Las astucia de los ciberdelincuentes muchas veces hace posible la aparición de nuevos ataques. El conocido como pastejacking es la sensación del momento y en las últimas semanas está de moda su uso. Sin embargo, aunque hemos indicado que es nuevo en realidad esta afirmación no es del todo correcta.
Más conocido por “clipboard jacking”, este tipo de ataque carece en la mayoría de las ocasiones de sentido, sirviendo cuando el usuario ha copiado algún contenido al portapapeles para pegarlo en su equipo. Tal y como ya hemos mencionado no se trata de un ataque novedoso, ya que podría decirse que la primera versión de este hacía uso de las hojas de estilo (conocidas como CSS) para conseguir de forma eficaz modificar el contenido copiado por el usuario.
En esta ocasión, todo parece indicar que los ciberdelincuentes han abandonado esta vía y se han entrado en la utilización sobre todo de JavaScript. Los expertos en seguridad afirman que esta nueva versión es mucho más eficaz que la anterior, ya que permite responder a un evento en un tiempo menor y modificar de esta forma el contenido del portapapeles.
Añaden que la utilización de JavaScript es un auténtico problema para los usuarios, ya que es muy difícil de detectar y también de erradicar.
DESCRIPCIÓN DE PASTEJACKING
La técnica consiste en detectar el copiado de cierta información para ejecutar el script que lleva a cabo la modificación del contenido. Algo que es instantáneo y que tiene una clara ventaja con respecto a CSS. Mientras en el último caso el usuario debe seleccionar todo el texto para introducir el código malware, en el actual solo es necesario seleccionar parte o un solo carácter para que el script lleve a cabo su cometido.
LAS PÁGINAS HACKEADAS JUEGAN UN PAPEL IMPORTANTE
Resulta bastante habitual encontrar hoy en día páginas que están afectadas por fallos de seguridad y que distribuyen malware. Partiendo de esto, los ciberdelincuentes podrían a partir de ahora utilizar estas para añadir el código JavaScript correspondiente y así llevar a cabo el pastejacking sin que el usuario se percate de lo que está sucediendo. Además, este podría distribuir su amenaza de forma totalmente gratuita gracias a la página hackeada.
Los expertos en seguridad ya han confirmado que se trata de un ataque muy difícil de detectar y que en un futuro no muy lejano puede ser la tónica a la que los usuarios deban hacer frente.
Aquí les dejo un simpático manual que realicé para mis estudiantes de la materia Diseño e Implementación de Seguridades, donde muestro paso a paso la instalación de Kali Linux en una partición de nuestro disco duro teniendo instalado como Sistema Operativo principal, Windows.
Los ciberdelincuentes y los «spammers» son muy pocos los lugares seguros en el internet. Evidentemente ambos van por nuestra información personal, cada uno con un objetivo bastante específico y muy común en ellos, pero muy peligroso. Los spammers nos ingresan en listas de distribución de correos de productos y/o servicios que no necesitamos, mientras que los ciberdelincuentes utilizan nuestra información para suplantarnos, robarnos e incluso para secuestrarnos. Siendo el «ransomware» el ciberdelito que más creció en el 2015.
Si bien es cierto a diario utilizamos lo que hoy conocemos como «red social», cada una con sus diferentes aplicaciones. Sin embargo, nunca nos fijamos en los posibles métodos, trampas y trucos para engañarnos y poder acceder a nuestra información personal. Esto en el ciberespacio se lo conoce como #TrampasDeInternet, y las hay de todo tipo.
La red social #LinkedIn surgió como un punto de encuentro de profesionales en diferentes ramas de la ciencia, permitiendo compartir contenido, experiencias y hojas de vidas para posibles oportunidades laborales. Hoy también es una plataforma a la que nuestra información personal se encuentra un poco expuesta, siendo antes aquella plataforma que con toda seguridad podíamos compartir nuestro número de teléfono y correo electrónico personal.
En días pasados tuve la oportunidad de toparnme con esta situación:
1.- Petición de número de teléfono y correo electrónico para compartir contenido.
