Tag Archives: ingeniería social

ESET: guía para identificar y protegerse de engaños en Internet

eset-hackers-malware-itusersBuenos Aires, Argentina, 15 de setiembre del 2015.— ESET, compañía líder en detección proactiva de amenazas, acerca consejos y buenas prácticas que permiten identificar engaños en Internet de manera de estar protegidos frente a posibles robos de información.

Según el Laboratorio de Investigación de ESET Latinoamérica, la metodología más empleada para realizar ataques informáticos es la Ingeniería social, es decir, la manipulación psicológica y persuasión para que voluntariamente el usuario brinde información o realice algún acto que ponga a su propio sistema en riesgo. A través del correo electrónico, desarrollando campañas enviando información con falsas multas de tránsito y supuestas emergencias ambientales o engaños utilizando el nombre de reconocidas empresas, se busca robar información. A su vez, en las redes sociales, Facebook es uno de los medios preferidos por los atacantes para propagar sus amenazas, y por último, las aplicaciones móviles, donde cada vez es más común encontrar campañas que utilizan estos vehículos para engañar a los usuarios, WhatsApp es una de las principales.

El objetivo perseguido con este tipo de campañas maliciosas es bastante variado ya que el atacante puede buscar suscribir al usuario a servicios por los que va tener que pagar, instalar algún tipo de código malicioso o directamente robar contraseñas de acceso o información financiera.

ESET acerca tres aspectos fundamentales que se deberían tener en cuenta para reconocer este tipo de engaños:

  1. Sea a través de mensajes de texto, correo electrónico o páginas web, es importante recordar que los atacantes se aprovechan de noticias asombrosas, temas actuales o contenidos atractivos para generar confianza en el usuario. Así que entre más increíble, más posibilidades hay de que sea un engaño.
  2. Nunca una entidad financiera o cualquier otra institución comercial legítima va a pedir la actualización completa de datos, incluyendo los de tarjeta de crédito, a través de un correo electrónico. Si aún así quedan dudas, es preferible chequear con la entidad mediante una llamada telefónica.
  3. Si el mensaje un recibido proviene de un remitente desconocido o anunciado un gran premio para el cual nunca se postuló, es altamente probable que estén intentando un engaño.

Es por esto que es importante tener en cuenta los siguientes consejos para evitar ser víctimas de estos engaños en Internet:

  • Ser cuidadosos con los enlaces que se encuentran durante la navegación: Es importante no seguir enlaces que contengan información sospechosa independiente del medio por el cual sea recibido. Una mirada crítica a lo que se observa en Internet puede ayudar a proteger la información.
  • La información personal es valiosa, piense dos veces antes de ingresarla en Internet: Entre menos datos personales provea a Internet menos expuesta va a estar la información personal, sobre todo en el caso de fuentes poco confiables o poco conocidas.
  • Cuidar lo que se descarga en el dispositivo: Independientemente de si se trata de una computadora o un dispositivo móvil, es primordial para cuidar la información personal no instalar aplicaciones de repositorios no oficiales o no descargar aquellas que vengan adjuntas en mensajes o correos electrónicos.
  • Ser responsables con lo que se comparte en redes sociales: Actualmente se puede alcanzar a contactar una gran cantidad de personas, es importante ser muy cuidadosos con la forma en que interactuamos, estar atentos a lo que se comparte en Internet es una manera de frenar el alcance que tienen muchas de estas campañas.
  • Contar con la tecnología de protección adecuada: Además de utilizar una solución de seguridad que bloquee las aplicaciones maliciosas y los sitios fraudulentos, es importante utilizar los factores de doble autenticación que ofrecen muchos servicios en Internet.

Para conocer más sobre lo último en seguridad informática ingrese aquí: http://www.welivesecurity.com/la-es/

Síguenos: @ESETLA

Acerca de ESET

Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la tecnología de forma segura. Su portfolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo.

Copyright © 1992 – 2015. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres y marcas son marcas registradas de sus respectivas empresas.

Entendiendo mejor al «Ethical Hacking»

walter-cuestas-itusers

Walter Cuestas, Gerente General y Mauricio Urízar, Gerente de Consultoría de Open-Sec.

