Entradas

El FBI avisa hay que reiniciar el router

El FBI avisa: hay que reiniciar el router

El FBI avisa hay que reiniciar el router

El FBI ha detectado un ataque de hackers proveniente de Rusia por el cual se introduciría un malware que se apropiaría de los routers. Las autoridades norteamericanas han identificado este malware como VPNFilter, que tomaría el control de nuestro router para propagar ataques mundiales coordinados, y registrar toda la actividad en la red de los dispositivos conectados. La gravedad de este ataque es tal, que los hackers podrían anular por completo la conexión a internet en zonas enteras y lo que resulta más preocupante, llevar a cabo ataques masivos a objetivos determinados.

Todavía no se conoce el alcance de este ataque, pero se estima que estarían afectados más de medio millón de routers domésticos en todo el planeta, y dada la configuración en red de este tipo de ataques, es de suponer que ese número se dispare exponencialmente por minutos. El funcionamiento es el siguiente: un router afectado por VPNFilter se queda en modo aletargado a la espera de recibir instrucciones de cara a llevar a cabo un ataque coordinado contra un objetivo determinado por los hackers. Entre tanto, registraría toda la información proveniente de nuestra actividad en la red (sí, contraseñas también), y los investigadores que han identificado el hack han comprobado la existencia de un ‘botón letal’ mediante el cual los atacantes podrían inutilizar definitivamente el dispositivo.

En una acción coordinada a gran escala, VPNFilter podría inutilizar la conexión a internet en barrios o ciudades enteras, dada la gran cantidad de marcas afectadas. El FBI ha enumerado en un listado los equipos afectados, pero ha avanzado que ello no quiere decir que aquellos que no aparezcan en la lista no estén afectados o sean susceptibles de ello. En este listado encontramos fabricantes como Netgear, TP-Link o Linksys, aunque como apuntamos, los fabricantes afectados podrían ser muchos más. ¿Qué hacer en cualquier caso? Las autoridades recomiendan llevar a cabo algo muy simple: reiniciar el router (desenchufar y volverlo a enchufar); con este paso se inutilizaría el malware en la mayoría de los casos, aunque tampoco hay garantías de ello.

Los expertos de Cisco, la firma que habría detectado en primera instancia el ataque, van más allá en sus recomendaciones: restablecer el dispositivo a la configuración de fábrica para asegurarse de que no queda rastro del malware. Esta medida es más definitiva, pero es poco recomendable para todos aquellos que no cuenten con un elevado conocimiento en este tipo de equipos, ya que nos obligará después de volver a configurar el router internamente (la gran mayoría de los routers los entrega el proveedor de internet y vienen configurados de fábrica). Una medida adicional y que siempre resulta recomendable: cambiar la contraseña del panel de control que da acceso al router. Los expertos recomiendan, asimismo, asegurarse de que el router lleva ya la última versión del firmware (cabe esperar que los fabricantes se han puesto manos a la obra para atajar el problema).

Fernando Suárez, vicepresidente del Consejo General de Colegios de Ingeniería Informática, afirma que “reiniciar un router puede hacer que se vuelva a un estado previo al de su infección, pero no lo protege contra una nueva”, explica . El router es siempre un dispositivo “más vulnerable”, según este experto, ya que suele comercializarse con la configuración de fábrica “y en entornos pequeños no están protegidos con herramientas como antivirus”.

Un grupo de piratas rusos accede a los sistemas de una compañía eléctrica de EEUU

Un grupo de piratas rusos accede a los sistemas de una compañía eléctrica de EEUU

07Recientemente, un grupo de piratas informáticos accedieron a los sistemas de la eléctrica estadounidense Burlington Electric, según admitió la propia compañía en un comunicado en el que aseguraron que el ataque no comprometió a su red, tal y como había informado inicialmente en exclusiva el rotativo The Washington Post citando funcionarios cercanos a la Casa Blanca bajo condición de anonimato.

“Anoche, las eléctricas estadounidenses fueron alertadas por el Departamento de Seguridad Nacional (DHS) de un código de software malicioso usado en Grizzly Steppe, el nombre que el DHS ha dado a la campaña de pirateos recientes rusos”, apuntó la compañía con sede en Burlington, la mayor ciudad del estado de Vermont.

