Noticias

• 50.000 barcos en el mundo son vulnerables a los ciberataques
• Varios problemas hacen que al sector marítimo le resulte especialmente difícil abordar la ciberseguridad

Expertos en ciberseguridad han demostrado lo fácil que es hackear el equipamiento de navegación de un barco. Esto se produce solo unos años después de que unos investigadores demostrasen que podían engañar al GPS de un superyate para que modificase su rumbo. Hubo un tiempo en el que los objetos como los coches, las tostadoras y los remolcadores solo hacían aquello para lo que estaban originalmente diseñados. Hoy en día, el problema es que también están todos conectados a Internet.

La historia hasta ahora

Las historias sobre ciberseguridad marítima no van a hacer más que multiplicarse. El sector marítimo ha tardado mucho en darse cuenta de que los barcos, como todo lo demás, ahora forman parte del ciberespacio. La Organización Marítima Internacional (OMI), el organismo de Naciones Unidas encargado de regular el espacio marítimo, ha tardado tiempo y ha sido un poco lento a la hora de plantearse una regulación adecuada en lo que se refiere a la ciberseguridad.

En 2014, la OMI consultó a sus miembros para saber cómo deberían ser las normas sobre ciberseguridad marítima. Al cabo de dos años, publicó sus normas provisionales sobre gestión de riesgos de ciberseguridad, que son generales y no son específicamente marítimas. Por eso no es de extrañar que ahora se estén pirateando embarcaciones.

Más información:

Independent

Se ha detectado una campaña de correos masivos en los que se afirma que el ordenador de la víctima ha sido infectado y se ha grabado un vídeo comprometido mientras visitaba páginas pornográficas. Además, en el texto se asegura haber conseguido los contactos del usuario afectado y se facilita, para más credibilidad del correo, una contraseña asociada a la cuenta. El correo continúa amenazando a la víctima con enviar dicho vídeo a sus contactos si no realiza un pago en Bitcoins.

• El Consejo de Seguridad Nacional, reunido en el Palacio de la Zarzuela bajo la presidencia de Su Majestad el Rey Felipe VI, ha acordado el procedimiento para la elaboración de una nueva Estrategia de Ciberseguridad Nacional que recoja los objetivos y las líneas de acción recogidas en la Estrategia de Seguridad Nacional aprobada en diciembre de 2017 con el consenso del Partido Popular, PSOE y Ciudadanos.

El nuevo documento tendrá como objetivo dar respuesta a las amenazas de seguridad emergentes en redes y sistemas de información y, en definitiva, adaptarse a las dinámicas de transformación de la seguridad global. Asimismo, la nueva Estrategia recogerá el mandato de la directiva europea relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad dentro de este mismo entorno en la Unión Europea.

El consejo ha acordado también el procedimiento para la elaboración de una Estrategia de Seguridad Aeroespacial, una iniciativa contemplada también en la Estrategia de Seguridad Nacional 2017 para hacer frente a las amenazas de diversa índole a las que están sometidos el espacio aéreo y ultraterrestre.

El Consejo de Seguridad Nacional ha abordado otros asuntos como la gestión de flujos migratorios, la amenaza del terrorismo yihadista o las operaciones de las Fuerzas Armadas en el exterior.

La cuestión migratoria se mantiene como uno de los asuntos de mayor relieve en su dimensión europea y nacional. La respuesta ante los flujos migratorios irregulares, la lucha contra el tráfico de personas y la dispensa de una adecuada protección a los migrantes que precisan de protección internacional requieren de un esfuerzo constante y coordinado.

En el año 2018 se mantiene la tendencia creciente ya iniciada el año pasado en lo que se refiere a la llegada a España de migrantes de forma irregular. El total de llegadas hasta el día 1 de julio es de 17.320, un 82% más que en el mismo periodo de 2017.

La Estrategia de Seguridad Nacional 2017 establece el terrorismo, fundamentalmente de carácter yihadista, como una de las principales amenazas de carácter global. Se trata de un fenómeno completo dada su rápida mutabilidad y capacidad de adaptación a nuevas circunstancias. Es de reseñar los trabajos en curso sobre la revisión de la Estrategia Integral contra el Terrorismo Internacional y la Radicalización.

