SEGURIDAD EN EL USO DE INTERNET JUNIO 2015 RESUMEN DE AMENAZAS
INTRODUCCIÓN El presente documento es una muestra de la apuesta de EULEN Seguridad por atender a los problemas relacionados con todas las dimensiones de la seguridad y de la convicción de que es necesario apoyar las acciones que sirvan para elevar el nivel de Cultura de Seguridad en la sociedad. Es por ello que hacemos nuestros los objetivos de la Administración española enfocados hacia el refuerzo de la confianza en el ámbito digital, especialmente en cuanto a la necesidad de potenciar el uso intensivo de las Tecnologías de Información y de la Comunicación (TIC) por la ciudadanía y en lo que supone un refuerzo de las capacidades de prevención, detección y respuesta de ciberamenazas. 2
RESUMEN EJECUTIVO El uso de las TIC es un elemento cotidiano en la vida de la mayoría de las personas de nuestro país. Las ventajas asociadas a dicho uso son inmensas: nuevas capacidades de comunicación, acortamiento de las distancias, mejores accesos a la información y educación, etc. Sin embargo, junto a estos beneficios han aparecido también nuevos riesgos y amenazas, cada vez más sofisticados, a los que solo se puede poner freno mediante la prevención de comportamientos de riesgo por parte de los usuarios. Durante el mes de junio hemos visto proliferar en la red multitud de elementos relevantes y habituales- que suponen una amenaza para los usuarios de Internet: virus, bugs, malware, fallos de software, esquemas de fraude (phishing y otros tipos de estafa), vulnerabilidades, ciberataques, etc. A continuación se recogen algunos de los más significativos. 3
4
AMENAZAS DIRIGIDAS DEFINICIÓN Las amenazas dirigidas son aquellas que tienen un objetivo final definido - usuarios, compañías- pudiendo realizarse ataques para comprometer su seguridad y obtener información o dañar los dispositivos afectados. 5
AMENAZAS DIRIGIDAS CIBERATAQUES Un ciberataque es cualquier tipo de ofensiva contra individuos u organizaciones con objeto de poder acceder a sistemas, infraestructuras y redes para poder robar, alterar o destruir la información comprometida. Ejemplos de estos ataques pueden ser DoS y DDoS (ataques de denegación de servicio y ataques de denegación de servicio distribuido), infiltración, publicidad negativa, etc. Como ejemplo señalado este mes podemos tomar el detectado el 19 de junio, consistente en un ataque a redes de compartición de archivos P2P (peer to peer) que afectaba a los clientes más utilizados, como utorrent: se produjo una denegación de servicio mediante la creación de usuarios falsos que inundaban con peticiones a los usuarios reales, cambiando su IP al ser detectados, provocando desde una reducción de velocidad al bloqueo del fichero. El ataque viene motivado probablemente por una protesta ante la violación de los derechos de autor. El impacto en España ha sido reducido debido a que afectaba sólo a usuarios que utilizaban el protocolo P2P a través de IPv6, que todavía no ha sido ampliamente implantando en los hogares españoles. 6
AMENAZAS DIRIGIDAS FRAUDE ONLINE: PHISHING, ESTAFAS La palabra phishing viene derivada de la palabra fishing, dado a que en este tipo de ataques se pretende pescar al incauto que pique con el cebo que los atacantes distribuyen. Con este tipo de ataques se persigue suplantar a una entidad de confianza para robar credenciales, tarjetas de crédito o, en general, información sensible, generalmente clonando o creando un mensaje para que parezca un mensaje oficial de alguna empresa y distribuyéndolo por medios electrónicos como el correo o redes sociales. Gracias a estas técnicas los atacantes consiguen estafar al usuario engañándolo para que haga clic en los enlaces y acceda a sitios maliciosos. 7
AMENAZAS DIRIGIDAS Estos ataques se producen con frecuencia aprovechando la picaresca. Un ejemplo de ello es el detectado el 5 de junio, en el que una aplicación de Facebook prometía identificar a los amigos que hubiesen dejado de serlo a aquéllos que la instalasen. Nada más lejos de la realidad, ya que en lugar de ello pedía las credenciales de Facebook y una vez introducidas se enviaban a una página en su dominio. Si bien el alcance no es significativamente alto en España, la noticia tuvo mucha repercusión y gracias a ello se pudieron tomar medidas al respecto. 8
AMENAZAS DIRIGIDAS También se detectó el 17 de junio otra campaña de phishing en los muros de Facebook que a través de su enlace titulado contenido prohibido redirigía a una página, en apariencia perteneciente a Facebook, que solicitaba datos personales e incluso la tarjeta de crédito. 9
