El 18 de enero de 2012, la Prefectura de la división de delitos informáticos de la Policía de Kyoto anunció la detención de sospechosos acusados ​​de violar la Ley de delitos cibercriminales  en Japón. Las actividades de este grupo supuestamente implican la creación y el uso de un one-clickware en esquemas de fraudes de facturación por un solo click. Los primeros informes indican que seis personas fueron detenidas y daños  que rondan los JPY12, 000.000 (alrededor de EE.UU. $ 148,800).

El esquema de fraude de un solo click engaña a las víctimas para registrase y pagar por un servicio después de haber sido redirigidos a un sitio web malicioso. Se informó sobre un ataque similar hace poco en nuestro blog de malware.

Según la noticia, los sospechosos crearon un conjunto de programas maliciosos que desplegaron a los usuarios. Al visitar ciertos sitios web, incluyendo sitios con contenido para adultos, los usuarios que hacen clic en el botón ‘play’ para ver un video terminaban ejecutando un archivo en su lugar.

Actualmente hay 118 relacionados con este fraude que ya han sido. No podemos dar más detalles que los anunciados por la Prefectura de la policía de Kyoto, sin embargo, colaboramos activamente con ellos para analizar los programas utilizados en este ataque.

Los problemas del fraude de un click y que nos depara el futuro

Parece no haber fin a los fraudes de un click. Hoy en día, haciendo una rápida búsqueda en Google con la palabra clave “one-clickware” nos lleva a más de un millón de páginas hablando de este malware. Una de las razones de su reciente prevalencia es lo fácil que es modificar los archivos en un one-clickware para evitar ser detectado por el software de seguridad. Los cibercriminales detrás de este tipo de fraude son capaces de comprobar si las empresas de seguridad pueden detectar sus programas y modificar estos archivos para evitarlo.

Esto hace que empiece una vez más la persecución del gato y el ratón entre la policía y los delincuentes. Por desgracia, parece que los malos están tomando la delantera. Soluciones de seguridad tradicionales basadas  en tecnologías de patrones tendrán dificultades para ganar  este juego de una forma  eficaz. Igual que sucede en los ataques dirigidos, los criminales cibernéticos que utilizan el fraude de un solo clic tienen ventaja ya que los archivos se pueden modificar fácilmente. Todo lo que necesitas hacer es cambiar unas pocas líneas de código y el software antivirus no será capaz de detectarlo.

Utilizando nuevas tecnologías como la reputación y cloud computing  sin duda pueden ayudar a remediar esta situación. Pero ¿hay alguna solución de fondo real para detener el interminable juego del gato y el ratón?

Con el año 2011 casi terminado, es momento de mirar hacia lo que nos viene seguidamente para ayudar a usuarios y empresas a prepararse para los retos del próximo año. Generalmente hablando, nuestras predicciones se pueden dividir en cuatro categorías: tendencias IT en la empresa, mercado de dispositivos móviles, infracciones de información, y la siempre evolutiva industria Cibercriminal.

Las tendencias en IT de las empresas cambiará el panorama de la seguridad.

Gracias a la consumerización  (BYOD), virtualización, computación en la nube, el panorama de IT en la empresa será muy diferente en el 2012 frente a lo que estábamos acostumbrados tan solo unos años atrás.  Los administradores del sistema tendrán que lidiar no sólo con amenazas a la seguridad convencional, pero también con la creciente complejidad de mantener y asegurar sistemas y redes en estas nuevas plataformas.

 El mercado móvil madura

A medida que el número de usuarios de teléfonos inteligentes y las tabletas sigue creciendo a nivel mundial, los criminales cibernéticos valorarán el atacar activamente a estos usuarios en cifras record. En particular, los usuarios de la plataforma Android estará especialmente en riesgo  - su entorno de aplicaciones totalmente abierto permite aplicaciones tanto maliciosas y troyanizadas llegar fácilmente a los dispositivos de usuario. Nosotros esperamos ver un número significativo de malware para Android en 2012.

