Archives agosto 2023

ESET, compañía de seguridad informática, advierte sobre la importancia de los cuidados de seguridad en los dispositivos hogareños conectados a internet y sus posibles riesgos.

Ecuador – Las botnets suponen un gran peligro porque sus operadores son capaces de usar una red de computadoras infectadas para ejecutar virtualmente cualquier tarea, y dañar a los usuarios de los equipos infectados y a terceros. Esto lo logran mediante el envío de spam, distribuyendo engaños y amenazas escondidas en archivos adjuntos o ejecutando ataques de denegación de servicio distribuido (DDoS). ESET, compañía líder en detección proactiva de amenazas, analiza el caso de Mirai y los dispositivos electrónicos hogareños.

“Hay una amenaza silenciosa frente a nuestros ojos y que, muchas veces, pasa desapercibida. Las víctimas, en general, ni siquiera saben que fueron infectadas, y los atacantes tienen una tasa de éxito muy cercana al 100%.”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Un ataque DDoS (denegación de servicio distribuido, en español) intenta desbordar la capacidad computacional de procesamiento de los «objetivos» del ataque, a través de la sobrecarga de peticiones para saturarlos.

En agosto de 2016 se descubrió una botnet que solo par de meses después sorprendería al mundo entero con un ataque DDoS. Debido al ataque DDoS sostenido del que fue víctima el proveedor de servicios del Sistema de Nombres de Dominio Dyn se evidenciaron cortes en sitios y servicios de diversa

índole: Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix y Paypal, entre tantos otros. Ese no fue el único gran golpe de la botnet Mirai ese año: OVH, la empresa francesa de alojamiento web, evidenció interrupciones significativas en sus servicios y en el de sus clientes y el ataque alcanzó un récord de tráfico DDoS para la época, ya que superó los 1,1 terabits por segundo.

La particularidad de la botnet Mirai es que su gran red se componía de dispositivos digitales conectados a internet (IoT – internet de las cosas) que fueron infectados por no contar con protección, estaban mal configurados o contaban con contraseñas débiles.

Routers domésticos, grabadoras de video, cámaras de vigilancia y cualquier otro tipo de dispositivos inteligentes fueron aprovechados por Mirai para perpetrar sus ataques. Según se calcula esta botnet estaba compuesto por más de 600.000 dispositivos domésticos inteligentes conectados a internet

Eso no fue todo porque el código fuente de Mirai se publicó en foros de código abierto, lo que produjo que esta técnica sea utilizada en otros proyectos de malware. De hecho, durante 2023 año hubo varios ataques en donde se implementaron algunas de sus variantes.

 “Cualquier persona que instale un router, una cámara, una TV o cualquier otro dispositivo IoT y no cambie la contraseña predeterminada, está favoreciendo a que los cibercriminales realicen este tipo de ataques.

¿Por qué? Sucede que los que efectúan los ataques DDoS tienen conocimiento de las contraseñas predeterminadas de muchos dispositivos IoT y, si el fatídico 21 de octubre de 2016 nos enseñó algo, es que cualquier cosa que se conecta a Internet supone un riesgo.”, concluye Gutiérrez Amaya, de ESET Latinoamérica.

¿Qué se puede hacer al respecto? Desde ESET comparten las siguientes recomendaciones:

• Considerar a los dispositivos IoT del mismo modo que a una computadora personal, por lo que se deben tener iguales cuidados como cambiar de inmediato la contraseña predeterminada y comprobar regularmente los parches de seguridad.
• Utilizar la interfaz HTTPS siempre que sea posible y, cuando el dispositivo no se usa, apagarlo. Si contiene otros protocolos de conexión que no están en uso, lo mejor es deshabilitarlos.

Fuente: ESET – Ecuador

A diez años de la filtración de datos más importante registrada hasta el momento, sufrida por Yahoo! en 2013, ESET, compañía de seguridad informática, que afectaron a grandes volúmenes de información confidencial en sistemas de reconocidas empresas.

A diez años de la filtración de datos más importante registrada hasta el momento, sufrida por Yahoo! en 2013, ESET, compañía líder en detección proactiva de amenazas, hace un repaso de los incidentes de brechas de datos. Desde el incidente de Equifax, que afectó a casi la mitad de la población de los Estados Unidos, y parte de Gran Bretaña y Canadá, pasando por la filtración de más de mil millones de datos de ciudadanos de la India, hasta el mayor robo de información vendida en colecciones que sumaron más de dos mil millones de registros.

A continuación, ESET comparte un detalle de las más relevantes filtraciones de datos desde 2013 a la fecha:

1.- Yahoo!: En 2013, la empresa de servicios de internet Yahoo! pasó a la historia por haber sufrido la filtración de datos más importante de los últimos 10 años. En un primer momento, la empresa había reconocido que eran 1000 millones de cuentas las afectadas, pero 4 años después, en 2017, cuando Verizon adquirió a la empresa y realizó una exhaustiva investigación con peritos forenses externos, se pudo tomar real dimensión del ciberataque: Oath, la unidad de internet de Verizon, reconoció que la cantidad usuarios afectados eran más de 3.000 millones, -la totalidad de cuentas de Yahoo! en aquel momento- y, además de enviar mails para notificar a los «nuevos» afectados, publicó en su sitio web información adicional sobre la brecha de 2013.

Ahora bien, ¿qué tipo de información se vio vulnerada con este ataque? El jefe de seguridad de la información en Yahoo!, Bob Lord, afirmó que la filtración incluyó nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas con hash, y en algunos casos preguntas de seguridad y sus respectivas respuestas. La «buena noticia» es que los cibercriminales no lograron el acceso a los datos bancarios o de pago, ya que el sistema comprometido no alojaba este tipo de información.

