real
time web analytics
Malware » MuyComputer
[ Malware ]
Windows 10 Fall Creators Update deshabilitará el protocolo SMBv1

Windows 10 Fall Creators Update deshabilitará el protocolo SMBv1

Microsoft ha confirmado que deshabilitará el protocolo SMBv1 con el lanzamiento de Windows 10 Fall Creators Update, un movimiento importante que permitirá mejorar considerablemente la seguridad de su sistema operativo. Por si alguien se ha perdido os recordamos que el protocolo SMBv1 (Server Message Blocks) permite compartir archivos y dispositivos y fue una de las claves en la expansión de WannaCry, el ransomware en forma de virus de gusano que sembró el terror a nivel internacional hace apenas unas semanas. Dicho protocolo es muy antiguo ya que se introdujo en la década de los noventa, aunque había jugado un papel importante a la hora de facilitar el trabajo en equipos conectados en red y basados en Windows, por lo que Microsoft no se planteó realmente suprimirlo de forma definitiva hasta hace unos cinco años. Windows 10 Fall Creators Update llegará entre los meses de septiembre y octubre, pero debemos tener en cuenta que su lanzamiento se irá produciendo de forma gradual y que aquellos equipos que no actualicen a dicha versión seguirán teniendo activado dicho protocolo. Una vez más mantener el equipo actualizado será clave para protegerlo, aunque recordamos que los que no tengan pensado instalar dicha actualización o que utilicen sistemas operativos anteriores (como Windows 7 y Windows 8.1) pueden deshabilitar ese protocolo de forma manual. No es un proceso complicado pero si tenéis dudas os invito a seguir esta guía oficial de Microsoft, en la que encontraréis un completo resumen con todos los pasos que debéis llevar a cabo tanto para deshabilitar como para volver a habilitar dicho protocolo. Más información: DvHardware.
17 comentarios54 shares
2 díasIsidro Ros
Malware que no depende totalmente de archivos, una amenaza creciente

Malware que no depende totalmente de archivos, una amenaza creciente

Los ciberataques se están volviendo cada vez más sofisticados y suponen una amenaza creciente que está afectando no sólo a objetivos considerados como "de alto valor", sino también a los usuarios normales. Uno de los últimos estudios de seguridad ha confirmado que el grupo de cibercriminales FIN7 ha empezado a utilizar una nueva técnica de ataque que afecta a equipos basados en Windows. Dicha técnica se inicia con el envío de correos electrónicos con identidades falsas (phishing) que incluyen un archivo Word infectado. A través de ese correo se engaña al usuario para que salga de la vista segura y permitir así que el malware pueda iniciar el proceso de infección. Una vez que éste tiene lugar el código malicioso se abre camino sin ser detectado por las soluciones antivirus hasta quedar alojado en la memoria del sistema. La infección es muy grave, ya que según las fuentes que hemos podido consultar ninguno de los 56 antivirus probados pudo ni siquiera detectar la infección. Decimos que se trata de una amenaza creciente porque se está extendiendo de forma gradual a restaurantes de todo Estados Unidos, y porque se trata de ataques que utilizan una vía relativamente nueva de infección que hasta ahora no se había utilizado a gran escala en objetivos corrientes. Como siempre el sentido común es la mejor manera de protegerse de los ataques y de las amenazas de seguridad informática. En este caso concreto se trata de un ataque bastante sofisticado, pero necesita de un primer error humano para iniciarse, así que si no abrimos ese archivo Word sospechoso no tendremos ningún problema. Más información: DvHardware.
6 comentarios183 shares
15/06/2017Isidro Ros
Cómo eliminar un virus de un PC