Lima, Perú, 20 de septiembre del 2014.— Entrevistamos a Walter Cuestas, un reconocido profesional peruano del llamado «Ethical Hacking» quien comparte con nosotros muchos aspectos de su profesión y de la importancia de entender sus metodologías y mejorar la seguridad de los entornos computacionales.

IT/USERS: Sr. Cuestas ¿cómo definiría su labor?

W.C.: Cómo la de un miembro perteneciente a un grupo de Hackers Éticos, el único equipo de Hackers Éticos que existe en el Perú. Existen otros Hackers Éticos, pero, no forman parte de algún equipo.

IT/USERS: ¿En qué consiste el Ethical Hacking?

W.C.: Es el «buscar«, «encontrar” vulnerabilidades de la seguridad informática en las organizaciones, bajo un entorno controlado y con parámetros de ética. Entonces, lo que ocurre es que las organizaciones en lugar de esperar a recibir ataques, contratan a un equipo como el nuestro para que evalúen su seguridad y reciban recomendaciones para resolver los problemas que tengan. Realmente, es la parte que ellos más valoran, las recomendaciones que nosotros entregamos, el que si puedan ejecutar esas recomendaciones y resolver sus problemas antes de sufrir ataques.

IT/USERS: ¿Cuál es la metodología que usan para determinar vulnerabilidades?

W.C.: Eso es interesante, pocas veces nos preguntan sobre este tipo de cosas. Existen metodologías estándares, la principal es OSSTMM, metodología que esta en su versión 3, es la más madura que existe y es la más utilizada en general. Lo que hace esta metodología es definir un marco para toda la evaluación, define todos los puntos de control, define cuales deben ser los resultados que uno obtenga, cuán exhaustiva debe ser la evaluación.

Lo hace en diferentes aspectos : en las redes tradicionales, el aspecto de las redes locales, a través del Internet, las redes inalámbricas, la seguridad física, la participación de los usuarios, incluso indicando como se deben desarrollar pruebas de ingeniería social y hay una parte en la cual no profundiza mucho esta metodología que es la parte de evaluación de aplicaciones web.

Para eso nosotros utilizamos una guía de una organización que se llama OWASP. Es un proyecto de seguridad que también tiene bastantes años y se enfoca en tres aspectos básicamente: desarrollar guías para quienes elaboran las aplicaciones, los programadores, desarrolladores, puedan crear aplicaciones de manera segura.

Lo otro, es desarrollar guías para que los que evalúan la seguridad sepan cómo se debe evaluar y cuán exhaustivas deben ser las evaluaciones de aplicaciones web y, por último, lo que hacen es apoyar proyectos que desarrollan herramientas para las pruebas de Ethical Hacking,   o Pruebas de Penetración.

Adicionalmente, siempre hay algunos elementos que también determinan qué cosas se deben hacer y qué no en las evaluaciones, por ejemplo, cuando se trata de entidades financieras que deben cumplir la norma de PCI DCS, este estándar determina qué se debe evaluar, cómo, cuál es el alcance, en qué orden y que condiciones debe tener el evaluador, inclusive.

Hoy en día hay una norma específica sobre el tema de la seguridad informática que es el reglamento de Tarjetas de Crédito y de Débito que si apunta bastante al tema de la seguridad informática y cómo se debe evaluar a diferencia de normas anteriores que todavía existen de la SBS (Superintendencia de Banca y Seguros del Perú, N. del E.), pero, que no profundizaban tanto el aspecto técnico.

Ocasionalmente hay organizaciones que tienen que cumplir con SOX, tienen alguna dependencia corporativa de los Estados Unidos y entonces este estándar, SOX, que tiene que ver la seguridad de los aspectos contables y financieros, es aplicado.

Son elementos que van en paralelo. Las metodologías OSSTMM y las guías de evaluación de OWASP, eso es en lo que uno se basa.

IT/USERS: Dentro de su larga trayectoria profesional en el campo de Ethical Hacking, si pudiéramos hacer un «time line» ¿cual considera Usted los Hitos, en la evolución del Malware, de las vulnerabilidades, de los grandes ataques, en estos últimos 10 años?

