Archivos por Etiqueta: ciberseguridad

Loa cajeros automáticos en el punto de mira de los cibercriminales.

¿Cuántas veces vas al cajero automático de tu banco a sacar dinero? Esta acción tan habitual del día a día requiere cada vez más de un especial control de seguridad. Atrás se están quedando los tiempos en los que el clásico ladrón intentaba vaciarlos físicamente. Estamos ya en un momento en el que los ciberataques a los cajeros, o ATM (Automated Teller Machine) se han convertido en una amenaza emergente que ya cuenta con su propio «malware».

El Centro Europeo de Ciberdelincuencia de Europol (EC3) y Trend Microhan publicado los resultados de su último informe conjunto, «El ‘malware‘ para cajeros automáticos, en auge», en el que se analizan los distintos tipos de amenazas.

«Los grupos criminales se han dado cuenta de que el uso de ‘malware’ es la forma más fácil y segura de robar dinero e información de las tarjetas desde los cajeros automáticos», aseguran David Sancho y Numaan Huq, investigadores de Trend Micro. De hecho, de 2014 a 2015 este tipo de fraudes se han incrementado en un 15 por ciento.

Tras estas acciones se esconden grupos criminales cada vez más sofisticados que ya se han dado cuenta de la oportunidad que hay en las herramientas de «hacking» para esta área. «Las estadísticas indican solamente un uso muy incipiente del software malicioso para el fraude en cajeros automáticos, pero sin duda es una tendencia que ha venido para quedarse», alertan los expertos.

EE.UU., Indonesia y Filipinas son los principales países en los que más se producen este tipo de ataques, según European ATM Security Team. Urge, por tanto, frenar esta tendencia y más teniendo en cuenta que en el mundo hay más de tres millones de cajeros automáticos, en los que se produce una media de operaciones de retirada de efectivo por valor de unos 8.600 millones de euros al año.

¿Por qué nace el software malicioso para cajeros?

Según la investigación de EC3 y Trend Micro, «hay muchos factores que han facilitado el cambio hacia el uso de un conjunto de herramientas de ‘hacking’ para apuntar a los cajeros automáticos». Uno de ellos es el uso de un sistema operativo anticuado como Windows XP porque ya no puede recibir losparches de seguridad.

«Otra razón puede encontrarse en la creciente sofisticación de losciberdelincuentes y en que se han dado cuenta de que la alternativa digital es menos arriesgada y les permite moverse con mayor sigilo», recuerdan los expertos, sin olvidarse de la decisión de los fabricantes de cajeros automáticos de emplear «middleware» que proporciona Interfaces de Programación de Aplicaciones (API) para comunicarse con los dispositivos periféricos de la máquina (como el PIN pad, cajero automático, etc.) independientemente del modelo.

Además, la investigación recoge cuáles son los principales tipos de «malware» así como su origen. «La falta de medidas de seguridad implementadas por los bancos comerciales en América Latina y Europa del Este, ha abierto la puerta para que los criminales abusen de los cajeros automáticos en estas regiones», aseguran los expertos.

Por otro lado, aunque lentamente, los investigadores aseguran que las técnicas se están exportando a otros países con el objetivo de ampliar el número de ataques.

Cada una de las familias de «malware» mencionadas tiene una determinada función de puesta a punto que se puede distinguir por dos características principales: el tipo fabricante de cajeros automáticos y las capacidades específicas del virus, tanto si utiliza para copiar los números de tarjetas y códigos PIN de los clientes del banco, como si se emplea para la retirada real de efectivo. «Lo que el ‘malware’ tiene en común es que es instalado normalmente de forma manual vía USB o CD», concluyen.

cajero-malware--620x349

Nuevo fraude a la vista : las videollamadas de WhatsApp

La Oficina de Seguridad del Internauta ha alertado de un fraude en la aplicación de mensajería instantánea Whatsapp. Los usuarios reciben un mensaje en el que se les invita a activar un servicio de videollamadas. Quienes pinchan en el enlace, acceden a una web (wsx.xo) que trata de suplantar la identidad de Whatsapp.

“Si has sido víctima de este engaño, permanece atento y monitoriza periódicamente la información que hay publicada sobre ti en Internet para evitar que tus datos privados estén siendo utilizados sin tu consentimiento”, advierte la Oficina de Seguridad del Internauta en su página web.

