Informe: "Detección de APTs"

El informe Advanced Persistent Threats (Amenazas Persistentes y Avanzadas) [PDF] pretende recomendar a profesionales de seguridad una serie de medidas a llevar a cabo de cara a detectar si estamos siendo víctimas de un ataque dirigido.

En los últimos 4 años el número de amenazas cibernéticas se ha multiplicado de manera exponencial produciéndose además un cambio en la naturaleza de las mismas; se ha pasado de amenazas conocidas, puntuales y dispersas, a amenazas de gran sofisticación, persistentes, y con objetivos muy concretos, surgiendo una nueva categoría de amenazas en el mundo del cibercrimen, las APTs.

Cuando hablamos de ataques de APT nos referimos a organización, premeditación, persistencia, sofisticación y novedad. No hay que olvidar que este tipo de amenazas están suficientemente financiadas cómo para mantener su campaña de ataques durante un periodo largo de tiempo, y disponer de los recursos necesarios para conseguir su fin. Es posible incluso que, en caso de ser detectados, los cibercriminales tengan un plan de contingencia que les permita reorganizarse y atacar de nuevo.

La detección de estos ataques presenta una extrema dificultad. Muchos utilizan firmas de ataque único y novedoso, capaces de evadir los sistemas de defensa tradicionales, usando canales encubiertos y utilizando técnicas de ocultación durante largos periodos de tiempo. En definitiva, las APT, a día de hoy, constituyen uno de los peligros mas importantes y de mayor expansión a los que se enfrentan los profesionales de seguridad, y son difícilmente evitables para la mayoría de las organizaciones. Por esta razón, la principal cuestión que se ha de plantear en el panorama actual frente a este tipo de amenazas es cómo detectarlas.

Es fundamental proporcionar a los profesionales de seguridad y administradores de sistemas y redes el conocimiento necesario sobre cómo detectar una APT en sus infraestructuras tecnológicas. Con objeto de concienciar sobre la importancia de una detección precoz ante una amenaza de este tipo, CSIRT-CV e INTECO-CERT han colaborado en la elaboración de un informe titulado “Detección de APTs” que tiene, entre otros, los siguientes objetivos:

• Constatar la importancia e implicación que tienen las APT en la seguridad nacional.
• Evidenciar el funcionamiento detallado de algunos casos conocidos de este tipo de ataques.
• Detallar cuales son las vías de infección más utilizadas para llevar a cabo un ataque de estas características.
• Establecer una serie de pasos básicos a seguir y consideraciones que se deben tener en cuenta a la hora de detectar en nuestra organización una intrusión de estas características.

Fuente: INTECO-CERT

Contenido completo en www.segu-info.com.ar

Las 10 grandes amenazas de seguridad en las bases de datos

El 96% de los datos sustraídos durante 2012 provenían de bases de datos, según un informe de Verizon (Data Breach). Además, durante el año pasado, 242 millones de registros resultaron potencialmente comprometidos, indica la Open Security Foundation. Se trata de dos preocupantes datos que la compañía Imperva, especializada en seguridad, recuerda en un informe que ha elaborado sobre las diez principales amenazas que existen contra las bases de datos y en el que se pone de manifiesto que éstas son el objetivo prioritario para hackers e insiders maliciosos.

En el informe asevera que esto es así debido a que las bases de datos representan el corazón de cualquier organización, ya que almacenan registros de clientes y otros datos confidenciales del negocio. Y afirma además que esta vulnerabilidad de las bases de datos mejoraría si no hubiera la actual falta de inversión en soluciones de seguridad adecuadas para protegerlas. Y es que, como señala IDC, menos del 5% de los 27.000 millones de dólares invertidos en 2011 en productos de seguridad se destinaron a la salvaguarda de los centros de datos.

