Archives octubre 2019

Google anunció que una computadora avanzada logró la «supremacía cuántica» por primera vez, superando el rendimiento de los dispositivos convencionales.

El procesador Sycamore realizó en 200 segundos una tarea que, según Google, tardaría 10.000 años en hacer con computadoras convencionales.

El gigante tecnológico aseguró que su procesador cuántico Sycamore fue capaz de realizar en 200 segundos una tarea específica que a las mejores supercomputadoras del mundo les llevaría 10.000 años completar, según Google.

Sin embargo, IBM, que ha estado trabajando en computadoras cuánticas propias, cuestionó algunas de las cifras dadas por Google.

Lo cierto es que los científicos han invertido esfuerzos en este campo durante décadas porque las computadoras cuánticas prometen velocidades mucho más rápidas.

En las computadoras clásicas, la unidad de información se denomina «bit» y puede tener un valor de 1 o 0. Pero su equivalente en un sistema cuántico, el cúbit (bit cuántico), puede ser 1 y 0 al mismo tiempo.

Este fenómeno abre la puerta para que se realicen múltiples cálculos simultáneamente. Pero los cúbits deben sincronizarse utilizando un efecto cuántico conocido como entrelazamiento, que Albert Einstein denominó «acción espeluznante a distancia».

Google ha estado trabajando en una computadora cuántica.

Sin embargo, los científicos han tenido dificultades para construir dispositivos efectivos con los cúbits suficientes para que puedan competir con las computadoras convencionales.

Sycamore contiene 54 cúbits, aunque uno de ellos no funcionó, por lo que el dispositivo utilizó 53 cúbits.

Cuestión de tiempo

Según un artículo publicado este miércoles en la revista Nature, John Martinis, de Google, y sus colegas le plantearon al procesador un problema de muestreo aleatorio, donde debía verificar un conjunto de números con una distribución verdaderamente aleatoria.

Sycamore pudo completar la tarea en 3 minutos y 20 segundos. Por el contrario, los investigadores afirman en su artículo que Summit, la mejor supercomputadora del mundo, tardaría 10.000 años en completar la tarea.

IBM asegura que la operación puede ser realizada en 2,5 días por computadoras convencionales.

Sin embargo, IBM puso en duda algunos de los resultados publicados por Google.

«Argumentamos que una simulación ideal de la misma tarea se puede realizar en un sistema clásico en 2,5 días y con mucha mayor fidelidad», dijeron los investigadores de IBM Edwin Pednault, John Gunnels y Jay Gambetta en un blog.

«Esta es, de hecho, una estimación conservadora para el peor de los casos, y esperamos que con mejoras adicionales el costo clásico de la simulación pueda reducirse aún más».

IBM también cuestionó la definición de Google de «supremacía cuántica» y dijo que podía llevar a confusión.

«Primero porque… por su definición más estricta, el objetivo no se cumplió. Pero más fundamentalmente, porque las computadoras cuánticas nunca reinarán ‘supremas’ sobre las computadoras clásicas, sino que trabajarán junto a ellas, ya que cada una tiene sus fortalezas únicas», concluyeron.

Fuente: www.bbc.com

En el 40% de los casos el incidente se produjo por hacer clic en enlaces que redirigían a sitios infectados, mientras que un 23% fue por abrir adjuntos infectados.

Hoy se celebra el “Día Mundial del Correo” por ser el aniversario de la Unión Postal Universal (UPU, por sus siglas en inglés), la agencia especializada de las Naciones Unidas establecida en 1874, en Suiza, que dio inicio a una revolución en las comunicaciones al introducir la posibilidad del envío de cartas a todo el mundo al regular el sistema de correspondencia internacional. Según Naciones Unidas, el propósito de conmemorar esta fecha es generar conciencia acerca de la importancia del servicio postal en la vida diaria de las personas y de los negocios, así como para el desarrollo de los países; un rol que hoy ocupa en mayor medida el correo en formato electrónico.

Tomando como punto de partida la importancia que ha tenido el correo para el desarrollo de los países y el rol clave que ocupa en esta misma línea el correo electrónico, realizamos una encuesta a nuestra comunidad de usuarios para saber cómo utilizan este servicio desde la perspectiva de la seguridad.

Un dato interesante que arrojó la encuesta es que el 53% de los usuarios dijo utilizar una cuenta de correo exclusivamente para suscribirse a sitios y servicios, lo cual resulta útil para evitar recibir spam en la cuenta de correo principal. Otra alternativa posible a esta estrategia para proteger tu dirección de correo es mediante el uso de direcciones de correo electrónico temporales.

Por otra parte, más del 60% manifestó que utiliza su dirección de correo principal para ingresar a la mitad de los otros servicios online que utiliza y 1 de cada 5 usuarios aseguró que utiliza la misma contraseña de su cuenta de correo para servicios como Twitter, Facebook, LinkedIn Instagram o Netflix, entre otros. La reutilización de contraseñas es una práctica no recomendada porque atenta contra la seguridad de los usuarios, ya que con frecuencia vemos que populares servicios resultan víctimas de incidentes que derivan en filtraciones de cuentas y contraseñas de los usuarios, las cuales luego pueden caer en manos de cibercriminales que las utilizan para realizar ataques de credential stuffing o para comercializarlas en el mercado negro. De hecho, existen servicios que permiten a un usuario averiguar si la contraseña que utilizan fue filtrada en alguna brecha.

