Publicado el

Boletín de agosto 2022

Un mes más, volvemos con un nuevo boletín en el que hablaremos del ransomware y sus consecuencias.

Los ciberataques de ransomware superan el 1.2 millones de amenazas al mes. Según un informe publicado por Barracuda Networks, empresa líder de ciberseguridad a nivel global, entre agosto de 2021 y julio de 2022, los ataques de ransomware han crecido hasta los 1.2 millones mensuales. Este estudio también señala que este tipo de ataques han ido enfocados a los siguientes sectores: educación (15%), municipios (12%), salud (12%), infraestructuras críticas (8%) y empresas de finanzas (6%). Asimismo, los objetivos más afectados fueron los proveedores de servicios, seguidos de un aumento en empresas de automoción, hostelería, medios de comunicación y comercios minoristas.

A título informativo, un ataque de ransomware es un tipo de software malicioso (malware) que cifra los archivos y/o sistemas informáticos para luego pedir el pago de un rescate a cambio de devolver el acceso. Impide a las víctimas acceder a los archivos y/o utilizar sistemas completos.

En cuanto a la forma en la que los ciberdelincuentes infectan los dispositivos mediante ransomware, destacamos:

      • Kits de exploits. Programas o secuencias de código diseñadas para aprovechar vulnerabilidades presentes en las aplicaciones, redes o dispositivos. De ahí la importancia de mantener actualizados sistemas y aplicaciones.
      • Phishing. Ataque realizado mediante comunicaciones electrónicas (correo electrónico y llamadas telefónicas preferentemente), y que suplanta la identidad de organizaciones o contactos de confianza para robar datos personales o confidenciales. Por ejemplo, haciéndose pasar por tu entidad bancaria solicitándote datos.
      • Malverstising. Introducción de anuncios maliciosos en redes de publicidad en línea. Estos anuncios aparecen en sitios web populares y de confianza, y o redirigen a las víctimas a sitios maliciosos o instalan malware directamente en los ordenadores.
      • Descargas drive-by. Los ciberdelincuentes preparan un sitio web con malware para que cuando la víctima lo visite, se descargue de forma secreta y automática el malware en el dispositivo. Importancia de no mantener navegadores y aplicaciones obsoletas.

Algunos ejemplos que evidencian la necesidad de protegerse frente al ransomware son:

      • El ciberataque sufrido por los Ayuntamientos de Navarra. 137 ayuntamientos y 35 entidades locales estuvieron alrededor de tres semanas sin correo, sede electrónica ni página web. Este ataque de tipo ransomware fue lanzado desde un servidor en Lituania. Los ciberdelincuentes solicitaban un rescate en criptomonedas.

Finalmente, vamos a facilitar algunos CONSEJOS útiles para protegernos frente al ransomware. En este sentido, lo mejor es:

      • Contar con un buen antivirus y otras herramientas de seguridad.
      • Mantener actualizados sistemas, aplicaciones y dispositivos para evitar vulnerabilidades que se conviertan en puerta de entrada de estos ataques.
      • Adquirir conocimientos en materia de Ciberseguridad con el objetivo de identificar y prevenir posibles ataques.
      • No utilizar memorias USB desconocidas, ya que estas han podido ser infectadas y dejadas en lugares públicos esperando a que alguien las use.
      • Utilizar VPN en redes WIFI públicas, ya que estas redes suelen ser utilizadas por los cibercriminales para acometer este tipo de delitos. Son redes más expuestas.
      • No descargar archivos de fuentes desconocidas. Antes de realizar cualquier descarga mirar si la página utiliza el protocolo “https” en la barra de direcciones.
      • Realizar copias de seguridad de todos los archivos para garantizar que la pérdida de información sea mínima, y volver lo antes posible al estado anterior al ataque.
Publicado el

Apple soluciona dos vulnerabilidades zero-day críticas (CVE-2022-32893 y CVE-2022-32894)

Introducción

Apple ha lanzado actualizaciones para los sistemas operativos iOS, iPadOS, y macOS que solucionan varias vulnerabilidades, entre ellas dos zero-day críticas. [1]

 

Análisis

Las vulnerabilidades parcheadas más importantes son las siguientes, las cuales están clasificadas como críticas:

CVE-2022-32894: Un problema de ejecución fuera de límites en el Kernel del sistema operativo que podría ser abusado por una aplicación maliciosa para ejecutar código arbitrario con los privilegios más altos.
Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.
Se ha solucionado el problema de escritura fuera de los límites con una mejora de la comprobación de los límites.

