El Espectador

La firma de seguridad informática, Eset, recientemente encontró que un grupo de cibercriminales adelanta una campaña con la que busca robar información de organizaciones y empresas en Colombia.

Se trata de un archivo de código malicioso del tipo troyano, con el que los atacantes suplantan la identidad de reconocidas empresas financieras y de mensajería en el país para ganar la confianza de sus víctimas y lograr que descarguen el archivo que contiene la infección informática.

Lee más.

ABC Tecnología- Rodrigo Alonso

Si el móvil está plagado de información personal de los usuarios, lo mismo está ocurriendo, en muchos casos, con las cuentas que los usuarios utilizan para charlar con cualquier inteligencia artificial generativa (IA). Y no debería ser así, porque todo lo que entra en el interior de ChatGPT es susceptible de ser revisado por humanos. Incluso se pueden utilizar los datos personales para capacitar a la máquina y que se queden ahí, corriendo el riesgo de acabar a la vista de quien no debe. Los cibercriminales lo saben, por eso no sería raro que, de aquí a unos meses, hayan desarrollado código malicioso diseñado, directamente, para infectar.

De acuerdo con ‘Wired’, ya se ha creado un virus informático de tipo gusano -capaz de replicarse e infectar otros equipos- llamado Morris II que está diseñado, directamente, para robar información a los usuarios tienen en herramientas como ChatGPT. Pero, al menos de este, no hay nada que temer, porque ha sido desarrollado por un grupo de investigadores.

«Ahora tenemos la capacidad de llevar a cabo un nuevo tipo de ciberataque que no se había visto antes», ha explicado al citado medio Ben Nassi, uno de los investigadores de la Universidad de Cornell (Estados Unidos) detrás de la invención.

Leer más.

ABC Tecnología-R.Alonso

Un virus desarrollado por una empresa de software israelí fue empledo el año pasado para intentar robar información a, al menos, cinco altos funcionarios de la Comisión Europea, según informa ‘ Reuters‘. Entre ellos estaba Didier Reynders, un alto estadista belga que se ha desempeñado como Comisionado de Justicia Europeo desde 2019.

De acuerdo con Reuters, la Comisión Europea se puso en guardia ante la posibilidad de que algunos de sus funcionarios hubiesen sido espiados el pasado noviembre. En concreto, cuando Apple comenzó a alertar a miles de usuarios de que habían sido objetivo del virus de la empresa israelí. La tecnológica de la manzana, previamente, había presentado una demanda contra la empresa israelí NSO Group, creadora de un virus de este tipo.

La compañía incluso ha sido añadida por el Gobierno de Estados Unidos a su ‘ lista negra‘, lo que implica que no puede acceder a tecnología norteamericana.

Por el momento, se desconoce quién -o qué estado- intentó utilizar el virus para espiar a los funcionarios de la Comisión. Tampoco si el intento de ‘hackeo’ llegó a tener éxito. En todo caso, el ataque se habría producido el año pasado; en concreto, entre febrero y septiembre de 2021 mediante la explotación de una vulnerabilidad que permitía tomar el control del teléfono afectado de forma remota. La empresa NSO Group, por su parte, afirma que no es posible que su código haya sido empleado para ‘hackear’ a los comisionados.

El código Pegasus, diseñado por la empresa israelí NSO Group, es un viejo conocido dentro del ámbito de la ciberseguridad. A pesar de que, en teoría, solo puede ser adquirido por estados, y la herramienta solo puede emplearse para combatir el terrorismo, encontrar personas desaparecidas o llevar a cabo operaciones policiales, la realidad es que muchos de los países que contratan el servicio terminan empleándolo para otros fines.

El año pasado un consorcio de medios de comunicación sacó a la luz que el virus había infectado los teléfonos de más de 50.000 personas desde 2016. Entre ellos, políticos, periodistas, funcionarios, empresarios, activistas y líderes sindicales, además de otras personalidades.

Pegasus, como explicaba a este diario Josep Albors, jefe de investigación de la empresa de ciberseguridad ESET, hace unos meses, «permite que el atacante tenga acceso a los mismos datos que tendría si tuviese el móvil en la mano». De este modo, permite acceder a llamadas, mensajes o documentos almacenados, entre otras cosas.

