Archivos por Etiqueta: virus

Un ataque a Microsoft Outlook permite leer parte de los correos de sus usuarios

Microsoft ha comenzado a notificar a los usuarios de su servicio de correo electrónico Outlook sobre la existencia de un acceso no autorizado de un actor externo que ha comprometido la información de las cuentas durante tres meses, entre enero y marzo de este año 2019.

A través de Reddit, un usuario ha compartido un mensaje de la oficina de protección de datos de Microsoft en la Unión Europea en el que advierte sobre un acceso no autorizado, para el que los cibercriminales han utilizado unas credenciales comprometidas del soporte de Outlook.

Entre los datos que han resultado expuestos se encuentran datos relacionados con la cuenta como la dirección de correo, los nombres de archivos adjuntos, los asuntos de los correos electrónicos y los nombres y direcciones de otros usuarios con los que se ha escrito. Según explica la compañía estadounidense, este acceso no autorizado es responsabilidad de agentes externos a Microsoft y ha tenido lugar entre el 1 de enero de este año y el 28 de marzo.

Un portavoz de Microsoft ha confirmado la existencia del acceso autorizado, como ha recogido el portal «The Hacker News», en el que asegura que la compañía «no tiene indicaciones de por qué se vio la información ni de cómo se ha utilizado».

 

Clipboard-0013-kI5H--620x349@abc

Así funciona la llamada que puede bloquear tu ordenador

Lo clásico, en el mundo de la seguridad informática, sigue funcionando. Lo que también puede resultar obvio también tiene un gran impacto. Una de las técnicas más habituales por ciberdelincuentes para estafar a los ciudadanos es la «llamada falsa del servicio técnico». Un fraude que puede bloquear los equipos informáticos de los afectados y que incluso la Guardia Civil ha advertido a la población.

A través de un mensaje en su perfil oficial de la red Twitter, la Benemérita ha recomendado no descargar ningún tipo de programa informático o software de control remoto «sin antes haber comprobado su identidad». Porque así opera esta técnica que sigue teniendo un efecto devastador entre los afectados.

Los cibercriminales llaman a la potencial víctima haciéndose pasar por un profesional del servicio técnico de una compañía tecnológica, generalmente se presentan como empleado de Microsoft, propietario del sistema operativo Windows, el de mayor popularidad del mundo. Así se garantizan que el afectado utiliza este ecosistema.

El interlocutor, suplantando la identidad de un informático, asegura no hablar correctamente el español, pero le advierte a la víctima de que su ordenador tiene un virus informático. Para ello, se pide ejecutar el comando «eventvwr» desde una consola de comandos. Después, y una vez ordenados los eventos por gravedad, aparece una ventana en la que se recogen «eventos administrativos», lo que puede provocar la preocupación de la persona, recuerda la Oficina de Seguridad Informática.

Una vez informado de que puede solucionar el problema, el ciberdelincuente insta a la persona que desea estafar a instalar un programa de control remoto. Ahí es cuando se «atrapa» a la víctima dado que, entonces, se bloquea el equipo a cambio del pago de una cantidad de dinero determinada.

Los expertos en seguridad informática recomiendan desconfiar de la llamada de una persona desconocida intentando acceder a su equipo a distancia. «Lleva pasando bastante tiempo, no es una cosa nueva, sino que se lleva timando a la gente suplantando la identidad de Microsoft hace mucho. Cuando alguien que no tiene conocimiento sobre cómo se hacen estas cosas es normal que haya personas que “piquen” y den acceso a su ordenador para que puedan ejecutar algun tipo de código malicioso», explica a este diario Lorenzo Martínez, experto en seguridad en Securízame.

«El problema -insiste este experto- es la falta de concienciación de los usuarios que se fían de este tipo de llamadas». En su opinión, para protegerse es importante no fiarse de este tipo de supuestas llamadas: «Ante la más mínima sospecha, pedirle un teléfono al que ponerse en contacto a posteriori, comprobar el número en internet por si tiene mala reputación y, en cualquier caso, tener claro que una inspección nunca te la van a hacer por teléfono, dado que existen otros mecanismos oficiales para comunicarlo».

Clipboard-0005-U30835232952fHI--620x349@abc

El aterrador virus informático que te informa de un cáncer falso

Imaginemos por un momento que cualquiera de los candidatos a presidir el próximo Gobierno de España anuncia, repentinamente, que abandona su carrera política por motivos de salud. De la noche a la mañana, unas pruebas médicas han certificado que le ha salido un pequeño tumor. Da igual dónde. Da igual cómo.