Otro de los temas tratados por el Consejo ha sido la actuación de las Fuerzas Armadas en las operaciones y misiones en el exterior. La participación de España en quince misiones internacionales, con más de dos mil setecientos efectivos desplegados, dan buena cuenta del compromiso de España con la paz y seguridad internacional.

El Consejo ha aprobado el Informe Anual de Seguridad Nacional de 2017, que está formulado de acuerdo a los objetivos y las líneas de acción que recoge la nueva Estrategia de Seguridad Nacional 2017. Esta estrategia, aprobada el 1 de diciembre de 2017, ha introducido tres nuevos ámbitos de actuación de la Seguridad Nacional, como son la seguridad del espacio Aéreo y ultraterrestre, la seguridad frente a pandemias, y la preservación del medio ambiente, fiel reflejo de los nuevos desafíos que se están perfilando en el panorama de la seguridad global.

El Informe Anual de Seguridad Nacional ha sido elaborado con la colaboración de todos los departamentos ministeriales y del Centro Nacional de Inteligencia (CNI) bajo la dirección del Departamento de Seguridad Nacional.

Más información:

La Moncloa

Existen muchas amenazas en forma de malware que afecta a cualquier sistema operativo. Es cierto que opciones como Linux o Mac suelen interpretarse como más seguras que Windows. El motivo es que los ciberdelincuentes se centran en aquello donde hay más usuarios. Es la manera que tienen de lograr un mayor éxito. Sin embargo lo normal es que un malware esté diseñado para un sistema determinado. Pero hoy vamos a hablar de WellMess, un nuevo malware que afecta tanto a Windows como a Linux. Vamos a explicar cómo podemos protegernos de él. Vimos recientemente el caso de un malware que elegía cómo atacar a la víctima según su equipo.

WellMess afecta tanto a Windows como a Linux

Linux es considerado como un sistema operativo más seguro. El motivo principal, lo que hemos comentado anteriormente. Pero hemos visto casos últimamente de ataques en forma de malware bastante importantes. Vimos, por ejemplo, el caso de un malware que convertía los equipos infectados en proxy.

Otro caso fue el de la botnet Mirai que controlaba los dispositivos de red que ejecutaban Linux. En ese caso los creadores usaron el lenguaje de programación Golang, más conocido como Go. Justo en este lenguaje es en el que han escrito WellMess. Además, en este caso presenta la capacidad multiplataforma para afectar tanto a usuarios de Linux como de Windows.

La función de este malware en ambos sistemas operativos es prácticamente idéntica. Eso sí, existen pequeñas diferencias. Como la mayoría de programas maliciosos, Wellmess se comunica con su centro de comando y control y descarga comandos para llevar a cabo una serie de acciones. Puede descargar y ejecutar comandos de shell arbitrarios. En el caso de Windows, como variedad, podría ejecutar scripts de PowerShell.

Estos comandos llegan al dispositivo infectado en forma de solicitud HTTP Post cifrada por RSA. Además, WellMess también cuenta con una versión desarrollada en .Net Framework.

Cómo protegernos de WellMess

Como hemos mencionado, afecta tanto a usuarios de dispositivos con Windows como con Linux. Por tanto puede llegar a afectar a una gran cantidad de usuarios. Todos debemos de contar con software capaz de proteger el equipo de ataques similares. Ya mencionamos en anteriores artículos algunos programas y herramientas de seguridad para Windows. También hicimos lo propio en el caso de aplicaciones orientadas en la seguridad para Linux.

Además de tener nuestros equipos protegidos con herramientas de seguridad, es vital que estén actualizados. En ocasiones surgen vulnerabilidades, fallos que pueden permitir la entrada de malware o los ataques de ciberdelincuentes. Si mantenemos nuestros equipos y programas actualizados, reducimos esta posibilidad. Es una de las claves para mantener el equipo seguro.

También es muy importante el sentido común. En muchas ocasiones el malware llega a través de links fraudulentos por redes sociales, correo o al navegar. Hay que prestar mucha atención a este tipo de enlaces que puede contener malware. En este artículo hemos hablado de WellMess y de cómo afecta tanto a usuarios de Linux como de Windows. Sin embargo esto se aplica a cualquiera variedad de malware.

El lugar de dónde descargamos software también importa. Hay que evitar sitios de terceros o páginas con pocas garantías. Siempre hay que instalar los programas de plataformas oficiales. Así nos aseguramos, o al menos aumentamos las garantías, de que ese software no ha sido modificado maliciosamente.

