Esta falla de seguridad, calificada como crítica por expertos, permite a los atacantes acceder a datos sensibles como nombres, números de teléfono y mensajes, lo que podría ser explotado por ciberdelincuentes para actividades maliciosas.

La brecha de seguridad se encuentra en la forma en que WhatsApp maneja la sincronización de datos entre dispositivos. Un ataque bien dirigido podría permitir que un tercero acceda a la información personal de los usuarios sin su consentimiento. 

Según los expertos, esta falla no solo compromete los datos almacenados en el dispositivo, sino que también pone en peligro las comunicaciones en tiempo real, lo que podría tener consecuencias graves para la privacidad de los usuarios.

Te puede interesar: Ya no podrán engañarte por WhatsApp: la app recibirá un identificador de imágenes

El problema afecta tanto a las versiones de WhatsApp en dispositivos Android como iOS, y aunque la compañía ha trabajado en soluciones, la naturaleza crítica de la vulnerabilidad ha generado preocupación entre usuarios y expertos en ciberseguridad. Según informes, los atacantes pueden explotar esta brecha utilizando técnicas de “spoofing”, lo que les permite interceptar y manipular la comunicación de manera remota.

Se recomienda a los usuarios actualizar su aplicación lo antes posible y estar atentos a cualquier comportamiento sospechoso en sus cuentas. Asimismo, es aconsejable activar la verificación en dos pasos y evitar conectarse a redes Wi-Fi públicas, que podrían ser un punto de entrada para estos ataques.

Meta, la empresa matriz de WhatsApp, ha señalado que está trabajando en parches de seguridad para mitigar los riesgos. Sin embargo, los expertos en ciberseguridad insisten en que este tipo de vulnerabilidades subraya la necesidad de fortalecer las medidas de protección en las plataformas de mensajería.

Imagen: Christian Wiediger

A finales de mayo de este año, la compañía sufrió un ataque cibernético, en el que fueron robados los datos de al menos unos 560 millones de usuarios. En ese momento, ShinyHunters, el grupo de ciberdelincuentes que se atribuyó el robo, chantajeó a TicketMaster para que pagaran 500.000 dólares por el rescate de la información. La compañía no accedió a las amenazas y los piratas informáticos expusieron los datos en la dark web. 

Posteriormente, hace tan solo unos días, los mismos delincuentes cibernéticos informaron tener en su poder 166.000 códigos de barras que correspondían a las entradas para conciertos de Taylor Swift al rededor del mundo. Entonces, solicitaron 2 millones de dólares por el rescate de estas entradas, sin embargo, TicketMaster volvió a negarse a pagar tal chantaje. 

En esta ocasión, la compañía explica que los boletos robados no tienen ningún valor, pues el código de barras se actualiza constantemente. “La tecnología SafeTix de Ticketmaster protege los billetes actualizando automáticamente un código de barras nuevo y único cada pocos segundos, para que no pueda ser robado ni copiado”, comentó la compañía en su momento. Este argumento detuvo a los piratas de exponer las entradas a conciertos, sin embargo, enardeció la furia de “todo el gremio” de ciberdelincuentes. 

Esta vez apareció un nuevo grupo de ladrones cibernéticos que se hace llamar Sp1derHunters, el cual se dedicó a desmentir el argumento de TicketMaster. Los ciberdelincuentes tomaron casi 39.000 boletos de los 166.000 que habían sido robados por ShinyHunters y los expusieron de forma gratuita en un foro de la dark web. 

Te puede interesar: Concierto de Paul McCartney: cuándo será, costo de boletas, fecha de preventa y todo lo que debes saber

Pero, ¿por qué ellos sí publicaron los boletos? Las entradas que fueron filtradas no fueron elegidas al azar, tienen algo en común: son billetes para imprimir en casa. En pocas palabras, son entradas que ya no se pueden modificar. Con este movimiento, los atacantes desmintieron el argumento de TicketMaster de que los códigos de barra no se pueden utilizar.

“Ticketmaster miente al público y dice que no se pueden usar códigos de barras. La base de datos de tickets incluye tanto tickets físicos como online”, publicaron los actores del robo en un foro de piratería. “Los tipos de billetes físicos son Ticketfast, e-ticket y correo postal. Estos se imprimen y no se pueden actualizar automáticamente”, agregaron.  La publicación también cuenta con un enlace a un archivo CSV con los datos del código de barras de 38.745 entradas de TicketFast, la solución de impresión de entradas en casa de Ticketmaster.

En total, fueron 154 los eventos que resultaron afectados por la filtración de boletería. Entre ellos se encuentran conciertos de artistas como Aerosmith, Alanis Morissette, Billy Joel & Sting, Bruce Springsteen, Carrie Underwood, Cirque du Soleil, Dave Matthews Band, Foo Fighters, Metallica, Pearl Jam, Phish, NK, the Red! Hot Chili Peppers, Stevie Nicks, STING, Tate McRae y $uicideboy$. 

Una de las soluciones más viables sería invalidar las boletas que fueron filtradas por los ciberdelincuentes. Sin embargo, a la hora de publicar este artículo, TicketMaster no ha brindado aún sus declaraciones. Por el momento no es claro si la compañía puede determinar cuáles fueron los boletos que fueron filtrados para poder detener su usabilidad.

Imagen: Máté Lakatos

Siendo, además, una presa fácil para los ciberdelincuentes, pues, a pesar de que las instituciones educativas pueden manejar altos presupuestos de inversión en IT, no siempre se da la importancia al producto de seguridad o software de antivirus para los endpoints. Por consiguiente, el no destinar una parte adecuada para proteger sus sistemas puede dejarlos vulnerables ante amenazas cibernéticas.

Lo anterior lo confirma el Foro Económico Mundial, el cual reportó que en el 2023 tan solo un 4 % de las organizaciones en Colombia están seguras frente al acceso de sus redes y cuentan con sistemas protegidos de ataques cibernéticos. Lamentablemente, la mayoría de  estrategias de seguridad informática de este pequeño porcentaje son reactivas y no preventivas.

Alexander Ramírez Duque, CEO en Frontech, compañía de seguridad informática, afirma que una de las principales consecuencias de estos delitos es el robo de información confidencial, que puede revelar datos sensibles a terceros o facilitar casos de suplantación de identidad. Dependiendo de la naturaleza del ataque, también se podría dar una alteración o eliminación de registros, lo que trae como consecuencia para las instituciones daños en su reputación, multas o demandas.

Te puede interesar: Errores humanos principales brechas de seguridad en Colombia: panorama de ciberseguridad en el país

Para evitar lo anterior, la marca señala las tres mayores deficiencias que tiene el sector educación en temas de seguridad, y cómo estas pueden combatirse: 

• La falta de concientización y formación:

Tanto para estudiantes como para el personal de las instituciones, existe una brecha en el conocimiento de prácticas efectivas para proteger sus datos. Las instituciones carecen de políticas claras y bien definidas para comunicarlas, lo que conlleva al riesgo. Frente a esto, la solución radica en brindar información para capacitar a todas las personas de la institución sobre cómo reconocer correos electrónicos fraudulentos, contar con contraseñas seguras y el uso responsable de dispositivos. También es importante contar con políticas y procedimientos para resguardar la seguridad cibernética, implementando buenas prácticas que eviten la exposición a posibles ataques. 

• Infraestructura desactualizada:

Algunas escuelas o instituciones aún utilizan sistemas operativos y software antiguos que no reciben actualizaciones de seguridad. Sumado a ello, la falta de inversión en tecnologías de seguridad y actualización de infraestructura son una debilidad latente. La solución está en fortalecer la infraestructura tecnológica a través de una actualización regular para mantener los sistemas operativos, aplicaciones y software con los últimos parches de seguridad, reduciendo posibles vulnerabilidades que los ciberdelincuentes podrían explorar.

• Desafíos con la enseñanza virtual:

La transición a la enseñanza virtual ha aumentado la exposición de amenazas cibernéticas en instituciones educativas, como la privacidad de los estudiantes, y las dinámicas de comunicación e interacción entre todas las partes. Para lo anterior, la implementación de simulacros de incidentes de seguridad para evaluar la efectividad de los planes de contingencia y la respuesta del personal es el camino correcto. Se debe designar un equipo preparado para actuar rápidamente en caso de una violación de seguridad, que esté encargado de manejar posibles ciberataques. Asimismo, realizar copias de seguridad de los datos críticos garantiza que, en caso de un ataque, se puedan restaurar los sistemas y la información.

Con el tiempo avanza la tecnología y a su vez evolucionan las amenazas cibernéticas, lo que compromete la integridad de los sistemas informáticos y el bienestar de la humanidad. Por ello, se vuelve vital la protección y detección temprana de estos ataques e invertir en recursos que mitiguen los impactos negativos.

Imagen: Adam Sondel

Apple “ha detectado que es el objetivo de un ataque de software espía mercenario que intenta comprometer de forma remota el iPhone asociado a tu ID de Apple XXX.”, fue el mensaje que llegó a varios usuarios de países como la India. 

La compañía explicó que no pueden revelar más detalles sobre lo que provocó el despliegue de mensajes de alerta. Su argumento para no develar más información es el temor a que la información adicional sea una carta para los hackers, de manera que no puedan ser detectados en el futuro. 

Te puede interesar: Apple no pudo construir su propia IA, ahora recurre a Google para integrar Gemini en iPhone

Lo cierto es que el mensaje también sostenía que “Es probable que este ataque esté dirigido a usted específicamente debido a quién es usted o lo que hace”. Y es que fue en el 2021 cuando se integraron estas alertas de seguridad en los iPhone, luego de que la compañía fue víctima de un software espía pegasus. Desde entonces, más de 150 países han recibido estas alertas cuando el sistema considera que están en riesgo. 

Al recibir esta alerta, los usuarios quedaron desubicados, pues debido a la cantidad de estafas que se han presentado en los últimos tiempos con mensajes similares, es difícil confiar. Es por esto que el mensaje finalizaba diciendo a los usuarios “Aunque nunca es posible lograr una certeza absoluta al detectar tales ataques, Apple tiene gran confianza en esta advertencia; tómela en serio”.

Por ahora, no está claro qué países recibieron la alerta, ni quién es el equipo de piratas informáticos detrás del ataque. Sin embargo, se espera que, al emitir este tipo de alertas, la compañía ya tiene la situación bajo control.

Imagen: montaje ENTER con imagen de Vojtech Bruzek

De acuerdo con las declaraciones de Microsoft, el ataque cibernético fue promulgado por Midnight Blizzard, un grupo de piratas informáticos que presuntamente estaría recibiendo patrocinio por parte de Rusia. Este mismo nombre saltó a la vista en medio de los ciberataques a la compañía estadounidense SolarWinds del 2020. 

¿Qué servicios se vieron afectados en el ataque?

