Category: Butlletins

Com cada mes, tornem amb un nou butlletí en el qual parlem dels principals riscos en l’ús de les xarxes socials i la necessitat de protegir la nostra informació personal.

Referent a això, els dispositius tecnològics i les xarxes socials s’han convertit en part fonamental de la nostra vida quotidiana, que adquireixen cada vegada més protagonisme com a canal de connexió i relació amb els altres i aviven el debat sobre les possibles conseqüències derivades del seu ús.

Tal com recull l’Observatori Nacional de Tecnologia i Societat espanyol (ONTSI) en el seu informe “Beneficios y riesgos del uso de Internet y las redes sociales” (2022), els col·lectius que es consideren més afectats pel mal ús de les xarxes socials són: els menors de 16 anys (ciberassetjament) i els joves d’entre 16 i 25 anys (depressió o ansietat).

De les xarxes socials, WhatsApp és la més utilitzada, amb el 94,5 % de la ciutadania internauta. Hi segueixen Facebook, YouTube i Instagram. Tik Tok, amb tot just quatre anys d’existència, ocupa el huité lloc entre la població internauta, però se situa en quart lloc d’ús entre menors de 25 anys i cinqué lloc entre les persones de 25 a 34 anys. D’altra banda, xarxes com Tinder, Grinder, Discord o Snapchat a penes s’usen, encara que tenen una major penetració entre la població més jove. Discord supera el 22 % entre els internautes menors de 25 anys.

I és que, malgrat els seus innombrables avantatges, el control del seu ús, especialment entre menors, és fonamental per a evitar situacions com les següents:

• • • Ciberassetjament. Es produeix quan una persona utilitza mitjans tecnològics per a perseguir una altra persona, a través de telefonades, SMS, missatges de Whatsapp, publicacions anònimes, etc.

Un exemple de ciberassetjament s’ha produït a Azuqueca de Henares (Guadalajara), on un home de 41 anys ha sigut acusat com a presumpte autor d’assetjament a una menor mitjançant el mètode grooming. Aquest mètode consisteix a fer-se passar per menor per a entaular una relació emocional amb finalitats sexuals.

• • • Sèxting. Consisteix en l’enviament de contingut sexual o eròtic, principalment fotos i vídeos, a altres persones. Si bé no és un acte il·legal, quan es tracta de menors d’edat o quan l’adult no consent aquesta activitat, es converteix en il·legal. La seua perillositat recau en la reexpedició o difusió a tercers sense consentiment.

Un exemple de sèxting és l’investigat per la Policia Municipal i Nacional de Ponferrada. En aquest cas, es va tindre coneixement que diversos menors van penjar voluntàriament en les seues xarxes socials, vídeos i fotografies seues d’alt contingut sexual. Les van enviar a determinades persones de les seues xarxes socials i alguns d’aquests al seu torn, les van reexpedir i en van aconseguir gran difusió.

L’AEPD ha establit un “Canal prioritari” per a denunciar la publicació de fotografies, vídeos o àudios de contingut sexual o violent en Internet sense el consentiment de les persones afectades.

• • • Suplantació d’identitat. Es produeix quan una persona s’apropia del nom d’una altra o utilitza la seua informació personal o fins i tot els seus comptes en xarxes socials per a fer-se passar per ella. Se sol dur a terme per a obtindre informació personal, cometre estafes, ciberseducció de menors (grooming), etc.

Un exemple de suplantació d’identitat va ser el patit per Antonio Resines mentre s’estava recuperant de la COVID-19. Resines va denunciar perfils falsos en xarxes que estaven contestant missatges de persones que creien que es tractava d’algun dels seus comptes oficials.

En aquest sentit, l’AEPD i el Ministeri de Consum van llançar una campanya amb consells per a actuar davant una suplantació d’identitat. La campanya detalla els passos que cal seguir per a eliminar un perfil fals al més prompte possible.

CSIRT-CV també ha elaborat un article per a evitar i detectar si has sigut objecte de suplantació. Entre les seues mesures hi ha la de configurar les xarxes socials tan privadament com siga possible.

