Síntomas de una página web hackeada
Si un hacker malicioso, con talento y conocimiento, ataca a una página web, la realidad es que probablemente nadie llegue a averiguarlo al menos por un tiempo relativamente largo. Sin embargo, la mayoría de los atacantes no poseen dichos conocimientos y suelen usar exploits pre-fabricados para que cualquier persona, no importe su conocimiento, los utilice para robar dinero o comprometa la seguridad de un sistema.
Es prácticamente imposible que un usuario común y corriente pueda detectar un ataque de alto nivel contra una página web. Afortunadamente, este tipo de atacantes no siempre está interesado en infectar nuestras PCs. Sin embargo, existen muchos criminales interesados en atacar nuestros PCs, pero la mayoría no disponen del talento o de grandes cantidades de dinero para utilizar recursos especiales.
Estos son los criminales cibernéticos de los que nos tenemos que preocupar. Para ayudarte a saber si tu equipo puede llegar a infectarse al visitar las páginas Web comprometidas e infectadas.
Principales síntomas de una página web hackeada:
- Las advertencias de los navegadores son el primer signo de que una página web ha sido hackeada. Google invierte gran cantidad de recursos en rastrear la Red en busca de páginas seguras y añadir a la lista negra aquéllas que son peligrosas o han sido hackeadas. A menudo nos encontramos con la advertencia “Atención: esta página puede dañar tu equipo” cuando entramos en una website. Google afirma que su porcentaje de falsos positivos es muy bajo, así que este mensaje es un claro indicador de que algo no funciona bien en la página que queremos visitar.
- Algunos antivirus modernos constan de su propio evaluador de páginas web, como el URL Advisor de Kaspersky Lab, el cual funciona como una extensión del navegador e informa al usuario cuando se detecta que una página no es segura. Dichas extensiones son disponibles para algunos navegadores, de modo que se lo puede usar con el navegador favorito.
- Además, si al entrar en una página, comienza, de forma inmediata, una descarga en el equipo; podemos estar seguros de que algo malo está sucediendo. Si no se ha dado permiso para que se descargue un archivo o programa y al visitar un sitio web se realiza de forma automática, entonces es un síntoma claro de que dicha página está infectada.
StopBadware, organización sin fines de lucro que lucha contra el malware, informa que los resultados de los motores de búsqueda, a veces, revelan la presencia de una página hackeada antes de que el usuario la visite. Por ejemplo: si intentamos entrar en una web y, al buscarla, se nos muestran resultados realmente extraños (ofertas de relojes de diseño o productos farmacéuticos) que nos dirigen a dicha página, probablemente el sitio esté infectado.
Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky Lab en América Latina, advierte de lo siguiente:
“El usuario final puede presenciar situaciones que, al visitar un sitio Web, note que su aplicación Java comienza a funcionar mostrando un icono en la bandeja del sistema o hasta mostrando un Java applet. Si esto sucede, es muy probable que en este momento en nuestro equipo se esté instalando un malware aprovechando una o más vulnerabilidades en la versión desactualizada de Java. Lo mismo puede pasar con la aplicación de Adobe Reader y algunas otras cuando el usuario visita un sitio Web y sin su consentimiento nota que una aplicación instalada localmente en su equipo se abre automáticamente. Estas son las señales claras de que el sitio Web fue hackeado y utilizado por los criminales cibernéticos para infectar a sus visitantes”.
Según Bestuzhev, existen varias medidas de protección contra este tipo de vectores de ataques: “Primordialmente, se debe contar con el mejor producto anti-malware capaz de detectar las vulnerabilidades día 0. Además, hay que siempre mantener actualizado tanto el sistema operativo como el navegador, y también las aplicaciones Java, Adobe Reader y Adobe Flash Player. Finalmente, uno puede reducir significativamente el riesgo de una infección vía ‘drive by download’ al instalar en su navegador el complemente NoScript que está disponible tanto para Google Chrome, como Firefox y Opera.
Ataques a gran escala de hackers maliciosos sumirían el mundo en un caos
Ante el preocupante aumento de los ataques cibernéticos, y aún más preocupante el aumento de su escala, la pregunta es: ¿Cuánto daño podría causar al mundo un grupo de hackers maliciosos bien entrenados?