Sea como fuere, Pegasus no es el único software de este tipo fabricado en israel. QuaDream, empresa similar a NSO Group, pero de menor tamaño, también vende una herramienta así a otros países.

El País-Juan Diego Godoy

El rey de los virus informáticos ha perdido su corona. Las autoridades policiales y judiciales de Europa y Norteamérica han desarticulado esta semana una de las redes de bots más importantes de la última década, conocida como Emotet, responsable del programa malicioso del mismo nombre que ha infectado miles de ordenadores de todo el mundo. Los investigadores han tomado el control de esta infraestructura en una acción internacional coordinada entre las autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, junto a la Oficina Europea de Policía (Europol) y la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust).

“Era mucho más que un malware [programa malicioso]”, aseguran las autoridades de Europol en un comunicado. Hasta hoy, Emotet era uno de los servicios de ciberdelincuencia más profesionales y duraderos que existían, pues desde su descubrimiento en 2014, el virus informático había evolucionado hasta convertirse en la solución de referencia para los ciberdelincuentes durante siete años.

¿Cómo era de potente y de destructor? Si usted ha sufrido los efectos de cualquier tipo de virus informático, es muy probable que haya sido víctima de Emotet. En 2019, la organización sin fines de lucro The Spamhaus Project publicó un informe en el que aseguraba que había decenas de miles de equipos infectados con Emotet en todo el mundo y que estos estaban emitiendo alrededor de 6.000 enlaces maliciosos que llevaban a sitios web que servían como vector de infección. Según estos datos, Emotet se constituía en el malware con mayor presencia global, pues representaba un 45% de los enlaces que se utilizaban para la descarga de virus informáticos en todo el mundo.

“Lo que hizo a Emotet tan peligroso es que el virus se ofreció en alquiler a otros ciberdelincuentes para instalar otros tipos de malware, como troyanos bancarios [programas aparentemente inofensivos que abren las puertas de los equipos a otros programas maliciosos] o ransomwares [programas que se utilizan para secuestrar la información de los equipos y pedir posteriormente un rescate a cambio de liberarlos], en la computadora de la víctima”, explica la Europol. En otras palabras, Emotet funcionaba como una especie de servicio de almacenamiento para los virus informáticos de ciberdelincuentes y también como una ama de llaves, que permitía el acceso de otros tipos de malware a los ordenadores que conseguía burlar.

Emotet debe su poder y su fama a su infraestructura, que involucraba a cientos de servidores ubicados en todo el mundo y con diferentes funcionalidades para administrar las computadoras de las víctimas infectadas, propagarse a otras nuevas, servir a otros grupos criminales y, en última instancia, hacer la red más resistente contra los intentos de eliminación. “La infraestructura de Emotet actuó esencialmente como un abridor de puertas para los sistemas informáticos a escala global y, una vez establecidos, dichos accesos se vendieron a otros grupos delictivos de alto nivel para implementar más actividades ilícitas, como el robo de datos y la extorsión a través de ransomware”, asegura la Europol.

Como trono, un banco

Emotet era el rey del malware y tuvo a las autoridades cibernéticas de rodillas durante casi una década. Pero este rey no tenía ni trono ni palacio. Según las imágenes y videos compartidos por la Policía Nacional de Ucrania, que llevó a cabo las capturas, el terror de la ciberseguridad a nivel mundial operaba desde una pequeña y sucia habitación, con un ordenador sobre una mesilla desordenada y como asiento, un banco. Nada de equipos de élite de piratas informáticos encapuchados en un almacén gigantesco con instalaciones de tecnología punta.

¿Pero qué hacía exactamente y cómo funcionaba Emotet? Los ciberdelincuentes utilizaban el correo electrónico como principal arma de ataque. “Mediante un proceso totalmente automatizado, Emotet se enviaba a las computadoras de las víctimas a través de archivos adjuntos de correo electrónico infectados, utilizando una variedad de señuelos diferentes para engañar a los usuarios desprevenidos para que abrieran estos archivos adjuntos maliciosos. Las campañas de correo electrónico de Emotet también se presentaban como facturas, avisos de envío e información sobre covid-19″, explican las autoridades europeas.