REDESZONE (11/07/2018)

Más información

El pasado sábado 23 de junio de 2018, Ticketmaster Reino Unido identificó un software malicioso en un producto de atención al cliente provisto por Inbenta Technologies, un proveedor externo de la compañía.

La ticketera reconoce que, tan pronto como se detectó el software malicioso, se desactivó Inbenta de todas sus páginas web. Aun así, afirman que un 5% de sus clientes de todo el mundo, a excepción de América Latina, se han visto afectados por el incidente. Concretamente, aquellos usuarios de Ticketmaster que hayan comprado, o intentado comprar entradas, para eventos en el Reino Unido desde febrero de 2018 hasta el 23 de junio de 2018, y clientes que compraron, o intentaron comprar entradas, para eventos internacionales entre septiembre 2017 y el 23 de junio de 2018.

En un comunicado lanzado desde su web, explican que como resultado de haber tenido este producto de Inbenta operando en las páginas web de Ticketmaster Internacional, un tercero desconocido puede haber accedido a la información personal y de pago de algunos de sus clientes. En la nota avisa de que todos los clientes que se hayan visto afectados ya han sido notificados por email y que sus equipos forenses y expertos en seguridad trabajan para determinar cómo se han visto comprometidos los datos.

Ticketmaster (28/06/2018)

Más información

El Centro Cultural El Casino de Quart de Poblet acogerá el próximo 28 de junio, de 9 a 14 horas, el II Congreso Estatal de Gobierno TI en las Administraciones Públicas (AAPP), en el que se abordarán temas de amplia repercusión en el momento actual relacionados con la financiación europea, las smartcities, la ciberseguridad, la administración electrónica, la contratación electrónica y la transformación digital. El Ayuntamiento, organizador del evento por segundo año, tiene abierta la inscripción en la página web.

Participar en este Congreso es una oportunidad única, ya que reúne a todo el ecosistema de las Tecnologías de la Información y su aplicación al Gobierno de las administraciones públicas, en constante desarrollo y evolución. Esta iniciativa convierte al municipio en referente en análisis del proceso de transformación digital, al haber impulsado un foro que aborda de la mano de grandes expertos los principales ámbitos de actuación a nivel nacional y desde la perspectiva de la experiencia internacional.

Prueba de su importancia es la colaboración y participación del Ministerio de Hacienda y Administraciones Públicas (MINHAFP), la Generalitat Valenciana, la Diputación de Valencia, la Diputación de Albacete, la Federación Valenciana de Municipios y Provincias (FVMP), el Centro Criptológico Nacional (CNN), y destacados partners tecnológicos.

La apertura correrá a cargo de la alcaldesa, Carmen Martínez, y del director general de Administración Local, Antoni Such. Ramsés Gallego, reconocido internacionalmente y con una carrera de más de 20 años en las áreas de Gobierno TI, Gestión del Riesgo y Ciberseguridad, será el encargado de la primera ponencia, bajo el título 'Gestionar y Gobernar: Dos verbos. Una conjugación. Cero Problemas'.

En la primera mesa se abordará la experiencia de los partners tecnológicos y la segunda se centrará en administración electrónica. En ella, el primer teniente de alcalde y concejal de Gobierno Abierto, Juan Medina, explicará la 'Estrategia de Modernización @QuartdePoblet', la fase final del proyecto de transformación digital emprendido por el Ayuntamiento en 2006, adaptada a las nuevas disposiciones en materia de administración electrónica y basada en la colaboración y el trasvase de conocimiento, como demuestra la organización de este congreso.

Clausura El encargado de cerrar las intervenciones será el diputado provincial de Proyectos Europeos y concejal de Hacienda, Recursos Generales, Seguridad Ciudadana, Mantenimiento y Movilidad, Bartolomé Nofuentes, quien analizará la financiación europea y las smart cities, en la que es experto.

Por último, la clausura del congreso correrá a cargo del delegado del Consell para la Unión Europea y Relaciones Externas, Joan Calabuig, y el eurodiputado por el PSOE, presidente del Intergrupo de Antisemitismo y miembro del Intergrupo por la Lucha contra la Corrupción y vicepresidente de la Asamblea Parlamentaria Paritaria, Juan Fernando López Aguilar.

