El tiempo que transcurre entre la detección los errores en los diferentes sistemas operativos su divulgación es de vital importancia, pues de su velocidad dependerá que atacantes cibernéticos se aprovechen o no de las brechas de seguridad, antes de que estas sean corregidas por las mismas empresas.

Linux, el más veloz a la hora de corregir vulnerabilidades

Sin embargo, no todas las vulnerabilidades que se descubren se resuelven. Según el informe, que tuvo en cuenta compañías como Adobe, Apple, Google, Linux, Microsoft, Mozilla, Samsung y Oracle, entre 2019 y 2021, se identificaron 376 errores, de los cuales 351 fueron corregidos entre 2019 y 2021. El resto permaneció sin resolver (11), o fueron clasificados como “irreparables” (14).

Si bien todas las compañías antes mencionadas deben cumplir un plazo estándar de 90 días para corregir sus brechas de seguridad, al comparar el tiempo que le toma a cada una resolverlas, el estudio de Google determinó que Linux es el software que ofrece una respuesta efectiva más rápida. En promedio, el sistema operativo de código abierto tarda alrededor de 25 días en corregir las vulnerabilidades detectadas, mientras que otros proveedores pueden tardar 69 días, como en el caso de Apple; 83, como en el de Microsoft o 44, como en el de Google y Facebook.

Te puede interesar: Por qué invertir en ciberseguridad es invertir en la reputación de tu emprendimiento

El informe también reveló que el plazo de 90 días se cumple en el 87 % de las compañías, pues la mayoría resuelve sus errores detectados antes de ese tiempo. No obstante, existe una prórroga de 14 días que puede otorgarse, siempre y cuando las organizaciones que la soliciten garanticen que en ese tiempo resolverán el problema. De acuerdo a Google Zero Project, las tecnológicas que más veces suelen resolver sus brechas durante esta extensión del plazo son Apple y Microsoft. Oracle, por su parte, fue la que más veces (104) resolvió sus casos por fuera de la fecha límite.

Aunque los tiempos actuales de resolución de errores están lejos de ser los ideales, el informe aseguró que la velocidad ha mejorado en los últimos dos años. Mientras que en 2019 la media del tiempo que tardaban los sistemas operativos en corregir sus errores fue de 67 días, en 2021, fue de 52.

Imágenes: Archivo

En total, el especial reporta más de 50.000 teléfonos en los que se ha instalado Pegasus. El software no es operado por NSO Group, este es vendido a empresas de seguridad estatal y a cada cliente se le hace firmar un compromiso de que este será usado exclusivamente con fines legales y hacer seguimiento de criminales; sin embargo, The Guardian asegura que no encontró en la lista filtrada personas con este perfil.

Por ahora, la lista demuestra que diez países son los que están usando Pegasus para espiar no criminales: Azerbaiyán, Bahrein, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita Hungaria, India y los Emiratos Árabes. Entre estos, México es el que más nombres tiene en la lista con 15.000 entradas. Además, se han identificado afectados como Emmanuel Macron, presidente de Francia, y el primer ministro de este país, junto a 108 periodistas.

¿Cómo instalan Pegasus en los celulares?

Pegasus y otros software espía son instalados en los dispositivos a través de vulnerabilidades. Estas puedes encontrarse en las aplicaciones y los sistemas operativos; después de encontrarlas la manera tradicional de explotarlas es a través de enlaces en los mensajes de texto y correos electrónicos. Sin embargo, Pegasus funciona con ‘cero clics’, es decir que no se necesita que la persona abra enlaces o ningún otro tipo de interacción. En su lugar aprovecha vulnerabilidades y fallas en el sistema. Por ejemplo, en 2019 WhatsApp informó que 1.400 teléfonos fueron afectados por un malware al recibir una llamada a través de la aplicación. Más impresionante aún es que Pegasus puede ser instalado aún sin que se conteste la llamada. Otras vulnerabilidades que se aprovechan son de iMessage de Apple, que dio acceso a una puerta trasera a cientos de teléfonos iPhone.

Tanto Google como Apple aseguran que las actualizaciones constantes buscan evitar que este tipo de vulnerabilidades sean aprovechadas. Pero además de estas, las aplicaciones que instalamos en nuestros teléfonos también tienen fallas; desde allí se pueden instalar software como malware, software espía y adware. La tecnología de este tipo de programas es cada día más avanzada y después de instalados pueden tener acceso a prácticamente cualquier archivo del teléfono; también puede sobrescribir permisos y activar las cámaras y micrófonos para enviar grabaciones con facilidad.

También te puede interesar: Así se mueve el mercado negro del cibercrimen en la dark web.

Además de la facilidad para instalarlo, es casi imposible para el usuario detectar que su teléfono es la herramienta que están usando para espiarlo. En este caso, Pegasus es prácticamente imposible de identificar y, después de desinstalado, deja muy pocas huellas para reconocer si alguien fue víctima de un ataque.

NSO Group, que tiene alianzas con el gobierno israelí, asegura que no opera el software, simplemente lo vende. Así mismo enfatizan en que después de firmado el compromiso de no usarlo de maneras no éticas, es muy complicado para la empresa hacer veedurías de que su programa se está usando de manera correcta.

Sin embargo, NSO Group ha invertido millones de dólares en hacer su programa imposible de detectar, además de crear herramientas que permitan abusar de las vulnerabilidades y que este sea instalado en los teléfonos de las víctimas con mayor facilidad. Por lo que, aunque se laven las manos, tienen la misma responsabilidad que los autores de las filtraciones en los dispositivos. Por ahora la investigación de The Guardian sigue publicando información de cómo se está usando esta tecnología para abusar y encontrar en personajes y líderes enemigos públicos, de manera ilegal y que atenta a los derechos humanos.

Imagen:  PCH.Vector en Freepik. 

El hacking ético podría definirse como la actividad que realizan expertos informáticos que son contratados para hackear un sistema e identificar posibles vulnerabilidades. Esto previene eficazmente la explotación por hackers maliciosos a futuro. Son expertos que se especializan en las pruebas de penetración de sistemas informáticos y de software con el fin de evaluar, fortalecer y mejorar la seguridad.

