Contramedidas para Emotet: sustituyen malware por Gif’s.

En estos últimos días ha saltado otra vez a la palestra el troyano Emotet, toda una obra maestra de ingeniería de programación, pero dedicada a hacer el mal, y por dos cuestiones totalmente diferentes.

Ya nombramos a Emotet en una entrada de septiembre del año pasado, que era cuando estaba en auge. Este software se instala en los pcs, y como al principio no hace nada “malo”, pasa desapercibido con alguna de sus variantes, a los antivirus.

Es un contenedor, osea, que instala plugins a medida, según sector, país, etc…. digamos que el que creó el software, e infectó a ordenadores, vende campañas a medida a otros piratillas, que no se hacen su software.

Casi siempre se ha usado en España para robar datos bancarios, pero ha habido otras versiones, o como hemos dicho, otros plugins/campañas.

Troya-NO
Troya-NO

Pues una de estas noticias, que recoge Zdnet, y según el grupo hacker Cryptolaemus, ha logrado sustituir una buena parte de estas descargas de payloads, por Gifs animados. Según este grupo, quien creó Emotet, utilizó unas librerias opensource que se encuentra en Github, y que hace que las transferencias de los payloads no sean de forma segura.

Y la segunda, la semana pasada, es que “ha regresado” Emotet. Es una campaña dirigida a empresarios americanos, que se ha podido cuantificar en algo más de un cuarto de millón de emails, y que quieren entrar con la excusa de la factura.

El autor de esta campaña es el grupo TA52, y con este gancho, lo que intenta es instalar el propio Emotet o contenedores adicionales.

Y aunque para lo que más se ha usado este malware es para el robo de credenciales bancarias en ciertos países, puede estar inactivo esperando su addon, o robar credenciales de WordPress para tener sitios donde alojar material infectado, o hacer campañas a los contactos del infectado.

Y si creéis que habéis sido infectados, AQUÍ un artículo de INCIBE donde se os explica en detalle de como examinar vuestro equipo, o como limpiarlo si es necesario.

Leer más
No Comments

Primera edición del Cyberinsuranceday

Estaba anunciado para hace ya unas semanas, el primer Cyber Insurance Day, el día Nacional del Ciber-seguro, pero las circunstacias que todos conocemos, llevaron a aplazarlo.

cyberinsuranceday.es

Finalmente será la semana que viene, el 18 y 19 de Junio, en formato Online, como no, y con asistencia gratuita registrándote AQUÍ.

Con un programa muy completo, con las mejores marcas y representantes, INCIBE y CCN-CERT, habrá ponencias, talleres y zona de expositores virtual.

Ciberseguro MGS
Ciberseguro MGS

Nosotros llevamos apostando por los Ciber seguros desde el año pasado, y aparte del servicio de MGS Ciberseguridad, que incluye Endpoint de Inteligencia artificial+seguro de Ciber riesgo, trabajamos con corredurías especializadas en seguros, para tener siempre la mejor opción para nuestros clientes.

Leer más
No Comments

Ya la han colado.

Llevan semanas publicándose noticias sobre si Apple y Google iban a colaborar con los gobiernos para realizar una app a nivel mundial, para controlar el Covid.

A continuación, y en dos partes, junto con nuestros colaboradores de Tecnogados, os vamos a explicar que ha hecho Google a sus usuarios de Android. Es el primer artículo “conjunto”, ya que en cualquier otro tema, que tenga connotaciones legales, os daremos las dos versiones de nuevo.

¿Como lo iban a hacer? Pues instalándonos una app en nuestro dispositivo, geolocalizándonos, y a través de Bluetooth hablando con otros dispositivos para ver si estamos en contacto con gente infectada, o sitios que hayan sido foco.

google logo
google logo

Ya algunos países dijeron que tal como lo querían hacer estas empresas, no cumplían las directrices en privacidad y protección de datos, que habría que unificar criterios, a nivel Europeo mínimo, pero se negaron.

Pues bien, la cosa ha quedado que si vas a ajustes de Android, y Google, ya tenemos un apartado, que forma parte del sistema operativo, y nos lo han colado bien. Se llama “Notificaciones de exposición al COVID-19”.