Todos estos correos electrónicos contenían documentos de Word maliciosos, ya sea adjuntos al correo electrónico en sí o descargables haciendo clic en un enlace dentro del correo electrónico. Una vez que un usuario abría uno de estos documentos, el código malicioso oculto en el archivo de Word comenzaba a ejecutarse e instalar el virus y servicios de Emotet en la computadora de la víctima.

Emotet pasará a la historia como uno de los principales actores en el mundo del ciberdelito e impulsor de los virus informáticos más potentes del ciberespacio, como TrickBot, QakBot y Ryuk. Pero sobre todo, será recordado como el virus informático que burló a las autoridades de más de ocho países en dos continentes sin ninguna infraestructura de película, desde una pequeña bodega ucraniana.

El Mundo

La compañía de ciberseguridad Check Point ha descubierto un nuevo ataque de ‘ransomware’ en el que los criminales se hacen pasar por el FBI para exigir a los usuarios el pago de dinero como denuncia falsa por haber visto o descargado vídeos pornográficos.

El nuevo ‘malware’, que se ha bautizado como ‘Black Rose Lucy’, afecta a los usuarios de dispositivos móviles con sistema operativo Android. Se descubrió por primera vez en septiembre de 2018 y se originó en Rusia como una herramienta de ‘malware as a service’.

Este ‘ransomware’ se oculta a través de 80 variantes diferentes en aplicaciones de reproductor de vídeo aparentemente inofensivas que aprovechan el servicio de accesibilidad de Android para instalar su carga útil sin ninguna interacción del usuario, como ha informado Check Point en un comunicado enviado a Europa Press.

Cuando se descarga, Black Rose Lucy, cifra los archivos del dispositivo infectado y muestra una nota de rescate en la ventana del navegador que simula ser un mensaje oficial del FBI, en la que se acusa a la víctima de poseer contenido pornográfico en su dispositivo.

Además, se indica que los datos del usuario se han incorporado al Centro de Datos del Departamento de Delitos Cibernéticos del FBI, junto con una lista de los delitos que el usuario supuestamente ha cometido.

Para solventar esta situación, los cibercriminales piden una ‘multa’ de 500 dólares con tarjeta de crédito y no con Bitcoin, que es la forma más típica de pago de rescates de móviles en los ataques de ‘ransomware’.

Lucy utiliza un “ingenioso” método para burlar las defensas de Android y muestra un mensaje pidiendo al usuario que active la optimización de vídeo en tiempo real, como indican desde la compañía de ciberseguridad.

Al hacer clic en ‘OK’, el usuario concede al ‘malware’ el permiso para utilizar el servicio de accesibilidad, lo que permite al atacante hacerse con privilegios administrativos. Los investigadores de Check Point han apodado a este sistema como “el talón de Aquiles en la armadura defensiva de Android”.

Una vez aceptado, el ‘ransomware’ encripta los archivos del dispositivo, almacenando la clave de encriptación en las preferencias compartidas, y finalmente muestra una nota de rescate haciéndose pasar por el FBI.

El Mundo

Todo el mundo ha pillado un virus informático alguna vez, pero con instalar un antivirus o limpiar algunos archivos instalados, el problema solía estar resuelto. Pocas personas ‘normales y corrientes’ han sufrido catástrofes por culpa de ellos.

Esto es así, en parte, porque los ordenadores y móviles son más seguros en los últimos años y porque los objetivos hoy en día de los grandes programas hechos para hacer daño son sistemas informáticos de instituciones o empresas.

Pero cuando un virus ataca, y lo hace bien, puede causar auténticas catástrofes a la altura de tsunamis, erupciones volcánicas o repetición de elecciones. Estos fueron los cinco virus más peligrosos y dañinos que se conocen.

ILOVEYOU

Por romántico que suene el nombre de este virus, lo cierto es que ILOVEYOU se cobró más de 10.000 millones de dólares en daños a principios de los años 2.000. Su potencia fue tal que se calcula que alrededor del 10% de los ordenadores del mundo llegaron a estar infectados por él en algún momento.