Aquí podemos apreciar lo siguiente: alguien ofrece contenido académico y solicita correos electrónico para el envío de información, mientras que en el otro caso se observa la solicitud de número de teléfonos celulares para formar un grupo de Whatssap, especializado en alguna temática.
Ambos caso y son dudarlo terminan formando parte de una lista de distribución de productos y/o servicios no deseados o quizás en manos equivocadas que pueden poner el riesgo nuestra integridad personal. Lo curioso de todo esto es que así como la persona que solicita dicha información, también los que la entregan tiene acceso a toda la información de los demás participante de dicha convocatoria.
Cuando realizamos auditorías de seguridad, por lo general nos topamos con una infinidad de equipos conectados a la red:
Impresoras
Switches
Routers
Cámaras
Sistemas de control
etc.
Todos y cada uno de ellos tienen o suelen tener, lo que llamamos contraseñas por defecto o de fabrica que si un administrador cauteloso no ha eliminado o modificado previamente en el proceso de administración e implementación, quedarán ahí hasta el final de los tiempos.
En Internet existen miles de sitios web que han hecho el trabajo de recopilar estas contraseñas, para que en nuestras labores de auditoría nos sea sencillo encontrar una puerta trasera para acceder a todos estos activos. Un ejemplo es http://www.defaultpassword.com/ donde podemos encontrar por lo menos unas 2.000 contraseñas diferentes:
Aquí los dejo con una guía para empezar con Kali Linux. En primer lugar, hay dos formas de instalar y utilizar Kali Linux, una instalación completa, o en alguna caja virtual como VMware o Virtual Box. Puede descargar VMware o Virtual Box haciendo clic en sus respectivos nombres. Yo personalmente prefiero Virtual Box, ya que tiene casi todas las características de VMware y es un programa gratuito (OMFG es gratis!). Y Kali descarga desde aquí.
Sólo hay diferencia de unos pocos pasos; que se sumarán a los usuarios de máquinas virtuales. Así que, yo sólo voy a demostrar a los usuarios Virtual Box.
Ahora, un paso muy importante, que tiene que permitir la visualización de su BIOS. Esto es diferente para todas las placas base, por lo que Google cómo hacerlo para su placa específica. Luego sólo tienes que seguir las capturas de pantalla a continuación.
Ahora que tiene Virtual Box y Kali Linux, es el momento de poner las cosas en marcha.Virtual Box Open, que se verá algo como esto, sin las máquinas virtuales a la izquierda.
Para crear una máquina virtual, haga clic en “Nuevo”,
Nombre que se le quiera, a continuación, haga clic en “Siguiente”. Se le pedirá que seleccione la cantidad de RAM que desea reservar para su máquina virtual.
Ahora, va a pedir la asignación de espacio en disco duro, acaba de salir a la opción por defecto, “Siguiente”!
Aquí, seleccione “VHD”, “Siguiente”,
Seleccione “asignado dinámicamente”,
Aquí, seleccione el tamaño deseado del disco duro virtual,
Ha creado una máquina virtual. ¡Adiós!
Solo bromeo…. todavía hay un montón.
Ahora, haga clic en Configuración> almacenamiento> haga clic en la imagen de CD en la esquina de la derecha, como se muestra. Ahora vaya a la imagen descargada. Haga clic en Aceptar.
¡Ya está completa. Haga clic en Inicio.
Por normal (no-VM) usuarios siguen a lo largo de aquí. Voy a estar explicando todas las maneras que usted puede instalar y utilizar Kali.
El primero es “Live” esta opción no guarda ningún cambio en su cuenta de Kali … es como desinstalar Kali cada vez que se apaga.
Entonces, hay persistencia, éste es exactamente opuesta a la primera, lo que ahorra todos los ajustes y datos.
Ahora, para la más importante para los usuarios que no VM (por lo menos yo lo creo: 3).Una nota preliminar – por favor haga una unidad flash de arranque (más de 8gigs se recomienda) con el Kali Linux .iso que se descarga; la persistencia y la perseverancia cifrada sólo funcionarán en unidades flash.
Por persistencia, hay muchas maneras de hacer esto, voy a describir el método Linux.