2.- Marriott Internacional: La cadena hotelera Marriott Internacional fue noticia en 2018 por algo que comenzó a gestarse cuatro años antes y que implicaría casi 400 millones de registros comprometidos: El 30 de noviembre de 2018, Marriott emitió un comunicado en el que aseguraba haber recibido «una alerta de una herramienta de seguridad interna sobre un intento de acceso a la base de datos de reservas de huéspedes de Starwood en Estados Unidos». Durante la investigación se supo que «había habido accesos no autorizados a la red desde 2014».

¿En qué se tradujo esta brecha de datos que pasó totalmente desapercibida durante 4 años? 383 millones de registros resultaron comprometidos e incluían nombres, números de teléfono, detalles del pasaporte, direcciones de correo electrónico y hasta números de tarjetas de crédito encriptados.

Según el New York Times, el ataque podía atribuirse a un grupo de inteligencia chino, cuyo principal objetivo era recopilar datos sobre los ciudadanos estadounidenses. El equipo de investigación que trabajó a partir de una alerta efectuada el 8 de septiembre de 2018, precisó que los cibercriminales se valieron de un troyano de acceso remoto y de una herramienta que encuentra combinaciones de nombres de usuario y contraseñas en la memoria del sistema.

3.- Equifax: Equifax es una de las agencias de informes de crédito más importante de los Estados Unidos. Este dato es clave para entender la criticidad de la filtración que tuvo lugar en 2017 y que puso en riesgo los datos de casi la mitad de los ciudadanos estadounidenses. Durante septiembre de ese año, Equifax anunció haber sufrido una filtración que implicaba datos de 143 millones de personas aproximadamente, es decir, el 44% de la población total de los Estados Unidos. También se vieron afectados clientes de Reino Unido y Canadá. Entre la información a la cual pudieron acceder los ciberatacantes se encontraban nombres de los clientes, números de seguridad social, fechas de nacimiento, direcciones, números de licencias de conducir y también de tarjetas de crédito.

Según el propio Equifax, la filtración se produjo debido a una «vulnerabilidad de una aplicación web para acceder a determinados archivos». El sitio Bloomberg aseguró que la filtración fue posible debido a un parche no realizado a tiempo, el cual estaba disponible dos meses antes del ataque. Las consecuencias no tardaron en llegar: Richard Smith, CEO de Equifax en ese momento, dejó su cargo. La empresa debió afrontar demandas de usuarios e investigaciones de entes de regulación tanto de Estados Unidos, como Reino Unido y Canadá, y sus acciones en bolsa cayeron.

4.- Aadhaar: Aadhaar es la base de datos de identificación más grande del mundo. La creó la Autoridad de Identificación Única de la India en 2009 para que los ciudadanos indios puedan, a través de una tarjeta, acceder a ayuda estatal, comprar una tarjeta SIM de móvil, abrir una cuenta bancaria y realizar diversos trámites burocráticos. Puntualmente, Aadhaar contenía información de más de 1.100 millones de ciudadanos indios, incluyendo también un número de identidad único de 12 dígitos, escaneos de las huellas dactilares y del iris, nombre, sexo y datos de contacto.

Durante enero de 2018 se dio a conocer públicamente el hackeo que sufrió Aadhaar: los ciberatacantes lograron vulnerarla a través del sitio web de Indane, empresa estatal de servicios públicos que estaba conectada a la base de datos gubernamental a través de una interfaz, con el objetivo de recuperar datos almacenados por otras aplicaciones o software. Indane no contaba con los controles de accesos correspondientes y así dejó expuestos los datos de la empresa y de todos los usuarios que poseían una tarjeta Aadhaar. Se convirtió en una de las filtraciones de datos gubernamentales más grandes de la historia: la gran mayoría de la población de la India (se calcula que un 90%) quedó expuesta a ser una potencial víctima de delitos como el robo de identidad y otras estafas. Una investigación que realizó el diario Tribune de la India, demostró que por 500 rupias (algo así como 6 dólares) se podía acceder a estos datos a través de un grupo de hackers que los ofrecían mediante WhatsApp.

5.- Collection #1 al #5: El caso Collection se compuso de una colección de datos que fueron extraídos de diversas brechas antiguas. Entre las cinco entregas que tuvo esta «saga», alcanzó a filtrar el impactante número de 2.200 millones de direcciones de correo y contraseñas.

Todo comenzó a mitad de enero de 2019, cuando se conoció que 773 millones de direcciones de correo únicas y también más de 20 millones de contraseñas habían sido filtradas a través de MEGA y otros foros, mediante un paquete llamado Collection#1. Hacia finales del mes se conocieron otras nuevas cuatro carpetas que formaban parte la misma recopilación. Collection#2, Collection#3, Collection#4, Collection#5 también incluían, entre otros datos, nombres de usuario, direcciones y contraseñas, alcanzando un peso total de 993.36 GB.

El instituto alemán Hasso Plattner realizó una investigación de la filtración, asegurando que el combo completo de las cinco carpetas sumaban 2.200 millones de registros en total. De hecho, en algunos foros se ofrecía el paquete completo, con el detalle del peso de cada carpeta.