Cómo eliminar un virus de un PC

Virus, gusanos, troyanos y demás especímenes maliciosos acechan a ordenadores y redes. El reciente ataque por Ransomware mediante el troyano WannaCry ha puesto la ciberseguridad en portada de los medios generalistas mundiales, pero hace muchos años que sufrimos malware de todo tipo y para todas las plataformas, provocando spam, robo de datos, ciberespionaje, invasión a la privacidad y en general, graves perjuicios para empresas y usuarios. Aunque la prevención es la primera y principal línea de defensa, no siempre es posible mantenerse a salvo de la infección y cualquier usuario habrá tenido alguna vez malas experiencias con el malware, incluso sin alertas específicas de soluciones de seguridad. Si tu equipo va más lento de lo normal, el sistema muestra errores aleatorios, el navegador web se congela luchando para deshacerse de anuncios extraños o no puedes acceder a tus documentos, seguramente padezcas una infección digital que además de impedir el uso habitual del equipo pone en riesgo tus datos. Si es tu caso y no puedes eliminar la infección con tu antivirus o no usas ninguna solución de seguridad, es hora de enfrentarse a un proceso para eliminar un virus de un PC como la guía que han publicado en BusinessNow y que te resumimos. Intenta salvar archivos Las copias de seguridad son el mayor “salvavidas” para contrarrestar cualquier tipo de virus informático y en ocasiones -con algunos de ellos- la única solución. Si no la habías realizado previamente, puedes intentar salvar documentos, fotos, vídeos y cualquier otro tipo de información personal o profesional que no puedas perder incluso aunque estén infectados, para intentar recuperarlos después en un sistema limpio. Por supuesto, se trata únicamente de copiar los archivos a una unidad externa controlada, ya que no debemos ejecutar ninguno de estos archivos hasta su limpieza porque pueden infectarnos otros equipos. Si no podemos acceder al equipo podemos utilizar soluciones como discos de rescate especialmente preparadas para resolución de problemas como Hiren’s BootCD o Ultimate Boot CD. Desinfecta el equipo Si no es posible desinfectar el equipo con la solución de seguridad instalada, debemos utilizar un medio de arranque para rescate contra virus. Un medio efectivo teniendo en cuenta que una gran mayoría del malware se carga/oculta en la memoria complicando su detección/eliminación una vez que arranca el sistema operativo. Todos los grandes proveedores de seguridad ofrecen la posibilidad de crearlos. La mayoría son Linux en formato “Live CD” (creados y auto arrancables desde unidades ópticas, pendrives o discos externos USB), que podemos utilizar en el PC independientemente del sistema y sin tener que instalar nada en él. Recupera el sistema Si la limpieza del malware fue efectiva, retira el disco de rescate e intenta arrancar el equipo de la forma habitual. Instala la mejor solución de seguridad que tengas disponible y revísalo de nuevo en la búsqueda de virus. Si el sistema funciona normalmente hay que comprobar si todas las aplicaciones que teníamos instaladas funcionan correctamente. También controladores y drivers. Incluso si el sistema operativo está limpio y funcionando, puede ser que existan daños. Si a pesar de los esfuerzos anteriores no hemos sido capaces de acabar con la infección, podemos intentar opciones como restaurar el sistema operativo a una configuración de fábrica utilizando la misma herramienta del sistema operativo. Si no funciona nada de los anterior, toca realizar una instalación limpia de todo el sistema, formateando la partición para asegurarse de la eliminación del virus en el equipo. Impide nuevos daños La partición del sistema está limpia pero también debemos comprobar el resto de particiones y toda la red local porque el virus ha podido llegar por esa vía e infectar de nuevo el equipo. Puedes comprobarlo con los discos de rescate creados anteriormente y también con una solución de seguridad instalada en el equipo. Por último, puedes recuperar tus datos personales no sin antes escanear y desinfectar a fondo los archivos de datos que teníamos guardados en la copia de seguridad. Asegúrate bien de su limpieza antes de volverlos a copiar en el equipo porque podrían ser la causa de la infección y tener que repetir de nuevo todo el proceso. Finalmente, insistir en la prevención como la primera y principal línea de defensa, observando la precaución debida en los sitios web por los que navegamos; las aplicaciones que instalamos; la recepción de correos electrónicos y adjuntos; las descargas; el uso de redes sociales; las imprescindibles actualizaciones del sistema operativo y las aplicaciones y el uso de una buena solución de seguridad. Guía completa para eliminar un virus de tu PC | BusinessNow  
76 comentarios19 shares
01/06/2017Juan Ranchal
uTorrent distribuye malware en un anuncio ¡Utiliza alternativas!

uTorrent distribuye malware en un anuncio ¡Utiliza alternativas!

uTorrent, uno de los clientes de BitTorrent más populares de Internet, está distribuyendo malware en un anuncio. No, uTorrent no es lo que era y deberías usar alternativas. Un grupo de usuarios dice haber encontrado malware en sus equipos que apunta a una distribución desde uTorrent. Se trata de SWF/Meadgive, un exploit que aprovecha algunas de las innumerables vulnerabilidades de Adobe Flash. uTorrent, uno de los clientes de BitTorrent más populares de Internet cuya velocidad de funcionamiento y facilidad de uso ha sido valorada desde hace años, vuelve a las andadas ya que hace un par de años entregó el cliente “con premio” al incluir la aplicación Epic Scale, un minador de Bitcoins que utiliza la CPU de los equipos informáticos donde actúa mediante computación distribuida y que incluía sin permiso y sin conocimiento del usuario. La historia se repite. uTorrent cuenta con versión de pago pero son muy pocos los que pasan por caja y su propietario, BitTorrent Inc, intenta monetizar la versión gratuita con anuncios que vende a quien sea sin importarles "el regalito" que tengan dentro, en este caso un exploit que puede causar estragos en tu equipo. Recomendable buscar alternativas si estás usando esta versión. Hace tiempo que las revisamos y las que más nos gustan son: Deluge. Aplicación gratuita, de código abierto y multiplataforma que utiliza libtorrent como backend y ofrece una interfaz que te será sumamente familiar porque es muy parecida a la de uTorrent pero sin publicidad y sin software basura añadido. Cuenta con versiones para Windows, OS X y Linux. qBittorrent. Como Deluge es un cliente gratuito, de código abierto y multiplataforma basado en libtorrent. Su objetivo declarado es muy claro: “El proyecto qBittorrent pretende ofrecer una alternativa de software libre a uTorrent”. Pues eso, está disponible para Windows, OS X, Linux, FreeBSD y hasta funciona en OS/2. Transmissión-Qt Win. Seguramente es el mejor cliente BitTorrent para OS X y Linux. De hecho, se instala por defecto en Ubuntu, Fedora y otras distribuciones GNU/Linux. También tiene versión Windows aunque para la plataforma de Microsoft nos gusta más los dos anteriores.
46 comentarios242 shares
12/05/2017Juan Ranchal
El 40% de las víctimas del Ransomware pagan ¿Soluciones?