Es posible que se esté ofreciendo indebidamente información sobre el usuario que haya sido víctima del fraude y su correo electrónico o su número de teléfono estén publicados en la Red.

En ese caso, la Agencia Española de Protección de Datos proporciona a los internautas los pasos a seguir para ejercer los derechos de acceso, rectificación, cancelación u oposición (ARCO). La oficina de seguridad también insta a los usuarios que, tras caer en el engaño, hayan facilitado su número de teléfono móvil, a contactar con la operadora de telefonía para que bloquee los números SMS Premium.

La promoción fraudulenta se recibe por Whatsapp, a través de un mensaje en el que se ofrece activar las videollamadas. Si el usuario pincha en el enlace, aparecen unas pantallas que simulan estar verificando la versión de Whatsapp o generando alguna actualización. El siguiente paso consiste en la verificación del usuario, después de lo cual se pide al internauta que comparta la información de activación de videollamadas y el enlace a la web con otros usuarios (si no, es imposible activar este supuesto servicio). De esta forma, se propaga el fraude.

Una vez compartido, es preciso pinchar en la opción “Descargar videollamadas”. En ese momento, el usuario es informado de que su teléfono está desactualizado y se le solicita que lo actualice. El internauta es dirigido a una web en la que debe introducir su número de teléfono y su operadora telefónica. Al pulsar “enviar” se intentará suscribir al usuario a un servicio de SMS Premium.

“Para evitar este tipo de fraudes, la mejor recomendación es no introducir datos personales ni el número de teléfono móvil en promociones online de las que no estemos seguros de su legitimidad”, recomienda la Oficina de Seguridad del Internauta.

1461015879_508470_1461018512_noticia_normal_recorte1

Whatsapp por fin garantiza conversaciones seguras de extremo a extremo.

En pleno debate sobre la seguridad de las telecomunicaciones, la popular aplicación de mensajería instantáneaWhatsApp, verdadera reina del teléfono móvil inteligente, ha acelerado los pasos para convertirse en una herramienta más robusta. Y ahora, por fin, será equiparable a otras comoSignal y Telegram, líderes en este terreno.

La «app» propiedad de Facebook ha implementado por defecto un sistema de cifrado de extremo a extremo –«end to end», en inglés–, que permite a sus más de mil millones de usuarios mantener conversaciones seguras y privadas, tanto en los mensajes de texto como en las llamadas. Para ello ha trabajado con la firma especializada Open Whisper System. Y, tras dos años de colaboración, ha sido ahora –en el marco de la polémica en torno al caso del iPhone de la matanza de San Bernardino (California), que ha enfrentado aApple y al FBI– cuando se ha hecho extensible este sistema.

Clave secreta y única

Esta tecnología garantiza automáticamente que únicamente emisor y receptor de la conversación pueden leer los mensajes enviados. Ninguna otra persona, ni siquiera la propia compañía, tiene acceso a estos, pues están cifrados con una contraseña que solo conocen los interlocutores. El mecanismo, que no se puede desactivar, consiste en la creación de una clave única y temporal accesible salvo para los usuarios que mantienen la conversación.

Esas claves se almacenan en el dispositivo de cada uno. El servicio es incapaz de generar o almacenar estas claves de cifrado. Tampoco se guardan de forma visible fotos, vídeos o mensajes de audio. Su funcionamiento es simple: un mensaje escrito por un usuario A se enviará cifrado a un servidor propiedad de WhatsApp y, tras procesarlo, llegará a un usuario B en ese mismo estado. Para tener acceso al contenido de los chats se debería disponer del propio terminal desbloqueado.

Cuando nos comunicamos con cualquier persona en internet es fácil imaginarse que el mensaje viaja como una llamada de teléfono que igualmente puede ser espiada. «Cuando añades el cifrado a una comunicación de este tipo, lo más sencillo es hacerlo de extremo a extremo, es decir, mezclar la señal en nuestro teléfono para que si alguien la intercepta solo oiga ruido, y cuando llega al teléfono del receptor, este la descodificará reproduciendo nuestra voz como si nada hubiera pasado», explica Pablo Teijeira, director general de la firma de seguridad Sophos Iberia.

