El mes de octubre, desde el punto de la vista de la seguridad, se ha caracterizado de nuevo por la información publicada acerca de los casos de espionaje realizado por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos a países aliados. Si bien hasta ahora se sabía que este espionaje se realizaba a ciudadanos de todo el mundo, las informaciones publicadas las pasadas semanas revelaron que importantes cargos políticos o empresas también se encontraban en el punto de mira de esta agencia.
La canciller Angela Merkel fue la primera en mostrar su indignación al comprobarse que su teléfono móvil había sido monitorizado durante diez años. A esta protesta siguieron otras más, principalmente de países europeos que acusaban a los Estados Unidos de espiar a sus aliados. Sin embargo, estas acusaciones terminaron afectando también a aquellos países que se consideraban víctimas, al comprobarse en otro documento filtrado por Snowden que estos países (entre los que se encuentra España) proporcionan periódicamente información a la NSA de todas las comunicaciones que interceptan, incluyendo llamadas de móvil o correos electrónicos, entre otros.
“Sinceramente, toda esta polémica sobre el espionaje entre países resulta un poco absurda tras comprobarse que todo el mundo espía a otros países, sean aliados o no”, asegura Josep Albors, director del laboratorio de ESET España. “Las agencias de inteligencia están para eso. El problema no es descubrir que los gobiernos espían. El problema es averiguar para qué espían: si es, como dicen, para garantizar la seguridad nacional, o bien utilizan esta información para ganar ventaja económica y política frente a otros países”.
Además, gracias a otra información filtrada durante el mes pasado, conocimos cómo la NSA y su homónimo británico, el GCHQ, espiaban también a Google y a Yahoo!, interceptando información que se envía entre los centros de datos que tienen estas empresas en todo el mundo. Esto es posible gracias a que la sincronización entre servidores se realiza sin cifrar, algo que facilita notablemente el trabajo de espionaje de estas comunicaciones.
Ataques a PHP y Adobe
Volviendo a la seguridad informática propiamente dicha, durante el pasado mes de octubre hemos visto cómo se producían dos grandes ataques que afectaron al sitio web de PHP y a la empresa Adobe. El ataque a la web PHP.net causó bastante confusión al principio, cuando Google lo catalogó como una web infectada y muchos pensaron que se trataba de un falso positivo. No obstante, los propios administradores de la web realizaron una investigación y comprobaron cómo, efectivamente, su web estaba sirviendo malware.
Los análisis revelaron que un atacante había conseguido colocar un exploit de Javascript en el sitio web de PHP para tratar de infectar al mayor número de visitantes posibles. El hecho de que esta web tenga unas altas cifras de visitantes provocó que el número de victimas potenciales que se vieron expuestas a la infección fuera muy grande.
Por su lado, la empresa Adobe también se vio afectada por un importante ataque a sus servidores. A principios de mes conocíamos la noticia de que un atacante había logrado acceder a servidores de la empresa y obtener datos de tres millones de usuarios que incluyen sus identificadores, contraseñas cifradas y números de tarjetas de crédito. Además se consiguió robar el código fuente de varios programas entre los que se encuentran Adobe Acrobat, Cold Fusion y Cold Fusion Builder.
No obstante, a finales de mes conocimos más detalles acerca de este ataque y comprobamos que era bastante peor de lo que parecía. El número de usuarios afectados se eleva ahora a 38 millones y, además, la empresa admite que parte del código de su aplicación Photoshop fue robado por los atacantes. El robo de código fuente es algo que puede implicar amenazas dirigidas a explotar fallos de seguridad aún sin descubrir en programas que utilizan cientos de millones de usuarios en todo el mundo, por lo que es algo que debemos considerar como grave.
Por su parte, Microsoft empezó el mes lanzando parches de seguridad que incluían la solución a la grave vulnerabilidad descubierta en septiembre en el navegador Internet Explorer. Recordemos que este agujero de seguridad en las versiones 8 y 9 del navegador permitía la ejecución remota de código y ya había empezado a utilizarse para realizar ataques.
Además, Microsoft sorprendió a todo el mundo al pagar la nada despreciable cantidad de 100.000 dólares a un investigador británico por informar de un fallo de seguridad en la versión “preview” de Windows 8.1. La elevada cantidad de dinero pagado hace sospechar que el fallo era especialmente crítico, pero es bueno saber que las empresas están dispuestas a recompensar generosamente a aquellos investigadores que informen de estos fallos para evitar que sean utilizados por delincuentes.
El laboratorio de ESET también se ocupó durante el mes de octubre de analizar varias amenazas interesantes. Una de ellas fue el bot Napolar, también conocido como Solarbot. Algunas de las características interesantes de este malware son su propagación a través de Facebook, sus técnicas utilizadas para dificultar el análisis por parte de los investigadores o su promoción sin tapujos en una web promocional muy elaborada.
Otra muestra de malware analizada durante octubre fue la de Win32/KanKan. Este malware está diseñado para afectar mayoritariamente a usuarios chinos y es peculiar por incluir un plugin de Office sin ninguna utilidad mas que la de persistir en el sistema, instalar aplicaciones para Android de forma transparente para el usuario y estar firmado por una empresa china, conocida por desarrollar uno de los clientes bittorrent más conocidos.
De nuevo los routers fueron también protagonistas en el apartado de vulnerabilidades en hardware. Varios modelos de conocidas marcas como D-Link, Planex, Hitron o Tenda Technology presentaron fallos de seguridad varios que permitían incluso llegar a tomar el control del dispositivo de forma remota. Al tratarse de un dispositivo presente en millones de hogares y al cual pocos usuarios le prestan atención, supone un objetivo muy interesante para los atacantes.
Políticas de privacidad renovadas para Google y Facebook
Dos gigantes de Internet como son Google y Facebook anunciaron casi al mismo tiempo varios cambios en sus políticas de privacidad. Estos cambios no han sido recibidos precisamente con entusiasmo ya que, en el caso de Facebook elimina la opción de evitar que nuestro perfil sea indexado por los motores de búsqueda y además permite que los menores de edad puedan ser contactados por desconocidos en esta red social y no sólo por sus amigos o amigos de amigos.
Google tampoco se libró de la polémica al anunciar que, en unas semanas, utilizará datos de la red social Google Plus en anuncios publicitarios. De esta forma podrá usar, por ejemplo, puntuaciones realizadas por un usuario en un restaurante y añadir su comentario y fotografía a la publicidad mostrada del local cuando alguien lo busque.
En octubre también conocimos la noticia de la detención en Rusia del presunto autor del kit de exploits Blackhole. Este kit es uno de los más usados en la actualidad por los delincuentes y la detención de su creador puede ayudar a su desaparición. No obstante, existen otros muchos kits de exploits en el mercado por lo que esta lucha contra el cibercrimen aún debe proseguir.
Filtraciones de datos en España
En España, quizás la noticia más destacada, además de los casos de espionaje, sea la filtración de datos privados de los Mossos y del CESICAT. Esta acción atribuída al grupo hacktivista Anonymous ha sacado a la luz datos privados de 421 agentes, incluidos sus teléfonos y emails. Además, también se ha podido obtener un dossier con 38 informes de los Mossos donde, supuestamente, se informaba del seguimiento de diversas movilizaciones sociales acontecidos durante los últimos meses.
Más información sobre estas y otras amenazas en el blog del laboratorio de ESET NOD32 España.
Fotografía: Kamolrat (c) / Shutterstock.com