Microsoft ha publicado actualizaciones de seguridad que corrigen, entre otras, una vulnerabilidad “Día Cero” (Zero-Day) identificada con el código CVE-2018-8611 (Windows Kernel Elevation of Privilege Vulnerability), que afecta a múltiples versiones del sistema operativo Microsoft Windows.

La vulnerabilidad “Día Cero” podría permitir que un atacante escale privilegios aprovechando un error del Kernel respecto al manejo incorrecto de objetos en memoria. De esta forma, podría ejecutar o instalar programas, ver, cambiar o borrar datos, así como crear nuevas cuentas con el máximo de privilegios del sistema. Para que el ataque pueda ser llevado a cabo, el atacante debe estar autenticado previamente en el sistema; esto podría ocurrir, por ejemplo, en un equipo infectado previamente con malware. Existen reportes que confirman que esta vulnerabilidad ya está siendo explotada.

Dicha vulnerabilidad afecta a las siguientes versiones de Microsoft Windows:

> Windows 7
> Windows RT 8.1
> Windows 8.1
> Windows 10
> Windows 10 Servers
> Windows Server 2008
> Windows Server 2008 R2
> Windows Server 2012
> Windows Server 2012 R2
> Windows Server 2016
> Windows Server 2019

Se recomienda implementar las actualizaciones correspondientes.

Fuentes y actualizaciones:

Microsoft Security Update Guide
Common Vulnerabilities and Exposures

Fuente: https://www.cert.uy

El mayor riesgo para la seguridad informática no está en las máquinas ni en las conexiones, sino en los humanos. Más precisamente en su mente y su vulnerabilidad. Es que el phishing sigue siendo unas de las principales formas de ciberataque.

Se estima que hubo más de 12,4 millones de víctimas de este tipo de engaño, basado en ingeniería social, en apenas un año. Así lo afirma un estudio realizado por Google, la Universidad de California, Berkeley y el Instituto Internacional de Ciencias de la Computación

Qué es el phishing

El término deriva del término en inglés “fishing” (“pescar”) y hace alusión a la idea de que la víctima “muerda el anzuelo”. La palabra phishing hace referencia a las técnicas de engaño que se usan para adquirir información confidencial (contraseñas, información bancaria o datos de tarjeta bancaria) de forma fraudulenta.
En estos casos, el cibercriminal se hace pasar por un entidad o empresa de confianza y envía un mensaje o correo eléctronico para pedirle al usuario que, por ejemplo, ingrese a un determinado sitio para actualizar sus datos o para verificar su identidad. De ese modo obtienen los datos confidenciales.

En otras ocasiones se tienta al usuario con promesas de falsos descuentos, promociones u otros beneficios inexistentes.
El smishing es otra variante de engaño que se basa en el envío de mensajes de textos para obtener información confidencial. El vishing sigue la misma lógica pero el medio empleado es un llamado telefónico.

¿Cómo protegerse de este tipo de engaño?

En principio hay que dudar de cualquier correo, mensaje, chat o llamado que se obtenga solicitando directamente datos confidenciales o bien pidiendo que se ingrese a un sitio para ingresar datos personales o una contraseña. En esos casos, lo mejor es contactarse directamente con la supuesta entidad desde donde se recibe el correo (el banco, o lo que fuese) y corroborar si enviaron o no el mail.
Por otra parte, es fundamental contar con más de un factor de autenticación en los correos o acceso a perfiles de redes sociales. Así, al cibercriminal no le bastará con obtener la contraseña para ingresar a las cuentas del usuario.

La verificación en dos pasos: ¿es suficiente?

El robo de credenciales es el truco más viejo y efectivo para los cibercriminales.
El doble factor de autenticación suma una capa extra de seguridad pero este método tampoco es infalible, según se destaca en el último informe de Forcepoint donde se detallan las tendencias de crecimiento de ciberamenazas para el próximo año.
“Lo recomendado es contar con una autenticación multi factor: algo que sé (password o contraseña); algo que soy (factor biométrico) y algo que tengo (token). De esta manera se reduce el riesgo del uso de únicamente un factor que ahora sabemos que, por sí solo, representa un riesgo para nuestra autenticación”, explicó Ramón Castillo, Ingeniero de Ventas de Forcepoint para México y América Central, en diálogo con Infobae.

Las fallas de la autenticación biométrica
¿Alcanza usar el rostro o una huella digital para validar la identidad de manera?

No es suficiente. Al menos eso queda claro luego de varias muestra de vulnerabilidad.