Otro dato que aportó la encuesta es que el 44% de los encuestados aseguró haber sufrido un incidente de seguridad a través del correo electrónico. De este porcentaje, un 40% sufrió un incidente al hacer clic en un enlace que luego redireccionaba a un sitio infectado, mientras que un 23% se infectó por abrir un archivo adjunto malicioso y un 27% por caer en un engaño a partir de un correo que suplantaba la identidad de una empresa o servicio legítimo.

En cuanto al phishing, un mecanismo utilizado por los cibercriminales que tiene varias décadas pero que sigue aún vigente dada la efectividad que tiene para los atacantes, según los usuarios encuestados el 58% de los correos de phishing que reciben suplantan la identidad de sitios de compras online, mientras que en un 40% de los casos simulan ser correos de entidades bancarias y en un 30% de compañías de viaje.

Como hemos visto en reiteradas ocasiones, el correo electrónico como vector de propagación de amenazas informáticas no es una novedad. Por eso la importancia de aprovechar fechas como esta para informar acerca de los riesgos de seguridad que existen alrededor de una herramienta clave para la sociedad moderna como es el correo electrónico y aprender a hacer un uso más seguro de la misma para evitar dolores de cabeza. A continuación, compartimos una infografía que elaboramos a partir de los datos que dejó la encuesta.

Fuente: www.welivesecurity.com

Lo sabemos: algunos estáis hasta el gorro de estas noticias, pero…, reconozcámoslo, es difícil resistirse cuando desde el gigante del software privativo nos llegan declaraciones como estas. La cuestión es, ¿seguimos llamándolo así, el «gigante del software privativo»? Porque en Microsoft no están de acuerdo.

Todo viene a cuento de una de las frases más lapidarias, para mal, que en su día se dijeron desde Redmond. Nos referimos al tristemente ilustre comentario de Steve Ballmer, «Linux en un cáncer«. Es cierto que él mismo se retractó de sus palabras, admitiendo primero que Linux ya no era un cáncer, sino un rival a tener en cuenta; concediendo después que no solo no consideraba a Linux un cáncer, sino que lo amaba. Y, como bien es sabido, no ha sido el único que ha dicho eso desde dentro de Microsoft.

Sin embargo, la cita de marras les persigue hasta día de hoy, y de hecho una de las sugerencias que hizo Richard Stallman en su reciente charla para Microsoft, fue la de retractarse de este comentario. Entre otros. Sea como fuere ha llovido mucho desde entonces y no pierden la oportunidad de recordarlo, como ha sucedido en el Red Hat Forum 2019 celebrado en Melbourne con la participación de Lee Hickin, CTO de Microsoft Australia, según recogen en ZDNet.

«Reconozco la ironía de Microsoft aquí en un evento comunitario de código abierto. Estoy realmente orgulloso de hacerlo, y me siento honrado y privilegiado de poder estar en el escenario con Red Hat para compartir nuestra historia«, comenta Hickin. «Lo digo con la mano en mi corazón de una manera muy seria: somos una empresa de código abierto, estamos comprometidos con el código abierto, estamos comprometidos con Red Hat y estamos comprometidos con nuestro compromiso y nuestro apoyo a una amplia comunidad de código abierto a través de una gama de tecnologías, entre las cuales GitHub es una de ellas«.

Y añade: «No somos la compañía propietaria de Windows; somos la nube de código abierto que tiene una gama de servicios en una gran cantidad de herramientas y tecnologías«.

Es, en todo caso, un episodio más en la ya larga historia de relación entre Microsoft y el código abierto: del «amamos el Open Source» al repetido «amamos a Linux«, pasando por la que ha sido la declaración más rotunda que hayan hecho a este respecto, llegando a autoproclamarse los número uno del código abierto… y a tenor de las cifras en bruto, algo de razón tienen. Pero no es ningún misterio, tal y como han reconocido en diferentes ocasiones: van donde están los clientes y, si funciona, apuestan por ello de manera decidida.

Por supuesto, hay quien sigue sin fiarse de Microsoft, pero como señalaban hace poco algunos de los principales desarrolladores de Linus, Linus Torvalds incluido: por más que a Microsoft le gustase controlar Linux, no hay de qué preocuparse.

Fuente: www.muylinux.com

WhatsApp tiene más de 1.500 millones de usuarios a nivel global.

El WhatsApp instalado en celulares Android tiene un error grave: una puerta abierta a que cualquier hacker se haga con el control del teléfono.

Así lo alertó esta semana el Instituto Nacional de Ciberseguridad (INCIBE) español en un comunicado, en el que menciona que la vulnerabilidad se esconde en imágenes con extensión GIF «manipuladas de forma maliciosa» que llegan o son utilizadas en la aplicación.

Estos gif o imágenes en movimiento instalan un código malicioso con el que el atacante podría conseguir tener acceso a información personal de la víctima.

El hacker, avisa el organismo, podría incluso ejecutar funcionalidades como grabar video o audio, leer nuestros mensajes o robar archivos de nuestro celular.

El fallo fue descubierto por un analista de seguridad conocido como Awakened que demostró en su blog cómo funcionaba el error.

«El fallo de seguridad funciona bien para Android 8.1 y 9.0, pero no funciona para Android 8.0 o sus versiones inferiores», dijo.

