Si el año 2012 en términos globales ha sido especialmente intenso en cuanto a incidentes de seguridad se refiere, el mes de diciembre no ha cambiado la tendencia y ha discurrido no exento de sobresaltos, sustos y acciones que han tenido su impacto. Los ciberataques y el hacktivismo, las redes sociales y los problemas de privacidad, las vulnerabilidades tanto en hardware como en software así como masivas campañas de spam han saltado a los titulares con hechos como los resumidos a continuación.
Ciberataques y hacktivismo
El mes de diciembre fue muy activo en lo que operaciones hacktivistas se refiere. El conflicto entre varios países musulmanes e Israel fue la excusa perfecta para que las protestas se extendieran a la red y comenzasen las filtraciones de datos privados y la modificación de páginas web por mensajes apoyando a uno u otro bando, como las operaciones #OpIsrael u #OpFuckMohammad.
En menor medida, pero también con la inestabilidad política en Oriente Medio como telón de fondo, nació la #OpSyria, para condenar los ataques del Gobierno sirio a su población. Entre las acciones drásticas tomadas en este conflicto figura la desconexión de ese país de Internet durante unos días, acusándose del hecho mutuamente las dos facciones en conflicto.
Las instituciones educativas y más en concreto las universitarias también fueron víctimas de este tipo de ataques tal y como pudimos comprobar con los ataques sufridos por parte de las universidades de Macquarie en Australia y la de Michigan en Estados Unidos. En la primera de ellas los atacantes afirmaron haber obtenido alrededor de un millón de contraseñas almacenadas en texto plano mientras que responsables de la universidad rebajaban esta cifra a 2.600 cuentas con las contraseñas cifradas.
Un objetivo clásico de este tipo de ataques es la NASA, que vio cómo su seguridad, junto con la de otras agencias aerospaciales como la European Space Agency, el Crestwood Technology Group – CTG123, Bigelow Aerospace, California Manufacturers & Technology Association – CMTA.net, Aerospace Suppliers y World Airport Transfers también vieron cómo se filtraban datos supuestamente privados por obra y arte del grupo GhostShell.
El ciberataque curioso del mes fue el sufrido por varias webs de contenido adulto que vieron vulnerada su seguridad, de forma que los atacantes colgaron en varios sitios de Internet miles de credenciales de acceso a servicios pornográficos online de pago.
Una de las últimas actividades del año del colectivo Anonymous consistió en preparar la #OpPedoChat, una operación que pretendía exponer a pederastas usuarios de Twitter para que se tomasen acciones contra ellos. Si bien las formas usadas no fueron las más ortodoxas, esta acción permitió destapar las actividades encubiertas de estos individuos e incluso alguno vio cómo se cancelaba su cuenta de Twitter y se emprendían acciones legales contra su persona.
En el ámbito nacional, diciembre fue el mes en el que los datos aportados por el Centro Criptográfico Nacional desveló que 2012 ha sido el peor año en cuanto a ciberataques contra las altas instituciones del Gobierno español. La mayoría de estos ataques según el CCN fueron atribuidos al grupo hacktivista Anonymous y tenían como objetivos tanto a dispositivos de uso personal de altas personalidades gubernamentales, como móviles, portátiles y tablets, como a servidores clave de las instituciones mencionadas anteriormente.
Redes sociales
Las redes sociales también han dado que hablar tanto por los fallos y vulnerabilidades que han sufrido como por la excesiva confianza de los usuarios a la hora de pulsar sobre un enlace sospechoso. Hemos visto y analizado un par de casos de publicaciones en Facebook que, haciéndose pasar por vídeos que despertaban la curiosidad de los usuarios, obtenían el permiso de estos para poder publicar en su muro.
Tanto Twitter como Facebook vieron cómo se hacía pública una vulnerabilidad que se aprovechaba de la función de enviar o recibir actualizaciones vía SMS que incorporan estas redes sociales. Aprovechándose de este fallo, cualquiera podía publicar mensajes en nuestro nombre si conocía el número de teléfono asociado a la cuenta.
Facebook también fue protagonista durante el pasado mes de diciembre debido a un error que hizo inaccesible el servicio durante varios minutos. Ese mismo día Google también presentó dificultades para acceder a varios de sus servicios como Gmail, Google Calendar, Google Play, Google Drive y Google Docs durante un buen rato. Según ambas empresas, esta caída del servicio se debió a fallos técnicos aunque no tardaron en aparecer supuestos hackers que querían atribuirse el mérito.
Privacidad
A principios de diciembre todavía coleaba el conocido como “caso de las fotos de las chicas de Deusto“. Este hecho, que tuvo en vilo a muchas personas durante varios días hasta que se desveló que no hubo ningún robo de información desde los móviles de los estudiantes, demuestra la facilidad con la que se puede propagar un bulo, aunque no se debería bajar la guardia sólo por el hecho de que, en esta ocasión, ninguna de las fotos difundidas se correspondiese con estudiantes de Deusto.