Las Provincias (25/06/2018)

Más información

La Agencia Española de Protección de Datos (AEPD) ha presentado la ‘Guía para la gestión y notificación de brechas de seguridad’ junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE. El objetivo de este documento es ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan.

El Reglamento General de Protección de Datos (RGPD) define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.

Con anterioridad a la aplicación del RGPD, la obligación de notificar a la Agencia las brechas de seguridad que pudiesen afectar a datos personales se ceñía exclusivamente a operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza. Desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que subraya la importancia de que todas las entidades conozcan cómo gestionarlas.

De acuerdo con el Reglamento, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas de un servicio), además de la comunicación a la autoridad de control, el responsable del tratamiento debe, adicionalmente, comunicar a los afectados la brecha de seguridad con lenguaje claro y sencillo y de forma concisa y transparente.

La ‘Guía para la gestión y notificación de brechas de seguridad’ va dirigida a responsables de tratamientos de datos personales con el objetivo de facilitar la aplicación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados, de modo que la notificación a la autoridad competente se haga por el canal adecuado, contenga información útil y precisa, y se adecúe a las nuevas exigencias del RGPD. Para elaborar el documento también se ha contado con la participación de numerosos profesionales y expertos del sector, recogiendo la experiencia y conocimiento de empresas que tienen implantados procedimientos de gestión de incidentes de seguridad.

Esta guía pretende cubrir el amplio abanico del tejido empresarial español, tanto pymes como grandes empresas y, del mismo modo, puede ser de ayuda a los responsables y encargados de tratamientos de las Administraciones Públicas involucrados en las tareas de gestión de las brechas de seguridad.

El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.

Por último, la notificación de una quiebra de seguridad no implica la imposición de una sanción de forma directa, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas.

El lanzamiento de la ‘Guía para la gestión y notificación de brechas de seguridad’ completa los manuales de ayuda que la Agencia Española de Protección de Datos ha presentado para facilitar la adaptación de las organizaciones al RGPD, entre los que se encuentran el Listado de cumplimiento normativo y las guías para Responsables de tratamientos de datos personales, Cumplimiento del deber de informar, Elaboración de contratos entre responsables y encargados, Análisis de riesgos y Evaluaciones de impacto, además de la herramienta Facilita_RGPD para empresas que traten datos de escaso riesgo.

AEPD (19/06/2018)

Más información

Se ha descubierto un nuevo malware para Android que combina las funcionalidades de un troyano bancario, un keylogger y un ransomware. Es el primer malware bancario que es capaz de mostrar pantallas superpuestas y creíbles tanto en Android 7 y 8.

• Adobe ha publicado un boletín de seguridad para Adobe Flash Player, que en esta ocasión soluciona un '0-day' y otras 3 vulnerabilidades que afectan al popular reproductor

Adobe ha publicado un boletín de seguridad (APSB18-19) que corrige cuatro vulnerabilidades en su reproductor Flash Player para Windows, macOS, Linux y Chrome OS. Dos de estas vulnerabilidades son de carácter crítico (una de ellas un '0-day') y los dos restantes están clasificadas como importantes.

Según sus identificadores CVE, los errores de seguridad son los siguientes:

• CVE-2018-4945: un error de confusión de tipos que podría permitir la ejecución de código arbitrario en el contexto del usuario. Este fallo de seguridad ha sido descubierto por Jihui Lu de Tencent KeenLab y willJ de Tencent PC Manager trabajando junto a Trend Micro's Zero Day Initiative.
• CVE-2018-5000: un desbordamiento de enteros que permitiría la revelación de información. Ha sido reportada anónimamente a través de Trend Micro's Zero Day Initiative.
• CVE-2018-5001: una lectura fuera de límites que también permitiría revelar información. Ha sido reportada anónimamente vía Trend Micro's Zero Day Initiative.
• CVE-2018-5002: un desbordamiento de memoria que permitiría ejecutar código arbitrario. Esta vulnerabilidad ha sido descubierta de manera independiente por Chenming Xu y Jason Jones de ICEBRG, Bai Haowen, Zeng Haitao y Huang Chaowen de 360 Threat Intelligence Center (360 Enterprise Security Group), y Yang Kang, Hu Jiang, Zhang Qing, y Jin Quan de Qihoo 360 Core Security.

