Prensa

Subscribe to canal de noticias Prensa
Actualizado: hace 58 mins 43 segs

Los trucos que usan las apps fraudulentas, al descubierto

Jue, 14/06/2018 - 10:11

La compañía de ciberseguridad ESET revela las estrategias que utilizan estas aplicaciones en Google Play para intentar engañar a los usuarios

Madrid, 13 de junio de 2018.- Google intenta mantener al margen de su tienda las aplicaciones fraudulentas. Sin embargo, en más ocasiones de las deseables, los ciberdelincuentes consiguen publicarlas en estos repositorios oficiales. Lo malo de las aplicaciones falsas es que persiguen un objetivo distinto al que hacen creer a los usuarios y pueden llegar a robar información de sus contactos, sus fotos, leer mensajes o hacer una copia de las contraseñas, entre muchas otras cosas.

Desde ESET, como compañía centrada en velar por la ciberseguridad, hemos alertado a los usuarios en muchas ocasiones de apps falsas como Prisma, el juego Pingu Cleans Up o, más recientemente, cuando el investigador de ESET Lukas Stefanko descubrió un nuevo set de 35 aplicaciones que simulaban estar relacionadas con la seguridad y que sólo mostraban publicidad. En los últimos años hemos visto cómo se han utilizado todo tipo de técnicas para engañar a los usuarios pero, como en muchas situaciones, las más sencillas también pueden resultar las más efectivas”, afirma Josep Albors, responsable de concienciación e investigación en ESET España.

Repasando los conceptos básicos

En primer lugar hay que evitar acudir a repositorios que no sean oficiales. Descargar las aplicaciones desde sitios que no sean Google Play u otras tiendas autorizadas es un riesgo, ya que en las tiendas oficiales existen filtros de seguridad para evitar que las apps falsas aparezcan disponibles. No obstante, se puede conseguir evadir estos filtros y que durante un tiempo aparezcan disponibles hasta que sean detectadas y eliminadas. Por ello, es necesario tener en cuenta otros puntos clave.

La oferta de apps es amplia y variada y, en un primer vistazo, la mayoría de usuarios se fijará únicamente en aquellas con mayor puntuación, que estén lo más arriba posible y, si puede ser, que tengan algún distintivo que las haga destacar. Pero, no sólo hay que vigilar la puntuación. Una vez seleccionada la app en cuestión, comprobar el número de usuarios que la ha puntuado nos puede ayudar a detectar si estamos ante una app legítima. Este aspecto es importante puesto que se puede tener una puntuación elevada con pocos votos y esto los delincuentes lo saben y lo explotan.

Otro punto clave a la hora de comprobar la legitimidad de una app es el número de usuarios que la ha descargado. Si bien se han visto casos de aplicaciones fraudulentas con un elevado número de descargas, esto no suele ser lo habitual, puesto que las apps maliciosas suelen durar poco tiempo en la tienda oficial de Google (gracias a los esfuerzos que la empresa ha realizado en los últimos años para mejorar la seguridad de su tienda de aplicaciones). También es importante que verifiquemos aspectos como el desarrollador de la app, si contiene pagos integrados o incluso leernos la política de privacidad.

Un aspecto fundamental que hay que revisar, aun tratándose de aplicaciones legítimas, son los permisos que vamos a concederle a la aplicación que queremos instalar. Estos permisos pueden revisarse antes y durante la aplicación e incluso podemos revocar algunos a posteriori una vez la aplicación ya ha sido instalada.

Es muy importante prestar atención a los permisos que pide la aplicación, ya que puede que solicite accesos que no parecen tener relación con su función. En ese caso, no los habilites hasta que no investigues un poco más. También puedes revisar los permisos de las apps que ya tengas instaladas para corroborar que todo está en orden y no hay nada sospechoso.

“Teniendo estos puntos en cuenta, lo más probable es que instalemos una aplicación legítima y podamos empezar a disfrutarla sin mayores problemas. Sin embargo, conviene revisar las técnicas que utilizan algunos delincuentes para intentar confundirnos y conseguir que instalemos sus aplicaciones fraudulentas”, explica Albors.

Engaños simples pero efectivos

Los ciberdelincuentes utilizan estrategias de lo más variopintas para intentar engañar a los usuarios menos precavidos; estrategias como las que revisamos a continuación:

  • Utilizar logos y nombres que recuerdan a aplicaciones muy conocidas y ocultar el nombre del desarrollador, en muchas ocasiones sustituido por una cantidad que quiere confundir al usuario con el número de descargas, es una de las estrategias más usadas.

 

Apps subidas con un falso número de instalaciones en lugar del nombre del desarrollador – Fuente: WeLiveSecurity

En algunos casos concretos, el investigador de ESET Lukas Stefanko ha llegado a observar cómo un desarrollador utilizaba esta técnica para aumentar la popularidad y descargas de aplicaciones de reciente creación, cambiando poco tiempo después el número falso de instalaciones por su nombre de desarrollador.

 

Aplicaciones del mismo desarrollador que primero utilizaron una cantidad falsa de instalaciones y luego cambiaron al nombre del desarrollador – Fuente: WeLiveSecurity

Otros añaden una capa adicional de engaño en forma de símbolo de verificación a sus aplicaciones. De esta forma, muchos usuarios pueden pensar que se trata de aplicaciones legítimas, verificadas o de desarrolladores de confianza. Debemos recordar que, actualmente, Google Play no otorga este tipo de verificaciones y lo único que podemos observar en algunas aplicaciones es un distintivo indicando que la app ha sido seleccionada por un grupo de editores como destacada.

Aplicaciones con distintivos falsos de verificación para aparentar mayor legitimidad – Fuente: WeLiveSecurity

Estos sencillos trucos sirven para confundir a muchos usuarios que están buscando aplicaciones para instalar desde Google Play. “La mayoría de estas apps fraudulentas tienen como objetivo a esos usuarios poco precavidos que sólo utilizan el número de descargas como referencia, algo que debe verificarse siempre junto a los puntos clave que hemos visto. Merece la pena perder un poco de tiempo asegurándonos que vamos a descargar la aplicación correcta y que ésta hace lo que se supone que debe hacer. De esta forma nos evitaremos más de una sorpresa desagradable y podremos utilizar estas aplicaciones con tranquilidad”, concluye Josep Albors.

Las claves de ESET para ganar el Mundial de Rusia

Jue, 07/06/2018 - 12:12

Equipos actualizados, soluciones de seguridad de confianza, sensatez a la hora de navegar o conectar dispositivos y otros consejos para conseguir vencer a los ciberdelincuentes con motivo de la celebración de la Copa del Mundo de Fútbol

Madrid, 7 de junio de 2018.- En un par de semanas, el mundo se paralizará, como cada cuatro años, para disfrutar del deporte rey y ver cómo las mejores selecciones nacionales luchan por la ansiada Copa del Mundo de Fútbol en el campeonato que se celebra en Rusia. Y como cada vez que un acontecimiento de índole internacional interesa a millones de personas, los ciberdelincuentes han preparado sus armas para intentar sacar el mayor provecho posible a través de ataques dirigidos, campañas de ransomware o spam y amenazas masivas, entre otros. Por ello,  ESET, el mayor fabricante de software de seguridad de la Unión Europea, ha elaborado una lista de consejos para que todos los aficionados al fútbol puedan disfrutar de la mayor fiesta del deporte sin tener que preocuparse por su privacidad, sus datos o sus dispositivos electrónicos.

En realidad, ganar a los ciberdelincuentes es sencillo si se sigue una táctica similar a la de los equipos de fútbol: la 1-4-4-2”, apunta Josep Albors, responsable de concienciación de ESET España. “Un equipo actualizado, cuatro soluciones de seguridad instaladas en nuestros dispositivos (PC, móvil, tableta y TV), cuatro consejos para utilizarlos de forma responsable y, sobre todo, dos dedos de frente”.

  1. Compra de entradas. España parte, una vez más, como favorita y es probable que a muchos seguidores de la selección les apetezca ir a ver un partido a Rusia. En ese caso, es imprescindible buscar las entradas en sitios oficiales y no fiarnos de ofertas imposibles en sitios web sospechosos. Lo más probable es que paguemos menos de lo que cuesta una entrada real, pero también que perdamos nuestro dinero y, tal vez, incluso los datos de la tarjeta de crédito o de acceso a la banca online, con el consiguiente peligro que puede suponer para nuestros ahorros. En este sentido, es importante contar no sólo con una solución de seguridad de confianza instalada y actualizada en nuestros dispositivos sino también con herramientas como Protección de pagos y banca online.
  1. Televisor conectado. Los grandes eventos deportivos marcan hitos en la venta de televisores. Ahora que todos los equipos vienen conectados a Internet, es importante contar con una solución de seguridad que proteja no sólo el equipo sino también nuestra intimidad con el objetivo de que los ciberdelincuentes no sean capaces de conectarse a la cámara frontal del televisor o al micrófono. Además, es importante que el equipo esté protegido ante ataques de ransomware o malware procedente de USB conectados e infectados. Para evitar estas preocupaciones, ESET propone la nueva solución ESET SmartTV Security para Android, cuya versión de pago incluye, además, la versión premium de ESET Mobile Security para smartphone o tablet Android con la misma cuenta Google.

También pueden llegar ofertas para ver los partidos de forma gratuita en una plataforma de streaming maliciosa (o legítima pero infectada por cibercriminales), donde lo único que se solicitará a la víctima será que descargue un complemento o que realice una actualización de su navegador o de un complemento ya instalado (como puede ser Flash Player) y que, sin querer, termine comprometiendo su máquina con un malware o programa malicioso como adware.

Para evitar comprometer tu dispositivo, lo mejor es que tengas una solución de seguridad instalada y actualizada. Por otra parte, evita caer en la tentación de descargar cualquier complemento que sea requerido para ver el partido.

  1. Los partidos desde cualquier rincón. La capacidad de proceso de los teléfonos móviles y tablets, unido a las redes wifi de alta velocidad a las que podemos conectarnos, hace posible que podamos ver los partidos desde cualquier lugar. ESET recomienda, en cualquier caso, no conectarse nunca a redes wifi inseguras y descargarse solamente apps oficiales de canales de televisión o de retransmisiones deportivas para evitar sustos ante la posible amenaza de robo de información o de secuestro del dispositivo. Lo mejor siempre, según apuntan desde ESET, es contar con una solución de seguridad en el móvil como ESET Mobile Security, con la que podemos navegar más tranquilos y que, incluso, nos ayude a encontrar el móvil en caso de que lo perdamos en un momento de euforia tras el golazo de nuestro jugador favorito. Y si podemos complementarlo con una VPN, mejor que mejor.
  1. Búsquedas en Internet y enlaces maliciosos. Es imposible seguir tantos partidos y toda la información que se genera alrededor del campeonato por lo que es muy probable que queramos, en ratos libres, buscar aquellos datos que se nos han pasado, leer sobre selecciones cuyas destrezas desconocemos o pinchar en alguno de los enlaces, memes o fotos que nos llegarán a través de redes sociales, aplicaciones de mensajería instantánea o correo electrónico. Imposible no saciar nuestra curiosidad ante “fotos de la fiesta de anoche de los jugadores de Italia”, pero debemos ser conscientes que en la mayoría de los casos ese tipo de fotos no será más que un gancho para llevarnos a páginas maliciosas que descargarán algún tipo de malware en nuestro equipo o que nos pedirán nuestros datos personales para ver “las fotos de verdad”. Los ciberdelincuentes aprovechan estas inquietudes para llevar a cabo sus campañas de phishing y disfrazar páginas infectadas de sitios web oficiales. Por eso, ESET siempre recomienda que nos fijemos bien en los enlaces que pinchamos ya sea en buscadores o en otro tipo de páginas y que no son más que un cebo para que lleguemos a páginas de publicidad molesta. Soluciones como ESET Smart Security Premium protegen a los usuarios en la navegación y gracias a funcionalidades como el “Modo Jugador” no interrumpen la retransmisión del partido en caso de que estemos viéndolo en el PC.