“Detectamos el software malicioso en un solo ordenador portátil de Burlington Electric que no estaba conectado con la red de la compañía”, agregó al informar que ese equipo fue aislado y que se alertó a las autoridades federales del hallazgo. “Nuestro equipo está trabajando con las autoridades federales para rastrear este software malicioso y prevenir otros intentos de infiltrar nuestros sistemas”, concluyó Burlington Electric.

Inicialmente, el The Washington Post reportó que los piratas informáticos habían logrado penetrar la red eléctrica de la compañía, aunque las personas que se hicieron con los códigos no los utilizaron. “La penetración pudo haber sido diseñada para interrumpir las operaciones del servicio o para probar, los rusos, hasta que punto podían penetrar en la red”, especuló el The Washington Post al citar a los funcionarios.

Además, Barack Obama ordenó expulsar del país a 35 diplomáticos de Rusia e impuso sanciones económicas contra organismos de espionaje, individuos y empresas de seguridad informática rusos como represalia a la injerencia electoral.1507

Millones de ordenadores británicos y norteamericanos sufren un hackeo ruso

Millones de ordenadores británicos y norteamericanos sufren un hackeo ruso

Millones de ordenadores británicos y norteamericanos sufren un hackeo ruso

Millones de ordenadores británicos y norteamericanos sufrieron un intento de hackeo desde Rusia. Esto es lo que han avisado el Centro Nacional de Ciberseguridad de Gran Bretaña y el Departamento de Seguridad Nacional de Estados Unidos. Una ofensiva de «hacking global» que, aseguran, podría haber afectado a decenas de miles de dispositivos en los hogares británicos, incluyendo ordenadores privados. Algo que, según estas organizaciones, buscan desde Rusia para espiar a los gobiernos y sentar las bases de un posible ciberataque masivo en un futuro.

Los expertos en seguridad advierten de que los hackers, a los que relacionan con el Kremlin, están buscando formas para colarse de forma invisible en los ordenadores de los usuarios con contraseñas fáciles o con antivirus caducados en sus ordenadores para lanzar un ataque global cuando se les de la orden de hacerlo. En su punto de mira también se sitúan las grandes y medianas empresas, aunque la mayoría de los intentos rusos se han dirigido directamente al gobierno británico y a elementos críticos de la infraestructura nacional del país.

La capacidad de controlar las redes y los dispositivos domésticos que se conectan a Internet significa, acorde a los técnicos, que Rusia puede lanzar ciberataques en los que podría incluso impedir la prestación de servicios como atención médica, o los suministros de energía y de agua. Estos organismos de seguridad advierten además de que si no se ponen los medios necesarios para evitarlo los hackers puede interceptar mensajes privados entre dos personas e incluso eliminar o distorsionar su contenido.

La directora del Centro de Nacional de Ciberseguridad en Reino Unido, Ciaran Martin, aseguraba que era necesario justo ahora «advertir sobre las actividades de Rusia en el ciberespacio».

Desde Estados Unidos amenazan con que están dispuestos a devolverle el golpe a Rusia con operaciones similares. Así lo señalaba Rob Joyce, el coordinador de seguridad cibernética de la Casa Blanca «todos los elementos del poder de Estados Unidos están disponibles para hacer retroceder este tipo de intrusiones», afirmaba.

Es la primera vez que se da una «alerta técnica» tanto en Reino Unido y Estados Unidos y que se difunde entre el público, los gobiernos y las empresas privadas, incluidos los proveedores de servicios de Internet y otras empresas de comunicaciones.

Desde Gran Bretaña se lleva varios meses alertando contra estos ciberataques y sobre las intenciones de Vladimir Putin de sembrar de noticias falsas, las conocidas como fake news, y de desinformación las redes sociales y los medios de comunicación para intentar influir en decisiones tan importantes para el país como el brexit o las elecciones generales.