Lo que nadie sabe es que ese diagnóstico médico es falso. Pero él no miente. Tampoco su médico. De hecho, ninguno sabe lo que realmente ha ocurrido. Sólo una persona sabe la verdad absoluta. Se llama cibercriminal. Él es el responsable de ese cáncer que ha colocado a dedo sobre el candidato a presidir el Gobierno de España con un temible virus informático («malware») que ha conseguido colar en el sistema informático del hospitalalterando los resultados de las pruebas radiológicas.

Investigadores en Israel han creado dicho «malware» para llamar la atención sobre las serias deficiencias de seguridad en equipos y redes de imágenes médicas, las cuales se transmiten entre los sistemas a través de infraestructuras críticas, tal y como publica « The Washington Post».

Yisroel Mirsky y Yuval Elovici son dos de los investigadores del Centro de Investigación de Seguridad Cibernética de la Universidad Ben-Gurion, en Israel, que han conseguido crear dicho «malware». Los expertos aseguran que «los atacantes podrían atacar a un candidato presidencial u otros políticos para engañarlos y hacerles creer que tienen una enfermedad grave y hacer que se retiren».

En un estudio a ciegas, consiguieron alterar con su virus informático hasta 70 tomografías (TAC, la tecnología que se utiliza para el diagnóstico con imágenes con un equipo de rayos X que crea imágenes transversales del cuerpo) «y pudieron engañar a tres radiólogos expertos para que realizaran diagnósticos erróneos», recoge el medio. «En el caso de las exploraciones con nódulos cancerosos fabricados, los radiólogos diagnosticaron el cáncer el 99 por ciento de las veces. En los casos en que el ‘malware’ eliminó nódulos cancerosos reales de las exploraciones, los radiólogos dijeron que esos pacientes estaban sanos el 94 por ciento de las veces», recoge «The Washington Post».

Yisroel Mirsky, Yuval Elovici y su equipo avisaron a los profesionales sanitarios que los nuevos resultados que les iban a mostrar habían sido alterados por el «malware». Aún así, de las 20 nuevas pruebas que les mostraron, los radiólogos creyeron que los tumores eran reales en el 60 por ciento de las veces. En las pruebas en las que habían eliminado nódulos cancerosos, los médicos erraron el 87 por ciento de las veces, concluyendo que los pacientes muy enfermos estaban sanos.

Modificaciones a medida

«Me sorprendió bastante», declaró Nancy Boniel, radióloga de Canadá que participó en el estudio, que solo se centró sobre el cáncer de pulmón. Los investigadores «hackearon» las pruebas a través de una herramienta de software de detección de cáncer de pulmón que los radiólogos a menudo utilizan para confirmar sus diagnósticos.

Con este terrorífico virus, un ciberdelincuente puede «modificar exploraciones aleatorias para crear caos y desconfianza en el equipo del hospital o podría dirigirse a pacientes específicos», recoge el periódico.

Como todos los virus informáticos, si se cuelan en el sistema es porque existen vulnerabilidades «que permiten a alguien alterar las exploraciones que residen en el equipo y las redes que utilizan los hospitales para transmitir y almacenar imágenes de resonancias magnéticas y TAC».

Estas imágenes se envían por el sistema de almacenamiento y transmisión de imágenes (PACS), muy común en hospitales, sin cifrar o no están bien protegidas, por lo que un intruso puede entrar en la red, ver las pruebas y modificarlas.

Redes sin encriptar

Según «The Washington Post», Fotios Chantzis, un ingeniero especializado en seguridad de la Clínica Mayo en Minnesota que no participó en el estudio, confirmó que el ataque es posible. «Las redes PACS generalmente no están encriptadas. Esto se debe en parte a que muchos hospitales aún operan bajo el supuesto de que lo que está en su red interna es inaccesible desde el exterior».

Ahora, el cifrado para algunos programas de PACS está disponible, pero «en general todavía no se usa por razones de compatibilidad», recoge el diario, ya que los hospitales utilizan un sistema tan antiguo que es incapaz de descifrar o volver a cifrar las imágenes.

Los investigadores desarrollaron su «malware» con aprendizaje automático. Se trata de un código que pasa a través de una red PACS y es capaz de «ajustar y escalar tumores fabricados para ajustarse a la anatomía y dimensiones únicas del paciente para hacerlos más realistas». Basta con que los atacantes tengan acceso físico a la red para ejecutarlo, pero también pueden hacerlo de forma remota a través de internet. «Los investigadores descubrieron que muchas redes de PACS están conectadas directamente a internet o son accesibles a través de las máquinas del hospital que están conectadas a la Red», explica el diario.

