Resumen Trimestral de Amenazas 2014, volumen III: vulnerabilidades en sistemas… y en usuarios

Tras el cierre del tercer trimestre del año, les presentamos un nuevo Resumen Trimestral de Amenazas, que se destaca por la presencia de vulnerabilidades en dos sentidos: fallas y bugs en sistemas, como es habitual -basta recordar el reciente caso de Shellshock- y también en lo que respecta a la conducta de los usuarios, blancos de ataque que se siguen viendo afectados por incidentes como robo de credenciales.

De esta forma, hemos sido testigos de la masiva filtración de fotos íntimas de famosas, con Jennifer Lawrence a la cabeza y una larga lista que incluyó a Rihanna, Kim Kardashian, Ariana Grande y Kate Upton, entre muchas otras. ¿Cuál fue aquí la “vulnerabilidad”? Contraseñas de acceso débiles, responsabilidad del usuario detrás de la cuenta -y no una falla en el servicio que almacenaba las fotos, en este caso, iCloud.

Entonces, ¿qué conclusión nos arroja lo sucedido entre julio y septiembre de este 2014? Que las vulnerabilidades, además de estar presentes en los sistemas web, también radican en los agujeros de seguridad que dejan los usuarios en su comportamiento como internautas. Hagamos un repaso por los hechos de este último trimestre que nos lo demuestran.

Vulnerabilidades en sistemas y protocolos de comunicaciones

En el ámbito de la seguridad de la información, se definen como una debilidad que se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas, lo que deriva en un riesgo de seguridad.

A esta altura, ya no quedan dudas de que 2014 ha sido un año en el que las fallas reportadas han estado a la orden del día -¡y con creces! En We Live Security hemos reportado unas cuantas en los últimos meses, pero a continuación recordemos las más resonantes:

Shellshock: servidores web, routers, smartphones y computadoras en peligro

A fines de septiembre salió a la luz Shellshock, una grave vulnerabilidad en Bash que rápidamente ocupó el centro de la escena y tomó una gran dimensión. Incluso de la ha comparado con Heartbleed, la falla en OpenSSL que afloró en abril. Sucede que Bash es el intérprete de comandos más utilizado en GNU/Linux y muchos otros sistemas basados en Unix como Android y Mac OS X.

La vulnerabilidad descubierta permitiría la ejecución remota de código para así obtener el control del sistema, ya que no se validan de forma correcta las funciones que declara Bash. De todas formas, hay ciertas medidas de seguridad que se pueden implementar a modo de respuesta a respuesta a Shellshock en sistemas Mac OS X, servidores web, routers y otros dispositivos.

“La publicación de esta vulnerabilidad ha servido para que una gran cantidad de usuarios cierren una puerta de entrada a los atacantes que llevaba mucho tiempo abierta. No obstante, queda aún por resolver la problemática sobre cómo actualizar los millones de dispositivos que conforman el Internet de las cosas y que seguirán siendo potencialmente vulnerables durante un tiempo”, dijo Josep Albors, Director del Laboratorio de ESET España.

BadUSB: la amenaza “invisible”

En julio supimos de BadUSB, una nueva amenaza que asustó a muchos usuarios pero que, como dijimos en We Live Security, no es el apocalipsis. Se trata de una forma prácticamente imperceptible de saltear las protecciones que normalmente se instalan para evitar infecciones en dispositivos USB como pendrives, aunque también podría aplicarse a teclados, mouse, cámaras web o discos duros externos.

Los investigadores que hallaron la falla analizaron el filtrado de uno de los mayores fabricantes de chips de control para dispositivos USB y le aplicaron ingeniería inversa y heurística. Con esto consiguieron modificar el firmware,  que supervisa las funciones más básicas de las pequeñas unidades, para añadirle funcionalidades adicionales. De esta forma, para el atacante sería posible cargar un exploit en la computadora de la víctima, alterar el tráfico de red, cambiar las DNS, crear puertas traseras en el software instalado o incluso simular un teclado con el que introducir comandos.

La solución a BadUSB no es sencilla y aún no hay algo definitivo. De hecho, la semana pasada vimos cómo un parche publicado en Github proponía ser una solución a BadUSB pero presentando algunas salvedades y dificultades técnicas que la limitan a una prueba de concepto difícilmente aplicable para la mayoría de los usuarios.

WordPress, ¿en el ojo de la tormenta?

La plataforma de gestión de contenidos ha sido protagonista más de una vez en lo que refiere a bugs en el último tiempo. Uno de los problemas de seguridad que tuvo afectó a más de 50 mil sitios y estaba relacionado con Mailpoet, plugin utilizado por desarrolladores para enviar newsletters y gestionar suscriptores.