El hacking ético continuo, explicado por Vladimir Villa, CEO de Fluid Attacks, empresa colombiana especializada en el tema, sería la exposición del software, en todo el ciclo de desarrollo, a un hacking ético. Esto se debe a que si bien tomar una foto en un momento puntual de un sistema puede ayudar a identificar vulnerabilidades, en el momento en que el software cambia, la foto pierde vigencia. Por lo tanto, se hace necesario estar evaluando permanentemente para poder detectar de forma preventiva todas las vulnerabilidades que se presenten en el desarrollo del mismo.

Te puede interesar: El hacking ético y su importancia para las empresas.

Los softwares son sistemas dinámicos que pierden vigencia en términos de seguridad de forma muy rápida. Cada nueva actualización puede generar vulnerabilidades y ha cada rato aparecen nuevos factores de riesgo, lo que hace necesario una revisión permanente. Según Villa, las empresas que solo revisan vulnerabilidad eventualmente, tienen una efectividad del cierre de las mismas del 4%. Las empresas que evalúan constantemente durante el desarrollo por su parte tienen una efectividad de cierre del 60%. Y finalmente, organizaciones que logran “detener la construcción” (breaking the build), impidiendo que las aplicaciones sean desplegadas con vulnerabilidades ya identificadas, cuentan con una efectividad de cierre superior al 90%.

Las empresas que se dedican al hacking ético continuo deben constantemente enfrentarse a diferentes tecnologías, realizar certificaciones teóricas, entrenarse con sistemas diseñados para ser hackeados y entender y estar actualizados en los estándares internacionales de seguridad. Algunos de estos estándares son el: PCI DSS, OWASP, GDPR, HIPAA y NIST, entre otros.

Te puede interesar: Ciberseguridad, uno de los retos que dejo el 2020.

Por lo tanto, empresas como Fluid Attacks deben crear sus productos para que detecten cualquier tipo de vulnerabilidad decretada por los estándares internacionales. Y entre más protocolos cumpla un sistema, mejor. Por eso trabajan permanentemente en crear un equilibrio entre la automatización y la capacidad humana. Lograr un proceso automatizado, con inteligencia artificial, que pueda identificar mejor y más rápido las vulnerabilidades de un software es la primera parte. Luego, es el talento humano capacitado el encargado de profundizar en los resultados iniciales automatizados.

Entonces, ¿debería una empresa permitir ser hackeada continuamente para sacar sistemas, software o aplicaciones con la menor cantidad posible de vulnerabilidades de seguridad? Eso dependerá de la compañía, pero sería recomendable.

Imagen: B_A en Pixabay

La única buena noticia es que el atacante debe estar en el rango de la señal del wifi para lograr explotar las vulnerabilidades que permitían filtrar información o dar acceso a dispositivos específicos. Vanhoef creó un sitio web para contar sus descubrimientos y aclaró que los hizo públicos después de contactar con las empresas y dar tiempo que se liberaran parches de seguridad que las solucionaran.

También te puede interesar: #HoyAprendí ¿Qué es el Wifi 6E y por qué lo necesitas?

Nueve de estas vulnerabilidades se deben a problemas de programación en productos wifi específicos; los otros tres se deben a errores en el protocolo wifi en sí. Sin embargo, Vanhoef asegura que no hay pruebas de que estas hayan sido explotadas por actores maliciosos.

Algunas empresas ya han actualizado los sistemas de seguridad con parches; entre ellos Microsoft que lanzó tres actualizaciones diferentes para los sistemas operativos de Windows 10, Windows 8,1 y Windows 7. La marca de routers Netgear también tiene actualizaciones para algunos de sus productos y publicó una recomendación en su sitio web para que los usuarios las descarguen y aseguró que trabajará en los faltantes.

Por su parte, Vanhoef resalta que los usuarios deberíamos mantener buenas prácticas de seguridad en caso de que nuestros dispositivos tengan aún activas las vulnerabilidades. Entre ellas, no reusar contraseñas, tener nuestros backups al día, evitar sitios web sospechosos o fraudulentos. Además, asegura que una de las formas más seguras es visitar sitios con protocolo HTTPS.

Imagen: Rawpixel.

Las empresas son muy vulnerables a ataques informáticos, y muchos de los problemas que tienen se deben a la falta de previsión en temas de seguridad y a errores humanos. Esto es particularmente cierto para las compañías pequeñas y algunas medianas, que a veces no tienen personal de tecnología.

Le contamos cuáles son los principales errores que debería evitar.

1. No reconocer que hay riesgos

Las empresas grandes no son el único blanco de los hackers o los delincuentes. Las pequeñas son muy atractivas porque tienen más ‘activos digitales’ que un usuario individual, pero menos seguridad que una compañía grande, según la firma Eset. El problema es que las firmas pequeñas suelen subestimar su nivel de riesgo.

Daren Boozer, un experto en seguridad de la empresa NCC Data, le dijo al sitio web Digital Guardian.com que muchas compañías pequeñas tienen la percepción de que no corren riesgos y eso las lleva a ser apáticas en el tema de seguridad. Esto también sucede con empresas grandes, dice Boozer, pero en las pequeñas es más grave porque ellas no tienen un equipo de gente que pueda reaccionar ante un ataque y a veces no cuentan con defensas tecnológicas.

“Nunca piense que su empresa es aburrida para los cibercriminales. Si usted tiene acceso a las redes de compañías más grandes, si su industria está en crecimiento y recibe atención de los medios, si tiene acceso a información personal o financiera de los clientes, usted está en riesgo”, dice Boozer.

Tenga en cuenta que en ocasiones se hackea una empresa pequeña para llegar a una más grande. Los delincuentes y los hackers saben que, aunque algunas compañías medianas y grandes tienen buenas políticas de seguridad y empleados que las aplican, a veces trabajan con firmas más pequeñas o proveedores que no son tan cuidadosos con la seguridad informática y que tienen acceso a sus redes. Según The Wall Street Journal, dos tercios de las brechas de seguridad en las empresas suelen producirse a través de un tercero al que se atacó primero, y por medio del cual se penetró en la red de una compañía más grande.

2. No dedicar suficientes recursos

Las herramientas de seguridad informática pueden ser costosas. Y como no producen ingresos, muchas empresas las ven simplemente como un costo. Por eso no asignan una cantidad adecuada de recursos para este tema (capacitación, compra de tecnología, etc.). Este error es muy común entre las firmas pequeñas o en compañías jóvenes, que piensan que la escasez de recursos es una razón para no invertir en esa área. Solo cuando una empresa ha sufrido un incidente suele entender la importancia de invertir en seguridad informática.