Éste es, según Imperva, el top 10 en amenazas en el entorno de bases de datos:

1. Privilegios excesivos e inutilizados. Cuando a alguien se le otorgan privilegios de base de datos que exceden los requerimientos de su puesto de trabajo se crea un riesgo innecesario. Los mecanismos de control de privilegios de los roles de trabajo han de ser bien definidos o mantenidos.
2. Abuso de Privilegios. Los usuarios pueden llegar a abusar de los privilegios legítimos de bases de datos para fines no autorizados, por ejemplo, sustraer información confidencial. Una vez que los registros de información alcanzan una máquina cliente, los datos se exponen a diversos escenarios de violación.
3. Inyección por SQL. Un ataque de este tipo puede dar acceso a alguien y sin ningún tipo de restricción a una base de datos completa e incluso copiar o modificar la información.
4. Malware y spear phising. Se trata de una técnica combinada que usan los cibercriminales, hackers patrocinados por estados o espías para penetrar en las organizaciones y robar sus datos confidenciales.
5. Auditorías débiles. No recopilar registros de auditoría detallados puede llegar a representar un riesgo muy serio para la organización en muchos niveles.
6. Exposición de los medios de almacenamiento para backup. Éstos están a menudo desprotegidos, por lo que numerosas violaciones de seguridad han conllevado el robo de discos y de cintas. Además, el no auditar y monitorizar las actividades de acceso de bajo nivel por parte de los administradores sobre la información confidencial puede poner en riesgo los datos.
7. Explotación de vulnerabilidades y bases de datos mal configuradas. Los atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques contra las empresas.
8. Datos sensibles mal gestionados. Los datos sensibles en las bases de datos estarán expuestos a amenazas si no se aplican los controles y permisos necesarios.
9. Denegación de servicio (DoS). En este tipo de ataque se le niega el acceso a las aplicaciones de red o datos a los usuarios previstos. Las motivaciones suelen ser fraudes de extorsión en el que un atacante remoto repetidamente atacará los servidores hasta que la víctima cumpla con sus exigencias.
10. Limitado conocimiento y experiencia en seguridad y educación. Muchas firmas están mal equipadas para lidiar con una brecha de seguridad por la falta de conocimientos técnicos para poner en práctica controles de seguridad, políticas y capacitación.

Para la firma de seguridad, la clave para evitar estas amenazas es una defensa multicapa que permita localizar y evaluar dónde se ubican las vulnerabilidades en la base de datos y en qué sitio residen los datos críticos; gestionar los derechos de usuario para identificar derechos excesivos sobre los datos sensibles; hacer monitorización y bloqueo para proteger las bases de datos de ataques, pérdida de datos y robo; realizar auditorías y proteger los datos. 

Fuente: TicBeat

Contenido completo en www.segu-info.com.ar

Magic Malware: APT que infecta sistemas en UK

Se ha descubierto un programa malicioso que ha estado atacando a compañías británicas por casi un año sin ser detectado. Los investigadores de Seculert, la compañía de seguridad que descubrió el programa, lo nombraron “Magic Malware”. Ha infectado miles de equipos de organizaciones y empresas relacionadas con la educación, finanzas, telecomunicaciones, etc.

Magic Malware usa un protocolo personalizado para autenticarse a sí mismo y se comunica con los cibercriminales mediante una conexión HTTP conectada a un servidor de comando y control. Esto facilita que los delincuentes envíen órdenes a los equipos infectados para tratar de controlarlos y poder acceder a la información que tienen almacenada.

Seculert dice que es muy posible que este programa malicioso todavía esté en desarrollo. “Hemos visto muchos indicios de características que todavía no están implementadas y funciones que el malware todavía no utiliza”, aseguró Seculert. Aun así, el programa está activo y estuvo operando en los equipos infectados por 11 meses sin ser detectado.

“Todavía no conocemos la verdadera intención de los atacantes responsables de este malware. Como el programa puede establecer una puerta trasera, robar información e inyectar HTML en el navegador, creemos que la fase actual del ataque consiste en vigilar las actividades de las entidades a las que ataca”,.