“Las filtraciones de datos suelen ser más comunes y frecuentes de lo que desearíamos. Por ello, es muy importante que como usuarios conozcamos si nuestros datos se han filtrado de alguna manera, para así evitar que sean utilizados con fines maliciosos. Sitios como Have I Been Pwned, Identity Leak Checker, HackNotice son algunos de los que permiten saber si nuestra contraseña ha sido filtrada. El siguiente paso consiste en actualizar las claves, eligiendo contraseñas nuevas y más seguras, evitando reutilizar la misma contraseña en más de un servicio. Otra muy buena práctica es activar el doble factor de autenticación en todos los servicios que lo tengan disponible.”, aconseja Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: ESET – Ecuador

Se identificó una nueva campaña de phishing que afectó a empresas y entidades gubernamentales en Ecuador, México, Argentina, Chile, Perú y Brasil.

Ecuador – El equipo de investigación de ESET, descubrió una campaña masiva de phishing activa desde al menos abril de 2023, destinada a recolectar credenciales de cuenta de usuarios de Zimbra Collaboration. La campaña se está difundiendo masivamente y sus objetivos son una variedad de pequeñas y medianas empresas, como también entidades gubernamentales.

Zimbra Collaboration es una plataforma colaborativa de software, open-core, y una alternativa muy popular para administrar correos electrónicos empresariales.

De acuerdo a la telemetría de ESET, el mayor número de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoamérica, además, apuntó a objetivos en México, Argentina, Chile, Perú y Brasil.

Las organizaciones atacadas varían, no se focaliza en ninguna vertical específica; la única conexión entre las víctimas es que utilizan Zimbra. A la fecha, no se ha atribuido esta campaña a ningún actor de amenazas conocido.

Figura 1. Países blanco de la campaña, de acuerdo a la telemetría ESET

Inicialmente, el objetivo recibe un email con una página de phishing en un archivo HTML adjunto. El email advierte al usuario sobre una actualización del servidor de email, desactivación de la cuenta, o un asunto similar, y le ordena hacer clic en el archivo adjunto. El atacante también falsifica el campo De: del correo electrónico para que parezca procedente del administrador del servidor de email.

Figura 2. Advertencia en polaco, como señuelo, advirtiendo sobre la desactivación de la cuenta Zimbra

Figura 3. Traducción automática al inglés del correo señuelo, originalmente en polaco

Figura 4. Email de phishing en italiano.

Luego de abrir el archivo adjunto, al usuario le aparece una página falsa de inicio de sesión a Zimbra personalizada de acuerdo a la organización de pertenencia. El archivo HTML se abre en el navegador de la víctima, que puede ser inducida a pensar que está siendo redirigida a una página legítima, a pesar de que la URL dirige a una ruta local. Se destaca que el campo “Username” se rellena automáticamente en el formulario de inicio, lo que lo hace parecer más legítimo aún.

Figura 5. Página falsa de login en Zimbra

Ejemplo de la página de acceso a webmail de Zimbra legítima para compararla con la versión falsa. 

Figure 6. Ejemplo de la página de inicio de Zimbra legítima

En segundo plano, las credenciales enviadas se recopilan desde el formulario HTML y se envían mediante una petición HTTPS POST al servidor que controla el atacante.

“Curiosamente, en varias ocasiones, desde ESET se observaron oleadas posteriores de emails de phishing enviadas desde cuentas de Zimbra que habían sido atacadas previamente, de compañías legítimas, como donotreply[redacted]@[redacted].com. Es probable que los atacantes tengan la capacidad de comprometer el administrador de cuentas de la víctima y de crear nuevos buzones de correo que usarían para enviar emails de phishing a otros objetivos. Una explicación es que el atacante se vale del reciclado de contraseñas que pueda hacer el administrador atacado – por ej. que utilice las mismas credenciales para el email y para la administración. Con la información disponible, no estamos en condiciones de confirmar esta hipótesis.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según ESET, a pesar de que la campaña no es sofisticada, técnicamente hablando, es capaz de difundirse y comprometer a las organizaciones que usan Zimbra Collaboration, lo que la hace atractiva para los atacantes. “El hecho de que los adjuntos HTML contengas código legítimo, y el único elemento revelador sea un elemento que conecta con un host malicioso, es lo que los atacantes aprovechan. De esta forma, es más fácil eludir las políticas antispam, en comparación a las técnicas de phishing en las que el link está directamente en el cuerpo el correo electrónico. La popularidad de Zimbra entre las organizaciones de las que se espera que tengan menor presupuesto en IT, asegura que siga siendo un objetivo atractivo para los cibercriminales.”, concluye Gutiérrez Amaya, de ESET Latinoamérica.

Fuente: Relaciones Públicas, ESET – Ecuador

¿Cómo lograron unos estafadores un ataque MitM y la omisión de la 2FA en… 1915?

Los investigadores de ciberamenazas han estado dando la voz de alarma sobre el creciente peligro de los deepfakes. En concreto, aconsejan a los usuarios que ni siquiera confíen en lo que escuchan: en la era digital de la inteligencia artificial, la voz al otro lado de la línea puede no pertenecer a quien crees. Por cierto, ¿alguien adivina a qué le temía la gente hace más de cien años? En esa era mecánica del descubrimiento científico, desconfiaban de sus propios oídos. Después de todo, ¿cómo podían saber que la voz al otro lado de la línea era realmente de quien pensaban? Tiene sentido, ¿verdad? De hecho, solo tienes que echar un vistazo al caso de robo de identidad representado en una película filmada en 1915 que usa una tecnología entonces sofisticada para robar dinero de una cuenta bancaria. Bienvenido al mundo del serial de cine mudo francés Les Vampires.