En una era en la que la información y los ‘activos digitales’ de una empresa son muy importantes, y en la que hay amenazas constantes por Internet, este es un ahorro que su pyme no puede hacer. Un incidente de seguridad puede tener un impacto enorme en una compañía.

3. No mantener actualizado el software

La mayoría de los ataques que se realizan a través de malware contra las empresas se pueden prevenir simplemente si las compañías mantienen actualizados sus sistemas operativos y sus aplicaciones. La razón es que muchos ataques masivos suelen aprovechar vulnerabilidades conocidas en el software (como los sistemas operativos) para penetrar en los sistemas de las compañías.

A veces por ahorrar costos, por ejemplo, algunas compañías se quedan con versiones demasiado antiguas de Windows, que no son seguras y ya no tienen actualizaciones ni parches de seguridad. E incluso si tiene versiones recientes de sus programas, su empresa debe estar pendiente de mantenerlos actualizados con los parches que publican en Internet los fabricantes (un ‘parche’ es una pieza de software que corrige una vulnerabilidad, una falla o que mejora una aplicación o un sistema operativo; los fabricantes de software los publican constantemente y su descarga es gratuita).

Roger Grimes, autor de varios libros sobre seguridad, dice en una columna de la publicación InfoWorld que, aunque el manejo de los parches en las empresas es complejo, no todas las vulnerabilidades críticas son iguales. Él opina que las compañías deberían enfocarse en aquellos programas cuyas vulnerabilidades suelen ser más explotadas por los hackers. “Hay 6 mil vulnerabilidades nuevas cada año, pero quizás un centenar de ellas son ampliamente explotadas. Además, casi todos los riesgos corren por cuenta de un puñado de sistemas operativos y aplicaciones como Java, Adobe Acrobat, Flash e Internet Explorer”, dice.

Lo más difícil es educar a los usuarios contra la ingeniería social. Solo se necesita un idiota para infectar toda una compañía.

Los parches suelen funcionar sin problemas en los PC de usuarios individuales. Pero, ¿por qué las compañías a veces no los instalan? Un problema es que en ocasiones las empresas tienen redes complejas –que se apoyan en varios fabricantes– y cambiar una pieza del rompecabezas puede producir fallas en otras partes. También podría pasar que un parche sea incompatible con alguna de las aplicaciones que la empresa ha personalizado para su operación, y eso podría generar una interrupción en sus servicios. Muchas compañías prefieren evitar ese riesgo no instalando los parches, lo cual las vuelve muy vulnerables porque los hackers suelen crear malware que aprovecha las vulnerabilidades conocidas de las aplicaciones y los sistemas operativos.

Una de las ventajas de las aplicaciones en la nube es precisamente que se evitan esos inconvenientes, ya que el proveedor del software mantiene su software seguro y actualizado en sus propios servidores.

4. No tener en cuenta los riesgos que generan sus empleados

Roger Grimes dice en la revista InfoWorld que la mayoría de los ataques contra empresas se apoya en dos armas: la ingeniería social y el hackeo de programas que no tienen parches de seguridad. Por eso, “si usted no se concentra en esas dos áreas, está desperdiciando su tiempo”. Pero Grimes agrega que, aunque lograr una implantación perfecta de un parche puede ser difícil, “eso es sencillo comparado con educar a los usuarios contra la ingeniería social. Solo se necesita un idiota para infectar toda una compañía”.

En eso coincide un artículo publicado en el sitio web del fabricante de equipos para redes Cisco: “Pese a todos los firewalls, sistemas de prevención de intrusos y programas antivirus que usted instale en su red, es imposible bloquear todas las amenazas de seguridad contra su pyme. En buena medida, usted debe apoyarse en los empleados para mantener segura su red. Ellos son los que están en la primera línea de fuego, decidiendo cada día si descargan o no ese misterioso archivo que les llegó por correo o si dan clic en esa tentadora ventana emergente”.

Por eso, su empresa no puede caer en el siguiente error: no capacitar a los empleados.

5. No capacitar a los empleados

Pocas compañías se toman el tiempo para educar y entrenar a sus empleados en temas de seguridad. Y no solo en Colombia. Según el Verizon Data Breach Investigations Report, solo la mitad de las empresas de E.U. ofrece a sus empleados entrenamiento sobre seguridad informática.

Es clave que capacite a sus empleados. Debe entrenarlos, a través de charlas y cursos, para que aprendan, por ejemplo, cómo reconocer un correo electrónico usado para phishing, qué tipo de información no se debería suministrar por teléfono porque podría tratarse de un ataque de ingeniería social, por qué no se deberían instalar ciertas apps en los smartphones que se usan dentro de la compañía, por qué no se deben usar las mismas contraseñas en diversos servicios web, qué peligros se corren si se almacena información confidencial en portátiles cuyos discos no están encriptados, cómo manejar las alertas que dan los programas antivirus, etc.

La experta en seguridad Ashley Schwartau le dijo a Digital Guardian.com que “muchos de los problemas de seguridad de las compañías se deben a que tienen usuarios ignorantes sobre el tema o a los que simplemente no les importa”. Schwartau afirma que la mayoría de ataques exitosos se produce porque los delincuentes sacan ventaja de empleados que no conocen las políticas de seguridad, y no saben reconocer una actividad sospechosa o qué hacer cuando la identifican. Schwartau dice que “la solución más barata y sencilla es entrenar a los empleados, pero esto no consiste en enviarles un PDF con políticas de seguridad, sino darles un curso sobre esas políticas, y enseñarles prácticas básicas de seguridad”.

Esto es importante además porque muchas amenazas son cada vez más difíciles de identificar. Cualquier usuario de Internet medianamente informado sabe que los delincuentes utilizan como una de sus principales armas el phishing (supuestos correos de empresas, que incluyen enlaces a sitios web falsos en donde se invita al usuario a introducir sus datos). Caer en esa trampa tan conocida no debería tener excusa. Pero Fast Company dice que esos ataques de ingeniería social se han refinado tanto que no necesariamente se puede culpar a las víctimas. “A primera vista, los mensajes no se ven extraños. Hoy se los crea de tal forma que pueden atravesar los filtros antispam. Además, pueden lucir profesionales, bien redactados, pueden usar términos de su negocio e incluso parecer mensajes que usted espera”, le dijo a esa publicación el consultor de seguridad Patrick Thomas.

