lunes, 6 de noviembre de 2017

Cómo evitar la vulnerabilidad del WiFi que amenaza a 4 de cada 10 Android

Cargando...
WIFI
Hace tan solo unos días salieron a la luz una serie de vulnerabilidades en la seguridad de las redes WiFi conocidas como KRACK, siglas en inglés de reinstalación de clave. El protocolo de seguridad WPA2, utilizado para proteger la gran mayoría de conexiones inalámbricas, había sido 'hackeado', comprometiendo la seguridad del tráfico de red WiFi y exponiendo la información personal de millones de usuarios. 

La debilidad, identificada por el investigador Mathy Vanhoef, podría afectar al 41% de los dispositivos que funcionan con un sistema operativo Android, como apuntan desde McAfee, en un comunicado. 

Con la irrupción de estas nuevas amenazas, los ciberdelincuentes podrían aprovechar las vulnerabilidades en la seguridad de las redes inalámbricas para interceptar credenciales de acceso, datos sobre tarjetas de crédito, correos electrónicos o información personal. 

Además, y como explican desde la compañía de seguridad, también podrían inyectar ransomware ('malware' que cifra los equipos pide un rescate) u otro contenido malicioso en un sitio web, lo que significa que incluso un sitio web confiable podría estar ofreciendo un enlace o anuncio que realmente conduce a un programa u otro contenido malicioso. 

Cómo protegerse 

En un mundo cada vez más conectado, los usuarios necesitan sentirse protegidos. No en vano, una vez que un cibercriminal tiene acceso a una red inalámbrica, las posibilidades de 'hackeo' son prácticamente infinitas. Pero, ¿cómo pueden los usuarios protegerse de estos ataques y conectarse a la red de forma segura? 

Desde McAfee aconsejan a los usuarios mantener oculta su dirección IP mientras se conectan a redes WiFi públicas o abiertas, dado que esto permitirá que tanto su ubicación como su información (datos bancarios, contraseñas, credenciales, etc.) permanezcan seguras. 

La compañía también subraya la importancia de actualizar los dispositivos. Los usuarios deben asegurarse de instalar actualizaciones de seguridad en sus dispositivos. De esta forma, pueden evitar, en la medida de lo posible, cualquier vulnerabilidad en los sistemas. 

Actualizar el 'firmware' del router. El router es el elemento más importante para proteger la red inalámbrica. No obstante, esta actualización depende, en gran medida, de la rapidez con que los fabricantes de dispositivos y los desarrolladores de 'software' generen un parche. Por tanto, desde McAfee hacen hincapié en que es recomendable consultar el sitio web del fabricante del dispositivo correspondiente para conocer los detalles y el estado del parche para protegerse de KRACK. 

También conviene utilizar redes VPN. Si el usuario necesita conectarse a una red pública, puede usar una red privada virtual (VPN). Una VPN mantendrá la información privada y se asegurará de que los datos vayan directamente desde el dispositivo hasta donde éste se conecte. 

Resulta imprescindible instalar seguridad en los dispositivos. Disponer de una solución de seguridad completa puede ayudar a mantener los dispositivos alejados de virus y otros 'malware' no deseados.

Por último, los usuarios no deben olvidarse de proteger su hogar conectado. Por ejemplo, con una solución como McAfee Secure Home Platform protege todos los dispositivos conectados a Internet en la red doméstica, incluidos los dispositivos IoT (Internet de las Cosas), de una amplia variedad de amenazas emergentes como virus, 'malware' y 'phishing'. 

La aparición de esta nueva vulnerabilidad en las redes WiFi que usan la encriptación de seguridad WPA2 refuerza la idea de que los ciberdelincuentes son cada vez más creativos y utilizan métodos de ataque más sofisticados para tratar de vulnerar los sistemas. Por ello, y como apuntan desde la compañía, los usuarios deben estar preparados para contrarrestar estas amenazas y garantizar la seguridad de todos sus dispositivos.

Tomado de: 20minutos

Un nuevo ataque en Android combina phishing, malware y robo de datos

Cargando...
Ciberdelincuentes. Imagen tomada de: Diario TI.

Es la última evolución del malware Marcher. Casi 20.000 personas a han sido víctimas de la campaña, entregando sus datos bancarios e información personal a los piratas informáticos.

Los atacantes combinan la suplantación de credenciales, el robo de datos de tarjetas de crédito y el malware en una sola campaña que apunta a la obtención de información bancaria.

La campaña utiliza el phishing con la distribución del troyano Marcher Android, un malware bancario que se ha mantenido activo al menos desde finales de 2013, y que ha utilizado como señuelos una actualización falsa de software, una actualización de seguridad falsa y un popular juego móvil.