Más minado no autorizado en el aniversario de WannaCry

Mié, 06/06/2018 - 11:39

Las campañas de phishing de Mercadona y Netflix y el más de medio millón de routers afectados por el malware VPNFilter protagonizan también los incidentes de mayo

Madrid, 6 de junio de 2018.- El mes de mayo ha venido marcado por la aplicación definitiva del nuevo Reglamento General de Protección de Datos de la Unión Europea y de la avalancha de correos que todos los usuarios han recibido pidiendo consentimiento para seguir usando sus datos. No obstante, las incidencias relacionadas con la ciberseguridad no han faltado.

WannaCry, un año después

El 12 de mayo se cumplía un año desde que WannaCry pusiera en jaque a miles de empresas y organismos públicos en todo el mundo. Este aniversario ha servido para hacer un repaso a lo aprendido y comprobar si esta amenaza, y las que le siguieron, sirvieron de lección.

Si bien el pico de infecciones de WannaCry se produjo en una ventana de tiempo relativamente corta, no podemos decir lo mismo del exploit EternalBlue, utilizado para propagar el malware de forma rápida y eficaz entre los sistemas vulnerables. De hecho, en los últimos meses hemos observado un aumento en su utilización, obteniendo picos máximos de detección a mediados de abril.

“Con estos datos se demuestra que aún quedan muchos sistemas por parchear y que los delincuentes juegan con ventaja a la hora de intentar propagar sus creaciones, al menos entre aquellos usuarios que descuidan las actualizaciones de seguridad de sus sistemas”,comenta Josep Albors, responsable de investigación y concienciación de ESET España.

El minado no autorizado sigue causando problemas

La amenaza que más ha dado que hablar en los últimos meses sigue protagonizando las estadísticas de detección de malware. El minado de criptodivisas no autorizado, que se aprovecha de los recursos de sus víctimas para obtener estas criptomonedas de forma fraudulenta, sigue comprometiendo webs legítimas para introducir código de minado aprovechando vulnerabilidades como las encontradas en el popular gestor de contenidos Drupal a finales de marzo y durante el mes de abril. De esta forma, sitios webs tan conocidos y visitados por miles de usuarios a diario como la del Zoo de San Diego o la del Gobierno de la ciudad mexicana de Chihuahua se han visto afectadas. En España también se observaron algunas webs pertenecientes a gobiernos regionales comprometidas.

Los ciberdelincuentes tratan de infectar cualquier dispositivo conectado que puedan usar a su favor, incluso aquellos considerados seguros por sus usuarios, como son los ordenadores Mac. De hecho, el mes pasado se observó la aparición de un nuevo minero para MacOS que se estaba camuflando como un falso instalador de alguna aplicación conocida, un documento malicioso o en alguna aplicación subida a algún sitio de descargas ilegales.

Las extensiones maliciosas de Chrome siguieron siendo otro de los vectores de ataque usados por los delincuentes para instalar mineros en los sistemas de sus víctimas y, de paso, robar sus credenciales de acceso a sitios web. Esta técnica, conocida desde hace algún tiempo, les sigue funcionando bien a los delincuentes, por lo que es necesario concienciar a los usuarios de los peligros que entraña instalar extensiones en el navegador de dudosa procedencia.

El IoT y los móviles en el punto de mira

Los dispositivos conectados siguen siendo un objetivo muy apetecible para los delincuentes, especialmente si se tiene en cuenta que muchos de ellos no cuentan con las medidas de seguridad más básicas. “Los usuarios no se molestan en protegerlos adecuadamente, y los fabricantes, en muchas ocasiones, lanzan productos llenos de agujeros de seguridad o abandonan el soporte a versiones antiguas”, subraya Albors.

Un dispositivo esencial como son los routers se han vuelto a ver afectados por una campaña de infección masiva que ha logrado introducir más de 500.000 de estos dispositivos de varios fabricantes dentro de una botnet. El malware conocido como VPNFilter consta de varias fases y es capaz incluso de sobrevivir a un reinicio del dispositivo, lo que hace especialmente molesto deshacerse de él. Algunas hipótesis apuntan al conocido grupo APT28 como responsable de este ataque y a Ucrania como objetivo principal. Esto añadiría un caso más a la larga lista de ciberataques que viene sufriendo este país desde hace años.

Por su parte, los usuarios de smartphones con sistema Android han vuelto a exponerse a descargas de aplicaciones fraudulentas en Google Play. Éstas intentaban engañarlos para que las instalasen en los dispositivos y descargaran malware adicional, incluyendo aplicaciones que muestran publicidad de forma “invisible” en el dispositivo, generando beneficios a los delincuentes a costa del dispositivo infectado.

Phishing de marcas conocidas

Hay técnicas que nunca pasan de moda y que, con ligeras variaciones, consiguen que algunos usuarios caigan en la trampa. Es el caso de la suplantación de marcas conocidas mediante webs fraudulentas, técnica conocida como phishing. Durante el mes pasado pudimos observar varios ejemplos, destacando los de Mercadona o Netflix.

En caso del conocido supermercado, los delincuentes lanzaron una campaña de correo electrónico en la que supuestamente estaban ofreciendo tarjetas regalo por valor de 500€. Si el usuario pulsaba sobre el enlace proporcionado era redirigido a una web con apariencia de legítima pero que no tenía nada que ver con Mercadona. En esa web se pedían datos como los de la tarjeta de crédito, supuestamente para poder cobrar el premio, pero lo único que querían los delincuentes era aprovecharlos para realizar compras fraudulentas.

De forma parecida, el correo que se hacía pasar por Netflix nos informaba de la desactivación de la tarjeta de crédito usada para pagar este servicio y nos invitaba a acceder a una web desde donde podríamos rellenar un formulario con los datos de nuestra tarjeta. Obviamente, esta información pasaba a formar parte de la base datos de tarjetas robadas por los delincuentes para ser utilizadas en acciones delictivas o vendidas al mejor postor.

Nuevo mes, nuevas vulnerabilidades

En mayo tampoco faltaron a su cita los habituales boletines de seguridad para productos de Microsoft, Google o Adobe, entre otros. Estos boletines solucionaban, entre otras cosas, vulnerabilidades graves en Windows que permitían la ejecución de código arbitrario o la escalada de privilegios en un sistema comprometido. Adobe Flash Player también corregía fallos graves que permitirían a un atacante ejecutar código malicioso con los permisos del usuario registrado en el sistema. Por su parte, Google añadió parches adicionales para solucionar numerosas vulnerabilidades relacionadas tanto con Meltdown como con componentes de varios fabricantes (Nvidia o Qualcomm entre ellos).

Además, como prueba del importante trabajo que realizan los investigadores de seguridad, especialistas de ESET descubrieron un malware en desarrollo que aprovechaba dos vulnerabilidades desconocidas hasta el momento. La muestra de código malicioso analizada se encontraba camuflada en un fichero PDF y su detección permitió informar tanto a Microsoft como a Adobe para que aplicaran las soluciones necesarias y así evitar que los usuarios sufrieran ataques aprovechando estos agujeros de seguridad.

Cómo evitar ataques similares a VPNFilter que tienen a los routers domésticos como objetivo

Mar, 29/05/2018 - 11:42

ESET España elabora una serie de recomendaciones básicas para que los usuarios puedan proteger sus routers domésticos

Madrid, 29 de mayo de 2018.- Los routers domésticos están en el punto de mira de los ciberdelincuentes como ha quedado demostrado tras el último ciberataque. VPNFilter, que es como se ha denominado esta campaña, ha logrado infectar al menos 500.000 routers y dispositivos de almacenamiento en la nube de medio centenar de países. De momento, el principal damnificado por este malware es Ucrania mientras se desconoce el alcance que ha podido tener en España.

La campaña se ha ejecutado a través de un programa malicioso diseñado para atacar dispositivos, generalmente routers de diferentes fabricantes, en al menos 54 países. Estos dispositivos han pasado a  formar parte de una botnet, es decir, una red de bots o equipos zombie que pueden ser controlados de forma remota por los ciberdelincuentes y cuyas verdaderas intenciones estarían aún por desvelar. El malware VPNFilter dispone de varias capacidades que permitirían tanto la recopilación de información como la realización de ciberataques destructivos.  “De hecho, el análisis de esta amenaza ha revelado que comparte código con algunas variantes de BlackEnergy, amenaza responsable de varios apagones en Ucrania, lo que podría tanto dar pistas sobre la finalidad real de este ataque y quién se encuentra detrás  como tratarse de una maniobra de despiste para ocultar a los verdaderos responsables”, explica Josep Albors, responsable de investigación y concienciación en ESET España.

El mismo FBI ha lanzado una alerta dada la importancia de la amenaza que, en una acción coordinada a gran escala, podría incluso inutilizar la conexión a internet en barrios o ciudades enteras. Las autoridades recomiendan reiniciar el router (apagar y volver a encender); sin embargo, esta acción “no elimina el malware del todo si ya ha obtenido persistencia”, subraya Albors. “Lo mejor es ser proactivos e invertir unos minutos en la configuración del router y de los dispositivos conectados en tu red”, continúa.

Consejos para proteger los routers

Conscientes del papel clave que juegan los routers en la seguridad de todos los dispositivos conectados de nuestro hogar, ya que no solo controlan el perímetro de la red, sino que todo el tráfico e información pasan por él, y de que son objetivo destacado para los ciberdelincuentes, ESET, el mayor fabricante de software de seguridad de la Unión Europea, ha elaborado una lista de consejos para administrar su seguridad de la misma forma que hacemos con otros dispositivos conectados a Internet. “Sea cual sea el modelo de router que tengas en tu casa, tómate unos minutos para analizar su funcionamiento y asegúrate de verificar estos siete puntos claves en su configuración”, recomienda Albors.

  1. Cambia la contraseña de tu router

Parece mentira que en el año 2018 todavía este consejo sea el primero de la lista, pero lo cierto (y alarmante) es que aún muchos usuarios siguen sin cambiar las contraseñas con las que vienen de fábrica sus dispositivos al instalarlos en casa. Mala práctica porque las credenciales que vienen por defecto en los dispositivos pueden ser encontradas fácilmente haciendo una búsqueda en Internet. Así que cambia tanto el usuario como la clave e intenta utilizar contraseñas fuertes y únicas.

  1. Utiliza un cifrado fuerte en la red Wi-Fi

La mayoría de los usuarios utiliza el router como un punto de acceso Wi-Fi al que conectarse desde cualquier parte de su hogar. Estos dispositivos suelen ofrecer diferentes tipos de cifrados para las conexiones Wi-Fi, dependiendo del nivel de seguridad que deseemos utilizar. Sin embargo, si utilizamos un cifrado débil como WEP estaríamos exponiendo nuestra red y los datos que viajan a través de ella. Cualquier atacante o vecino “gorrón” podría averiguar la contraseña en un par de minutos utilizando sencillas aplicaciones para móviles. Por eso recomendamos utilizar cifrados más seguros como WPA2 y protegerlo con una contraseña robusta.

  1. No difundas tu red de forma pública

Toda red Wi-Fi tiene una especie de “matrícula” que permite reconocerla cuando buscamos señales disponibles desde un dispositivo. Esta matrícula es conocida como SSID y todos los routers tienen una configurada por defecto por el fabricante. Sin embargo, este SSID puede servir para identificar un modelo de router en concreto y qué proveedor de Internet se está usando, información muy útil para saber qué vulnerabilidades se pueden utilizar para comprometer la seguridad del dispositivo y obtener acceso a la red Wi-Fi.

Es recomendable, por tanto, cambiar el SSID del router por otro de nuestra elección y ocultarlo para que no sea visible a todos los dispositivos que estén buscando una red Wi-Fi a la que conectarse. Los usuarios tendrán que configurar la conexión de forma manual en todos los dispositivos, pero ganarán en la seguridad de su red.

  1. Deshabilita los servicios y funcionalidades que no utilices

A menos que sepas específicamente para qué sirve cada funcionalidad de tu router, deshabilita todas las que no estén en uso. Usando técnicas sencillas de escaneo se pueden determinar cuáles son los puertos y servicios abiertos. Estos pueden ser accesibles desde el exterior y suponer una puerta abierta para un atacante o un vecino curioso. Además, muchos de estos servicios pueden tener vulnerabilidades que un atacante podría aprovechar para tener acceso a la red.