Luego de varios días intentando ingresar a los servidores de la compañía, los piratas informáticos lograron acceder a un “porcentaje muy pequeño” de cuentas de correo electrónico corporativas. Dentro de las cuentas afectadas se encuentran algunos miembros del equipo de liderazgo senior y de empleados del área legal y de ciberseguridad. 

Los de Redmond aseguraron que los productos y servicios de sus clientes no resultaron afectados en medio del ataque. Así, todo se reduce a un ataque que no penetró áreas importantes de la compañía. “Hasta la fecha, no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial. Notificaremos a los clientes si se requiere alguna acción”, explicaron desde Microsoft.  

Te puede interesar: Microsoft anuncia que su herramienta ‘entrenador de lectura’ será gratuita y con funciones IA

¿Cómo lograron burlar la seguridad de Microsoft? 

El ataque final se presentó el 12 de enero, pero los de Microsoft anunciaron lo sucedido hasta hace pocos días. Lo cierto es que, en su comunicado oficial, la compañía asegura que el ataque inició en noviembre del año pasado. Fue entonces cuando los atacantes utilizaron “un ataque de pulverización de contraseñas para comprometer una cuenta de inquilino de prueba heredada que no era de producción y hacerse un hueco”. Luego de estar adentro, utilizaron los permisos de la cuenta robada para acceder a un pequeño porcentaje de cuentas corporativas de Microsoft. 

La investigación dio como conclusión que los ladrones cibernéticos buscaban información relacionada con Midnight Blizzard. Aunque no dieron detalles de si lograron acceder a esta información, la compañía estadounidense denominó este ataque como la prueba del “riesgo continuo” que representan organizaciones de amenazadas “estado-nación” como los actores de este suceso. 

Por último, Microsoft explicó agregó “continuamos nuestra investigación y tomaremos medidas adicionales basadas en los resultados de esta investigación y continuaremos trabajando con las autoridades y los reguladores apropiados”.

Imagen: Johnyvino

Investigadores en seguridad del portal Security Affairs realizaron auditorías en las principales apps para reserva de viajes. Allí encontraron vulnerabilidades que permitirían a los hackers acceder a datos confidenciales e información personal. Dentro de los datos vulnerables se encuentran las direcciones particulares, números de tarjetas de crédito y cuentas bancarias, teléfonos, usuarios, contraseñas y tokens de sesión, todo lo cual podría representar un riesgo tanto financiero como físico.

Desde Appdome, compañía de desarrollo de software describieron las 4 amenazas más comunes con las que los hackers comprometen las apps de viajes. Así los desarrolladores de estas apps tienen más herramientas de seguridad al planear tus próximas vacaciones: 

Código desprotegido y almacenamiento de datos inseguro

Las apps para reservar utilizan y almacenan datos confidenciales, incluyendo nombres, contraseñas, credenciales y planes de viaje. Desafortunadamente, los hackers saben dónde encontrar esta información sensible utilizando una amplia variedad de herramientas de código abierto. 

Los expertos de Appdome recomiendan a los fabricantes de aplicaciones de iOS y Android, que se protejan contra la ingeniería inversa mediante la ofuscación de código. Esto dificulta que los atacantes accedan o comprendan el código fuente o lean los datos. También es importante implementar un cifrado de datos sólido para proteger la información sensible en todos los lugares donde se utiliza o almacena. 

Ataques dinámicos en tiempo de ejecución

Los atacantes utilizan técnicas dinámicas para analizar o modificar las apps mientras se ejecutan. Lo hacen para comprender cómo interactúa con componentes o sistemas internos y externos. Al hacerlo, pueden comprometer las aplicaciones para robar o recopilar datos utilizados en las transacciones, o incluso modificar los flujos de trabajo sobre la marcha.

Dado que el pago generalmente se realiza con tarjeta de crédito, se recomienda que las aplicaciones de viajes y reservas implementen protección   de   seguridad   en   tiempo   de  ejecución  (RASP). Además de  protecciones antimanipulación, antidepuración y anti-reversión que evitarían que la app sea modificada o manipulada dinámicamente. 

Te puede interesar: WhatsApp lanza funciones para viajes, pagos y otros servicios de empresas

Conexiones inseguras y ataques MitM

Los hackers utilizan muchas técnicas para realizar ataques MitM con el fin de interceptar o robar datos, o incluso hacerse pasar por usuarios o servicios confiables. Muchas apps de viajes utilizan versiones inseguras u obsoletas de HTTP o TLS, que carecen de cifrado suficiente o pueden ser susceptibles a vulnerabilidades de seguridad que permitirían ataques de intermediario.

Los desarrolladores de apps para iOS y Android pueden proteger las conexiones y datos mediante protecciones como la validación de certificados, verificación de CA, detección de proxy malicioso, fijación de certificados y más.

Malware, ataques de superposición, apps falsas y troyanos

El malware está en constante aumento como arma clave para atacar apps móviles. Para ello se utilizan técnicas como inyección de claves, method hooking y ataques de superposición para todo tipo de propósitos maliciosos.

En un ataque de superposición, el perpetrador inserta una pantalla falsa que cubre la interfaz de usuario auténtica. Esta táctica tiene como objetivo engañar al usuario para que interactúe con un malware superpuesto, en lugar de con la pantalla real que queda oculta. La superposición maliciosa puede tomar la forma de un botón, un formulario de datos u otra pantalla en una app.

Está diseñado para parecerse o imitar mucho a la interfaz de usuario real y, por lo general, está oculto por el malware superpuesto malicioso controlado por el atacante. Los ataques de superposición a menudo se combinan con otro malware, aplicaciones falsas, troyanos y registradores de pulsaciones de teclas, que mejoran su eficacia para lograr los objetivos del ciberdelincuente.

Imagen:Victor Larracuente

“Seguramente el día de mañana estaremos al 100%, es decir, ya volvimos a la normalidad en principio por la naturaleza del ataque que fue una encriptación de datos; nunca los datos salieron de las entidades o de la nube donde estaba (IFX Network) creemos que los datos están seguros”, aseguró Lizcano.

Esto pese, a que días anteriores había dicho que  el equipo de inteligencia que está al frente del ataque cibernético, pudo establecer que ya había información en la Dark Web, “incluso una vez IFX dio este anuncio a las dos horas en la Dark Web ya estaban ofreciendo una parte de información de los hospitales”, dijo en su momento.

Te puede interesar: Amaranta Hank se opone a iniciativa que busca regular el modelaje webcam: ¿»monopolizadora, esclavista y sucia»?

Ante este panorama, en la nueva comunicación dijo que el equipo de inteligencia informática estará revisando permanentemente en la Dark Web; “le estaremos informando al país sobre si hubo alguna vulneración  de datos (…). “Ha cesado el ataque cibernético en Colombia”, concluyó.

Cabe recordar que el jefe de cartera, también señaló, que el Estado impondrá una demanda civil y posiblemente acciones penales contra IFX Networks por el ciberataque. Algunas de las razones que dio el jefe de cartera,  ante esta decisión tiene que ver, según él, con «la falta de compromiso de la empresa IFX Networks y los fallos en protocolos de seguridad con ocasión del ciberataque ocurrido, junto con la negativa de entregar la información pedida por el Puesto de Mando Unificado como indicadores de compromiso, el malware y la anatomía del ataque».

Imagen: MinTIC

A finales de marzo los servidores de la compañía sufrieron un ataque, aún no se sabe cuándo estará disponible el ingreso para que los usuarios dispongan de su información.

“Por lo que hemos descubierto hasta ahora, el atacante obtuvo ciertos datos de nuestros sistemas y estamos trabajando con las fuerzas de seguridad para entender el alcance y descubrir a los responsables”, han explicado en un comunicado.

Cabe recordar que My Cloud es un servicio similar a otros servicios de almacenamiento en la nube como Dropbox o Google Drive, no obstante la diferencia es que la información está asociada a un serie de discos duros externos y servidores de almacenamiento en red (NAS) de la compañía.

Te puede interesar: ¿Es necesaria una Agencia Nacional de Seguridad Digital de Colombia?

Hace un día Western Digital informó que además My Cloud; My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi y SanDisk Ixpand Wireless Charger, también están inhabilitados.

Cabe mencionar que los usuarios que almacenan información en estos servidores pueden consultarla desde la red local y  también de forma remota desde dispositivos móviles hasta de escritorio.

Por ahora, lo que ha hecho la compañía ha sido desconectar varios de sus servicios, pero lo más grave es que el hacker ha podido obtener datos de sus sistemas y están trabajando para ver  qué tan grave es.

Te puede interesar: FBI habría comprado datos de internet sin consentimiento de usuarios

El diario el Mundo ha reseñado que, aunque Western Digital no ha especificado la naturaleza del ataque, analista de seguridad en la empresa de seguridad Emsisoft, Brett Callow, “cree que podría trata de ransomware, un tipo de ataque en el que el contenido en los servidores de la empresa atacada queda cifrado (y por tanto inaccesible) hasta que se paga un “rescate” a cambio de la clave que permite descifrarlo”.

Imagen: silicon

Nuestros colegas de CNN fueron los primeros en informar que en horas de la mañana de este viernes, los piratas informáticos tuvieron acceso a un sistema informático del FBI. Todo indica que el ataque afectó a la oficina de campo en Nueva York de la agencia, así lo afirmó el medio mencionado, luego de obtener información de personas familiarizadas con el asunto.

Por el momento, es poca la información que se tiene al respecto, sin embargo, se pudo determinar parte de la información que se vio afectada. El incidente involucró el sistema informático que utiliza la agencia para la investigación de imágenes de explotación sexual infantil. Por tanto, se podría pensar que dicha información almacenada en el sistema, fue expuesta; aunque, vale recalcar que la entidad no ha confirmado o desmentido este dato.

Te puede interesar: Ciberataques como el de Audifarma se podrían evitar con «Pentesting»

En una declaración por parte de Manali Basu, portavoz del FBI a TechCrunch, confirmó que la agencia había contenido el “incidente aislado” que aún continúan investigando. “El FBI está al tanto del incidente y está trabajando para obtener información adicional”, dijo el portavoz. “Este es un incidente aislado que ha sido contenido. Como se trata de una investigación en curso, el FBI no tiene más comentarios para proporcionar en este momento” concluyó.

Hasta el momento, solo podemos hablar de las incógnitas sobre el incidente. Por ejemplo, aún no está claro el momento específico en el que se presentó el ataque, qué información se vio comprometida y cómo se compromete como tal al FBI. Por otro lado, aún no se ha podido determinar de dónde proviene el ataque cibernético. Habrá que esperar los próximos reportes por parte de la agencia.

Imagen: Wiki Commons

“Desde el momento en el que se identificó, hemos estado trabajando 24 horas del día, tanto desde el equipo tecnológico como desde el médico y administrativo, para dar continuidad a la atención a nuestros afiliados”, señaló el grupo a través de un comunicado de prensa.