En las últimas versiones, la aplicación utilizaba una mezcla entre el cifrado que ha estado usando desde 2012 (RC4) y el sistema que acaban de implantar (Signal Protocol). El primero protegía todas las comunicaciones entre el teléfono y los servidores. Cuando se enviaba un mensaje se aplicaba una capa extra de cifrado sobre el texto del mensaje que utilizaba Signal, logrando así tener un cifrado «más robusto». Esto implica, según el experto de Telefónica Pablo San Emeterio, «un paso más en la seguridad e intimidad de las comunicaciones».

«Aplicar este tipo de mecanismo criptográfico implica que, además de garantizar la inviolabilidad de las comunicaciones en tránsito (del cliente al servidor), se aumenta la seguridad haciendo que las claves necesarias para descifrar las comunicaciones residan en los propios clientes», señala a este diarioYago Jesús, experto en seguridad informática del sitio especializado Security by Default. «En principio –dice– resulta muy fiable» y «supone una capa extra de seguridad que beneficia al usuario final», aunque considera llamativo el hecho de que una de las medidas de seguridad añadidas a WhatsApp, la verificación de identidad de extremo a extremo, que permite avisar al usuario ante un ataque de suplantación, «esté deshabilitada por defecto».

En la misma línea se sitúa Sergio Carrasco, abogado especializado en derecho tecnológico en Fase Consulting, quien apunta que la decisión de WhatsApp de blindar los mensajes «es muy importante porque lo que está haciendo es garantizar que no va a haber intromisiones dentro de la conversación». Según este experto, en los servidores de WhatsApp no se guardan los mensajes. «Una vez que han sido entregados, se borra del servicio y no quedan en un servidor central».

No tan anónimo

Más crítico se muestra Carlos Aldama, perito informático, quien considera que el sistema protege el envío y no el mensaje. «La base de datos del smartphone sigue siendo la misma y se puede acceder a través del terminal. Lo que se ha implantado sirve para ir en contra de los que se “cuelan” en el momento en el que estamos transmitiendo la comunicación». A su juicio, es importante tener en cuenta que WhatsApp todavía no hace borrados seguros como su principal rival, Telegram, y que no se cifra en sus servidores. Con esto, ¿podemos decir que ahora «wasapear» ofrece un mayor anonimato? «Lo cierto es que no», asegura, porque el número de teléfono, receptor, destinatario, día y hora «van a seguir almacenados en los servidores».

Al fin y al cabo, la seguridad en internet al cien por cien no existe. «Jamás debemos pensar eso», recuerda San Emeterio. «Los elementos de seguridad que hace diez años nos parecían infalibles ahora no lo parecen tanto. La seguridad es una cadena de varios eslabones, y si se consigue romper uno de ellos es suficiente para dejar de estar seguros», concluye.

WHATSAPP--620x349

 

El error de un hacker que le «costó» mil millones de dólares.

Hay veces que los «hackers» fracasan en sus intentos de robo. Bien porque la estructura que pretenden atacar es más robusta de lo que esperaban o por imprevistos. Sin embargo, hay veces que la ortografía puede jugar una mala pasada. Y eso es lo que le ha sucedido a uno de estosciberdelincuentes.

Un error ortográfico en la instrucción a la hora de ordenar la transferencia bancaria ayudó a las autoridades a evitar el robo de cerca de mil millones de dólares al Banco Central Bangladesh el mes pasado. Así lo ha desvelado uno de los funcionarios de la banca, cuyo ataque se produjo desde su cuenta en la Fed, es decir, el Banco de la Reserva Federal de Nueva York.

Y es que el ciberdelincuente, que debía ordenar la transferencia a la Fundación Shalika, que se escribe en inglés «Foundation Shalika», escribió «Fandation Shalika».

A pesar del error, los «hackers» sí consiguieron robar cerca de 100 millones de dólares, lo que supone uno de los mayores robos bancarios de la historia. No ha sido hasta esta semana cuando el Banco de Bangladesh ha denunciado el hecho del que fue víctima el pasado 5 de febrero

Según las primeras investigaciones, el ataque de los piratas informáticos, posiblemente de China, consistía en realizar varias transferencias a diferentes cuentas en distintos países asiáticos desde la cuenta en la Fed por valor de unos 100 millones de dólares, de los que 81 siguen fuera de control en cuentas de Filipinas.