En principio, esta es la base que hace de puente entre los diferentes programas de las regiones sanitarias, ve por donde te mueves, que dispositivos hay cerca, se comunica con ellos con “IDs aleatorios”, comprueba y coteja si están infectados con la base de datos de la autoridad sanitara, etc….

Amplían más información de como funciona, en la web de Google, AQUÍ.

Leer más
No Comments

Otro artículo de autoprotección: metadatos en ficheros ofimáticos.

Alguna vez hemos hablado de la importancia de los metadatos, aunque casi nadie se la dé (ni a los metadatos ni a muchas cosas en Ciberseguridad).

El artículo en cuestión era sobre un asesino en serio y como el FBI lo descubrió por lo anónimos que envío en disquette (si, un soporte de información externo de hace no muchos años).

Pues hoy en día se sigue usando, y mucho, los metadatos para temas de investigación Osint, ingeniería social, traceo de personas dentro de una organización, localización física, etc…

Metadatos
Metadatos

El caso que nos ocupa son los archivos ofimáticos, y que guardan estos:

  • La versión exacta del software usado,
  • Fecha y hora exacta, que no miente, a no ser que probemos que nuestro uso horario está en manual, y desincronizado, como vi en una ocasión (y no era queriendo, pero le daba lo mismo).
  • Los datos propios del archivo, como formato, párrafos, revisiones, anotaciones, etc…
  • Las máquinas por las que ha pasado el archivo, junto con el nombre de red, o servidores. También nombres de los usuarios o del registro del software.
  • Ampliando lo anterior, pueden ir también datos de información de identificación personal PII, como encabezados de correo electrónico, listas de distribución, plantillas….
  • Texto, columnas o filas ocultas, comentarios y datos XML personalizados.
  • Macros, archivos incrustados, objetos, filtros y hasta la caché.
  • Encuestas de Excel.

Y podríamos seguir, con cualquier tipo de software ofimático, e ir sumando datos.

Y a la gente que le da igual, ¿y que van a hacer con esos datos?

Pueden enviarnos scripts o macros personalizados, apuntando a vulnerabilidades que nos afecten para infectarnos con software espía o de control.

Saber nombres de servidores, máquinas de la red, junto con nombres de usuarios, para apuntar y escalar privilegios.

Cualquiera de estos datos puede ser usado en nuestra contra en un tribunal, ya que se aceptan como prueba. Esto nos lo ampliará nuestro colaborador de la empresa Tecnogados.

Leer más
No Comments

¿Y por qué no puedo usar mi email corporativo para registrarme en sitos?

Es una pregunta que nos hacen muy, muy, muy, a menudo cuando hacemos una auditoría, una campaña de phising simulada, o una formación.

Un trabajador, que va a su lugar de trabajo, suele estar más delante del ordenador de su puesto, que en el de su casa – lógico – y quiere aprovechar todo ese tiempo, o el descanso de la comida, o el antiguo del cigarro, para cosas personales.

Sobre si es legal o no, que seguro nuestro colaborador Juan Carlos de Tecnogados, nos amplía el tema, nosotros os vamos a explicar porque no es nada recomendable usar el email corporativo para usos personales.

Las filtraciones de redes sociales, marketplaces, sitios de contactos, etc… que suelen ser ( y cada día más) muy numerosas, suelen saltar a la luz primero en en la Dark Web, y sobre todo intentando aprovechar estos datos, para entrar directamente en una empresa.

¿Que pueden hacer en una empresa con el acceso al correo electrónico? Pues primero información, administrativa, contratos, facturas, cualquier tema económico, que sabiendo que un día no vas a estar, pueden pedir una rectificación, y que la transferencia o el modo de pago destino, no sea el habitual.

Los peligros de la red
Los peligros de la red

Luego, si la empresa es mediana o grande, recuperar las credenciales de red, suelen ir implícitas al correo electrónico, por lo que ya obtendrían acceso a la red corporativa fácilmente.

Desde ahí, intentar llegar otro sistema, de más alto nivel, un servidor por ejemplo, con aumento de credenciales, pivoting, etc…. y llegar a datos sensibles, o credenciales más altas, para llegar a datos más sensibles.