El ataque cibernético, del cual no se tiene mucha información aún, afectó los canales digitales de ambas EPS, dejando afectados a más de 5 millones de usuarios. Dentro de los servicios de salud que han presentado fallas, según los reportes de los usuarios están: el sistema de acceso a atención de urgencias, entrega de medicamentos y agendamiento de citas. Debido a todas las afectaciones presentadas en el sistema, las EPS han tenido que realizar varios procedimientos de manera manual que antes se hacían en digital.

Por supuesto, las fallas están provocando colapso en las sedes de las entidades de salud. Si en este momento intentas solicitar una cita médica con alguna de las EPS, verás que no hay acceso por ningún medio, es decir, no hay acceso mediante la web, WhatsAppp, oficinas virtuales ni telefónicas. Por otro lado y lo que puede presentar mayor inconveniente, es que los médicos tampoco tienen acceso a las historias clínicas de los pacientes.

Sanitas confirmó que las fallas sí tienen que ver con un ataque cibernético, sin embargo, se desconocen los autores intelectuales. Así mismo, las entidades de salud sostienen que no es posible establecer una fecha exacta en la que se restablezca el servicio, puesto que se desconoce el alcance de los daños. Por ejemplo, no se tiene certeza de sí la información personal y privada de los pacientes quedó expuesta en el ciberataque.

Te puede interesar: Fuerzas Militares temen por la filtración de información tras hackeo

Juan Pablo Rueda, presidente de la EPS Sanitas sostuvo que: “Somos víctimas de un ataque cibernético muy importante, estamos desplegando un plan de contingencia”. Por ahora se evidencia la afectación en las páginas :  https://www.keralty.com, https://www.epssanitas.com y https://www.colsanitas.com.

De acuerdo con El Tiempo, Camilo García, autor del portal muchohacker.lol, quien además es experto en ciberseguridad y hacking, expresa que, al no saber el tipo de ataque que sufrieron las entidades, es difícil determinar si las personas deben o no cambiar sus contraseñas. “Y mucho más si la contraseña que usan para Sanitas es la misma que usan en otros servicios. Probablemente sea una buena práctica cambiar contraseñas”, comentó García.

Por último, el experto argumentó que esta no es la primera vez que el sistema de salud sufre un ataque cibernético. El pasado 18 de noviembre, Cruz Verde, firma encargada de la entrega de medicamentos a los pacientes de las entidades, advirtió sobre una falla en el sistema de Sanitas.

Por ahora, los directivos de la EPS informaron a sus trabajadores que: “Ante cualquier posible visita de los medios NADIE está autorizado a dar información. Habrá que esperar los próximos comunicados de prensa por parte de las entidades, incluso, por parte de El Ministerio de las Tic o el Ministerio de Salud.

Imagen: Pexels

La entidad asegura que los ladrones cibernéticos están pidiendo entre dos y cinco millones de dólares en criptomonedas para que la página vuelta a funcionar sin problemas. Fue el pasado 3 de octubre cuando la entidad reconoció que su página web había sido vulnerada por piratas informáticos. A través de sus redes sociales, el INVIMA informó a la ciudadanía que algunos servicios de su sitio web se estaban viendo afectados por el ataque cibernético. En ese momento, la entidad catalogó el ataque como un “secuestro de información”.

Cabe recordar que esta última ofensiva contra la entidad no es la única que ha sufrido. Hace aproximadamente ocho meses, el INVIMA también presentó un ataque cibernético del que lograron levantarse días después. Sin embargo, dicho ataque logró retrasar la entrada y salida de contenedores de alimentos y otros productos indispensables en los puertos del país.

“Esto hace que varias de nuestras plataformas no puedan continuar operando, las hemos suspendido para que el daño se pueda contener y se pueda evaluar antes de reiniciar operaciones. No fue un robo de información, lo que hicieron los hackers fue cambiar el idioma de toda la programación y de toda la documentación de la que dispone la institución. El problema es que el INVIMA no puede utilizar la información. Se trata de un encriptado. Nuestros sistemas no pueden funcionar. El INVIMA ya había tenido un ataque en febrero o marzo”, Comentó Rossi, en su momento.

Te puede interesar: Fuerzas Militares temen por la filtración de información tras hackeo

Ahora, a diferencia del comunicado del pasado 3 de octubre emitido por la entidad, Rossi asegura que el término “secuestro” no es el adecuado para referirse a la información. Adicionalmente, argumentó que los delincuentes informáticos están pidiendo que se les pague. “los hackers hacen esto porque estos ataques siempre salen en los periódicos y también atacan instituciones privadas, las cuales sí pagan. Esto les sirve para hacer un poco de publicidad”, aseguró Rossi.

Pero el INVIMA no fue la única entidad afectada. Se cumple más de un mes desde que la página y el sistema del comando central de las Fuerzas Militares fue hackeada, desde entonces, la entidad ha estado realizando un diagnóstico del robo de información. Se pudo determinar es que el ataque cibernético viene por parte de un grupo de piratas informáticos denominado ‘Guacamayas’. Por otro lado, el grupo de delincuentes cibernéticos no solo tomó a las Fuerzas Militares colombianas como su blanco de robo. El hackeo también se presentó en el sistema militar de México, Chile, El Salvador y Perú.

Imagen: Pexels

Dicho así, los procedimientos mercantiles y los de insolvencia e intervención quedaron en pausa. Los términos para procedimientos administrativos y disciplinarios y trámites llevados por Supersociedades en Bogotá y todas las intendencias también quedaron en pausa. Se esperaba que estos procesos se retomaran el 28 de junio, fecha que fijó la entidad, sin embargo, no fue así. A cambio, Supersociedades emitió una nueva resolución.

En la resolución argumentaban que el mantenimiento se había iniciado gracias a “un incidente extraordinario en los sistemas informáticos de la entidad, hecho imprevisto que imposibilitó la prestación de los servicios de la misma”. Aunque no dieron más detalles al respecto, la revista Forbes pudo determinar el día de ayer 5 de julio que la entidad había sido víctima de un ataque cibernético. La entidad explica que los hackers no alcanzaron a secuestrar ningún dato. Sin embargo, la entidad está revisando equipo por equipo para confirmar que no hubo robo o algún otro tipo de riesgo.

Te puede interesar: Así te puedes inscribir al pago del impuesto predial por cuotas

“Los expertos nos dicen que se trató de un “incidente” que no prosperó para convertirse en un ataque cibernético. Sin embargo, por prevención los sistemas se están revisando”, comentaron desde la oficina de comunicaciones de la entidad a Forbes.  Incluso, la entidad emitió una nueva resolución con fecha del 5 de julio donde anunciaban que el sistema continuaba en fase de mantenimiento correctivo extraordinario “de manera sincronizada, realizando una activación paulatina que requiere de pruebas de uso que garanticen el correcto funcionamiento de los sistemas”.

Por el momento la página web de Supersociedades sigue inhabilitada con fecha de apertura el próximo 10 de julio. Entonces, si requieres radicar un documento para algún proceso que lleves en la Supersociedades, deberás hacerlo presencialmente. Recuerda que para ello deberás llevar el documento original y la copia en el horario de 8 de la mañana a 5 de la tarde.

Imagen: Pexels

Nombre, teléfono, ubicación aproximada, trabajo y posible salario de más del 92 % de los usuarios de LinkedIn están a la venta en la dark web en lo que parece ser la segunda filtración del año de la red social. Los datos habrían sido obtenidos por un cracker con la API oficial de LinkedIn, el mismo método usado el mes de abril cuando se publicaron 500 millones de cuentas para su venta.

El reporte de la venta de los datos fue hecho por Restore Privacy. Mientras que el portal Fortune asegura que la información parece estar actualizada a información del 2020 y 2021, un vocero de LinkedIn dijo que “no había suficientes pruebas para asegurar que es información reciente”.

Entre los datos compartidos en la lista incluyen:

También te puede interesar: LinkedIn: datos de 500 millones de usuarios está a la venta en Internet

• Nombre completo
• Teléfono celular
• Dirección
• Correos electrónicos
• Historial de ubicación guardada por la plataforma
• Nombre de usuario y URL del perfil de LinkedIn
• Experiencia profesional
• Género
• Enlaces a otras redes sociales con nombre de usuario.

LinkedIn en sus últimos reportes aseguró tener 756 millones de usuarios y en respuesta a la filtración aseguró en su blog que parte de la información disponible es pública en la red social y que datos privados como dirección de la casa, teléfonos y otra información sensible no salió de los datos guardados por la empresa, aunque no da argumentos claros sobre esta aserción. “Queremos dejar claro que está no es una filtración o robo de datos. La lista incluye la misma información publicada en abril y la información de nuestros usuarios no fue expuesta”, resalta la plataforma.

Por ahora, si tienes una cuenta de LinkedIn, es importante que sepas que tu contraseña no fue expuesta, pero no está de sobra cambiarla; porque posiblemente haces parte del 92 % de usuarios cuya información fue expuesta. Los datos publicados son sensibles en el sentido de que puede ser usados para robar identidad o para hacernos víctimas de phishing, spam y otro tipo de ataques cibernéticos y obtener acceso a nuestras cuentas en otras plataformas.

LinkedIn tiene muy mala fama en hacerse responsable por la seguridad de los datos de sus usuarios, aunque en su publicación asegura que “protege y toma las medidas necesarias para que las personas que hacen mal uso de la información de sus usuarios sean responsables”. En las dos ocasiones ha negado el robo de datos atribuyéndolo a otras estrategias no relacionadas con la plataforma, aun cuando los mismos victimarios aseguran haber obtenido la información desde sus herramientas.

Imagen: Rawpixel en Freepik. 

La primera recomendación es que si tienes un juego con cuenta de esta compañía, cambies tu contraseña inmediatamente; al igual que de cualquier otro servicio en el que tengas las mismas credenciales (es decir correo y contraseña). Además, como medida adicional, quita permisos de aplicaciones de terceros y de cuentas en PSN o Twitch.

Aunque aún Activision no ha hecho ningún comentario, diferentes gamers y youtubers han asegurado que perdieron sus cuentas. “Los usuarios esperan poder recuperar sus cuentas y, por supuesto, toda la información y datos que tienen en ellas”, explica el portal Forbes.

También te puede interesar: Un nuevo juego de ‘Call of Duty’ sigue en camino.

Diferentes medios y sitios de eSports afirman que no se conoce cómo se dio el ataque, pero señalan que la empresa nunca ha activado la autenticación a dos pasos, un método que pide una credencial extra a la contraseña para ingresar a la cuenta, lo que habría facilitado el ataque a los usuarios.

Activision es una empresa que, regularmente, no responde de manera rápida a este tipo de ataques y suele permanecer en silencio. Si tienes problemas para acceder a tu cuenta, lo único que te podemos recomendar es contactar en ayuda para seguir los pasos de recuperación.