Fuentes: Viruslist

Contenido completo en www.segu-info.com.ar

Indicadores de compromiso ante APT

Quizá soy el último en hablar del informe MANDIANT y a raíz de los comentarios de los maestros Jose Selvi, David Barroso y mi queridísimo Chema y sin entrar en detalles dado que ellos lo han definido y comentado perfectamente, voy a dar una visión sobre ‘como esta haciendo el Gobierno de EEUU para la detección de esta y otras intrusiones’.

El gobierno Americano dice que el informe MANDIANT y lo ocurrido es un ‘pearl harbor’ cibernético y el número de ordenadores y servidores comprometidos en grandes empresas y sitios gubernamentales es muy grande, para ello han tenido que pedir ayuda a agencias de investigación, empresas dedicadas al análisis forense y respuesta ante incidentes.

Un colega americano comentaba esta madrugada que lo descubierto hasta ahora, es mucho malware mejorado de lo antiguo y que los antivirus son testigos mudos de como la industria del malware vence una y otra vez. Que han encontrado sistemas de control remoto y aplicaciones que ‘roban’ documentos del tipo ‘office’ y que los laboratorios a día de hoy están ‘a tope’ de trabajo y que muchas muestras son idénticas en funcionamiento por lo que parece ser que se han basado en una arquitectura común en el método de infección de un ordenador.

También ha indicado, que dado que son muchos los analistas de distintas empresas los que están involucrados han empezado a aplicar múltiples indicadores de compromiso para evaluar el índice de penetración de los piratas analizando artefactos de Windows y la memoria RAM y virtual de los sistemas.

Efectivamente uno de los problemas que tenemos los equipos de investigadores, es que nos encontramos con muestras que muchas veces ya han sido analizados por otros compañeros y como no hay una comunicación fluida acabamos haciendo el trabajo dos veces. Los indicadores de compromiso, es una forma efectiva de tener (o no) una sospecha de un malware o proceso infectado.

Estos indicadores, son un sistema muy interesante y que a raíz del comentario de este colega quiero explicaros de que va. Para ello vamos a utilizar diversas utilidades de la empresa MANDIANT que por cierto colabora con el Presidente Obama para la detección de estos últimos incidentes que ha ocurrido.

Contenido completo en fuente original Conexión Inversa

Contenido completo en www.segu-info.com.ar

China, EEUU y las APT: La importancia del informe Mandiant

El informe Mandiantva a ser (aun estando en Febrero) una de las noticias del año en lo referente a la seguridad informática. Este informe detalla con claridad las actividades de lo que Mandiant denomina grupo APT1, uno de los más prolíficos en lo relativo a la cantidad y longevidad de sus ataques.

La principal diferencia de este informe con respecto a cualquier otro que haya visto en la comunidad de seguridad informática es el nivel de detalle: Mandiant ofrece una enorme cantidad de información que desvela un gran trabajo (tanto técnicamente como en la cantidad de recursos destinados), y cuya calidad puede considerarse como sólida a nivel técnico.

¿Quién está detrás de APT1?. Como siempre es fácil adivinarlo: China. Pero en lugar de ser una serie de sospechas o de acusaciones sin pruebas fehacientes (como en otros ataques imputados a China como Aurora, ShadyRat o GhostNet entre otras), Mandiant aporta una serie de evidencias con un peso específico importante que implican al gigante chino de forma directa en diversas operaciones de ciberespionaje.

Porque es importante tener en cuenta una cosa: como bien dice Manuel Benet en SecurityArtWork “esto ya no es informática, es política”. Siempre ha sido política, la informática es solo un medio más para conseguir unos objetivos. China desea fervientemente ser la próxima potencia mundial, y una de las cosas que necesita para cumplir su objetivo es capacidad científico tecnológica.

