Autor: admin

Como novedad os traemos nuevos detalles sobre los cambios de contenido en los boletines del CSIRT-CV. A partir de ahora, los boletines no contendrán noticias de carácter técnico, sino que estarán enfocados a la ciudadanía y el público en general. Asimismo, incluirán consejos en materia de privacidad y uso seguro de Internet y las nuevas tecnologías. Su periodicidad será mensual.

Por otro lado, si eres un profesional del mundo TIC, o un amante de la ciberseguridad, puedes suscribirte también a nuestro boletín de alertas, donde encontrarás noticias de carácter más técnico sobre vulnerabilidades y amenazas relevantes, así como consejos o recomendaciones en la gestión de incidentes, uso de software, etc.

Para dar comienzo a esta nueva etapa, vamos a poner el foco en el mundo de las estafas. Tal y como alerta la Policía Nacional, se está viendo un repunte en las estafas en la modalidad de “smishing” y “vishing”. Ahora bien, ¿qué entendemos por una u otra modalidad? Pues el vishing es el fraude que se produce a través de una llamada telefónica cuyo objetivo es conseguir tus datos personales o bancarios, mientras que el smishing es aquella estafa que pretende conseguir tus datos a través de WhatsApp, SMS o cualquier otra plataforma de mensajería móvil.

Asimismo, no debemos olvidarnos de los conocidos ataques de phishing: millones de correos que se envían indiscriminadamente esperando que “alguien pique”. En la actualidad, las estafas a través de correo electrónico están creciendo entre los inversores de Bitcoin. El creciente interés de los usuarios por el universo de las criptomonedas y el desconocimiento acerca de sus riesgos, está permitiendo a los cibercriminales redirigir a los usuarios a falsas plataformas de inversión con el objetivo de que se abran cuentas y realicen movimientos especulativos de alto riesgo.

Volviendo al tema vishing, se está alertando de una estafa telefónica en la que los criminales se hacen pasar por técnicos de Microsoft para acceder a archivos. La llamada comienza con un interlocutor hablando en inglés que te dice estar llamando de Microsoft Corporation, y que te pregunta si hablas español para pasarte con otro operador. Este técnico te pide que abras tu ordenador e instales un programa que, en realidad, es malicioso, y que le permite controlar tu ordenador remotamente.

Por su parte, en relación al smishing, se está alertando de una estafa que afecta a los clientes del Banco Santander. En esta estafa te envían un SMS simulando ser el mismo remitente que el de la entidad bancaria, y en el que te muestran los últimos dígitos de tu tarjeta para que des fiabilidad al mensaje. Tras esto, aseguran no reconocer el acceso y solicitan que pinches en un link e introduzcas tus datos.

Ahora bien, estos no son casos aislados, sino que también se han detectado mensajes fraudulentos suplantando la identidad del Servicio Público de Empleo Estatal (SEPE). De acuerdo con el SEPE, se trata de un fenómeno phishing que puede llegar a los usuarios a través de correo electrónico, WhatsApp y SMS. La estafa consiste en indicarte un pago que se ha realizado tras una actualización fallida de tus datos bancarios, por lo que se te solicita que actualices tus datos en un enlace.

Como podemos observar, los ciberdelincuentes han evolucionado mejorando su modus operandi hacia tácticas de difusión cada vez más selectivas. Otros ejemplos de ello son:

• • • Las estafas a través de Apps para compartir coche. En este caso, el conductor “estafador” persuade a la víctima para continuar la conversación fuera de la aplicación móvil, normalmente a través de WhatsApp. El conductor alega ahorro en el pago de tasas o mal funcionamiento de la aplicación. A través de WhatsApp el conductor le comparte un enlace que le lleva a una página maliciosa para que reserve y hacerse con sus datos.

• • • Las estafas bancarias a través de la técnica SIM swapping. Esta es una técnica en la que los estafadores se dirigen a las compañías de telefonía móvil suplantando la identidad del usuario legítimo de la tarjeta SIM, y solicitando un duplicado de la misma con la excusa de que ha perdido la original o que ha dejado de funcionar, quedando inoperativa la tarjeta SIM de la víctima. ¿Cuál es el problema? Pues que el afectado no puede utilizar su tarjeta, consiguiendo los estafadores acceso a sus mensajes SMS de verificación de cuentas bancarias, a sus cuentas de moneda virtual, correo electrónico o redes sociales.

A este respecto, y como colofón final al boletín, vamos a facilitar algunos CONSEJOS para evitar riesgos y mantener alejados a los estafadores. En este sentido, lo mejor es:

• • • Ser prudente y desconfiar ante la mínima sospecha.
    • No instalar apps si no conoces completamente su funcionamiento.
    • No abrir mensajes ni archivos adjuntos de remitentes desconocidos.
    • No responder a aquellos mensajes que soliciten información personal (nombres de usuario y contraseñas, datos bancarios o de la seguridad social…).
    • No hacer clic en los enlaces de mensajes que no hayas solicitado.
    • Si es una llamada telefónica, no des información personal y verifica la legitimidad de la llamada a través del punto de contacto oficial.