Imagen: Activision. 

CCleaner (Crap Cleaner), la herramienta de optimización de sistemas operativos, fue hackeada para ser utilizada como plataforma para distribuir malware a los usuarios. De acuerdo con The Next Web, los atacantes aprovecharon la popularidad de la aplicación, que en la actualidad cuenta con más de dos mil millones de descargas y reúne a más de dos millones de usuarios activos.

La infección fue descubierta por investigadores de Cisco Talos, quienes observaron un comportamiento fuera de lo común en la versión 5.33 de CCleaner, que fue lanzada en agosto. Al parecer, el programa fue infectado con el malware Floxif, que recopila información de los usuarios y la envía a los servidores del atacante. Para lograr esto se cree que los hackers accedieron a los sistemas del desarrollador Piriform, responsable de Ccleaner y cambiaron el certificado digital del programa por uno propio infectado.

Millones de usuarios de CCleaner en problemas

El cambio del certificado digital permitió la instalación de malware y software de control y espionaje en millones de ordenadores de todo el mundo.  Además, el malware fue programado para recopilar una gran cantidad de datos de usuario, incluyendo: nombre de la computadora, lista de software instalado, actualizaciones de Windows, procesos en ejecución, direcciones de los adaptadores de red e información mucho más sensible si el proceso se ejecuta con privilegios de administrador.

También te puede interesar: 50 apps con malware fueron eliminadas de Google Play

Hasta el momento se cree que decenas de miles de usuarios con las versión 5.33 de CCleaner han sido infectados por Floxif. Por otro lado, la versión 1.07.3191 de CCleaner Cloud también está afectada. Las versiones infectadas son en ambos casos para sistemas Windows de 32 bits. Por tal razón, las personas que tengan instalado CCleaner en sus equipos deben actualizar el software a la última versión.

Imagen: Pixabay, Pixabay

La diferencia esta vez, según los analistas de Eset, es que estas campañas están aprovechando técnicas conocidas hace un tiempo para alcanzar a cada vez más usuarios. Aquí les presentamos algunos de los casos estudiados.

Casos de estudio

Desde el laboratorio de investigación de Eset Latinoamérica se analizaron dos casos recientes. En cada uno se repasó cómo funcionan estas viejas técnicas, combinadas ahora con novedosos engaños que tienen como objetivo convertirse en señuelos más atractivos para sus víctimas.

Caso 1: ‘Smishing’

El smishing es una técnica que se presenta cuando una víctima recibe un mensaje de texto (SMS) en el cual es inducida a ingresar a un enlace malicioso. Los pretextos pueden ser una cuenta suspendida, el restablecimiento de una contraseña o un acceso indebido a una cuenta. El estafador se hace pasar por una entidad conocida, como un banco o una empresa. Así como un ciberdelincuente puede enviar un correo apócrifo, que aparentemente proviene desde una dirección conocida, también puede falsificar el número telefónico que aparece como origen de los mensajes.

Este tipo de técnica suele ligarse a la ingeniería social, ya que busca obtener contraseñas o información crítica del usuario, pero no suele propagar códigos maliciosos.

Caso 1: Banamex

Uno de los casos de smishing que se propagó recientemente entre usuarios de Latinoamérica fue el de Banamex, el cual tenía como pretexto desbloquear una cuenta de este banco.

En el cuerpo del mensaje se advierte al receptor que podrá confirmar su identidad haciendo clic en el enlace proporcionado. Cuando Eset analizó la actividad que tuvo la página de destino, se evidenció que alcanzó más de mil clics en solo un día y luego permaneció inactiva en las siguientes semanas.

“Quienes ingresaran sus datos personales y/o su contraseña de home banking las estaban enviando en realidad a los cibercriminales. Esto nos recuerda nuevamente la importancia de utilizar el doble factor de autenticación”, aseguró Lucas Paus, especialista en seguridad informática de Eset Latinoamérica.

De estar activa, esta medida evita que el estafador pueda acceder a la cuenta, porque por mas de que tenga la contraseña, le hará falta el segundo factor para iniciar sesión, el cual se envía al usuario por otro medio (SMS, notificación o token) y es de uso único.

Caso 2: Phishing redirect con archivos adjuntos

Este es un ataque que se comete con el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima. El estafador se hace pasar por una persona o empresa de confianza, utilizando una aparente comunicación oficial como correos electrónicos, sistemas de mensajería instantánea o incluso llamadas telefónicas.

Aunque la estafa se propaga por correo electrónico los teléfonos celulares intervienen como canal secundario. El siguiente ejemplo, relacionado con PayPal y el cual ocurrió hace unos meses, dejar ver cómo funciona esta clase de ataque:

El correo simula ser una comunicación proveniente de PayPal, y si bien la dirección de origen parece ser pago@paypal.com.ar, es fácil distinguir que es en realidad un alias de otra dirección con un dominio desconocido. El pretexto del engaño es un clásico problema con la información de la cuenta, en este caso un cambio en el número de teléfono asociado. Curiosamente, el mensaje no contiene un enlace, sino un archivo adjunto. En su interior, se induce al usuario a visitar un sitio web. El mismo es malicioso y lo llevará a un sitio web que imita al original de PayPal, en el cual se solicitaran las credenciales de acceso.

“De nuevo, utilizar el teléfono móvil como un segundo factor de autenticación es una gran medida de seguridad”, concluyó Paus.

Recomendaciones

Si recibes mensajes extraños y tienes dudas sobre su veracidad, Eset acerca estos tres consejos para estar más alerta y reconocer una estafa:

– Tener especial cuidado con mensajes que dicen provenir de entidades financieras o promociones que incluyan un enlace web, una petición urgente o que induzcan a compartir ese enlace. La mayoría de las veces son estafas, y la mejor manera de comprobarlo es comunicarse con la entidad para confirmarlo.

– Prestar atención al comportamiento anómalo en el teléfono, como llamadas o SMS a números desconocidos en el historial, un bajo rendimiento del equipo y alto consumo de la batería, o incluso reinicios inesperados.

– Revisar las cuentas periódicamente, tanto de factura telefónica, que puede incrementarse rápidamente por suscripción a servicios de SMS Premium, como los gastos de la tarjeta, que pueden aumentar si lograron robarte tus credenciales mediante un software espía.

Imagen: Pexels

Estas y otras tendencias aparecen en el más reciente resumen trimestral sobre la inteligencia de amenazas elaborado por esta compañía, y al cual pudimos acceder. Según este resumen, de abril a junio ocurrieron importantes acontecimientos en cuanto a los ataques dirigidos, incluidos aquellos realizados por agentes de habla rusa, inglesa, coreana y china.

Para la compañía, estos sucesos tienen implicaciones de gran alcance para la seguridad informática empresarial, pues continuamente, y en casi todas partes del mundo, está llevándose a cabo una actividad maliciosa avanzada y esto aumenta el riesgo de que las empresas y organizaciones sin fines de lucro sean víctimas de los daños colaterales de la guerra cibernética. “Las epidemias destructivas de ‘WannaCry’ y ‘Petya’, presuntamente respaldadas por estados nacionales, cuyas víctimas incluyeron a muchas compañías y organizaciones en todo el mundo, se convirtieron en los primeros ejemplos -pero muy probablemente no serán los últimos- de esa nueva y peligrosa tendencia”, opinó Kaspersky.

Los ataques más destacados en lo que va de 2017

– Tres exploits de día cero liberados por los agentes de habla rusa ‘Sofacy’ y ‘Turla’: ‘Sofacy’, también conocido como ‘APT28’ o ‘FancyBear’, lanzó los ataques contra una serie de objetivos europeos, que incluían organizaciones gubernamentales y políticas. Ese agente de amenazas también fue visto probando algunas herramientas experimentales, en particular contra un miembro de un partido político de Francia antes de las elecciones nacionales de ese país.

– ‘Gray Lambert’: Kaspersky Lab analizó el kit de herramientas más avanzado hasta la fecha del grupo Lamberts, autores de este ataque. El grupo Lamberts es una familia de ciberespionaje altamente sofisticada y compleja de habla inglesa. En este caso, se identificaron dos nuevas familias de malware relacionadas.

– El ataque de ‘WannaCry’ el 12 de mayo y el ataque de ‘ExPetr’ o ‘Petya’ el 27 de junio: Aunque eran muy diferentes en su naturaleza y objetivos, ambos resultaron sorprendentemente ineficaces como ransomware. Por ejemplo, en el caso de WannaCry, su rápida propagación global y su notoriedad pusieron en primer plano la cuenta de rescate de Bitcoins de los atacantes, e hicieron que les fuera difícil sacar dinero. Esto sugiere que el verdadero objetivo del ataque WannaCry fue la destrucción de datos. Así mismo, los expertos de Kaspersky Lab descubrieron más vínculos entre el grupo Lazarus y WannaCry. Este patrón de malware destructivo disfrazado como ransomware se mostró nuevamente en el ataque de Petya.

Petya, que fue dirigido a organizaciones de Ucrania, Rusia y otros países de Europa, también parecía ser ransomware, pero resultó ser puramente destructivo. El motivo de los ataques de ‘Petya’ sigue siendo un misterio. Los expertos de Kaspersky Lab han establecido un vínculo poco probable con el agente de amenazas conocido como Black Energy.

Se requiere una inteligencia global contra las amenazas

Durante mucho tiempo hemos afirmado la importancia que tiene una verdadera inteligencia global contra las amenazas para ayudar a los defensores de las redes más susceptibles y críticas. Al respecto, Juan Andrés Guerrero-Saade, investigador senior de seguridad del equipo global de investigación y análisis de Kaspersky Lab, dijo “Seguimos siendo testigos de la aparición de atacantes extremistas que no tienen la menor consideración hacia la salud de Internet y de aquellas instituciones y empresas imprescindibles que dependen de él a diario. Cuando el ciberespionaje, el sabotaje y el crimen se propagan sin freno, es aún más importante que los defensores se unan y compartan conocimientos de vanguardia para protegerse mejor contra todas las amenazas”.

También te puede interesar: ¿Cuáles son los ataques cibernéticos más recurrentes en la actualidad?

Imagen: Pixabay

Entertainment Weekly informa que HBO sufrió un ataque cibernético en las últimas horas. Los atacantes afirman que tienen en su poder 1,5 terabytes de información de la empresa. Dentro del contenido estarían algunos capítulos de ‘Game of Thrones’, así como de otras series y un supuesto guión.

La primera alerta del ataque se dio cuando muchos periodistas recibieron un correo electrónico de parte del hacker: “Hola a toda la humanidad. La mayor fuga de la era del espacio cibernético está sucediendo. ¿Cuál es su nombre? Oh, casi me olvido de decirlo. HBO y su ‘Game of Thrones’…… !!!!!! Tienen suerte de ser los primeros pioneros en presenciar y descargar la fuga. Disfrutenlo y difundan estas palabras. Quien lo propague mejor, tendremos una entrevista con él. HBO está cayendo”.