El 40% de las víctimas del Ransomware pagan ¿Soluciones?

4 de cada 10 víctimas de Ransomware pagan para liberar sus equipos. Un dato increíblemente alto que nos sirve una investigación de la firma de seguridad cibernética Trustlook.  El informe de Trustlook indica que alrededor del 17% de los usuarios han estado infectados alguna vez con Ransomware y el 38% de ellos han optado por pagar un rescate que oscila entre 100 y 500 dólares. Los usuarios que aún no han sido afectados por ransomware presentan una postura firme, ya que sólo el 7% dice que pagarían. El problema es que hablan desde la perspectiva de no afectado y según los datos, el Ransomware es una verdadera epidemia que se extiende en consumo y también en empresas. Otro problema que indica la estudio es que el 23% de los encuestados no tienen copia de seguridad alguna de sus datos. Y cuidado, porque el backup es el elemento clave para no tener que pagar a estos ciberdelincuentes. Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil por cualquier vía de infección, bloquea el funcionamiento del equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos. Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad. Puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles) y su motivación es casi exclusivamente económica. Los últimos ataques Ransomware han confirmado que los desarrollos son cada vez más sofisticados y peligrosos. Cómo prevenir y solucionar ataques Ransomware Para intentar frenar esta amenaza, el CCN-CERT (Centro de respuesta a incidentes de seguridad del Centro Criptológico Nacional) publicó un interesante informe denominado “Medidas de seguridad contra Ransomware”, que todo usuario deberíamos conocer porque repasa desde los conceptos básicos de este malware, las vías de infección, las medidas preventivas, las medidas reactivas y la restauración de ficheros o su descifrado cuando sea posible. Lo más interesante es la lista de medidas preventivas a adoptar en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente los ataques Ransomware. Los hemos comentado en otras ocasiones pero no está de mal recordarlos porque la prevención es siempre la mejor fórmula: Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas). Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail. Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control. Establecer una defensa en profundidadempleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days). No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo “Privacy Manager”, que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits). Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero. Adicionalmente, se recomienda la instalación de la herramienta “Anti Ransom”, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse. El informe también ofrece algunas de las herramientas y utilidades on-line existentes que permiten el descifrado de ciertos especímenes de ransomware. Es la última solución si no tenemos copias de seguridad y no podemos perder los archivos. Ya te adelantamos que no es sencillo porque los ciberdelincuentes van por delante y por ello los métodos de prevención tienen que estar por encima de todo. Un último consejo: no pagues a estos delincuentes. Asegúrate de tener al día tus copias de seguridad y en caso de infección por Ransomware, formatea, instala desde cero sistema operativo y resto de software, y restaura tus datos en un equipo totalmente limpio.
52 comentarios40 shares
27/04/2017Juan Ranchal
Karmen, llega el ransomware como servicio

Karmen, llega el ransomware como servicio

El malware se ha convertido en un negocio muy lucrativo que no deja de evolucionar. Con la llegada de Karmen se ha dado un nuevo paso que apunta hacia el ransomware como servicio, una modalidad que os vamos a explicar a continuación. Karmen es un tipo de ransomware basado en el Hidden Tear que utiliza cifrado AES de 256 bits para "secuestrar" archivos y datos del equipo infectado. Esta amenaza de seguridad se vende en foros de la Deep Web como una herramienta completa y fácil de usar que incluso incluye un panel de información, donde se pueden visualizar los "clientes", el dinero recibido y el precio que pedimos como rescate por desbloquear los archivos. Los que lo promocionan e intentan hacer negocio con su venta aseguran que es un sistema muy sencillo, que no requiere apenas conocimientos informáticos y que es una oferta redonda, ya que cuesta 175 dólares y bien usado permitirá "conseguir varios miles de dólares". Promesas para vender, eso es evidente, pero lo cierto es que la figura del ransomware como servicio se ha popularizado durante los últimos meses hasta convertirse en algo muy real que está atrayendo a un número cada vez mayor de personas. Obvia decir que utilizar este tipo de herramientas equivale a cometer un delito, tanto si ganamos dinero con ello como si no, aunque es evidente que Internet ofrece muchas posibilidades para lanzar ataques que mantengan al cibercriminal relativamente a salvo, una realidad que ha contribuido al desarrollo del cibercrimen. Respeto al ransomware en sí Karmen es una solución avanzada que actúa con contundencia y avisa de que cualquier interferencia nos hará perder los datos, aunque algunos profesionales como Michael Gillespie están trabajando en el desarrollo de herramientas para luchar contra este ransomware y ofrecen ayuda a aquellos que la necesiten. Más información: Neowin.
2 comentarios99 shares
21/04/2017Isidro Ros
Detectan malware preinstalado en 38 smartphones muy conocidos