A esta pregunta intentó contestar el ex alto funcionario del Departamento de Seguridad Nacional de EE.UU. Paul Rosenzweig en su libro, publicado recientemente y cuyo título habla por sí solo: ‘La guerra cibernética: ¿Cómo conflictos en el ciberespacio están desafiando América y cambiando el mundo?’.
Los avances tecnológicos, junto con la ubicuidad de Internet, han dado lugar a una gama casi infinita de amenazas a la seguridad potencialmente graves para los Gobiernos, las entidades comerciales y las personas.
El portal ‘Quartz’ cita a algunos de los numerosos escenarios, descritos por Rosenzweig.
Manipulación de la información
Así, entre las dañinas operaciones que pueden realizar los hackers maliciosos se destaca la difusión de información falsa a través de fuentes de confianza sobre casos que afecten a la geopolítica. Esto provocaría un desplome en los mercados mundiales, que duraría varios días antes de que el error hubiera sido corregido, según Rosenzweig. Por ejemplo, los ‘hackers maliciosos’ podrían difundir información falsa sobre Corea del Norte lanzando misiles balísticos intercontinentales contra EE.UU., o sobre Israel atacando las instalaciones nucleares iraníes, apretando la oferta mundial de petróleo, reza el artículo de ‘Quartz’.
En este contexto cabe recordar el reciente ‘hackeo’ de la cuenta de Twitter de la agencia AP, que resultó en un tuit que informaba sobre dos explosiones en la Casa Blanca que habrían herido al presidente de EE.UU., Barack Obama.
En aquel caso, la mayoría de los internautas de esta red social sospecharon de inmediato que se trataba de una noticia falsa, ya que el estilo del mensaje sobre el atentado contra Obama era muy diferente del estilo habitual de los ‘breaking news’ de AP en Twitter.
Sin embargo, el mensaje de los hackers maliciosos logró sembrar el pánico en Wall Street. Apenas unos minutos después de su publicación, el índice Dow Jones cayó más de 150 puntos y la capitalización de las empresas del índice se redujo en 200.000 millones de dólares.
‘Hackeos’ de los Sistemas de Control Industrial
Los malhechores podrían también ‘hackear’ los Sistemas de Control Industrial (ICS, por sus siglas en inglés), que se utilizan por muchos sistemas, tanto gubernamentales, como los del sector privado, lo que podría alterar presas, refinerías de petróleo, redes eléctricas, empresas de servicios públicos e incluso el sistema bancario global conocido como SWIFT (‘Society for Worldwide Interbank Financial Telecommunication’, o Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales).
Así, el objetivo de un reciente ataque cibernético, que los funcionarios de EE.UU. vinculan con un ‘hacker malicioso’ chino, fue una base de datos del Cuerpo de Ingenieros del Ejército de EE.UU. con la información confidencial sobre las vulnerabilidades de las principales presas de EE.UU. Según algunos funcionarios estadounidenses, “en las manos equivocadas” esa base de datos podría convertirse en una “hoja de ruta” de ataque cibernético para interrumpir las redes eléctricas o presas del país.
Peligros para la navegación por satélite
Otro peligro del que habla el autor del libro, es el posible ciberataque contra el sistema de navegación por satélite basado en el espacio, que hoy en día proporciona una gran cantidad de información. “Piense en esto”, avisa Rosenzweig. “¿Qué pasaría si alguien empezara a degradar la información con la que funciona el GPS? Son sólo datos, unos y ceros que vienen de los satélites”, recordó. De esta manera, los ‘hackers’, según el ex alto funcionario, podrían “hacer nuestros misiles menos precisos, nuestros aviones menos capaces de volar o menos seguros”, podrían “interceptar, degradar, o parodiarlos… enviar señales falsas, y hacer a los pilotos creer que los aviones están en otra parte”.
Estas son solo algunas de las consecuencias que pueden tener los ataques cibernéticos, amenazas que se han convertido en los últimos años en una de las peores pesadillas para las autoridades de muchos países. De hecho, algunos Gobiernos nombran los cibercrímenes entre las mayores amenazas a la seguridad nacional.