Tipo “gparted / dev / sdb”, encontrará “/ dev / sdb1 / dev / sdb2” y “zona sin asignar” haga clic derecho dentro de la sección no asignado, a continuación, seleccione nuevo en el menú desplegable que aparece. Crear una partición primaria, elija “ext 4” como el sistema de archivos, y la etiqueta de la partición con la palabra: “persistencia”. Haga clic en “Añadir” y luego “Aplicar” y dejar que el formato de computadora la partición en “ext 4” con la persistencia de la etiqueta. Cuando se haya completado el proceso de abrir una ventana de terminal y escriba lo siguiente:
“Reiniciar y arrancar la máquina con Kali y seleccione” Persistencia de USB Vivo “.
Para persistencia cifrada, es un proceso muy largo … así que … lo hará en un post más adelante.
Ahora el último, instalar … es sólo como parece, se instala de forma permanente kali Linux … esto es para las personas que deseen utilizar kali como su conductor diario.
Ahora, eso de que haya arrancado kali, aquí hay algunas cosas útiles que usted podría hacer la puesta en marcha y algunas correcciones para algunos problemas comunes.
En primer lugar, vamos a actualizar y actualizar nuestra instalación,
Tipo “apt-get clean && apt-get update && apt-get upgrade –y”.
Otro gran problema que he notado es que el sonido es siempre silenciado, para solucionar este problema, abra una ventana de terminal, escriba” apt-get install alsa-utils -y “, a continuación, haga clic derecho en el icono de volumen pequeño en la esquina superior derecha y seleccione Preferencias de sonido, cambiar el regulador de volumen de salida en ON. ¡Hecho!
Siempre me he preocupado porque la gente le dé un buen usa a las contraseñas y sobretodo a que sepan el valor que tiene cada una, pues detrás de ellas no solo está nuestra información personal sino muchas veces nuestro futuro.
La protección de las contraseñas no sólo es responsabilidad de los administradores de los sistemas, cuando hablamos en una empres, también es responsabilidad del usuario, ya que al comprometer una cuenta se puede estar comprometiendo todo el sistema.
«Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus amigos».
Luego de haber leído mucho acerca de seguridades y poniendo en práctica los conocimientos adquiridos con el tiempo, comparto los siguientes consejos que pueden tomarlos en cuenta tanto el usuario final como los administradores de sistemas:
Jamás configurar contraseñas con los números de cédulas ni con nombres de familiares. (usuario).
Cambiar las contraseñas regularmente. (usuario / administradores)
Jamás permitir cuentas de usuario sin contraseñas. (administradores)
Como usuario cuando nos asignan una contraseña siempre lo primero que debemos hacer es cambiarla. (usuario).
Jamás compartamos nuestra contraseña con amigos o familiares. (usuario)
No tener una agenda física de contraseñas, y si se lo hace no permitir que nos asocien con ellas. (usuario / administradores).
Si tenemos a alguien a nuestro lado y debemos teclear nuestra contraseña hagámoslo viendo a los ojos de quien esta a nuestro lado, esto evitará o nos permitirá mantener el contral de la situación para que no vean lo que tecleemos. Pues siempre es recomendable no mirar el teclado cuando tecleamos nuestra contraseña. (usuario)
Jamás envíes contraseñas por correo electrónicos ni mensajes de textos. (usuario)
Mientras más caracteres tenga nuestra contraseña es más difícil de averiguarla y mucho mejor si la combinamos con caracteres especiales y números. (usuario/administradores)
Espero les haya servido de mucho y que sobretodo aprendamos a valorar lo que existe detrás de nuestras contraseñas.
La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony han ubicado al tema de la fuga de información entre los más discutidos y controversiales de la agenda de medios. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.
“La existencia misma del caso Wikileaks determinó un antes y un después en cuanto a lo que a fuga de información se refiere. No es que antes no ocurriera, sino que- en la mayoría de las ocasiones- las fugas no se hacen públicas para salvaguardar la imagen de las empresas e instituciones. Además, el incidente permitió entender que si este tipo de incidentes puede sucederle a organizaciones tan grandes y preparadas, podría ocurrirle también a empresas y organizaciones más pequeñas”, aseguró Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica.