De hecho, para demostrar lo fácil que sería ejecutar el ataque, un hospital en Israel autorizó a Mirsky infectar la red con el «malware» diseñado. La acción, que fue grabada, recoge cómo el investigador pudo colarse en el departamento de radiología del centro hospitalario «después de horas y conectar su dispositivo malicioso a la red en solo 30 segundos, sin que nadie cuestione su presencia».

Para evitar que realmente un ciberdelincuente pueda llevar a cabo este ataque, Mirsky asegura que lo ideal sería que los hospitales habilitaran el cifrado de extremo a extremo en su red PACS y firmaran digitalmente todas las imágenes. El problema es que esta protección requiere de una elevada inversión que muchos hospitales no pueden permitirse.

 

cancer-malware-kPSG--620x349@abc

Crece la amenaza de los routeres infectados por el “malware” ruso.

La amenaza por el «malware» VPNFilter, el virus informático por el que incluso el FBI ha alertado a la población por la posible infección de unos 500.000 routers en todo el mundo, es aún peor de lo que se pensaba en un principio. Según ha informado Cisco, la compañía de ciberseguridad que descubrió este potencial ciberataque a escala planetaria, los equipos comprometidos han aumentado en seis nuevas marcas (con decenas de modelos nuevos afectados) y desde la compañía señalan que este hecho puede suponer que los dispositivos infectados aumenten hasta los 700.000.

Además, Cisco ha alertado de que el virus tiene «capacidades adicionales» a las anteriores descritas (los primeros informes apuntaban a que podían hacerse con el control de los dispositivos y llevar a cabo ataques a gran escala a servidores sensibles, como los de las agencias de inteligencia gubernamentales). Así, ahora se ha demostrado que puede «inyectar contenido malicioso en el tráfico web según pasa por el router», lo que significa que el atacante no solo podría inutilizar el equipo, sino también monitorizar su tráfico para robar información personal como contraseñas o datos bancarios e incluso implantar el «malware» a otros dispositivos conectados al router.

Y no solo eso, ya que además tiene un modo de «autodestrucción», que borra el rastro de su existencia si así lo desea el cibercriminal, para que no se sepa ni siquiera que ha estado allí. «El router es la pieza que está en medio entre nosotros e internet. Típicamente desconfiamos de lo que determinadas páginas pueden ejecutar (o intentarlo) en nuestros navegadores. Siempre recomendamos evitar las redes inalámbricas públicas por si un tercero malintencionado ha creado una red falsa que pueda interceptar nuestro tráfico y robarnos credenciales, espiar nuestras comunicaciones o atacarnos a través de nuestra navegación lícita inyectando tráfico malicioso. Bien, pues esto puede estar pasando en los routers comprometidos por VPNFilter», explica Lorenzo Martínez, especialista en seguridad informática y fundador de Securizame.

¿Cómo puedo solucionarlo si sospecho que mi router está infectado?

En el comunicado hecho público por el FBI se recomendaba reiniciar el router como medida de protección. Sin embargo, al ser un virus persistente (es decir, que se ejecuta al arrancar el dispositivo) realizar solo esta acción no es garantía de eliminar la amenaza, sino solo de ralentizarla en el caso de que, efectivamente, el dispositivo esté comprometido. «El consejo de reiniciar el router, quizá se refiera a reiniciar, resetear y actualizar su firmware, modificando cuanto antes las contraseñas por defecto para la gestión que estos traen», señala Martínez. Es decir, reiniciando el dispositivo sólo conseguimos que el equipo salga del control efectivo del «malware», por poco tiempo, ya que ciberdelincuentes siguen teniendo su control. Por eso es importante resetear el dispositivo a la configuración de fábrica (en la mayoría, mediante la presión de un botón con un clip o un alfiler en un agujero que traen los aparatos), actualizar el «firmware» con la última versión y cambiar la contraseña por defecto, para que no se vuelva a infectar.

También es recomendable configurar el dispositivo para evitar que se pueda operar de manera remota (esto es, que nadie pueda controlarlo desde otro ordenador conectado a internet). «En muchos casos, las empresas nos solicitan el análisis de los servicios que exponen a internet, y en muchos casos en los que el router está incorrectamente configurado, estas vulnerabilidades podrían identificarse y solucionarse antes de que lo descubra alguien con malas intenciones», explica el responsable de Securizame.