Cómo solucionarlo

Se recomienda actualizar la aplicación a versiones posteriores a la 2.19.244.

Para ello, accede a través de Play Store o la página oficial de WhatsApp, para descargar la última versión disponible.

1.- Desde la app de Play Store, busca la aplicación ya instalada y a continuación, pulsa sobre el botón «Actualizar».

Esta es la opción más sencilla.

Así se actualiza la app desde la tienda de Google.

2.- Desde la web, debes acceder a la opción «Descargar» que encontrarás en el menú principal de la página web.

Una vez allí selecciona tu dispositivo, en este caso Android.

A continuación, pulsa en el botón «Descargar Ahora» y ejecuta el archivo .apk, para iniciar la instalación.

Whatsapp también se puede actualizar desde la web.

Facebook, propietario de WhatsApp desde 2016, contestó en una nota que «no tenemos razones para creer que usuarios fueron afectados por este fallo. Siempre estamos trabajando en mejores formas para ofrecer actualizaciones de seguridad».

La red social ha lanzado un parche de seguridad que soluciona el error.

A pesar de que los mensajes en WhatsApp están cifrados de extremo a extremo, lo que significa que solo deben aparecer en el dispositivo del remitente o del destinatario, la app sigue siendo vulnerable.

Por eso es buena idea mantenerse al día con todas las actualizaciones de la aplicación, ya que a menudo incluyen ajustes de seguridad, recomiendan los expertos.

Fuente: www.bbc.com

El ingeniero de Facebook Roman Gushchin, parte del equipo de la compañía que trabaja en el kernel Linux, ha encontrado un fallo grave en la forma en que gestiona la memoria el controlar actual, debido a la cual el consumo es muy superior al que potencialmente podría ser. Y ha propuesto un nuevo controlador que resolvería el problema, permitiendo ahorra cantidades importantes de RAM.

La información la publican en The New Stack a partir de la propuesta de Gushchin en las listas de correo de Linux hace unas semanas y como es evidente, es de carácter netamente técnico, pero se refiere básicamente al uso que haría el kernel de slab, una denominación que se le da a la memoria ligada al incremento de la caché para evitar la pérdida de rendimiento.

La asignación de slab en el kernel Linux es parte de un sistema de administración de memoria que se reparte entre diferentes objetos dentro de cgroup (Control Group), una característica que organiza los procesos de manera jerárquica y que según Gushchin no funcionaría del modo para el que fue diseñada, por lo que su eficacia no sería tal.

Como digo, la información es compleja y me es imposible ofreceros una explicación más detallada y comprensible que no se reduzca a traducir la documentación del kernel, cuya lectura os recomiendo a quienes estéis interesados en saber más. Aquí podéis leer sobre ello de manera simplificada. Lo importante del asunto es que el nuevo controlador desarrollado por Gushchin promete mejoras destacadas de ser aceptada su inclusión en Linux.

De acuerdo a los resultados de las pruebas que ha realizado, el ahorro de memoria alcanza el 42% en interfaces web, el 36% en servidores DNS y el 35% en bases de datos, hablando siempre por el uso de la memoria RAM ligada a la asignación de slab. Habrá que ver en qué queda este tema, pero las previsiones apuntan a su integración en el kernel a partir de 2020.

Fuente: www.muylinux.com

PayPal era uno de los fundadores de la Asociación Libra, destinada a controlar la criptomoneda Libra.

Facebook acaba de perder uno de sus aliados más poderosos en el proyecto de Libra, la criptomoneda que la red social quiere poner en marcha a nivel global.

Pese a ser uno de los fundadores de la Asociación Libra, destinada a controlar la criptomoneda desde Ginebra, en Suiza, Paypal decidió que no formará parte del proyecto.

El conglomerado del que sale está formado por 27 poderosas multinacionales como Visa, Mastercard, eBay, Spotify, Uber o Vodafone.

Con esta criptomoneda, que pretende ser como el bitcoinpero sin su volatilidad, se podrán hacer pagos a través de su propia app, del servicio de mensajería WhatsApp y entre las empresas fundadoras.

Pagar con ella será «tan fácil como enviar mensajes de texto», dijeron los responsables del proyecto.

Y es que Libra está especialmente dirigida a los 1.700 millones de personas que no tienen una cuenta bancaria, por lo costoso que es para ellas transferir dinero a sus familiares.

Facebook afirma que se trata de una coalición global, no el nuevo plan de Mark Zuckerberg para gobernar el mundo.

La retirada de la multinacional estadounidense de pagos por internet coincide con un reporte del diario financiero The Wall Street Journal que apunta a que los gigantes financieros Visa y Mastercard, así como otras firmas, estaban «reconsiderando» su implicación en Libra.

La razón principal es el fuerte rechazo que ha generado entre reguladores de todo el mundo.

Desde entonces han sido legisladores y organismos reguladores de todo el planeta, especialmente en Europa y EE.UU., quienes han expresado dudas o directamente rechazo a esta iniciativa como es el caso de Francia y Alemania.

Serias amenazas

Los reguladores y los bancos centrales han señalado las posibles amenazas en torno a la privacidad de los datos y la estabilidad financiera e incluso la política monetaria, dado el tamaño y el alcance de la empresa.

Las trabas a nivel mundial han hecho que la recompensa para las empresas que participan en el proyecto ya no valga tanto la pena.