W.C.: Mi perspectiva es bien particular al respecto, creo que nada ha cambiado, se siguen encontrando mas o menos las mismas “cosas”. Por ejemplo, Mauricio Urízar —que es nuestro Gerente de Consultoría, encontró un par de vulnerabilidades “nuevas” —nadie las había descubierto antes, en un software muy utilizado para el manejo de procesos, BIZAGI, que es un BPM, muy utilizado en nuestro mercado. Encontró estas vulnerabilidades y se hizo el anuncio, pero esas vulnerabilidades persisten. Inyecciones de comandos SQL y ataques del tipo “Cross Site Scripting” que son inyecciones en páginas de código, principalmente JavaScript.

Esto no es nuevo, ya desde hace 10 años existían estas vulnerabilidades de este tipo y estamos hablando de un software que es moderno y que genera “Web Services” que apoyan a decisiones importantes en BPM y, sin embargo, no se han “parchado” estas vulnerabilidades que son tan antiguas. No hay mucho de nuevo, para decir verdad, cada cosa que uno va encontrando, son cosas que ya existían, son “reminiscencias del pasado”, así parece…

IT/USERS: ¿Hablamos de “remakes” por usar este término?

W.C.: De hecho, siempre vamos a caer en la controversia de cuál es el origen de los dos, por un lado es que los desarrolladores de la tecnología no han tenido como una pauta importante el aspecto de la Seguridad, eso por un lado…

IT/USERS: O sea, tiene una parte de responsabilidad la Industria…

W.C.: Sí, de hecho, en el caso de Bizagi, lo primero que hicimos nosotros fue notificarles y lo que recibimos de ellos fue primero desdén y luego, amenazas legales. Entonces lo que tuvimos que hacer fue acudir al CERT, el Centro de Atención de incidentes de Seguridad de la Universidad Carnegie Mellon para que ellos funjan como intermediarios. Ellos los notificaron y allí sí reconocieron las vulnerabilidades y sacaron los “parches” respectivos.

IT/USERS: Hay una suerte de mucha irresponsabilidad de algunos fabricantes…

W.C.: De hecho que sí, entonces como decía, por una lado hay mucha responsabilidad de los que desarrollaron la tecnología y por el otro de quienes la administran. Ese es todo un tema, porque también las vulnerabilidades se presentan por ambos lados, porque cuando te toca una herramienta tecnológica, que digamos tiene un nivel “aceptable” de seguridad, que tiene opciones para asegurar y no las están usando, entonces ahí tenemos un problema de administración. Y otra vez volvemos a lo mismo que hace diez años.

IT/USERS: Entonces, ¿no han evolucionado esas famosas “amenazas avanzadas y persistentes” o APTs?

W.C.: Pero es que cuando uno revisa el APT, por ahí hay un par de estrategias bien interesantes, “medio distractivas” para que la gente caiga en los ataques, pero cuando llegas “hacia adentro” ves que lo que están utilizando, tanto a nivel de programas como la forma de extraer la información y la forma para permanecer “metidos dentro de las redes”, tampoco es que haya nada nuevo ahí.

De hecho, el año pasado, tuve la ocasión de realizar una presentación sobre APT, les presenté dos o tres casos muy conocidos a nivel mundial y mas o menos las “desmembraba” para que vieran de qué se trataba y tampoco resultó que sea algo sumamente nuevo. Lo que pasa es que, el mundo tecnológico se ha revolucionado tanto, que hoy en día a todo el mundo le hablan, mira tú tienes un teléfono con aplicaciones Android, con aplicaciones en iOS, y que son vulnerables, tienes que poder lidiar con eso y los smartphones están diseminados por todo el mundo. Hace 10 años de lo que hablábamos eran de las vulnerabilidades de Microsoft y más nada. En ese sentido si puede haber cambiado el panorama mundial de las vulnerabilidades.

IT/USERS: O sea, y realmente nos sorprende mucho su afirmación, conforme ha venido incrementándose la movilidad, las plataformas móviles, las amenazas han subsistido, cuando bien pudieron haber sido eliminadas en su momento ¿es lo que nos está tratando de decir?