Detectan malware preinstalado en 38 smartphones muy conocidos

La firma de seguridad Check Point ha detectado malware preinstalado en 38 smartphones de fabricantes muy conocidos, y ha llevado a cabo un informe muy interesante que desde luego nos ha dejado muy sorprendidos. Antes de seguir debemos dejar claro que ese malware no ha sido preinstalado por los fabricantes de los terminales, sino que su introducción se ha producido en momento posterior. Os dejamos la explicación de Check Point en este sentido: "Las aplicaciones maliciosas no formaban parte de la ROM oficial suministrada por el proveedor, ya que se agregaban en un punto posterior durante el recorrido del terminal por la cadena de suministro". ¿Qué quiere decir esto? Pues que los fabricantes de los terminales no son los culpables, y que los responsables son los distribuidores y vendedores que normalmente se encuentran en la fase intermedia y final de comercialización. En cuanto al software malicioso se ha confirmado que sobre todo se utilizaban aplicaciones para robar información personal y datos sensibles, pero uno de los terminales venía acompañado de un ransomware llamado Slocker. Por si alguien no sabe qué es un ransomware recordamos que se trata de un malware que cifra los archivos clave del sistema y pide un rescate por ellos, normalmente un pago realizado en bitcoin para que no sea posible rastrear ni hacer un seguimiento del mismo. Si no se paga el rescate perdemos nuestros archivos para siempre, y dado que en nuestro smartphone solemos llevar recuerdos muy queridos (fotos y vídeos) no hay duda de que colar un malware de este tipo es un negocio redondo. ¿Qué puedo hacer para protegerme? Lo más sencillo es comprar smartphones sólo a través de vendedores de confianza, incluso aunque se trate de terminales muy conocidos y populares. A esa primera medida podemos unir otra muy sencilla, escanear el terminal con un antimalware nada más empezar a utilizarlo, y ya como última opción podríamos hacer un formateo completo e instalar manualmente una ROM totalmente nueva. Entre los terminales afectados se encuentran los siguientes: Samsung Galaxy Note2 LG G4 Samsung Galaxy S7 Samsung Galaxy S4 Samsung Galaxy Note4 Samsung Galaxy Note5 Xiaomi Mi 4i Xiaomi Redmi ZTE X500 Samsung Galaxy Note3 Samsung Galaxy Note Edge Samsung Galaxy Tab S2 Samsung Galaxy A5 Vivo X6 Plus Asus Zenfone 2 Lenovo S90 Oppo R7 Plus Oppo N3 Lenovo A850
11 comentarios427 shares
13/03/2017Isidro Ros
Aplicaciones intentan infectar Android con malware para Windows

Aplicaciones intentan infectar Android con malware para Windows

La firma de seguridad Palo Alto Networks ha descubierto 132 aplicaciones en Google Play que contienen malware para Windows. Cuando se instalan en un terminal basado en Android intentan llevar a cabo una infección, aunque obviamente no tienen éxito. Esas aplicaciones fueron creadas por siete desarrolladores diferentes, pero según indica la firma que ha publicado el estudio no son los responsables de haber colado ese malware en las aplicaciones, sino más bien todo lo contrario. En su informe Palo Alto Networks indica que lo más probable es que esos desarrolladores fuesen víctimas de una infección por malware mientras que estaban trabajando en el desarrollo de las aplicaciones, y que el mismo se transmitiese a las versiones finales que acabaron llegando a la Google Play. Según palabras textuales de dicha firma de seguridad estaríamos ante: "Otra situación en la que el malware móvil se originó en las plataformas de desarrollo, que fueron infectadas sin que los desarrolladores se dieran cuenta de ello". Palo Alto Networks informó de sus hallazgos al gigante de Mountain View y las aplicaciones ya han sido retiradas de Google Play, pero estamos ante una situación que de nuevo vuelve a traer a la palestra el problema de la seguridad en las tiendas de aplicaciones, ya que evidencia una vez más lo relativamente sencillo que es superar las medidas de seguridad de aquellas. Más información: Softpedia.
1 comentario88 shares
02/03/2017Isidro Ros
Google explica cómo hace frente al malware que afecta a Android

Google explica cómo hace frente al malware que afecta a Android

El malware que afecta a Android es sin duda uno de los mayores problemas a los que tiene que hacer frente Google en su día a día, ya que el mismo no sólo se puede introducir en un terminal a través de determinados enlaces y descargas de fuentes externas, sino también a través de la propia tienda oficial de aplicaciones. En un nuevo artículo publicado a través de su blog dedicado a los desarrolladores Google ha explicado cómo trabajan para luchar contra el malware en aplicaciones, y ha detallado un sistema que funciona incluso cuando las amenazas de seguridad superan el primer filtro. Como sabemos todas las aplicaciones subidas a la tienda oficial de Google pasan por un proceso de escaneado y análisis que busca cualquier tipo de malware que pueda estar escondido en las mismas, aunque el proceso no es perfecto y obviamente se producen errores que acaban dejando pasar aplicaciones maliciosas. Sin embargo Google sigue luchando contra el malware incluso aunque haya logrado superar esa primera medida de seguridad, y lo hace de una forma bastante interesante. Cuando una aplicación maliciosa infecta un terminal y detiene la comunicación con los servidores de Google el gigante de Mountain View lo reconoce, y si detecta que se produce en demasiados terminales vuelve a analizar en profundidad la aplicación que provoca ese corte de comunicación. Es una medida muy eficaz para luchar contra el malware más problemático, aunque la seguridad en general continúa siendo una de las grandes cuentas pendientes de Android como plataforma, y no lo decimos sólo porque se haya convertido en uno de los principales objetivos de los cibercriminales, sino también porque la enorme fragmentación y la falta de actualizaciones de seguridad que sufren la mayoría de los dispositivos que utilizan Android es una realidad que va a peor. Más información: Google.
2 comentarios66 shares
18/01/2017Isidro Ros
Koolova, el ransomware que libera tus archivos si lees dos artículos de seguridad