La mayoría de routers incorporan una serie de opciones que permiten, por ejemplo, que los dispositivos se conecten más fácilmente a la red inalámbrica utilizando la funcionalidad WPS sin conocer la contraseña de la Wi-Fi. Esto que puede parecer algo muy cómodo también representa un peligro puesto que hay ataques que permiten explotar vulnerabilidades en la implementación de WPS.

Si no necesitas acceder a tu router desde el exterior de tu casa, mejor deshabilita la administración remota, controla que los servicios de administración sean sobre protocolos seguros como SSH o HTTPS y deshabilita cualquier otra funcionalidad que no utilices.

  1. Divide y vencerás: separa los dispositivos

La mayoría de los routers modernos para Internet de las Cosas permiten crear diferentes redes con distintos propósitos. Una buena práctica es aprovechar esta función y crear redes separadas, de forma que los dispositivos más sensibles queden lo menos expuestos posible.

Además, muchos routers actuales traen también la funcionalidad de firewall, que permite analizar el tráfico entrante y saliente del dispositivo y determinar qué conexiones estarán permitidas y cuáles no. A partir de estas funcionalidades puedes, por ejemplo, separar los dispositivos sensibles del resto o elegir qué dispositivos quieres compartir cuando tienes invitados en casa y cuáles quedan aislados, o separar las consolas de juego y PC de tus hijos del resto de la red.

El objetivo es que los equipos más importantes estén protegidos en caso de acceso no autorizado o si ocurre una infección de malware.

  1. Vigila quién se conecta a la red

¿Sabes cuántos dispositivos están conectados a tu red? ¿Puedes identificarlos fácilmente? Esto es clave a la hora de detectar intrusos o comportamientos extraños.

Muchos routers facilitan la identificación de los equipos conectados ya que, en vez de usar nomenclaturas difíciles de entender como las direcciones MAC, permiten crear nombres personalizados para cada dispositivo. En estos casos, es recomendable tomarse unos minutos para identificar los equipos y poder luego reconocerlos más fácilmente. Además, existen herramientas de monitorización de la red doméstica como las que incorporan ESET Internet Security o ESET Smart Security Premium que permiten, no solo revisar los dispositivos conectados a nuestra red sino también comprobar si el router está debidamente actualizado o presenta alguna vulnerabilidad conocida.

  1. Actualiza el firmware de tus dispositivos

Los routers son dispositivos que también cuentan con su sistema operativo propio (firmware) y, al igual que cualquier otro, debe ser actualizado para corregir posibles bugs y vulnerabilidades. Sin embargo, la mayoría de usuarios se olvida de actualizar estos dispositivos o son los propios fabricantes quienes abandonan modelos que consideran obsoletos, dejando a los usuarios que aún los utilizan vulnerables a ataques.

Conviene revisar periódicamente la web del fabricante del router para buscar posibles actualizaciones de su firmware y, en caso de tener instalado un firmware vulnerable, siempre podemos optar por alguno de los firmwares de código abierto disponibles. Estas versiones suelen ser más seguras que las proporcionadas por los fabricantes e incluso algunas pueden proporcionar funciones adicionales a nuestro router.

 

El grupo de ciberdelincuentes Turla evoluciona su campaña Mosquito para atacar embajadas y consulados de forma invisible

Mar, 22/05/2018 - 17:13

Mosquito intercepta la descarga legítima de Flash y reemplaza el programa por una versión troyanizada

Madrid, 22 de mayo de 2018.- ESET, el mayor fabricante de software de seguridad de la Unión Europea, continua con sus investigaciones sobre el grupo de ciberdelincuentes Turla y sus ataques a través de la campaña Mosquito, que afectan sobre todo a embajadas y consulados del este de Europa. En esta ocasión, el laboratorio de ESET ha observado un cambio significativo en los patrones de comportamiento del grupo: ahora aprovechan las herramientas incluidas en el framework Metasploit antes de lanzar el backdoor personalizado Mosquito. No es la primera vez que Turla utiliza herramientas genéricas, ya que en el pasado ya utilizaron otras como Mimikatz; sin embargo, es la primera vez, al menos que se sepa, que utilizan Metasploit para conseguir instalar backdoors en la primera fase del ataque, en lugar de confiar en sus propias herramientas, como Skipper.

Quién es Turla

Turla es un equipo de espionaje muy conocido y que ha sido muy activo en los últimos diez años. Se dio a conocer en 2008 cuando consiguió romper las barreras de los sistemas del Departamento de Defensa de EEUU y, desde entonces, no ha dejado de atacar objetivos relacionados con instituciones gubernamentales o la defensa de los mismos.

El pasado mes de enero, ESET publicó un amplio documento en el que se analizaban, por primera vez, las acciones de la campaña conocida como Mosquito. Desde entonces, las actividades de Turla han sido continuas y muy variadas con el objetivo de ser lo más invisibles posible.

La campaña actual

El vector de compromiso de Mosquito sigue siendo un instalador falso de Flash, que descarga tanto el backdoor Turla como el programa legítimo de Adobe. Tal y como ha observado el laboratorio de ESET, los objetivos siguen siendo embajadas y consulados del este de Europa.

La infección se produce cuando el usuario quiere instalar Flash desde la dirección get.adobe.com a través de una conexión http. Los atacantes de Turla interceptan el ejecutable legítimo y lo reemplazan por una versión troyanizada. Según las investigaciones de ESET, es poco probable que los sitios web de Adobe/Akamai hayan sido comprometidos.

Hasta ahora, la campaña Mosquito de Turla utilizaba el instalador de Flash para descargar un programa de subida de archivos y el backdoor principal, junto con la aplicación legítima de Adobe. Sin embargo, ahora, en lugar de descargar las dos librerías DLL maliciosas, ejecuta una shellcode de Metasploit y descarga un instalador Flash legítimo desde Google Drive. Después, el shellcode descarga Meterpreter, una herramienta habitual cuando se utiliza Metasploit, gracias a la cual los atacantes del grupo de ciberdelincuentes Turla pueden controlar la máquina comprometida. De esta manera, el backdoor Mosquito se instala en el sistema comprometido Mosquito (ver imagen).

 

El hecho de que se esté utilizando Metasploit hace pensar a los investigadores de ESET que podría existir un operador que esté controlando los exploits de manera manual.

 

Investigación completa en: https://www.welivesecurity.com/la-es/

ESET España lanza la segunda edición del Premio de Periodismo en Seguridad Informática

Mar, 15/05/2018 - 11:32

El objetivo del galardón es estimular la divulgación de la seguridad informática y la concienciación de la sociedad en ciberseguridad entre los profesionales de la comunicación

El ganador del premio conseguirá un viaje a Las Vegas para asistir a la DEFCON, la conferencia de ciberseguridad más importante del mundo

Madrid, 15 de mayo de 2018.- ESET España convoca la segunda edición de su Premio de Periodismo en Seguridad Informática. Se trata de una iniciativa que pretende estimular la vocación periodística en el área de la ciberseguridad y que la compañía repite este año tras el éxito en la convocatoria de la primera edición. “Pretendemos poner en valor el trabajo que realizan periodistas y divulgadores de la seguridad informática, quienes a través de sus crónicas, investigaciones y artículos trabajan en pro del fomento de la seguridad en nuestro país”, indican desde la compañía de software.

Los requisitos y la mecánica para participar en el concurso son prácticamente los mismos que en su primera edición, pero hay cambios significativos. Estos vienen de la mano del premio otorgado, ya que, con objeto de hacerlo más interesante para los periodistas especializados en ciberseguridad y tecnología, se ha apostado por premiar al ganador con un viaje a una de las conferencias de seguridad más importantes del mundo, DEFCON. Así, el primer premio consistirá en un viaje a Las Vegas (EEUU) de 7 días de duración, con todos los gastos pagados. Durante la estancia, además de asistir a DEFCON 26, visitará las instalaciones y el laboratorio de ESET en San Diego, donde la compañía tiene una de sus sedes centrales.

Para optar al premio, se podrá participar con artículos publicados en medios de comunicación tradicionales o digitales entre el 31 de julio de 2017 y el 15 de junio de 2018 (último día para presentarse al concurso).

En ESET nos interesa lograr una mayor concienciación en torno a la seguridad de la información y entendemos que los medios de comunicación juegan un papel fundamental a la hora de trasladarlo a la sociedad. De hecho, gracias a ellos podemos acercar a los usuarios el conocimiento, las alertas de seguridad y las recomendaciones necesarias para que puedan disfrutar de la tecnología de forma segura“, afirma Laura Grau Berlanga, responsable de comunicación de ESET España.

A la primera edición del concurso se presentaron 33 candidaturas, de las cuales 19 fueron trabajos que participaron en la categoría de periodismo digital y 14 en la de periodismo tradicional (televisión, radio o prensa escrita). El periodista Luis Alberto Álvarez, del grupo Unidad Editorial, fue el primer ganador de estos premios, que pretenden consolidarse y convertirse en un referente para los periodistas que tratan la ciberseguridad.

Los profesionales interesados en participar pueden hacerlo con hasta un trabajo por categoría, no contemplándose mínimos ni máximos de extensión. Existen dos categorías:

  • Prensa Tradicional: trabajos publicados en diarios, revistas y otros medios impresos o generados por agencias de noticias y materiales periodísticos presentados en radio y televisión.
  • Prensa Digital: contenidos publicados en medios digitales, portales, blogs o en algún otro formato audiovisual como videoblogs y podcasts.

Además del primer premio, los mejores trabajos de cada categoría serán reconocidos con una tablet.

Las publicaciones presentadas serán evaluadas por un jurado especializado formado por personal de la compañía y reconocidos periodistas y especialistas en tecnología. Para la selección y calificación se tendrá en cuenta la relevancia social del enfoque sobre el tema investigado en materia de seguridad informática y su interés para la comunidad, la originalidad del trabajo, el tratamiento en profundidad de la información, la calidad narrativa y la correcta utilización de la terminología técnica.

Los trabajos periodisticos deberán enviarse a través del correo electrónico comunicacion@eset.es siguiendo las bases y condiciones del concurso disponibles en el portal creado por ESET España: https://eset.es/premios

Un año después: el exploit EternalBlue registra mayor actividad ahora que durante el brote de WannaCry