AMENAZAS DIRIGIDAS El 30 de junio se produjo en Twitter otra campaña para robar datos de tarjetas de crédito en la que una cuenta fraudulenta con apariencia oficial difundía una dirección por la que, tras rellenar varios formularios con información personal, se llegaba a un formulario final que solicitaba los datos de la tarjeta de crédito. Cabe también hacer mención a una página de suplantación de identidad en Paypal (www.p.aypal-verified.com) que no es detectado como malicioso por el navegador y se muestra en español a los usuarios de España. A pesar de que las visitas a este sitio no han sido muchas no se puede descartar que en un futuro se utilice esta página como herramienta para una campaña de phishing. 10
AMENAZAS DIRIGIDAS MALWARE La etimología de la palabra malware proviene de malicious software o software malicioso y su finalidad es obtener información sensible, obtener acceso a dispositivos o alterar el comportamiento de los dispositivos afectados. Bajo este término se agrupan varios tipos de software intrusivo como los virus, troyanos, ransomware, spyware, etc. Como ejemplo detectado el 22 de junio se encuentra la oleada de correos de spam con el troyano NanoCore que hace uso de la vulnerabilidad CVE-2012-0158 presente en sistemas Windows no parcheados. En principio estaba destinado a dispositivos Android, pero evolucionó para infectar a sistemas operativos de Microsoft, permitiendo acceso y control de forma remota, así como la instalación de aplicaciones maliciosas. El código del troyano código ha sido distribuido, por lo que podrán darse mutaciones en el futuro. 11
AMENAZAS NO DIRIGIDAS DEFINICIÓN Las amenazas no dirigidas no son ataques en sí mismas pero pueden provocar un mal funcionamiento de algún programa creando un riesgo, o podrían ser explotadas en un futuro convirtiéndose en amenazas dirigidas. 12
AMENAZAS NO DIRIGIDAS VULNERABILIDADES Las vulnerabilidades son debilidades o falta de control que producen que un sistema sea susceptible de ser atacado por alguna amenaza. Pueden darse vulnerabilidades explotables en caso de que se pueda desarrollar una práctica que comprometa la seguridad o potencial si aún no ha sido demostrada pero cabe la posibilidad de llegarse a dar y comprometer la seguridad. Si se llega a explotar una vulnerabilidad se produce una exposición a riesgo de los sistemas. Pueden considerarse vulnerabilidades los puertos abiertos de un cortafuego, personal sin formación en materia de seguridad, una comunicación sin cifrar, etc. Las vulnerabilidades de tipo zeroday son las más peligrosas debido a que no son conocidas por usuarios o fabricantes, no existiendo por tanto ninguna vía de protección. 13
AMENAZAS NO DIRIGIDAS El 23 de junio se detectó una vulnerabilidad zero-day en Adobe Flash Player (CVE 2015-3113) de carácter grave, que podría permitir el acceso de los ciberdelincuentes a los sistemas afectados. Debido a la alta implantación de Adobe Flash Player, la existencia de exploits disponibles y que las actualizaciones se deben llevar a cabo de manera manual el impacto ha sido elevado. Otra vulnerabilidad reportada el 24 de junio se produjo a partir de la deshabilitación de Samsung de las actualizaciones de Windows mediante su software SWUpdate. Esto supone un riesgo debido a que no existirán parches que solucionen los problemas que se vayan produciendo en el futuro y a que no se mantendrán los equipos actualizados, exponiéndolos a riesgos que otros equipos habrán solucionado por medio de las actualizaciones. 14
AMENAZAS NO DIRIGIDAS FALLOS / ERRORES / BUGS Con estos términos nos referimos a errores en la programación o fallos intrínsecos de un software que hacen que se produzca un comportamiento inesperado. Dependiendo del ámbito de la aplicación pueden resultar de gran impacto, como podría ser el control de un aparato médico o militar que funcione de forma anómala, o de impacto leve, como una aplicación de mensajería que deje de responder al recibir un determinado mensaje. Un ejemplo de ello es el caso detectado el 19 de junio por el que se producía un fallo en los navegadores Chrome, Firefox y Safari debido a un tamaño excesivo del favicon, el icono que se muestra en la pestaña del navegador. En caso de que el icono tuviese un tamaño de archivo excesivo (a partir de 64 MB) el navegador se bloqueaba debiendo reiniciar o, si se utilizaba un dispositivo móvil sin conexión a WiFi, se producía un gran consumo en la tarifa de datos. 15
SEGURIDAD EN EL USO DE INTERNET JUNIO 2015 RESUMEN DE AMENAZAS