CVE-2022-32893: Un problema de escritura fuera de límites en WebKit que podía conducir a la ejecución de código arbitrario al procesar un contenido web especialmente diseñado.
Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.

 

Recomendaciones

Ambas vulnerabilidades han sido corregidas en iOS 15.6.1, iPadOS 15.6.1 y macOS Monterey 12.5.1, por lo que se recomienda actualizar los dispositivos a estas versiones. [2] [3]

Las actualizaciones de iOS y iPadOS están disponibles para el iPhone 6s y posteriores, el iPad Pro (todos los modelos), el iPad Air 2 y posteriores, el iPad de quinta generación y posteriores, el iPad mini 4 y posteriores, y el iPod touch (séptima generación).

 

Referencias

[1] https://thehackernews.com/2022/08/apple-releases-security-updates-to.html

[2] https://support.apple.com/en-us/HT213412

[3] https://support.apple.com/en-us/HT213413

Publicado el

Sitio Web simula ser Have I Been Pwned para robar credenciales de acceso

Introducción

Have I Been Pwned es un servicio al que recurren quienes desean verificar si la contraseña que utilizan o su dirección de correo fue expuesta como consecuencia de un incidente de seguridad que sufrió algún servicio online en el que han creado una cuenta. También ofrece una amplia base de datos que recopila direcciones de correo, contraseñas y números de teléfono de más de 600 sitios web que han sido afectados por una brecha y más de 11.000 millones de cuentas expuestas. [1]

Análisis

Se ha detectado que los ciberdelincuentes han diseñado un sitio falso que simula ser el sitio oficial de Have I Been Pwned. Este sitio no solo presenta un diseño similar al oficial, sino que la URL es bastante similar, lo que puede llevar a más de uno a pensar que se trata del sitio legítimo. El objetivo principal es adquirir direcciones de correo y contraseñas de usuarios.

A continuación se muestran las diferencias entre los dos sitios:

      • En primer lugar, el sitio web original se presenta con la siguiente dirección web: https://haveibeenpwned.com/
      • Por otro lado, el sitio web falso presenta una dirección web muy similar: http://haveibeenpwned[.]online/

Ambos sitios presentan un diseño idéntico, la única diferencia se aprecia en que el dominio original usa .com y en el falso se usa .online.

Asimismo, mientras que en el sitio web original solo se requiere ingresar la dirección de correo o número de teléfono para verificar si los datos han sido expuestos a una filtración, en el sitio web falso se solicita ingresar primero la dirección de correo e inmediatamente se suma el campo para agregar la contraseña. 

Por último, para no generar sospecha en las víctimas, cuando se ingresan los datos en el sitio web falso, este redirecciona al sitio web legitimo indicando que las credenciales ingresadas no se registraron en ninguna brecha. [2]

Referencias

[1] blog.elhacker.net/2022/07/falso-sitio-de-have-i-been-pwned-para-robar-credenciales-usuarios-incautos.html

[2] welivesecurity.com/la-es/2022/07/28/falso-sitio-have-i-been-pwned-roba-contrasenas

Publicado el

Boletín de julio 2022

Como cada mes, volvemos con un nuevo boletín en el que hablaremos de las principales tendencias a nivel mundial, y de los pasos a seguir para mejorar la seguridad del comercio electrónico.

El editor de la inteligencia de amenazas de ransomware, SonicWall, ha presentado la actualización semestral de julio del «Informe de Ciberamanezas 2022”. Dicho Informe revela un aumento del 11% en el malware global, un aumento del 77% en el malware de IoT, un aumento del 132% en las amenazas cifradas, y un cambio geográfico en el volumen del ransomware por la lucha geopolítica. España ocupa el puesto número 12 a nivel mundial en número de ataques ransomware (30.124.304).