Koolova, el ransomware que libera tus archivos si lees dos artículos de seguridad

El ransomware se ha convertido en una de las amenazas de seguridad más populares del momento y como ya hemos dicho se entiende perfectamente, ya que es un tipo de malware que puede llegar a ser muy lucrativo. Por si alguien no sabe cómo funcionan exactamente este tipo de amenazas de seguridad lo explicamos de forma sencilla. Se utiliza un "gancho", normalmente un enlace malicioso o un archivo "cocinado", para conseguir una infección. Cuando la misma se lleva a cabo el ransomware se activa y procede a cifrar los archivos más importantes del equipo, impidiéndonos acceder a ellos y amenazando con borrarlos totalmente si no pagamos una determinada cantidad de dinero, que normalmente deberemos entregar en bitcoins. Koolova actúa de esa forma, pero una vez que ha cifrado los archivos no pide un rescate en dinero, sino que nos da la opción de leer dos artículos sobre seguridad informática y de cómo hacer un uso seguro de Internet. Como vemos su objetivo no es hacer dinero, sino dar un pequeño tirón de orejas al usuario y educarlo en materia de seguridad para que pueda evitar futuras infecciones por malware y aprenda unas nociones mínimas en materia de seguridad informática. Una forma interesante de "educar" al usuario, de eso no hay duda, aunque eso no quiere decir que sea inofensivo, ya que viene con un temporizador que fija un plazo límite para leer los dos artículos. Si el mismo llega a cero nuestros archivos serán borrados. Más información: MuySeguridad.
37 comentarios33 shares
06/01/2017Isidro Ros
Hackean un millón de cuentas Google con el malware “Gooligan”

Hackean un millón de cuentas Google con el malware “Gooligan”

Más de un millón de cuentas Google han sido comprometidas por un nueva variante del malware para Android, "Gooligan", según publica la firma de seguridad Check Point. Gooligan aprovecha una vulnerabilidad en Android, versiones 4 (Jelly Bean, KitKat) y 5 (Lollipop) que suman el 74 por ciento de los dispositivos Android actualmente en uso, y fue encontrado en la app SnapPea el año pasado. Ha vuelto a aparecer a finales de verano a través de la descarga de una de las apps maliciosas (al menos 86 detectadas) donde se incluye o cuando un usuario pincha en enlaces maliciosos a través de campañas de spam o phishing. Una vez que el malware infecta los terminales, los rootea, roba las direcciones de correo electrónico y los tokens de autenticación almacenados, accediendo a los datos de aplicaciones y servicios de Android (Gmail, Google Photos, Google Docs, Google Play, Google Drive o G Suite), que normalmente se incluyen en un buen número de terminales Android. Por este método, han hackeado más de un millón de cuentas Google desde que empezó la campaña a base de infectar 13.000 terminales móviles diarios. Los ciberdelincuentes instalan a diario y a nombre de los usuarios 30.000 aplicaciones de Google Play, calificándolas con 5 estrellas en una actividad de publicidad fraudulenta. Un serio problema según explica Michael Shaulov, director de productos de movilidad de Check Point: "Este robo de más de un millón de cuentas de Google no tiene precedentes, y representa la siguiente fase de los ciberataques... Estamos viendo un cambio de conducta en la estrategia de los hackers, que ahora tienen en su punto de mira a los dispositivos móviles para robar la información sensible que contienen" Check Point ha ofrecido todos los detalles del caso a Google, quien ha añadido una mayor protección a su sistema de verificación de apps y ha anulado los tokens de autenticación de los usuarios afectados. Mitigación que no solución porque las vulnerabilidades son antiguas y no fueron parcheadas. Puedes comprobar si tu cuenta ha sido comprometida en el blog de Check Point. Si la cuenta ha sido violada los investigadores recomiendan una instalación limpia (desde cero) de todo el sistema operativo y aplicaciones.
37 comentarios228 shares
01/12/2016Juan Ranchal
Office Depot y la estafa de los virus inexistentes para vender seguridad

Office Depot y la estafa de los virus inexistentes para vender seguridad

Office Depot ha sido acusado de diagnosticar virus inexistentes para vender planes de protección de seguridad y lograr objetivos de venta. El informe de The Consumerist se hace eco de una investigación realizada por KIRO-TV en Seattle. Una estafa pura y dura según cuentan. Resulta que cualquier equipo que pasaba por las tiendas del gran minorista estadounidense especializado en material de oficina y equipamiento informático, se le realizaba un chequeo con un programa propio que curiosamente detectaba demasiados roblemas de seguridad. Para comprobarlo, la operadora de televisión llevó seis PCs a varias tiendas de Office Depot en Washington y Oregon para controlar la salud del PC. Los "técnicos" dictaminaron problemas de malware en cuatro de ellos y ofrecieron servicios de protección de 200 dólares para solucionarlos. El problema es que no había problema. Los mismos equipos se llevaron a una firma especializada en seguridad informática donde no se encontró ningún síntoma de malware ni necesidad de reparación. Empleados de la cadena explicaron al medio que la presión para vender planes de protección y otros servicios ha llevado a estos diágnosticos de virus inexistentes. Office Depot dice estar investigando internamente el asunto, que no ampara estas conductas y que "tomará las medidas apropiadas". La moraleja es clara: Los virus informáticos existen, pero los estafadores también. La noticia llega al tiempo que un ingeniero de seguridad de Google puso en duda la eficacia de los antivirus.
13 comentarios110 shares
21/11/2016Juan Ranchal
Crean malware que roba datos través de los ventiladores