Y datos e información (insistimos porque son los activos de la empresa), saber cuando alguien está fuera para ataques sociales (el del CEO por ejemplo) o vender esta información a la competencia, si se trata de proyectos de desarrollo.

Y nos podríamos pasar el día dando ejemplos, de porque es tan peligroso el email corporativo: por las filtraciones de estos, y porque cuando sepamos que hemos sido vulnerados, será tarde.

Leer más
1 Comment

El riesgo cibernético por sectores: salud Parte I

Que la Ciberseguridad es cosa de todos, es algo que debería esta ya bien claro en este 2020, ninguna empresa se salva de ser objetivo de “ataques”, infecciones, timos y demás variantes.

Pero hay sectores, que iremos enumerando en las próximas semanas, que por sus clientes, sus datos o sus proyectos, van a ser objetivo directo de los delincuentes informáticos.

Seguridad en hospital
Seguridad en hospital

Uno de ellos es el sector médico. Se puso como objetivo el digitalizar este área, desde consultas pequeñas (las pruebas se envían digitalmente y ya no las llevamos ya en papel), o de los hospitales medios y/o grandes, que en este mismo proceso, quieren ahorrar tiempo y materiales.

Ahora ya no solo hay bases de datos de clientes (pacientes) o proveedores, ahora también hay datos de la vida, dolencias, hábitos de salud, tratamientos, operaciones, ADN, identificación dental u ósea.

¿Y como se guardan estos datos? ¿Y como se tratan? ¿Se envían a terceros con nuestro consentimiento? Solo en el ámbito de la privacidad se plantean muchas dudas, que hay que saber cubrir, no sólo legalmente, que la RPGD está al acecho y ya no hay avisos, sino multas.

Hay que técnicamente poner todos los medios para que estos datos estén a buen recaudo, y bien tratados. Ya no sólo designar un “delegado” de estos datos. Bases de datos encriptadas, copias escaladas y en diferentes soportes y sitios, credenciales que caduquen y se revisen, y un largo etc…

¿Pero quién va a querer los datos de los enfermos? Desde hace ya tiempo, los datos son dinero, sino que se lo pregunten a las empresas que usan el Big Data de sus clientes para monetizarlo en un área que no existía antes.

Ciber seguridad
Ciber seguridad

Estos datos son muy golosos y sobre todo vendibles. Aunque no se puede hacer, la competencia o las mutuas estarían encantadas de comprarlos, o sino redes mafiosas. También se han visto suplantaciones de identidad, para el suministro de psicotrópicos, para el mercado negro.

Y llegando al plan o novelesco de ciencia ficción o Ciberpunk, que ya no estamos muy lejos, delincuentes que puedan modificar aparatos implantados, como marcapasos o bombas de insulina, que ya se ha demostrado que son poco seguros.

Si se tiene acceso a sistemas, también se podría cambiar el historial, una medicación, una intervención, y si no hay una supervisión muy concreta del paciente podría ser un ataque directo contra su vida.

¿Y asesinatos con estos medios? No es muy descabellado si ya se han usado envenenamientos a través de terceros con agentes químicos y biológicos.

Suena muy peliculero, pero es la realidad de 2020, ya que en 2019 hubo varios incidentes:

Hemos empezado a trabajar con algún centro médico, ya que podemos abarcar todas sus necesidades:
– La auditoría informática
– La auditoría industrial (en este caso todos los robots y “aparatos” conectados que tiene un centro de salud).
– La formación específica en Ciberseguridad
– La protección total 24/7 Blackberry Cylance.
– Seguro de ciber riesgo o ciber extorsión.

Leer más
No Comments

Telegram elimina canales con contenido que infringe el Copyright.

Tal como anunciaron varios medios generalistas la semana pasada, Telegram ha eliminado, por fin, canales que compartían material protegido por derechos de autor.

Eran canales donde se publicaban links de libros y revistas en pdf, pero también vídeos de cursos online por ejemplo.

Ha sido gracias as la asociación CEDRO, “Centro Español de Derechos Reprográficos”, la asociación sin ánimo de lucro de autores y editores de libros, revistas, periódicos y partituras, editadas en cualquier medio y soporte.