 

A tall de resum, facilitarem uns quants CONSELLS per a millorar la seguretat en xarxes socials. En aquest sentit, el millor és:

• • • Deixar de compartir informació en excés (ubicació particular, direccions personals, etc.).
    • Canviar la configuració del perfil a privat (i que només els teus amics puguen veure la teua informació i/o descarregar contingut).
    • No acceptar sol·licituds o missatges de comptes o persones desconegudes.
    • No enviar contingut íntim per Internet.
    • Crear contrasenyes segures en els teus dispositius perquè, en cas de pèrdua o robatori, no es puga accedir als arxius. A més, com que normalment en el nostre mòbil personal no tanquem sessió després de cada accés a les aplicacions de les nostres xarxes socials, has de saber que en cas de pèrdua o robatori, pots accedir a les teues xarxes socials des d’un altre dispositiu i en els ajustos d’inici de sessió “tancar la sessió en el dispositiu concret que hem perdut” o tancar-la en tots els dispositius on tinguem la nostra sessió iniciada en aquest moment.
    • Desactivar l’inici de sessió de guardat automàtic (evitant que persones no autoritzades ingressen en el teu compte).
    • Activa el doble factor d’autenticació en totes les xarxes socials que t’ho permeten, així forces que t’arribe un avís d’inici de sessió, que hauràs d’acceptar, al número de mòbil que indiques.

 

Per a finalitzar, et recomanem que tingues sempre els teus dispositius actualitzats, tant pel que fa al de sistema operatiu com de totes les aplicacions que utilitzes. Durant aquest mes, destaquem la següent vulnerabilitat publicada en el nostre portal CSIRT-CV, i que es corregeix actualitzant a la versió indicada en l’article:

• • • Vulnerabilitats crítiques 0-day en Firefox.

Com a novetat us portem nous detalls sobre els canvis de contingut en els butlletins del CSIRT-CV. A partir d’’ara, els butlletins no contindran notícies de caràcter tècnic, sinó que estaran enfocats a la ciutadania i el públic en general. Així mateix, inclouran consells en matèria de privacitat i ús segur d’Internet i les noves tecnologies. La seua periodicitat serà mensual.

D’altra banda, si ets un professional del món TIC o un amant de la ciberseguretat pots subscriure’t també al nostre butlletí d’alertes, on trobaràs notícies de caràcter més tècnic sobre vulnerabilitats i amenaces rellevants, així com consells o recomanacions en la gestió d’incidents, ús de programari, etc.

Per a donar principi a aquesta nova etapa, posarem el focus en el món de les estafes. Tal com alerta la Policia Nacional, s’està veient un repunt en les estafes en la modalitat de “smishing” i “vishing”. Ara bé, què entenem per l’una o l’altra modalitat? Perquè vishing és el frau que es produeix a través d’una telefonada l’objectiu de la qual és aconseguir les teues dades personals o bancàries, mentre que el smishing és aquella estafa que pretén aconseguir les teues dades a través de WhatsApp, SMS o qualsevol altra plataforma de missatgeria mòbil.

Així mateix, no hem d’oblidar-nos dels coneguts atacs de phishing: milions de correus que s’envien indiscriminadament esperant que “algú pique”. En l’actualitat, les estafes a través de correu electrònic estan creixent entre els inversors de Bitcoin. El creixent interés dels usuaris per l’univers de les criptomonedes i el desconeixement sobre els seus riscos, està permetent als cibercriminals redirigir als usuaris a falses plataformes d’inversió amb l’objectiu que s’òbriguen comptes i realitzen moviments especulatius d’alt risc.

Tornant al tema vishing, se está alertando de una estafa telefónica en la que los criminales se hacen pasar por técnicos de Microsoft para acceder a archivos. La llamada comienza con un interlocutor hablando en inglés que te dice estar llamando de Microsoft Corporation, y que te pregunta si hablas español para pasarte con otro operador. Este técnico te pide que abras tu ordenador e instales un programa que, en realidad, es malicioso, y que le permite controlar tu ordenador remotamente.

Por su parte, en relación al smishing, se está alertando de una estafa que afecta a los clientes del Banco Santander. En esta estafa te envían un SMS simulando ser el mismo remitente que el de la entidad bancaria, y en el que te muestran los últimos dígitos de tu tarjeta para que des fiabilidad al mensaje. Tras esto, aseguran no reconocer el acceso y solicitan que pinches en un link e introduzcas tus datos.

Ara bé, aquests no són casos aïllats, sinó que també s’han detectat missatges fraudulents suplantant la identitat del Servei Públic d’Ocupació Estatal (SEPO). D’acord amb el SEPO, es tracta d’un fenomen phishing que pot arribar als usuaris a través de correu electrònic, WhatsApp i SMS. L’estafa consisteix a indicar-te un pagament que s’ha realitzat després d’una actualització fallida de les teues dades bancàries, per la qual cosa se’t sol·licita que actualitzes les teues dades en un enllaç.