6. No tener software de seguridad

Lo mínimo que su pyme debería tener es un antivirus de buen nivel o un paquete de software de protección (que incluye muchas más herramientas que el solo antivirus). Y con “buen nivel” nos referimos a los productos que ofrecen fabricantes como Kaspersky, Bitdefender, Eset, Avira y Symantec. Varios laboratorios independientes, como AV Comparatives (www.av-comparatives.org) y AV Test (www.av-test.org), ofrecen reportes periódicos que evalúan la efectividad del software de seguridad, y estas son algunas de las firmas que siempre figuran en los primeros lugares.

Uno de los principales peligros para las empresas hoy en día, el ransomware, puede ser atajado por programas de este estilo, ya que el ransomware es un tipo de malware (software maligno). Y recuerde que los dispositivos móviles basados en Android también necesitan antivirus (no hay antivirus para iOS, pero en ese sistema los peligros relacionados con malware son menores).

También es posible que necesite otro tipo de productos, como firewalls (hay tanto de hardware como de software), que impiden el acceso a su red de computadores; software para automatizar la creación de copias de seguridad; programas para encriptar la información; aplicaciones para administración remota de equipos, etc. Algunos desarrolladores ofrecen soluciones que integran varias de estas herramientas.

7. No estar pendiente de los equipos de sus empleados

Desde hace unos años se volvió común que los empleados lleven a las empresas sus propios equipos móviles. Esa tendencia se conoce como Bring Your Own Device (BYOD), y beneficia a las dos partes. La compañía evita gastar dinero en la adquisición de ese hardware, mientras que los empleados aumentan su productividad, ya que trabajan con dispositivos que saben manejar muy bien y que a veces son más recientes que los de la empresa.

Pero hay un problema: si esto no se maneja bien, puede abrir brechas de seguridad en las empresas. Por ejemplo, estos equipos móviles pueden conectarse a la red corporativa, tener acceso a información crítica y luego conectarse fuera de la compañía a otras redes que son inseguras. Y si un empleado pierde un dispositivo móvil que no está bien protegido, dejará expuesta la información sensible de la empresa que tenga en él. Es más: hay compañías que ni siquiera saben qué equipos se están conectando a la red corporativa porque nunca han hecho un inventario de los dispositivos que sus empleados llevan a la oficina, ni saben si están debidamente protegidos o si el software que usan es legal.

Por eso, su compañía debe definir las políticas de uso de equipos móviles que son propiedad de los empleados. Por ejemplo, debe quedar claro quién tiene acceso a la información, qué información es demasiado sensible como para restringirse el acceso desde esos equipos y qué medidas de seguridad se deben implementar en esos dispositivos (la firma debe asegurarse de que el software de sus empleados está actualizado, que tienen antivirus, les debe exigir el uso de contraseñas, debe determinar si se puede sacar información de la empresa en memorias USB, etc.). También hay compañías que adquieren un software de administración de equipos móviles, que les permite manejar esos equipos de forma remota.

Una vez definidas esas políticas, infórmelas a los empleados y edúquelos sobre la importancia de cumplirlas. Además, les debe enseñar cómo protegerse cuando están fuera de la oficina, y cómo protegerse mientras están en su hogar, ya que muchos de los dispositivos que las personas emplean en los hogares –como portátiles, tablets y smartphones– son los mismos que luego se conectan a la red corporativa.

8. No proteger bien los datos

La información es lo más importante para una compañía moderna. Pero muchas carecen de medidas de protección que garanticen que las bases de datos de sus clientes están a salvo, que solo las personas indicadas tienen acceso a los datos, que la información se guarda encriptada en los equipos, que los empleados no se llevan a sus casas datos corporativos en equipos o unidades de almacenamiento inseguras, etc. Es más, muchas empresas ni siquiera tienen claro cuáles son sus datos más valiosos, en qué equipos están almacenados o qué empleados tienen acceso a ellos.

“En Colombia falta que las empresas tengan en cuenta que las políticas de protección de datos y privacidad no son solo algo que se escribe en un archivo de Word. Ellas deben invertir; utilizar herramientas de seguridad, de encriptación y de consultoría; pensar en ISO 27001; e implementar estándares técnicos y de cultura corporativa”, dice el abogado Germán Realpe.

Algunas soluciones en la nube son una buena opción para proteger los datos, ya que brindan a los empleados acceso a los datos que necesitan para su trabajo, al tiempo que la información se mantiene resguardada en data centers o servidores que incorporan avanzadas tecnologías de protección.

9. No manejar bien los backups

No sacar regularmente copias de seguridad de la información que la compañía necesita para operar siempre ha sido una flagrante estupidez. En cualquier momento se puede producir un incidente que deje a una empresa sin su información más valiosa, como un incendio o una inundación. Pero hoy en día, por cuenta del ransomware, es claro que los backups son una de las medidas de seguridad más importantes (el ransomware es un tipo de ataque en el cual la información de la compañía es encriptada a través de un malware; luego los delincuentes exigen un pago a cambio de permitir el acceso a los datos). Muchas empresas que han pagado a los delincuentes un ‘rescate’ por su información se han llevado la sorpresa de no recibir las llaves de cifrado, y han perdido sus datos para siempre.

Por eso, la recomendación es sacar copias de seguridad regularmente, y además mantenerlas fuera de línea (por ejemplo, en discos externos que no estén conectados a Internet), pues el mismo malware que afecta sus equipos puede acceder también a sus copias de seguridad. También debería tener más de una copia de seguridad, y una de ellas en un lugar diferente a donde están los equipos de su compañía (por ejemplo, en un servidor remoto). Diversas herramientas de software le pueden ayudar a automatizar la creación de copias de seguridad.

10. No tener listo un plan de respuesta

Que la información de una empresa no esté disponible, así sea durante períodos cortos de tiempo, puede inhabilitar las operaciones y producir grandes pérdidas de dinero y problemas con los clientes, como han descubierto las compañías que han sido víctimas de ransomware. Por eso, su compañía debe tener listo un plan de respuesta antes de que se produzca un incidente de seguridad informática.