Les vampires

Un pequeño spoiler: si estabas esperando a esos monstruos sobrenaturales chupadores de sangre, sentimos decepcionarte. El personaje principal, el periodista Philippe Guérande, se enfrenta a una atrevida banda criminal que se autodenomina “los vampiros”. A pesar de su antigüedad, la película tiene mucho que ofrecer en términos de seguridad de la información. Solo tienes que fijarte en la primera escena, que ilustra por qué el acceso de terceros a los documentos corporativos debe estar prohibido.

Los propios vampiros llaman la atención por su uso de lo que entonces se consideraban métodos de alta tecnología. Una gran parte del episodio 3 (Le Cryptogramme Rouge) está dedicada al criptoanálisis: Guérande busca patrones en las notas cifradas de los villanos. Mientras que el episodio 7 (Satanus) está basado en un intento de copiar la identidad de otro. Pero ¿cómo puede alguien lograr este robo de identidad armado únicamente con tecnología de principios del siglo XX?

Un robo de identidad en 1915

En pocas palabras, la estrategia criminal es la siguiente: los vampiros se enteran de que el magnate estadounidense George Baldwin está de viaje en París, donde deciden quitarle parte de su dinero. Para ello, idean un ataque de varias etapas. Primero, se las arreglan para que una de los suyos, Lily Flower, entreviste al millonario haciéndose pasar por una periodista de la revista Modern Woman. La delincuente convence a Baldwin para que escriba unas cuantas palabras en un cuaderno y añada la fecha y su firma poniendo de excusa que su revista publica todos los meses la cita de una celebridad.

A continuación, una vendedora que afirma ser de Universal Phonograph Company visita al millonario con una nueva pieza mágica de la tecnología: un fonógrafo real, el primer dispositivo capaz de grabar y reproducir sonido. La vendedora le explica a Baldwin que es política de empresa grabar las voces de las personas famosas que visitan París. Cayendo en la trampa, dicta la única frase que puede pronunciar en francés: “Las mujeres parisinas son las más encantadoras que he visto en mi vida” y agrega “¡Sí, señor!” en ingles al final.

A partir de aquí queda revelada la naturaleza completa de la estafa al espectador. El propósito de la primera etapa era, por supuesto, robar la firma del magnate. Debajo de la hoja en la que Baldwin dejó su autógrafo había una especie de papel de calco que capturaba debidamente la firma y fecha. Encima de esto, los delincuentes escriben una orden falsa que obliga al New American Bank a pagar a Lily (la periodista) la suma de 100.000 dólares estadounidenses (una suma importante hoy en día, así que ¡imagínate su valor hace un siglo!).

Después, secuestran a la telefonista del hotel de Baldwin y envían a otra cómplice en su lugar con una nota: “Estoy enferma, envío a mi prima para que me sustituya”. La gerencia del hotel se traga este truco primitivo y pone a la desconocida a cargo del teléfono.

Mientras tanto, Lily se dirige al banco con la orden de pago falsa. El cajero decide verificar la legitimidad de la transacción y llama al hotel donde se hospeda Baldwin. Allí, la operadora falsa reproduce la grabación del millonario pronunciando su eslogan, que acaba por convencer al cajero.

¿Es realmente factible esta estrategia?

Todo suena muy simple, ¿verdad? ¿Cómo diablos iba a conocer un cajero parisino de un banco estadounidense en 1915 la firma, y mucho menos la voz, de un millonario estadounidense? Por no hablar del hecho de que las líneas telefónicas de por aquel entonces probablemente habrían distorsionado la voz quedando irreconocible. Dicho esto, en sí es una implementación clásica de un ataque de intermediario (MitM): el cajero está seguro de que la voz pertenece a Baldwin, quien a su vez piensa haber proporcionado un mensaje a la “compañía de fonógrafos”.

Además, la película muestra cómo evitar una 2FA, con el robo de la firma y la confirmación de voz falsa. Claro, todo esto ahora se hace usando tecnologías digitales, pero el escenario de ataque central sigue siendo el mismo. Por tanto, las principales contramedidas podrían haberse formulado hace más de un siglo:

• No dar acceso a personas ajenas a los canales de comunicación (operador falso).
• No compartir datos personales confidenciales con nadie, nunca (firma y biometría de voz).
• En caso de duda, comprobar minuciosamente la legitimidad de la instrucción (la frase “las mujeres parisinas son las más encantadoras que he visto en mi vida” no es la verificación más sólida).

Ahora, puedes seguir esta maravillosa serie de películas en Wikipedia. Sin embargo, si tus empleados no están listos para seguir los consejos de ciberseguridad del cine mudo, te recomendamos que utilices nuestra plataforma interactiva Kaspersky Automated Security Awareness Platform en su lugar.

Fuente: www.latam.kaspersky.com

Las páginas web y direcciones de correo electrónico falsas son bastante usadas en ataques de phishing y dirigidos. ¿Sabes cómo se crean los dominios engañosos y cómo detectarlos?

Recibes en tu correo electrónico del trabajo uno que te pide que modifiques la contraseña del mismo, que confirmes tu periodo de vacaciones o que realices una urgente transferencia de dinero solicitada por el CEO. Este tipo de inesperadas peticiones pueden ser el inicio de un ciberataque para la compañía en la que trabajas, por lo que tienes que asegurarte de que no se trata de una estafa. ¿Cómo puedes, por tanto, comprobar las direcciones de correo electrónico y los enlaces a las páginas web?