Contenido completo en fuente original INTECO-CERT

Contenido completo en www.segu-info.com.ar

Predicción de las seis mayores amenazas para 2013 [Fortinet]

Fortinet, proveedor de dispositivos de seguridad de red especializado en gestión unificada de amenazas, ha listado las que a su juicio serán las grandes amenazas que marcarán la seguridad TI el próximo año.
Con las APTs para móviles y exploits a través de comunicaciones máquina-máquina como las principales tendencias, Fortinet ha listado la seis grandes amenazas predichas por el equipo de investigación de los Laboratorios FortiGuard y que se concretan en:

1. Las APTs atacan al usuario a través de las plataformas móviles
Las APTs, también conocidas como amenazas avanzadas persistentes, se definen como la capacidad para utilizar tecnología sofisticada, múltiples métodos y vectores para alcanzar un objetivo específico con el fin último de obtener información sensible o clasificada. Los ejemplos más recientes han sido Stuxnet, Flame y Gauss. En 2013 prevemos que las APTs tendrán como objetivo a individuos concretos, como CEOs, famosos y figuras políticas.
La verificación de esta predicción será difícil porque los atacantes después de obtener la información que están buscando, pueden eliminar el malware del dispositivo antes de que la víctima sea consciente de que ha sido atacada. Y lo que es más, los individuos que descubran que han sido víctimas de una APT no querrán hacerlo público ya que son ataques que afectan a individuos no a infraestructuras críticas, gubernamentales o empresas, por lo que la información sustraída es de carácter personal. Los criminales buscan información que puedan aprovechar para actividades delictivas como el chantaje o la amenaza de fuga de información a cambio de un pago.

2. El modelo de seguridad de autenticación de doble factor sustituye al de clave única
El modelo de seguridad de clave única está muerto. Hay herramientas en la red que permiten descifrar una clave de cuatro o cinco caracteres en minutos. Utilizando las nuevas herramientas de cracking de claves basadas en cloud, los cibercriminales pueden conseguir 300 millones de passwords diferentes en solo 20 minutos y por menos de 20$. Incluso pueden descifrar una clave alfa numérica en una hora. Las credenciales almacenadas en bases de datos cifradas (a menudo violadas a través de portales Web y de inyección SQL), junto con la seguridad inalámbrica (WPA2) serán blancos populares de craqueo utilizando dichos servicios cloud. Podemos predecir que el próximo año habrá un aumento en el negocio de desarrollo de sistemas de autenticación de dos factores para empleados y clientes. Consistirá en un inicio de sesión basado en la web que requerirá una contraseña de usuario y una contraseña secundaria que, o bien llegará a través del dispositivo móvil del usuario o de un token de seguridad independiente. Si bien es cierto que hemos visto al botnet Zitmo romper la autenticación de dos factores en dispositivos Android y en el token de seguridad SecurID de RSA (hackeado en 2011), este tipo de sistemas sigue siendo el método más eficaz para garantizar las actividades online.

3. Los exploits dirigidos a comunicaciones máquina-máquina (M2M)
La comunicación máquina-máquina (M2M) hace referencia a las tecnologías que permiten a los sistemas cableados e inalámbricos comunicarse con otros dispositivos de la misma capacidad. Puede ser un frigorífico que se comunica con el servidor de la casa para notificar que es necesario comprar leche o huevos, o una cámara de un aeropuerto que capta la foto de la cara de una persona y cruza referencias con la base de imágenes de conocidos terroristas o incluso un dispositivo médico que regula el oxígeno de una víctima de accidente y alerta al personal del hospital si el latido es débil. Si bien las posibilidades prácticas tecnológicas de M2M son esperanzadoras, ya que tiene el potencial de eliminar el error humano de muchas situaciones, todavía hay muchas preguntas sobre su seguridad. Creemos que el próximo año veremos el primer caso de piratería informática en sistemas M2M, muy probablemente en una plataforma relacionada con la seguridad nacional como un centro de desarrollo de armas. Es probable que suceda por flujos de información envenenada que atraviesa el canal de M2M – haciendo que la máquina maneje esta información, creando una vulnerabilidad y permitiendo a un atacante acceder a este punto vulnerable.