W.C.: De hecho que sí, las formas de corrección, las formas de evitar esas vulnerabilidades, también existen desde hace mucho años. Entonces, si hoy en día, por ejemplo yo tengo una aplicación en mi teléfono inteligente, registra datos de esa persona en una Base de Datos SQL en el mismo dispositivo y esa aplicación es vulnerable a una inyección de SQL, la forma de no ser víctima de eso, es no concatenar y usar “búsquedas parametrizadas”. Esa solución existe desde hace muchos años y se conocen en todos los entornos. ¿Porqué no la utilizan en la aplicación que están instalando en el Teléfono?

IT/USERS: Habría que buscar la respuesta…

W.C.: Exacto, ése es el punto, uno se dice cómo puede pasar. Nosotros lo que realmente encontramos es que a las personas las presionan mucho, porque las cosas sean “bonitas”, “fáciles de usar” y “rápidas”, pero no por la seguridad, que termina siempre siendo sacrificada. Hasta que —y esto tampoco ha cambiado en los últimos años— les “pega” de alguna manera, hasta que ocurre algo que les hace perder dinero y entonces se dan cuenta fehacientemente que les pudo hacer perder mucho más dinero. Nosotros hemos tenido este año, un par de casos de fraude relacionados a Bancos, donde no se concretaron los fraudes, pero estábamos hablando de miles de dólares.

Entonces los dueños se dicen: “Hey, ya aquí me han atacado”… estoy viendo que han adulterado documentos, que han usado una combinación de una mafia con la gente de los Bancos, aprovechándose de la gente nuestra, utilizando correo electrónico, utilizando documentos falseados y ciertas formas de cambiar personal en las entidades bancarias en el momento específico y dicen “Ya esto, es real”, yo necesito saber cómo es esto, porque no me pasó, no perdí el dinero, pero lo puede perder.

Entonces, cuando pasan cosas así, ya la gente se pone más lista con el tema de la seguridad.

IT/USERS: Ante este panorama, que obviamente como decían los romanos “No ha nada nuevo bajo el Sol”, ¿qué nos espera, qué les espera a los Usuarios, a la Industria, cómo ve Usted, lo que se viene?

W.C.: Yo lo que estoy viendo sí, —de buena forma— porque ya comienza a aparecer en los medios de comunicación masivos, por ejemplo, es que cada vez se está dando más cabida a que la gente tenga acceso a la información, y advertirles cómo pueden ser atacados, eso es una parte bien importante, porque hasta ahora, seguimos viviendo mayoritariamente en una “sociedad informática” que se ve el tema de la seguridad como una forma de decir “a ver, qué tengo que hacer para protegerme.” Entonces hay mucha inversión en protección, pero nunca están pensando en “cómo realmente los atacan” y esto es vital. Uno tiene que saber “cómo te atacan, para poder defenderte mejor” no hay forma, esto es así de simple. Lo que sí veo bien es que últimamente —por lo menos en los últimos dos años— en los medios locales, que invitan a la gente que opine sobre temas de seguridad informática, esto me parece muy bueno.

Para finalizar quisiera comentar acerca de “BlackHat” un evento internacional de Hackers—que se realiza en USA— si alguien no tiene la oportunidad de viajar y ver presencialmente el evento, cuando terminan las conferencias, prácticamente todos los videos de las conferencias se publican en YouTube, entonces hoy en día la gente tiene acceso más fácil a la información y ahí en ese evento se enfocan en el tema de las vulnerabilidades. Lo que interesa más es que esta información está al alcance de los profesionales de la seguridad, porque hay mucho que aprender sobre todo en el tema que enfaticé antes, que es la movilidad. El tema del BYOD es un gran desafío, porque hasta ahora los niveles de seguridad están en la capa de conexión pero no dentro de los dispositivos, porque ya que hasta ahí no ha llegado la gestión de la seguridad.

Acerca de Walter Cuestas:

Walter es el Gerente General de Open-Sec, cuenta con las certificaciones OSCP, C)PTC, C)PTE y C|EH.  Dirigie el equipo de hackers éticos de Open-Sec desde el 2006. 

Ha participado como expositor en eventos como LimaHack, Campus Party Quito, CSI Pereira y eventos de OWASP Perú Chapter.  Tambien, ha publicado articulos en revistas especializadas como Hakin9, PenTest Magazine y Hack-in-Sight.