Crean malware que roba datos través de los ventiladores

Investigadores del Centro de Ciberseguridad de la Universidad Ben Gurion, situada en Israel, han presentado un curioso tipo de malware que es capaz de robar datos del usuario utilizando los ventiladores del PC. Sí, habéis leído bien, a diferencia de otros tipos de amenazas de seguridad como los keyloggers, que registran nuestras pulsaciones en el teclado y son capaces de identificar lo que tecleamos para robar información diversa, este malware emplea los ventiladores que tenemos instalados en el equipo para "chivar" datos concretos. El proceso requiere la instalación previa de lo que se conoce como "Fansmitter", un software que es el que se hace con el control del procesador y de los ventiladores, pudiendo aumentar la temperatura de aquella y disminuir o aumentar la velocidad de giro de éstos. ¿Qué se consigue con esto? Pues codificar los datos que quiere robar en forma de ondas acústicas que son analizadas y traducidas por un dispositivo adicional, que obviamente tiene que estar cerca del equipo afectado (máximo a 8 metros de distancia). Como habrán imaginado nuestros lectores más avispados se trata de un sistema muy lento, ya que ese proceso de conversión a ondas acústicas permite alcanzar velocidades máximas de transmisión de información de 900 bits por hora. Teniendo en cuenta que incluso un bloc de notas con unos cientos de caracteres ya ocupa aproximadamente unos 800 bits podemos hacernos a la idea de lo limitado que es este sistema, aunque desde luego hay que reconocer que resulta muy original. Más información: DvHardware.
25 comentarios5 shares
28/06/2016Isidro Ros
El FBI juega sucio con los usuarios de Tor

El FBI juega sucio con los usuarios de Tor

Nuestros compañeros de MuySeguridad nos informan que el FBI ha estado utilizando un malware para desenmascarar a usuarios de Tor. Esto de por sí no parece muy sorprendente, pero todo cambia cuando empezamos a hablar de su origen. Matt Edman fue un desarrollador del Proyecto Tor que decidió pasarse al “otro lado”, recalando en el FBI para desenmascarar a los usuarios de la red Tor. Para ello creó un malware llamado Cornhusker después de ser asignado a la Unidad de Seguridad Remota del FBI, a la cual recaló siendo ingeniero senior de Mitre Corporation. Edman formó parte de la Operación Torpedo, cuyo objetivo era desenmascarar a usuarios y propietarios de sitios web de pornografía infantil alojados en la dark web. Además de la Operación Torpedo, Edman también ayudó a acabar con Silk Road, el mayor mercado de drogas de la dark web, gracias al rastreo de lo equivalente en bitcoins de 13,4 millones de dólares desde el servidor del sitio web hasta el ordenador de su fundador, Ross Ulbritch, quien terminó en prisión. Además de Cornhusker, el FBI contó con un aliado que si bien no fue voluntario, su presencia tiene bastante sentido, Adobe Flash Player. La tecnología de Adobe lleva años siendo considerada como muy insegura por muchos expertos, y lejos de mejorar, cada año queda más evidencia sus debilidades a nivel de seguridad. Muchos usuarios combinaban Tor Browser con Flash Player, algo que no es buena idea si quieres mantener el anonimato. Tiempo después Cornhusker fue sustituido por una Técnica de Investigación de Red (Network Investigative Technique) para obtener la dirección IP real y la MAC utilizadas por los usuarios de la red Tor, sin embargo, dicha técnica ha sido invalidada por un tribunal. Esta situación ha dado la oportunidad a unos abogados opositores al FBI para pedir a la agencia que muestre el código fuente empleado para el mecanismo de dicha técnica. Fuente y más información | MuySeguridad
6 comentarios546 shares
29/04/2016Eduardo Medina
Malware para iOS que infecta dispositivos sin jailbreak