Servicio ProMonitor de TECNOideas 2.0 Ciberseguridad
Servicio ProMonitor de TECNOideas 2.0 Ciberseguridad

Aunque queremos creer que nosotros, y empresas como la nuestra, hemos tenido algo que ver, ya que hemos inundado de correos y peticiones no solo Telegram, sino otras plataformas y buscadores.

Y eso, porque tenemos un servicio de persecución de infracciones de derechos de autor, ProMonitor, donde ponemos a disposición de los autores nuestra experiencia y herramientas para perseguir a quien hace uso ilícito de su obra, infringiendo al tipo de norma que se hayan suscrito los autores.

Aunque hay diferentes tipos de derechos de autor, y cada uno es libre de acogerse a ellos (podéis leer nuestro artículo de Creative Commons AQUÍ), no somos nadie para vulnerar esa decisión.

Como defensores del software libre, del copy left, creative commons y todas las variantes, también defendemos que si alguien, es autor, vive de ello, y quiere acogerse a licencias privativas, está en todo su derecho, y no somos quien para ganar dinero a su costa.

Porque si, no es solo que se usen copias ilícitas, cuando las originales tiene precios suficientemente bajos, sino que se trafica y comercia con ellas, ganando dinero gente que no ha contribuido a su creación o publicación.

Por ello, para autores, tanto vídeo como pdf, y próximamente inventores, obras gráficas, etc… tenemos un servicio de vigilancia – ProMonitor – y de retirada de links que infringen vuestros derechos, a un precio realmente competitivo.

Pregúntanos, o déjanos tus datos y te contactaremos.

Leer más
No Comments

El riesgo cibernético por sectores: salud Parte II (farmacéuticas)

Siguiendo con el tema salud, su transformación digital a marchas forzadas, y que no siempre va de la mano de la Ciberseguridad, hoy hablaremos de otra rama, el sector Farmacéutico.

Farmaceuticas
Farmaceuticas

Aunque tecnificadas desde hace años, no siempre han prestado igual importancia a la Ciberseguridad, aunque muchas han sufrido en sus carnes ataques específicos o espionaje industrial.

Como la mayoría de empresas de todos los sectores, no han divulgado de modo propio las fugas de información sufridas a lo largo de los años, y no podemos cuantificar totales, pero si recabar algo de información.

Las farmacéuticas gastan mucho dinero al año desarrollando productos, así que el espionaje industrial que antes se trataba de infiltrar una persona, ahora puede ser más fácil a través de una infección y control de un sistema.

Robar estos datos y venderlos a otras que no les cueste dinero desarrollar un fármaco “caro”, y así venderlo a un 10% del precio de la competencia, es otro de los planteamientos.

Y no solo lo decimos nosotros:

Espionaje industrial: patentes en el punto de mira de los ciberatacantes
Consecuencias de los ciberataques en el sector sanitario

y Farmaretail para sus asociados.

TECNOideas 2.0 Ciberseguridad, cuenta con profesionales para realizar auditorías de seguridad, tanto en sistemas informáticos, como en sistemas industriales IoT, sensores, robots, cadenas de producción, logisticas…

No dude en ponerse en contacto con nosotros para que le facilitemos un presupuesto sin compromiso, y así comprobar que estamos a su alcance, o que le propongamos una formación para su organización.

Leer más
No Comments

Jit.si una buena alternativa para video llamadas.

En estos días que todos nos vemos obligados a no movernos, y por fin, realizar video llamadas para sustituir as las reuniones y visitas, todo el mundo usa una o varias soluciones de diferentes marcas.

Hay algunas que son inseguras, otras que no respetan la privacidad del usuario ni aunque paguen, y usan las conversaciones para fines publicitarios, y un largo etc.

Pero hay una, que en principio no es mucho mejor que las demás, pero que con un poco de maña, podemos hacer robusta, privada y segura.

Jitsi Meet
Jitsi Meet

Se llama Jit.si, y es de las soluciones más fáciles para comenzar a usar. Entras en su web, seleccionas un nombre de sala, y le pones, o no contraseña. Envías el link de la sala y la contraseña, y a través del navegador los invitados – previas preguntas de permisos – podrán hablar y verte, sin límite en cuanto al número de conexiones.