Por su parte, el proveedor de soluciones de ciberseguridad Check Point ha concluido de su investigación que una de cada 40 organizaciones ha sido víctima de ransomware en lo que va de 2022 (un 59% más respecto al año anterior). El ransomware es el principal método empleado por los ciberdelincuentes para engañar a sus víctimas. Minoristas y distribuidores son los más afectados, con un 128% y un 143% respectivamente, respecto al mismo período del año anterior.

Asimismo, el conflicto ruso-ucraniano desencadena una ola de ciberataques a escala mundial. S21sec, proveedor de ciberseguridad en Europa, en su informe semestral «Threat Landscape Report«, ha detectado más de 11.925 vulnerabilidades en los primeros 6 meses del año. Según el informe, gran parte de los ciberataques han tenido como vector inicial de entrada la explotación de alguna infraestructura de destino de las organizaciones afectadas. Se han registrado casi 7.000 vulnerabilidades de criticidad alta o grave, como la CVE 2022-30190, conocida como Follina. Esta vulnerabilidad permite la explotación de la herramienta de diagnóstico de Microsoft para ejecutar código arbitrario. 

En cuanto a España, lidera el podio mundial de las ciberamenazas de robo de información. El principal sistema de ataque detectado es mediante software de robo de información (spyware), pero también, mediante puertas traseras (backdoors). Los troyanos bancarios y el phishing se han perfeccionado y aumentado su amenaza. Uno de los datos que llama la atención es que el 22,2% de las empresas han sido atacadas mediante vulnerabilidades encontradas en la Office de Microsoft. El phishing sigue siendo uno de los principales vectores de ataque.

Durante el mes de julio destacamos:

      • Los riesgos asociados al uso de la famosa plataforma de Onlyfans. Los ciberdelincuentes están utilizando esta plataforma para facilitar enlaces falsos que descargan o inhabilitan todo sistema informático. Pero no sólo eso, sino que a través de dichos enlaces, redirigen a páginas web falsas que simulan el inicio de sesión para robar contraseñas y datos de cuenta. Asimismo, se están produciendo suplantaciones de identidad del personal de Onlyfans con el objetivo de solicitar datos personales o bancarios como medio para cumplimentar la suscripción. Esto último suele hacerse a través de correos maliciosos y, en menor medida, mediante llamadas (vishing).

Finalmente, vamos a facilitar algunos CONSEJOS para mejorar la seguridad en el comercio electrónico. En este sentido, lo mejor es:

      • Elegir una plataforma de eCommerce segura. Hay un montón de plataformas de comercio electrónico seguras, pero lo mejor es optar por aquéllas que tienen buena reputación como Magento o PrestaShop. El mantenimiento y la actualización de la tienda virtual también son acciones vitales.
      • Implementar certificados SSL. Hablamos del certificado que permite navegar con el protocolo https://. Estos certificados permiten cifrar todos los datos (nombre, contraseñas, números de tarjeta…) que se transmiten a través de Internet.
      • Cumplir con la norma PCI.  Es un Estándar de Seguridad de Datos que establece un conjunto de regulaciones para las organizaciones que procesan, almacenan o transmiten datos de los titulares de tarjetas. Todas las tiendas online deben cumplir con esta normativa.
      • No almacenar datos sensibles. No es necesario almacenar números de tarjetas de crédito, fecha de expiración o el código CVV. Solo es necesario guardar datos necesarios para las devoluciones o reembolsos. Almacenar datos de tarjetas de crédito o débito está prohibido por la norma PCI.
      • Instalar sistemas de alerta en el sistema. Su objetivo es notificar al responsable eventos que van a ocurrir en el sistema a partir del problema detectado. Se recomienda usar un sistema de verificación de direcciones (AVS) para comprobar que la dirección de facturación del cliente coincide con la dirección archivada por le banco.
      • Realizar copias de seguridad. Necesidad de realizar copias de seguridad periódicas mediante plug-ins o programas específicos de backups para no perder la información contenida en la web y otros sistemas.