BAQUIA

Barómetro ESET de Seguridad, junio 2012

El mes de junio suele ser la antesala de las vacaciones para la mayoría, pero tal y como ya hemos advertido en varias ocasiones, el cibercrimen no descansa, y los ataques y propagación de amenazas se siguen produciendo incluso en los meses estivales. Por lo tanto, junio suele darnos una pista de lo que va a ser la tónica general de las próximas semanas.

Comenzábamos el mes informando sobre Flame, la nueva ciberamenaza sucesora de Stuxnet, diseñada para espiar y obtener información de ciertos países, especialmente de Irán. Conforme los expertos en seguridad analizaban las muestras obtenidas, se conocían nuevos detalles sobre sus funcionalidades y quién podría estar detrás de su desarrollo. Tras un mes de informaciones varias, lo que nos parece claro es que Flame ha sido diseñada por los mismos que desarrollaron Stuxnet, y pudiera apuntar a Estados Unidos y a Israel como responsables directos. Esto ha llevado a escribir cientos de opiniones sobre la supuesta ciberguerra que se está llevando a cabo en estos momentos y que está protagonizada por algunas de las potencias más importantes.

Pero Flame no ha sido el único ataque dirigido del que hemos tenido constancia en las últimas semanas. Este mes, desde ESET hemos hecho pública la existencia de un nuevo gusano llamado Medre especializado en robar diseños realizados con AutoCAD y enviarlos a direcciones de correo en China. La mayoría de casos se detectaron en Perú, aunque también hubo otros países colindantes o de habla hispana afectados. El descubrimiento de esta amenaza demuestra que el uso de malware para el espionaje industrial está a la orden del día y resulta necesario que las empresas tomen medidas para evitar las nefastas consecuencias que este tipo de espionaje puede tener en sus beneficios.

Medre

LinkedIn encabeza los ataques a empresas importantes y las filtraciones de datos

Ciberarmas de espionaje y ataques dirigidos aparte, junio ha estado protagonizado por una gran cantidad de hackeos, filtraciones y ataques a multitud de empresas importantes, organizaciones y Gobiernos. Los diversos grupos de hacktivistas que normalmente protagonizan estos ataques no han dejado de actuar en todo el mes, a pesar de que se ha conseguido detener a algunos de los más activos últimamente.

La filtración más importante fue la que sufrió la red social para profesionales LinkedIn. Nada más que 6,4 millones de cuentas vieron su seguridad comprometida al ver su nombre de usuario y contraseña publicados y compartidos en la Red. El hecho de que la filtración se produjese en una de las redes sociales consideradas como grandes nos hace reflexionar sobre si la seguridad aplicada es realmente la adecuada. Prácticamente al mismo tiempo nos hacíamos eco de la noticia de que eHarmony, una popular red social en Estados Unidos dedicada a los contactos personales, también había sufrido una intrusión en sus servidores y se había filtrado la información de 1,5 millones de sus usuarios.

Pero estas redes sociales no fueron las únicas que sufrieron este tipo de ataques durante el mes pasado. El “renacido” grupo hacktivista LulzSec, escisión del previo Lulz Security, robó y publicó online 10.000 nombres de usuarios y contraseñas de usuarios de Twitter, aprovechándose de una vulnerabilidad en la aplicación TweetGif.

Facebook también sufrió la ira de los hacktivistas cuando Anonymous dejó miles de usuarios sin poder acceder durante más de dos horas, demostrando su capacidad para interrumpir el servicio incluso de la más popular de las redes sociales.

Los más jugones también vivieron en sus carnes este tipo de ataques con filtraciones posteriores. Uno de los juegos online más populares, League of Legends, con millones de usuarios registrados, vio cómo se filtraron datos de sus usuarios, aunque solo afectó a los que estaban registrados en Europa y Asia. Casos recientes, como el robo de cuentas en Diablo III, demuestran que este grupo de usuarios es un también un objetivo atractivo para los ciberdelincuentes.

De vulnerabilidades y agujeros de seguridad

En materia de vulnerabilidades, junio ha sido también protagonista por dos importantes fallos de seguridad. El primero se dio a conocer tras la publicación del boletín de seguridad mensual de Microsoft, ya que no existe un parche que lo solucione por el momento; poco después observamos cómo esta vulnerabilidad en Microsoft XML se estaba aprovechando para propagar malware usando Internet Explorer. Mientras esperamos que esta grave vulnerabilidad se solucione en el próximo boletín de seguridad de julio, Microsoft ha publicado un parche temporal para así mitigar su alcance.

Otra grave vulnerabilidad que se ha dado a conocer es la que ha afectado a las conocidas bases de datos MySQL y MariaDB. Según el investigador que dio a conocer la vulnerabilidad, un atacante podría indentificarse como root (administrador) en un servidor vulnerable usando cualquier contraseña tras un número variable de intentos. Debido a la alta implantación que tienen estas bases de datos, este fallo fue considerado como grave y se lanzaron rápidamente nuevas versiones que lo solucionaban.

Los sistemas de gestión interna siguen en el punto de mira de los atacantes y este mes hemos podido ver unos cuantos ejemplos. La publicación por parte de uno de los hacktivistas más activos durante las últimas semanas de cómo había conseguido acceder a los sistemas de gestión de varias aerolíneas, a los sistemas de control de pacientes de varios hospitales y a varias redes internas de entidades bancarias como Cobank o Citibank demuestran que hay sistemas críticos que sufren graves fallos de seguridad.

Tampoco los sistemas SCADA (software de adquisición de datos y control de supervisión) se libran de la mirada de los atacantes, sobre todo cuando resulta relativamente fácil obtener direcciones de algunos de estos sistemas que están conectados directamente a Internet y su acceso se limita a ir probando contraseñas por defecto o de baja seguridad hasta conseguir acceder a ellos.

Aunque parezca que las amenazas son cada vez más complejas, el malware tradicional sigue dando buenos resultados. Y si no, que se lo pregunten a empresas norteamericanas como Digitalbond, especializada en sistemas de control de incidencias, que vio cómo algunos de sus empleados recibían correos electrónicos con ficheros PDF modificados que contenían, en realidad, una herramienta de control remoto para acceder a los sistemas comprometidos.

Más información sobre seguridad en el blog de Ontinet.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios