Novedades de la semana: estafas y vulnerabilidades
Aumentan los delitos de estafas informáticas en España
Este pasado 2021, solo en España se han registrado más de 223.000 delitos de estafas informáticas (una importante subida del 60,5 % respecto a los 139.000 del año anterior).
Uno de los factores que ha propiciado este auge es el hecho de que la formación acerca de seguridad en la red es todavía escasa, lo que ha hecho que los cibercriminales hayan pasado a usar ataques atípicos centrados en las personas, con hasta 100.000 ataques realizados diariamente a dispositivos móviles.
Nuestro teléfono se ha convertido en la clave de nuestra vida personal y profesional, con cada vez más aplicaciones y opciones para centralizar todos nuestros datos en un único dispositivo. Es por eso por lo que los ataques a estos dispositivos se están disparando, subiendo en este caso los intentos de smishing (ataques de phishing a través de SMS como ya hemos hablado anteriormente).
Los atacantes suelen aprovecharse de todo tipo de situaciones, desde conflictos mundiales a la cultura pop, aunque suplantar entidades bancarias u otro tipo de compañías con las que entramos en contacto diariamente también está a la orden del día. Para verlo en perspectiva, cada mes las empresas reciben ataques desde cuentas de proveedores a los cuales han suplantado su identidad.
Es por todos estos motivos que resulta fundamental la formación en materia de seguridad para estar protegido frente a las estafas. Por ese motivo, te recomendamos lo siguiente:
Nunca descargues archivos adjuntos. Si lo has recibido de una fuente fiable, asegúrate que no se trata de una suplantación de identidad verificando la identidad del remitente.
Revisa los enlaces antes de acceder, vigilando que el dominio corresponda realmente con la empresa que estás visitando. En caso de recibir un mensaje de alguna organización, siempre es mejor visitar directamente su página web que acceder a través de posibles enlaces maliciosos.
No introduzcas datos personales en webs en las que no confíes o no sean oficiales. Revisa también si la web dispone de certificado de seguridad para asegurarte que tus datos estarán protegidos al introducirlos en la web.
FluBot finalmente desmantelado
A finales de 202 se detectó un nuevo malware, que fue posteriormente bautizado como FluBot, responsable de algunas de las campañas de malware más intensas de los últimos años.
Su objetivo principal era el robo de credenciales bancarias, pero también se aprovechaba de los dispositivos Android infectados para realizar los envíos masivos de SMS, por lo que los afectados podían tener que asumir facturas elevadas por enviar SMS a otros países además del robo de sus datos bancarios.
En marzo de 2021 ya se estimaban 60.000 dispositivos infectados, la gran mayoría de ellos españoles debido a que las primeras campañas se centraron en este mercado antes de expandirse a otros países.
Finalmente, la policía holandesa, en una operación internacional en coordinación con el Centro europeo del Cibercrimen de Europol, ha conseguido desmantelar la infraestructura de FluBot en una operación que ha involucrado las fuerzas policiales de hasta 11 países (incluyendo la Policía Española).
Por el momento, y aunque la infraestructura utilizada por los delincuentes ha sido desmantelada, la investigación para identificar a los responsables sigue en curso.
Vulnerabilidades bajo ataque
Por un lado, tenemos la vulnerabilidad de seguridad CVE-2022-30190 (conocida también como Follina), la cual fue reportada hace cerca de una semana y la cual permite explotar la herramienta MSDT mediante archivos de MS Office como por ejemplo Word.
MSDT es la herramienta de diagnóstico de Microsoft (Microsoft Windows Support Diagnostic Tool), que es la encargada de recopilar y enviar automáticamente la información de diagnóstico en caso de detectar algún fallo en Windows. Esta vulnerabilidad se aprovecha del protocolo URL MSDT, a través de la cual otros programas de MS Office pueden abrir esta aplicación.
Al acceder a un archivo malicioso (normalmente enviado a través de campañas de phishing), este activa la aplicación MSDT con los derechos del usuario que abrió el archivo y ejecuta código malicioso en la línea de comandos. Esto les da el control para instalar programas y ver, modificar o eliminar datos.
Dicha vulnerabilidad está siendo explotada activamente para atacar gobiernos locales en los Estados Unidos y Europa.
Otra vulnerabilidad que ha estado recientemente bajo ataque es la CVE-2022-26134, la cual está afectando a servidores y centros de datos del software Confluence de Atlassian.
Esta vulnerabilidad se aprovechaba de un exploit de día zero para poder ejecutar código remoto en dichos servidores, lo que permitió a los atacantes introducir un webshell con el que podían interactuar desde el interior de los servidores.
Dicha vulnerabilidad ya se encuentra subsanada, pero se une al corte que sufrieron los usuarios de las herramientas de Atlassian Confluence y Jira durante el mes de abril, los cuales no pudieron acceder a sus servicios desde el 5 de abril hasta, en algunos caso, el 18 de abril, aunque la empresa afirma que no se trató de un ciberataque.