Vie, 11/05/2018 - 13:33
  A poco de cumplir un año del brote de WannaCryptor, el exploit EternalBlue, utilizado para propagar el ransomware, registra mayor actividad que hace un año   Madrid, 11 de mayo de 2018.- Ha pasado un año desde que el ransomware WannaCryptor.D (también conocido como WannaCry o WCrypt) provocó uno de los incidentes de ciberseguridad más grandes que el mundo haya conocido hasta el momento. Y si bien la amenaza en sí no está causando mayores daños que entonces, el exploit que activa el brote, conocido como EternalBlue, aún está amenazando sistemas desprotegidos y sin parche. Así lo muestran los datos de la telemetría de ESET, el mayor fabricante de software de seguridad de la Unión Europea. Según los datos de ESET LiveGrid su popularidad creció durante los últimos meses e incluso se detectaron picos de actividad que superaron a los registrados en 2017.     Según la telemetría de ESET, EternalBlue tuvo un período de calma inmediatamente después de la campaña de WannaCryptor en 2017. De hecho, en los meses siguientes los intentos de utilización del exploit EternalBlue cayeron a “solo” cientos de detecciones diarias. Sin embargo, desde septiembre del año pasado el ritmo del uso del exploit ha ido en aumento, creciendo de manera sostenida y alcanzando nuevos picos máximos a mediados de abril de 2018. Una posible explicación para esta alza en las detecciones es la campaña del ransomware Satan, detectado en esas fechas.   EternalBlue como puerta de entrada El exploit EternalBlue se aprovecha de una vulnerabilidad (descrita en el boletín de seguridad de Microsoft MS17-010) causada por un fallo por parte de Microsoft en la implementación del protocolo del Server Message Block (SMB), propagándose a través del puerto 445. En un ataque, los cibercriminales buscan en Internet puertos SMB expuestos (normalmente utilizados en sistemas de redes corporativas), y en caso de encontrarlos, ejecutan el exploit. Si el sistema atacado es vulnerable se ejecutará el código malicioso elegido por el atacante. Este fue el mecanismo utilizado el año pasado para la efectiva propagación del ransomware WannaCryptor.D por miles de redes corporativas.   El método de infiltración utilizado por EternalBlue no afecta a los dispositivos protegidos por ESET, ya que una de sus múltiples capas de protección – el módulo de protección contra ataques de red– bloquea esta amenaza en el punto de entrada. “Esto puede compararse con que alguien a las 2 a.m. golpee la puerta suavemente intentando averiguar si alguien aún está despierto. Como esta actividad es más frecuente que sea realizada por alguien con malas intenciones, la entrada es sellada para mantener al intruso fuera”, explica Ondrej Kubovič, Security Evangelist de ESET. Este extremo quedó comprobado durante el brote WannaCryptor el 12 de mayo de 2017.   EternalBlue permitió la realización de ciberataques de gran envergadura. Aparte de WannaCryptor, también impulsó el destructivo ataque Diskcoder.C (también conocido como Petya, NotPetya y ExPetya) en junio de 2017. Por si fuera poco, también fue utilizado por el grupo de ciberespionaje Sednit para atacar redes Wi-Fi en hoteles de Europa. El exploit también ha sido identificado como uno de los mecanismos de propagación de mineros de criptomonedas maliciosos.   Se especula con que el exploit EternalBlue fue robado a la NSA en 2016 y que fue filtrado por el grupo de ciberdelincuentes Shadow Brokers el 14 de abril de 2017. Microsoft emitió actualizaciones que reparaban dicha vulnerabilidad con rapidez, sin embargo, aún a día de hoy sigue habiendo muchos ordenadores en los cuales los parches no han sido instalados.   Este exploit y todos los ataques que ha permitido hasta el momento, remarca la importancia de aplicarlos parches de seguridad lo antes posible y la necesidad de disponer de una solución de seguridad confiable que cuente con múltiples capas de seguridad capaces de bloquear la herramienta maliciosa subyacente.  

La empresa ontinyentina ESET España recoge el premio por su excelencia en seguridad informática

Mié, 09/05/2018 - 18:12

El president de la Generalitat Valenciana, Ximo Puig, entregó el galardón de los I Premios de la Razón – Comunitat Valenciana a la compañía

Ontinyent, 09 de mayo de 2018.- Coincidiendo con el vigésimo aniversario de la delegación valenciana del diario La Razón, el pasado lunes se celebró la gala de entrega de sus primeros premios en la Comunitat Valenciana con los que se destaca la trayectoria y excelencia en su trabajo de diferentes empresas, entre ellas ESET España.

Más de 300 invitados representantes de la sociedad valenciana y del mundo empresarial y político se congregaron en el acto presidido por Ximo Puig, presidente de la Generalitat, quien fue el encargado de entregar los galardones con los que el diario homenajea a hombres y mujeres, entidades, instituciones y organismos que con su trabajo han contribuido y contribuyen a la prosperidad de la Comunitat.

En esta primera edición de los premios se destacó a la empresa ontinyentina ESET España, que lleva más de 30 años innovando en ciberseguridad, por su trayectoria en seguridad informática. Matías Zublena, director de operaciones, y Carlos Tortosa, responsable de grandes cuentas y desarrollo de negocio, recogieron la distinción. Tortosa aprovechó la ocasión para agradecer al CEO de la compañía, Vicente Coll, su arrojo al apostar por el sector de la seguridad informática cuando era algo incipiente y seguir estando a la vanguardia 30 años después. También reivindicó el lugar en el mapa de las ciudades como Ontinyent “porque todo no está en Madrid o en Barcelona, en muchos lugares de la Comunitat Valenciana, como Ontinyent, se pueden hacer cosas grandes, sobre todo ahora con las ventajas que supone la digitalización”, argumentó.

Hoy en día, la compañía, es conocida en todo el ámbito estatal como ESET España, y cuenta con una red de más de 4.200 partners, siendo el representante y distribuidor oficial de los productos ESET y sus alianzas tecnológicas para España y Andorra. No obstante, Ontinet.com, el grupo empresarial que hay detrás de ESET España, nació como una pequeña tienda de informática en el barrio de San José. Sin embargo, los años y la experiencia adquirida han permitido a esta PYME convertirse en la empresa puntera que es hoy en día, por la que han recibido diversos premios por su labor como el recogido ayer.

La empresa ontinyentina ofrece productos de seguridad para empresas y particulares “no solo los ordenadores de sobremesa o portátiles necesitan un buen producto de seguridad para protegernos del malware o del temido ransomware. También los smartphones, las tabletas o las Smart TV se han convertido en objetivo de los ciberdelincuentes”, explican. Pero, además, al margen del negocio, la empresa destaca por tener un firme compromiso con la sociedad y este radica en incrementar la concienciación en seguridad de la comunidad. Desde ESET España consideramos que quien está entre la pantalla y la silla es quien tiene el mayor poder de decisión y, por tanto, es quien debe saber cómo actuar en caso de duda, no se trata simplemente de tener un antivirus instalado, sino de dar las herramientas que los usuarios necesitan para saber reaccionar”, afirman. En pro de este compromiso social acuden a colegios, institutos, universidades, asociaciones e incluso empresas con el objetivo de difundir el buen uso de Internet y la tecnología, porque conocer las amenazas y fomentar las buenas prácticas en la empresa resulta esencial a día de hoy para evitar infecciones y ataques.

Barómetro de seguridad ESET: Amenazas de especial impacto en España resurgen ahora con tácticas mejoradas

Jue, 03/05/2018 - 17:14
Los routers siguen siendo los dispositivos preferidos por los delincuentes, además Submelius que alcanza cuotas de detección similares al minado no autorizado de criptodivisas, Acuarios maliciosos y otros riesgos de IOT siguen siendo protagonistas   Madrid, 8 de mayo de 2018.- Abril ha sido un mes continuista en seguridad de la información. Han aparecido numerosas vulnerabilidades, y han resurgido ciertas amenazas que tuvieron especial impacto en España durante el año pasado y que han vuelto con tácticas mejoradas.   Submelius vuelve a la carga Submelius, una amenaza especializada en redirigir al usuario a webs maliciosas ha vuelto a la carga justo un año después de hacer su primera aparición destacable en territorio español. Si en 2017 esta amenaza utilizó sitios de streaming de series y películas como principal vector de ataque, ahora utiliza mensajes a través de la aplicación Facebook Messenger.   Los delincuentes dirigen a sus víctimas a webs controladas que tienen la apariencia de Youtube, pero que en realidad persiguen instalar complementos maliciosos para el navegador Chrome. Entre otras cosas, buscan robar credenciales de Facebook para seguir propagando su amenaza entre la lista de contactos de la víctima. Hay que destacar que, en abril, Submelius ha alcanzado cuotas de detección similares al minado no autorizado de criptodivisas a través de código Javascript ubicado en páginas web (amenaza que lleva meses en lo más alto del ranking).   Por otra parte, las diferentes variantes de ransomware aparecidas durante las últimas semanas han causado problemas considerables. Un ejemplo lo tenemos en la ciudad de Atlanta. Muchos de sus servicios online dejaron de estar disponibles para sus ciudadanos a causa de un ransomware, causando unas pérdidas de 2,7 millones de dólares como mínimo. No obstante, no todos los ransomware son tan destructivos. También durante este mes apareció una nueva variante que nos invitaba a jugar a uno de los Battle Royale más de moda como es el Playerunknown’s Battlegrounds (conocido como PUBG) si queríamos recuperar los archivos cifrados. Por suerte, la víctima podía saltarse este paso incluso en variantes que obligaban a jugar 999 horas debido a errores en el código y a que la clave de descifrado estaba en la nota de rescate.   Acuarios maliciosos y otros riesgos del IoT Las amenazas dirigidas al Internet de las cosas siguen generando titulares interesantes. El pasado mes conocimos un incidente peculiar: aprovechando una vulnerabilidad en el termómetro inteligente colocado en un acuario para controlar su temperatura, un grupo de delincuentes pudo acceder a la red interna del casino en el que estaba ubicado para acceder a su base de datos y robar información, como los nombres de los jugadores que realizaban grandes apuestas.   Otro dispositivo conectado, pero no debidamente protegido que tuvo su momento de protagonismo, fue el sistema de control de los telesillas utilizados en una estación de esquí austriaca. Una pareja de investigadores consiguió acceder sin mayores dificultades al panel de control de los telesillas, desde el cual podrían haber modificado su funcionamiento e incluso provocar daños a los esquiadores. No obstante, los investigadores informaron a la estación para que se cerrase el acceso y así evitar males mayores.   Volviendo a dispositivos más mundanos, investigaciones recientes han demostrado que los routers siguen siendo uno de los dispositivos preferidos de los delincuentes. Estos dispositivos han sido utilizados en numerosas campañas delictivas y el mes pasado se descubrió otra más que se aprovechaba de 65.000 dispositivos vulnerables para formar una botnet proxy que permitiera realizar todo tipo de actividades delictivas sin delatar las direcciones IP reales de los delincuentes.   Serios problemas para Drupal y otras vulnerabilidades A finales de marzo, Drupal alertó acerca de una vulnerabilidad en el popular gestor de contenidos. Abril no le ha sentado nada bien, puesto que no solo esta vulnerabilidad ha sido aprovechada por numerosos atacantes, sino que durante este mes que acabamos de dejar atrás han aparecido dos más. Esta situación es especialmente peligrosa, puesto que los atacantes pueden obtener el control total de los sitios gestionados con Drupal y muchos usuarios aún no han actualizado a versiones no vulnerables, por lo que las webs potencialmente en riesgo se cuentan por millares.   Por su parte, empresas acostumbradas a lanzar actualizaciones para sus productos de forma periódica como Microsoft, Google o Adobe hicieron lo propio. La compañía de Redmond solucionó un problema con un parche anterior que se lanzó a principios de año para mitigar los problemas ocasionados por las vulnerabilidades Meltdown y Spectre, además de otros fallos críticos o graves.   Google también alertó de la existencia de nueve vulnerabilidades críticas en Android, que iban desde la ejecución remota de código malicioso hasta un fallo de seguridad en el componente wifi proporcionado por Qualcomm, que permitiría a un atacante ejecutar código arbitrario con privilegios mediante un fichero especialmente preparado.   Afortunadamente, esta vulnerabilidad no afecta a todos los sistemas Windows y se limita a Windows 7 SP1 64 bits y Windows Server 2008 R2 SP1. Para aprovechar esta vulnerabilidad, un atacante debería primero registrarse en el sistema y, seguidamente, ejecutar una aplicación modificada de forma especial para poder tomar el control del sistema. Esto es posible porque Windows fallaría a la hora de manejar objetos en la memoria, por lo que el atacante que cumpliese los requisitos podría ejecutar código arbitrario en modo kernel e instalar aplicaciones, ver, modificar o eliminar datos o incluso crear nuevas cuentas de usuarios con permisos de administrador.   Existe una prueba de concepto desarrollada por el investigador Ulf Frisk que explica cómo explotar esta vulnerabilidad, por lo que se recomienda aplicar el parche lo antes posible, por si algún delincuente decidiera aprovecharla. Otra empresa que se apuntó hace tiempo a publicar actualizaciones periódicas de seguridad es Adobe. Este pasado mes de abril lanzó 19 actualizaciones, siendo 4 de ellas consideradas críticas. No se han encontrado evidencias de que estas vulnerabilidades estuvieran siendo aprovechadas por los delincuentes.

Los ciberdelincuentes usan falsos vídeos de los usuarios para distribuir malware a través de Facebook Messenger

Jue, 26/04/2018 - 13:19

Submelius, que es como se conoce a esta amenaza, ya es una de las más detectadas en España según la compañía de ciberseguridad ESET

Madrid, 26 de abril de 2018.- ESET, el mayor fabricante de software de seguridad de la Unión Europea, ha investigado el funcionamiento y distribución de un malware conocido como Submelius que se ha convertido en una de las amenazas más detectadas en España en los últimos días.

