Octubre es el mes internacional de la ciberseguridad, por lo que a lo largo de las últimas semanas se han realizado muchas acciones de concienciación para evitar que las amenazas que nos rodean tengan efecto. A lo largo del mes, ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, ha observado diferentes patrones entre los ciberdelincuentes, entre los que destacan los ataques DDoS realizados desde el denominado Internet de las Cosas o nuevas estafas con falsas llamadas de soporte técnico.
Internet de las cosas y ataques DDoS
Los ataques a dispositivos de todo tipo conectados a Internet cobran cada vez más importancia. Este mes hemos visto cómo estos dispositivos son utilizados también para lanzar ataques importantes e incluso para dejar sin acceso a servicios utilizados por millones de usuarios.
Un ejemplo de estos ataques ocurrió el pasado 21 de octubre. El causante de esta incidencia fue un ataque generado principalmente desde dispositivos del Internet de las cosas como cámaras IP, routers o grabadores de vídeo. La magnitud del mismo (sin precedentes hasta ese momento) y el hecho de que su objetivo fuera una empresa que gestiona un servicio DNS provocó que servicios como WhatsApp, Twitter, Netflix, Paypal, Spotify o Playstation Network estuvieran casi inaccesibles durante varias horas, especialmente para los usuarios de la costa este de los EEUU. Las investigaciones posteriores revelaron que la botnet Mirai tuvo una importante implicación en este ataque, algo que no extrañó a los investigadores porque apenas unos días antes se había filtrado el código fuente de esta botnet.
Mirai había estado dando guerra durante la primera mitad de octubre debido a los ataques de denegación de servicio distribuidos realizados contra la web del periodista Brian Krebs y contra el proveedor de alojamiento francés OVH. Durante varios días se sucedieron ataques de una alta intensidad hasta que el botmaster de Mirai decidió abandonar el proyecto y liberar el código fuente de esta botnet.
“La utilización de dispositivos del IoT para lanzar este tipo de ataques no es nuevo pero la magnitud de los que hemos observado recientemente es preocupante”, comenta Josep Albors, director del laboratorio de ESET España. “El principal problema es que no habrá una solución a corto plazo, puesto que los fabricantes de este tipo de dispositivos no suelen tener la seguridad entre sus prioridades”, continúa.
Falso soporte técnico
Entre las amenazas más destacadas de octubre en España hay que señalar la que se conoce como la del “falso soporte técnico”. En España ya vimos algún intento hace tiempo, sin mucho éxito. Sin embargo, durante el mes pasado los delincuentes utilizaron una técnica más elaborada en forma de falsa pantalla de error de Windows con un teléfono de contacto supuestamente de Barcelona. En caso de que el usuario mordiera el anzuelo, era atendido por un operario que hablaba español con acento sudamericano (mucho más comprensible que el español hablado en casos anteriores por gente que no tenía este idioma como lengua materna) y que le iba guiando para que instalase una herramienta de control remoto y así engañarle con indicios falsos de problemas en el sistema para que el usuario terminase pagando un servicio que no necesitaba.
Otro caso llamativo fue el del malvertising, o anuncios maliciosos, que se estuvieron propagando durante unas horas entre los usuarios del servicio gratuito de streaming de música, Spotify. Durante unas horas se estuvieron abriendo ventanas en los navegadores de estos usuarios que los dirigían a anuncios de apuestas online, sorteos e incluso algún anuncio relacionado con estafas conocidas.
El ransomware tampoco faltó a su cita mensual. El laboratorio de ESET España detectó numerosos ejemplos en octubre. Nemucod fue utilizado, de nuevo, para infectar y descargar muestras de ransomware utilizando en esta ocasión ficheros .hta, que son abiertos por defecto en el navegador Internet Explorer. El impacto registrado en España de esta nueva campaña de propagación de Nemucod fue importante, llegando durante algunos días a alcanzar el 40% de las muestras detectadas en nuestro país por el servicio ThreatSense© de ESET.
Vulnerabilidades en Microsoft y Adobe
Varias han sido las vulnerabilidades detectadas en sistemas operativos y aplicaciones instaladas en millones de sistemas. Microsoft solucionó nada menos que cinco vulnerabilidades 0-day en los boletines de seguridad que publicó el segundo martes de octubre. De la misma forma, Adobe aprovechó ese mismo día para publicar varios boletines de seguridad que solucionaban decenas de vulnerabilidades en sus productos.
Sin embargo, a finales de mes tanto Adobe como Microsoft tuvieron que reaccionar ante el aviso de Google de nuevas vulnerabilidades. Adobe tardó apenas cinco días en publicar un nuevo parche de seguridad para solucionar estas nuevas vulnerabilidades en Adobe Flash pero Microsoft no reaccionó tan rápido y, pasados 10 días desde el aviso, Google publicó detalles de estas vulnerabilidades, puesto que había observado cómo estaban siendo utilizadas en ataques dirigidos. Este hecho molestó bastante a Microsoft, que alegó no haber dispuesto de tiempo suficiente para preparar un parche de seguridad y que la publicación de Google ponía en riesgo a millones de usuarios. Sin embargo, desde Microsoft también indicaron medidas para mitigar posibles ataques, medidas que, no obstante, pasan por tener instalada la última versión de Windows 10.
Pero Microsoft y Adobe no fueron los únicos que tuvieron vulnerabilidades críticas durante el pasado mes. También se desveló una de esas vulnerabilidades mediáticas con web y logo propios en el sistema operativo Linux (y Android). A esta vulnerabilidad se le llamó Dirty Cow y lleva sin estar solucionada la nada despreciable cantidad de 11 años. De hecho, el propio Linus Torvalds ya intentó solucionarla en su día sin éxito, aunque ahora que se le ha dado más visibilidad parece que las principales distribuciones de Linux ya se han puesto manos a la obra para solucionarla. Esta vulnerabilidad aprovecha un fallo en implantación de la técnica utilizada para copiar ficheros en Linux (entre otros sistemas operativos modernos), conocida como Copy-on-Write. Al parecer, si no se realiza correctamente o se copia información en una ubicación errónea de la memoria se permitiría una escalada de privilegios en el sistema. Esto haría que un usuario con permisos limitados pudiera conseguir privilegios del usuario con mayores permisos del sistema, es decir root.