La pieza central de una falsificación es por lo general el nombre del domino; eso es, la parte siguiente al @, o el inicio del enlace. Su objetivo es que inspire confianza a la víctima. Claro, a los ciberdelincuentes les encantaría secuestrar un dominio oficial de la empresa objetivo, o de alguno de sus proveedores o socios comerciales, pero en las primeras etapas de un ataque no existe esa opción. En su lugar, antes de atacar, registran un dominio que sea similar al de la organización donde trabaja la víctima – y esperan que no note la diferencia. Este tipo de ataques se denomina ataques similares. El siguiente paso es alojar una página web falsa en el dominio o enviar correos electrónicos engañosos desde los buzones asociados a él.

En este artículo vamos a explorar los diferentes trucos que utilizan los atacantes para evitar que se descubra la suplantación del dominio.

Homoglifos: diferentes letras, misma ortografía

Un truco es usar una letra que visualmente sea muy similar o sea casi indistinguible. Por ejemplos, una “L” minúscula (l) en muchas fuentes es prácticamente idéntica a la letra capital “i” (I), por ello enviado desde el correo electrónico JOHN@MlCROSOFT.COM engañaría incluso a los más avispados. ¡Por supuesto que la dirección real del remitente es john@mLcrosoft.com!

El número de dobles diabólicos aumentó después de que sea posible registrar dominios en diferentes idiomas, incluidos aquellos que no usan el alfabeto latino. La “ο” griega, la “о” rusa y la “o” latina son totalmente indistinguibles para el ojo humano, pero para los ojos de un ordenador se trata de tres letras distintas. Esto hace posible que sea posible registrar un gran número de dominios que son parecidos a microsоft.cοm utilizando diferentes combinaciones de os. Esta técnica de incluir caracteres visualmente similares es conocida como homógrafos o ataques homográficos.

Combosquatting: un poco más

Combosquatting se ha hecho muy popular entre los cibercriminales en los últimos años. Para imitar un correo electrónico o una página web de la compañía objetivo, se crea un dominio que combina su nombre con una palabra clave relevante, como Microsoft-login.com o SkypeSupport.com. El asunto del correo electrónico y el final del dominio deben coincidir: por ejemplo, una advertencia de acceso no autorizado a una cuenta de correo electrónico que podría vincular a un sitio con la alerta de Outlook de dominio.

La situación ha empeorado por el hecho de que las compañías realmente tienen dominios con palabras clave. Por ejemplo, login.microsoftonline.com es un ejemplo real y legítimo de la página web de Microsof.

De acuerdo con Akamai, la combinación de combosquatting más habitual es utilizar combinaciones con alguna de estas palabras: support, com, login, help, secure, www, account, app, verify y service. Dos de estos – www y com – merecen una mención aparte. La razón es que se encuentran a menudo en los nombres de sitios web y es posible que un usuario distraído no detecte el punto que falta:  wwwmicrosoft.com, microsoftcom.au.

Suplantación de dominio de nivel superior

A veces, los cibercriminales logran registrar un doppelganger en un dominio de nivel superior (TLD) diferente, como microsoft.co en vez de microsoft.com, o office.pro en lugar de office.com. En este caso, el nombre de la empresa suplantada puede seguir siendo el mismo. Esta técnica se conoce como TLD Squatting.

Una sustitución como esta puede ser muy efectiva. Recientemente se informó que, durante más de una década, varios contratistas y socios del Departamento de Defensa de Estados Unidos han estado enviando por error correos electrónicos al dominio .ML que pertenece a la República de Malí en lugar de al dominio .MIL del ejército estadounidense. Solo en 2023, un contratista holandés interceptó más de 117.000 correos electrónicos enviados por error a Malí en lugar de al Departamento de Defensa.

Typosquatting: dominios mal escritos

La manera más simple (y más temprana) de producir dominios doppelganger es explotar varios errores tipográficos que sean fáciles de hacer y difíciles de detectar. Aquí hay varios tipos de variación: añadir o eliminar dobles (ofice.com en vez de office.com), añadir o eliminar signos de puntuación (cloud-flare o c.loudflare en lugar de cloudflare), reemplazar letras con sonido similar (savebank en vez de safebank), etcétera.

Los errores tipográficos fueron por primera vez utilizados como armas por los spammers y estafadores publicitarios, pero hoy en día estos trucos se usan junto a contenido de páginas webs falsas para sentar las bases del phishing y el compromiso de correo electrónico comercial (BEC).

Cómo protegerse de ataques contra dominios doppelganger y similares

Los homoglifos son los más difíciles de detectar y casi nunca se usan con fines legítimos. Por ello, los desarrolladores de navegadores y, en parte, los registradores de dominio intentan defenderse de tales ataques. En algunas zonas de dominio, por ejemplo, está prohibido registrar nombres con letras de diferentes alfabetos. Pero en otro muchos TLDs no existe tal protección, por lo que debes de confiar en las herramientas de seguridad. Es cierto que muchos navegadores tienen una forma especial de mostrar los nombres de dominio que contienen una combinación de diferentes alfabetos. Lo que sucede es que representan el enlace en punycode, por lo que se parece a esto: xn--micrsoft-qbh.xn--cm-fmc (esta es la página web de microsoft.com con dos os rusas).

La mejor manera de defenderse de los typosquatting y combosquatting es prestar atención. Para poder hacerlo recomendamos que todos los empleados reciban formación básica en ciberseguridad para aprender sobre las principales técnicas de phishing.