El Santander víctima de otra campaña de correos fraudulentos

El Santander: víctima de otra campaña de correos fraudulentos

Se ha detectado una nueva campaña de phishing que está siendo propagada a través de correos electrónicos simulando proceder del Banco Santander y dirigidos a supuestos clientes de esta compañía. El objetivo, como es habitual en estos casos, es obtener información bancaria de los usuarios y posiblemente realizar transferencias a una cuenta controlada por los ciberdelincuentes.

Según advierte en un comunicado la Oficina de Seguridad del Internauta (OSI), cualquier cliente del Banco de Santander que haga uso del correo electrónico y reciba un correo malicioso con estas características es víctima potencial de la estafa.

Para evitarlo, los expertos recomiendan que, si se ha acced23ido al enlace y facilitado el documento de identidad y contraseña, los números de tu tarjeta de coordenadas o firma digital, se modifique inmediatamente la contraseña de acceso a la banca por Internet del Banco Santander. También se debe contactar con la oficina bancaria para informarles de lo sucedido.

En esta ocasión, los correos electrónicos fraudulentos de esta campaña simulan proceder del Banco Santander y en ellos, se invita al usuario que lo reciba a “comprobar un mensaje importante de su mensajería” haciendo clic en un enlace que supuestamente les redirigirá a la página web del Banco Santander. Sin embargo, se trata de una página que suplanta la legítima del banco.

Si se hace clic sobre el enlace mencionado del correo, se accederá a una página que solicita las claves de acceso a la banca online del usuario, siendo éstos su documento de identidad y contraseña. Una vez que el usuario introduce las claves, pensando que está en la web legítima de su banco, y selecciona el botón “Entrar”, se abrirá una nueva página, según detalla la OSI.

A continuación, el usuario es redirigido a otra página fraudulenta donde verá un formulario que solicita una cantidad máxima de transferencia por día así como que introduzca los valores de las posiciones pares de la firma electrónica. Cuando hace clic en “Continuar”, un mensaje simula un error en los valores de la firma digital y solicita que introduzca en esta ocasión los valores de las otras posiciones de la firma electrónica, de esta forma, los ciberdelincuentes ya tienen todos los números de la firma electrónica en su poder.

Los ataques a móviles y tablets crecen un 33%

Como ha indicado Panda Secutiry, los ataques a teléfonos móviles y tablets han aumentado un 32,6% respecto a 2015, mientras que las técnicas de infección contra estos dispositivos han seguido una evolución similar.

Estos datos ponen de manifiesto que a lo largo de 2016 se ha vuelto a batir el record en detección de ‘malware. En total, han sido casi 70 millones de nuevas muestras detectadas y neutralizadas por PandaLabs, con una media de 200.000 al día.

En 2015, el comercio electrónico aumentó en España un 30%, mientras que las ventas a través de móviles se duplicaron. Se trata de una tendencia que se mantendrá durante los próximos años. «Si nosotros lo sabemos, los ciberdelincuentes también lo saben», destaca el Retail Product Marketing Manager de Panda Security, Hervé Lambert, en un comunicado.

A lo largo de este año 2016 también han aumentado los usuarios multipantalla, es decir, los que interactúan en más de un dispositivo al mismo tiempo para realizar diferentes actividades. Asimismo, las redes sociales son las principales catalizadoras de la actividad de estos usuarios, con un tráfico que ya supera los 15,5 millones de internautas en nuestro país.

Ante esta situación, desde iPatch aconsejamos contar con una protección antivirus para los dispositivos móviles, que preste especial atención a la protección de las redes WiFi de posibles hackers.

Los riesgos del internet de las cosas

España, preferida por los hackers

Así lo afirma un estudio de la compañía de ciberseguridad FireEye. España es uno de los países que más ataques reciben de Europa. De hecho, junto a Turquía, Israel, Bélgica, Luxemburgo, Alemania y Gran Bretaña, concentramos más del 60% de las alertas asociadas a amenazas avanzadas.

Vesku Turtia, Manager de FireEye en España ha afirmado: «La situación en España es muy complicada, de hecho registramos más del 50% de las amenazas avanzadas y siendo el país que más ataques recibe del sur de Europa».