Marcher se originó originalmente en foros clandestinos rusos, pero desde entonces se ha convertido en una amenaza global, con troyanos dirigidos a bancos de todo el mundo.

La última campaña de Marcher ha estado en curso desde enero y utiliza el esquema de varios pasos para dirigirse a los clientes de los bancos austriacos.

Los ataques comienzan con correos electrónicos de phishing que contienen un enlace abreviado de bit.ly que es una versión falsa de la página de inicio de sesión de Bank Austria, que ha sido registrada en varios dominios diferentes que contienen ‘bankaustria’ en el asunto para engañar al usuario haciéndole creer que está visitando el sitio oficial.

A aquellos que visitan la página falsa de Bank Austria se les pide la información de sus clientes, dirección de correo electrónico y número de teléfono. Estos detalles proporcionan a los atacantes todo lo que necesitan para pasar a utilizar la ingeniería social para llevar a cabo la siguiente etapa de la campaña.

A continuación se solicita que el usuario se instale la “Aplicación de Seguridad Bank Austria” (falsa) en su smartphone y posteriormente se le redirige a una URL acortada y con la afirmación de que seguir el enlace permitirá instalar la aplicación. Los usuarios que hacen clic reciben instrucciones adicionales sobre cómo descargar la aplicación, que exige modificar la configuración de seguridad para permitir la descarga de aplicaciones de fuentes desconocidas, una parte del ecosistema Android que los atacantes explotan regularmente para instalar malware (en este caso permite la instalación de Marcher).

De acuerdo con los investigadores de seguridad que han descubierto la nueva campaña, casi 20.000 personas han sido ya víctimas, entregando potencialmente sus datos bancarios e información personal a los piratas informáticos.

Tomado de: Silicon.es

Así funcionan los nuevos 'malwares' capaces de extraer dinero en efectivo de los cajeros

Cargando...
Virus para cajeros automáticos. Imagen tomada de: www.minutouno.com.

La compañía de ciberseguridad Kaspersky Lab ha detectado un malware especializado en la infección de los PC que se utilizan para el funcionamiento de los cajeros automáticos (ATM). Este virus se encontraba a la venta en el mercado de la 'darkweb' AlphaBay, junto con un completo tutorial con instrucciones para hacerlo funcionar. 

A través de un comunicado, la firma rusa ha alertado de que los cajeros automáticos siguen siendo "muy lucrativos" para los cibercriminales, ya que la infección de estos dispositivos con malware facilita la manipulación del efectivo desde el interior. 

Aunque estas herramientas maliciosas llevan tiempo en circulación, Kaspersky Lab ha afirmado que los creadores están invirtiendo "cantidad de recursos" en hacer que este malware pueda estar al alcance de otros criminales menos familiarizados con la informática. 

Así, la empresa de ciberseguridad detectó a comienzos del presente año, a través de uno de sus socios, un malware hasta ese momento desconocido y que presumiblemente se había elaborado con la intención de infectar los PC que se utilizan para que los cajeros puedan realizar su función. 

Los analistas de la firma rusa encontraron en AlphaBay, un lugar muy popular de la 'darkweb', un anuncio que describía un tipo de malware para ATMs y que coincidía con el elemento buscado. Este anuncio revelaba que este virus pertenecía a un 'kit' de malware comercial creado para hacerse con el dinero almacenado en los cajeros.

Un mensaje público del vendedor contenía no solo la descripción del malware y las instrucciones de cómo conseguirlo, "sino que también ofrecía toda una guía detallada de cómo debía utilizarse el 'kit' para realizar ataques, con instrucciones y hasta tutoriales en vídeo". 

Un malware formado por varias 'piezas' 

Según los resultados de la investigación, se vio que el conjunto del malware estaba formado por el software Cutlet Maker, que sirve como modulo principal responsable de la comunicación con el dispensador de efectivo; el programa c0decalc, diseñado para generar contraseñas y hacer que funcione Cutlet Maker, así como protegerla frente a un uso no autorizado; y la aplicación Stimulator, que permite ahorrar tiempo a los criminales gracias a la identificación de la situación de los cofres o contenedores de efectivo, así como la identificación de aquellos con mayor cantidad de dinero. 

Para empezar a robar, los criminales necesitan tener acceso directo al interior de los cajeros y así poder conectar un dispositivo USB con el software. Como primer paso, los criminales instalan Cutlet Maker. Como existe una contraseña protegida, utilizan el programa cOdecalc, instalado en otro dispositivo. 

Esta clave es una especie de protección de derechos de autor, instalada por los autores de Cutlet Maker para prevenir que otros criminales lo utilicen gratuitamente. Después de que el código se genere, los criminales lo introducen en el interfaz de Cutlet Maker e inician la extracción de fondos. 