Las 27 compañías tendrán acceso a los datos que fluyen a través del sistema de Facebook.

Eso debería darles información valiosa sobre en qué se está gastando y dónde.

Según la red social, a partir del próximo año los usuarios podrán comprar la moneda a través de sus plataformas y almacenarlo en una billetera digital llamada Calibra.

El Congreso de EE.UU. se ha mostrado preocupado por el poder que ya acumula Facebook en forma de datos de sus 2.380 millones de usuarios en todo el mundo.

¿Qué significa para el proyecto esta retirada?

En respuesta a la retirada de PayPal, la Asociación Libra dijo que era consciente de que los intentos de «reconfigurar el sistema financiero» serían difíciles.

«El compromiso con esa misión es más importante para nosotros que cualquier otra cosa», dijo en un comunicado.

«Es mejor saber ahora sobre esta falta de compromiso».

Según un informe publicado por el Financial Times, PayPal cree que Facebook no había hecho lo suficiente para aliviar las preocupaciones de los reguladores sobre la seguridad de Libra y los controles para evitar el lavado de dinero a través de la criptomoneda.

El movimiento es un gran golpe para Facebook y algunos analistas ya apuntan a que el proyecto sufrirá retrasos.

A partir de 2020 los usuarios podrán almacenar la moneda en una billetera digital llamada Calibra.

«Facebook tiene la capacidad de rivalizar con todo el sistema bancario global desde el primer día, pero, debido a ese hecho, está lejos de estar claro cuándo será ese primer día», dijo Mark Lamb, director ejecutivo de CoinFLEX en Hong Kong.

«La reacción política ha sido brutal, y nadie sabe si Facebook lo superará», añadió.

La Asociación Libra celebrará la primera reunión de su órgano rector, el Consejo Libra, el 14 de octubre.

El grupo dijo en un tuit que planeaba compartir actualizaciones poco después sobre las «1.500 entidades que han mostrado un entusiasta interés por participar».

Fuente: www.bbc.com

La plataforma de billetera móvil BIMO empezó a funcionar el jueves 3 de octubre del 2019. Se trata de una herramienta con la que se puede utilizar servicios bancarios desde el celular. En el 2017, la banca privada se comprometió con el Gobierno a implementar esta aplicación para reemplazar al dinero electrónico que desde el 2014 había puesto en marcha el Banco Central. La meta de la billetera móvil es reducir el uso de efectivo en el país y contribuir a incrementar los niveles de bancarización. Si le interesa usar esta herramienta, estas son las 10 cosas que debe saber:

Descarga

La billetera móvil, operada por BanRed, está disponible para los sistemas Android y iOS (Iphone) y permitirá a las personas hacer pagos las 24 horas del día a través de su celular.

Cuentas

Cada persona natural puede tener hasta dos cuentas activas BIMO con dos números celulares diferentes. Es decir, por cada número de cédula se podrán registrar dos cuentas de BIMO.

Entidades

En total 29 entidades forman parte de la plataforma. De ellas, 16 son bancos y el resto son cooperativas y redes de cooperativas.

Tarifas

La Junta de Política y Regulación Monetaria determinó que la tarifa para el envío de dinero de una cuenta a otra sea de USD 0,09 más IVA, el valor lo paga quien realiza el envío, no quien lo recibe. En total, pagará USD 0,10. El retiro en cajero automático está establecido en USD 0,45 más IVA, para desincentivar el uso de dinero físico.

Uso

Una vez que se descargue la plataforma, necesitará registrar su número de celular, datos personales, correo electrónico y crear una contraseña de seis dígitos. Tiene la opción de generar una cuenta nueva en la entidad que prefiera o vincular su cuenta bancaria de ahorros o corriente que ya esté funcionando al sistema BIMO. La aplicación solo está disponible para personas naturales, no jurídicas.

Movimientos

Se pueden realizar pagos y cobros desde USD 1 hasta USD 50 por cada transacción y retiros de efectivo desde USD 10 hasta USD 100. Recuerde que el cupo diario máximo por pagos, cobros y retiros es de USD 100. El cupo máximo mensual de movimientos es de USD 300.

Tiempos

Si recibe una solicitud de cobro en su cuenta tiene 24 horas para aprobar o rechazar la solicitud, una vez transcurrido este tiempo, la solicitud de cobro se anula. Si quiere hacer un retiro en cajero, recibirá un código que tiene ocho horas de duración para poder usarlo.

Limitaciones

La herramienta solo puede usarse en teléfonos inteligentes y con acceso a Internet. El registro no se puede hacer 100% en línea, pues se requiere que el usuario valide el registro llamando por teléfono o acercándose a las oficinas del banco o cooperativa.

Ayuda

En caso de fallas o inconvenientes con el sistema, robos de celular y otros percances, las personas se pueden comunicar al 1 800 BIMO24, que es un call center operado por Banred. También puede dirigirse a los canales electrónicos como www.bimo.ec y las redes sociales de la plataforma en Facebook, Instagram y Twitter.