HBO habría confirmado el hackeo

Tal información habría sido confirmada por parte de HBO a sus empleados por medio de un correo electrónico y un comunicado oficial que EW cita textualmente: “HBO recientemente experimentó un incidente cibernético, que resultó en el compromiso de información de propiedad. Inmediatamente comenzamos a investigar el incidente y estamos trabajando con las fuerzas de seguridad y las empresas de ciberseguridad. La protección de datos es una prioridad absoluta en HBO, y tomamos en serio nuestra responsabilidad de proteger los datos que tenemos”.

Además de ‘Game of Thrones’, que por estos días goza de popularidad con el reciente estreno de su séptima temporada, los hackers también tendrían en su poder el próximo episodio de ‘Ballers’ y ‘Room 104’. Aunque, HBO aún no se ha pronunciado respecto a qué contenido podrían haberse robado, títulos específicos o la cantidad de datos a los que accedieron.

El mayor temor de todo esto es que se confirme que los hackers tienen material audiovisual que pueda llegar a plataformas de video. Eso supondría una gran perdida para la compañía. Hemos buscando en internet y, hasta el momento, no hay ningún capítulo o guión  filtrado de las series en mención.

Imagen: Captura de pantalla, HBO

]]> https://www.enter.co/cultura-digital/entretenimiento/hbo-fue-hackeada/feed/ 2 https://www.enter.co/empresas/seguridad/un-nuevo-ransomware-esta-afectando-bancos-y-aerolineas-en-europa/ Tue, 27 Jun 2017 17:10:45 +0000 http://www.enter.co/?p=313539 A mediados del mes pasado, el mundo se vio conmocionado por un ataque de ransomware a escala global que afectó todo tipo de compañías, entidades y organismos gubernamentales. Pero, tal y como lo predijeron expertos en seguridad informática, hoy nuevamente se ha presentado un caso de ransomware con implicaciones gigantescas.

Según lo reportado en The Verge, el reciente ataque de ransomware ha llevado a varias empresas europeas a un cese de actividades. Los daños más graves están siendo reportados por empresas ucranianas, con sistemas comprometidos en el Banco Central de Ucrania, las telecomunicaciones estatales, el metro municipal y el aeropuerto Boryspil de Kiev. Otras áreas y/o departamentos comprometidos están en Ukrenego, la empresa proveedora de electricidad de Ucrania, aunque un portavoz de esta compañía dijo que la fuente principal de alimentación de electricidad no se vio afectada por el ataque.

Las infecciones también han sido reportadas en dispositivos más aislados como terminales de algunos puntos de venta y cajeros automáticos.

Otras empresas afectadas

Otros medios como El Mundo reportaron que hasta ahora la lista de afectados la componen más de 50 empresas de diversos sectores localizadas en países como Reino Unido, Estados Unidos, Francia, Rusia, España, India y Ucrania. En ella se encuentran la multinacional alimentaria Mondelez, que es dueña de marcas como Oreo, Tang, Milka o Toblerone; la empresa de publicidad británica WPP; Nivea; Auchán (Alcampo); el laboratorio Merck; la petrolera rusa Rosneft, en la cual el virus al parecer llegó hasta sus servidores; y la agencia de relaciones públicas y comunicaciones Burson Marsteller.

La compañía de transporte marítimo Maersk, oriunda de Dinamarca, también ha informado de sistemas afectados a través de múltiples sitios, incluyendo su brazo logístico en Rusia, Damco. En Estados Unidos específicamente se presentaron casos en oficinas como la firma de abogados DLA Piper.

Características de este nuevo ataque

The Verge informó que un investigador de Kaspersky Lab identificó el virus como ‘Petrwrap’, una cepa del ransomware Petya identificado por esta misma compañía en marzo. Ahora, una muestra recuperada del mismo -compilada el 18 de junio- sugiere que el virus ha estado infectando las máquinas de muchas empresas desde hace algún tiempo. Sin embargo, según un reciente análisis de VirusTotal, solo cuatro de los 61 servicios antivirus más reconocidos pudieron detectar el virus con éxito.

Otras firmas han dicho que el nuevo ransomware emplea el mismo exploit (fragmento de software) ‘EternalBlue’ usado por WannaCry, lo que le permite propagarse rápidamente entre los sistemas infectados. EternalBlue apunta al sistema de intercambio de archivos SMB de Windows, y se cree que ha sido desarrollado por la Agencia de Seguridad Nacional (NSA). Microsoft ha reparado desde entonces la vulnerabilidad subyacente para todas las versiones de Windows, pero muchos usuarios siguen siendo vulnerables y una cadena de variantes del malware ha empleado el exploit para entregar el ransomware.

‘Petrwrap’ parece ser un programa de ransomware directo. Una vez infectado, el virus encripta cada computador haciéndolo inutilizable hasta que el sistema sea descifrado. A continuación, un mensaje explica que para desencriptar la información es necesario que el usuario pague 300 dólares en Bitcoin y enviar la identidad del monedero virtual de la empresa que ha sufrido el ataque, junto con un código de verificación que los piratas muestran en las pantallas de los afectados. Al finalizar, los atacantes prometen recuperar toda la información a través de un código de desactivación que prometen enviar.

Orígenes del ataque

Los orígenes del ataque aún no están claros, pero la afectación de las empresas eléctricas de Ucrania hace que las miradas del mundo se vuelquen sobre Rusia. La red eléctrica de Ucrania fue golpeada por un ataque persistente y sofisticado en diciembre de 2015, que muchos atribuyeron a Rusia. Dicho ataque dejó en su momento a 230.000 ciudadanos sin electricidad durante seis horas.

Imagen: Pixabay.

Partiendo de la base de que todas las empresas son diferentes, así mismo son las necesidades en seguridad. Dependiendo qué tipo de información es la que se necesita proteger, así es el sistema de seguridad. Y como el eslabón más débil de la cadena de seguridad en una empresa es el personal, Etek, empresa prestadora de soluciones en seguridad, compartió cinco puntos claves para no ser víctimas de un ataque cibernético.

En la red existen múltiples tipos de software maliciosos que buscan víctimas. Pueden ser silenciosos como el caso de un APT o ruidosos como un ransomware. En el primer caso, un APT puede infiltrarse en el sistema de un dispositivo para ver lo mismo que quien lo usa. Regularmente los dispositivos se infectan por una imagen o un archivo ejecutable como una aplicación o programa. Pero en el caso del ransomware, la víctima sabe que está siendo atacada por varias cosas: por el aviso que aparece en la pantalla y porque pierde el control de su dispositivo.

Por eso es importante implementar un sistema de seguridad completo. Este se logra por medio de la suma de la tecnología, las personas y los procesos de los dos anteriores. Pero como esto es una cadena de eslabones, iremos paso a paso. Emmanuel Monroy, director de desarrollo de Etek International, nos explicó qué deben hacer los empresarios y usuarios de los sistemas de seguridad.

Los pasos a tener en cuenta

Lo primero que anotó el experto es el identificar cuál es la información sensible dentro de la empresa. Para ello se tiene que saber cuáles son los procesos críticos de la empresa. Luego, a partir del proceso se identifican los vectores de riesgo. Por ejemplo, para una entidad financiera el proceso crítico es cada transacción de sus clientes. A partir de esa identificación sabemos cuáles son los elementos que están involucrados y cómo debemos protegerlos.

El segundo paso es la capacidad de identificar las amenazas contra la información. Las amenazas son innumerables y conforme pasa el tiempo van evolucionando. Entonces, para identificar las amenazas primero es necesario tener una visibilidad. Es decir, tenemos que saber qué amenazas hay en el entorno del negocio, y posteriormente poder contenerlas por medio de un mecanismo especial de seguridad. Ahí lo que se busca es acompañar a las empresas a identificar esas amenazas.

Luego se deben aplicar los mecanismos de mitigación de los riesgos. Estos están asociados a lo que se identifica como un peligro en potencia. Las empresas pueden invertir en tecnologías de punta, pero si los usuarios que las usan no están alineados a las políticas de seguridad, será muy complicado manejar la información. En este punto, el experto recomienda que toda empresa, para iniciar, debe contar con un firewall y un antivirus. El firewall es una tecnología que restringe el acceso de redes externas a redes internas. Y el antivirus se encarga de proteger los dispositivos finales donde llega la información conocidos como endpoints.

Una vez se cuenta con el sistema de seguridad y sus respectivos protocolos hay que monitorear los comportamientos. Todas las herramientas de seguridad proveen información que se puede analizar para identificar las amenazas. Esto le permite a las empresas poder tomar decisiones para evitar que un ataque cibernético se materialice. En este escenario, las organizaciones aplican dos medidas: tercerizar el análisis de la información o contar con un departamento especializado en el interior de la misma.

Y por último está la capacidad del sistema para dar una respuesta efectiva a un ataque y anticipar futuros incidentes. “Para las respuestas efectivas, Etek cuenta con un Centro de Respuesta a Incidentes que garantiza que entre estos centros a nivel mundial se pueda compartir información para el beneficio de los usuarios finales. Y con esas capacidades, podemos anticipar las amenazas. Debido a que evolucionan, nosotros estamos obligados a trabajar con más fuentes de información para tomar medidas preventivas”, concluyó Monroy.

Imagen: iStock.

Hace dos semanas, el mundo fue impactado con la noticia de un ataque de ransomware que afectó la información de cientos de empresas. Ahora, como si no hubiera sido suficiente con los alcances del que ya pasó, Kaspersky Lab nos advierte que nuestros celulares también podrían ser víctimas de un secuestro de información.

Según el comunicado de prensa de la compañía, la pesadilla global de ransomware no muestra ningún signo de desaceleración, y una prueba de ello es que el volumen de ransomware en móviles aumentó más de tres veces (3,5 veces) durante los primeros meses del año, según el informe de Kaspersky Lab ‘Desarrollo de las Amenazas Informáticas en el Primer Trimestre de 2017’.

El ransomware que apunta a todos los dispositivos, sistemas y redes también siguió creciendo con la aparición de 11 nuevas familias de troyanos cifradores y 55.679 nuevas modificaciones en el primer trimestre.

Número de archivos de ransomware móviles llegó a 218.625 en el trimestre

Otras cifras del informe evidencian que el número de archivos de ransomware móviles detectados llegó a 218.625 durante el trimestre, en comparación con los 61.832 del trimestre anterior. La familia Congur es el ransomware más popularizado, representando más del 86%. Este es principalmente un bloqueador, que configura o restablece el PIN del dispositivo (código de acceso), dándole a los atacantes derechos de administrador en el equipo. Algunos variantes del malware aprovechan estos derechos para instalar su módulo en la carpeta del sistema desde donde es casi imposible eliminarlo.