El gobierno y las entidades financieras han sido los principales objetivos de estos hackers, que además emplean el ransomware (un tipo de virus que codifica parte o toda nuestra información y nos exige un rescate a cambio de liberarla) como una de sus armas preferidas en la actualidad. No en vano, y retomando los datos de su informe, el 91% de los ciudadanos sitúa a los bancos en los primeros puestos del tipo de organización en las que resulta más preocupante el incumplimiento o negligencia en las medidas de seguridad.

La prevención y, muy especialmente, la detección temprana son claves para que las empresas puedan responder con efectividad a los ciberdelincuentes. «Nosotros hemos detectado el 90% de los últimos ataques de día cero que se han producido», presume Turtia. «Las empresas que no se adapten y se protejan adecuadamente se arriesgan a perder no sólo información valiosa, sino también la confianza de sus clientes». De hecho, siete de cada diez personas dejaría de comprar en una empresa si descubriera que el robo de sus datos se debió a un fallo de seguridad, mientras que el 51% considera que la seguridad es un factor determinante a la hora de comprar en una compañía.

Nuevo ciberataque masivo afecta a empresas de todo el mundo

Nuevo ciberataque masivo afecta a empresas de todo el mundo

Mes y medio después del ciberataque WannaCry pusiera en jaque a cientos de empresas y multinacionales en todo el mundo, los piratas informáticos han vuelto a aparecer contra organismos públicos y privados. Se trata de un virus de tipo ransomware que ya habría atacado varios sistemas informáticos en todo el mundo en 2016. Desde Kaspersky señalan que “se trata de un nuevo ransomware, que nunca antes se había visto” al que han bautizado como NotPetya.

Por el momento, la lista de afectados la componen al menos 80 empresas de diversos sectores localizadas en países como Reino Unido, Estados Unidos, Francia, Rusia, España, India y Ucrania. En ella se encuentran algunas como la multinacional alimentaria Mondelez, que es dueña de marcas como Oreo, Tang, Milka o Toblerone, la empresa de publicidad británica WPP, NiveaAuchan (Alcampo), el laboratorio Merck Sharp & Dohme, la petrolera rusa Rosneft y varias infraestructuras críticas de Ucrania como su Banco Nacional, los sistemas informáticos de sus aeropuertos, la compañía estatal de energía e, incluso, los sistemas de medición de radiación de Chernobil.

Según informa la agencia AFP, el virus tiene su origen en Rusia y Ucrania y, de ahí, se está propagando a nivel global. A la espera de conocer la incidencia real del ataque, investigadores de la empresa rusa de ciberseguridad Kaspersky avisan que el virus se extiende “por el mundo entero y sostienen que un gran número de países están afectados”.

El Centro Criptológico Nacional ha informado en un comunicado de prensa de que se han visto afectadas “varias multinacionales con sede en España”, sin entrar en más detalles. Asimismo, a lo largo de las últimas horas, la web del CERT de Seguridad e industria, que informa en tiempo real sobre la respuesta a incidentes, ha registrado un aumento de las incidencias y actualmente cifra en nivel de alerta en un 49%.

Entre los afectados en nuestro país se encuentra la naviera APM terminales, el principal grupo industrial de Dinamarca, que se ha visto obligada a cerrar su terminal ubicada en el Puerto de Barcelona a causa del ransomware. “Hemos cerrado la terminal por motivos de seguridad porque lo primero es la seguridad de nuestros empleados. Estamos intentando resolver la situación para volver a la actividad habitual”, han explicado a Europa Press fuentes de APM Terminals en Barcelona. En total, el ciberataque ha afectado a 17 terminales de carga controladas por la empresa, entre los que se encuentran el de Rotterdam y el de la Ciudad Condal.

Mientras tanto, en la misma línea que el Centro Criptológico Nacional, desde McAfee trabajan con la hipótesis de que el virus que ha provocado el ataque son “variantes modificadas de Petya” sobre las que están recibiendo “múltiples informes”. Raj Samani, responsable de inteligencia estratégica de McAfee, asegura que “este brote no parece ser tan grande como WannaCry pero el número de organizaciones que han sido afectadas es considerable. Según los datos que tenemos hasta ahora, parece que se está usando el mismo método de propagación que WannaCry. Cualquiera que ejecute sistemas operativos que no hayan sido parcheados con motivo de la aparición de WannaCry, podría ser vulnerable a este ataque”.