Seguridad

Cree una clave que le resulte fácil de recordar, pero no la apunte en papeles ni la comparta con terceros. Evite utilizar datos como su fecha de cumpleaños o combinaciones sencillas como “1234”. Se recomienda alternar letras, números y caracteres y memorícelos.
Fuente: www.elcomercio.com

En esta oportunidad, analizaremos la dinámica maliciosa presente en una campaña detectada recientemente en Latinoamérica por los laboratorios de ESET (presente a nivel mundial desde hace ya un tiempo), que será utilizada como ejemplo para explicar cómo funcionan las amenazas distribuidas en distintas etapas. En este caso en particular, el objetivo principal de la misma es infectar con un ransomware el sistema de sus víctimas, y además hacer uso del mismo para el minado de criptomonedas. A partir del análisis de la campaña descubrimos algunos aspectos interesantes que compartimos a continuación.

Estructura de la campaña 

Esta campaña está compuesta por dos malware con finalidades muy marcadas: un downloader y un ransomware.

• JS/TrojanDownloader.Nemucod.EGZ: script malicioso programado en javascript, este troyano se encarga de descargar y ejecutar otro malware. Cabe destacar que Nemucod es una familia que al menos desde el 2015 viene siendo utilizada para propagar diferentes tipos de malware.
• Win32/Kryptik.GJFG: también conocido como Troldesh, se trata de un ransomware para sistemas Windows de 32bits, encargado de cifrar los archivos del usuario, pedir un rescate a cambio de ellos y minar criptomonedas simultáneamente.

Dinámica de la campaña

Mediante técnicas de ingeniería social combinadas con el envío de spam, los operadores detrás de esta campaña buscan que la víctima ejecute el código javascript. Una vez ejecutado, el script descargará y lanzará el ransomware, que posteriormente realizará su actividad maliciosa. Por lo tanto, el proceso de infección está conformado por esos dos pasos bien definidos.

Al buscar información sobre estas amenazas encontramos algunos de los sitios web desde los cuales se intenta descargar el ransomware y corroboramos que la estructura de la mayoría de estas URLs es similar a la de los sitios detectados durante el análisis de la muestra maliciosa:

• http://xxxxxmedia.nl/wp-content/themes/startright/css/font-awesome/1c.jpg
• http://xxxkans.dk/blogs/media/1c.jpg
• http://www.xxxtan.at/templates/siteground-j15-55/admin/1c.jpg
• https://f.xxxke99.website/wp-content/cache/1c.jpg
• https://xxxxertech.hu/templates/szibertech012/images/1c.jpg
• http://xxxion.nl/ag2017/1c.jpg
• http://xxxdmin.convshop.com/Application/Runtime/Cache/Home/1c.jpg
• http://www.xxxion.nl/wp-content/themes/dt-the7/css/compatibility/woo-fonts/1c.jpg
• http://xxxxximerden.de/wp-content/themes/dreamy/loop/1c.jpg
• http://www.xxxlas.sk/wp-content/themes/Corsa/fonts/1c.jpg
• https://xxxsa.cl/wp-content/themes/my-religion/cmsmasters-c-c/filters/1c.jpg
• http://xxxxxxeducations.org/wp-content/themes/poseidon/css/genericons/1c.jpg

Un factor común entre todas las URLs es que el objeto apuntado se llama 1c.jpg. Lo interesante de esto es el formato con el cual se almacenó el ransomware, ya que en lugar de ser un .exe, fue guardado como .jpg. Esto, en consistencia con las carpetas donde se lo aloja, es una clara estrategia por parte de los operadores detrás de esta campaña para que este archivo pase desapercibido a los ojos de los administradores de los sitios comprometidos y, a su vez, también puede servir para evadir otros controles de seguridad, ya que los archivos .exe suelen ser sospechosos.

Al analizar el contenido de los sitios puede apreciarse que estos no son maliciosos, sino que son sitios legítimos que fueron comprometidos. También puede observarse que todos ellos fueron desarrollados utilizando algún CMS, siendo WordPress el más utilizado. Tiene sentido que se apunte a comprometer este tipo de sitios ya que los CMS no siempre son actualizados por sus administradores y, al ser estos sometidos a muchos análisis de vulnerabilidades dado su uso masivo, suelen existir muchos exploits disponibles para versiones antiguas de los mismos. A partir de esto puede llegarse a la conclusión de que los cibercriminales detrás de esta amenaza están apuntando a comprometer sitios web legítimos con el fin de alojar allí su ransomware y utilizarlos como una pieza más en la mecánica de sus campañas maliciosas.

Imagen 1: esquema de la dinámica general de la amenaza analizada

Con el fin de comprender en mayor profundidad los detalles y comportamientos de los códigos maliciosos involucrados en esta campaña (Nemucod y Troldesh), a continuación se presentará un análisis particular para cada una de ellas.

Análisis del downloader Nemucod (variante EGZ)

Como se explicó anteriormente, este downloader está escrito en javascript y su objetivo es descargar y ejecutar otro malware, en este caso, el ransomware Troldesh. Por lo tanto, dado que nuestro interés es conocer cómo se realiza dicha actividad maliciosa, será necesario analizar el código de la misma.

Al abrir el archivo .js se observa un código difícil de leer, con strings codificadas en números hexadecimales, strings partidas almacenadas en múltiples variables y funciones que únicamente devuelven un string y tienen código inútil para confundir, en otras cosas.

Imagen 2: Código javascript levemente ofuscado

Si bien el código no se encuentra muy ofuscado, es necesario reacomodarlo un poco para facilitar su comprensión y pasar a formato ASCII todos los strings del mismo, ya que estos revelan información sobre su comportamiento. Por ejemplo, algunas de las strings encontradas que resultan importantes para el análisis son: “Scripting.FileSystemObject”, “SaveToFile”, “Write”, “cmd.exe /c”, “Wscript.Shell”, “run”.

