A fondo
Los trece peores incidentes de seguridad en 2017
Al igual que el año anterior, vamos a dedicar un artículo mencionando los 13 peores incidentes de seguridad y privacidad ocurridos en 2017. Aquí abarcaremos y resumiremos algunos de los temas más destacados de los publicados en MuySeguridad y otros sitios de TPNET, y es que si en 2016 se puso le listón muy alto, se puede decir que el presente año lo ha superado.
De 2017 se puede destacar, una vez más, el ransomware, cuya peligrosidad no para de aumentar, apuntando cada vez a objetivos más ambiciosos. El hecho de que se hayan filtrado los datos de todos los usuarios de Yahoo, el aumento de las botnets construidas con dispositivos IoT y el minado de criptomonedas utilizando ordenadores ajenos son otros temas que han tenido un protagonismo insistente.
WannaCry, NotPetya y Bad Rabbit
Aunque el ransomware no es el tipo de malware más común, su peligrosidad ha hecho que haya acaparado muchos titulares incluso en la prensa generalista. Este año ha habido tres ransomware que han golpeado o han intentado golpear con gran dureza: WannaCry, NotPetya y Bad Rabbit.
WannaCry ha sido sin duda el que más ruido ha dado, posiblemente por ser el primero (aparentemente). En un principio se pensó que era una incidencia de seguridad que afectaba a Telefónica y la NHS, pero luego se reveló como un ransomware que se esparcía utilizando una vulnerabilidad parcheada en la implementación del protocolo SMB de Windows. La gran cantidad de sistemas mal mantenidos facilitó mucho la tarea a los cibercriminales tras este malware, que apuntan a ser los miembros del grupo hacker Lazarus, supuestamente vinculado al régimen de Corea del Norte.
Trayectoria parecida tuvo NotPetya, la variante del conocido y peligroso ransomware Petya. Las intenciones tras este malware parecen ser un tanto oscuras y ha terminado costando a la farmacéutica MSD 310 millones de dólares en el tercer trimestre por los incidencias ocasionadas y posiblemente los datos perdidos.
Bad Rabbit es el segundo ransomware que ha intentado seguir los pasos de WannaCry, aunque parece no haber tenido tanto impacto como los anteriores. Este último destaca por implementar un exploit de la NSA que fue filtrado por Shadow Brokers, por lo que cuidado con los cibercrminales, porque poco les importará usar herramientas propias y/o ajenas (incluso si proceden de alguno de sus enemigos) para llevar a cabo sus acciones maliciosas.
Utilizando tu ordenador para minar criptomonedas con JavaScript
Las criptodivisas son algo que está de plena actualidad. Aunque Bitcoin y el gran valor que ha alcanzado suelen ser los protagonistas de las noticias en torno a esta tecnología, también existen otras criptodivisas como Ethereum y Monero.
En los últimos tiempos se ha popularizado por parte de diversos sitios web la utilización de bibliotecas de JavaScript para minar criptomonedas en ordenadores ajenos. Para explicarlo de forma llana y tomando un ejemplo real como el de The Pirate Bay, básicamente se trata de un código JavaScript colocado en las página web que se carga en los navegadores web de los usuarios finales. Una vez cargado el código en el navegador web del usuario final, este se ejecutará y empezará a utilizar los recursos de su ordenador (sobre todo la CPU) para minar criptomonedas.
The Pirate Bay utiliza la biblioteca más conocida en este área, Coinhive, dedicada a minar la criptodivisa Monero. Por otro lado, este tipo de software está siendo utilizado sobre todo por sitios web de descargas y otros de propósitos maliciosos como método alternativo de monetización.
Debido a los problemas y preocupaciones que han generado, el bloqueo de las bibliotecas de JavaScript dedicadas al minado de criptomonedas se ha convertido en un asunto a tener en cuenta dentro de la ciberseguridad, con extensiones para navegadores y antimalware que las bloquea. El siguiente paso es integrar esos mismos mecanismos en los navegadores.
Descubiertas 1.400 contraseñas en texto plano
A mediados del presente mes nos hacíamos eco de la existencia de una base de datos en la dark web con 1.400 millones de nombres de usuario y contraseñas en texto plano que fueron obtenidos de 252 brechas de seguridad ocurridas en el pasado, pudiéndose mencionar a Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox, Minecraft, Runescape, Anti Public y Exploit.in entre los afectados.
Si algo dejó en evidencia la base de datos, además de los fallos de los mantenedores de los servicios a la hora de proteger los datos de sus usuarios, es que a día de se siguen utilizando con demasiada frecuencia contraseñas muy débiles.
Los ataques mediante botnets están en auge
Infectar dispositivos del Internet de las Cosas para crear botnets es algo que ha estado en alza durante este 2017. La creación de dichas botnets se realizan para lanzar poderosos ciberataques que pueden terminar alcanzando anchos de banda récord o bien dejar inutilizado parte de Internet.