La falla básicamente le permite a un atacante subir cualquier archivo (malicioso) a los servidores vulnerables, lo que a su vez permitiría que el sitio afectado sea utilizado para inyecciones de malware, defacements y envío de spam sin que sea necesaria una autenticación. El backdoor que instala crea una cuenta de administrador que le da a los atacantes el control total, e inyecta código en todos los archivos de temas (themes). Además, sobreescribe archivos que luego son difíciles de recuperar si no existe un backup actualizado.

Anteriormente, y si bien no se registraron en este último trimestre, hubo otros problemas de seguridad en WordPress: vulnerabilidades en el plugin All in One SEO Pack y también un 0-Day en el complemento TimThumb. Sin embargo, merece la pena mencionarlas ya que nos demuestran que esta popular plataforma es constantemente utilizada por los cibercriminales como escenario de ataque, debido a que cuenta con una enorme cantidad de usuarios.

Y también, vulnerabilidades… ¿humanas?

Si bien el término tal como lo solemos usar refiere, como decíamos más arriba, a debilidades en sistemas, nos permitimos trazar un paralelismo y hablar de “vulnerabilidades”… pero en el comportamiento de los usuarios. Y es que las medidas de seguridad débiles y los controles insuficientes derivan en incidentes que comprometen su privacidad, la confidencialidad de sus datos sensibles e incluso su identidad.

Sin dudas, el caso más resonante y el que puso nuevamente sobre la mesa el tema del resguardo de datos, fue la filtración de fotos íntimas de Jennifer Lawrence y muchas otras celebridades. Comenzó con un supuesto “hacker” que decía tener en su poder cientos de fotos de famosas, y las iría publicando con el correr de los días.

Lo cierto es que muchas resultaron víctimas y todo lo acontecido nos dejó la conclusión de que la seguridad comienza por el usuario. ¿Por qué? Porque más allá de que los sistemas, aplicaciones y navegadores deben garantizar la seguridad de las comunicaciones, proporcionar las actualizaciones correspondientes para evitar la explotación de posibles vulnerabilidades, y proteger a sus usuarios a nivel integral, una gran parte de esta protección recae en ellos.

Pensemos que un tiempo atrás, cuando Scarlett Johansson fue víctima del robo de fotos íntimas, Christopher Chaney logró ingresar a su cuenta de correo porque las respuestas a sus preguntas secretas eran débiles y fácilmente adivinables.

El caso de Jennifer Lawrence y las demás celebridades alcanzadas en el último mes estuvo relacionado con un ataque dirigido a sus cuentas de iCloud, el servicio de almacenamiento en la nube de Apple. Tal como afirmó en su momento la compañía, no se trató de una brecha en sus sistemas sino, en gran medida, de prácticas deficientes de seguridad que le facilitaron la tarea a los atacantes.

Es por eso que nos referimos a los usuarios como vulnerables y hablamos de fallas en su comportamiento, aunque no se trate de vulnerabilidades en su sentido estricto a nivel informático.

¿Por qué será que dicen que la curiosidad mató al gato?

Por otro lado, sigue presente en el comportamiento de los internautas otra persistente “falla”: el hecho de que muchos siguen cayendo en viejas trampas como campañas de phishing o scams que aprovechan noticias de impacto o el nombre de entidades reconocidas. Por supuesto, hay que reconocer que los cibercriminales perfeccionan cada vez más sus técnicas y disimulan mejor sus ataques, pero de todas formas, muchos tienen éxito gracias al descuido de las víctimas.

En la mayoría de las ocasiones, sucede que noticias o hechos relevantes, de interés internacional, son rápidamente utilizados como gancho para propagar amenazas. Y en este sentido, los atacantes detrás no muestran escrúpulos. En septiembre, vimos cómo la muerte del actor Robin Williams se utilizaba en un scam que prometía un supuesto video con sus últimas palabras.

El contenido no existía, ya que se trataba de un engaño en el cual se pedía al usuario que comparta el video en su perfil de Facebook. Pero una vez hecho esto, tampoco era posible al contenido, porque se abría otra ventana que pedía un número de teléfono. Los ciberdelincuentes utilizan esta modalidad de Ingeniería Social para direccionar tráfico al sitio web, y lo que sucede en la mayoría de los casos es que cuantas más personas intentan visualizar el video, más dinero gana el atacante.

Con algunas variaciones en los detalles, los demás scams que circulan por las redes sociales funcionan de manera similar, aprovechándose de usuarios curiosos que buscan información de impacto o siguen un enlace con un título atractivo. En los últimos meses vimos decenas de casos, como por ejemplo la caída del vuelo MH17 con un falso homenaje a víctimas, o el lanzamiento del iPhone 6 en un falso sorteo.

Es por esto que reforzamos la necesidad de aplicar buenas prácticas de seguridad como contraseñas fuertes y robustas, el cifrado de información personal, la implementación de doble autenticación y, por supuesto, el sentido común. Recuerden que todo lo que suben a Internet, ¡queda allí!

Autor , ESET

Síguenos