Tenemos el agrado de compartir con ustedes una vez más el reporte de amenazas y tendencias correspondiente a abril, mes en el que continuamos con nuestra exitosa Gira Antivirus a través de Latinoamérica. Primero fue el turno de Ecuador, país en donde estuvimos presentes en dos ciudades, Guayaquil y Quito. Luego, tuvimos una semana muy agitada en donde diversos integrantes del equipo de Educación e Investigación de la compañía, visitaron más países como México, Venezuela y Costa Rica, brindando en todos ellos, charlas de concientización en universidades y en el caso de los primeros dos, también nuestro evento corporativo ESET Security Day 2012. Aprovechamos la ocasión para recordarles a los estudiantes que aún están a tiempo de participar en el Premio Universitario ESET 2012. El ganador tendrá la posibilidad de viajar a Dallas, Estados Unidos, con todos los gastos pagos, para poder participar en el evento Virus Bulletin 2012:

  • Uno de los principales temas del mes fue la continuidad en la propagación de OSX/Flashback, troyano que logró reclutar miles de computadoras Mac demostrando no sólo que una botnet es posible en otros sistemas más allá de Windows, sino también que el eslabón más débil son los propios usuarios y no necesariamente el nivel de seguridad implementado tecnológicamente en un sistema operativo. Las personas son quienes deben adoptar un comportamiento precavido y adecuado con el fin de evitar ser víctimas del cibercrimen sin importar cuál software o plataforma utilicen. Continuando en esta línea, destacamos el análisis de inteligencia realizado por nuestros investigadores de ESET sobre OSX/Lamadai, quienes descubrieron algunos aspectos del modo de operar de los controladores responsables de esta botnet.
  • Durante abril también pudimos observar cómo una clásica pero aún efectiva táctica para obtener información financiera –el phishing–, evolucionó para maximizar el rédito económico por parte de los ciberdelincuentes. A través de la tecnología de geolocalización, los cibercriminales están comenzando a emplear este método con el fin de que sólo aquellos usuarios que forman parte de los objetivos o target de estos grupos delictuales, puedan acceder al phishing. De este modo, nuestro laboratorio encontró un caso que afectaba a un importante banco de Brasil y cuyo contenido era accesible solamente desde ese país. Mediante esta técnica, los responsables se aseguran de obtener información válida que sea de utilidad y que el phishing, tenga una duración mayor al pasar inadvertido por usuarios de otros países que podrían contribuir a darlo de baja.
  • Prueba de la efectividad que caracteriza a la técnica del phishing son los 31.000 usuarios que se vieron afectados por el robo de sus nombres de usuarios y contraseñas de Twitter. El motivo, un phishing que seducía a las potenciales víctimas mencionando que se estaban haciendo comentarios malintencionados de estas a través de la red social. Una vez que el usuario visitaba el enlace malicioso, se le solicitaban sus credenciales con la excusa que la sesión había expirado debido a un período de inactividad prolongado. Algo a destacar de esta situación fue que dentro de la lista de víctimas, habían personas relacionadas a sectores gubernamentales, educativos y otros, demostrando que la educación no sólo es necesaria para los usuarios finales sino que para todos por igual.
  • Con respecto a usuarios y contraseñas mencionar que cPanel, conocida herramienta de administración web, podría exponer datos sensibles si el administrador no emplea correctamente este programa. Mediante la creación de un archivo que expone dicha información, buscadores como Google pueden exponer esas credenciales si el usuario no borra dicho fichero. Por otro lado, la encuesta de abril, que mes a mes realizamos en ESET Latinoamérica arrojó algunos aspectos preocupantes con respecto a cómo los usuarios manejan el tema de las contraseñas. Un 36,7% de los encuestados afirma utilizar una o pocas contraseñas para todos los servicios, lo que equivaldría a tener una única llave para la casa, bodega, caja fuerte y oficina, exponiendo innecesariamente información valiosa.
  • El prolífico gusano Dorkbot sigue haciendo de las suyas. A través de Ingeniería Social, los cibercriminales responsables de esta amenaza propagaron este código malicioso haciendo alusión a un supuesto mensaje multimedia (MMS) que le habría llegado al usuario. Por otro lado, se dio a conocer oficialmente que el FBI retirará los servidores DNS que implementó de forma temporal para no dejar sin conexión a Internet a los usuarios afectados por el malware Win32/DNSChanger. Aquellos que sigan infectados podrían quedarse sin acceso a la web si pasado el 9 de julio próximo, no remueven el código malicioso de sus sistemas.
  • Finalmente, destacamos algunas tendencias relacionadas al mundo de la telefonía móvil y la seguridad. En primer lugar, algunos investigadores determinaron que las aplicaciones mobile de Facebook, LinkedIn y Dropbox son susceptibles al robo de contraseñas debido a que almacenan en texto plano, las credenciales de acceso a estos servicios. Sumado a lo anterior, un estudio de PwC demostró que a nivel corporativo, las empresas no están adoptando las medidas de seguridad necesarias con respecto a los smartphones de los empleados y cómo estos utilizan los recursos de la compañía. Por último, nuestro laboratorio realizó un informe que explica la evolución que han tenido los códigos maliciosos para Android y la detección de un troyano específico para usuarios de Latinoamérica y España que tiene como objetivo, obtener información bancaria de la víctima y otorgarle el control del dispositivo al atacante.

Para obtener mayor información sobre las amenazas destacadas de abril, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

André Goujon
Especialista de Awareness & Research