A pesar de la popularidad de Congur, Trojan-Ransom.AndroidOS.Fusob.h sigue siendo el ransomware móvil más utilizado. Se contabilizó que casi el 45% de los usuarios atacados estuvieron expuestos a esta amenaza durante la investigación. Una vez ejecutado, el troyano solicita privilegios de administrador, recopila información sobre el dispositivo —como las coordenadas GPS y el historial de llamadas— y carga los datos en un servidor malicioso. Con base en lo que recibe, el servidor puede devolver una orden para bloquear el dispositivo.

Países más afectados

Estados Unidos se convirtió en el país más afectado por ransomware móvil durante el primer trimestre, pero allí fue ‘Svpeng’ la amenaza más extendida.

A su vez, Brasil y Venezuela figuran entre los 10 países más afectados por ataques de troyanos cifradores. Es importante destacar que Brasil alcanzó el segundo lugar (1,07%), y nunca antes había figurado en el ‘Top 10’ de países atacados por cifradores. En estos dos lugares, el ransomware ‘Xpan’ se convirtió en el ataque cibernético predominante.

Las opiniones de Kaspersky Lab

“El panorama de amenazas móviles por ransomware estaba lejos de permanecer en calma durante el primer trimestre. El ransomware dirigido a dispositivos móviles se disparó y nuevas familias, así como modificaciones, siguen proliferando. Las personas deben tener en cuenta que los atacantes pueden —y lo harán cada vez más— bloquear el acceso a sus datos no solo en un PC, sino también en su dispositivo móvil”, señaló Roman Unuchek, analista de malware sénior para Kaspersky Lab.

Así mismo, el informe mostró que, en total, se detectaron 55.679 nuevas modificaciones de ransomware en Windows durante el trimestre, lo que representa un aumento casi del doble con relación al cuarto trimestre de 2016 (29.450). La mayoría de estas nuevas modificaciones pertenecían a otra familia: ‘Cerber’.

¿Cómo reducir el riesgo de infección?

Kaspersky Lab recomienda a los usuarios utilizar soluciones de seguridad sólidas como Kaspersky Total Security y asegurarse de mantener todo el software actualizado. Otros consejos de seguridad son:

– Ejecutar regularmente una exploración del sistema para detectar posibles infecciones.

– Mantenerse alerta mientras está en línea. No ingresar información personal en un sitio web si no está seguro o tiene alguna sospecha.

– Hacer copias de seguridad de la información valiosa.

Imagen: Pixabay.

El ataque cibernético a Telefónica España y cientos de otras empresas encendió las alarmas en el mundo sobre nuevas amenazas en internet. El protagonista de tal situación es un malware de tipo ransomware que aprovecha la vulnerabilidad de los equipos con sistema operativo Windows que no cuentan con los últimos parches de seguridad. Una vez que el malware se instala en el ordenador cifra los archivos y muestra en la pantalla una amenaza que exige a los usuarios pagar para recuperar la información. Ante el riego que corren las empresas que aún no han recibido actualizaciones, el Gobierno Nacional activará una línea gratuita en Colombia para atender casos de ataque cibernético.

Dicha iniciativa corre por parte del Gobierno Nacional, a través del Ministerio de Defensa, el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), la Policía Nacional y el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT). A través de la línea gratuita 018000910742 opción 4 -Atención amenaza cibernética WannaCry-, los usuarios, desde cualquier lugar del país, podrán solicitar información sobre el tema.

Así mismo, en la página del CAI Virtual de la Dirección de Investigación Criminal e Interpol (Dijín) se dispondrá un botón en el que se podrán revisar las actualizaciones de seguridad para instalar en los equipos y para conocer, en tiempo real, los ataques que se están presentando.

Evita ser víctima de un ataque ransomware

Por otro lado, el Gobierno Nacional reitera la importancia de que ciudadanos, empresas y entidades instalen las últimas actualizaciones de sus sistemas operativos. Se debe tener en cuenta que para que estas sean efectivas el software debe ser legal. Estas son otras recomendaciones que pueden evitar ser víctima de esta situación:

– Ten una copia de respaldo de tu información.
– Evita abrir correos con archivos adjuntos sospechosos que aparentemente alerten sobre cobros jurídicos, demandas o similares.
– Si recibes un mensaje de alguna entidad bancaria o ente gubernamental, verifica que el dominio o link de la página web sea el que represente oficialmente a la entidad.
– Nunca compartas información personal ni financiera solicitada a través de correos electrónicos, llamadas telefónicas, mensajes de texto o redes sociales.
– No abras mensajes ni archivos adjuntos de remitentes desconocidos.
– Ten cuidado con los sitios web que visites, desconfía de los dominios que no conozcas.
– No descargues software de sitios no confiables.
– No descargues contenido multimedia por redes de intercambio tales como ares.
– Evita conectar dispositivos extraíbles que no sean confiables.

Por último, en caso de recibir ataques cibernéticos por ransomware, los usuarios también pueden comunicarse con los siguientes correos: contacto@colcert.gov.co; incidentes-seginf@mintic.gov.co y caivirtual@correo.policia.gov.co. Igualmente, con la página del Centro Cibernético Policial.

Imagen: Pixabay, Pixabay.

El ataque cibernético del pasado viernes puso en riesgo miles de organizaciones a nivel mundial. Sin embargo, en la medida en que las autoridades competentes han liberado información para conocer detalles de cómo actúa el ransomware ‘Wannacrypt’, medios de comunicación y empresas de tecnología también han compartido recomendaciones para no ser víctima de este software malicioso.

Una de las empresas más comprometidas con el tema ha sido precisamente Microsoft, debido a que muchos de sus clientes en diferentes partes del mundo, y los sistemas críticos de los cuales dependen, fueron atacados por este software dañino. Por esto, la compañía trabajó durante todo el fin de semana para entender el ataque y tomar las medidas necesarias para proteger a sus usuarios.

Windows XP, Windows 8 y Windows Server 2003 tendrán protección

Entre las medidas ejecutadas estuvo proporcionar una actualización de seguridad para que todos los clientes protejan las plataformas Windows que sólo cuentan con soporte personalizado, incluyendo Windows XP, Windows 8 y Windows Server 2003. Con esta acción, las empresas que aún utilizan equipos con estos sistemas operativos pueden desde ya descargar los parches y/o actualizaciones para incrementar su seguridad. De acuerdo con Microsoft, los clientes con Windows 10 no sufrieron el ataque.

En esta página web podrás descargar los parches.

En marzo, Microsoft había proporcionado una actualización de seguridad que resuelve la vulnerabilidad que estos ataques explotan: “Los usuarios que tienen habilitado Windows Update están protegidos contra los ataques a esa vulnerabilidad. A las empresas que aún no aplican la actualización de seguridad, les sugerimos que instalen de inmediato Microsoft Security Bulletin MS17-010”. Sin embargo, pensando en los clientes que utilizan versiones de Windows que ya no reciben soporte -y que debido a esto no obtuvieron la actualización de seguridad de marzo antes mencionada- fue que se llevó a cabo esta medida.

De acuerdo con Phillip Misner, gerente principal del Centro de Respuesta de Seguridad de Microsoft, “estamos trabajando con los clientes para brindar asistencia adicional a medida que esta situación evolucione, y actualizaremos nuestro blog con detalles conforme sea necesario”.

Imagen: Christiaan Colen (Vía Flickr).

La semana pasada, un ataque cibernético contra Telefónica España puso en alerta roja a grandes empresas de todo el mundo. Según expertos, el ataque con ransomware aprovecha una vulnerabilidad en el sistema operativo Windows y se ha propagado rápidamente, afectando principalmente a compañías en Europa. Ante esto, Daniel Quintero Calle, viceministro de Tecnologías de la información y las Comunicaciones de Colombia, advierte que hoy lunes puede desatarse una nueva ola de infecciones en equipos que no se haya instalado ningún parche de seguridad.

Urgente: Mañana lunes esperamos otro ciberataque global. Urgente que todos hagamos actualización de seguridad de Windows.

— Daniel Quintero Calle (@QuinteroCalle) May 14, 2017

Según datos proporcionados por el Viceministro TI en su cuenta de Twitter, se estima que ya van 179 países, 230 mil equipos infectados y una nueva variante descubierta en China. Lo que refleja la magnitud del ciberataque. A raíz de esto, muchos usuarios han manifestado temores ante el efecto negativo que puede tener esta situación sobre el comercio electrónico.

También te puede interesar: La respuesta de Microsoft tras ataque masivo de ransomware

Si bien las empresas afectadas pueden ser aquellas que no han instalado parches de seguridad, también advierte que la mayoría de virus suelen volver, en diferentes oleadas, después de que sus autores les hayan cambiado ligeramente el código para evitar la detección de los antivirus.

“Buena parte de las campañas de propagación de ‘malware’ suelen empezar entre el domingo por la noche y el lunes por la mañana para coger con la guardia baja a los usuarios que acceden a sus ordenadores”, explicó Josep Albors, responsable de Investigación y Concienciación de la firma de seguridad informática Eset para El Confidencial.

Recomendación

Por último, el Grupo de respuesta a emergencias cibernéticas de Colombia (ColCert), ha publicado una lista de recomendaciones para prevenir la ejecución del ransomware. Dentro de esta encontramos como prioridad que se debe actualizar el sistema operativo Windows con los últimos parches de seguridad, ya que el malware aprovecha una vulnerabilidad para el que ya existe un parche de seguridad. Esta actualización impide que el malware se pueda propagar fácilmente por la red.

Imagen: Pexels

El ataque cibernético reciente a Telefónica en España no se detuvo. En las siguientes horas, el ransomware que aprovecha una vulnerabilidad de Windows y originó la caída de la red interna de Telefónica se propagó rápidamente por varios países del mundo como Rusia, Taiwán, Alemania, Japón, Turquía, el Reino Unido e Italia, y sus objetivos a atacar no fueron solo empresas de telecomunicaciones. En Reino Unido e Italia afectó a hospitales.

Ante la posibilidad de que tu empresa pueda ser víctima de uno de estos ataques, te damos cuatro consejos para protegerte del ransomware:

Realiza backups

Es importante que saques regularmente copias de seguridad de toda la información almacenada en tus equipos. Así podrás recuperarla sin necesidad de pagar un rescate. Recuerda que un ataque de ransomware se caracteriza por la aparición de un mensaje en la pantalla de tu computador (o de los computadores de tu empresa), que te avisa que todos tus archivos han sido encriptados, y que debes pagar cierta cantidad de dinero en bitcoins antes de dos o tres días. Pasado ese tiempo, perderás para siempre tus archivos. En una nota pasada de ENTER.CO explicábamos que esta modalidad de ataque cibernético se asemeja a un secuestro, pero con tu información. Y es tan grave que puede paralizar las operaciones de una compañía.