Existe un exploit '0-day' para esta última vulnerabilidad (CVE-2018-5002) que está siendo explotada, y se tiene constancia de su utilización en ataques dirigidos contra usuarios de Windows en Oriente Medio. Estos ataques aprovechan documentos de Office con contenido incrustado malicioso de Flash Player distribuido por correo electrónico, con nombres como '***salary.xlsx' para llamar la atención del usuario.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 29.0.0.171 (y anteriores) para Windows, macOS, Linux, y los navegadores Google Chrome, Internet Explorer y Edge.

Adobe ha publicado la versión 30.0.0.113 de Adobe Flash Player destinada a solucionar las vulnerabilidades anteriormente expuestas, y se encuentran disponibles para su descarga desde la página oficial.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, macOS y Linux actualizar a través del sistema de actualización del propio producto o desde 'Adobe Flash Player Download Center'.

Más información

Un fallo informático general ha afectado este martes durante unas tres horas a las citas y consultas médicas de atención primaria de los 18 hospitales públicos de la Comunidad de Madrid, según informó la Consejería de Sanidad en una nota de prensa. El fallo afectó durante casi tres horas —desde las 7.30 de la mañana hasta las 10.15— a los sistemas de citaciones y a ordenadores de consultas, lo que impidió a los médicos y al personal de enfermería llevar a cabo pruebas, consultar historiales o hacer modificaciones. El fallo generó numerosos problemas a los pacientes también en los centros de salud. La Comunidad de Madrid pidió a primera hora de la mañana paciencia a los enfermos y acompañantes.

"En torno a las 7:30 horas de esta mañana se han detectado algunas incidencias en los sistemas de información de Atención Primaria y de un grupo de 18 hospitales que usan un sistema informático concreto, el Selene", explicó el departamento que dirige Enrique Ruiz-Escudero en una nota de prensa.

La Consejería informó de que su Dirección de Sistemas de Información trabajó desde el primer momento en la solución del problema, había pedido a los pacientes que acudieran a sus citas según lo previsto, "aunque pueden registrar retrasos", y había instado a los pacientes y a los profesionales a tener paciencia hasta que se solventasen las incidencias.

Los centros hospitalarios y centros de salud han adoptado las medidas necesarias para seguir prestando la asistencia, según Sanidad. En el centro de salud del barrio de Justicia, el fallo ha impedido a muchos pacientes la realización de análisis. Solo han podido ser atendidos, y con retrasos, aquellos que portaban las especificaciones en un documento impreso. Los demás, con prescripción informática, se han tenido que ir. Según informa la agencia Efe, los pacientes se han quejado de estos inconvenientes y han exigido explicaciones de las autoridades sanitarias.

En la rueda de prensa posterior al consejo de Gobierno, el vicepresidente y portavoz del Gobierno, Pedro Rollán, informó de que el problema informático "no ha impedido el desarrollo normal de citas" y ha sido solucionado en un "tiempo razonable" después de ser detectado. Rollán explicó que, según los técnicos, el problema obedeció a la saturación de un "sistema balanceador" y que para solventar el fallo ha sido redistribuida la información y la gestión a otros servidores de la red hospitalaria.

El portavoz ha explicado que al final de la jornada los facultativos actualizarán en el sistema informático las incidencias realizadas en los historiales médicos durante el lapso del fallo informático. El fallo informático provocaba que el programa no cargara con normalidad o que las citas no se registraran adecuadamente, entre otros problemas. La Consejería no ha hecho pública la lista de centros médicos afectados, aunque sí ha asegurado que los efectos del fallo se han manifestado de forma desigual.

La caída del sistema no ha sorprendido a médicos y administrativos, acostumbrados a que los fallos informáticos se den con relativa frecuencia. "Hace unos días se nos cayó el sistema para las analíticas y tuvimos que apuntarlas con papel y boli", explica una enfermera del Hospital Gregorio Marañón. Respecto a la confirmación de citas, no queda otra que "confirmar dos veces por teléfono, hacer muchas llamadas y tener mucha paciencia", explica resignada una administrativa del mismo centro.

EL PAÍS (05/06/2018)

Más información

A pesar de que los bankers están perdiendo popularidad, en favor de los malware de minado de criptomonedas, los investigadores de ESET han descubierto una nueva familia de malware bancario que simula las pulsaciones de un usuario para evitar ser detectado.