Lo bueno está en que es de código abierto, y lo que te ofrecen es ver el código (desde su web o Github), y recomendaciones para instalarlo en tu propio servidor, con tu propia seguridad, quitar el rastreo de Google,

Tiene integración con Chrome, Office 365, calendario de Google, chat integrado, diferentes resoluciones de cámara (compatible con protocolos Opus , VP8 y WebRTC) y la mano virtual, que levantas para pedir la voz, muy útil cuando sois varios en la sala.

Hay mucho más en cuanto al uso, streaming, ver vídeos Youtube, enmudecer o que entren todos enmudecidos, aplicación para Android o Ios, que podéis explorar con su uso. En Wikipedia hay un buen artículo sobre características.

Hace un par de años, y después de algún cambio de titularidad y nombre de la empresa que más colaboraba y llevaba el proyecto, fue comprada por 8×8, que ofrece diferentes servicios de videollamada basados en esta plataforma, de pago, junto con más soluciones de comunicaciones.

Jitsi Gobierno
Jitsi Gobierno

Creo que el mejor ejemplo de que creemos en una solución es que nosotros lo usemos, y lo hacemos. También el gobierno de España para cambiar el sistema de chiste que tenían para las ruedas de prensa (un grupo de Whatsapp para recibir las preguntas, que las hacía un portavoz), y desde el 9 de abril tienen Jit.si como solución.

Recordad que no hay solución segura al 100%, que siempre tenemos que estar actualizando, investigando, comprobando, para hacer todo nuestro entorno mucho más seguro.

Y si tiene una empresa, y no se fia, como nosotros, de casi ninguna solución y quiere ofrecer una solución personalizada a las reuniones con sus clientes y proveedores, le podemos realizar la instalación de Jit.si.

Leer más
No Comments

Éxito y caída de Zoom

A veces, en este sector, te conviertes un poco en profeta, porque no te fías de ciertos productos y con hechos y pruebas avisas a tus clientes, y al final, el tiempo acaba por darte la razón.

No es que seamos adivinos, pero sí persistentes, y la experiencia ayuda, así que cuando empezamos a ver “cosas raras” investigamos.

Este es el caso de Zoom, un sistema de videoconferencia y de reuniones virtuales que desde el confinamiento forzoso por el Covid-19, ha sido protagonista y lo empezó a usar mucha gente. Pero esos pequeños detalles, que por cantidad de uso molestaban solamente a unos pocos, empezaron a ser detectados por los usuarios y así llegaron a molestar a muchísimas personas.
Repasamos brevemente la polémica sobre este sistema que nació con la idea de facilitar la interconexión en el mundo de las videoreuniones empresariales.

Zoom
Zoom

Fallo de diseño: para facilitar la conexión, sólo con un enlace y unas pruebas aleatorias, personas ajenas a la videoconferencia podían entrar sin ningún permiso concreto. ¿Y qué hicieron? De todo: insultar, incordiar, molestar, transmitir imágenes, etc… Por supuesto, todo esto tiene un nombre: ZOOMBOMBING.

Aunque los desarrolladores dijeron que muchos usuarios publican los enlaces para que la gente los clique y puedan verlos (estudiantes cuando están con sus profesores, por ejemplo), la verdad es que hay hasta scripts (lenguaje de programación) para buscar videollamadas activas de Zoom, como por ejemplo ESTE.

Otro fallo de diseño: por muy segura que dijeran que fuese la aplicación, (que luego se demostró que no era así), ésta no disponía de cifrado de extremo a extremo, siendo por ello muy vulnerable.

Julio de 2019: se hizo pública una vulnerabilidad para Apple, por la que el programa exponía a todo Internet a una conexión de un puerto con la cámara del ordenador directamente. Zoom no corrigió esta vulnerabilidad y tuvo que ser Apple la que parcheara el problema.

27 de Marzo de 2019: se hizo público lo que algunos expertos sospechábamos: que Zoom enviaba datos a Facebook de las videoconferencias que se realizaban con este sistema. Y por supuesto, sin indicarlo en sus políticas de privacidad. Se habían realizado pruebas de conversaciones concretas, y luego se recibía publicidad en esta red social. Privacidad cero.