Ese plan de respuesta debe determinar cuáles son los principales riesgos de seguridad informática que podría enfrentar, cuáles son los pasos para mitigar los daños, qué personal debería ser notificado, quién es el líder del equipo de respuesta, cuáles son las estrategias para recuperar las actividades de su empresa lo más rápido posible y cuáles son las acciones prioritarias, entre otros.

Imágenes: iStock

Estas aplicaciones fueron borradas de Google Play debido a que realizaban descargas no autorizadas en los dispositivos donde estaban instaladas e intentaban obtener privilegios root que les permitiera sobrevivir a restauraciones totales del equipo.

Una de estas aplicaciones, llamada Honeycomb, había sido descargada más de un millón de veces antes de ser eliminada, según informan investigadores de Lookout, la empresa de seguridad móvil que avisó sobre este peligro y que en el pasado había alertado sobre otras aplicaciones malintencionadas. Estas aplicaciones tenían un gran número de descargas y calificaciones muy positivas, probablemente hechas de manera automática sin que los usuarios se dieran cuenta. Chris Dehghanpoor, investigador de Lookout, escribió lo siguiente:

“La explicación para los altos puntajes de las apps y los cientos de miles de descargas es el malware per se. En primer lugar, algunas de las aplicaciones son juegos completamente funcionales. Algunos tienen buena calificación debido a que son divertidos. Sin embargo, estas aplicaciones son capaces de usar dispositivos donde están instaladas para descargar y calificar positivamente otras aplicaciones maliciosas del mismo desarrollador en la Play Store. Esto ayuda a aumentar la descargas. Especificaciones, estas aplicaciones tratan de detectar si un teléfono está rooteado, y si sí, copia varios archivos en la carpeta /system, con el fin de mantenerse instalada, incluso después de una restauración de fábrica. Este comportamiento es similar al de muchas otras familias de malware que hemos visto recientemente, específicamente Shendun, ShiftyBug y Shuanet”.

Estos últimos malware, de acuerdo con otra nota de ArsTechnica, son un problema para el usuario, pues una vez se instalan en el dispositivo, son casi imposibles de eliminar, y los expertos recomiendan cambiar completamente el equipo.

Recientemente, Apple tuvo un problema de mayor magnitud y se vio en la obligación de eliminar un gran número de aplicaciones de App Store.

¿Cómo defender tu equipo de este tipo de malware?

Si bien no es del todo seguro, recuerda que a menos de que sea de una fuente confiable, no deberías descargar elementos que no estén publicados en las tiendas de aplicaciones como Google Play o Amazon Appstore (o cualquier otra tienda de apps de Android de confianza). Sin embargo, como vemos que también pueden existir problemas con las aplicaciones allí publicadas, debes tener mucha cautela y buscar en internet para mayores referencias sobre aplicaciones nuevas o desconocidas.

Imágenes: Lookout y drical (vía Shutterstock).

Se vuelve casi rutina que los investigadores de seguridad encuentren nuevo malware, que cada vez más da para titulares amenazantes. Hasta hace poco, esto era exclusivo de Android, pero desde el hallazgo de una nueva forma de meter software malicioso en la App Store de iOS, hasta ahora se está entendiendo la magnitud de las vulnerabilidades del ecosistema de Apple y el alcance de las posibles amenazas.

The Register reportó que investigadores de FireEye encontraron que más de 2.000 aplicaciones de apps usan una librería –un conjunto de instrucciones– para mostrar publicidad, la cual tiene posibles ‘puertas traseras’ que le permitirían a un usuario malicioso acceder remotamente a un iPhone. Ya adentro, podría hacer cosas como tomar pantallazos, reportar la ubicación del equipo, configurar el ‘llavero’ del equipo para conocer la clave del usuario o bloquearlo, o borrar archivos.

FireEye dice que ha conocido de 2.846 aplicaciones que están en la App Store y utilizan la librería vulnerable, y que informó a Apple del problema el pasado 21 de octubre. Para usar este ‘hueco’ en un ataque, un delincuente debe ‘secuestrar’ el servidor de publicidad que se conecte a la aplicación infectada.

Por los lados de Android, el descubrimiento viene de Lookout, otra firma de seguridad. Como cuenta Ars Technica, la empresa reportó el miércoles de un nuevo malware que ‘rootea’ los equipos para instalar adware –software que muestra publicidad no deseada– al nivel del sistema, de modo que sea imposible eliminarlo, incluso luego de restaurar el equipo al estado original de fábrica.

Este malware es camuflado en versiones de aplicaciones populares que están para descarga en tiendas diferentes a Google Play Store. Entre las aplicaciones afectadas están Facebook, Snapchat, Twitter o WhatsApp.

Cuando un equipo es atacado de esa manera, repararlo es muy difícil. Habría que ‘reflashearlo’, es decir, borrar físicamente todos los contenidos de la memoria incluso a los niveles más profundos, donde están los archivos del sistema que no son visibles para un usuario común y corriente, y luego reinstalarlos. Este procedimiento se puede hacer, pero no todos los usuarios saben cómo hacerlo y, además, normalmente implica perder la garantía del dispositivo. Además, si queda mal hecho, el equipo queda inutilizable.

¿Cómo protegerse? Tanto para los usuarios de iOS como para los de Android, es importante mantener los equipos actualizados siempre que sea posible. Con cada ‘update’, normalmente vienen muchos de los arreglos a estas vulnerabilidades. En el caso de Android, es muy importante bajar apps solo de tiendas reconocidas, como Google Play Store, Samsung Apps o Amazon App Store.

Imagen: RealVector (vía Shutterstock)

Desde que los celulares son la pantalla principal en las vidas de todos nosotros, los creadores de malware se pusieron en la tarea de buscar por dónde atacarlos. Y como ningún software es perfecto e invulnerable, se han encontrado muchos ‘huecos’ que permitirían hacer estragos con la información que se almacena en los dispositivos móviles. Entre todos ellos, escogimos tres de los más notorios y mediáticos, bien sea por su alcance, nivel de sofisticación técnica o impacto en la confianza que los consumidores tienen en sus aparatos. Estos son:

Stagefright

Es la tormenta perfecta. Un ataque que podía infectar a todos los Android (que son más de 1.000 millones de dispositivos) y que no requería que el usuario hiciera nada. Simplemente, con recibir un mensaje multimedia, el equipo quedaba a merced del atacante.