Submelius no es nuevo; de hecho, el año pasado hubo una campaña potente que usaba sitios webs de películas online como vector de ataque. La novedad es que ahora los ciberdelincuentes utilizan Facebook Messenger como plataforma de distribución del malware y que, además, usan la imagen de la víctima para que ésta baje la guardia y pique el anzuelo.

Este malware, detectado por ESET como JS/Chromex.Submelius, utiliza extensiones del navegador Google Chrome (el más utilizado a día de hoy) con el objetivo de poder robar información, descargar malware o bombardear al usuario con publicidad, pero para llegar a este punto ha de engañar previamente a las víctimas.

Facebook Messenger como vector de ataque

Ejemplo de vídeo enviado a la víctima 1

Todo comienza cuando el usuario-víctima recibe un mensaje de uno de sus contactos en Facebook a través de la aplicación de mensajería. Supuestamente estaría circulando un vídeo, del que se muestra la previsualización en la que puede verse reconocido (en realidad esta foto ha sido obtenida de su propio perfil gracias a que el contacto ha sido previamente infectado y los ciberdelincuentes tienen acceso a las imágenes públicas de la red social del usuario). Con esta estrategia consiguen que muchos usuarios bajen la guardia y pulsen sobre el enlace para ver qué tipo de vídeo se está compartiendo sobre su persona.

Si el usuario cae en la trampa, y pulsa sobre el enlace, es redirigido a un dominio controlado por los atacantes desde el cual se realiza toda la operación para instalar las extensiones de Google. En caso de contar con una solución antivirus como las proporcionadas por ESET, el acceso a la web maliciosa es bloqueado, alertando del riesgo y de la detección de la amenaza. Si no, el usuario accede a una web que simula ser la de YouTube. “Hay que reconocer que los delincuentes se han molestado en replicar la web de esta empresa utilizando los mismos logos y disposición de elementos, e incluso aplicando un certificado válido que proporcione la verificación de seguridad mediante el protocolo de cifrado HTTPS que, recordemos, sirve para indicar que la conexión entre nuestro sistema y la web es segura, pero no garantiza que el contenido de la web lo sea“, explica Josep Albors, responsable de la investigación realizada por el laboratorio de ESET España. Sin embargo, fallan en lo más elemental, la URL no tiene nada que ver con la de YouTube.

Los delincuentes han descuidado la URL

Cuando el usuario intente reproducir el vídeo picará en el segundo anzuelo dispuesto por los ciberdelincuentes porque para poder verlo exigirán instalar un complemento para el navegador, presentando la misma opción una y otra vez hasta que el usuario la acepte o cierre la página.

Una vez instalada la extensión, y para cerrar el círculo, los delincuentes redirigen a la víctima a la web de registro de Facebook. Si introduce sus credenciales, estas serán robadas por la extensión maliciosa y utilizadas para acceder a la cuenta del usuario y así seguir propagando la amenaza entre su lista de contactos con el mismo procedimiento.

“Hemos de ir con mucho cuidado cuando lo que recibimos a través de Facebook, desde otra red social o incluso por medio del correo electrónico, sea de un contacto de confianza. Los delincuentes saben que muchos usuarios bajan la guardia cuando alguien de su entorno es quien actúa como vector de ataque, y más si el gancho es algo relacionado con nuestra privacidad, por lo que, antes de hacer clic, preguntemos y averigüemos si realmente nuestros amigos nos han querido enviar este enlace”, recomienda Albors.

 

Una de las amenazas más detectadas en España

Submelius ha llegado a ser en los últimos días, según los datos de telemetría de ESET, la segunda amenaza más detectada en España (a día de hoy con una prevalencia del 26,87%) y en el balance mensual solo se halla por detrás del minado no autorizado de criptomonedas y la estafa del falso soporte técnico. Además, junto a Italia, Suecia y Dinamarca es uno de los países con más detecciones de este tipo de malware.

España es uno de los países más afectados

Cómo evitarlo

Para evitar ser infectado por este tipo de malware es necesario navegar siendo consciente de los peligros, y mantener las alertas encendidas incluso si son conocidos quienes envían mensajes sospechosos; además, es muy importante contar con una solución de seguridad que detecte este tipo de amenazas como ESET.

En caso de que sea demasiado tarde y Submelius haya infectado el dispositivo del usuario instalando alguna de las extensiones maliciosas en Chrome, debemos proceder a eliminarlas lo antes posible. Para ello hay que acceder al apartado de extensiones escribiendo “chrome://extensions” en la barra del navegador y eliminar las sospechosas. Además, siempre es recomendable analizar el equipo con una solución de seguridad como ESET Internet Security para buscar posibles restos de esta infección y proceder a su eliminación. 

ESET, reconocido por Kuppinger Cole como líder global en el mercado de soluciones de seguridad para empresas

Mar, 24/04/2018 - 10:35

Madrid, 24 de abril de 2018.- ESET, el mayor fabricante de software de seguridad de la Unión Europea, ha recibido el reconocimiento de la organización de análisis independiente Kuppinger Cole en su último informe sobre seguridad endpoint para empresas. La compañía de ciberseguridad ha sido galardonada con la puntuación más alta en las categorías “Innovación”, “Producto”, “Mercado” y “Líder global”.

El informe anual de la consultora examina a los fabricantes más importantes del mercado de soluciones de seguridad endpoint para empresas, con un especial énfasis en la protección antimalware. En su evaluación, Kuppinger Cole analiza la funcionalidad de los productos, la innovación y la cuota de mercado de cada fabricante.

En la categoría “Liderazgo e Innovación”, el último informe de la consultora destaca a los fabricantes más importantes que están desarrollando nuevas tecnologías y características diseñadas para detectar y eliminar malware sofisticado en sus productos actuales y futuros. ESET ha sido reconocida por su complejo motor de detección multicapa, con el que ayuda a identificar y obstaculizar cualquier intento de ataque a una organización. Kuppinger Cole también destaca la capacidad de ESET a la hora de detectar códigos maliciosos que no descargan archivos en el disco, malware polimórfico y ransomware.

Estamos muy orgullosos de recibir este reconocimiento a nuestras soluciones de seguridad empresarial por parte de Kuppinger Cole”, admite Juraj Malcho, director de tecnología de ESET. “Las empresas se enfrentan a enemigos cada vez más sofisticados, capaces de desplegar una gran variedad de técnicas para atacar sus redes y puestos de trabajo. ESET se compromete a ofrecer las mejores soluciones para que las empresas puedan detectar y protegerse mejor contra este tipo de ataques”.

El informe evalúa a cada fabricante sobre cinco criterios esenciales para que cualquier CIO decida qué solución escoger a la hora de proteger a su organización. ESET recibió una puntuación de “Positivo Sólido” en las categorías de Funcionalidad, Integración y Usabilidad y de “Positivo” en Seguridad e Interoperabilidad, lo que demuestra la capacidad de ESET a la hora de ofrecer soluciones de seguridad escalables y avanzadas para cualquier empresa.

En la categoría de Liderazgo Global, ESET consiguió una puntuación muy alta gracias a su experiencia en la lucha contra el malware demostrada a lo largo de los 30 años de historia de la compañía, así como por su capacidad de innovación en los productos y soluciones que ofrece al mercado. Kuppinger Cole identifica a los Líderes Globales combinando la puntuación obtenida por sus soluciones, la presencia en el mercado y las categorías de innovación.

Se puede acceder al informe completo de Kuppinger Cole en este enlace.

ESET denuncia 35 supuestas apps de seguridad en Google Play que en realidad difundían adware

Jue, 19/04/2018 - 12:49

Investigadores de la firma de ciberseguridad descubrieron que las apps aportaban publicidad no deseada y una pseudo-seguridad inefectiva.

Madrid, 19 de abril de 2018.- De acuerdo con AV-Comparatives, organización independiente encargada de realizar pruebas sobre detección y fiabilidad de antivirus, existen diferencias significativas en el nivel de protección que ofrecen las distintas soluciones de seguridad para móviles. Sin embargo, ninguna de ellas alcanza cuotas tan bajas como las denunciadas por los investigadores de ESET: 35 han sido las aplicaciones recientemente descubiertas por los investigadores de la compañía de ciberseguridad en la tienda oficial de aplicaciones para Android. Éstas pretendían engañar a los usuarios bajo una apariencia de app de seguridad cuando, en realidad, difundían publicidad no deseada.

Aunque ya han sido retiradas de Google Play, estas apps han sido capaces de pasar desapercibidas durante un par de años, acumulando hasta seis millones de instalaciones.  Sin embargo, esas cifras no reflejan necesariamente instalaciones reales ya que es una práctica común hacer descargas falsas mediante bots que, además, y de forma inmediata, marcan una calificación positiva mejorando la valoración general de la aplicación.

Las aplicaciones suspendidas, además de molestar a sus víctimas con publicidad, generaban una falsa sensación de seguridad en los usuarios. “Estas aplicaciones imitan funciones básicas de seguridad, basándose en unas pocas reglas triviales de código y, frecuentemente, detectan aplicaciones legítimas como maliciosas. Además, crean un falso sentido de seguridad en las víctimas, dejándolas expuestas a riesgos reales de aplicaciones maliciosas que no son detectadas como tales”, explica Josep Albors, responsable de investigación y concienciación de ESET España.

Entre los escasos mecanismos de detección que los investigadores de ESET observaron en estas aplicaciones de pseudo-seguridad se podría hablar de la existencia de listas blancas con apps populares y negras (con muy pocos elementos como para ser considerada como funcionalidad de seguridad) o de la administración de permisos. En este sentido las apps alertaban sobre todas las aplicaciones (incluidas las legítimas) en caso de requerir permisos considerados como peligrosos, tales como enviar y recibir SMS, acceso a datos de ubicación o acceso a la cámara, entre otros.

Por otra parte, algunas de las apps analizadas ofrecían una supuesta capa adicional de seguridad, mediante el uso de contraseñas o patrones de desbloqueo. Sin embargo, debido a instalaciones inseguras, esta funcionalidad también fallaba a la hora de brindar una verdadera seguridad al usuario. El problema es que la información importante no era almacenada de forma segura en el dispositivo. En lugar de utilizar cifrado, estas aplicaciones almacenaban los nombres de las aplicaciones bloqueadas y las contraseñas para desbloquearlas en texto plano. Esto quiere decir que se podría acceder a los datos si el dispositivo fuera “rooteado”.

Además, sin necesidad de “rootear” el teléfono, habría otra alternativa para evadir el bloqueo de la aplicación, ya que un atacante con acceso físico al dispositivo podría modificar la contraseña de bloqueo sin saber cómo era la antigua.

“Tener una solución de seguridad instalada en un dispositivo con Android es algo positivo y recomendable. Sin embargo, debemos asegurarnos de descargar apps de compañías con buena reputación, como ESET”, continúa Albors.

Las 35 pseudoaplicaciones de seguridad que han sido retiradas del repositorio oficial de Google no representan una amenaza comparable a infecciones por ransomware u otro tipo de malware potente. Sin embargo el adware es muy molesto, ya que despliega publicidad no deseada de forma reiterada. Por regla general, el adware suele tener un impacto visual a la hora de navegar y no tanto en el rendimiento del dispositivo, puesto que los ejecutables que utilizan suelen ser pequeños y discretos. No obstante, el verdadero peligro del adware se encuentra en su capacidad de redirigirnos hacia donde sus creadores quieran y esto incluye páginas infectadas con todo tipo de malware.

Si detectamos la presencia de molestos anuncios en nuestro dispositivo, lo más probable es que haya una aplicación que los esté generando. En ese caso deberíamos revisar las aplicaciones instaladas y proceder a desinstalar aquellas sospechosas. Los antivirus para Android como ESET Mobile Security pueden sernos de gran ayuda para detectar y eliminar estas aplicaciones maliciosas si realizamos un análisis del dispositivo periódicamente”, concluye Josep Albors.