Una vez teniendo el código en un formato más legible encontramos lo siguiente:

Nemucod comienza enviando un request HTML con un GET a la URL donde se encuentra alojado el ransomware con el fin de descargarlo. Como puede observarse en la imagen a continuación, en caso de que esta descarga fallara por algún motivo, el código cuenta con una URL de respaldo desde la cual intentará descargarlo:

Un detalle interesante es que el ransomware que se intenta descargar está alojado en los servidores comprometidos en formato .jpg, es decir, su descarga pasará desapercibida como si fuese un GET a un recurso ordinario.

Luego de que el request es respondido y se recibe el ransomware, el mismo se encuentra alojado en la memoria. Por lo tanto, el siguiente paso que realiza Nemucod es escribirlo en el sistema de la víctima mediante las siguientes instrucciones:

Aquí puede observarse que la primera acción que realiza es verificar si efectivamente el resultado del GET fue exitoso. Luego, el resto de la función se encarga de escribir el contenido recibido en un archivo. Algunas instrucciones particularmente importantes en esta función son:

Estas escriben el contenido recibido en el GET (“ResponseBody”) en un archivo que tendrá el nombre y ruta pasado como parámetro en “y1”. En este punto se cambia el formato de .jpg a .exe para que este pueda ser ejecutado fácilmente.

En este punto, Nemucod logró descargar el ransomware y escribirlo en el sistema de la víctima, por lo cual solo resta un paso: ejecutarlo. Para realizar esto utiliza el siguiente código:

Una parte fundamental de este malware es el componente ActiveXObject, el cual permite ejecutar diferentes aplicaciones en el sistema que está ejecutando el código javascript. En este caso, se lo utiliza para obtener una Shell de WScript, la cual permite ejecutar comandos directamente en el sistema. Como se puede observar en la segunda línea de la Imagen 7, se ejecuta en la Shell un comando que abre cmd.exe y hace que este ejecute el ransomware escrito previamente en la ruta contenida en la variable “y1”.

A partir de este punto el script finaliza y el ransomware comienza a ejecutar.

Es importante destacar que en todos los navegadores modernos ActiveXObject se encuentra deshabilitado por defecto dado su gran potencial malicioso. Esto quiere decir que Nemucod solo será efectivo en navegadores muy desactualizados o con parámetros de seguridad mal configurados.

Por último, hay que tener en cuenta que la muestra analizada solo contenía dos URLs desde las cuales descargaba el ransomware; sin embargo, tal como vimos al principio de este artículo, otros análisis han detectado este  ransomware alojado en al menos diez servidores más. Por lo tanto, es altamente probable que existan otras variantes de este mismo downloader que descarguen el ransomware desde las otras URLs que mencionamos anteriormente.

Análisis del ransomware Troldesh (variante detectada como Win32/Kryptik.GJFG)

Al tratarse de un ransomware, este código malicioso tiene como finalidad cifrar todos o gran parte de los archivos del sistema infectado y luego pedir un rescate a cambio de descifrarlos.

Imagen 3: fondo de pantalla de sistema infectado por el ransomware Win32/Kryptik.GJFG en el que se despliega el mensaje del atacante

Como se puede observar en la imagen, luego de cifrar los archivos en el equipo de la víctima, este ransomware cambia el fondo de pantalla y le indica al usuario que lea las instrucciones que debe seguir para recuperarlos, las cuales se encuentran en los archivos README.txt.

Como se puede apreciar en la imagen que sigue, las instrucciones que debe seguir la víctima están en ruso y en inglés:

Imagen 4: Contenido del archivo README.txt que contiene instrucciones que debe seguir la víctima del ransomware

Este mensaje contiene tres detalles interesantes: el primero es que le indica al usuario que envíe un código, el cual supuestamente es utilizado por el atacante para identificar a la víctima. El segundo es que no se pide directamente un rescate en bitcoins u otra criptomoneda, sino que se pide que el usuario se identifique a sí mismo mediante el código para poder recibir las instrucciones de rescate. El tercero es que, en caso de que la comunicación vía email fallara, se provee un método de respaldo para poder comunicarse con el atacante a través de un sitio web en la red Tor:

Imagen 5: sitio web Tor utilizado como un medio de comunicación de respaldo entre la víctima y el atacante

Es posible que la intención detrás de esta dinámica sea que el atacante tenga tiempo para analizar quien es la víctima y ajustar el monto del rescate en base a esto, cobrando mayores montos a empresas u organizaciones.

Análisis técnico de Troldesh

A continuación, se describen algunos aspectos interesantes sobre el comportamiento o las características de este ransomware.

Análisis del ejecutable 

Al analizar el ejecutable con diversas herramientas puede advertirse que el mismo fue compilado con Microsoft Visual C++ y que utiliza la API isDebuggerPresent para establecer mecanismos de protección anti debugging con el fin de dificultar su análisis. Sin embargo, no cuenta con protección anti-VM. También puede advertirse que está firmado con un certificado digital gratuito, con el objetivo de intentar esquivar controles de seguridad dando la impresión de que es un ejecutable confiable.