Fue creado por dos programadores filipinos con el objetivo de impedir que el ordenador afectado pudiera encenderse. Y todo con una simple trampa: una supuesta carta de amor que, en verdad, era un archivo de texto con un código malicioso que se reenviaba automáticamente a todos los contactos de correo del usuario.

Sus dos creadores nunca fueron a la cárcel por ello pues por entonces no existía una legislación al respecto en muchos países.

CODE RED

Los empleados de eEye Digital Security estaban disfrutando de Montain Dew, un popular refresco en EEUU, en un sabor llamado ‘Code Red’ cuando descubrieron un peligroso virus. De ahí su nombre, tan apropiado, por otro lado.

Este gusano atacaba ordenadores que funcionaran con servidores web de Microsoft IIS y eran capaces de sobrecargarlos sin dejar apenas rastro de información en los discos duros. Cada ordenador infectado hacía múltiples copias del virus y acababa sin recursos para ejecutar cualquier otra acción.

Su efecto fue devastador y llegó a atacar los servidores de la web de la Casa Blanca con un curioso mensaje: ‘Hackeado por los chinos’. Se calcula que causó 2.000 millones en daños y que afectó a entre uno y dos millones de servidores.

MELISSA

David L. Smith creó en 1.999 un virus con el nombre de una bailarina exótica de Florida. Empleó un sólo archivo de Word para engañar a miles de personas que usaban la página alt.sex y se pensaban que el documento albergaba contraseñas para páginas con contenido pornográfico.

El virus se replicaba usando los 50 primeros contactos de correo electrónico del afectado y llegó hasta servicios de correos de empresas y del gobierno de los EEUU.

Su creador fue detenido y sentenciado a 10 años de cárcel, si bien Smith decidió que era mejor colaborar con el FBI para capturar a otros hackers y así librarse de pisar la prisión. Al final, estuvo sólamente 20 meses encerrado y tuvo que pagar una multa de sólo 5.000 dólares, cifra que palidece frente a los 80 millones en daños que se calcula que produjo su virus.

SASSER

El virus Sasser fue descubierto en 2004 y fue la segunda creación de Sven Jaschan, ya conocido por el virus Netsky. Comparado con sus compañeros en esta lista, su funcionamiento parece menos grave: simplemente ralentizaba el equipo hasta que era necesario reiniciarlo, algo que en sí mismo no resultaba fácil también por su culpa.

Y sin embargo, causó importantes problemas de infraestructuras en medio mundo, pues utilizaba un fallo en los sistemas de permisos de Windows para replicarse hasta hacer imposible el uso del ordenador.

Se calcula que hubo más de un millón de equipos afectados y que causó daños por valor de 18.000 millones de dólares. Pero Jaschen era menor y sólo recibió una sentencia de 21 meses.

ZEUS

El todopoderoso dios del Olimpo prestó su nombre a un infame troyano que infectaba ordenadores Windows con el objetivo de llevar a cabo diversos fraudes. Se identificó por primera vez en 2009 y fue capaz de corromper bases de datos de grandes multinacionales y hasta de bancos, desde Amazon a Oracle, pasando también por el Bank of America.

Sólo en EEUU, se estima que infectó a un millón de ordenadores, cifra bastante baja si se tiene en cuenta lo sofisticado que era el programa. Gracias a él, un círculo de alrededor de 100 personas consiguió robar 70 millones de dólares, pero todas ellas fueron detenidas tarde o temprano. Su creador nunca se identificó, sin embargo.

El Mundo

Se supone que debería de ser un momento de intimidad. Sin embargo, no es así. La empresa de seguridad Proofpoint ha descubierto un nuevo malware que permite a los hackers grabar el audio y vídeo del contenido pornográfico que estén viendo los usuarios con el objetivo de extorsionarlos, que funciona a través de sistema -denominado “Módulo Porno”- que relaciona las palabras clave de pornografía registradas en el mismo con las de los títulos del contenido que sus usuarios tienen abierto en sus dispositivos .

El último informe de la empresa de seguridad ha desvelado la existencia de este virus que les proporciona a los ciberdelicuentes “evidencia tangible de la actividad efectuada por sus víctimas”, como señalan en un comunicado.