Com podem observar, els ciberdelinqüents han evolucionat millorant el seu modus operandi cap a tàctiques de difusió cada vegada més selectives. Altres exemples d’això són:

• • • Les estafes a través d’Apps per a compartir cotxe. En aquest cas, el conductor “estafador” persuadeix la víctima per a continuar la conversa fora de l’aplicació mòbil, normalment a través de WhatsApp. El conductor al·lega estalvi en el pagament de taxes o mal funcionament de l’aplicació. A través de WhatsApp el conductor li comparteix un enllaç que el duu a una pàgina maliciosa perquè reserve i fer-se amb les seues dades.

• • • Les estafes bancàries a través de la tècnica SIM swapping. Aquesta és una tècnica en la qual els estafadors es dirigeixen a les companyies de telefonia mòbil suplantant la identitat de l’usuari legítim de la targeta SIM, i sol·licitant-ne un duplicat amb l’excusa que ha perdut l’original o que ha deixat de funcionar, quedant inoperativa la targeta SIM de la víctima. Quin és el problema? Doncs que l’afectat no pot utilitzar la seua targeta, aconseguint els estafadors accés als seus missatges SMS de verificació de comptes bancaris, als seus comptes de moneda virtual, correu electrònic o xarxes socials.

 

Referent a això, i com a colofó final al butlletí, facilitarem alguns CONSELLS per a evitar riscos i mantindre allunyats els estafadors. En aquest sentit, el millor és:

• • • Ser prudent i desconfiar davant la mínima sospita.
    • No instal·lar apps si no coneixes completament el seu funcionament.
    • No obrir missatges ni arxius adjunts de remitents desconeguts.
    • No respondre a aquells missatges que sol·liciten informació personal (noms d’usuari i contrasenyes, dades bancàries o de la seguretat social…).
    • No fer clic en els enllaços de missatges que no hages sol·licitat.
    • Si és una trucada telefònica, no dones informació personal i verifica la legitimitat de la crida a través del punt de contacte oficial.

Una quinzena més us remetem el nostre butlletí amb les principals notícies relacionades amb el món de la ciberseguretat.

Comencem amb la notícia que un atac de denegació de servei (DoS) deixa Corea del Nord sense Internet i genera falles en tot el país. Els arxius de registre i els registres de xarxa van mostrar que els llocs web en els dominis web de Corea del Nord eren inaccessibles perquè el Sistema de Noms de Domini (DNS) va deixar de comunicar les rutes a seguir pels paquets de dades.

Al mateix temps, els clients de Vodafone Portugal van ser objecte d’un altre ciberatac que els va deixar sense servei durant tot el dia. Aquest ciberatac va afectar els serveis essencials de Vodafone, incloent-hi televisió i mòbil. L’atac va arribar a prop de 3,4 milions de llars i quasi 5 milions de dispositius mòbils. No es van comprometre dades de clients.

D’altra banda, cal destacar l’atac a una aplicació 2FA que va infectar 10.000 víctimes a través de Google Play. L’aplicació que funcionava com a autentificador 2FA contenia un troià bancari, “Vultur Stealer”, l’objectiu del qual era robar dades financeres de l’usuari gràcies als amplis permisos que oferia. Va estar més de dues setmanes en Google Play fins que va ser eliminada.

Dues infraestructures crítiques també són objecte d’un ciberatac a Alemanya, Oiltankin Group i Mabanaft Group. La primera d’aquestes es dedica a la gestió de tancs d’emmagatzematge en terminals per a petroli, gas i productes químics, i la segona, a la venda a l’engròs i distribució de gasoil per a calefacció, gasolina, dièsel i combustible per a avions. Aquest ciberatac va posar en perill les seues operacions al país teutó.

Quant a Microsoft:

• • • Ha restringit les macros d’Excel 4.0 per defecte per a contindre malware. Encara que les macros són una gran utilitat d’Excel per a la realització d’activitats repetitives amb facilitat, són un vector d’atac comú per als ciberdelinqüents. Aquests atacs de malware s’executen sense avisar.
    • Ha fet front al major atac DDoS de la història amb 3,47 terabits i 340 milions de paquets per segon. Un client d’Azure a la regió asiàtica va ser objecte de l’atac massiu. La generació del tràfic maliciós va estar distribuïda entre unes 10.000 fonts diferents de tot el món. Per a dur a terme l’atac es va usar la tècnica de reflectiment de paquets UDP destinats a port 80, explotant diferents protocols.