El malware simplifica el proceso de inyección monitorizando el bucle de mensajes del sistema de ventanas de Windows e inyectando el código en la consola JavaScript del navegador cuando se detecta que el usuario se conecta a la página del banco.

El malware se distribuye mediante campañas de spam dirigidas principalmente a usuarios Polacos, en donde el gancho suele ser la actualización de una aplicación legítima, como TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg o FileZilla Server.

Estas aplicaciones están modificadas para ejecutar el código malicioso contenido en la función _initterm(), que es la que inicializa los punteros y variables antes de la ejecución del 'main()'. Esto dificulta la detección, al no verse ningún comportamiento anómalo al inicio de la ejecución del programa.

Más información

• El evento tendrá lugar el 28 de junio en el Centro Cultural El Casino de Quart de Poblet (Valencia).
• Se tratarán temas como la financiación europea, las smartcities, la cierseguridad, la administración electrónica, la contratación electrónica o la transformación digital.

El II Congreso de Gobierno TI en las Administraciones Públicas (AAPP) tendrá lugar el próximo 28 de junio en el Centro Cultural El Casino de Quart de Poblet. En el evento se abordarán temas de actualidad relacionados con la financiación europea, las smartcities, la ciberseguridad, la administración electrónica, la contratación electrónica o la transformación digital.

Además de reunir a todo el ecosistema de las TI, en constante desarrollo y transformación, el Congreso cuenta con la participación del Ministerio de Hacienda y Administraciones Públicas (MINHAFP), la Diputación de Valencia, la Federación Valenciana de Municipios y Provincias (FVMP) y destacados partners tecnológico.

Más información
 

Se ha detectado una campaña de phishing que intenta suplantar a Carrefour Pass (Carrefour Servicios Financieros S.A.) mediante un email falso. Este correo electrónico simula la necesidad de actualización de los datos proporcionados a la empresa para que esa persona pueda seguir usando los servicios contratados con ellos, en este caso, la tarjeta Carrefour Pass.

Cisco ha detectado una nueva botnet de más de 500.000 routers y dispositivos de almacenamiento conectados en red (NAS) infectadas en 54 países diferentes. La actividad principal que ha tenido la botnet han sido ataques DDoS, aunque sus funcionalidades comprenden también la recolección de datos. El FBI ha tomado el control de la misma y piden resetear todos los routers por motivos de seguridad.

Europol y el Foro Económico Mundial (FEM) han firmado un Memorando de Entendimiento (MoU) para establecer un marco de cooperación mutua para fomentar un entorno cibernético más seguro para los ciudadanos, las organizaciones y las empresas.

El objetivo de esta colaboración es el desarrollo de un enfoque más robusto y resistente seguridad cibernética mundial mediante la promoción de asociaciones público-privadas. El WEF ha puesto en marcha recientemente un Centro Global de seguridad cibernética junto con Europol, donde van a participar en los esfuerzos conjuntos para mejorar la lucha contra el delito cibernético mediante el intercambio de conocimientos, la experiencia y la información sobre las amenazas informáticas.

Europol y el FEM intercambiarán conocimientos, tales como, pero no limitado a, las mejores prácticas, datos estadísticos, información técnica o tendencias del cibercrimen entre las dos partes y cooperar en la aplicación de proyectos en áreas de interés común.

Más información:

Europol

Los routers son algo a lo que la mayoría no presta mucha atención cuando se trata de cuidar la ciberseguridad, y esta es una circunstancia de la que se aprovechan los cibercrminales. Los inverstigadores de Cisco han descubierto una gigantesca botnet construida con más de 500.000 routers ubicados en 54 países que han sido infectados con el malware VPNFilter.

Los investigadores de Cisco creen que esto podría responder a una camapaña patrocinada por un estado, ya que la botnet creada está preparada para lanzar poderosos ciberataques. Por otro lado VPNFilter comparte mucho código con BlackEnergy, un malware que ha sido utilizado para llevar a cabo extensos ciberataques en Ucrania, por lo que se sospecha que podría tener vínculos con el Gobierno de Rusia, cosa que no mencionan los investigadores. Sin embargo, en Daily Beast informan que agentes del FBI han tomado mediante orden judicial el control del servidor clave de una botnet presuntamente perteneciente al gobierno ruso, la cual se compone de unos 500.000 routers hackeados.