Al igual que sucedió en el mes de mayo con WannaCry, el sistema empleado en esta ocasión por los piratas informáticos es el del ransomware. Una variante que consiste atacar un sistema informático, encriptar los archivos y solicitar un pago a la víctima a cambio de liberar la información.

El virus muestra unas letras rojas sobre un fondo negro con un mensaje en inglés que reza: “Si estás viendo este texto, tus archivos ya no se encuentran accesibles porque han sido encriptados. Tal vez estés muy nervioso buscando un modo de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de desencriptado“.

A continuación, el mensaje explica que para desencriptar la información es necesario pagar 300 dólares en Bitcoin y enviar la identidad del monedero virtual de la empresa que ha sufrido el ataque junto con un código de verificación que los piratas muestran en las pantallas de los afectados.

Una vez hecho esto, los piratas prometen recuperar “toda la información de un modo fácil y seguro” a través de un código de desactivación que prometen enviar.

Este programa malicioso presenta un aspecto estrambótico al ejecutarse y ha podido ser replicado por el experto en ciberseguridad, Enrique Serrano. “Me he descargado el ransomware , he creado una máquina virtual para evitar que se afecte el sistema y he ejecutado el virus en el sistema haciendo doble click en el fichero. Entonces, salta una pantalla similar al fallo de windows, se reinicia el sistema y el virus modifica el arranque de windows. Entonces, te aparece la imagen de una calavera, te pide que pulses cualquier tecla y salta la pantalla con las instrucciones”, explica.

A diferencia de WannaCry, que comenzaba a cifrar los archivos según se ejecutaba el ransomware, esta modificación de Petya hace que el ordenador deba reiniciarse.

Además, Serrano avisa de que es muy posible que actualmente esté circulando más de una versión de este virus. “Cuando un ciberataque funciona, la gente lo personaliza a para su propio beneficio” buscando ser ellos quienes exploten la debilidad para ganar dinero.

Skype sufre un ciberataque que afecta a usuarios de todo el mundo

Skype sufre un ciberataque que afecta a usuarios de todo el mundo

Skype sufre un ciberataque que afecta a usuarios de todo el mundo

Miles de usuarios de Skype por todo el mundo han experimentando problemas de conectividad en la plataforma a causa de un presunto ciberataque, que se ha atribuido un grupo de hackers portugués conocido como Cyber Team.

La presunta acción de sabotaje digital empezó la noche de del lunes 19 de diciembre y las incidencias en el servicio prolongaron a lo largo de todo el 20 de junio en distintas partes del mundo, generando frustración entre los usuarios de esta plataforma.

El ataque ha afectado de manera distinta a los usuarios. Pese a que algunos de los internaturas son capaces de iniciar la aplicación con aparente normalidad, muchos no son capaces de enviar mensajes de texto a través del programa ni de realizar llamadas de audio y vídeo, que son el servicio más popular de esta plataforma.

La compañía ha reconocido en su cuenta de Twitter la existencia de “incidentes” que “afectan a la conectividad de la aplicación”, aunque no se refieren en ningún momento al suceso como un ciberataque.

Asimismo, en diversas ocasiones, Skype ha creído resulto el problema pese a que usuarios de distintas partes del mundo seguían informando del mal funcionamiento del servicio.

A pesar de que en su última comunicación pública, también a través de Twitter, Skype asegura “haber mitigado el asunto de la conectividad“, continúa habiendo reportes de usuarios, especialmente de Europa, que informan de problemas y deficiencias en el servicio. Según el mapa de calor elaborado por la web especializada en el reporte de incidencias de programas informáticos, Down Detector, las incidencias en el Viejo Continente prosiguen, según muestra su mapa de calor de incidencias georeferenciadas.

Paralelamente, la empresa española especializada en seguridad informática, Panda Security, ha informado que podría tratarse de un ataque de tipo DDoS y apuntan a que la información -datos personales y bancarios de los usuarios en la aplicación- “no se ha visto necesariamente comprometida” por este presunto acto de sabotaje.