Malware para iOS que infecta dispositivos sin jailbreak

La enorme popularidad que mantiene la plataforma móvil de Apple tiene consecuencias para su seguridad y por tanto para usuarios, y es que ya se sabe, cuanto más brillas más te expones a los ataques. Hoy por hoy el malware para iOS se ha convertido en una realidad creciente que ahora ha tocado un nuevo techo con la llegada de AceDeceiver, un virus que entra dentro de lo que podemos considerar como troyano y que ha sido especialmente desarrollado para infectar dispositivos basados en dicha plataforma. ¿Cómo actúa AceDeceiver? Este virus es capaz de infectar incluso terminales de fábrica, es decir, aquellos que no tienen jailbreak, ya que consigue superar el "sandbox" de iOS aprovechando una vulnerabilidad presente en FairPlay, un sistema de autorización de Apple que actúa como protección para evitar la distribución de aplicaciones pirateadas (DRM). Para ello recurre a la utilización de una utilidad de gestión para iOS en Windows conocida como Aisi Helper que emula a iTunes, con la que es posible instalar aplicaciones sin haber pagado por ellas, pero genera una situación en la que un atacante puede llevar a cabo un "man in the middle" e interceptar todo el tráfico que sale del dispositivo infectado, e incluso instalar aplicaciones maliciosas en él. De momento sólo se ha detectado en China, así que parece que no tenemos nada que temer en otras zonas, pero por si acaso mucho cuidado, y recordad que la mejor forma de prevenir infecciones es evitar instalar cosas que no provengan de fuentes oficiales. Más información: MacRumors.
6 comentarios130 shares
17/03/2016Isidro Ros
El cliente de BitTorrent Transmission, infectado con ‘ransomware’ para Mac

El cliente de BitTorrent Transmission, infectado con ‘ransomware’ para Mac

Increíble pero cierto, el primer gran ataque de ransomware dedicado que recibe el sistema operativo de Apple se cuela a través de una popular aplicación de intercambio de archivos, el cliente de BitTorrent Transmission, a la postre software libre. Al parecer la descarga oficial de Transmission 2.90 para Mac habría sido alterada para incluir KeyRanger, un malware de tipo ransomware que al cabo de tres días a partir de su instalación comienza a cifrar archivos en disco y chantajea a la víctima, que deberá pagar un bitcoin (unos 400 dólares) para recuperar el acceso. Fueron los los expertos en seguridad de Palo Alto Networks quienes localizaron la amenaza, la analizaron y la reportaron a Apple, publicando sus conclusiones poco después y destacando a KeyRanger como "el primer ransomware completamente funcional visto en OS X". La recomendación para cualquier afectado es restaurar el sistema con una copia de seguridad previa a la instalación de Transmission 2.90. Por otra parte, Apple ha bloqueado su instalación en OS X y los desarrolladores de Transmission, tras retirar la aplicación infectada de la circulación lanzaron dos actualizaciones, la segunda de las cuales elimina el archivo infectado. Por lo tanto, Transmission 2.92 es la versión recomendada. Algo que no termina de cuadrar en el relato de los expertos de Palo Alto Networks es que dicen haber detectado el malware el día 4 de marzo, "a las pocas horas de que los instaladores fueran publicados inicialmente", cuando lo cierto es que Transmission 2.90 se lanzó el 28 de febrero. Con todo, las notas de lanzamiento de la aplicación demuestran que la actualización se dio el mismo día 28. Lo que no se sabe todavía es qué sucedió, cómo los atacantes pudieron vulnerar la seguridad del sitio oficial de Transmission y reemplazar el ejecutable original por uno infectado. Porque no solo es una de las aplicaciones más populares de su categoría en Mac; también lo es en GNU/Linux, donde distribuciones de la talla de Ubuntu la instalan por defecto (a partir de su código fuente, por lo que este caso concreto nunca podría darse). No obstante, el ransomware es un peligro en alza y no es ajeno a ninguna de las principales plataformas tecnológicas. Afecta con especial intensidad a Windows por su mayor cuota de uso y su diferente modelo de seguridad, pero también se ha dejado notar en Mac, Linux o Android. Hace poco informamos de cómo un hospital de Estados Unidos se vio obligado a pagar después de estar sometido durante más de una semana a una ataque similar. Imagen: Shutterstock
13 comentarios198 shares
07/03/2016J.Pomeyrol
Un hospital de Hollywood, víctima del ‘ransomware’

Un hospital de Hollywood, víctima del ‘ransomware’

El Hollywood Presbyterian Medical Center es la última víctima de uno de los riesgos informáticos más serios de la actualidad, el ransomware. El hospital lleva más de una semana sin acceso a sus sistemas informáticos a causa de un ataque que solo se revertirá si pagan un rescate de 9.000 bitcoins, algo más de 3, 6 millones de dólares. Según informan en el portal especializado en seguridad CSO, los responsables del centro colaboran con la policía de Los Angeles y el FBI con el fin de descubrir la identidad de los atacantes y conseguir así la recuperación de todos sus sistemas sin sucumbir al pago. Sin embargo, no parece que vaya a ser un objetivo sencillo de cumplir en el corto plazo. Debido a esta incidencia el hospital lleva más de una semana sin poder utilizar la la red en los departamentos que no fueron afectados en un primer momento, mientras que los que sí lo fueron, comenzando por urgencias, se han quedado sin acceso a historiales médicos, entre otros datos. La situación ha forzado al personal a trabajar a la vieja usanza, con fax y teléfono, obligando también a trasladar pacientes a otros centros. No es una broma esto del ransomware, desde luego. Que mediante técnicas de malware cibercriminales cifren los datos de una persona en su PC, puede suponer una verdadera pesadilla; que lo hagan con una organización es mucho más grave. Casualidades de la vida, hace apenas una semana os hablamos a fondo del tema aquí, en MuyComputer: cómo prevenir y solucionar ataques de ransomware.
7 comentarios119 shares
16/02/2016J.Pomeyrol
Cómo prevenir y solucionar ataques Ransomware

