Josep Albors

La cesión no autorizada de los datos de 50 millones de usuarios de Facebook a la empresa Cambridge Analytics ha provocado un gran revuelo, sobre todo tras averiguarse que estos datos se utilizaron para influir en el voto de elecciones tan trascendentales como las presidenciales de Estados Unidos o el referéndum del Brexit.

La recopilación y posterior venta de estos datos por parte de un investigador de la Universidad de Cambridge que, en principio, solo quería realizar un test de personalidad era conocida por Facebook desde 2015 y, aparentemente, pidió el borrado de esta información. Ahora sabemos que no se realizó y, además, la información fue usada sin conocimiento de los usuarios afectados.

Según el barómetro de ESET, este incidente junto con la preocupación de algunos usuarios que, tras comprobar la información que Facebook almacena de ellos y observaron cómo se incluían datos relacionados con las llamadas de teléfono y el envío de mensajes SMS, han hecho de marzo un mes muy complicado para la red social: han llovido críticas de todos lados por no gestionar adecuadamente la información que esta red social recopila de sus usuarios.

“La gestión que hacen de nuestros datos las redes sociales y otros servicios online siempre es un tema delicado” comenta Josep Albors, responsable de investigación y concienciación en ESET España. “Nunca debemos olvidar que hablamos de empresas que hacen negocio con nuestros datos por lo que es conveniente leerse las condiciones de uso y configurar las opciones de privacidad de forma adecuada para evitar disgustos”, concluye Albors.

La plataforma de citas Grindr ha sido otra de las grandes afectadas. Diferentes investigaciones descubrieron que esa red social compartía información privada de sus usuarios con terceros, información delicada que incluye incluso el estatus de VIH.

Por otro lado, un fallo ya solucionado en la API de Grindr permitía conocer la ubicación de los usuarios, aunque tuviesen la opción desmarcada. Esto es especialmente preocupante para aquellos usuarios que viven en países que condenan la homosexualidad y que incluso llegan a imponer penas de muerte para quien la practique.

También la empresa Under Armour confirmó una brecha que habría expuesto los datos de alrededor de 150 millones de usuarios de la aplicación MyFitnessPal. Entre los datos filtrados se pueden encontrar nombres de usuario, direcciones de correo electrónico y los hashes de las contraseñas cifrados con Bcrypt. Otros datos como tarjetas de crédito o documentos identificativos, como el número de la Seguridad Social, no se habrían visto afectados según declaraciones de la empresa.

Viejos conocidos vuelven a la carga

Durante marzo varios grupos relacionados con el cibercrimen o las herramientas de espionaje volvieron a estar de actualidad. Por un lado, investigaciones de ESET revelaron las últimas creaciones maliciosas del grupo OceanLotus, en activo desde, al menos, 2014.

Entre ellas encontramos un backdoor que permite acceder remotamente a un sistema infectado. Esta herramienta maliciosa contiene una serie de funcionalidades que hacen posible la manipulación de procesos y del registro del sistema, además de poder descargar componentes adicionales.

Este tipo de herramientas son usadas para el ciberespionaje, incluyen el robo de propiedad intelectual y son distribuidas utilizando vectores de ataque tradicionales, como los archivos adjuntos a un correo dirigido a un objetivo en concreto, lo que demuestra que estas técnicas siguen funcionando bien.

El grupo Hacking Team también ha estado entre los protagonistas al demostrarse que siguen trabajando en nuevos desarrollos, a pesar del incidente sufrido en 2015, que hizo que buena parte de sus herramientas pasasen a ser de dominio público. Estas nuevas herramientas serían una evolución de las ya conocidas y serían utilizadas tanto por delincuentes como por agencias de seguridad, pero también por regímenes opresivos.

El descubrimiento de una nueva variante de la herramienta RCS con un certificado digital válido no visto hasta el momento ha provocado que se investigue la recuperación tanto financiera como operativa de este grupo. Numerosas empresas de seguridad como ESET o Citizen Lab han seguido la pista a Hacking Team durante los últimos años.

La buena noticia del mes ha sido la operación realizada de forma conjunta por Europol y varias policías europeas que han permitido detener al considerado como uno de los principales responsables de ataques a cajeros automáticos y entidades financieras utilizando malware como Carbanak o Cobalt.

Precisamente fue la Policía Nacional española quien detuvo a este delincuente en Alicante, desmantelando una red de criminales que supuestamente habrían conseguido varios millones de euros tras sus numerosos ataques.

Vulnerabilidades en servidores de correo, Drupal y ataques DDoS

A principios de marzo tuvieron lugar los mayores ataques de denegación de servicio distribuidos de entre los detectados hasta la fecha. Uno de ellos se dirigió a Github y otro a un proveedor de servicios estadounidenses que no se ha desvelado. Ambos ataques fueron mitigados de forma efectiva por empresas especializadas como Akamai y Arbor Networks, pero eso no quita que la magnitud de los mismos fuera algo nunca visto hasta ahora.

Los ataques fueron posibles gracias a la utilización de una técnica conocida desde noviembre de 2017 y que recibe el nombre de Memcrashed, debido a que se utilizan servidores Memcached mal configurados para llevarla a cabo. Estos servidores permiten la utilización del protocolo UDP para comunicarse con ellos, por lo que no se realiza ninguna comprobación y se permite a un atacante suplantar la dirección IP de la víctima, enviar una gran cantidad de peticiones de pequeño tamaño (apenas unos bytes) y recibir respuestas de varios centenares de Kilobytes o incluso de más de un megabyte.

Exim, el agente de transferencia de correo (MTA) más utilizado en servidores de todo el mundo solucionó una vulnerabilidad pocos días después de haber sido reportada. La vulnerabilidad permitiría a un atacante engañar a un servidor de correo que utilizase el MTA de Exim para que este ejecutase comandos maliciosos antes de autenticarse siquiera en el servidor y por eso se recomienda encarecidamente que se actualice a la última versión disponible.

También Drupal, uno de los gestores de contenidos más utilizados informó de una vulnerabilidad que fue parcheada días después. De no hacerlo, miles de sitios podrían quedar expuestos a los ataques de los delincuentes y estos podrían hacerse con el control de los mismos y de la información que en ellos se almacenan. Más información en www.eset.es