Amplía la información en https://www.welivesecurity.com/la-es/2018/04/17/cuidado-apps-que-solo-disparan-publicidad-se-hacen-pasar-por-aplicaciones-de-seguridad/

Imagen de las 35 apps retiradas de Google Play

Mª José Montes se incorpora al equipo de ESET España

Jue, 12/04/2018 - 12:08

La experta ha sido nombrada nueva responsable de ciberseguridad de ESET España

Madrid, 12 de abril de 2018.- ESET España ha anunciado el nombramiento de Mª José Montes como nueva responsable de ciberseguridad de la compañía. Montes es una conocida experta del sector de la ciberseguridad, en el que trabaja como especialista desde hace más de 5 años. La profesional se incorpora a la empresa desde la catalana SVT Cloud Services, donde desempeñaba el cargo de analista de seguridad.

Con anterioridad, Montes ha desarrollado su carrera profesional como consultora y analista de seguridad en otras empresas del sector, como Securízame. En ESET España tendrá como responsabilidad garantizar que la información de la empresa está protegida adecuadamente. En su nuevo rol deberá velar por la implantación de las políticas de seguridad internas y el cumplimiento de la normativa de la seguridad de la información, garantizando la seguridad y privacidad de los datos y supervisando el control de acceso a la información, siendo responsable de la respuesta ante incidentes de seguridad de la información en la organización.

Mª José Montes es una figura muy vinculada a los congresos de seguridad. Es socia fundadora y miembro de la Junta Directiva de ANPhacket, la Asociación Nacional de Profesionales del Hacking Ético y miembro del Qurtuba Security Congress. También es cibercooperante de Incibe, co-fundadora del proyecto “Hacking Solidario” con el que realiza charlas de concienciación en seguridad TIC a familias en las que se recogen alimentos y juguetes para los más necesitados. Montes ha participado como ponente en múltiples conferencias de seguridad nacionales e internacionales como Sh3llCon, Conand (Andorra), PaellaCon, MoscowC0n (Rusia), X1RedMasSegura, PilarCON, HoneyCon, Sec/Admin o Qurtuba, donde ha intentado divulgar la cultura de la ciberseguridad. Como experta en la materia cuenta con artículos técnicos publicados en diversas revistas especializadas, como Hackers&Developers (Argentina), One Hacker y colaboraciones en los blog de Hacking ético, Flu Project y otros.

El 50% del ransomware detectado en España pertenece a la familia TorrentLocker

Mar, 10/04/2018 - 10:54

Según la firma de ciberseguridad ESET, España fue el segundo país de la Unión Europea con mayor detección de ransomware (FileCoder) durante 2017

Madrid, 10 de abril de 2018. ESET, el mayor fabricante de software de seguridad de la Unión Europea, ha analizado el estado e impacto del ransomware en España a lo largo del pasado año 2017, así como las familias más detectadas y el índice de penetración de este malware, que cifra la información de las víctimas y pide un rescate para su recuperación.

De acuerdo con los estudios realizados por el Laboratorio de Investigación de ESET España, la cantidad de familias de ransomware (clasificadas como FileCoder por ESET) y sus variantes ha aumentado en territorio español un 42% respecto al año anterior. Así, durante 2017 se identificaron 324 variantes, muy por encima de las 228 registradas en 2016. Entre ellas hay un claro dominador: TorrentLocker. De hecho, según las cifras manejadas desde el Laboratorio de ESET España, un 50,4% del ransomware detectado durante 2017 en España pertenecía a esta familia. Esto significa que una de cada dos detecciones de ransomware realizadas en territorio español corresponde a esta familia.

Además del dominio indiscutible de TorrentLocker, en el top 5 destacan otras variantes de ransomware como TeslaCrypt (11,1%), CryptoWall (9,7%), Crysis (8,1%), Cerber (7%) o Locky (6,6%). En el siguiente gráfico se pueden observar las familias más detectadas en el país:

 

Por otro lado, desde ESET España subrayan que, de las 1.190 variantes identificadas en todo el mundo en 2017, 324 tuvieron presencia en nuestro territorio, lo que significa que un 27% del total del ransomware mundial tuvo actividad en el país.

Del análisis de los registros de 2017 también hay que subrayar el hecho de que España ocupa la segunda posición en el listado de los países con mayor porcentaje de detección de FileCoder en la Unión Europea, con un 15,9% de detecciones sobre el global de la UE. El listado de los 10 países más afectados se completa con Italia (25,1%), Polonia (8,8%), Francia (8,2%), Reino Unido (6,6%), Holanda (5,8%), Alemania (5,5%), República Checa (4,0%), Hungría (2,3%) y Grecia (2,3%).

El resto del listado lo conforman Bélgica (2,22%), Eslovaquia (2,00%), Rumania (1,96%), Croacia (1,32%), Bulgaria (1,20%), Irlanda (1,13%), Eslovenia (1,09%), Suecia (1,02%), Austria (0,87%), Portugal (0,78%), Lituania (0,77%), Chipre (0,30%), Dinamarca (0,24%), Luxemburgo (0,19%), Letonia (0,15%), Estonia (0,11%), Malta (0,04%) y Finlandia (0,02%).

Pese a ocupar la segunda plaza en detección de ransomware en la Unión Europea hay que destacar el descenso respecto a 2016. En 2017 el porcentaje de detección en nuestro país de este tipo de código malicioso se situó en los 24 puntos sobre 100.

El impacto que una amenaza tan peligrosa como el ransomware ha tenido en España durante el pasado año demuestra que nuestro país tiene margen de mejora en lo que respecta a la implantación de medidas de seguridad”, explica Josep Albors, responsable de Investigación y Concienciación de ESET España. “Tampoco debemos bajar la guardia ante el descenso con respecto a años anteriores, puesto que esta amenaza sigue estando muy presente y puede causarnos graves problemas”, concluye Albors.

 

BARÓMETRO MENSUAL DE SEGURIDAD ESET: La privacidad de los usuarios centra la atención de marzo

Mié, 04/04/2018 - 13:25

Las filtraciones de Grindr o la cesión no autorizada de datos por parte de Facebook ponen en entredicho la seguridad y privacidad de la información

Madrid, 4 de abril de 2018.- El mes de marzo ha sido un mes convulso en lo que a la privacidad de los usuarios se refiere. Numerosas filtraciones, vulnerabilidades en aplicaciones e incluso una cesión no autorizada de datos pertenecientes a cuentas de Facebook han protagonizado las últimas semanas y han despertado numerosas conciencias e incluso bajas en algún servicio online.

La privacidad puesta en entredicho

La cesión no autorizada de los datos de 50 millones de usuarios de Facebook a la empresa Cambridge Analytica ha provocado un gran revuelo, sobre todo tras averiguarse que estos datos se utilizaron para influir en el voto de elecciones tan trascendentales como las presidenciales de EEUU o el referéndum del Brexit.

La recopilación y posterior venta de estos datos por parte de un investigador de la Universidad de Cambridge que, en principio, solo quería realizar un test de personalidad era conocida por Facebook desde 2015 y, aparentemente, pidió el borrado de esta información. Ahora sabemos que no se realizó y, además, la información fue usada sin conocimiento de los usuarios afectados.

Este incidente junto con la preocupación de algunos usuarios que, tras comprobar la información que Facebook almacena de ellos y observaron cómo se incluían datos relacionados con las llamadas de teléfono y el envío de mensajes SMS, han hecho de marzo un mes difícil para la red social: le han llovido críticas de todos lados por no gestionar adecuadamente la información que esta red social recopila de sus usuarios.

La gestión que hacen de nuestros datos las redes sociales y otros servicios online siempre es un tema delicado” comenta Josep Albors, responsable de investigación y concienciación en ESET España. “Nunca debemos olvidar que hablamos de empresas que hacen negocio con nuestros datos por lo que es conveniente leerse las condiciones de uso y configurar las opciones de privacidad de forma adecuada para evitar disgustos”, concluye Albors.

La plataforma de citas gays, Grindr, ha sido otra de las grandes afectadas. Gracias a varias investigaciones se supo que esta red social compartía información privada de sus usuarios con terceros, información delicada que incluye incluso el estatus de VIH.

Por otro lado, un fallo ya solucionado en la API de Grindr permitía conocer la ubicación de los usuarios, aunque tuviesen la opción desmarcada. Esto es especialmente preocupante para aquellos usuarios que vivan en países que condenan la homosexualidad y que incluso llegan a imponer penas de muerte para quien la practique.

También la empresa Under Armour confirmó una brecha que habría expuesto los datos de alrededor de 150 millones de usuarios de la aplicación MyFitnessPal. Entre los datos filtrados se pueden encontrar los nombres de usuario, direcciones de correo electrónico y los hashes de las contraseñas cifrados con Bcrypt. Otros datos como tarjetas de crédito o documentos identificativos, como el número de la Seguridad Social, no se habrían visto afectados según declaraciones de la empresa.

Viejos conocidos vuelven a la carga

Durante marzo varios grupos relacionados con el cibercrimen o las herramientas de espionaje volvieron a estar de actualidad. Por un lado, investigaciones de ESET revelaron las últimas creaciones maliciosas del grupo OceanLotus, en activo desde, al menos, 2014. Entre ellas encontramos un backdoor que permite acceder remotamente a un sistema infectado. Esta herramienta maliciosa contiene una serie de funcionalidades que hacen posible la manipulación de procesos y del registro del sistema, además de poder descargar componentes adicionales. Este tipo de herramientas son usadas para el ciberespionaje, incluyen el robo de propiedad intelectual y son distribuidas utilizando vectores de ataque tradicionales, como los archivos adjuntos a un correo dirigido a un objetivo en concreto, lo que demuestra que estas técnicas siguen funcionando bien.

El grupo Hacking Team también está de actualidad al demostrarse que siguen trabajando en nuevos desarrollos, a pesar del incidente sufrido en 2015, que hizo que buena parte de sus herramientas pasasen a ser de dominio público. Estas nuevas herramientas serían una evolución de las ya conocidas y serían utilizadas tanto por delincuentes como por agencias de seguridad, pero también por regímenes opresivos.

El descubrimiento de una nueva variante de la herramienta RCS con un certificado digital válido no visto hasta el momento ha provocado que se investigue la recuperación tanto financiera como operativa de este grupo. Numerosas empresas de seguridad como ESET o Citizen Lab han seguido la pista a Hacking Team durante los últimos años.

La buena noticia del mes ha sido la operación realizada de forma conjunta por Europol y varias Policías europeas que han permitido detener al considerado como uno de los principales responsables de ataques a cajeros automáticos y entidades financieras utilizando malware como Carbanak o Cobalt. Precisamente fue la Policía Nacional española quien detuvo a este delincuente en Alicante, desmantelando una red de criminales que supuestamente habrían conseguido varios millones de euros tras sus numerosos ataques.

Vulnerabilidades en servidores de correo, Drupal y ataques DDoS

A principios de marzo tuvieron lugar los ataques de denegación de servicio distribuidos más grandes detectados hasta la fecha. Uno de los ataques se dirigió a Github y el otro a un proveedor de servicios estadounidenses sin desvelar. Ambos ataques fueron mitigados de forma efectiva por empresas especializadas como Akamai y Arbor Networks, pero eso no quita que la magnitud de los mismos fuera algo nunca visto hasta ahora.

Los ataques fueron posibles gracias a la utilización de una técnica conocida desde noviembre de 2017 y que recibe el nombre de Memcrashed, debido a que se utilizan servidores Memcached mal configurados para llevarla a cabo. Estos servidores permiten la utilización del protocolo UDP para comunicarse con ellos, por lo que no se realiza ninguna comprobación y se permite a un atacante suplantar la dirección IP de la víctima, enviar una gran cantidad de peticiones de pequeño tamaño (apenas unos bytes) y recibir respuestas de varios centenares de Kilobytes o incluso de más de un megabyte.

Exim, el agente de transferencia de correo (MTA) más utilizado en servidores de todo el mundo solucionó una vulnerabilidad pocos días después de haber sido reportada. La vulnerabilidad permitiría a un atacante engañar a un servidor de correo que utilizase el MTA de Exim para que este ejecutase comandos maliciosos antes de autenticarse siquiera en el servidor y por eso se recomienda encarecidamente que se actualice a la última versión disponible.

También Drupal, uno de los gestores de contenidos más utilizados informó de una vulnerabilidad que fue parcheada días después. De no hacerlo, miles de sitios podrían quedar expuestos a los ataques de los delincuentes y estos podrían hacerse con el control de los mismos y de la información que en ellos se almacenan.