4. Exploits para eludir el Sandbox
Sandboxing es una práctica frecuentemente empleada en el mundo de la seguridad TI para separar la ejecución de programas y aplicaciones de forma que el código malicioso no pueda transferirse de un proceso (como un lector de documentos) a otro (véase el sistema operativo). Algunos proveedores como Adobe y Apple utilizan estos sistemas y desde que lo comenzaron a implantar los atacantes tratan de eludirlo. El equipo FortiGuard Labs ya ha detectado algunos exploits capaces de romper la máquina virtual (VM) y entornos de espacio aislado, como la vulnerabilidad de Adobe Reader X. Los explotis frente a sandboxing más recientes han permanecido en modo invisible (lo que sugiere que el código malicioso está aun en fase de desarrollo y prueba) o han intentado activamente eludir ambas tecnologías. En 2013 esperamos ver un código de explotación innovador dirigido a evitar ambientes sandbox específicamente utilizados por los aparatos de seguridad y dispositivos móviles.

5. Botnets en distintas plataformas
En 2012, los laboratorios FortiGuard analizaron botnets para móviles como Zitmo y descubrieron que comparten muchas de las características y funcionalidades de las tradicionales botnets para PC. Para 2013, el equipo predice que, gracias a la paridad entre plataformas, vamos a empezar a ver nuevas formas de ataques denegación de servicio distribuida (DDoS) que aprovechará tanto el PC como los dispositivos móviles simultáneamente. Por ejemplo, un dispositivo móvil infectado y un PC compartirán el mismo servidor de comando y control (C&C) y protocolo de ataque, y actuarán conjuntamente, lo que potenciará el impacto de la botnet. Lo que eran dos botnets independientes que se ejecutaban en el PC y en el sistema operativo para móviles, como Android, se convertirá ahora en una operación botnet monolítica sobre múltiples tipos de endopoints.

6. El crecimiento de malware móvil se acerca al de portátiles y PCs
Actualmente el malware se dirige tanto a dispositivos móviles como a PCs y portátiles. Históricamente, sin embargo, la mayoría de los esfuerzos de desarrollo se han dirigido a los ordenadores por ser los más populares. Los Laboratorios FortiGuard han monitorizado cerca de 50.000 tipos de malware para móvil, frente a millones para PC. Los investigadores ya han observado un aumento significativo en el volumen de malware móvil y creemos que este sesgo cambiará más drásticamente a partir del año que viene. Esto se debe al hecho de que en la actualidad hay más móviles en el mercado que ordenadores portátiles o de sobremesa, y los usuarios están abandonando estas plataformas tradicionales a favor de nuevos dispositivos. Si bien los investigadores de los Laboratorios FortiGuard creen que todavía pasarán años antes de que se iguale el malware en móviles al de PCs, sí se producirá un crecimiento acelerado de malware en dispositivos móviles, ya que los creadores de malware saben que es más complejo asegurar los dispositivos móviles que los PCs.

Fuente: Muy Seguridad.net

Contenido completo en www.segu-info.com.ar

Cuidado: Estos son tres correos que no querrá ver en su bandeja de entrada

Estos son tres correos electrónicos que no querrá ver hoy en su bandeja de entrada. Aunque los mensajes dicen que fueron enviados por LinkedIn, YouTube y Google, la verdad es que los encabezados han sido falsificados, y los mensajes han sido preparados especialmente para parecer comunicaciones auténticas de estas empresas de Internet.

Al hacer clic en cualquiera de los enlaces, lo llevará a algún sitio de estafa tipo farmacéutica Canadiense para venderle Viagra, o incluso a alguna página web con carga maliciosa. Tenga siempre cuidado al hacer clic en enlaces de correos no solicitados, pase antes con el mouse por arriba del enlace para ver a donde lo dirige en realidad antes de hacer clic, y asegúrese de mantener su protección antivirus y antispam actualizados.

Si uno es descuidado caerá en la trampa de los spammers y pondrá sus finanzas e información en peligro. (¡Ah!, y también hemos visto también algunos correos que dicen venir de Amazon)

Traducción: Raúl Batista – Segu-Info
Autor: Graham Cluley
Fuente: NakedSecurity (Sophos)

Contenido completo en www.segu-info.com.ar

Hostigamiento anónimo: cuando un extraño te arruina la vida

Identificar el problema es el comienzo de la solución. Pero ¿qué pasa cuando no se conoce la causa? O, peor aún, cuando la persona descubre que está siendo hostigada por un extraño. El desconcierto posterga la solución.