La vulnerabilidad atacaba una debilidad en el código fuente de Android, específicamente en la parte que se encarga de procesar algunos contenidos multimedia. Fue descubierta en agosto de 2015 por Zimperium, una empresa de seguridad, y luego fue confirmada por Google. El arreglo ya está en el código de Marshmallow, la versión más reciente de Android, pero eso no garantiza nada por la lentitud con la que suelen llegar los sistemas operativos móviles.

Al menos esta vez la vulnerabilidad se conoce –incluso una segunda versión– y, hasta donde se sabe, no ha sido explotada. Al menos, Google implementó un programa de actualizaciones mensuales para poder reaccionar mejor ante semejantes amenazas. Algo es algo, pero mientras los fabricantes y operadores sigan siendo el cuello de botella que son, el problema seguirá ahí.

XCodeGhost

Las peleas entre iOS y Android podrían reducirse a un debate entre apertura y seguridad. El robot verde da más poder a los usuarios y les permite hacer más cosas, pero a cambio ofrece un entorno más inseguro, en el que las implementaciones de baja calidad y las vulnerabilidades pueden aparecer. El ecosistema de Apple es restrictivo, a veces al punto de ser asfixiante, pero tenía un record de seguridad por el que sacar pecho.

‘Tenía’, decimos, porque los atacantes encontraron un método para pasar por encima de lad encumbradas vallas de la manzana y publicar malware en la App Store. Pusieron en el aire una versión ‘pirata’ de XCode –el compilador de código que sirve para crear apps para iPhone–; tras lo cual varios desarrolladores la usaron y publicaron sus aplicaciones sin problema. El resultado es que los datos personales de los usuarios, que están tranquilos y confiados porque descargan sus apps de la tienda oficial, terminan en un servidor oscuro, listos para ser vendidos en el mercado negro. La vulnerabilidad fue llamada XCodeGhost.

Apple tuvo que sacar decenas aplicaciones de la tienda, y hoy la amenaza parece un tema del pasado. Pero esta historia muestra que nadie es invulnerable.

Ataque de las huellas digitales

Se supone que los lectores de huellas digitales son la última frontera en seguridad de celulares. Son lo suficientemente confiables como para basar en ellos la seguridad de los pagos móviles, y para ser considerados como una medida definitiva contra el robo de celulares. Pero algunos fabricantes, como Samsung o HTC, habían diseñado la tecnología tremendamente mal.

Como cuenta Popular Science, los fabricantes pusieron los datos biométricos en una carpeta que estaba al alcance de cualquier usuario. Allí podían, por ejemplo, ser vistos por una aplicación malintencionada, que lograría fácilmente copiarlos y usarlos para acceder al equipo en otro momento. Eso equivaldría a poner la clave de la caja fuerte al lado de la nevera, o del mostrador de los dulces.

Por fortuna, los investigadores de seguridad se dieron cuenta de la situación y los fabricantes pudieron solucionarla en los equipos con Lollipop.

Imagen: Reservoir Dots (vía Shutterstock), Zimperium, terren in Virginia (vía Flickr), ENTER.CO.

Los Mac siguen mostrando sus vergüenzas. Una nueva vulnerabilidad de seguridad fue encontrada por dos investigadores de seguridad informática en su firmware –el código grabado en la tarjeta madre, que controla el hardware–. Como reporta Wired, esta vulnerabilidad permite ganar acceso y atacar a computadores Apple incluso si no se conectan a la red, pues puede transmitirse por medio de periféricos como adaptadores de cable de red en el puerto Ethernet.

La vulnerabilidad es “realmente difícil de detectar y realmente difícil de eliminar”, dice Xeno Kovah, uno de los investigadores. Incluso si Apple lanzara un parche, es posible que un atacante que aproveche esta falla de seguridad pueda bloquear la modificación del firmware, con lo que el problema no se solucionaría.

Además, podría ser usada para lanzar ataques en gran escala, pues algunos periféricos podrían usarse para difundir un malware que aproveche el hueco de seguridad. Por eso, la única manera de tener certeza de que la vulnerabilidad haya sido parchada es retrogradar el hardware de los computadores, una opción bastante difícil de lograr a gran escala.

Esta misma debilidad ya había sido encontrada en el firmware de otros fabricantes de PC. Pero, según Kovah, “algunos vendedores, como Dell o Lenovo, han sido muy activos en intentar remover rápidamente las vulnerabilidades del firmware. La mayoría de los demás, incluido Apple, como mostramos aquí, no lo han sido“.

Esta clase de vulnerabilidades son muy apreciadas en el ‘mercado negro’ informático por su poder de esconderse de los parches y la dificultad que tienen los vendedores para solucionarlas. De hecho, hace unos meses, Kaspersky había revelado que la NSA estaba instalando malware en el firmware de muchos discos duros comerciales, presumiblemente con el objetivo de infiltrarse masivamente en equipos de todo el mundo.

Imagen: Huskermania (vía Flickr)

El programa con más vulnerabilidades de 2014 fue Google Chrome. El navegador de internet de Google, que constantemente hace concursos para encontrar huecos de seguridad, fue el programa más vulnerable de 2014. La firma de investigación encontró que el navegador de Google tuvo 504 vulnerabilidades. En el segundo lugar de esta lista se encuentra Solaris, un programa empresarial de Oracle. Secunia registró 483 diferentes huecos de seguridad en 2014 en él. La distribución Gentoo de Linux ocupó el tercer lugar con 350 huecos de seguridad.

Otros de los participantes en esta sospechosa lista es OS X con 147 vulnerabilidades, y Windows 8 con 105.

De acuerdo con ZDNet, solo dos programas de Microsoft entraron en los primeros 20 programas. El mayor fabricante fue IBM que obtuvo ocho entradas. Tivoli Endpoint Manager fue el peor programa de IBM con 258 vulnerabilidades. Cabe mencionar que muchas de las fallas de seguridad se comparten entre los diferentes programas, lo que explica la presencia de varios programas de ‘Big Blue’.

Es importante mencionar que el hecho de tener muchas vulnerabilidades no quiere decir que un programa sea inseguro. El hecho de descubrir todas las vulnerabilidades es que la empresa está activamente buscando los huecos y lanzando los parches rápidamente. Eso indica hay que tener los programas actualizados.

La investigación asegura que las empresas de tecnología están mucho más juiciosas que antes a la hora de arreglar sus programas. Secunia dice que de las 16.435 vulnerabilidades, “el 83% fueron parchadas el mismo día fue fueron descubiertas”.