Los ciberdelincuentes violaron los sistemas del Banco de Bangladesh y robaron sus credenciales para poder realizar las diferentes transferencias de pago. A continuación, bombardearon el Banco de la Reserva Federal de Nueva York con casi tres docenas de peticiones para mover el dinero de la cuenta del Banco de Bangladesh a Filipinas y Sri Lanka.

Tras cuatro órdenes, por un valor de 81 millones de dólares, llegó la quinta por valor de 20 millones. En ese momento, el hacker debía ordenarla el traspado a la ONG, sin embargo se confundió al escribir mal el nombre de la supuesta organización sin ánimo de lucro de Sri Lanka. Fue cuando saltaron todas las alarmas.

A partir de ese momento, los piratas se dieron cuenta de que ya no podían ejecutar su plan al completo: aún les quedaba por ordenar transferencias por un montante de unos 870 millones de dólares. Todas ellas fueron abortadas.

El Banco de Bangladesh continúa trabajando por recuperar parte del dinero robado aunque en realidad tiene pocas esperanzas de conseguirlo o de poder localizar a los «hackers» que se esconden tras este ataque. Además, culpa a la Fed de no detectar el robo y detener, por tanto, las operaciones. La entidad de Nueva York, sin embargo, ha asegurado que sus sistemas no se rompieron.

hacker-error-ortografia_xoptimizadax--420x236

¿Un iPhone imposible de hackear?

Apple desarrolla nuevas medidas de seguridad que harían que al Gobierno le resultase imposible acceder a un teléfono iPhone bloqueado mediante una contraseña usando métodos similares a los que enfrentan a la compañía con el FBI.

Según el diario «The New York Times», si Apple tiene éxito en la actualización de las medidas de seguridad, algo que los expertos dan por hecho, la compañía crearía un enorme desafío técnico para el FBI y otras agenciasincluso si el Gobierno gana el caso abierto contra la firma con sede en la localidad californiana de Cupertino (EE.UU.).

El Gobierno estadounidense ha pedido a Apple ayuda con un iPhone utilizado por uno de los autores del tiroteo en diciembre en la ciudad californiana de San Bernardino, en el que murieron 14 personas y 22 resultaron heridas. El FBI tiene en su poder el teléfono pero no ha podido acceder a los datos y ha solicitado a Apple que desarrolle una nueva versión de su sistema operativo para esquivar las funciones de seguridad en el dispositivo móvil.

Una juez federal estadounidense ordenó a Apple la semana pasada colaborar con el FBI, exigencia a la que la empresa tecnológica se niega en un controvertido caso que podría llegar hasta el tribunal Supremo del país. El consejero delegado de Apple, Tim Cook, dijo en una entrevista con la cadena de televisión ABC, que la seguridad de los estadounidenses es «increíblemente importante».

Precisó, con todo, que la protección de los datos de los ciudadanos también lo es e insistió en que el acceder a las peticiones del FBI haría que sus usuarios fuesen «increíblemente vulnerables». «Crearía un precedente que ofendería a mucha gente», afirmó el responsable de Apple.

El director del FBI, James Comey, ha insistido en que el caso de San Bernardino tiene un alcance «reducido» y afecta a un único teléfono pero Cook asegura que eso no es cierto. Cook sostiene que la técnica que Apple debería de desarrollar para allanar el camino al FBI «podría utilizarse una y otra vez en muchos dispositivos».

Sería, dijo, el equivalente a «una llave maestra capaz de abrir cientos de millones de cerraduras, desde restaurantes y tiendas a casas». «Ninguna persona razonable consideraría que eso es aceptable», dijo Cook la semana pasada. Apple pidió el lunes al Gobierno de Estados Unidos retirar la petición que exige a la compañía ayudar al FBI y crear en lugar de ello una comisión oficial para evaluar los problemas generados por el creciente uso de la encriptación.

«Nuestro país siempre ha sido más fuerte cuando está unido», aseguró Apple en una información publicada ayer en su sitio web, donde dice que la mejor forma de avanzar en este caso sería que el Gobierno «retire» sus exigencias y forme una comisión o algún tipo de panel para evaluar la situación. «Apple participaría encantada en un esfuerzo de ese tipo», aseguró la compañía.

50257408--620x349