El ciberespionaje, una tendencia en auge
Los troyanos-espía para el robo de información y las aplicaciones de monitorieo y rastreo mediante GPS se incrementaron en 2012, una tendencia que Kaspersky asegura que se convertiría en un fenómeno ampliamente difundido. ¿Cuáles son los dispositivos más afectados?
Los disposivos móviles son el objetivo de una nueva tendencia de ciberespionaje, que persigue hacer un seguimiento tanto del paradero como de las actividades de los usuarios en el dispositivo infectado. En este sentido, Kaspersky afirma que la cantidad de programas maliciosos catalogados como troyanos-espía o backdoors ha crecido durante el último año, así como la cantidad de aplicaciones comerciales de monitorización y servicios de geolocalización dedicados a rastrear personas a través de su dispositivo móvil.
Aunque los primeros casos de ciberespionaje móvil surgieron en 2009, el pasado año se disparó el número de casos. Un ejemplo de ello es el incidente sucedido con el módulo FinSpy, un programa de monitorización desarrollado por la compañía británica Gamma International del que se descubrieron versiones móviles para Android, iOS, Windows Mobile y Symbian, las cuales permitían hacer un seguimiento de casi todas las actividades de los usuarios en el dispositivo infectado, seguir su paradero, hacer llamadas en secreto y enviar información a servidores remotos.
Como explica Vicente Díaz, analista senior de malware de Kaspersky Lab, “la instalación de un software espía es más fácil de lo que se cree, basta con tener el móvil encendido unos minutos. Incluso puede hacerse de forma remota, consiguiendo que la víctima clique en un enlace que llega vía SMS o correo electrónico. Una vez instalado el malware de manera furtiva en el dispositivo se puede ac
ceder al correo electrónico o utilizar ese teléfono como micrófono”.
Kaspersky señala que tener el teléfono apagado no es suficiente para evitar que el troyano actúe, ya que éste puede utilizar trucos para pasar desapercibido, simulando por ejemplo el apagado del equipo, el cual permanece abierto y con la grabadora encendida sin que el usuario se de cuenta.
Un ‘hacker malicioso’ obliga a cambiar las claves de Evernote
La compañía de almacenamiento de información en Internet (lo que se conoce como en la nube) Evernote ha sufrido un ataque de un pirata informático que le ha obligado a restablecer todas las contraseñas de sus 50 millones de usuarios.
En un comunicado, la empresa californiana ha admitido que el atacante ha tenido acceso a los nombres y claves de los usuarios, aunque insiste en que no hay pruebas de que se hayan violado los datos económicos de los usuarios.
La compañía, ante el aumento de este tipo de situaciones, ha indicado que todos los usuarios deberán crear contraseñas nuevas. Para su seguridad, recuerda que lo mejor es que estas no sean palabras corrientes o que estén en diccionarios, que no se usa la misma clave en varios servicios y que nunca se responda a correos electrónicos que pidan la contraseña.
Adobe cierra su foro de usuarios después de sufrir un ataque de un ‘hacker’
Adobe Systems ha cerrado su foro de clientes, después de haber sido objeto de un ataque cibernético. La página constituía un espacio web donde los clientes compartían información sobre el uso de su servicio de conferencias online.
La compañía, cuyo software es frecuentemente un blanco de los ‘hackers’, debido a que es ampliamente utilizado para publicar los documentos digitales, afirmó este miércoles que restablecería las contraseñas de los aproximadamente 150.000 miembros del sitio Connectusers.com. Adobe dijo que su servicio Connect de conferencias web y de otros sitios de la empresa no fueron violados.
La noticia de la intrusión surgió este martes, cuando un ‘hacker’ afirmó en una publicación en Internet que había robado las credenciales de inicio de sesión de 150.000 clientes y socios de Adobe.
El ‘hacker’, que decía ser de Egipto, publicó 644 registros en el sitio, incluyendo correos electrónicos. Además dijo que la liberación la hizo para señalar que Adobe es lento en la solución de problemas de seguridad. El ‘hacker’ también prometió publicar los datos robados de Yahoo!. Una portavoz de Yahoo! no respondió a una solicitud de comentarios.