El manejo de nuestros datos personales y de la información que publicamos en las redes sociales también dio mucho que hablar el mes pasado. Primero Facebook anunció cambios en sus políticas de privacidad tras haber finalizado el periodo de consulta en el que los usuarios teníamos derecho a opinar sobre si queríamos que se mantuviesen las políticas actuales o aceptábamos cambios. Al no haber votado el 30% mínimo (se estima que la participación apenas llegó al 1 %) Facebook asume que está en su derecho de cambiar estas políticas de privacidad a su antojo sin que los usuarios puedan reclamar.
Pero la decisión que más controvertida fue la que tomó Instagram (propiedad de Facebook, recordemos) cuando anunció cambios en su política de propiedad intelectual. En pocas palabras, Instagram se reservaba los derechos perpetuos de venta de las fotos que los usuarios hubieran subido y compartido a través de esta red sin ningún tipo de obligación a pago o a notificación. Esto desató muchas críticas que hicieron que un representante de la compañía saliese a intentar aclarar el asunto y que, si bien minimizó el impacto de estos cambios, no dejó del todo claro la política que seguirían en el futuro.
Vulnerabilidades en software
Hotmail, el popular servicio de correo electrónico de Microsoft conocido ahora como Outlook, vio cómo se publicaba una vulnerabilidad que permitía el robo de sesiones aunque esta se encontrase cerrada. Los pasos a seguir para conseguirlo eran relativamente sencillos y se resumían en conseguir las cookies del navegador desde el que se hizo el acceso e importarlas a otro navegador.
Una buena noticia para todos los que se preocupan por la seguridad de las aplicaciones instaladas en su sistema fue la que dio Oracle al anunciar que empezará a actualizar automáticamente a la versión más reciente a aquellos usuarios que aún estén usando JRE 6 (Java Runtime Enviroment) a partir del mismo mes de diciembre, actualización que incluye la opción de que el usuario configure su seguridad.
Uno de los plugins más usados en el popular gestor de contenidos Wordpress fue noticia a finales de mes al anunciarse una vulnerabilidad en W3 Total Cache. Esta vulnerabilidad permite aprovecharse de un fallo en la forma en que W3TC almacena la caché de la base de datos en un directorio de acceso público y que podría ser usado para obtener los hash de las contraseñas y otra información de la base de datos.
Vulnerabilidades en hardware
En lo que respecta a vulnerabilidades en dispositivos distintos a los ordenadores, Samsung se ha llevado la palma sin duda alguna durante el mes pasado. Primero vimos cómo se publicaba una vulnerabilidad en ciertos modelos de Smart TV de la marca coreana que permitiría ganar acceso total al televisor y a cualquier dispositivo USB conectado a él, entre otras muchas opciones.
El otro incidente de seguridad en el que se vio envuelto Samsung tiene relación con el procesador Exynos, el cerebro de dispositivos tan populares como el Galaxy SII, Galaxy SIII o el Galaxy Note II entre otros. Según el investigador que hizo público este descubrimiento, el grave agujero de seguridad permite acceder a la memoria física del dispositivo, lo que equivale a poder acceder a cualquier dato que se esté almacenando en la RAM, incluyendo el directorio virtual para la memoria que usa el kernel del sistema. En la práctica esto se traduce en un control total del dispositivo.
Malware
En diciembre analizamos un troyano bancario que lleva meses dando que hablar: Win32/Gataka, que tiene muchas características que lo hacen peculiar. Entre ellas, las capacidades de inyección web de este troyano son bastantes interesantes. La idea de tener un módulo JavaScript centralizado para utilizarlo como método de acceso a todas las funcionalidades de la plataforma principal es particularmente llamativo, por lo que no descartamos nuevos análisis en el futuro.
Otro malware que analizamos en nuestro blog fue el conocido como Win32/Spy.Ranbyus. Este troyano bancario presenta una característica realmente interesante puesto que muestra cómo es posible saltarse el firmado/autenticación de las transacciones de pago con dispositivos smartcard. Con técnicas de este tipo Ranbyus ha conseguido el liderato entre el malware bancario en la región de Ucrania.
El malware para sistemas Mac también ha estado presente en los análisis de nuestro laboratorio durante el mes pasado y en nuestro blog analizamos una nueva muestra para estos sistemas que estaba siendo propagada en una web relacionada con el Dalai Lama. Esta web incluía una línea de código puesta allí por los atacantes y que hacía que los visitantes de esta web se descargasen un applet de java. Este applet intentaba aprovecharse de la misma vulnerabilidad que usó el troyano Flashback durante la pasada primavera y que consiguió afectar a más de 600.000 equipos con Mac OS en todo el mundo.
Linux también tuvo su ración de amenazas y en nuestro blog analizamos Linux/Chapro.A, un módulo Apache malicioso que se estaba propagando preocupantemente. Este módulo se estaba usando para inyectar contenido malicioso en páginas web mostradas por servidores web y su finalidad era robar credenciales bancarias.
En el apartado de dispositivos móviles observamos cómo aparecía una variante para smartphones de Carberp, conocido troyano bancario que afecta principalmente a Rusia y países del este de Europa. Citmo, tal y como se conoce esta amenaza, está especializada en el robo de información bancaria y está pensada para romper los sistemas de doble autenticación que incorporan algunas entidades bancarias.