En 2016, investigadores de la Universidad de Michigan hallaron una forma efectiva de reproducir las huellas digitales con una impresora estándar. Y en 2017, investigadores de la Escuela Tandon de Ingeniería en la Universidad de Nueva York demostraron que podían igualar las huellas dactilares de cualquier persona utilizando “huellas maestras” alteradas digitalmente.
El reconocimiento facial tampoco es del todo efectivo. Cuando el sistema está en el software basta con una fotografía para vulnerarlo y en el caso del sistema de Apple (Face ID) que incluye tomas con cámara infrarroja, también es posible engañarlo con técnicas más sofisticadas.
“El reconocimiento facial tiene serias vulnerabilidades, por eso creemos que los hackers van a robar los rostros del público en 2019. De hecho, ya ocurrió, aunque sólo en instancias de investigación. En 2016, los especialistas en seguridad y visión computacional de la Universidad de Carolina del Norte derrotaron los sistemas de reconocimiento facial utilizando fotos digitales disponibles públicamente de las redes sociales y los motores de búsqueda junto con tecnología de realidad virtual móvil”, se destaca en el informe de Forcepoint.

Biometría del comportamiento: ¿de qué se trata?

La biometría del comportamiento recurre a los movimientos de la persona para validar su identidad. Se tiene en cuenta la manera en que desplaza el mouse, la forma de tipear e incluso la manera en que manipula el teléfono para reconocer al usuario. Al parecer es prácticamente imposible que un impostor pueda imitar esas acciones.
La combinación de este tipo de elementos biométricos con el doble factor de autenticación ofrece, al menos hasta el momento, mayor seguridad para el usuario.

Cuando se intercepta la comunicación

Los dispositivos conectados pueden ser atacados valiéndose de vulnerabilidades en el hardware y la infraestructura en la nube. Este tipo de ataques afecta a varios dispositivos conectados en la red y así resulta más efectivo para el atacante.
Los ataques Man in the middle (hombre en el medio) representan un riesgo para las conexiones. Así se llama a la técnica por la cual se introduce un intermediario en la comunicación entre el usuario y la fuente, que puede ser un correo o página. Esto se puede hacer, por ejemplo, empleando un router malicioso para que parezca legítimo o bien utilizando una vulnerabilidad para afectar la comunicación.
También se puede usar esta técnica para interceptar el navegador de la víctima (Man in the browser).”Se puede usar para robo de información con scams por ejemplo (clones de sitios originales con fines maliciosos); inclusive permite inyectar código malicioso para tomar control del equipo de la víctima”, según se destaca en el sitio We Live Security de Eset.

Qué medidas de precaución tomar

En primera media, estar conscientes de los riesgos cibernéticos que hay y educar para que la población tome precauciones en general sobre este asunto.
Desconfiar de los correos o mensajes que solicitan datos personales. Ser conscientes de que los sitios a los que se remiten pueden ser falsos.
Mantener el software actualizado y tener una solución de seguridad instalada
Utilizar la autenticación multifactor, tal como se mencionó anteriormente
Evitar conectarse a redes wifi públicas (en lo posible) porque la comunicación puede ser fácilmente interceptada.
Usar VPN siempre o al menos al conectarse a una wifi pública. “Si nos preocupa nuestra privacidad y seguridad, sobre todo cuando se están utilizando redes públicas, definitivamente es una recomendación, ya que nuestros datos viajarán protegidos a los ojos de extraños husmeando las redes en busca de información que puedan explotar”, concluyó Castillo.

Fuente: http://www.asiap.org

Dark Tequila: una campaña de complejo malware bancario que ataca a América Latina desde 2013.
Es una compleja operación cibernética que ha estado atacando a los usuarios en México durante por lo menos los últimos cinco años, y les ha robado credenciales bancarias y datos personales empleando código malicioso que puede moverse lateralmente a través de las computadoras de las víctimas sin conexión a Internet. Según los investigadores de Kaspersky Lab, ese código malicioso se propaga a través de dispositivos USB infectados y de spear-phishing, e incluye funcionalidades especiales para evadir la detección. Se cree que el agente de amenaza detrás de Dark Tequila es de origen hispanohablante y latinoamericano.