Cutlet Maker está en el mercado desde el pasado 27 de marzo, aunque según Kaspersky Lab, los analistas ya habían empezado a seguirlo en junio de 2016, cuando fue identificado en un servicio público multiescáner de Ucrania, pero posteriormente llegaron nuevos casos desde otros países. 

Se desconoce si el malware había sido utilizado previamente, pero las instrucciones que se incluían en el 'kit' contenían vídeos que fueron presentados por sus autores como pruebas reales de su eficiencia. Tampoco se sabe quién se encuentra detrás de este malware, pero el idioma, la gramática y los errores de estilo en los textos del 'kit' apuntan a que sus potenciales vendedores son personas cuyo idioma nativo no es el inglés. 

El analista de seguridad de Kaspersky Lab, Konstantin Zykov, ha explicado que Cutlet Maker no requiere que el criminal tenga un conocimiento técnico informático avanzado ni profesional, lo que permite que el hackeo de un ATM "pase de ser una operación ofensiva sofisticada a otro modo ilegal más de robar dinero, y al alcance de prácticamente todo el mundo que tenga unos pocos miles de dólares para comprar el malware". 

En ese sentido, Zykov ha añadido que se trata de "una amenaza potencialmente muy peligrosa para las entidades financieras", ya que mientras opera, este programa no halla ningún elemento de seguridad que lo impida. 

Para proteger los cajeros automáticos, los especialistas de Kaspersky Lab han recomendado a los equipos de seguridad de las organizaciones que implementen por defecto una política "muy estricta" de denegación, permitan mecanismos de control que restrinjan la conexión al ATM de cualquier dispositivo no autorizado y utilicen una solución específica de seguridad.

Tomado de: 20minutos.es

lunes, 15 de mayo de 2017

Ciberataque global: una simple explicación de qué ocurre


Los expertos de seguridad lo están llamando el mayor ciberataque que el mundo ha visto.
Esto es lo que tienes que saber sobre el WannaCry.
Qué hace el ataque
Hackers extendieron un virus ransomware, llamado WannaCry, que bloquea todos los archivos de una computadora infectada y le exige al administrador un pago de 300 dólares para recuperarlos. Por eso que se llama ransomware.
¿Cómo ocurrió?
WannaCry se aprovecha de una vulnerabilidad en Microsoft Windows.
Las herramientas de software para crear el ataque se dieron a conocer en abril, cuando se filtraron herramientas de espionaje de la Agencia Nacional de Seguridad (NSA) de Estados Unidos. Fueron hechas públicas por un grupo de hackers llamado Shadow Brokers.
Microsoft lanzó un parche de seguridad en marzo. Sin embargo, muchas empresas no actualizan automáticamente sus sistemas. Esto ha sido un problema persistente de seguridad durante años. Finalmente, el virus se encontró con las víctimas.
Los consumidores también están en riesgo. Microsoft requiere que los clientes de Windows 10 actualicen automáticamente sus computadoras, pero algunas personas con ordenadores antiguos tienen las actualizaciones automáticas deshabilitadas.
¿Qué tan extenso es el daño?
El ataque ha afectado a 200.000 computadoras en  150 países, de acuerdo con Europol, la agencia policial europea. FedEx, Nissan, y el Servicio Nacional de Salud de Gran Bretaña estaban entre las víctimas.
En Gran Bretaña, los hospitales quedaron paralizados por el ataque cibernético, que obligó a cancelar operaciones y desviar ambulancias.
Otros afectados fueron Deutsche Bahn, el Banco Central de Rusia, Ferrocarriles de Rusia, el Ministerio del Interior de Rusia, Megafon y Telefónica.
¿Quién es vulnerable?
Cualquier persona que no haya actualizado su PC con Windows recientemente.
Microsoft dijo que había tomado el "muy inusual paso" de liberar un parche para los equipos con sistemas operativos más antiguos como Windows XP, Windows 8 y Windows Server 2003. Incluso los usuarios con equipos más antiguos deben actualizarlos.
Las computadoras Mac de Apple no fueron blanco de este ataque. Generalmente los ataques se dirigen a Windows porque hay mucho más equipos que con este sistema operativo en todo el mundo.
¿Cómo evitar ser atacado?
De acuerdo con la compañía de seguridad Bitdefender, sigue estos cinco pasos:
1. Desactiva el protocolo SMB (Server Message Block)
2. Instala el parche de Microsoft.
3. Haz copias de seguridad de datos en un disco duro.
4. Instala todas las actualizaciones de Windows.