El fallo en Adobe se descubrió una semana después de que la firma de seguridad rusa Group-IB dijera que había descubierto undefecto en el software de Adobe Reader. Esta señaló que los delincuentes se estaban aprovechando de ello para atacar a los ordenadores, a través de la infección con documentos PDF maliciosos.
El portavoz de Adobe, Wiebke Lips, dijo que la compañía aún está revisando el informe, a pesar de que aún no ha recibido muestras de ningún código malicioso descubierto por el Grupo IB.
Denuncian mercado negro de cuentas robadas de Twitter
A través de foros, no solo venden usuarios y contraseñas, también seguidores para quienes desean tener mayor popularidad en la red de microblogging.
Varios casos de personas cuyas cuentas de Twitter fueron robadas han salido a la luz. La red de microblogging más usada al parecer tiene una debilidad que fue hallada fácilmente por hackers maliciosos, que crearon un sistema para obtener las contraseñas y vender los usuarios.
A través de The Huffington Post, varios usuarios, afectados por esta falla del sistema y por los piratas informáticos, denunciaron el hecho, que sucede abiertamente en la red a pesar de su ilegalidad.
El usuario Daniel Dennis, @blanket en Twitter, escribió en un post en Storify cómo su cuenta fue hackeada, robada y puesta a la venta en páginas web.
Según Dennis, el hacker dijo ser un joven de 14 años que adquirió un “cracker Twitter” fácilmente en línea. Este programa permite cargar más de 10 mil contraseñas y automáticamente comprobar el nombre de usuario.
Los programas son adquiridos en foros en línea, como hackforums.net y vendidas a través de ForumKorner.com y otras webs similares.
Este problema no solo es responsabilidad de los hackers, sino también en la falta de seguridad dentro de la red de microblogging, pues la mayoría de empresas construye barreras para evitar este tipo de incidentes.
La compra de “followers” o seguidores también es un negocio que está floreciendo en las redes sociales. La compañía de seguridad informática BarracudaLabs creó tres cuentas ficticias para verificar este hecho.
A través de estas cuentas, esta empresa logró comprar entre 20 mil y 70 mil seguidores. El precio varía según el cuidado que pone el vendedor para no ser descubierto y esta práctica es muy usada por quienes desean obtener popularidad fácil y rápidamente.
Menos ‘malware’, pero más peligroso
Los ciberdelincuentes han pasado a diseñar sistemas más inteligentes y avanzados en lugar de un gran número de amenazas.
La producción de malware se ha desacelerado, creciendo a un ritmo menor que en los meses precedentes. Sin embargo, los expertos han alertado sobre el aumento de la peligrosidad de los virus que se están produciendo.
G Data ha publicado su último estudio sobre malware, en el que han descubierto una tendencia que no se esperaba. El crecimiento vertiginoso del nivel de malware experimentado en los últimos años ha perdido velocidad y se ha ralentizado con respecto a los últimos análisis.
El número de nuevas amenazas no es pequeño ya que se han registrado 1,38 nuevos programas maliciosos en el primer semestre del año.
Sin embargo, el crecimiento de virus con respecto al semestre anterior es de un 4 por ciento, lo que es un incremento inferior a lo que venía siendo habitual.
Desde G Data han explicado que en los últimos años se habían acostumbrado a apreciar crecimientos muy elevados de nuevo malware entre los distintos meses. Sin embargo, la concienciación de los usuarios parece que está obligando a los ciberdelincuentes a apostar por la “calidad” en lugar de la cantidad.
“El código malicioso se había convertido en una forma de hacer dinero fácil y ha experimentando espectaculares crecimientos. Pero las víctimas potenciales han ido tomando conciencia de las amenazas, adoptando ciertas precauciones y evitando las estafas más sencillas.
Esto parece que ha tenido efecto y solo aquellos creadores de malware capaces de adaptarse a estas nuevas circunstancias serán capaces de lograr sus objetivos”, ha explicado el experto en seguridad Eddy Willems.