Desafortunadamente, el arsenal de los ciberdelincuentes es amplio y no hay manera de limitar los ataques similares. Cuando uno de ellos está muy bien ejecutado para dirigirse a una empresa específica, no es suficiente con que el personal esté atento. Por ejemplo, este año se han creado ataques, al clonar la puerta de enlace de la intranet de Reddit, que redirigía a sus empleados a una página web falsa que comprometía la seguridad de la empresa.  Por lo tanto, los equipos de seguridad de la información deben pensar no solo en la capacidad de sus empleados, sino también en importantes herramientas de protección:

• Protección especializada de servidores correo de spam y spear phishing. Por ejemplo, Kaspersky Security for Mail Server que detecta correos electrónicos maliciosos usando el machine learning y bases de datos de spam actualizadas en tiempo real. Este sistema es, además, capaz de “detonar” correos electrónicos sospechosos poniéndolos en sandbox o en cuarentena.
• Protección para todos los dispositivos de los empleados – incluyendo sus teléfonos y ordenadores personales que usan para trabajar. Esto aumenta la seguridad en general y es clave para interceptar enlaces y archivos maliciosos que no se envían a través del correo electrónico, pero sí a través de otras vías como pueden ser las redes sociales.

Fuente: www.latam.kaspersky.com/

La empresa británica Juno Computers ha anunciado la apertura de las reservas de su nueva tablet con procesador x86, Juno Tab 2, la cual es posible adquirir con Mobian Phosh, Debian Plasma Mobile, Manjaro Plasma Mobile, Ubuntu 22.04 LTS o Ubuntu 23.04 como sistema operativo. Debido a que es un equipo Intel, debería soportar cualquier distribución Linux que al menos suministre las versiones de Linux y Mesa mínimas capaces de poner en funcionamiento los componentes que incorpora.

Profundizando en las características de la tablet, la Juno Tab 2 tiene una pantalla táctil IPS de 11 pulgadas que soporta una resolución de 2.160×1.440 píxeles y una tasa de refresco de 60Hz. Como procesador implementa un Intel Celeron N5100 de la familia Jasper Lake con gráficos integrados, cuatro núcleos físicos, cuatro hilos (un hilo por núcleo), una velocidad base de 1,1GHz y una frecuencia máxima de 2,80GHz, todo eso acompañado de 12GB de RAM a 3.200MHz como única configuración disponible en ese frente.

En lo que respecta al almacenamiento interno para datos, el usuario puede adquirir la tablet con 128GB, 256GB, 512GB, 1TB o 2TB mediante un SSD por interfaz NVMe y factor de forma M.2. Por otro lado, para la conectividad cuenta con un USB 2.0, un USB 3.1 Type-C sin soporte de carga ni vídeo, un USB 3.1 Type-C con soporte de salida de vídeo y recarga de la batería, una ranura para MicroSD, un conector jack de 3,5 milímetros para auriculares, un conector DC para el cargador, un micrófono incorporado, Wi-Fi Intel Dual Band Wireless-AC 7265 y Bluetooth 4.2.

La batería de la Juno Tab 2 es de 2.500mAh, sus dimensiones de 249 x 175 x 10 milímetros y su peso de 0,64 kilogramos aproximadamente. Por ahora solo puede ser reservada desde Estados Unidos al precio de 525 dólares, pero viendo que Juno Computers tiene su sede en Londres, puede que en un futuro sea comercializada en suelo europeo.

Como vemos, la Juno Tab 2 no es una tablet especialmente potente y es evidente que está orientada principalmente a tareas básicas. Por otro lado, su precio no parece ser el más atractivo, pero al menos su compatibilidad con Linux debería de estar garantizada por su propio vendedor, que está dedicado a equipos hechos para funcionar con el sistema de código abierto.

Fuente: www.muylinux.com

Se identificó una campaña que distribuía un troyano de acceso remoto con el objetivo de espiar y robar información de los equipos comprometidos.

Quito, Ecuador – El Laboratorio de Investigaciones de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, analizó una campaña maliciosa dirigida principalmente a Ecuador durante la primera parte del año en la que atacantes intentaron infectar a las víctimas con el troyano de acceso remoto njRAT. Los cibercriminales detrás de esta campaña pusieron el foco en empresas privadas, entidades gubernamentales y entidades del sector de salud.

Países en los que se detectó esta campaña dirigida. Ecuador lidera en las detecciones, seguido por Colombia y Guatemala, aunque en menor proporción.

“El objetivo de la campaña era descargar en los sistemas de las víctimas un Troyano de Acceso Remoto conocido como njRAT, que permite a los atacantes realizar remotamente diversas acciones maliciosas en el equipo comprometido. Por ejemplo, realizar capturas de pantalla, registrar pulsaciones de teclado para robar credenciales o incluso manipular los registros de Windows.”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Para distribuir esta amenaza los ciberatacantes utilizaron correos electrónico falsos, que en algunos casos suplantaron la identidad de la fiscalía general de Ecuador haciendo referencia a una supuesta demanda al usuario, y en otros utilizaron como señuelo supuestas infracciones de tránsito. Estos correos contenían un archivo adjunto malicioso que era detectado por las soluciones de ESET como VBS/Agent.QOD. Por la manera en que están redactados los correos y diferentes anotaciones en español hechas en el código, se puede suponer que los cibercriminales detrás de esta campaña podrían ser personas que residen en la región.

Ejemplo de correo utilizado en la campaña suplantando la identidad de la fiscalía general del estado de Ecuador.

El siguiente diagrama muestra el proceso de infección del código malicioso utilizado por los cibercriminales en esta campaña, partiendo desde la recepción de un correo electrónico que contiene adjunto un archivo malicioso comprimido, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: njRAT.

Diagrama de infección. Fuente: Laboratorio de investigación ESET Latinoamérica.