5. Utiliza un software de seguridad de confianza para evitar ataques en el futuro.
¿Quién está detrás del ataque?
Los piratas informáticos permanecen en el anonimato por ahora, pero parece que son aficionados. Un analista de 22 años en Gran Bretaña, que responde al nombre de MalwareTech, encontró la forma de detener el ataque.
MalwareTech halló un dominio no registrado en el ransomware y lo compró por 10,69 dólares. Luego, dirigieron el sitio a un sumidero, un servidor que compila y analiza el tráfico de malware. La facilidad de detener el ataque sugiere que los hackers no eran profesionales.
Los expertos dijeron que parecía que el virus había ocasionado poco más de 32.000 dólares en daños, aunque se esperaba que ese número ascendiera cuando la gente volviera a su oficina el lunes.
¿Qué sigue?
Computadoras y redes que no habían actualizado sus sistemas recientemente todavía están en riesgo debido a que el ransomware está al acecho. Y WannaCry amenaza con crear aún más estragos el lunes, cuando la gente vuelve al trabajo.
Los hackers han lanzado nuevas versiones del virus que las organizaciones de seguridad cibernética están tratando activamente de contrarrestar y eliminar.
"Tendremos una herramienta desencriptadora eventualmente, pero por el momento, sigue siendo una amenaza viva y seguimos en modo de recuperación de desastre", dijo este domingo Rob Wainwright, director de la agencia europea Europol, en entrevista con Becky Anderson de CNN.
Tomado de: CNN en español

domingo, 14 de mayo de 2017

Centenar de países afectados por ransomware habilitado por la NSA

Cargando..
WannaCry. Imagen tomada de: Diario TI

El ransomware WannaCrypt, también conocido como WannaCry (Quieres llorar) es instalado en computadoras vulnerables, operadas con Windows, mediante un gusano que se propaga por las redes explotando una vulnerabilidad en el servicio de intercambio de archivos SMB de Microsoft. Concretamente, aprovecha un error de código, o “bug”, parcheado por Microsoft en marzo pasado mediante la actualización MS 17-010. Inicialmente, el bug fue detectado y utilizado por la agencia de seguridad nacional estadounidense, NSA, con el fin de hacerse del control de las computadoras de quienes investigaba. Esta herramienta, que al interior de la NSA era conocida como EthernalBlue, fue sustraída a la agencia y filtrada a Internet en abril junto a otras herramientas de intrusión y espionaje informático, que de esa forma quedaron a disposición de cualquier interesado.

Mediante WannaCrypt, está vulnerabilidad fue colgada a una herramienta de ransomwave que al ser descargada en una computadora, cifra el mayor número de archivos posible. Luego presenta una notificación al usuario, exigiendo el pago de un rescate de USD 300 en Bitcoin para recuperar los archivos. WannaCrypt también instala DoublePulsar, puerta trasera que permite asumir el control de la computadora vía Internet. DoublePulsar es otra herramienta de la NSA filtrada junto a EthernalBlue.

WannaCrypt es controlado mediante la red Tor, conectándose a servicios ocultos desde los que recibe instrucciones de sus creadores.

“Héroe accidental”frenó la propagación

El código del malware incluye un “kill switch” que fue descubierto por un joven británico de 22 años de edad, quien desde el suroeste de Inglaterra trabaja para la empresa estadounidense Kryptos Logic. El joven, quien opera con el seudónimo MalwareTech, comentó a la publicación The Guardian que el malware incluía un “kill switch” diseñado por los creadores de WannaCry para desactivar el malware en caso de así decidirlo. El malware se conectaba a un dominio del hombre ininteligible y estaba diseñado para desactivarse en caso de establecer una conexión exitosa con dominio. MalwareTech registró el dominio por 10 dólares, y al activarlo en DNS constató como este recibía miles de conexiones por segundo. La intención del joven al registrar el dominio no era frenar la propagación de WannaCrypt, sino entender la forma en que el malware se estaba propagando. “Mi intención sólo fue monitorizar la propagación y ver si eventualmente sería posible hacer algo al respecto. Sin embargo, frenamos la propagación simplemente registrando el dominio”.

MalwareTech advierte que su iniciativa sólo frena temporalmente al malware. “Esto no termina aquí. Los atacantes entenderán como frenamos la propagación, cambiarán el código y lo intentarán nuevamente”. Luego, sugirió actualizar el sistema operativo mediante Windows Update y reiniciar el sistema.

Microsoft ofrece protección

Microsoft, por su parte, escribe en su blog TechNet que las computadoras que tengan activada la actualización automática de Windows, en Windows Update, ya están protegidas mediante el parche MS17-010 mencionado anteriormente. Los usuarios que tengan configurado Windows Update con actualización manual deberán instalar la actualización lo antes posible.

La empresa sugiere a los usuarios ser cuidadosos al abrir documentos recibidos de fuentes desconocidas o no confiables. Para el caso de los usuarios de Office 365, la empresa dice estar monitoreando y actualizando continuamente la plataforma con el fin de proteger contra amenazas como WannaCrypt.

Tomado de: Diario TI