Una mujer que perdió tres veces la línea de su celular porque alguien se lo denunciaba como robado; una familia que abrió la puerta de su casa unas 30 veces en el día para rechazar pedidos de deliverys y remises que nunca solicitó; un joven que sufrió el robo de su identidad en Facebook para ser difamado; un ex empleado del Poder Judicial que caminó entre balazos y causas inventadas. Cuatro historias sobre hostigamiento o acoso anónimo. Cuatro personas que sufrieron un infierno todos los días.

La línea de celular suspendida

Los usuarios de Twitter se acordarán de los #FF (Follow Friday) de los viernes. Ese día se recomendaban personas de la red social. Una costumbre, que ya quedó en desuso, fue el comienzo del hostigamiento que sufrió Silvina.

En esa interacción virtual inició un intercambio de contenidos con un periodista y, a su vez, con una usuaria que, de modales amables, le aconsejaba libros en inglés, música y ciertas trivialidades. Pero unos meses después de esa amistad tuitera los buenos modales le dieron paso a cierta hostilidad.

Querida, quiero que sepas que no me gusta que le hagas #FF a mi marido

“Querida, quiero que sepas que no me gusta que le hagas #FF a mi marido”, fue el primer mensaje directo (o DM) que recibió. “Quedé atónita -cuenta a LA NACION – porque no sabía a quien se refería y me respondió que varias ‘gatas’ lo estaban acosando por Twitter. Su marido, me decía, era el periodista”. Silvina, abogada, prefiere proteger su identidad y la de todas las personas involucradas en esta historia.

Miguel Sumer Elías, especialista en derecho informático y director de Informática Legal , ofrece su diagnóstico para éste y varios casos similares. Dice que con Internet el hostigamiento dejó de ser en un lugar físico ya que no se realiza cara a cara sino que a través de mail o redes sociales. “La víctima se topa con esos mensajes durante las 24 horas, por eso se habla de un delito potenciado por los medios utilizados y la falta de temporalidad. Eso se llama ciberbullying “, detalla.

El abogado aporta que las víctimas de estos actos pueden condenar civilmente al autor de los ataques, pero la figura de hostigamiento o acoso virtual no está contemplado como delito. “Se puede aplicar el Código Contravencional de la Ciudad de Buenos Aires el que castiga el mero hecho de intimidar u hostigar de modo amenazante”.

Sabiendo del problema que tenía, Silvina se contactó con el periodista quien reconoció que también era víctima “de una mujer que lo llamaba acosándolo y amenazándolo de muerte”, a él y a su familia. Doble problema que derivó en una misma denuncia: extorsión.

Para ella la aparición de abogados parecía ser la solución, pero la embestida no se detuvo en Twitter. Superó la barrera de las redes sociales y llegó al mail y a su teléfono celular que era denunciado como robado.

“Me llegó un mail de Dateas que borré automáticamente. Pero alcancé a leer mi DNI, dirección postal, teléfono de red de mi casa paterna. Todos mis datos personales”, describe Silvina. ¿Qué había pasado? La acosadora habría comprado el paquete de datos y con la mención del número de DNI apropiado hacía una denuncia falsa del robo del teléfono en la compañía. Silvina se quedaba sin línea teléfono. Le pasó tres veces.

La solución, por ahora, fue acordar con la empresa telefónica que nadie puede realizar ningún trámite sobre la línea sin citar una clave de seguridad alfanumérica. El próximo paso es la intervención de la justicia y la exposición de registros de DM’s, mails y llamados telefónicos.

Para Sumer Elias los efectos dañinos de los delitos a través de la tecnología “multiplican tanto la potencia de la agresión como el impacto y duración del daño psíquico, siendo en muchos casos indeleble, recurrente y repetitivo”.