Además, es importante que mantengas esas copias de seguridad en discos o unidades externas que estén desconectadas de tu computador, ya que algunas modalidades de ransomware están programadas para encriptar también los backups o las copias que se guardan en el mismo equipo o en la red corporativa. No olvides también incluir en los backups los archivos que almacenas en servicios en la nube como Dropbox, Google Drive, iCloud y OneDrive.

Usa un antivirus

Adquiere un buen antivirus para tus equipos. Estos programas pueden detectar software maligno como el ransomware, pero para que funcionen a la perfección, deben estar actualizados. Solo así te protegerán de las múltiples variables del ransomware.

Actualiza tu software

Si mantienes actualizados tus programas (sistemas operativos y aplicaciones) se reduce el riesgo de que el ransomware penetre tus equipos. ¿Por qué? Porque este software malicioso aprovecha las vulnerabilidades de los sistemas operativos. Además, puede ingresar a tus dispositivos informáticos de varias maneras: a través de memorias USB infectadas, desde enlaces incluidos en correos electrónicos o desde sitios web. De acuerdo con el Centro Cibernético Policial, se estima que el 76% de las infecciones de ransomware se dan a través del correo electrónico y el spam.

Verifica las extensiones

De forma predeterminada, Windows oculta las extensiones de los archivos y esto es riesgoso porque no puedes saber si un archivo que abres o descargas es potencialmente peligroso. Para ver estas extensiones, debes abrir el explorador de Windows, dar clic en la pestaña ‘Vista’, seleccionar ‘Opciones’ y escoger ‘Cambiar opciones de carpeta y búsqueda’. Luego, debes dar clic en ‘Ver’, descender hasta la casilla ‘Configuración avanzada’ y desmarcar la opción ‘Ocultar extensiones de archivo para tipos de archivos conocidos’.

Debes desconfiar de archivos que ejecutan programas y cuyas extensiones son .exe, .vbs, y .scr; especialmente si notas que estos están ‘fingiendo’ tener otra extensión (como un video o un documento de Word llamado informe.doc.scr).

Recomendaciones del MinTIC y la Policía Nacional

En Colombia, el Gobierno Nacional, a través del Ministerio de Defensa, el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) y la Policía Nacional, emitió un comunicado de prensa en el cual alertó sobre el incidente informático a escala global que afecta al sistema operativo Windows.

De acuerdo con el comunicado, dicha información fue enviada a todas las entidades del Estado y empresas del sector privado con instrucciones específicas de cómo hacer frente a esta situación. Dichas instrucciones son:

– Para las entidades o empresas que tengan equipos Windows XP, lo mejor es aislarlos de la red. En caso de tener equipos con Windows 7 en adelante, es indispensable actualizarlos.

– Evita abrir correos electrónicos con archivos adjuntos sospechosos que aparentemente alerten sobre cobros jurídicos, demandas o situaciones similares.

– Si recibes un mensaje de alguna entidad bancaria o ente gubernamental, verifica que el dominio o el enlace de la página web que se encuentre en el mensaje realmente sea el que represente oficialmente a la entidad o a la persona que se referencia.

– Nunca compartas información personal ni financiera solicitada a través de correos electrónicos, llamadas telefónicas, mensajes de texto o redes sociales.

– No abras mensajes ni archivos adjuntos de remitentes desconocidos.

– Evita ingresar a páginas web de origen desconocido.

Los consejos de Secure List

Firmas de seguridad especializadas como Secure List también construyeron una lista de recomendaciones. Estas son:

– Asegúrate de que todos los hosts están en ejecución y han habilitado soluciones de seguridad de punto final.

– Instala el parche oficial (MS17-010) de Microsoft, que cierra la vulnerabilidad del servidor SMB afectado que se utiliza en este ataque.

– Escanea todos los sistemas. Después de detectar el ataque de malware conocido como MEM: Trojan.Win64.EquationDrug.gen, reinicia el sistema. Una vez más, asegúrate de que los parches MS17-010 estén instalados.

Un video explicativo de Eset

Otras compañías de seguridad como Eset proporcionaron un video explicativo de qué es un ransomware para los usuarios individuales y empresariales que aún desconocen los alcances de este malware. Se los compartimos a continuación:

Además, en su blog Welivesecurity podrás encontrar otros datos sobre este ataque cibernético.

Imagen: iStock.

Cientos de organizaciones gubernamentales y empresas alrededor del mundo han sido víctimas de un ataque cibernético este viernes. Lo que parecía un evento aislado que afecto a la multinacional Telefónica, se convirtió en uno de los primeros eventos de un incidente internacional. 

De acuerdo con Securelist, una compañía del gigante de la seguridad Kaspersky, el ataque masivo de ransomware se origina en una vulnerabilidad denominada EternalBlue, la cual fue ‘parchada’ por Microsoft a mediados de marzo de este año.

A pesar de que dicha actualización de seguridad de Microsoft fue liberada hace casi dos meses, en muchos equipos en todo el mundo aún no ha sido instalada la actualización, lo que abrió la puerta para que se lanzara el ataque, al cual han denominado ‘WannaCry’.

Los primeros indicios del ataque

Según detalla el Instituto Nacional de Ciberseguridad de España, “probablemente el malware que ha infectado al ‘paciente 0’, para el caso de las organizaciones,  ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador”.

En el caso de Telefónica, equipos de la compañía fueron deshabilitados y sus usuarios recibieron diferentes mensajes en los que se demandaba el pago de un rescate para permitir el acceso a las máquinas.

En esta nota te explicamos con más detalles cómo operan los ataques de ransomware. 

El ataque también se extendió al Servicio Nacional de Salud del Reino Unido, además de países como Rusia, Ucrania e India. En Inglaterra, el colapso de los sistemas de salud en muchas instituciones llevó a que se registraran fallas en las solicitudes de citas médicas e incluso la reprogramación de cirugías.

¿Cómo proteger los equipos del ataque de ransomware?

Según Securelist, “hace unas horas, el equipo español de respuesta a emergencias informáticas CCN-Cert, publicó una alerta en su página web sobre el ataque masivo de ransomware que afecta a varias organizaciones españolas”.

La alerta enviada recomienda la instalación de actualizaciones en el boletín de seguridad de marzo de 2017 de Microsoft, el cual sería el medio para detener la propagación del ataque.

Imágenes: Pixabay, Kasperky Lab

El correo electrónico es una de las herramientas de comunicación para los empresarios. Pero como toda herramienta digital, la información de los usuarios puede ser robada en cualquier momento. Métodos como el phishing y el spam, han logrado que la confianza de los empresarios se reduzca significativamente. Para que eso no siga evolucionando, las empresas deben implementar tecnologías que intercepten y eliminen los mensajes maliciosos.

La información de las víctimas es el producto más valioso para los ciberdelincuentes. A través de dominios falsos, los usuarios pueden caer fácilmente en un fraude, ya que es un mecanismo económico y práctico para los atacantes. De acuerdo con David López, director de ventas de Easy Solutions Latam, “el phishing y el spam son dos problemas reales para la seguridad de los empresarios y de las compañías”.

Según un estudio de Intel Security, el 97% de los usuarios de correo electrónico no sabe identificar un correo peligroso. En total fueron encuestadas 19 mil personas en 144 países, de los cuales solo el 3% demostró las habilidades. Además, el FBI registró que en los últimos tres años, las empresas han tenido pérdidas por cuenta del fraude electrónico. “Incluso, nuestro sistema de autenticación ha detectado en los últimos dos años una oleada de correos electrónicos fraudulentos. Estos utilizan entidades gubernamentales para atraer a los usuarios con temas llamativos. ‘Atención, cheque devuelto’, ‘Información para el ganador del concurso’ y ‘suspensión de identidad tributaria’ son algunos”, explicó.

En un ataque, los delincuentes buscan lucrarse con la información de tarjetas de crédito, contraseñas, datos personales para suplantar identidades, entre otros. Lo importante para ellos, es lograr obtener las herramientas para realizar cualquier tipo de fraude. “Según cifras del Reporte Anual de Seguridad Cibernética de Cisco 2017, más de un tercio de las organizaciones que sufrieron un ataque en el 2016 reportaron una pérdida sustancial de clientes, oportunidades e ingresos de más del 20%. En Colombia, esta misma empresa de seguridad reveló que en el 2015, por ejemplo, el país sufrió pérdidas por alrededor de un billón de pesos debido a ataques cibernéticos de diversa índole, robo de información y fraudes informáticos”, lamentó.

Uno de los factores que al parecer le brindan más herramientas a los delincuentes es la transformación digital. Así como avanzan la industria tecnológica, las amenazas se reinventan en su estructura y modo de ataque. Allí es donde entra la transformación digital, fase en la que un gran número de empresas a nivel mundial están trabajando junto a los millenials. Y es la nueva generación la que prefiere la conectividad móvil, la cual reta impulsa la evolución de la tecnología para la seguridad.

Para que un ataque se dé solo se necesita adulterar el dominio y las características del usuario del correo electrónico que envía el ataque. “Los criminales estudian muy bien a sus potenciales víctimas, y lo que intentan es atacar instituciones y entidades en dónde su margen de impacto sea mayor, entidades financieras, aerolíneas, cadenas de retail, entre otras”, profundizó. Generalmente, los perfiles para atacar son aquellos que manejan la contabilidad o cuentas bancarias de las empresas.

Correo electrónico, a cuidarlo

Para evitar que más usuarios sean víctimas, Easy Solutions realizó las siguientes recomendaciones a tener en cuenta:

– Se debe desconfiar de correos no solicitados, especialmente de aquellos que piden datos o transferencias.

– Solo deben descargarse las aplicaciones móviles desde las tiendas oficiales.

– No ingresar a direcciones de páginas web desde redes sociales. Es recomendable entrar directamente desde el navegador.

– Implemente un sistema que no solo identifique amenazas, sino que también las desactive rápidamente. Esto minimiza significativamente las probabilidades de un ataque contra empleados y usuarios.

– Monitorea las tiendas de aplicaciones de terceros para asegurarte de que los criminales no desarrollen aplicaciones maliciosas que usen tu nombre o imagen.

– Utiliza protocolos de machine learning que analicen datos a escala con el fin de eliminar posibles amenazas tan rápido como sea posible.

Imagen: iStock.

Por: Juan David Botero – @JuanBoterS

No hay armas; no hay balas ni uniformes. La guerra es otra. Las ciudades y selvas ya no se llenan de sangre. El ciberespacio es el nuevo campo de batalla y el mundo se está dando cuenta de esto. Varios episodios recientes han dado muestra de que los alcances de las confrontaciones en estos terrenos son de gravedad y hay que tomar atenta nota. Entre ellos, las acusaciones de la intervención digital de Rusia en las elecciones de Estados Unidos y el hackeo a los correos electrónicos de Hillary Clinton.En este sentido, ningún país quiere dejar un flanco sin protección y uno de los que más ha actuado al respecto es Alemania. La creación de un ciberejército alemán se anunció en el 2016 y se espera que sea efectiva a comienzos del 2017.