El malware Dark Tequila y su infraestructura de apoyo son inusualmente avanzados para las operaciones de fraude financiero. La amenaza se centra principalmente en robar información financiera, pero una vez dentro de una computadora también sustrae credenciales de otros sitios, incluso sitios web populares, recolectando direcciones comerciales y personales de correo electrónico, cuentas de registros de dominio, cuentas de almacenamiento de archivos y más, posiblemente para ser vendidos o usados en operaciones futuras. Ejemplos incluyen los clientes de correo electrónico de Zimbra y las cuentas de los sitios de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace, y otros.
El malware lleva una carga útil de varias etapas e infecta los dispositivos de los usuarios a través de USB infectados y correos electrónicos de phishing. Una vez dentro de una computadora, el malware se comunica con su servidor de mandos para recibir instrucciones. La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones. Si el malware detecta que hay una solución de seguridad instalada, monitoreo de la red o signos de que la muestra se ejecuta en un entorno de análisis (por ejemplo, una sandbox virtual), detiene su rutina de infección y se auto-elimina del sistema.
Si no encuentra ninguna de estas condiciones, el malware activa la infección y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que el malware se traslade a través de la red de la víctima aunque no esté conectada a Internet o incluso cuando la red de la víctima tiene varios segmentos no conectados entre sí. Cuando se conecta otro USB a la computadora infectada, éste se infecta automáticamente y así puede infectar otro objetivo, cuando este USB sea conectado allí.
El implante malicioso contiene todos los módulos necesarios para su operación, incluyendo un detector de pulsaciones en el teclado y el módulo vigilante en Windows para capturar detalles de inicio de sesión y otra información personal. Cuando el servidor de mandos envíe el comando respectivo, nuevos diferentes módulos se instalarán y se activarán. Todos los datos robados de la víctima, se transmiten al servidor del atacante en forma cifrada.
Dark Tequila ha estado activo desde al menos 2013, atacando a usuarios en México o conectados a ese país. Según el análisis de Kaspersky Lab, la presencia de palabras en español en el código y la evidencia del conocimiento local del país, sugieren que el actor que se encuentra detrás de esta operación es de América Latina.
“A primera vista, Dark Tequila se parece a cualquier otro troyano bancario que busca información y credenciales para obtener ganancias financieras. Sin embargo, un análisis más profundo revela una complejidad de malware que no se ve a menudo en las amenazas financieras. La estructura modular del código y sus mecanismos de ofuscación y detección lo ayudan a evitar que lo descubran y a entregar su carga maliciosa solo cuando la víctima sea reconocida y aprobada por el atacante. Esta campaña ha estado activa durante varios años y todavía se siguen encontrando nuevas muestras. Hasta la fecha, solo ha atacado objetivos en México, pero su capacidad técnica es adecuada para atacar objetivos en cualquier parte del mundo”, dijo Dmitry Bestuzhev, jefe del Equipo Global de Investigación y Análisis, América Latina, Kaspersky Lab.
Los productos de Kaspersky Lab detectan y bloquean con éxito el malware relacionado con Dark Tequila.
Kaspersky Lab aconseja a los usuarios que sigan las siguientes medidas para protegerse contra el spear-phishing y los ataques que se realizan utilizando medios extraíbles como las unidades USB:
Para todos:
Verifique cualquier archivo adjunto de correo electrónico con una solución antimalware antes de abrirlo
Deshabilite la ejecución automática desde dispositivos USB
Verifique las unidades USB con su solución antimalware antes de abrirlas
No conecte dispositivos y memorias USB desconocidas a su dispositivo
Utilice una solución de seguridad con protección robusta adicional contra amenazas financieras
Las empresas también deben asegurarse de:
Si no son necesarios para los negocios, bloquee los puertos USB en los dispositivos del usuario
Administre el uso de dispositivos USB: defina qué dispositivos USB se pueden usar, por quién y para qué
Eduque a los empleados sobre las prácticas seguras de USB, particularmente si están moviendo el dispositivo entre una computadora hogareña y un dispositivo de trabajo.
No deje los USB por ahí o en exhibición.

Fuente: http://www.asiap.org

El phishing es un tipo de ataque informático con el que se obtiene información personal o financiera de los usuarios como contraseñas, números de tarjetas de crédito o cuentas bancarias. A continuación, te recomendamos qué hacer para prevenirlo.

El ataque de phishing ocurre mediante correos electrónicos que le llegan al usuario y que imitan el formato, el lenguaje y la imagen de los mensajes emitidos por los bancos. Estos mensajes engañosos siempre solicitan a los usuarios la confirmación de sus datos personales alegando problemas técnicos, cambios en las políticas de seguridad o fraude, entre otros.

¿Qué podés hacer para prevenir un ataque por Phishing?

>Cuando accedas a tu banco en línea evitá hacerlo a través de links, ingresá manualmente la dirección.
>Antes de iniciar sesión para ingresar a tu cuenta bancaria, confirmá que la dirección web del banco sea la correcta y corroborá si en la barra del navegador aparece el candado que indica la autenticidad del sitio.
>Tené presente que un banco nunca te solicitará información personal o confidencial por correo electrónico o por teléfono. En caso de recibir una notificación de este tipo, comunicate con tu banco de forma inmediata.

Seguro te conectás

En los últimos años se ha dado un incremento en la cantidad de reportes recibidos sobre phishing y spam.

Este tipo de incidentes buscan engañar al usuario, explotando su desconocimiento y, en general, es un problema subestimado por la ciudadanía.

En este contexto, el CERTuy lanzó “Seguro Te Conectás”, una campaña de difusión que parte de una estrategia en común junto a diferentes actores, orientada a sensibilizar a los usuarios de internet y dispositivos digitales.

El objetivo es dar a conocer y aumentar la comprensión de las amenazas informáticas, propiciando un vínculo responsable entre el ciudadano e internet.

Fuente: http://www.cert.uy