Las pérdidas de datos siguen afectando a empresas

2011 podría muy bien ser descrito como el año de la violación de datos. Nombres bien conocidos tales como Sony y RSA, y (anteriormente)  empresas de bajo perfil, tales como Epsilon y HBGary todas tuvieron filtraciones de información confidencial. En el 2012, no sólo los tradicionales cibercriminales con fines de lucro continuaran con su trabajo, otros grupos con diferentes motivos también estarán en el  juego: estos van desde los grupos de activistas en línea como Anonymous y LulzSec,  todo el camino pasando por las empresas e incluso gobiernos.

Malware y Cibercrimenes se hacen más sofisticados

En una nota más positiva, en 2011 vimos unos cuantos arrestos importantes y desmontajes de los ciberdelincuentes y sus redes. La industria de la seguridad y la aplicación de la ley las comunidades trabajaron en conjunto para proteger a millones de amenazas tales como la botnet Esthost que habían sido tomados por la Operación Ghost Click.
En respuesta a esto, sin embargo, vamos a ver como los cibercriminales responden al enfocarse en  redes botnets más pequeñas y manejables. Por tanto, cualquier acción por aplicación de la ley será menos dolorosa, ya que menos bots serán retirados del control de los criminales.

Además, los ciberdelincuentes tratarán de encontrar nuevos esquemas de beneficios y objetivos. En particular, los equipos conectados a Internet que van desde grandes sistemas industriales SCADA hasta los pequeños dispositivos médicos personales estarán en riesgo de ser atacados.

Otras de nuestras 12 predicciones de seguridad para 2012

El resto de nuestras predicciones relacionadas con la seguridad para el próximo año se pueden encontrar en nuestras 12 predicciones de seguridad para 2012. También se puede escuchar a nuestro CTO Raimund Genes hablar sobre las perspectivas de seguridad para el año 2012 en el siguiente video:

Madrid, 24 de noviembre 2011 – Gracias a los ciberdelincuentes, la temporada de los regalos navideños puede salirle cara a todos aquellos que compren online sus presentes para las vacaciones.

Este año, el equipo de analistas de amenazas de Trend Micro estima que los riesgos asociados a las compras por Internet pueden ser aún mayores debido al auge que están experimentando las compras que se realizan a través del móvil: el 43% de los usuarios de smartphones afirma utilizar sus dispositivos móviles para hacer compras. Este porcentaje se prevé que aumente en los próximos años, o incluso en los próximos dos meses si tenemos en cuenta la próxima campaña de Navidad.

Trend Micro, ha presentado su guía de compras online para las vacaciones 2011 y propone una serie de consejos útiles para ayudar a los consumidores a mantenerse alejados de peligros como el robo de identidad y de información personal, no sólo en la temporada de Navidad, sino siempre. 

Comodidad, facilidad y mejores ofertas, son tres de las razones por las que cada vez más gente se decanta por comprar en Internet. El nivel de adopción de los usuarios de las compras online se ha ido incrementando durante los últimos años. De hecho, varios estudios indican que se producirá un aumento del 78% en el volumen de compras en 2014 sólo en Estados Unidos.

Como ir de compras por la Red ha pasado a ser una actividad ampliamente aceptada por el método de compra de artículos, los compradores online también se convertirán en el público objetivo de los cibercriminales para perpetrar sus ataques. Debemos tener en cuenta que los ciberdelincuentes están continuamente lanzando ataques a uno o a todos los aspectos de la información del comprador: tarjetas de crédito, números de identificación de las cuentas personales de banca online, o cualquier otro dato personal.

Entre los diferentes tipos de ataque se incluyen:

• Ataques Blackhat SEO: la búsqueda de resultados de temas de actualidad como gadgets u otros, pueden estar contaminadas con el fin de dirigir a los usuarios a sitios maliciosos.
• Estafas: presentadas como promociones online, estos timos tratan de engañar a los usuarios para convertirlos en víctimas de sus planes maliciosos de modo que puedan conducirles al robo de información, datos financieros e, incluso, al propio dinero. En un reciente rastreo antispam se encontró una oferta para el próximo Black Friday (día en el que tradicionalmente se inaugura la temporada de compras navideñas) a través de un dominio sospechoso.
• Secuestro de sesiones: los usuarios que realizan sus compras mientras están conectados a redes inseguras se están poniendo en riesgo de padecer este tipo de ataque, que implica el rastreo a través de redes de determinados tipos de información como credenciales bancarias, y utiliza dicha información para hacerse pasar por usuarios y ejecutar acciones.