 

Per la nostra part, informar-vos de la nova edició 2022 de cursos gratuïts en línia de seguretat impartits per CSIRT-CV a través de la plataforma SAPS. El termini de matriculació està obert des del 31 de gener fins al 31 de desembre, ambdós inclusivament. Així mateix, informar-vos de la possibilitat d’organitzar Jornades de ciberseguretat en els centres de Secundària de Castelló, València i Alacant, l’objectiu de les quals és augmentar el nivell de maduresa en ciberseguretat entre els adolescents.

 

Pel que fa a alertes i actualitzacions, les més rellevants són:

• • • Vulnerabilitat en IBM Security Verify Access. Vulnerabilitat crítica (CVE-2021-39070) del servei d’autenticació de control d’accés avançat que pot permetre a un atacant autenticar-se com qualsevol usuari del sistema.

• • • Vulnerabilitat crítica de tipus RCE en Samba (CVE-2021-44142). Aquesta vulnerabilitat de lectura/escriptura de heap fora de límits permet als atacants executar codi maliciós com root en les instal·lacions de Samba afectades que utilitzen el mòdul VFS vfs_fruit. Afecta totes les versions de Samba anteriors a la 4.13.17.

• • • Múltiples vulnerabilitats en productes Cisco. Vulnerabilitats crítiques que podrien permetre a un atacant executar codi maliciós, escalar privilegis, executar comandaments arbitraris, omissió d’autenticació, executar programari no signat o denegar el servei (CVE-2022-20699, CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20708, entre altres).

• • • Múltiples vulnerabilitats en IBM Planning Analytics. 11 vulnerabilitats que podrien causar impacte en la confidencialitat, integritat i disponibilitat, denegació de servei, desbordament de memòria, accedir a directoris restringits, o prendre el control del sistema (CVE-2021-38892, CVE-2020-2722, CVE-2021-36090, CVE-2021-2388, CVE-2021-2161, entre altres).

• • • Wocu Monitoring és vulnerable a Cross-Site Scripting (XSS) persistent. A aquesta vulnerabilitat se li ha assignat el codi CVE-2021-4035. Aquesta vulnerabilitat ha sigut resolta per A3Sec en la versió 48.2 publicada el 03/12/2021.

• • • Vulnerabilitat d’inici de sessió en email Zimbra. Aquesta vulnerabilitat està permetent hackejar mitjans i agències governamentals. Els ciberdelinqüents usen phishing per a executar un atac XAS a través de codi de JavaScript, la qual cosa permet el robatori de cookies de sessió.

• • • Actualitzacions de seguretat de Microsoft de febrer de 2022. Aquestes actualitzacions solucionen 94 vulnerabilitats, entre aquestes: denegació de servei, escalada de privilegis, elusió de mesures de seguretat, o spoofing.

Com cada quinzena, posem a la vostra disposició un nou butlletí sobre les principals notícies relacionades amb el món de la ciberseguretat.

Iniciem amb el ciberatac massiu a diversos llocs web del govern ucraïnés. Com a resultat, els llocs web del Ministeri de Relacions Exteriors i altres agències governamentals van romandre temporalment inactius. El CERT ucraïnés va assenyalar que l’atac podria haver-se perpetrat explotant una vulnerabilitat en el CMS (CVE-2021-32648).

Creu Roja també ha sigut objecte d’un ciberatac que ha compromés informació d’unes 500.000 persones. Aquestes dades pertanyen a almenys 60 societats internacionals de Creu Roja. La informació filtrada prové d’un programa anomenat “Restoring family links”, la finalitat del qual és ajudar les persones a retrobar-se amb familiars després de catàstrofes, conflictes o migracions.

Així mateix, descobreixen diversos llocs web falsos del Liverpool Football Club que instal·len el malware “Donald Trump”. En aquest sentit, especialistes en ciberseguretat van reportar l’existència d’un empaquetador de malware empleat per a entregar tota classe de troians d’accés remot (RAT), així com el malware “Donald Trump” (DTPacker) destinat al robatori d’informació.