Parte de este incremento recae en las distintas variantes del troyano Mirai, que ya estuvo implicado en el ataque contra las DNS de Dyn. La gran cantidad de dispositivos desprotegidos podría terminar generando una fuerza muy difícil de parar.
Uber padeció una brecha de seguridad en 2016
Uber padeció en 2016 una brecha de seguridad que terminó con la filtración de los datos de 57 millones de usuarios y 7 millones de conductores. La compañía no hizo público el hecho hasta noviembre de 2017 y decidió arreglar el problema mediante el pago de 100.000 dólares estadounidenses a los hackers que provocaron la brecha de seguridad.
Un hecho así no ayuda a la imagen de la empresa, y si además sumamos la sentencia del Tribunal de Justicia de la Unión Europea, parece que a Uber le espera un 2018 un tanto gris.
Cuidado con lo escribas sobre una interfaz web
Siempre dicen que hay que tener cuidado con lo que se publica en la web, sin embargo, unos investigadores descubrieron que 482 de los sitios web más populares registran cada pulsación de teclado realizada por sus usuarios, o sea, que registran lo directamente pulsado desde el teclado sin necesidad de tener que pulsar sobre algún botón de Publicar.
Facebook ya fue acusada en el pasado de utilizar un mecanismo así. El hecho de que muchos sitios web estén registrando incluso aquellos mensajes que no se publican por arrepentimiento termina dejando una sensación bastante inquietante, reforzando la frase que dice: “si quieres privacidad, no estés en Internet.”
La privacidad de Android de nuevo en el ojo del huracán
Que Android es un sistema operativo cuestionado a nivel de seguridad y privacidad no es algo nuevo, y el hecho de que su ecosistema se encuentre muy fragmentado, con cientos de millones de dispositivos sin soporte, no ayuda.
En las versiones Lollipop, Marshmallow y Nougat se pude utilizar la característica MediaProjection de forma ilegítima para violar la privacidad del usuario, permitiendo la grabación de sonido y la pantalla engañando al usuario. Los usuarios menos avispados pueden caer en esto con facilidad, aunque también se puede detectar el engaño solo mirando las notificaciones.
Microsoft Vs. Google: Continúa el pique sobre cómo gestionar las vulnerabilidades
En 2016 Microsoft no escondió su disgusto sobre cómo divulgaba Google las vulnerabilidades zero-day de Flash. Ahora ha sido el gigante de Redmond el que se ha quejado sobre cómo gestiona Google las vulnerabilidades halladas en Chrome.
El pique entre estos gigantes de la computación está servido, además desde distintas áreas.
Corea del Norte siempre está en medio
¿Es realmente Corea del Norte una potencia de la cibercriminalidad? WannaCry, ataques hacker contra su vecino del sur, robos a bancos, bloqueo de conexiones GPS, el ataque contra Sony Pictures, el grupo de hackers Lazarus… Está claro que en el mundo actual veremos muchas guerras que transcurrirán en el ciberespacio, por lo que en esos casos no habrá bombas cayendo sobre ciudades y matando a civiles.
Sea como fuere, hace años que el país dirigido ahora por Kim Jong-Un dijo que estaba preparado para una ciberguerra real, y cada vez hay más evidencias que está teniendo un papel protagonista en ciertas áreas de la ciberdelincuencia.
Todas las cuentas de Yahoo han sido hackeadas
¿Tienes una cuenta en Yahoo? Si la última contraseñas la estableciste en 2013 o algún año anterior más te vale cambiarla, porque la compañía ha reconocido que todas las cuentas, 3.000 millones, fueron hackeadas en el brutal ciberataque que recibió aquel año.
Más de un millón de sitios web de phising aparecen cada mes
Sí, nos estamos refiriendo a los sitios web maliciosos destinados a realizar ataques de phishing. Las técnicas empleadas por los ciberdelincuentes son cada vez más sofisticadas.
Cada mes aparecen más de un millón de sitios web falsos creados para realizar ataques de phishing, siendo los más falsificados, como no podía ser de otra, los más populares, destacando Google, Chase, Dropbox, PayPal y Facebook.
BlueBorne deja 5.000 millones de dispositivos expuestos mediante la explotación de vulnerabilidades en Bluetooth
BlueBorne fue una serie de ocho vulnerabilidades halladas en las implementaciones de Bluetooth de todos los sistemas operativos, detectándose un total de 5.300 millones de dispositivos afectados (se podría decir que todo lo que usase dicho estándar).
Afortunadamente, este problema se ha podido solucionar mediante parches, unos parches que no llegarán a muchos dispositivos Android abandonados por sus fabricantes.
El malware contra Mac y Linux está en alza
Aunque Windows sigue siendo el sistema más afectado por el malware seguido de Android, en 2016 se detectó un aumento del 370% en la cantidad de malware contra macOS y del 300% contra Linux.
Usar un sistema minoritario no es garantía de seguridad, por eso, si eres usuario de Ubuntu o alguna derivada, te invitamos a seguir nuestra guía para reforzar la seguridad de la distribución Linux más popular.