 Acerca de OpenSec: http://www.open-sec.com http://ehopen-sec.blogspot.com

ESET presentó resumen de las principales amenazas del 2013

malware-64-bits-eset-itusersLa empresa líder en protección proactiva de amenazas, presenta el resumen de los hechos más destacados del año en materia de Seguridad Informática.

Buenos Aires, 28 de diciembre del 2013.— Los especialistas del Laboratorio de Investigación de ESET Latinoamérica dan a conocer el resumen de los hechos más relevantes en materia de amenazas informáticas durante el 2013. Según los investigadores, los temas destacados rondaron en torno a la aparición de nuevos códigos maliciosos, vulnerabilidades críticas y violaciones a la privacidad.

A continuación detallamos las amenazas que más se destacaron a lo largo del año:

  • Privacidad en Internet

El caso de Edward Snowden ha contribuido al aumento de la preocupación de los usuarios con respecto a su privacidad en Internet. El tema ha estado en el centro de la discusión durante todo el 2013 y seguramente siga así durante el año siguiente.

Otro tipo de ataque a la privacidad de los usuarios en Internet es aquel en el que los cibercriminales se aprovechan de vulnerabilidades o errores de diseño en los servicios más utilizados, para la recopilación de información confidencial. Como ejemplos pueden citarse los casos de Facebook, en el cual 6 millones de usuarios vieron su información expuesta, y Twitter con 250 mil usuarios comprometidos.

  • Secuestro de información

Durante el 2013, han resurgido los códigos maliciosos de tipo Ransomware en diversas formas. Este tipo de malware tiene la capacidad de cifrar archivos en la computadora del usuario infectado, ya sean de texto, planillas de cálculo, fotos o videos. Luego se solicita el pago de un rescate para poder acceder nuevamente a la información personal. En Latinoamérica se detectó el caso de Multi Locker, un troyano controlado mediante un Centro de Comando y Control (C&C). De acuerdo a las estadísticas obtenidas, México es el país de Latinoamérica más afectado por este código malicioso. Además, tuvo relevancia el caso de Nymaim, que variaba el precio solicitado en cada país, y que pedía 150 dólares para liberar las máquinas afectadas en México.

  • El gusano de Skype

Rodpicom fue uno de los códigos maliciosos más destacados en América Latina. Utilizando técnicas de Ingeniería Social, este gusano se propagó enviando mensajes a los contactos de Skype y Gtalk de un usuario infectado. Al hacer clic en el enlace descargaba una supuesta imagen en la computadora, que realmente consistía en un archivo ejecutable malicioso. Tuvo un gran impacto, afectando a más de 300 mil usuarios a unas pocas horas desde el inicio de la campaña.

  • Servidores vulnerables y troyanos bancarios

El Laboratorio de Investigación de ESET Latinoamérica detectó un código malicioso que se propagaba a través de una campaña de spam. El mismo instalaba un plugin de Google Chrome para interceptar todas las páginas web que navegaba la potencial víctima, en búsqueda de sitios web bancarios pertenecientes a entidades financieras de Brasil. Además, el código malicioso utilizaba un servidor gubernamental legítimo de ese país (que contenía un error de diseño) para el envío de la información. Se trató de una amenaza avanzada con la potencialidad de afectar a muchos usuarios brasileños.

  • Vulnerabilidades

Durante este año se conocieron muchas vulnerabilidades para diversas aplicaciones. A lo largo de todo el año pudo observarse cómo Java seguía sumando vulnerabilidades críticas, muchas de las cuales permitían la ejecución de código en forma remota.

  • Otras amenazas

Por un lado, el caso de Cdorked, un backdoor que afectó a más de 400 servidores web de Apache, Lighttpd y nginx, muchos de ellos de sitios populares. Luego, una falsa aplicación de Adobe Flash que se propagó por Google Play y que realmente era un tipo de malware que buscaba recopilar información sensible del usuario. En cuanto al malware de 64 bits, éste ha visto un crecimiento durante este año; en la región, México y Perú son los países de Latinoamérica más afectados por malware de 64 bits. Por último, durante el 2013 se ha observado cómo las botnets Tor son actualmente una tendencia en crecimiento.

Para más información sobre las amenazas destacadas de 2013 dirigirse a http://blogs.eset-la.com/laboratorio/2013/12/19/cuales-fueron-amenazas-mas-importantes-2013.