ESET recibe el premio “Champion of Women”

Mié, 28/03/2018 - 18:04

El Connected Women of Influence Award recibido por ESET reconoce a las organizaciones que promueven iniciativas que impulsen el avance y la promoción de las mujeres en la empresa

Madrid, 28 de marzo de 2018. La firma de ciberseguridad ESET fue reconocida con el premio más importante del evento anual internacional Connected Women of Influence Awards, el galardón "Champion of Women".

El premio de la asociación Connected Women of Influence reconoce a una empresa u organización que promueva programas internos e iniciativas que son únicos, vanguardistas y están diseñados específicamente para apoyar el avance y la promoción de las mujeres en su lugar de trabajo.

La Vicepresidenta de Recursos Humanos de ESET, Celeste Blodgett, aceptó el premio en nombre de la compañía de ciberseguridad. Blodgett ha sido una gran defensora de los programas centrados en las mujeres en ESET a lo largo de sus 11 años en la compañía.

"Estoy muy agradecida de aceptar este premio en nombre de ESET", dijo Blodgett en el escenario en el evento. "Somos muy afortunados de trabajar en una empresa que apoya a las mujeres en el campo de la ciencia, tecnología, ingeniería y matemáticas".

ESET es un firme defensor desde hace mucho tiempo del avance de las mujeres en el campo de la ciencia, ingeniería y matemáticas (STEAM / STEM), incluyendo la tecnología y la ciberseguridad, tanto interna como externamente en la comunidad. En una industria donde menos del 11% son mujeres, ESET ha creado una serie de programas e iniciativas únicas para empoderar a las mujeres e incentivarlas en este campo, ayudando a su promoción una vez consolidadas en estas áreas de trabajo.

En este sentido, uno de los programas con los que ESET se ha comprometido a lo largo de los últimos años es "Women of the Workplace" (WOW); reuniones mensuales en las que ESET intenta apoyar e impulsar las carreras de las mujeres empleadas. Además, existe la beca anual “ESET Women in Cybersecurity Scholarship” (que este año celebra su tercera edición y cuyo plazo de solicitudes termina el próximo 1 de abril). Esta beca facilita fondos a estudiantes que buscan especializarse en el área de la ciberseguridad.

ESET también ha apoyado los eventos "Women in Blue" de la San Diego Police Foundation (SDPF) y ha destinado recursos para hombres y mujeres en las fuerzas y cuerpos de seguridad, así como al programa SafetyNet de SDPF que ayuda a mantener a los niños seguros en internet. ESET también ha encabezado el programa Cyber ​​Bootcamp durante muchos años y se enorgullece de ver cómo cada año se inscriben más niñas.

En una reciente encuesta realizada a los empleados de ESET, los trabajadores reconocieron el valor de la “diversidad" de la empresa, siendo una de las categorías de la encuesta donde mejor resultado obtuvo. Los programas mencionados anteriormente son solo algunas de las iniciativas que ESET ha promovido en su intento de crear una fuerza laboral e industria más incluyente. ESET cree que la diversidad es clave para el éxito de cualquier gran compañía y comunidad.

 

Nota a editores:

En la foto: La vicepresidenta de recursos humanos de ESET, Celeste Blodgett aceptando el galardón "Champion of Women" otorgado el pasado 21 de marzo. Junto a ella, Palo Luka, COO de ESET.

Los Connected Women of Influence Awards son una celebración anual que se realiza coincidiendo con el mes de la mujer y reconocen a mujeres que lideran sus áreas de negocio, industria o empresa y organizaciones o personas que defienden el liderazgo de las mujeres.

Connected Women of Influence (CWI) es una importante asociación b2b impulsada por mujeres directivas, propietarias, ejecutivas y profesionales y dedicada a las mujeres. A través de ella tejen una red de colaboración, relaciones profeionales y afiliaciones de alto nivel.

España principal objetivo de la estafa de falso soporte técnico

Jue, 22/03/2018 - 12:48

La firma de ciberseguridad ESET ha confirmado una prevalencia entorno al 20% de esta amenaza con tintes de estafa durante el último mes.

Madrid, 22 de marzo de 2018. La estafa del falso soporte técnico es una vieja conocida. De hecho, desde el último trimestre de 2016, la firma de ciberseguridad ESET , viene alertando de su focalización en nuestro país. “Es una amenaza que no es nueva, compañeros de ESET como David Harley llevan casi una década hablando de ella, sin embargo, ahora podemos detectar una concentración sin parangón en nuestro país”, explica Josep Albors, responsable de investigación y concienciación de ESET España.

La estafa del falso soporte técnico (detectada por los productos ESET como HTML/FakeAlert) explota la ingenuidad del usuario, y se basa en la utilización de diferentes estrategias encaminadas a un mismo fin: convencerlo de que necesita la ayuda de un soporte técnico para resolver problemas inexistentes en su ordenador.

La amenaza comenzó operando sobre usuarios de habla inglesa, basándose en técnicas rudimentarias. En muchas ocasiones consistía en una llamada fría en la que el operador seguía un guión preestablecido”, explica Albors. En cambio, en la actualidad, es una amenaza con escasa prevalencia en países de habla inglesa, incluso los índices de detección registrados por ESET Live Grid en Latinoamérica son poco relevantes. Los españoles, en cambio, se han convertido en las víctimas preferidas de este tipo de amenaza que ha registrado una prevalencia del 21,8% durante los últimos 30 días. De hecho, solo las amenazas relacionadas con el minado no autorizado de criptodivisas, tienen un porcentaje de detección mayor.

 

Si analizamos el ciclo de vida de esta estafa durante los últimos meses en España podemos ver cómo tuvo una incidencia bastante elevada durante la primera mitad de 2017, para descender en verano y volver con fuerza a la vuelta de las vacaciones. “De hecho, si revisamos los datos de detección proporcionados por el sistema Virus Radar de ESET podemos observar que las detecciones de esta amenaza se reducen prácticamente a 0 durante los fines de semana. Esto demuestra que detrás se encuentran empresas o grupos de estafadores que tienen su horario laboral propio”, explica el responsable del laboratorio de ESET España.

 

Algo que desde ESET se subraya es el hecho de que los estafadores no se centran en buscar a sus víctimas por el idioma que hablan –el bajo impacto en Latinoamérica corrobora está afirmación– sino por el país en el que viven. El alto índice de detecciones de esta amenaza en nuestro país demuestra que los delincuentes han encontrado un filón entre los usuarios españoles y no es difícil encontrar usuarios que comentan que han sufrido este tipo de incidentes. Muchos de ellos son usuarios de avanzada edad que, ante la imposibilidad de cerrar el navegador, la alarma generada en su pantalla y los pocos conocimientos informáticos de los que disponen, caen en las redes de estos estafadores y terminan pagando por un soporte técnico que no es tal.

Funcionamiento de la amenaza

Aunque las técnicas originarias eran bastante rudimentarias éstas se han perfeccionado. Hasta ahora, la mayoría de estas amenazas surgía como un mensaje emergente en una web que normalmente bloqueaba el trabajo y mostraba un mensaje de alerta provocado supuestamente por un fallo en el sistema o una falsa infección. “Estos mensajes eran bastante escuetos y no aportaban mucha información para, precisamente, convencer al usuario de la necesidad de llamar al número de teléfono que se indicaba, para que un supuesto técnico se conectase remotamente a su sistema y solucionase sus problemas por un elevado precio”, comenta Albors.

Sin embargo, desde el laboratorio de ESET España se han observado algunas variaciones recientes que tienen como finalidad hacer la estafa más convincente. Y es que la mayoría de estas ventanas de alertas falsas provienen ahora de campañas de anuncios maliciosos que están siendo lanzadas desde sitios web legítimos previamente comprometidos. “Además, los esfuerzos realizados por los delincuentes para tratar de bloquear el navegador hacen que muchos usuarios caigan en esta trampa”, continúa el experto.

Algunas de las técnicas registradas por ESET se basan en la generación de pestañas en el navegador de forma constante con la misma alerta, de forma que se impide el cierre del mismo, provocando que el usuario se quede atrapado entre ellas. Otra técnica reciente implica el abuso de una API que consigue congelar el navegador, provocando que los usuarios se asusten y llamen al número que aparece en pantalla en busca de ayuda.

Para evitar este tipo de amenazas, además de contar con un antivirus que sea capaz de detectarlas como ESET Internet Security, se puede utilizar tanto un bloqueador de anuncios como alguna de las extensiones que evitan que se ejecute código JavaScript de forma automática (algo que también es muy efectivo contra el minado de criptodivisas no autorizado).

El Puerto de Cartagena apuesta por ESET para blindar su arquitectura informática

Jue, 15/03/2018 - 17:20

Los trabajadores del Puerto de Cartagena, el más rentable del sistema portuario español, han mejorado su experiencia de usuario, valorando la solución de ESET como muy satisfactoria

Madrid, 15 de marzo de 2018. La Autoridad Portuaria de Cartagena (APC) ha encontrado en la firma de software de seguridad ESET el aliado perfecto para combatir el malware en su parque informático repartido por varias sedes. En total los técnicos en sistemas de la APC gestionan cerca de 200 equipos de usuario, dos centros de proceso de datos y en torno a 100 servidores que permiten soportar todos los sistemas que facilitan la gestión administrativa y portuaria.

El Puerto de Cartagena se encuentra en un momento excepcionalmente bueno y cualquier error en su arquitectura informática podría resultar muy dañino para su imagen y su negocio. De hecho, con casi 35 millones de toneladas de mercancías de tráfico total, este 2017 supuso un 9% de incremento respecto al año anterior, consiguiendo la cifra más alta en la historia de este puerto. Esta buena cifra se ha traducido también en un aumento de la facturación: la cifra de negocio ha sido superior a los 46 millones de euros, que lo convierten en el más rentable del sistema portuario.

La Autoridad Portuaria de Cartagena se encontraba ante el reto de buscar una solución de seguridad para sus puestos de trabajo (endpoints) que supusiera un salto cualitativo en la gestión diaria; para ello, el Comité de Seguridad de la Información y el Comité de Dirección, establecieron una hoja de ruta dentro de la estrategia global de seguridad de la APC. Evaluaron diferentes fabricantes, pero la solución de ESET destacó desde el principio de los test. “Destacó desde las primeras pruebas ya que los equipos no se veían condicionados por la ejecución en la memoria y procesos del PC. Además, la interfaz de usuario y el sistema de gestión y control de las instalaciones fue muy valorada por los técnicos del CAU”, explica Juan Antonio Sánchez, Jefe Departamento de Sistemas de Información y Comunicaciones.

La relación calidad-precio, la capacidad de detección y el bajo consumo de los recursos del sistema resultaron ser los factores decisivos para que la APC se inclinase por ESET Endpoint Protection Advanced, solución que adquirieron a través del partner de ESET España, UTOPIUX.

La mejora en la detección y la reducción de falsos positivos se evidenciaron a los pocos meses de su implantación. La mejora en el rendimiento de los equipos de usuario también evitó ciertas incidencias que provocaban las anteriores soluciones antivirus”, afirman desde la APC. Además, gracias a la consola de administración centralizada, los técnicos pueden gestionar la seguridad de todos los equipos de forma remota desde un único punto, lo cual facilita su labor.

El despliegue de ESET Endpoint Protection Advanced se realizó de forma rápida y aunque el proyecto inicial solo pretendía securizar los puestos de trabajo, la facilidad en la instalación y sobre todo el buen rendimiento y detección de virus les animó a ampliar la protección de ESET a servidores y otros equipos de gestión utilizados por organismos externos. “ESET nos aportaba un valor tan alto que decidimos extender su implantación y unificar toda la seguridad endpoint”, asegura Sánchez. Además, tras la implantación, la APC tomó el pulso a los empleados concluyendo que la experiencia de usuario había mejorado fundamentalmente gracias al rápido acceso a datos y aplicaciones que permite ESET.