Este malware nace de la mano del troyano de acceso remoto PsiXBot, que en septiembre amplió su campo de actividad incluyendo un nuevo módulo, el “Módulo Porno”, que contiene un diccionario con palabras clave relacionadas con la pornografía que se utiliza para controlar los títulos de las ventanas que tiene abiertas los usuarios en sus dispositivos.

Si una ventana coincide con el texto, comenzará a grabar audio y vídeo en el equipo infectado, según explican desde la empresa. Así, una vez grabado, el vídeo se guarda con una extensión .avi (formato de vídeo) y se envía al servidor de comando y control, para luego extorsionar al usuario, apuntan desde Proofpoint.

Por otra parte, la empresa también ha descubierto y ha dado a conocer en el informe la vuelta de Emotet, el troyano bancario que robaba información personal y confidencial de los usuarios introduciéndose en los dispositivos de las víctimas a través de correos electrónicos maliciosos, y que llevaba desaparecido durante casi cuatro meses.

Emotet volvió en las últimas semanas de septiembre, de acuerdo con Proofpoint, y representó casi el 12 por ciento de todas las muestras de correo electrónico malicioso en el tercer trimestre, entregando millones de mensajes con urls o archivos adjuntos maliciosos. Además, el grupo de hackers responsable de la distribución de Emotet, TA542, amplió sus objetivos regionales durante este período a nuevos países, entre los que se encuentran España, Italia, Japón, Hong Kong y Singapur.

Por otra parte, el informe ha desvelado otros datos destacados relacionados con las amenazas sufridas en este tercer trimestre de 2019, entre los que destacan que las urls maliciosas representaron el 88% del volumen global combinado de URLs maliciosas y mensajes adjuntos, lo que supone un “ligero aumento” con respecto al segundo trimestre.

Además, el volumen global combinado de urls maliciosas y mensajes adjuntos disminuyó casi un 40% en comparación con el segundo trimestre durante las primeras diez semanas del trimestre, “en gran medida como resultado de la ausencia de Emotet”.

El informe revela también que más del 26 por ciento de los dominios fraudulentos utilizaron certificados SSL, más del triple de la tasa de dominios en la Web. Los certificados SSL son estándares de seguridad globales que permiten la transferencia de archivos cifrados entre un navegador y un servicio web.

ABC Tecnología

El troyano financiero Emotet está teniendo una especial incidencia en España, como han advertido desde la compañía de ciberseguridad ESET, por eso, detectarlo resultará clave para evitar que infecte nuestro equipo y acceda a la libreta de direcciones de nuestro correo para seguir propagándose.

En los correos electrónicos que ocultaban este troyano «no aparece un remitente sino dos», como apuntan desde ESET. Esto se debe a que el primero de los remitentes es el que suplanta el «malware» (virus informático) para hacerse pasar por alguien de confianza. El segundo, por su parte, se puede ver en el campo «De:» o en el «Return Path» de la cabecera del correo, que pertenece al dominio comprometido por los atacantes y usado para realizar el envío masivo de correos.

«Si el usuario se fija, puede ser capaz de detectar estos correos como fraudulentos y eliminarlos antes de que se conviertan en una amenaza», aseguran desde la compañía. Este correo, además, tiene un archivo adjunto en formato Word que puede tener varios nombres como «ARCHIVOFile_H3981.doc», «MENSAJE_092019.doc», «985832-2019-7-84938.doc» o «61.doc», entre muchos otros. Precisamente el riesgo se encuentra en este adjunto, ya que si el usuario lo abre, se iniciará la ejecución del «software» que instalará Emotet en el equipo.

ESET en su investigación, ha abierto estos archivos de Word, en los que se muestra, como explican, un documento legítimo pero con un aviso donde se indica que el archivo se encuentra en un modo de vista protegida y que, para poder ver su contenido, hace falta pulsar sobre la barra amarilla que se muestra en la parte superior con la opción de «Habilitar edición». Se trata de un documento que los cibercriminales usan como «cebo» para que el usuario desactive de forma voluntaria «una de las medidas de seguridad más efectivas de las que dispone Microsoft Office y que impide la ejecución automática de código mediante macros».