Imagen: RomboStudio (vía Shutterstock).

Cuando los empleados descargaban y abrían el correo, un código malicioso se instalaba en sus computadores y dejaba algo así como una pequeña puerta abierta para los cibercriminales. A través de ella lograban acceder a las máquinas de las instituciones e instalaban software que grababa las pantallas y los movimientos de teclado. Lo hacían para aprender cómo se hacían las cosas allí, qué software usaban y qué protocolos seguía cada uno de los bancos.

El siguiente paso era instalar software de acceso remoto en los PC infiltrados. Gracias a él, los criminales hacían lo que querían. Podían cambiar los saldos de las cuentas y hacer transacciones legítimas, como si fueran empleados de los bancos. Por eso pudieron pasar debajo del radar: el NYT dice que pasaron al menos dos años sin que nadie se diera cuenta.

Para retirar el botín, los criminales hacían transferencias a otros bancos, o retiros que no levantaban sospechas. En ocasiones, le ‘ordenaban’ a un cajero expulsar una cantidad de dinero determinada, mientras una persona de la organización estaba al frente esperando por los billetes. En la calle eso seguro se vería extraño, pero dentro del sistema era una transacción común y corriente.

Los usuarios de los bancos nunca se daban cuenta. Aunque algunas de sus cuentas eran usadas para los fraudes, los movimientos nunca eran vistos por ellos. Por ejemplo: una cuenta en la que había un saldo de 1.000 dólares era inflada a 10.000, tras lo cual los ladrones retiraban 9.000.

¿Qué salió mal?

Básicamente, lo de siempre. Según Dmitry Bestuzhev, director del grupo de investigación y análisis de Kaspersky Latinoamérica, los criminales explotaron vulnerabilidades ya conocidas y reparadas de Office –de hecho, la operación fue llamada Carbanak por la vulnerabilidad usada en ella–, pero aprovecharon el hecho de que no todos los bancos son juiciosos con la instalación de los ‘parches’ de seguridad. “No descartamos que algunos bancos no tuvieran las licencias de los programas, lo que hacía imposible que llegaran las actualizaciones“, aseguró.

Por otra parte, como cuenta Bestuzhev, “algunas de las herramientas usadas en el ataque estaban en las listas blancas –de software permitido– de los bancos“. Además, los criminales invertían meses en conocer cada institución antes de comenzar a robar.

Según el experto, el botín de la operación Carbanak podría ser aun mayor. “Algunos de los bancos afectados no quisieron cooperar con las autoridades, por el temor de comprometer su imagen“. Hasta ahora la Interpol ha logrado confirmar el monto del botín por medio de retiros de cajeros automáticos y códigos de rastreo de movimientos financieros, como el Swift e IBAN.

Aunque no se reveló cuáles bancos específicos fueron robados, el NYT informa que la mayoría de ellos están en Rusia, Estados Unidos y Europa. Bestuzhev confirmó que algunos de ellos están ubicados en Brasil y que otros tienen presencia en Latinoamérica, aunque son de otros países.

Aun no termina

El operativo para descubrir y neutralizar la operación Carbanak comenzó en febrero de 2014. Como explicó Bestuzhev, “todo comenzó porque un banco en Rusia detectó una conexión a sus servidores desde China” que no tenía sentido en medio de sus operaciones normales.

El grupo de ciberdelincuentes estaba ubicado en varios países, pero a juzgar por las huellas que fue dejando –trazas de código, mensajes de ‘phishing’ y algunos mensajes– sus miembros se comunicaban en ruso. Algunos de ellos están ubicados en territorio de la Comunidad Económica Europea, donde la policía ya comenzó a tomar acciones legales.

A pesar de esto, la alerta continúa, y Bestuzhev confirmó que Kaspersky sigue estudiando los movimientos sospechosas de muchos bancos: “esta es una operación que sigue activa“.

Imagen: Francisco Gonzalez (vía Flickr)

Se trata de lo que se conoce como ‘una vulnerabilidad de día cero’, lo que quiere decir que está presente en todas las versiones de Windows (excepto Windows Server 2003) desde su lanzamiento y su detección no se había hecho pública hasta ahora. Puede ser explotada desde cualquier archivo de Office infectado. Según un post del investigador Jonathan Leopando en el blog de la empresa de seguridad TrendMicro, “el ataque se dispara cuando un atacante envía un archivo de MS Office especialmente diseñado“. Por ahora, solo se han detectado intentos de ataque con ficheros de Power Point, pero el investigador asegura que “todos los tipos de archivo de Office pueden ser usados para efectuar este ataque“.

La vulnerabilidad está en el sistema OLE, que permite copiar y pegar contenidos de diferentes programas en Windows. Microsoft dice que es una vulnerabilidad “generalizada y seria”. Aunque no hay una solución oficial en este momento, la empresa publicó un arreglo de emergencia que puede ser descargado directamente desde su sitio web o aplicado por un profesional de TI. Sin embargo, la mejor solución que hay hasta el momento es la prevención, y la recomendación es no abrir documentos de Office cuya procedencia no se conozca completamente.

Al parecer, algunos delincuentes ya conocían de esta vulnerabilidad. Según el sitio GovInfoSecurity, al menos un grupo de piratas informáticos que tendría vínculos con el gobierno ruso estaría explotando esta y otras vulnerabilidades contra blancos en la OTAN, empresas de energía y gobiernos europeos.

Imagen: Adriano Castello (vía Shutterstock)

Salió una nueva vulnerabilidad que afecta a los equipos con algunas distribuciones de Linux y Mac OS X, sistemas operativos basados en Unix. Ha sido llamada Shellshock y afecta a Bash, una interfaz para darle instrucciones a la computadora a través de textos (o ‘terminal’, como la conocen muchos usuarios) que ha sido ampliamente usada en toda clase de equipos de cómputo en los últimos 30 años, desde servidores hasta electrodomésticos conectados a internet. Fue descubierta por el ingeniero francés Stéphane Chazelas y ya está siendo comparada con Heartbleed por su alcance y peligrosidad.

En una terminal es posible darle una instrucción a un computador para que, cada vez que el usuario digite un caracter particular, aparezca un texto en la pantalla. Según una explicación ofrecida por el bloguero especializado en seguridad informática Tom Scott, la vulnerabilidad consiste en que, si se inserta un pequeño comando que en medio de una orden de ese tipo, el computador no entiende que se le pidiendo que muestre un texto, sino que se le está dando otra instrucción.