Entre las marcas de routers afectadas por VPNFilter se encuentran TP-Link, NETGEAR, Linksys y MicroTik. El malware contiene código para robar credenciales de acceso a sitios web, inutiliza el router infectado y puede dejar sin acceso a Internet a cientos de miles de personas (algo factible viendo la cantidad dispositivos afectados) de todo el mundo.

Más información

Segu-Info

La Administración de Alimentos y Medicamentos de EEUU (FDA) aprobó el mes pasado una actualización del firmware para los marcapasos fabricados por Abbott (anteriormente St Jude Medical) que eran vulnerables a ciberataques y que corrían el peligro de sufrir una pérdida súbita de batería.

Unos 350.000 pacientes están afectados, a los que la FDA recomienda que actualicen el firmware “en su próxima visita programada o cuando consideren apropiado según las preferencias del paciente y del médico”.

Los marcapasos son unos pequeños dispositivos que ayudan a controlar los latidos irregulares. Las vulnerabilidades de ciberseguridad se detectaron en los desfibriladores cardioversores implantables (IDC) y en los dispositivos para terapia de resincronización cardíaca (CRT-Ds) de radio frecuencia (RF).

Los problemas con los dispositivos de St Jude Medical ya vienen de largo. En septiembre de 2016, la empresa demandó a la firma de seguridad en el Internet de las Cosas (IoT) MedSec por difamación después de publicar lo que St Jude consideraba una información falsa sobre bugs en sus equipos.

En enero de 2017, cinco meses después de que la FDA y el Departamento de Seguridad Nacional de los EEUU (DHS) iniciaran pruebas sobre las reclamaciones de que los marcapasos y la tecnología de monitorización cardíaca de St Jude Medical eran vulnerables a ataques, expertos de Bishop Fox confirmaron la validez de los datos de MedSec. La empresa a regañadientes retiró las demandas judiciales y buscó soluciones a las vulnerabilidades.

Las actualizaciones de enero eran para el sistema de monitoreo remoto Merlin, que se emplea en marcapasos implantados y desfibriladores. El experto en criptografía Matthew Green, describía el escenario de las vulnerabilidades en marcapasos como una pesadilla.

Hasta la fecha, no hay informes sobre pacientes que han sido dañados por estas vulnerabilidades, tanto por los sistemas Merlin como por los ICDs y CRT-Ds que aparecen en el último aviso de seguridad.

Afortunadamente, la actualización no conlleva cirugía a corazón abierto, aunque si requiere una visita en persona al médico. No puede ser realizada en casa vía Merlin.net. La actualización del firmware lleva 3 minutos, durante los que el marcapasos funcionara en modo de respaldo a 67 latidos por minuto.

Abbott dijo que con cualquier actualización de firmware existe una ‘muy pequeña’ posibilidad de riesgo de fallo técnico. Basado en la experiencia que tienen de actualizaciones previas de firmware como la de agosto de 2017 y la similitud en los procesos de actualización, Abbott dijo que instalar el firmware actualizado en los ICDs y CRT-Ds podía potencialmente producir los siguientes fallos:

• Malestar debido a la configuración de respaldo
• Cargar la versión anterior debido a una actualización incompleta
• Imposibilidad de tratar una taquicardia/fibrilación ventricular mientras se esté en el modo de respaldo
• El dispositivo permanezca en el modo de respaldo debido a una actualización fallida
• Pérdida de la configuración actual del dispositivo o de los datos de diagnóstico

La FDA dijo que nada malo ocurrió a los pacientes en la actualización de firmware de agosto de 2017. Alrededor del 0,62% de los dispositivos sufrieron una actualización incompleta y permanecieron en el modo de respaldo, pero en todos los caso los dispositivos volvieron a la versión anterior o se actualizaron satisfactoriamente después de que interviniera el servicio técnico.

El FDA dice que una actualización en el programa debería solucionar estos casos anecdóticos. También, un pequeño porcentaje (0,14%) de los pacientes se quejaron de malestar mientras el dispositivo estaba en modo de respaldo.