ESET Endpoint Protection Advanced, la solución instalada por la APC, mantiene la red libre de infecciones, y además de proteger todos los dispositivos conectados, ordenadores, smartphones, tabletas o servidores de archivos de la compañía de todo tipo de amenazas y el robo de datos, añade cortafuegos, antispam para monitorizar el tráfico de correo electrónico y evitar que llene la bandeja de entrada de correos fraudulentos que pueden acabar infectando los equipos y filtro de contenido para proteger el acceso a la información. Además, esta solución cuenta con consola de administración web, es decir, que se puede gestionar la seguridad de todos los equipos de la empresa de forma fácil desde un único punto, facilitando la labor del departamento técnico y liberando su tiempo. Además, gracias al análisis potenciado en la nube, cualquier proceso sospechoso se consulta con la base de datos de ESET para reducir al mínimo los falsos positivos e incrementar la rapidez en los análisis. 

Descargar caso de éxito: Autoridad Portuaria de Cartagena

Una investigación de ESET destapa las nuevas estrategias del grupo de ciberdelincuentes OceanLotus

Mar, 13/03/2018 - 16:41

Incorporan un nuevo backdoor a las técnicas maliciosas que les han funcionado durante años 

Madrid, 13 de marzo de 2018.- El laboratorio de ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, ha destapado las últimas campañas maliciosas llevadas a cabo por el conocido grupo de ciberdelincuentes OceanLotus, famoso por sus actividades criminales en el sudeste de Asia. La empresa de ciberseguridad ha descubierto que este grupo utiliza fundamentalmente técnicas clásicas, que siguen dándoles buenos resultados, pero han incorporado en su estrategia el uso de un nuevo backdoor. Básicamente los ciberdelincuentes utilizan diferentes métodos para convencer al usuario de que ejecute el backdoor. Una vez conseguido, intenta permanecer en el sistema pasando desapercibido el máximo tiempo posible.

Las actividades de OceanLotus se centran en redes gubernamentales y en empresas del sudeste asiático, sobre todo en Vietnam, Filipinas, Laos y Camboya. Además, el año pasado ejecutaron un ataque denominado Operación Cobalt Kitty, dirigido a una gran empresa asiática con el objetivo de robar información corporativa confidencial.

En la investigación llevada a cabo, los expertos de ESET han descubierto que los delincuentes utilizan varios métodos para engañar a las víctimas potenciales, como el uso de extensiones dobles o iconos falsos para camuflar sus amenazas como documentos ofimáticos de Word o archivos PDF. Normalmente estos anzuelos aparecen como adjuntos en correos electrónicos, aunque ESET también ha descubierto instaladores falsos y actualizaciones de software usados para distribuir el mismo backdoor.

En la investigación, además, ESET demuestra cómo el último backdoor de OceanLotus (ver investigación completa) es capaz de ejecutar software malicioso en el sistema. El proceso de instalación se apoya en un documento señuelo que se envía a la víctima potencial y desde el momento en el que se instala, realiza múltiples operaciones en la memoria siguiendo técnicas de carga que ejecutan completamente el malware en el sistema. 

Las actividades de OceanLotus demuestran su intención de permanecer escondidos y elegir a sus objetivos cuidadosamente, pero los investigadores de ESET han sacado a la luz la verdadera dimensión de sus malintencionadas actividades”, asegura Alexis Dorais-Joncas, responsable del equipo de inteligencia de la seguridad en ESET.

El grupo trabaja para limitar la distribución del malware y utilizar diferentes servidores que eviten llamar la atención sobre una sola dirección IP o un dominio concreto. Cifrando el payload y combinándolo con las técnicas de carga lateral, OceanLotus puede evitar los sistemas de detección y aparecer como una aplicación legítima. Sin embargo, a pesar de que los ciberdelincuentes han intentado mantener secretas sus operaciones, los investigadores de ESET han descubierto sus actividades, revelando cómo logran que éstas sigan siendo efectivas. “El sistema de inteligencia sobre amenazas de ESET ha mostrado datos concluyentes sobre cómo este grupo de delincuentes actualiza de forma continua sus herramientas para mantenerse activos”, añade Romain Dumont, investigador de ESET.

Para obtener más información sobre esta investigación, se puede leer el documento completo de los investigadores de ESET en https://www.welivesecurity.com/2018/03/13/oceanlotus-ships-new-backdoor/.

[Barómetro mensual de ciberseguridad] El minado no autorizado de criptodivisas centra los ataques de febrero

Mar, 06/03/2018 - 13:18

El ransomware y fallos de seguridad en sistemas operativos y aplicaciones siguen siendo las puertas de entrada favoritas de los delincuentes

Madrid, 6 de marzo de 2018.- Nuevamente febrero ha sido un mes marcado por la detección de amenazas relacionadas con el minado no autorizado de criptodivisas, con ratios de prevalencia que rozaron este mes el 30%, según se confirma desde el laboratorio de ESET, la mayor empresa de seguridad informática con sede en la Unión Europea. Desde la compañía de ciberseguridad se advierte de que esta tendencia no tiene visos de desaparecer a corto plazo, por lo que resulta esencial tomar medidas al respecto tanto a nivel de usuario como empresarial.

Mineros hasta en la sopa

El fuerte incremento del valor de las criptomonedas ha empujado a muchos cibercriminales a utilizar todo tipo de técnicas basadas en la inyección de código de minado en webs legítimas con el objetivo de obtener beneficios rápidos. Esta tendencia, que se observa desde finales de 2017, se ha ido perfeccionando en las últimas semanas.

“Aprovechando el exploit EternalBlue, responsable de la rápida propagación del malware WannaCry, y el hecho de que muchos sistemas sigan sin aplicar los parches lanzados por Microsoft hace casi un año, algunos delincuentes han infectado un buen número de dispositivos para tenerlos bajo su control dentro de una botnet dedicada, principalmente, a la minería de criptomonedas y de nombre Smominru”, explica Josep Albors, responsable de investigación y concienciación de ESET España.

Los delincuentes no hacen discriminación a la hora de infectar webs, ya que si bien casi la mitad son de contenido pornográfico, se han llegado a encontrar scripts de minado incluso en webs gubernamentales de Estados Unidos y Reino Unido. “Cualquier web que lo desee puede incluir uno de estos scripts para sustituir a la publicidad, pero lo lógico es que antes avise a sus visitantes y que no abuse del uso de recursos, algo que pocas veces sucede”, puntualiza Albors.

La noticia curiosa del mes pasado relacionada con este tema fue la detención en Rusia de varios científicos que habían utilizado un supercomputador ubicado en el Centro Nacional de la Federación Rusa para minar criptodivisas, conectándolo a Internet en el proceso. Además del uso no autorizado de recursos del Estado, se les podría acusar también de conectar a una red pública un sistema que contiene información confidencial.

Sin embargo, para la mayoría de los mortales, la principal amenaza es que los delincuentes utilicen cualquiera de nuestros dispositivos conectados en su propio beneficio, ya sea para minar criptodivisas o con cualquier otra finalidad. Desde el laboratorio de ESET se ha señalado incluso el uso de dispositivos del IoT, especialmente smartphones y Smart TVs Android, para minado ilícito.

 

El ransomware sigue muy presente

Que el minado no autorizado de criptodivisas sea actualmente la principal tendencia en países como España no significa que otras amenazas hayan desaparecido. “Es cierto que muchos grupos criminales han cambiado o ampliado su negocio y, de hecho, hemos visto que kits de exploits muy conocidos por propagar ransomware hace meses, ahora se dedican a esparcir amenazas relacionadas con la minería”, incide Albors.

Sin embargo, el ransomware sigue muy presente como demuestran las numerosas variantes que siguen apareciendo y los casos de infecciones como el sufrido por el departamento de transportes de Colorado (EEUU) a finales del mes de febrero. Más de 2.000 sistemas se vieron afectados por el ransomware SamSam. Este ransomware, responsable de numerosas infecciones en hospitales, ayuntamientos y empresas durante el mes de enero, ha empezado el año con fuerza.

Otra de las familias más activa este mes ha sido el ransomware GrandCrab. Detectado por primera vez a finales de enero, GrandCrab se ha distribuido mediante el modelo de ransomware como servicio, lo que ha hecho que muchos delincuentes poco especializados lo estén utilizando para conseguir dinero de forma rápida. Suele distribuirse mediante kits de exploit y a través de spam. Los principales países afectados son Brasil, EEUU, India, Indonesia y Pakistán y se evita infectar a aquellos usuarios que vivan en países de la antigua órbita soviética. Por suerte para los afectados, se ha conseguido programar un descifrador para algunas de las variantes de este ransomware que se encuentra disponible en la web “NoMoreRansom.org”, mantenida por grupos policiales y empresas de seguridad de todo el mundo, entre las que se encuentra ESET.

Precisamente el ransomware como servicio es una tendencia en auge entre los delincuentes. De hecho, en las últimas semanas han aparecido nuevas familias que han adoptado este modelo. Un ejemplo más es el del ransomware Saturn cuyos desarrolladores ofrecen la posibilidad de convertirse en distribuidores de este malware y participar en un sistema de afiliados que les permite registrarse en un portal y conseguir hasta un 70% de los pagos realizados por las víctimas.

 

Vulnerabilidades aprovechadas por los delincuentes

Los fallos de seguridad en sistemas operativos, aplicaciones o en el propio firmware de los dispositivos siguen siendo una de las puertas de entrada favoritas de los delincuentes. Durante febrero el laboratorio de ESET ha registrado numerosos ejemplos. Uno de especial interés sería el descubrimiento de una vulnerabilidad en Flash Player que habría sido supuestamente utilizada durante los últimos meses por Corea del Norte para espiar a sus vecinos del sur.

Tras el análisis de esta vulnerabilidad se descubrió que afectaba a la versión de Flash Player 28.0.0.137 y anteriores en sistemas operativos Windows, MacOS y GNU/Linux, además de a la versión instalada en navegadores Chrome, Microsoft Edge e Internet Explorer. Al parecer, los atacantes incluían un fichero SWF dentro de un documento de Word enviado por email para que, al abrirse, se ejecutase o descargase un malware en el sistema de la víctima.

Gracias a la publicación de su boletín mensual de actualizaciones de seguridad también se supo que Microsoft había solucionado numerosas vulnerabilidades en aplicaciones y sistemas operativos. Las más peligrosas afectaban al gestor de correo Outlook, siendo sorprendente la facilidad con la que un atacante podría ejecutar código malicioso en un sistema vulnerable. La primera de estas vulnerabilidades permitiría a un atacante tomar el control del sistema simplemente con la previsualización de un fichero especialmente modificado, y que venía adjunto al email, siempre que el usuario estuviera registrado con permisos de administrador. La segunda vulnerabilidad crítica no requería siquiera que se previsualizara el mensaje; el envío de un email especialmente modificado provocaría que Outlook intentase cargar el mensaje al ser recibido, permitiendo la ejecución de código automáticamente sin interacción alguna por parte del usuario.

En lo que respecta al navegador MS Edge, se reveló un grave fallo que permitiría a un atacante saltarse las restricciones SOP que incluye y aceptaba solicitudes que deberían ser ignoradas. “A pesar de que la posibilidad de explotación de esta vulnerabilidad es limitada, un ataque dirigido podría obtener información confidencial muy interesante desde el navegador”, explica el responsable de investigación y concienciación de ESET España.

También se ha observado una docena de fallos que provocan corrupción en la memoria del navegador y una vulnerabilidad grave en el componente de Windows Structured Query, que permite la ejecución de código con los permisos del usuario registrado en el sistema. No obstante, en este caso se requiere que la víctima abra un archivo o pulse sobre un enlace que le lleve a una web maliciosa controlada por el atacante.

Tampoco se deben olvidar las vulnerabilidades presentes en millones de dispositivos que forman parte del IoT. Se trata de vulnerabilidades que son aprovechadas por los criminales para usarlas en su propio beneficio. Si en 2016 vimos las posibilidades de una botnet formada por dispositivos IoT, la evolución que ha seguido este malware desde entonces no ha dejado de añadir funcionalidades. Una de las más recientes permite utilizar los dispositivos infectados como servidores proxy, además de lanzar ataques de denegación de servicio distribuidos (DDoS) como hasta ahora. Esto permitiría a los delincuentes utilizar estos dispositivos para camuflar sus conexiones y hacer más difícil detectar desde dónde se lanzan.