Cómo prevenir y solucionar ataques Ransomware

Los ataques Ransomware están a la orden del día y han sido una de las técnicas de infección de malware más agresivas de 2015. Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil por cualquier vía de infección, bloquea el funcionamiento del equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como "rescate" para liberarlos. Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad. Puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles) y su motivación es casi exclusivamente económica. Los últimos ataques Ransomware han confirmado que los desarrollos son cada vez más sofisticados y peligrosos como vimos a finales de año con la actualización del Angler Exploit Kit, uno de los “cócteles” maliciosos para ransomware más potentes que existen, con la suma de CryptoWall 4.0 que ofrece un cifrado fuerte casi irrompible. A comienzos de este año conocimos un desarrollo aún más peligroso denominado Ransom32 que se vende en la Deep Web y que puede afectar por igual a equipos con Windows, Mac y Linux porque se trata de un “Ransomware como servicio”. Escrito en Javascript, utiliza Node.js y se ejecuta sobre la plataforma NW.js para cifrar los ficheros y exigir el rescate habitual de estos virus-estafa. Tiene semejanzas con Cryptolocker (uno de los desarrollos más populares), se apodera de los archivos personales del equipo bajo un fuerte cifrado usando una clave pública RSA-2048, con la clave de descifrado incluida en un servidor secreto en Internet. Cuando apareció, solo 7 de 54 antivirus fueron capaces de detectarlo. Para intentar frenar esta amenaza, el CCN-CERT (Centro de respuesta a incidentes de seguridad del Centro Criptológico Nacional) ha publicado un interesante informe denominado "Medidas de seguridad contra Ransomware", que todo usuario deberíamos conocer porque repasa desde los conceptos básicos de este malware, las vías de infección, las medidas preventivas, las medidas reactivas y la restauración de ficheros o su descifrado cuando es posible. Lo más interesante es la lista de medidas preventivas a adoptar en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente los ataques Ransomware. Los hemos comentado en otras ocasiones pero no está de mal recordarlos porque la prevención es siempre la mejor fórmula: Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas). Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail. Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days). No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo "Privacy Manager", que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits). Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero. Adicionalmente, se recomienda la instalación de la herramienta "Anti Ransom", que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando "honey files"). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse. Si a pesar de todo lo anterior detectamos una infección, CCN-CERT recoge medidas reactivas a adoptar de inmediato para poder frenarlo. El informe indica también las preguntas a desarrollar para comunicar el incidente a los equipos de seguridad y la valoración de cada uno de los escenarios. Otro apartado interesante es el de la restauración de ficheros desde las obligatorias copias de seguridad, así como una tabla resumen de las posibilidades de recuperación de datos dependiendo del tipo de cifrado: El informe también ofrece algunas de las herramientas y utilidades on-line existentes que permiten el descifrado de ciertos especímenes de ransomware. Es la última solución si no tenemos copias de seguridad y no podemos perder los archivos. Ya te adelantamos que no es sencillo porque los ciberdelincuentes van por delante y por ello los métodos de prevención tienen que estar por encima de todo. Un informe muy educativo este del CCN-CERT que te recomendamos revisar.
2 comentarios102 shares
08/02/2016Juan Ranchal
Internet Archive abre el museo del malware

Internet Archive abre el museo del malware

Podían haberlo llamado el museo de los horrores informáticos, pero han preferido un más discreto -también acorde, no lo vamos a negar- The Malware Museum, un museo del malware mantenido por la organización sin ánimo de lucro Internet Archive, bien conocida por su labor de preservación de archivos públicos digitalizados. The Malware Museum recopila diversas muestras de malware clásico, virus por lo general, distribuidos a lo largo de los ochenta y noventa con los ordenadores personales como objetivo; es decir, virus de la época de MS-DOS que muchos recordarán con añoranza, no tanto así nombres como Frodo, Elvira, Flame, Casino y un largo etcétera de programas maliciosos que hicieron de las suyas cuando Internet todavía estaba en pañales para el gran público. Se difundían a base de disquetes, vaya. No obstante, cabe señalar que este tipo de malware temprano, a diferencia del actual, no buscaba vaciar los bolsillos a sus víctimas o robarles las cuentas en línea... porque no las había. Sus creadores se conformaban con gastar bromas más pesadas que perjudiciales, aunque a medida que fue avanzando la técnica se llegaron a volver bastante destructivos. El museo del malware se compone por el momento de 65 especímenes en exposición y a buen seguro que conforme pase el tiempo irán nutriendo la colección con otros tantos. ¿Estás interesado en seguirle la pista a las novedades? Puedes hacerlo vía RSS. Sea como fuere hablamos de malware de épocas pasadas y, visto así, ningún lugar mejor para reunirlo que en un museo. Además, en Internet Archive se lo han montado muy bien y en formato galería exponen cada pieza con su correspondiente información, la posibilidad de descargar todos los archivos necesarios para "probarlo en casa", si es que a alguien le apetece hacer tal cosa; y el emulador libre y multiplataforma DOSBox para disfrutar de la experiencia en el mismo navegador. De hecho, permiten incrustar los ejemplos en cualquier web, así que ahí va uno muy, muy conocido... [Imagen: Shutterstock]
1 comentario160 shares
05/02/2016J.Pomeyrol
[ ]