CyberSecurity news (23/05/2018)

Más información

Con el nombre Wicked-Mirai los expertos de Seguridad de la Empresa Fortinet identificaron a esta nueva variante de la famosa botnet Mirai. Esta nueva variante incluye al menos 3 nuevos exploit en comparación a la versión original.

El equipo de Laboratorio de Fortiguard ha visto incrementar el número de variantes de Mirai, y esto gracias a que el código fuente del botnet se hizo público hace dos años. Se lee en el analisis publicado por Fortinet.

Usualmente los módulos que están dentro del bot Mirai son 3: Attack, Killer, y Scanner. En el analisis que realizó Fortiguard, esta nueva variante "Wicked" se centro en el mecanismo de distribución del malware. La versión original de Mirai utilizaba intentos de fuerza bruta para ganar acceso a los dispositivos Iot, pero la versión nueva viene con algunos exploit ya conocidos para realizar los ataques.

Wicked utiliza los puertos 8080, 8443 80 y 81 para intentar realizar la detección de los dispositivos.

Si la conexión es exitosa este intentara utilizar el exploit y descargar la carga util.

Más información:

Seguridad y Firewall

Nuevo caso de fraude que utiliza como vector de ataque un mensaje relacionado con la compra de un teléfono móvil de la marca Samsung. Tanto en Google Chrome como en Firefox y Microsoft Edge, el panel de autenticación malicioso es accesible a cualquier persona a través del enlace adjuntado en el correo.

Los datos de más de 3 millones de usuarios de Facebook han quedado expuestos a causa de otra app. En este caso, a una que proporcionaba a los que la utilizaban un test de personalidad, que incluía preguntas bastante personales. Los que hacían este test pensarían que sus datos quedaban protegidos y a salvo de curiosos, pero nada más lejos de la realidad. Todas las respuestas a las preguntas del test, así como diversa información de su cuenta, se publicaron en una web a la que se podía acceder únicamente a través de una contraseña. Puede parecer que está protegida, pero según New Scientist, se podía encontrar un usuario y contraseña de acceso a dicha web sólo con hacer una búsqueda online.

De esta manera, cualquiera que encontrase estos datos podía acceder a la información recogida por la app en cuestión, denominada myPersonality. También a varios datos personales, aunque no a los nombres de quienes respondieron a las preguntas del test. Eso sí, su edad, género y el estado de la relación que estaban manteniendo, en caso de tenerla, están en muchos casos entre los datos recopilados por la app. Para 150.000 personas, la información personal que se mostraba en la página no quedaba aquí, puesto que también aparecían sus actualizaciones de estado.

Se suponía que sólo podrían acceder a estos datos investigadores que contasen con la autorización pertinente. El acceso debía realizarse a través de una web colaborativa, que debía estar debidamente protegida y, como queda claro, no ha sido así.

La app pedía autorización a los que utilizaban su test de personalidad para compartir la información que habían facilitado a través del mismo, de forma anónima, con investigadores. La aplicación ha tenido 6 millones de usuarios, y se calcula que aproximadamente la mitad de los que hicieron el test autorizaron a la herramienta a compartir sus datos. En total, a la web con la información tenían acceso 280 personas. Entre ellas, varios empleados de Facebook y de otras compañías dedicadas a la tecnología.

Este caso tiene varias cosas en común con lo sucedido en el escándalo de Cambridge Analytica. Para empezar, las dos apps que recopilaron información fueron creadas por investigadores de Cambridge. Y en ambos casos hay una persona en común: Aleksander Kogan, el creador de thisisyourdigitallife, la app que recopiló la información con la que los datos de 87 millones de perfiles acabaron en poder de Cambridge Analytica. Kogan aparece también en el equipo desarrollador de myPersonality hasta mediados de 2014. El proyecto, aparentemente, arrancó en 2009, por lo que trabajó en su equipo de desarrollo durante unos cinco años.

Se desconoce si alguien tuvo acceso no autorizado a los datos recogidos por myPersonality a través del nombre de usuario y contraseña a los que se puede acceder a través de Internet. Según un portavoz de Facebook, la app está siendo investigada, y se revocará su acceso a la red si rechaza colaborar con la investigación o no supera la auditoría puesta en marcha por la red social. Hasta la fecha, la compañía ha suspendido cautelarmente el acceso a 200 apps hasta que se investigue su actividad. Entre ellas está myPersonality.

MCPRO (15/05/2018)

Más información