Próximo objetivo: Steam

A través de su cuenta de Twitter, Cyber Team ha señalado también cual podría ser su próximo objetivo: Steam. Se trata de una empresa con millones de clientes que se dedica a la venta y gestión de videojuegos para ordenador en todo el mundo, que ha revolucionado la distribución y comercialización de los títulos de esta industria.

 

La Guardia Civil condecora a Chema Alonso

La Guardia Civil condecora a Chema Alonso

La Guardia Civil condecora a Chema Alonso

La Guardia Civil ha condecorado con su medalla blanca al hacker Chema Alonso, por su “colaboración” con el Instituto Armado.

Alonso, que fue fichado por Telefónica hace ahora un año, finalmente tuvo que hacer frente a un gran ataque informático la pasada semana. Posteriormente, en su blog, relativizó los daños provocados por los ciberdelincuentes, pese a que se vivieron horas críticas.

Desde que se detectó el ataque masivo del virus, los encargados de la gestión de crisis se pusieron las pilas. No hubo descanso. Fue un fin de semana frenético. Y en apenas unas horas, los especialistas del Centro Nacional de Inteligencia lograron poner a disposición la vacuna contra este virus.

Un virus que ha provocado cuantiosos daños económicos a nivel mundial pero, que ha demostrado el peligro de los delincuentes del siglo XXI.

Ese día, según explica el CCN, se tuvo constancia de un ciberataque tipo’ ransomware’ en Telefónica, compañía que, según los especialistas, reaccionó con reflejos y fue clave a la hora de hacer frente a esta crisis.

Ese mismo día, entre las 13.40 y las 16.30 el CCN-CERT difundió la primera alerta a su comunidad, de la que forman parte las estructuras estratégicas del Estado y la logística contra el cibercrimen de las grandes empresas del Estado. Y apenas cuatro horas después, los especialistas ya tenían en su poder un parche que reforzaba los ordenadores ante este ataque. A partir de ese momento, el CNI permitió en abierto descargarse este parche informático que permitía sortear este ataque.

Desde entonces, no hace aún ni una semana, han sido ya más de 50.000 las descargas que se han producido de esta vacuna informática del CNI. Pero a día de hoy, según explican fuentes del centro, el número de descargas sigue siendo muy alto: 100 descargas de la vacuna cada hora. Y el ritmo no baja. Según estas fuentes, el parche ha sido utilizado también por el Gobierno belga para inmunizar a sus equipos de los servicios esenciales, fundamentalmente del Ministerio del Interior.

Y, cómo no, el elemento corrector también ha sido esencial en gran parte de las empresas españolas, grandes, medianas y pequeñas. El trabajo ha sido costoso en horas, explican los técnicos, pero insisten en que la incidencia en la Administración central del Estado ha sido prácticamente nula. Recuerdan que la progresión de ataques con ‘ransomware’ es tremenda. En 2015 se detectaron 427 incidentes y en 2016, se llegó a los 2.030.

Chema Alonso quita hierro al ciberataque

Chema Alonso es la figura más mediáticas en lo que a la seguridad de Telefónica se refiere. Poco después de conocerse el gran ataque informático que ha afectado a Telefónica y otras grandes empresas españolas, ha acudido a Twitter para restar importancia y comunicar que están trabajando en resolverlo:

chema alonso tweets

Según el Chief Data Officer de Telefónica, además se trata de un gusano genérico que se ha colado en los sistemas de Telefónica.

En el momento del ataque, Alonso estaba “comiendo” y “de vacaciones”, si bien admite que estaba “trabajando en remoto” para ayudar.

Muchos usuarios de Twitter están culpando a Alonso de contradecirse, pues en sus tuits niega estar dentro de Telefónica y que la seguridad no depende de él directamente a pesar de que en la web corporativa de la compañía se asegura que es “responsable de la ciberseguridad global y de la seguridad de los datos”.

El nombramiento de Chema Alonso fue duramente criticado por muchos expertos en seguridad, apuntando a que era una figura sin la formación adecuada y que Telefónica lo nombraba como una maniobra para cambiar la imagen de la empresa en este apartado.