Durante la investigación se encontraron dos dominios diferentes empleados para la comunicación hacia los servidores controlados por los cibercriminales. Partiendo de estos dominios, se pudo determinar que los cibercriminales han usado 14 direcciones de IP diferentes para comunicarse con ellos. En la gran mayoría de los casos, los cibercriminales emplean el servicio Duck DNS para la creación de los dominios y a su vez, para las direcciones de IP, emplean servicios de VPN como FrootVPN o IP relacionadas con algún ISP de Colombia.

“Esto último no implica necesariamente que los cibercriminales detrás de esta campaña sean residentes de ese país, sino que es posible que utilicen algunas de sus víctimas como proxies para reenviar la comunicación hacia los servidores reales. Además, hemos visto que utilizan sitios gratuitos como Firebase, Discord y pasteio para alojar sus códigos maliciosos. Esto puede servir como una medida de evasión porque estos sitios suelen utilizarse con fines no maliciosos, lo cual puede generar dificultades en la detección y respuesta ante un posible incidente.” explica Gutiérrez Amaya, de ESET.

Campañas recientes apuntando a organismos de América Latina con commodity malware

Es importante destacar que esta campaña se suma a la lista de campañas recientes dirigidas a organismos públicos y empresas privadas de países de América Latina en las que los cibercriminales utilizan commodity malware con el principal objetivo de robar información. El equipo de investigación de ESET viene monitoreando este tipo de campañas dirigidas a organismos públicos y empresas privadas de la región y que desde 2021 han sido constantes.

En el caso de Ecuador, en agosto de 2022 se compartió el informe sobre Operación Pulpo Rojo, una campaña apuntada a organismos gubernamentales, organizaciones del sector de la salud y empresas privadas de Ecuador para infectar con el RAT Remcos. En esta oportunidad los operadores detrás de la campaña también utilizaron correos falsos haciéndose pasar por la fiscalía general de Ecuador.

En 2021 ESET compartió detalles de lo que fue Operación Spalax, una campaña orientada a Colombia en la que utilizaron troyanos de acceso remoto como Remcos, njRAT y AsyncRAT. Operación Bandidos fue descubierta el mismo año y estuvo dirigida principalmente a Venezuela. Entre las más recientes están Operación Guinea Pig orientada principalmente a México y Operación Absoluta que tuvo actividad principalmente en Colombia, ambas detectadas entre fines de 2022 y comienzos de 2023.

Consejos de seguridad

Dado que este tipo de amenaza se distribuye por medio de correos electrónicos que contienen archivos comprimidos maliciosos adjuntos, ESET comparte distintas recomendaciones para tener en cuenta y evitar ser una posible víctima:

• Revisar el correo electrónico prestando atención a la dirección de donde proviene, el nombre de la persona que lo envía y el contenido del mismo.
• No abrir ningún email si hay motivos para dudar, ya sea del contenido o de la persona que lo envió.
• No descargar archivos adjuntos de correos si se duda de su recepción o de cualquier otra cosa.
• Revisar las extensiones de los archivos. Por ejemplo, si un archivo termina con “.pdf.exe” la última extensión es la que determina el tipo de archivo, en este caso sería “.exe” un ejecutable.
• Si un email tiene un enlace y se duda de la página a la que envía, no abrirlo.
• Ser prudentes al descargar y extraer archivos comprimidos .zip/.bz2 de fuentes no confiables, ya que pueden ser utilizados para ocultar códigos maliciosos y evadir ciertos mecanismos de seguridad.
• Tener los equipos y aplicaciones actualizados a la versión más reciente.
• Mantener actualizadas las soluciones de seguridad instaladas en el dispositivo.
• Prestar atención sobre cualquier actividad anómala o no común sobre los aplicativos utilizados para navegación segura de entidades bancarias. En caso de detectar dicha actividad, terminar de inmediato la ejecución y escanear el equipo con un producto de seguridad.

Fuente: Departamento de Comunicación y Prensa – ESET Ecuador

Se analiza los engaños a los que se está expuesto cuando se planean vacaciones y los peligros durante estadías y traslados; y advierte cuáles son y cómo evitar ser víctima.

Ecuador – El fraude de viajes es uno de los mayores ingresos para los ciberdelincuentes: en 2022 se presentaron más de 62,400 informes de víctimas ante la Comisión Federal de Comercio de los Estados Unidos, solo los casos reportados implicaron una pérdida media de 1259 dólares por víctima, 104 millones en total. ESET, compañía líder en detección proactiva de amenazas, advierte que si se están planeando las próximas vacaciones, se debe prestar atención a las estafas que circulan en internet y que aprovechan la emoción e ilusión de encontrar esa oferta y oportunidad que parece única. Además, tener en cuenta los modos de ataques que se pueden enfrentar cuando ya se esté viajando o en el destino.

Según la asociación comercial de agentes de viajes del Reino Unido ABTA, los tipos más comunes de fraude de reservas de vacaciones involucran alojamiento, boletos de avión, viajes deportivos y religiosos, y tiempos compartidos y clubes de vacaciones.

ESET alerta sobre los 8 tipos de fraude más comunes y otras amenazas que se aprovechan de los viajeros:

Falsas vacaciones gratis: Las víctimas son contactadas a través de correos electrónicos, llamadas o mensajes de texto que afirman que han ganado unas vacaciones. Si responden, los estafadores pedirán una tarifa para desbloquear sus vacaciones “gratis”, con la excusa, muchas veces, de que se deben pagar solo impuestos. Por supuesto, el premio es falso, y los estafadores reciben el dinero de esa supuesta suma para “desbloquear” el premio.