De esta forma, se ha pasado a diseñar sistemas más inteligentes y avanzados en lugar de un gran número de amenazas.
Los expertos de G Data han coincidido en afirmar que el código aparecido este año ha dado lugar, sin ninguna duda, a amenazas más inteligentes y sofisticadas, sugiriendo una evolución similar a la explicada por Darwin en su teoría de la selección natural.
“Adaptarse rápidamente a las nuevas circunstancias refleja de forma más o menos fiel la famosa teoría de la evolución formulada por Charles Darwin”, ha comentado Willems.
LOS ATAQUES CLÁSICOS ERAN “RELATIVAMENTE SENCILLOS”
Como ejemplo de esa sofisticación y adaptación de los virus, en G Data han citado el ejemplo de la rápida evolución de los troyanos bancarios. “La gran mayoría de los ataques clásicos eran relativamente sencillos.
Se limitaban a solicitar a la víctima que accedía a sus servicios de banca online una serie de datos confidenciales que eran enviados al atacante”, han asegurado desde la compañía.
Sin embargo, los últimos ejemplares de troyanos bancarios destacan por ser capaces de sobrevivir en el tiempo gracias a múltiples versiones a partir de su código fuente.
Además, el equipo de G Data ha destacado que estos troyanos cuentan con métodos más sofisticados, que permiten que las estafas tengan lugar sin la interacción con la víctima.
De la misma manera, el malware para Android puede ser otra muestra de la nueva estrategia de los cibercriminales. “En 2011, la mayor parte del malware para dispositivos móviles tenía como objetivo conseguir dinero fácil y rápido y se alojaba en websites o mercados de terceros.
En 2012 representa la aparición de aplicaciones completamente nuevas capaces de contener todo tipo de funciones maliciosas ocultas”, han destacado.
Esa sofisticación, que sustituye a la cantidad, ha tenido otros ejemplos como FlashBack, que en los últimos meses puso en peligro a miles de usuarios de Apple. Se trata de virus más peligrosos por sus posibilidades.
De cara al futuro, los expertos de G Data han afirmado que el crecimiento de los programas maliciosos irá estabilizándose mientras que su grado de sofisticación y peligrosidad irá en aumento.
“Calculo que habrá una media de 2,5 a 3 millones de nuevas amenazas por año y que, de alguna forma, la calidad triunfará sobre la cantidad de ahora en adelante.
Tiene sentido si tenemos en cuenta que los internautas tiene una conciencia cada vez mayor de las amenazas y son más precavidos cada día. Para tener éxito, los ciberdelincuentes van a necesitar invertir más tiempo y esfuerzo creativo”, ha finalizado Eddy Willems.
Inteco alerta del virus Backdr.HG para Windows
El Instituto Nacional de Tecnologías de la Comunicación ha emitido un nuevo informe semanal sobre vulnerabilidades. En este caso, destaca Backdr.HG, un virus desarrollado para Windows que permite a los cibercriminales el acceso remoto a sitios maliciosos desde los que descarga nuevos ejemplares de malware.
En concreto, el virus se llama Backdr.HG. Este nuevo malware llega a los usuarios a través de un correo electrónico. En el correo, los ciberdelincuentes utilizan la imagen de Microsoft para credibilidad a la amenaza. En concreto el asunto del mensaje tiene que ver con ´Cambios importantes en las condiciones del servicio de Microsoft´. No es la primera vez que se utiliza este gancho y recientemente se alertó de una amenaza similar, que usaba el mismo engaño, con la diferencia de que entonces se facilitaban supuestos enlaces a páginas de Microsoft, que en realidad eran acceso a webs maliciosas.
En el caso de los mensajes de Backdr.HG, los cibercriminales no hacen uso de enlaces sino de documentos adjuntos infectados. De esta forma, un archivo que acompaña al mail es el responsable de la instalación del virus en los sistemas Windows. Una vez instalado este troyano, los ciberdelincuentes pueden conectar los equipos “con sitios maliciosos remotos para descargar nuevos virus”, según han explicado desde Inteco.