Las bibliotecas que importa son:

• KERNEL32.dll
• USER32.dll
• GDI32.dll
• ADVAPI32.dll
• SHLWAPI.dll

En este punto el código malicioso presenta una particularidad, ya que dentro de los recursos del ejecutable está presente una biblioteca llamada madExcept, la cual sirve para capturar excepciones y, cuando estas ocurren, permite al usuario enviar reportes de error con información sobre las mismas al desarrollador. Por lo tanto, es muy probable que esté utilizando esta biblioteca para capturar excepciones producidas por incompatibilidades de dependencias o versiones y, en lugar de que el usuario vea estas excepciones, ocultarlas para pasar desapercibido.

Cómo logra la persistencia

El mecanismo utilizado para lograr la persistencia en el sistema no es particularmente sofisticado y consta de dos pasos:

1. Copiarse a sí mismo a la dirección: “C:\ProgramData\Windows\” con el nombre csrss.exe
2. Agregar una entrada al registro para que su copia se ejecute al iniciar el sistema: “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem” con el valor: “C:\ProgramData\Windows\csrss.exe“

Actividades en el registro

Se lee el contenido de muchas entradas, especialmente las relacionadas a configuración de red del sistema operativo. Por otro lado, algunas de las entradas modificadas más interesantes son las siguientes:

• HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\xi

Donde el malware escribe el código hexadecimal de 20 caracteres que el atacante le pide al usuario para que se identifique.

• HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\xpk

Donde el malware escribe la clave pública RSA con la cual cifró los datos del sistema infectado. Esto es consistente con el mensaje encontrado en el sitio web Tor, tal como se puede observar en la siguiente imagen, donde se advierte al usuario que sus datos fueron cifrados con RSA-3072 y que la única forma de descifrarlos es con la clave privada que solo el atacante posee:

Imagen 6: explicación del atacante sobre el método utilizado para cifrar los archivos

• HKCU\Control Panel\Desktop\Wallpaper

Aquí se escribe la ruta a la imagen que el malware escribe en el sistema y que posteriormente configura como fondo de pantalla: C:\Users\userName\AppData\Roaming\B06A677FB06A677F.bmp

Actividades de red

Minado de criptomonedas

Al analizar el tráfico de red generado por este malware descubrimos un paquete sin cifrar cuyo contenido tenía una estructura consistente con Stratum Mining Protocol, un protocolo para realizar pooled mining de criptomonedas. Este paquete era parte de una comunicación con la ip 172.65.200.16, la cual es reconocida como una ip relacionada a estas actividades y está presente en algunas blacklists.

Conexiones Tor

La mayoría de sus comunicaciones son realizadas a través de la red Tor y las mismas son cifradas utilizando TLSv1.2. Las direcciones IP a las que se conecta son consistentes con consultas DNS realizadas y, al buscar información sobre ellas, pudimos observar que efectivamente se trata de nodos de la red Tor y que algunas están relacionadas a actividades maliciosas.

Siguiendo este análisis, también observamos que se escriben los siguientes archivos:

• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-certs.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs-concensus.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs.new
• C:\Users\userName\AppData\Local\Temp\6893A5D897\state.tmp

Estos son archivos de cache de Tor, utilizados para acelerar operaciones de conexión y otras configuraciones y los mismos revelan que la versión de Tor utilizada por este ransomware es la 0.2.5.10.

Requests HTTP

Se realizan dos request HTTP GET a los siguientes sitios:

• whatsmyip.net
• whatismyipaddress.com

Estos son sitios legítimos que proveen un servicio que permite al usuario conocer su IP pública, por lo que este dato podría resultar de interés para el atacante o para el desarrollo de las funciones maliciosas del ransomware, por ejemplo, para geolocalizar el ataque y así saber qué tan fuerte es la moneda del país de la víctima y cobrar un rescate acorde a ello.

Indicadores de compromiso (IoCs)

Técnicas de MITRE ATT&CK

JS/TrojanDownloader.Nemucod.EGZ

Win32/Kryptik.GJFG

Fuente: www.welivesecurity.com

Desde el arranque del proyecto Sputnik, que nació prácticamente como un experimento de uno de los directivos de Dell, el catálogo de ordenadores de la compañía estadounidense con Linux preinstalado no ha parado de crecer hasta el extremo de que en la actualidad es relativamente amplio, si bien está excesivamente centrado en las soluciones para el sector profesional.

Aunque Dell ofrece bastantes ordenadores con Linux (Ubuntu y RHEL) preinstalado, la verdad es que encontrarlos puede terminar siendo algo complicado debido a que no estaban claramente distinguidos de los modelos que solo se venden con Windows, forzando a utilizar los filtros de la tienda.

Posiblemente con el fin de facilitar la disposición de su línea de productos ofertados con el sistema Open Source preinstalado, la compañía ha decidido que estos estén en una página web de reciente creación a la que se puede acceder mediante la URL dell.com/linux.

Ahora se puede encontrar de una tacada todo el catálogo de Dell con Linux preinstalado, por lo que los usuarios interesados en estos productos ya no tienen por qué lidiar más con filtros de la tienda del conocido fabricante estadounidense.

¿La URL dell.com/linux resulta difícil de recordar? Esta situación puede sonar un poco ridícula, ya que la dirección a poner en el navegador resulta bastante lógica. Sin embargo, también se puede recurrir a alguna de las siguientes URL como alternativa:

• • dell.com/sputnik
  • dell.com/developer
  • dell.com/developers

Si bien este movimiento no es de por sí una revolución, sí es un gesto a tener en cuenta por parte de los usuarios de Linux interesados en comprar unos ordenadores Dell que ya no son un experimento, sino que forman un catálogo consolidado dentro de la compañía.