Son múltiples los antecedentes que han motivado a los germanos a reforzar sus defensas en el ciberespacio. El diario ABC, en enero del 2014, publicó la noticia de que a 16 millones de alemanes les robaron sus datos de sus correos electrónicos. Ellos recibían correos infectados que al abrirlos dejaban un programa malicioso (malware) el cual robaba sigilosamente la información de los usuarios.

En enero de 2015, se conoció a través del portal de noticias Infobae uno de los ataques más amenazantes al gobierno alemán. Un grupo prorruso llamado CyberBerkut se atribuyó el ataque a través de su página oficial. Hackearon el sitio de la canciller Ángela Merkel al igual que el de la Cámara baja del Parlamento (Bundestag). Sus portales fueron inaccesibles por horas, todo con el objetivo de dar un mensaje: detener el respaldo económico y político que daba el gobierno de Alemania al régimen de Viktor Yanukovich, ex presidente de Ucrania.

Así mismo, a finales de noviembre pasado un ataque informático contra Deutsche Telekom, la mayor compañía de telecomunicaciones de la Unión Europea, dejó a cerca de 900.000 de sus usuarios en terreno alemán sin Internet como consecuencia de las acciones de hackers aún por identificar.

Para Alemania, el tema es hoy mucho más preocupante, ya que las elecciones llegarán en el 2017 a este territorio y hay muchos países que pueden interferir, como se cree que sucedió con la supuesta interferencia del gobierno de Vladimir Putin en la contienda electoral de este año en Estados Unidos.

Estas son las 5 cosas que debería saber sobre el ciberejército alemán:

1. 16.000 expertos tendrá el ciberejército

La unidad que protegerá el ciberespacio alemán contará con 16.000 profesionales en nuevas tecnologías. En una entrevista con el diario El Español, el general Ludwig Leinhos, quien comandará este ciberejército, mencionó que a comienzos del 2017 tendrá que tener a su disposición unas 13.500 personas, procedentes en su mayoría de otros servicios y fuerzas militares. También se prevé la incorporación de 2.000 nuevos efectivos para la defensa del ciberespacio, para completar un total de 16.000.

Según el general, el objetivo es que este ciberejército sea competitivo en el mercado, al ofrecer “carreras profesionales atractivas, con ingresos estables y varias posibilidades para escalar posiciones’’. Además, no solo se van a entrenar como hackers, pues también deberán tener cierta preparación física.

2. Ya se había dado un hackeo militar de Alemania

En 2015, se conoció la noticia del primer hackeo militar que realizó Alemania. Según el portal de noticias Sputnik, un miembro de una misión humanitaria fue secuestrado por un grupo de afganos. Por eso, el Cuartel General de Alemania ordenó a sus especialistas en ciberespionaje contactar a la mujer.

Después de arreglar su liberación, los alemanes tenían que asegurarse de que no los engañaran los raptores. Los ciberespías hackearon el operador de uno de los raptores, escucharon sus llamadas y obtuvieron su ubicación para saber si realmente se dirigían al punto de liberación. Por eso, Leinhos aseguró al diario El Español que “cuando cualquier gobierno extranjero intenta lograr un impacto en la integridad de nuestro país, debemos actuar y lo haremos’’.

3. Tendrá el mismo estatus que los demás ejércitos

Alemania sufre 6.500 ataques diarios en el ciberespacio. Por esto, dice Leinhos, es importante la creación de este ciberejército alemán. De acuerdo con el militar, este grupo tendrá el mismo estatus que los ejércitos de tierra, mar y aire. Adicionalmente, Leinhos afirma que están a la vanguardia en este ámbito y que, “al igual que la OTAN, estamos implementando el reconocimiento del ciberespacio como un campo de operaciones”. Por eso, muchos países también están formando militares para la protección de su ciberespacio.

4. Objetivo: protección

Ahora las armas de protección serán los computadores y sus balas serán la información, con las que podrían llegar a afectar los datos de instituciones y servicios. En opinión del general Leinhos, Alemania podría ser atacada en sus infraestructuras esenciales para el país pues entre más digitalizada sea una nación, más corre el riesgo de ser atacada. El militar ejemplifica esto al decir que “hoy día hasta un avión, por estar compuesto de mucho software, puede ser derribado utilizando otro software’’. Por eso, insiste el experto, la principal misión del ciberejército alemán no es atacar, sino defender.

5. Presupuesto desconocido

Según El Español, el monto del que dispondrá Leinhos para su ciberejército no es público y los responsables han declinado decir cantidades o estimaciones. No obstante, el medio hace un cálculo aproximado: “En la defensa del ciberespacio el Pentágono tiene presupuestados para el 2017 unos 7.000 mil millones de dólares. Ese monto es casi un 20% de todo el presupuesto de defensa de Alemania, estimado en algo más de 34.400 millones de euros“.

Imagen: European External Action Service, Merrill College of Journalism Press Releases (vía Flickr)

Múltiples usuarios de Spotify fueron víctimas de un ataque cibernético, pues datos personales como nombres de usuario, contraseñas, tipo de cuenta (gratis, premium, familiar) y otras credenciales de la plataforma de streaming aparecieron en una lista en el sitio Web Pastebin, según reportó TechCrunch.

El medio contactó a varios usuarios al azar, a través de los correos electrónicos que aparecían en la lista y pudo comprobar que sí eran usuarios de Spotify, víctimas de lo que parece ser una falla de seguridad.

Se desconoce de dónde fueron extraídos estos datos personales asociados con la plataforma de Streaming. A pesar de que muchos usuarios también hicieron el reporte a través de Twitter, Spotify niega que haya habido algún tipo de ataque a la plataforma. En declaraciones que hizo para Mashable, la compañía asegura que no fue hackeada:

“Spotify no ha sido hackeado y los datos de nuestros usuarios están seguros. Monitoreamos Pastebin y otros sitios regularmente. Cuando encontramos credenciales de Spotify, primero verificamos que estas sean auténticas y si lo son, inmediatamente notificamos a los usuarios afectados de que cambien sus contraseñas.”, explicó la compañía.

Sin embargo, las redes sociales muestran un panorama diferente.

@SpotifyCares My Spotify account was hacked and the email was changed to someone else’s. How do I get it back?

— Bill Xiong (@Bill_Xiong) 20 avril 2016

Por el momento, Spotify asegura que está investigando si la información publicada es auténtica. Pero varios usuarios tuvieron cambios en sus contraseñas, cambios en la dirección de correo asociada a la cuenta sin autorización e incluso algunos reportan que nuevas canciones aparecieron en sus listas de reproducción, canciones que ellos nunca agregaron.

Además de los datos publicados, también se publicó cuándo la suscripción se vencía y el país en donde había sido creada. Si eres usuario de Spotify te recomendamos cambiar tu contraseña, pues la lista publicada no se limitaba a usuarios de Estados Unidos sino que había personas de todas partes del mundo.

Imagen: Spotify.

Aunque en Oriente Corea del Norte llena titulares cada semana, solo las noticias curiosas son las que resuenan en Occidente. En esta ocasión la nueva discusión ronda a Sony, una película de humor y un ataque cibernético. En Reuters informan que, a inicio de la ultima semana de noviembre, el país oriental habría realizado un ataque contra Sony, en el que accedió a todo tipo de información sensible de la empresa, incluidos documentos financieros y filmes que aún no han sido estrenados.

No es claro cómo el gobierno oriental habría podido ingresar a los servidores de la empresa, pero sitios como The Verge señalan que probablemente fue con ‘phishing’, o con un método relacionado con los problemas que PlayStation Network presentó hace un tiempo.

¿Por qué el enigmático país querría atacar a Sony? La razón de mayor peso es la película de comedia ‘The Interview’. El filme protagonizado por James Franco y Seth Rogen cuenta la historia de un periodista y su productor, quienes logran concretar una entrevista con Kim Jong-Un, actual líder de Corea del Norte. Pero las cosas dan un giro cuando el gobierno de los Estados Unidos los recluta para asesinar al mandatario.

En el pasado los norcoreanos han reaccionado de forma fuerte a la idea del filme, que en su último trailer muestra a Kim como un amante de la cultura occidental, algo ofensivo para las ideologías de ese gobierno. Inclusive han llegado a declarar que la película sería un acto de guerra en publicaciones en los diarios oficiales de ese país, donde afirmaciones de ese calibre no son tan extrañas. Considerar que Corea del Norte preste sus fuerzas militares para tratar de dañar a una empresa no es descabellado. La familia Kim tiene un estatus que fácilmente podría considerarse al nivel de deidades para ese país, por lo que una representación negativa y masiva –como pretende ser la película– podría ser razón suficiente para los ataques.

En Re/Code afirman que Sony considera a Corea del Norte como la responsable del ataque, y según las fuentes del sitio, podría hacer un anuncio oficial a lo largo de la semana.

Por otro lado, Pyongyang niega su relación con las supuestas acusaciones. The Guardian señala que un diplomático de ese país en Nueva York dijo que “relacionarnos con el ataque a Sony es solo otro invento para dañar a nuestro país […] Corea del Norte ha declarado públicamente que seguirá las normas internacionales sobre la piratería y ataques cibernéticos”.

Lo que habría sucedido

Los ataques podrían rastrearse hasta la última semana de noviembre, cuando el sistema corporativo de Sony quedó bloqueado. Varios discos duros habrían sido limpiados, las cuentas de correo de los empleados quedaron inutilizables por un tiempo y Sony les habría prohibido sus empleados se conectaran al Wi-Fi de las oficinas para evitar mayores conflictos de seguridad.

La mayor muestra del ciberataque está en la información filtrada en internet, la cual incluye cinco filmes del estudio que ya están dando vueltas por sitios de torrents. Entre ellos está la reinvención de ‘Annie’, que no ha llegado a cines, y la reciente película de guerra ‘Fury’.

Aparte de la pérdida financiera que ello puede significar, los documentos sensibles a los que tuvieron acceso los atacantes también rondan por internet, e inclusive han sido enviados a periodistas. Esto incluiría todo tipo de información secreta de la empresa, incluidos salarios y guiones en desarrollo.

Realmente no es descabellado pensar que el país oriental tenga la capacidad de realizar estos ataques. En un reciente análisis sobre el estado actual de su fuerza militar realizado por varios expertos para NK News, se concluyó que los avances tecnológicos de ese país en el campo de los ciberataques eran destacables, por encima de mejoras en su cuerpo de soldados y la tecnología de misiles de largo alcance que tantos problemas y rencillas internacionales ha causado.

Imágenes: Clay Gilliland y yeowatzup (vía Flickr).