Con el primordial objetivo de contribuir con la educación e información de las empresas para alcanzar una mejor política de seguridad de la información, los especialistas de ESET han elaborado los 10 mandamientos de la seguridad corporativa, entendidos como los principios básicos que deben regir la protección de la información en las empresas:
1.- Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.
2.- Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta anti-spam estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.
3.- Educarás a tus usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de Ingeniería Social- es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.
4.- Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.
5.- Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica elaborado por ESET, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.
6.- No utilizarás a IT como tu equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.
7.- No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.
8.- No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.
9.- No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.
10.- No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.
“Todas las empresas están preparadas para afrontar el desafío de proteger su información. Para comenzar con ello, consideramos que conocer e implementar estos principios es un muy buen primer paso que ayudará con la implementación de correctas metodologías para cuidar información de su compañía. Es fundamental entender que cuidar la información es, sencillamente, cuidar el negocio”, agregó Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.
BitDefender ha localizado una oleada de spam que está utilizando como cebo una supuesta actualización de las contraseñas de Facebook para distribuir malware entre los usuarios de Internet.
El proceso comienza cuando el usuario recibe en su bandeja de entrada un email en el que se le dice que se está enviando spam desde su cuenta de Facebook y que, por ello, su contraseña ha sido cambiada. En el texto también se le dice que en el archivo adjunto podrá encontrar su nueva contraseña.
Si el usuario descarga y abre el archivo – que se encuentra en formato .zip bajo el nombre de New_Password – en realidad estará introduciendo en su equipo una copia de un Backdoor, identificado por BitDefender como Trojan.Generic.KDV.194478.
Éste ejemplar de malware está diseñado para permitir el acceso del atacante al ordenador y descargar en el mismo otros ejemplares de malware cuyo objetivo es robar los nombres de usuarios y contraseñas de cuentas FTP, correo electrónico, programas de mensajería instantánea, etc.
“Esta técnica ha sido usada con anterioridad en muchos ataques de phishing. Que los ciberdelincuentes utilicen ahora Facebook como cebo sólo demuestran que están siempre listos para aprovechar aquellas modas, noticias, o inquietudes que más preocupan a los usuarios para tenderles una trampa», explica Jocelyn Otero Ovalle, Directora de Marketing de BitDefender para España y Portugal.
Los expertos en seguridad han realizado un balance del estado de la seguridad durante los tres primeros meses del año y el panorama no es nada alentador, ya que el número de nuevas amenazas ha aumentado un 26% con respecto al año anterior y se han producido graves incidentes.
Uno de ellos ha estado protagonizado por la plataforma móvil de Google que se ha convertido en uno de los blancos preferidos para sus ataques debido a su enorme crecimiento.
Los ciberdelincuentes consiguieron colocar en el Android Market más de 50 copias fraudulentas de aplicaciones originales que infectaban a los usuarios y permitían a los hackers acceder al terminal y tomar el control de forma remota.
Otro de los protagonistas de la inseguridad durante el primer trimestre ha sido Facebook. La amenaza más grave que se ha detectado en la red social fue lanzada por un joven californiano de 23 años que consiguió acceder a las direcciones de correo de un buen número de usuarios para robar datos personales y después chantajearles con su publicación.
En la lista de incidentes graves también figura el ataque de Anonymous dirigido contra la firma de seguridad norteamericana HBGary Federal tras unas declaraciones de su CEO en las que aseguraba poseer información de los responsables de este grupo ciberactivista.
Los expertos alertan de que la mayoría de las amenazas detectadas en lo que llevamos de año son troyanos orientados al robo de datos bancarios.
Siempre me he preocupado porque la gente le dé un buen usa a las contraseñas y sobretodo a que sepan el valor que tiene cada una, pues detrás de ellas no solo está nuestra información personal sino muchas veces nuestro futuro.
La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony han ubicado al tema de la fuga de información entre los más discutidos y controversiales de la agenda de medios. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.
Los expertos en seguridad han realizado un balance del estado de la seguridad durante los tres primeros meses del año y el panorama no es nada alentador, ya que el número de nuevas amenazas ha aumentado un 26% con respecto al año anterior y se han producido graves incidentes.