Una quincena más os remitimos nuestro boletín con las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia de que un ataque de denegación de servicio (DoS) deja a Corea del Norte sin Internet y genera fallas en todo el país. Los archivos de registro y los registros de red mostraron que los sitios web en los dominios web de Corea del Norte eran inaccesibles debido a que el Sistema de Nombres de Dominio (DNS) dejó de comunicar las rutas a seguir por los paquetes de datos.

Al mismo tiempo, los clientes de Vodafone Portugal fueron objeto de otro ciberataque que los dejó sin servicio durante todo el día. Este ciberataque afectó a los servicios esenciales de Vodafone, incluyendo televisión y móvil. El ataque alcanzó a cerca de 3.4 millones de hogares y casi 5 millones de dispositivos móviles. No se comprometieron datos de clientes.

Por otro lado, es de destacar el ataque a un aplicación 2FA que infectó a 10.000 víctimas a través de Google Play. La aplicación que funcionaba como autentificador 2FA contenía un troyano bancario, “Vultur Stealer”, cuyo objetivo era robar datos financieros del usuario gracias a los amplios permisos que ofrecía. Estuvo más de dos semanas en Google Play hasta que fue eliminada.

Dos infraestructuras críticas también son objeto de un ciberataque en Alemania, Oiltankin Group y Mabanaft Group. La primera de ellas se dedica a la gestión de tanques de almacenamiento en terminales para petróleo, gas y productos químicos, y la segunda, a la venta al por mayor y distribución de gasóleo para calefacción ,gasolina, diésel y combustible para aviones. Dicho ciberataque puso en jaque sus operaciones en el país teutón.

En cuanto a Microsoft:

• • • Ha restringido las macros de Excel 4.0 por defecto para contener malware. Aunque las macros son una gran utilidad de Excel para la realización de actividades repetitivas con facilidad, son un vector de ataque común para los ciberdelincuentes. Estos ataques de malware se ejecutan sin avisar.
    • Ha hecho frente al mayor ataque DDoS de la historia con 3.47 terabits y 340 millones de paquetes por segundo. Un cliente de Azure en la región asiática fue objeto del ataque masivo. La generación del tráfico malicioso estuvo distribuida entre unas 10.000 fuentes distintas de todo el mundo. Para llevar a cabo el ataque se usó la técnica de reflejado de paquetes UDP destinados a puerto 80, explotando distintos protocolos.

Por nuestra parte, informaros de la nueva edición 2022 de cursos gratuitos online de seguridad impartidos por CSIRT-CV a través de la plataforma SAPS. El plazo de matriculación está abierto desde el 31 de enero hasta el 31 de diciembre, ambos inclusive. Asimismo, informaros de la posibilidad de organizar Jornadas de Ciberseguridad en los centros de secundaria de Castellón, Valencia y Alicante, cuyo objetivo es aumentar el nivel de madurez en Ciberseguridad entre los adolescentes.

En lo que respecta a alertas y actualizaciones, las más relevantes son:

• • • Vulnerabilidad en IBM Security Verify Access. Vulnerabilidad crítica (CVE-2021-39070) del servicio de autenticación de control de acceso avanzado que permite a un atacante autenticarse como cualquier usuario del sistema.

• • • Vulnerabilidad crítica de tipo RCE en Samba (CVE-2021-44142). Esta vulnerabilidad de lectura/escritura de heap fuera de límites permite a los atacantes ejecutar código malicioso como root en las instalaciones de Samba afectadas que utilizan el módulo VFS vfs_fruit. Afecta a todas las versiones de Samba anteriores a la 4.13.17.

• • • Múltiples vulnerabilidades en productos Cisco. Vulnerabilidades críticas que podrían permitir a un atacante ejecutar código malicioso, escalar privilegios ejecutar comandos arbitrarios, omisión de autenticación, ejecutar software no firmado o denegar el servicio (CVE-2022-20699, CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20708, entre otras).

• • • Múltiples vulnerabilidades en IBM Planning Analytics. 11 vulnerabilidades que podrían causar impacto en la confidencialidad, integridad y disponibilidad, denegación de servicio, desbordamiento de búfer, acceder a directorios restringidos, o tomar el control del sistema (CVE-2021-38892, CVE-2020-2722, CVE-2021-36090, CVE-2021-2388, CVE-2021-2161, entre otras).

• • • Wocu Monitoring es vulnerable a Cross-Site Scripting (XSS) persistente. A esta vulnerabilidad se le ha asignado el código CVE-2021-4035. Esta vulnerabilidad ha sido resuelta por A3Sec en la versión 48.2 publicada el 03/12/2021.

• • • Vulnerabilidad de inicio de sesión en email Zimbra. Esta vulnerabilidad está permitiendo hackear medios y agencias gubernamentales. Los ciberdelincuentes usan phishing para ejecutar un ataque XSS a través de código de JavaScript, lo que permite el robo de cookies de sesión.

• • • Actualizaciones de seguridad de Microsoft de febrero de 2022. Estas actualizaciones solucionan 94 vulnerabilidades, entre ellas: denegación de servicio, escalada de privilegios, elusión de medidas de seguridad, o spoofing.