El problema es esa otra instrucción: puede ser, literalmente, cualquiera. Y, al menos hasta este momento, Shelshock es el peor mundo posible en una crisis de seguridad informática.

Rápido, fácil y efectivo

Quienes quieran aprovechar la vulnerabilidad se van a dar cuenta de que hacerlo es rápido, fácil y efectivo porque no hay que saber casi nada ni invertir tiempo para crear un código que use la vulnerabilidad. Como le dijo a Wired Chris Wysopal, de la firma de seguridad Veracode, “no se necesita tiempo de desarrollo. Había quien estaba comprometiendo máquinas una hora después del anuncio“.

Y es efectivo porque, a pesar de esto, hasta el momento no hay una forma de evitar ser vulnerable. Red Hat, la empresa de servidores basados en Unix que está detrás de una parte muy significativa de la infraestructura de redes en el mundo, lanzó un primer ‘parche’ pero luego descubrió que no solucionaba completamente el problema, según reporta ZDNet. Otras compañías que ofrecen equipos basados en Linux hicieron lo mismo. Pero, como dice Scott, “hay un montón de ‘parcheo’ que hacer“.

Solo hay ‘parches’ parciales

Ya fueron detectados los primeros ‘exploits’. Wired reporta que el jueves se detectó que algunos desarrolladores de malware la están aprovechando para reclutar equipos para una botnet –una red de computadores que obedecen instrucciones dadas remotamente– o para lanzar ataques DDoS contra servidores web.

Según la Base de Datos de Vulnerabilidades Informáticas del gobierno de Estados Unidos, Shellshock tiene una calificación de 10 sobre 10 en impacto y ‘explotabilidad’. Por medio de ella, es posible lograr cosas como “revelación de información sin autorización, […] modificaciones sin autorización […] o interrupción del servicio“.

La escala de la vulnerabilidad es muy grande. Muchos servidores de internet y equipos de cómputo personal funcionan con Bash. Todos los equipos con OS X Mavericks son vulnerables en teoría, pero según un foro de discusión, para que realmente se pueda hacer daño a un Mac con Shellshock es necesario que su usuario haya permitido el acceso remoto, o que esté corriendo un servidor web. Apple no se ha manifestado oficialmente al respecto.

Por ahora, lo único que realmente pueden hacer los usuarios es instalar las actualizaciones tan pronto estén disponibles y usar al máximo las herramientas preventivas, como los ‘firewalls’ o la prudencia a la hora de navegar y descargar o ejecutar archivos.

Investigadores de seguridad encontraron nuevos bugs cifrados en el software que causó la amenaza de internet ‘Heartbleed’ en abril de este año.

Los expertos en seguridad anunciaron que los nuevos ‘bugs’ son más difíciles de explotar que el ‘Heartbleed’ lo que baja su nivel de amenaza. Sin embargo, hasta que los usuarios actualicen sus sistemas existe la posibilidad de que se lancen ataques para explotar la nueva vulnerabilidad no cubierta.

Imagen: carbonNYC (vía Flickr)

FireEye descubrió el pasado sábado una vulnerabilidad en Internet Explorer que da vía libre a ataques ‘zero-day’. La vulnerabilidad se origina en Flash, y a causa de ella, un atacante puede conseguir que un ordenador afectado ejecute cualquier programa de su elección después de haber tomado control sobre él.

Para conseguirlo, el intruso puede corromper la memoria del sistema, de forma que le permita ejecutar los códigos necesarios para acceder a ella a través de Internet Explorer.

Microsoft afirma que hasta ahora sólo ha habido algunos ataques que exploten esta vulnerabilidad. La mayoría de los ataques que se han producido hasta ahora han tenido como objetivo las versiones 9, 10 y 11 del navegador, que son las que emplean la mayoría de usuarios. Sin embargo, la vulnerabilidad habría podido afectar a todas las versiones de Internet Explorer, lo que significa que todos los usuarios de este navegador deben estar alerta.

Según Microsoft, Internet Explorer 10 y 11 cuentan con un modo de protección mejorada que, entre otras cosas, protege contra los ataques que podría facilitar esta vulnerabilidad. Este modo está activado por defecto, lo que reduce significativamente las posibilidades de que sus usuarios se vean afectados.

Microsoft reconoce que hasta el momento no hay una solución definitiva para la vulnerabilidad, por lo que mientras tanto recomienda una serie de soluciones provisionales que podrían mitigar el riesgo de ser atacado.

¿Qué es un ataque ‘zero day’?

Este tipo de ataques busca vulnerabilidades desconocidas en las aplicaciones informáticas, con el fin de que un eventual atacante sepa qué tipo de ‘malware’ crear e instalar para explotarlas. La información personal que más corre peligro son las contraseñas y los datos bancarios. Por lo general los ni los usuarios ni los fabricantes del producto están al tanto de lo que sucede.

Imagen: por evil nickname (vía Flickr)

Si les llega un aviso para actualizar Adobe Flash, háganle caso inmediatamente. 

Se trata de un parche que soluciona una vulnerabilidad crítica, la cual aprovecha un hueco de seguridad en las versiones tanto de Mac como de PC y permite distribuir malware en los computadores.

Como informa CNET , el ataque llegaba a los Mac por medio de contenidos maliciosos que se reproducían en Firefox o Safari; mientras que para los PC con Windows llegaba por email, en un archivo adjunto de Microsoft Office hecho con una version anterior a la de 2010. Según Kaspersky, esa última modalidad está dirigida a empresas del sector aeroespacial, y –según se sabe– intenta conectarse a un servidor surcoreano que tiene certificados falsos y ya ha sido usado para esparcir malware en el pasado.

Adobe dice que, entre otras empresas, Lockheed Martin pudo ayudar a localizar el exploit.

De todos modos, muy seguramente hay otras vulnerabilidades de Flash y de Java que no han sido descubiertas y pueden estar siendo aprovechadas actualmente. Por eso la recomendación es deshabilitar por defecto la ejecución de contenidos escritos en esos idiomas y hacer que el usuario pueda elegir cuáles pone a correr en su navegador. Aquí están las instrucciones para hacerlo en Chrome, aquí para Firefox y aquí para Internet Explorer.