Busca si tu equipo es uno de los afectados

Así, la lista de marcas y modelos que pueden haber visto comprometidos sus equipos son las siguientes [para buscar si tu dispositivo está afectado, primero busca entre las marcas ordenadas por orden alfabético y, dentro de estas, el modelo en cuestión. Al lado de los equipos que Cisco acaba de sumar a la lista se encuentra la palabra «nuevo» entre paréntesis]:

Marcas y modelos afectados:

ASUS:

– RT-AC66U (nuevo)

– RT-N10 (nuevo)

– RT-N10E (nuevo)

– RT-N10U (nuevo)

– RT-N56U (nuevo)

– RT-N66U (nuevo)

D-LINK:

– DES-1210-08P (nuevo)

– DIR-300 (nuevo)

– DIR-300A (nuevo)

– DSR-250N (nuevo)

– DSR-500N (nuevo)

– DSR-1000 (nuevo)

– DSR-1000N (nuevo)

HUAWEI:

– HG8245 (nuevo)

LINKSYS:

– E1200

– E2500

– E3000 (nuevo)

– E3200 (nuevo)

– E4200 (nuevo)

– RV082 (nuevo)

– WRVS4400N

MIKROTIK:

– CCR1009 (nuevo)

– CCR1016

– CCR1036

– CCR1072

– CRS109 (nuevo)

– CRS112 (nuevo)

– CRS125 (nuevo)

– RB411 (nuevo)

– RB450 (nuevo)

– RB750 (nuevo)

– RB911 (nuevo)

– RB921 (nuevo)

– RB941 (nuevo)

– RB951 (nuevo)

– RB952 (nuevo)

– RB960 (nuevo)

– RB962 (nuevo)

– RB1100 (nuevo)

– RB1200 (nuevo)

– RB2011 (nuevo)

– RB3011 (nuevo)

– RB Groove (nuevo)

– RB Omnitik (nuevo)

– STX5 (nuevo)

NETGEAR:

– DG834 (nuevo)

– DGN1000 (nuevo)

– DGN2200

– DGN3500 (nuevo)

– FVS318N (nuevo)

– MBRN3000 (nuevo)

– R6400

– R7000

– R8000

– WNR1000

– WNR2000

– WNR2200 (nuevo)

– WNR4000 (nuevo)

– WNDR3700 (nuevo)

– WNDR4000 (nuevo)

– WNDR4300 (nuevo)

– WNDR4300-TN (nuevo)

– UTM50 (nuevo)

QNAP:

– TS251

– TS439 Pro

– Otros equipos de QNAP NAS con el software QTS

TP-LINK:

– R600VPN

– TL-WR741ND (nuevo)

– TL-WR841N (nuevo)

UBIQUITI:

– NSM2 (nuevo)

– PBE M5 (nuevo)

UPVEL:

– De esta marca se ha descubierto la orientación de malware de Upvel como proveedor, pero no se ha podido determinar a qué dispositivo específico apunta (nuevo)

ZTE:

– ZXHN H108N (nuevo)

 

1202882484-kZqB--620x349@abc

Según los expertos reiniciar tu router no te librará del último ciberataque

La amenaza de un nuevo ciberataque mundial planea por todo el ciberespacio: un nuevo «malware» ha sido detectado, primero por varias agencias de seguridad online y después por el FBI, por el que medio millón de routers en todo el mundo están infectados y pueden colapsar. En un comunicado, la agencia de de inteligencia estadounidense ha recomendado el reinicio de este tipo de equipos, con especial hincapié en los de pequeñas empresas y los domésticos. «El FBI recomienda que cualquier propietario de pequeños enrutadores y enrutadores de oficinas domésticas apague (reinicie) los dispositivos», reza en la misiva, que se ha extendido como la pólvora por todo internet.

Pero, ¿es posible deshacerse de un virus solo con reiniciar el equipo? Los expertos contradicen al FBI acerca de los más de 500.000 routers infectados por VPNFilter, este nuevo «malware». En opinión de Lorenzo Martínez, especializado en seguridad informática y fundador de Securizame, está infección «es persistente», por lo que «aunque lo reinicies no lograrás evitar tener comprometido el router».

«No me cuadra mucho que el FBI dé esa solución. Supongo que es por aquellos routers que hayan sido comprometidos por una versión de ese “malware” o por otras variantes de este, que no lograban persistencia», sostiene en declaraciones a ABC. Sin embargo, puede darse el caso que el dispositivo de Red no haya sido comprometido de manera persistente, un supuesto que se produce «cuando el “malware” que se instala resiste a los reinicios debido a que se copia en alguna parte del router, al arranque de este». A su juicio, «si se da la suerte que no llega a pasar esto, el router al arrancar no está comprometido», aunque puede darse el caso que no se haya instalado una actualización del software que solucione la vulnerabilidad. Este caso -explica- el simple hecho de estar expuesto a Internet «podrá ser comprometido nuevamente».

virus-ciberataque-empresjkhsd-kVyG--1240x698@abc