Fuente: La Nación

Contenido completo en www.segu-info.com.ar

Estado de las amenazas móviles en América Latina

La movilidad ya no es de gustos sino de necesidades, no es sorpresa que todo el mundo quiere o ya tiene un teléfono inteligente, aparatos con acceso a Internet, redes sociales, que pueden filmar y fotografiar, además de los miles de juegos y aplicaciones útiles que se pueden instalar en él.

En América Latina el fenómeno por la conectividad no es distinto, al menos seis países en la región tienen una penetración móvil por arriba del 80%. Las mismas estadísticas muestran que la mayoría de los teléfonos celulares que se venden actualmente tienen algunas funciones de smartphone. Si usted no tiene uno, es muy probable que su próximo teléfono celular sea un teléfono inteligente.

Pero este fenómeno contiene un pequeño —pronto a ser grande— problema y es que muchos propietarios de estos teléfonos piensan que los virus y las amenazas cibernéticas son algo fuera de su realidad y que nunca serán víctimas de un ataque. Cuantas veces no he escuchado la típica frase “los virus sólo existen para las computadoras”, es el clásico error de vivir en negación o del “si no lo veo no existe”. Sin embargo, la realidad es que caer o ser infectado por un malware móvil es mucho más factible y, en algunas ocasiones, hasta más peligroso.

Las amenazas a dispositivos móviles son cada vez más comunes en América Latina con ataques locales y reales que pueden alcanzar cualquier dispositivo, lo único que hace falta es que estén conectado al Web. De hecho, una encuesta reciente mostró que sólo 35% de los propietarios de teléfonos inteligentes tienen un antivirus o software de seguridad instalado en su dispositivo.

El siguiente artículo tiene como objetivo describir a detalle el escenario de las amenazas móviles en México y América Latina.

Contenido completo en fuente original bSecure

Contenido completo en www.segu-info.com.ar

El virus DNSChanger causa un impacto limitado tras el cierre de servidores del FBI

Se temía que 200.000 usuarios perdieran su conexión a internet cuando el FBI cerrara los servidores infectado.

El impacto del virus DNS Changer, que amenazaba con dejar sin internet a miles de ordenadores después de que el FBI cerrara hoy los servidores temporales que habilitó para proteger a los usuarios, ha sido menor de lo esperado.

Este lunes se cumplía la fecha límite y el FBI finalmente cerró el conjunto de servidores que han estado dirigiendo el tráfico de internet durante un año de miles de ordenadores infectados con un virus transmitido por un grupo de criminales cibernéticos.

El DNS Changer ya está controlado, pero se temía que los cerca de 200.000 usuarios que se calcula que pueden seguir infectados en todo el mundo perdieran su conexión a internet cuando se cerraran los servidores.

Por ahora, “no hemos sabido de problemas mayores después del cierre”, indicó un portavoz del FBI, Jason Pack.

El virus modificaba la configuración DNS (sistema de nombre de dominio) en ordenadores de las plataformas de Windows, Mac OS y Linux, para que los usuarios utilizasen servidores ilegítimos controlados por atacantes remotos que les redirigían a direcciones no deseadas.

En noviembre del pasado año el FBI anunció la detención de sus creadores, seis estonios y un ruso, que a través del “malware” llevaban a los usuarios afectados a páginas no deseadas para embolsarse compensaciones por el número visitas, por las que lograron de manera fraudulenta al menos 14 millones de dólares.

Tras la operación, el FBI activó de manera temporal varios servidores que reconducían a una dirección segura a los equipos infectados por el virus DNS Changer.

Los servidores DNS controlados por el FBI y el consorcio de sistemas de internet (ISC) iban a ser cerrados en marzo, pero se dio de margen hasta el 9 de julio para que los usuarios revisaran sus ordenadores y darles tiempo de limpiar sus archivos.

El FBI informó de que originalmente el virus infectó a 4 millones de usuarios en más de 100 países.

Varios organismos de seguridad internacionales han colaborado para difundir esta información y ayudar a los usuarios afectados a eliminar el virus y a restaurar la configuración correcta de los servidores DNS.

Fuente: La Vanguardia

Contenido completo en www.segu-info.com.ar