El secreto para identificar la estafa es que contine un archivo adjunto identificado como Microsoft-Services-Agreement.pdf.exe, que según Inteco nunca acompaña a una notificación de Microsoft. La recomendación desde el Instituto es que no se ejecuten fiches adjuntos en correos que no han sido solicitados. Además es bueno tomar precauciones y tampoco abrir enlaces ni imágenes.
Los ciberdelincuentes ofrecen troyanos personalizados
Un servicio “MaaS” recientemente detectado permite crear y alojar un nuevo troyano personalizado que facilita la administración remota de los ordenadores infectados por el pago de una cuota mensual por el uso del servicio.
Los ‘hackers maliciosos’ han evolucionado. Parece que ahora no buscan notoriedad como antaño, sino que su principal objetivo es el lucro económico. Es por esto que la prestación de servicios entre cibercriminales es bastante común, incluyendo la venta de troyanos nuevos desarrollados por programadores o la venta de información recogida por ‘spammers’, entre otros. Todos se encuentran y se comunican a través de canales de IRC, donde se inician las negociaciones y las aplicaciones.
“Frente a esta realidad, no sorprende la existencia de escuelas online diseñadas para formar a los cibercriminales novatos. Siguiendo esta tendencia, emergente en Latinoamérica, comienzan los primeros servicios para crear malware personalizado, denominado ‘Maas’ (Malware as a Service)”, ha explicado el analista de Kaspersky Lab Fabio Assolini.
“Este tipo de servicio es muy común entre los ciberdelincuentes de Europa del Este y ahora está empezando a usarse en todo el mundo, sobre todo en Brasil, donde está cogiendo mucha fuerza”, ha añadido.
Facilita la Administración Remota
Un servicio ‘MaaS’ recientemente publicado por ciberdelincuentes brasileños y detectado por Kaspersky Lab permite crear y alojar un nuevo troyano personalizado que además facilita la administración remota de los ordenadores infectados. Los interesados deben efectuar un pago mensual por el uso del servicio. Como aliciente, el uso del troyano está preparado para su gestión a través de una interfaz gráfica que no precisa experiencia en programación.
Al igual que cualquier servicio online, los futuros ciberdelincuentes pueden elegir el mejor método de pago para comenzar a utilizar el servicio. Además, se incluyen lecciones en vídeo para aprender a usarlo, la creación del propio troyano, la administración del negocio fraudulento y la gestión de campañas de malware para difundirlo entre las posibles víctimas de la misma.
Para Assolini, este tipo de troyanos permiten el control absoluto de la máquina de la víctima, además de recopilar información personal, como inicios de sesión para acceder a los servicios de redes sociales, mensajería instantánea, banca. Desde Kaspersky han alertado de que todo esto facilita a los delincuentes más experimentados ganar dinero no sólo a través de los ataques que ellos mismos realizan, sino también mediante la venta de sus servicios.
Hacker malicioso libera información de 50 mil cuentas de portal de trabajos en Wall Street
Un nuevo ataque cibernético llama la atención en la red. Esta vez se trata del portal de trabajo ITWallStreet.com, desde donde se filtraron detalles de más de 50 mil cuentas de profesionales del ámbito tecnológico.
El sitio publica ofertas de trabajo de firmas relacionadas con Wall Street, incluyendo Morgan Stanley, Goldman Sachs, Nasdaq y Dow Jones.
Según ComputerWorld, la información fue publicada por un hacker llamado Masakaki, perteneciente al grupo TeamGhostShell. El medio constató que los archivos subidos incluyen nombres, direcciones particulares, correos electrónicos, contraseñas (protegidas, aunque algunas ya han sido penetradas) y teléfonos. Además se incluye información como las expectativas de renta de los candidatos.
Otro archivo incluye algunas otras comunicaciones entre la empresa y las firmas que están buscando nuevos trabajadores, discutiendo la viabilidad de contratar a alguno de los postulantes. Incluso hay registros de llamadas telefónicas.
Andiamo Partners, la empresa que opera ITWallStreet.com no ha comentado el ataque, sin confirmarlo o negarlo. Por otro lado, Masakaki afirmó en la declaración con la que subió los archivos que su acción es para apoyar al movimiento Occupy Wall Street.