Este archivo malicioso actúa como «descargador» del archivo que contiene el troyano. Cuando Emotet es descargado y ejecutado en el sistema, «se quedará a la espera para robar credenciales bancarias, aunque también aprovechará para obtener nuevas direcciones de correo a las que propagarse y, dependiendo de la campaña, instalar otro ‘malware’ en el equipo».

La compañía matiza que «la recepción de este correo y la descarga del Word que adjunta no suponen que el equipo esté comprometido, ya que aún no se ha ejecutado nada». Aun así, recomiendan «estar atentos ante correos sospechosos y no pulsar de forma indiscriminada el primer enlace o adjunto que nos encontremos en nuestra bandeja de entrada».

Gizmodo-Carlos Zahumensky

El Samsung NC10 era un laptop de 2008 que hoy se puede encontrar por unos 40 dólares de segunda mano. Pero este NC10 no es un PC corriente. En su interior lleva seis de los virus informáticos más destructivos que ha ideado el ser humano, y por eso el equipo cuesta un millón de dólares.

Hablamos, por supuesto, de arte. Solo el arte puede tener la desfachatez de pedir un millón por la foto de una patata o por un laptop viejo lleno de malware. El responsable de esta insólita ocurrencia es el artista Guo O Dong a petición de la firma de ciberseguridad DeepInstinct. La obra se lama Persistence of Chaos (La persistencia del caos) y está expuesta en Nueva York, donde se ha puesto a subasta con un precio de salida de un millón de dólares. Al cierre de este post ya pasaba del millón doscientos…

El equipo, por si hay compradores interesados entre vosotros, cuenta con los seis virus de las últimas décadas que más daños han provocado en términos económicos: ILOVEYOU, MyDoom, SoBig, WannaCry, DarkTequila y BlackEnergy. Los cuatro primeros son piezas de malware que se hicieron tristemente célebres en su momento por dañar equipos y secuestrar miles de PC. Los dos últimos son menos conocidos internacionalmente, pero igual de dañinos. DarTequila circuló mucho por Latinoamérica y robaba credenciales bancarias. BlackEnergy provocó un costoso apagón en Ucrania en 2015.

El equipo está sellado y no tiene conexiones con ninguna red. En su pantalla se puede ver la imagen que Wannacry mostraba al secuestrar los archivos de un PC. Guo explica que la obra trata de ser un bestiario, un catálogo de amenazas históricas.

FayerWayer-Felipe Garrido

El Ministerio de Defensa de Japón ha puesto en marcha un nuevo plan para evitar los ciberataques. La llamativa medida consiste en el desarrollo de un virus informático que no sería como arma de ataque, sino que actuaría como un gran método de defensa para estas situaciones.

El funcionamiento de este malware consistiría en una capacidad distintiva de instalarse dentro del virus atacante, sirviendo como elemento completamente efectivo y actuando directamente deteniendo el accionar del atacante.

Aunque aún no existe información oficial sobre el desarrollo de este llamativo proyecto, según fuentes este ya ha sido puesto en marcha por las autoridades de dicho país.

Japón contra los ciberataques

Uno de los puntos que el país nipón ha querido resaltar, es que ellos con la toma de esta medida buscan defenderse más que atacar. El proyecto está inserto en una serie de medidas tomadas por el Gobierno Japonés para poder hacer frente al peligro que significa los ataques cibernéticos.

Japón siempre ha sido un blanco llamativo para los hackers debido principalmente a las constantes mejoras que desarrollan en el campo tecnológico. Es por esto que defenderse de estos constantes ataques que reciben es una de las metas que las autoridades esperan cumplir pronto.

Según el propio Ministerio de Defensa, una de las medidas tomadas por el gobierno japonés será la de aumentar la unidad cibernética del ciberespacio de 150 a 220 personas. Esta cantidad es bastante baja en comparación a otros países como Estados Unidos, en donde existen alrededor de 6.200 especialistas y China más de 130.000 en total.

Se espera que el nuevo virus entre en funcionamiento en marzo del próximo año y para completar su desarrollo final trabajarían varias empresas privadas en conjunto con el Ministerio de Defensa de Japón.

Finalmente, se espera que este proyecto no sea utilizado para comercializarse, ya que el país solo busca mejorar sus sistemas de seguridad.