bajo esas redes, ya que no son del todo seguras y puede ser un caldo de cultivo para las amenazas.

Además, es recomendable no tener encendido en el dispositivo móvil las aplicaciones de Bluetooth o GPS si no se están utilizando, ya que pueden ser una vía de entrada para los cibercriminales. También se deben bloquear los dispositivos con una contraseña o login para más seguridad.

No aceptar ninguna solicitud de amistad en redes sociales de desconocidos, procurar que el nombre de usuario no sea el real, sino un nickname y publicar en redes la mínima información posible sobre las vacaciones son otras medidas que ayudan a estar mejor protegidos.

Tomado de: Silicon