D’altra banda, es descobreixen a Espanya dues campanyes de suplantació d’identitat. Una afecta la Guàrdia Civil, i una altra Correus. En el primer cas, es va detectar una campanya de correus electrònics fraudulents que afecta a la Guàrdia civil l’objectiu dels quals era extorquir les seues víctimes a través de la sextorsión. En el segon cas, es va detectar una campanya de SMS fraudulents (smishing) contra Correus l’objectiu de la qual era redirigir les víctimes cap a un web fals per a fer-los pagar unes despeses d’enviament d’un suposat paquet enviat.

 

En l’entorn Google destacar:

• • • La creació d’una nova API per a Privacy Sandbox amb l’objectiu de millorar la privacitat dels usuaris. Aquesta API augmenta la transparència i el control de les dades des del propi navegador. No obstant això, estats com Alemanya o el Regne Unit s’han mostrat reticents a la proposta per considerar que envaeix la privacitat dels usuaris.

• • • El nou mètode de Google Drive per a detectar arxius maliciosos. Si un arxiu compta en el seu interior algun tipus de malware, phishing o ransomware, el sistema el detectarà i avisarà l’usuari. Els advertiments es mostraran en la previsualització.

Per últim, és important esmentar que hui, 28 de gener, és el “Dia de la Privacitat de la Informació”. l’objectiu del qual és conscienciar i promoure les millors pràctiques de privacitat i protecció de la informació. Se celebra actualment als EUA, el Canadà, l’Índia i 47 països europeus.

 

En el que respecta a alertes i actualitzacions, les més rellevants són:

• • • Dues vulnerabilitats crítiques en Amazon AWS Cloud. Aquestes dues vulnerabilitats permeten la divulgació d’arxius i credencials d’usuari. La primera vulnerabilitat resideix en AWS CloudFormation i, la segona, en AWS Glue.

• • • Vulnerabilitat crítica en Cisco Unified CCMP i CCDM. La fallada es troba en la interfície d’administració basada en web d’Unified CCMP i Unified CCDM. Es deu a una falta de validació dels permisos d’usuari del costat del servidor (CVE-2022-20658). S’ha solucionat en les versions Unified CCMP / CCDM 11.6.1 ES17, 12.01 ES5 i 12.5.1 ES5.

• • • Múltiples vulnerabilitats en Moodle. Aquestes vulnerabilitats possibiliten la injecció SQL en el codi d’obtenció d’activitat h5p intents d’usuari (CVE-2022-0332), i el CSRF en l’eliminació de l’alineació d’insígnies (CVE-2022-0335).

• • • Múltiples vulnerabilitats en el core de Drupal. S’han publicat 4 vulnerabilitats de severitat mitjana (CVE-2021-41183, CVE-2021-41182, CVE-2016-7103, CVE-2010-5312).

• • • Vulnerabilitat en el Kernel de Linux (CVE-2022-0185). La vulnerabilitat es troba en el sistema Filesystem Context, concretament en la funció legacy_parse_param. Els atacants poden aprofitar un moviment de fuita de contenidor i obtindre control del sistema operatiu del host i els contenidors que s’estiguen executant.

• • • Omissió d’autenticació en ManageEngine Desktop Central. Aquesta vulnerabilitat podria permetre a un atacant remot realitzar accions no autoritzades en el servidor (CVE-2021-44757).

• • • Vulnerabilitat d’escalada de privilegis local en pkexec de polkit (CVE-2021-4034). Es descobreix una vulnerabilitat de corrupció de memòria en pkexec de polkit, un programa SUID-root que s’instal·la per defecte en totes les distribucions principals de Linux.

• • • Limitació incorrecta de la ruta a un directori restringit en Liferay Portal. Vulnerabilitat crítica de limitació incorrecta de la ruta a un directori restringit (path traversal) en Hypermedia REST APIs de Liferay Portal. Aquesta vulnerabilitat podria permetre a un atacant remot accedir a arxius fora de: com.liferay.headless.discovery.web/META-INF/resources a través del paràmetre ‘parameter’.

• • • Vulnerabilitat en el navegador SAFARI. Vulnerabilitat crítica que permet la filtració de dades confidencials de l’usuari, incloent registres de l’historial de navegació i comptes de Google vinculades. L’error resideix en la implementació de IndexedDB de Safari en Mac i iOS, per la qual cosa un lloc web pot veure els noms de les bases de dades de qualsevol domini.

• • • Actualitzacions crítiques en Oracle. Aquesta actualització resol 497 vulnerabilitats, algunes de les quals són crítiques. Les vulnerabilitats afecten Oracle Database o a Oracle Fusion Middleware, Oracle Solaris …