Beware of this SCAM impersonating Emirates.
The WhatsApp message invites you to click a link where you can ‘win’ a free holiday with Emirates. This scam has also appeared on Facebook.
If you think you've shared personal/financial information with a scammer, contact your bank. pic.twitter.com/1Fw0PUE3Gj

— Trading Standards NI (@TSSNI) August 22, 2022

 Sitios clonados: Los correos electrónicos, mensajes de texto y llamadas de phishing y / o anuncios en línea también pueden atraer a las víctimas a visitar sitios falsos de aerolíneas, vacaciones, u hospedajes que simulan ser los legítimos.  Las víctimas reciben correos electrónicos de confirmación falsos o números de reserva, por lo que muchas víctimas solo se dan cuenta del engaño cuando llegan a registrarse, sea a la aerolínea, al hotel, o al servicio que creían estar comprando.

The #ScamwiseNI Partnership bring you the tale of a young couple scammed out of their money because of a fake holiday website.

Be alert to holiday scams! Be scam aware! pic.twitter.com/tTDOUlPubL

— NI Cyber Security Centre (@NICyberSC) August 3, 2020

 Entradas / vacaciones con descuento: Otra forma de engaño es a través de ofertas de grandes descuentos en vacaciones, vuelos, hoteles y otros paquetes. En este caso, los boletos pueden ser legítimos, pero la razón por la se compran con descuento es porque se usaron tarjetas robadas o cuentas secuestradas. Las víctimas corren el riesgo de que sus estadías se vean interrumpidas cuando se descubre el fraude. Estos engaños suelen anunciarse a través de las redes sociales, correos electrónicos no deseados o incluso llamadas automáticas.

‘Ayuda’ con documentos de viaje internacionales: Algunos sitios pretenden ayudar a las víctimas a obtener una visa de viaje, pasaporte, permiso de conducir internacional u otros documentos. Pueden hacerse pasar por sitios web del gobierno como el sitio web del Departamento de Estado de los Estados Unidos. Sin embargo, cobran tarifas extremadamente altas, incluso por servicios que generalmente son gratuitos, y es más que probable que el documento resultante sea falso.

Scam alert! The @StateDept will NOT contact you directly about your entry for DV-2024. You must use the Entrant Status Check at https://t.co/XA5VIvD8bS to see if you were selected to participate. If you receive an e-mail, text, call, or letter notification, these are scams. pic.twitter.com/PcbBmwydY5

— Travel – State Dept (@TravelGov) May 15, 2023

 Hospedajes falsos: El aumento de ofertas online de opciones de hospedaje, también es aprovechado por los estafadores. Frecuentemente insertan sus propios listados en sitios web legítimos, pero de propiedades que no existen, no están en alquiler o que existen pero no es un anuncio válido, por lo que la reserva es inválida. Es importante considerar siempre reservar hospedaje a través de sitios de buena reputación que ofrecen protección contra listados falsos.

 Estafas de vuelos privados: Los estafadores también usan paquetes de alquiler de aviones privados, combinados con alojamiento, para atraer a las víctimas. Lo mismo que en los otros casos: se quedan con el dinero, desaparecen y dejan a la víctima con las manos vacías.

Amenazas Wi-Fi: Los riesgos no terminan cuando ya se está viajando (y se ha planificado el viaje con cuidado de no caer en estafas), ni cuando se está en destino. En un aeropuerto, una cafetería u otro espacio público, es importante resistir la tentación de iniciar sesión en las cuentas bancarias u otras cuentas valiosas utilizando el Wi-Fi público gratuito. Si por algún inconveniente es necesario, es importante utilizar un servicio de red privada virtual (VPN) de buena reputación que cifre la conexión y proteja del robo de datos personales.

“¿Por qué es mejor evitar el Wi-Fi gratuito? Porque puede ser un punto de acceso falso configurado por ciberdelincuentes que buscan espiar tu sesión de navegación web para robar contraseñas y datos personales / financieros. Incluso si el punto de acceso es legítimo, los piratas informáticos pueden estar al acecho en la misma red para espiar actividad en línea. O pueden vulnerar la red para distribuir malware.”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Es muy común buscar dónde cargar los dispositivos mientras se está viajando. Aquí surge una conocida amenaza: el juice jacking. Los delincuentes suelen cargar malware en estaciones de carga por USB públicas o cables que se dejan enchufados en las estaciones. El dispositivo de la víctima puede resultar comprometido con malware diseñado para secuestrar el dispositivo y / o robar datos y contraseñas

Cómo mantenerse seguro en esta temporada de vacaciones, según ESET:

• Investigar sobre compañías de viajes, hoteles, alquileres y agentes de viajes para ver si otros han sido estafados.
• Nunca responer comunicaciones no solicitadas. Ponerse en contacto directamente con la organización, y nunca a través de los datos de contacto en el correo electrónico / texto / anuncio.
• No pagar con transferencias bancarias, tarjetas de regalo, criptomonedas o aplicaciones que no ofrezcan protección para el comprador. Una vez que el dinero se ha ido, se ha ido.
• Verificar la URL de cualquier sitio que se visita para asegurarse de que no sea un sitio falsificado.
• Tener cuidado: si algo suena demasiado bueno para ser verdad, generalmente no lo es.
• No visitar sitios web oscuros que ofrecen vacaciones y boletos con grandes descuentos.
• No usar el Wi-Fi público sin una red privada virtual (VPN) y evitar usar estaciones de carga públicas.

Fuente: Departamento de Comunicación y Prensa. ESET, Ecuador