Fuente: www.muylinux.com

En los mercados ilegales, la información personal es ofertada desde USD 500. Empresas sufren robos de sus bases de datos. Foto referencial: Flickr/Christoph Scholz.

La oferta circula en Internet. ‘Hackers’ y hasta empresas legalmente constituidas ofrecen información de familias enteras. Dicen que los interesados pueden acceder a los nombres de los padres, de los hijos, cédulas, direcciones, correos electrónicos, números telefónicos, remuneración mensual y que solo necesita pagar de USD 500 a USD 1 000 al mes.

Investigaciones ejecutadas al respecto muestran que esas empresas y ‘hackers’ compran las bases de datos en el mercado ilegal, las almacenan y revenden a través de otras compañías, que también están legalmente constituidas.

En el último mes, la Fiscalía investiga dos casos, en los que hay información de millones de ecuatorianos. En el último operativo, realizado la semana pasada, se descubrió que estos archivos se ofertaban a través de suscripciones mensuales.

Quienes contrataban este “servicio” eran empresas, que accedían a información sobre el estado civil de la gente, situación sociodemográfica, árboles genealógicos, números de cédula, profesiones, información laboral, de actividades económicas, salarios que iban entre el 2016 y el 2019.

Para Diego Yépez, gerente de Seguridad y Data Center de CenturyLink, estos datos pueden obtenerse por dos vías.

La primera es legal y consiste en recopilar información que se encuentra almacenada en la base de cualquier institución pública. Por ejemplo, en la Red se puede consultar valores sobre los tributos. Lo único que exige el sitio web es el número de cédula, RUC o nombres de la persona.

Pero la gente también entrega información cuando llena formularios, por ejemplo, para sorteos, cuando publican sus datos en redes sociales o al divulgar sus hojas de vida. Pero las bases también son robadas a través de virus informáticos o la información es comprada ilegalmente. De hecho, los archivos personales descubiertos en el último operativo “evidencian que el origen no es legal”. Esto fue confirmado por un investigador que lleva la causa.

La Agencia de Regulación y Control de las Telecomunicaciones monitorea estos casos.

La semana pasada, la entidad presentó una denuncia en la Fiscalía, para que se investigue a un grupo de “empresas que estarían usando de forma ilegal indicadores personales”.

La transacción web

La compra-venta de las bases de datos se concreta en la denominada Web profunda o Deep Web. A ese espacio solo pueden acceder quienes tienen un cierto grado de especialización en informática. Las transacciones son, por lo general, a través de monedas electrónicas como bitcoins, que por su naturaleza digital son difíciles de rastrear.

Después de concretada la compra, para que la información no pierda vigencia, pues muchos se cambian de casas, adquieren nuevos carros o se divorcian, las firmas pagan por las actualizaciones mensuales.

Quienes están detrás de las actualizaciones son las mismas personas que tienen acceso a las bases de datos de una empresa privada o institución pública de donde se originó la información personal. Este Diario conoció dos casos de empresas que sufrieron el robo de sus bases. Los directivos contaron que las fugas fueron internas. En una compañía, por ejemplo, un empleado se sustrajo la información de la cartera de clientes.

Sin embargo, los directivos no denunciaron. “Eso era más perjudicial. Significa que uno dice: miren nos robaron, porque no pudimos cuidar”, cuenta una ejecutiva. Para evitar este tipo de hechos, el Ministerio de Telecomunicaciones presentó la Ley de Protección de Datos. Las personas que prefieren no pagar mensualmente por los datos, sino tenerlos de forma íntegra y permanente pagan hasta USD 30 000 por todo el paquete ofertado. Pero el robo de información personal no solo es a gran escala.

También hay personas particulares que usan los archivos de otros y los venden. Una persona que repara computadoras en su vivienda, en el norte de Guayaquil, ha logrado recopilar 20 archivos con más de 65 000 contactos. Esta base la oferta en una página de Internet por USD 50.

Dice que es un precio razonable, pero que también tiene paquetes de USD 80 y 100.

Cada carpeta contiene nombres, números de teléfonos, dirección de domicilios y correos electrónicos. “Las he recopilado de las empresas donde reparaba las computadoras. Primero las usaba para ofertar mis servicios. Enviaba correos masivos o a veces llamaba, pero he decidido venderlas”. Las personas que tiene registradas son de las provincias de Guayas, Quito, Cuenca y Santa Elena.

La mayoría son ejecutivos de seguros y funcionarios públicos. Cuando una persona está interesada en la base de datos, él cita en una cafetería o parque. Allí le entrega un ‘pendrive’ de 8GB, pues los archivos ocupan entre 4 y 5 GB. Una de sus carpetas se llama Base de Empresas Ejecutivas. Tiene contactos de personas que trabajan en empresas, en el área de recursos humanos.

En contexto

En septiembre, la firma de seguridad informática vpnMentor reveló una brecha de seguridad que expuso la información de 20 millones de ecuatorianos (incluidos fallecidos). Según su reporte, la brecha ya fue cerrada, pero esta podría haber sido copiada.

Fuente: www.elcomercio.com