31 de marzo de 2020: se prueba que al hacer la instalación en un Mac, los privilegios de este programa, pasan a ser del Administrador del sistema. Hay que tener mucho cuidado con lo que puede llegar a hacer un Administrador con este rol.

1 de abril de 2020: se exponen hashes y ficheros en las invitaciones de Windows, y un usuario experto puede descifrar las contraseñas en menos de un minuto.

2 de abril de 2020: el periódico The New York Times publica una investigación sobre Zoom, donde explica que la aplicación cuenta con un apartado de minería de datos, que relaciona los nombres de usuarios de Zoom, con los correos de Linkedin (sin permiso), y aparece la información en un icono al lado de cada usuario en una videollamada.

3 de abril de 2020: se filtran listados de miles de llamadas grabadas, por Zoombombing, y publicadas en Internet. Privacidad cero parte 2.

6 de abril de 2020: Incibe publica un aviso sobre la vulnerabilidad descubierta en Windows. El instituto indica que, además de contraseñas expuestas, alguien externo puede ejecutar un código remotamente, como Ransomware o Malware. Podéis ver el aviso del Incibe AQUÍ.

10 de abril de 2020: se publica el parche para las diferentes versiones de Zoom, por lo que se recomienda descargar o actualizar a la última versión del programa, ya sea en PC o en dispositivos móviles.

Morir de éxito o pegarse un tiro en el pie, hay opiniones para todos los gustos. A todos estos fallos hay que sumar que se registraron alrededor de 1.700 dominios relacionados con Zoom, su nombre y variantes, y que la compañía anuncio el día 3 de abril que durante los siguientes 90 días solo trabajaría en arreglar todos estos problemas y no sacaría nuevas funcionalidades.

Zoom fue creado en Estados Unidos en 2011 por Eric Yuan, un matemático e ingeniero programador chino que estuvo en el equipo original de WebEx antes de que lo comprara Cisco, empresa en la que llegó a ser vicepresidente corporativo de ingeniería. Yuan abandonó finalmente Cisco para crear Zoom.

Eric Yuan
Eric Yuan

Desde su fundación, en 2011, Zoom tenía una pequeña cuota de mercado, pero en 2019 tuvieron un aumento significativo, con la salida a bolsa, duplicando su precio objetivo. Y con el confinamiento, triplicaron su valor, llegando hasta los 150 dólares.

El atractivo de esta aplicación era dar más que los demás, porque, de no ser así, la cuota hubiera seguido siendo la misma. La pregunta del millón podría ser: pero en todos estos años, ¿cómo ha aguantado sin tantos usuarios Premium? Y la respuesta, probablemente, es que se llevaba un buen pellizco de Facebook.

Si sois de los que pensáis que…

la privacidad tampoco vale tanto, y que suplantar vuestra identidad no vale para nada…
que da lo mismo que vuestras conversaciones sean grabadas sin permiso y luego os envíen publicidad a medida en Facebook…
que todo lo demás que nombramos en este artículo, os tiene sin cuidado…
… sin duda Zoom es vuestra aplicación.

Pero si ya estáis concienciados…

y necesitáis una solución de videoconferencia, porque aunque pronto salgamos del confinamiento…
ya tenéis claro lo provechoso y productivo que resulta reunirse virtualmente, (ahorro de tiempo, de desplazamientos, de dinero)…
• y que la tecnología permite muy buenas alternativas...

Oferta formativa también Online
Oferta formativa también Online

… pensad que TECNOideas siempre está al día de todos los problemas de seguridad y de las soluciones comerciales. Por ello puede recomendar en todo momento y personalizadamente las necesidades de cada uno de sus clientes, sean gran empresa, PYME, consultorios médicos, despachos profesionales, etc.
TECNOideas realiza auditorias de sistemas informáticos e industriales, para detectar vulnerabilidades que expongan sus datos, y poder evitarlas.
Además TECNOideas tiene un importante apartado de formación, donde profesionales de tecnologías de la información realizan cursos a distancia y en las empresas, para que sus trabajadores o sus cargos intermedios y directivos tengan una cultura de la ciberseguridad que minimice los riesgos.

Leer más
1 Comment