Los compradores no tienen que estar indefensos ante estos ataques, sin embargo, pueden implementar medidas de seguridad y utilizar soluciones que les permitan evitar convertirse en víctimas. Por ello, Trend Micro ha elaborado una práctica guía titulada “La Seguridad de las Compras Online es Fácil”, así como una infografía sobre “Consejos para Comprar Online”, en las que contempla las cuestiones que los compradores online necesitan saber para protegerse de los ataques relacionados con este tipo de compras.

Éstas son las guías que ya se encuentran disponibles:

• “Online Shopping Safety Made Easy”, guía eBook gratuita de 12 páginas que puede descargarse aquí.
• Para acceder a la infografía sobre “Consejos de Seguridad Online” accede aquí.
• Para más información sobre los tipos de ataques que los cibercriminales están implementando, por favor, visita el Blog sobre Malware de Trend Micro aquí.

Trend Micro ha descubierto una serie continuada de ataques dirigidos, conocidos como “LURID”, que han logrado poner en peligro 1.465 equipos de 61 países distintos. Hemos sido capaces de identificar 47 víctimas, entre los que figuran misiones diplomáticas, ministerios gubernamentales, organizaciones gubernamentales relacionadas con la actividad espacial y otras empresas y centros de investigación.

Los países que más se han visto afectados por este ataque son Rusia, Kazajistán y Vietnam, además de otros países, especialmente de la CEI-CIS (Comunidad de Estados Independientes o antigua Unión Soviética).

Esta campaña en particular estaba integrada por más de 300 ataques dirigidos maliciosos que los atacantes controlaban mediante un identificador único incrustado en el malware asociado. El análisis realizado de la campaña revela que los atacantes elegían comunidades de ubicaciones geográficas específicas y creaban campañas dirigidas a víctimas concretas. En resumen, los atacantes utilizaron una red de comando y control con 15 nombres de dominio asociados con los atacantes y 10 direcciones IP activas para mantener un control permanente sobre las 1.465 víctimas.

“Lurid Downloader”, frecuentemente denominado “Enfal”, es una familia de malware muy conocida, pero no es un kit de herramientas que puedan comprar públicamente todos aquellos que anhelan convertirse en ciberdelincuentes. Esta familia de malware se ha utilizado en el pasado para atacar tanto al gobierno de los EE.UU. como a organizaciones no gubernamentales (ONG). Sin embargo, no parece existir una relación directa entre esta red concreta y las anteriores.

Cada vez es más frecuente denominar los ataques de malware dirigidos de este tipo como Amenazas Persistentes Avanzadas. El blanco del objetivo recibe un mensaje de correo electrónico animándole a abrir un archivo adjunto. Los archivos que envían los atacantes contienen código malicioso que aprovecha las vulnerabilidades de programas informáticos conocidos como Adobe Reader (p. ej., archivos .PDF) y Microsoft Office (p. ej., archivos .DOC). Las rutinas de estas infracciones son el malware que se ejecuta silenciosamente en el equipo atacado. De este modo, los atacantes pueden hacerse con el control del mismo y conseguir sus datos. A continuación, van avanzando lateralmente por la red del objetivo y es frecuente que puedan llegar a tener el control de los equipos atacados durante periodos de tiempo prolongados. El objetivo último de los ataques consiste en identificar y sustraer información confidencial de la red de la víctima.

Disección de la amenaza del ataque

Avanzada: se trata de una serie continuada de campañas de ataque dirigidas que aprovechan las diferentes vulnerabilidades de Adobe Reader, entre ellas CVE-2009-4324 y CVE-2010-2883, y archivos de compresión RAR que contienen salvapantallas maliciosos.

Independientemente del vector de ataque, el malware “LURID” se ejecuta en el sistema de las víctimas para conectarse a la misma red de servidores de comando y control (C&C). Los atacantes no siempre aprovechan las vulnerabilidades de “día cero”, sino que tienden a utilizar vulnerabilidades más antiguas y fiables y se reservan las de día cero para los objetivos reforzados. Aunque todavía tenemos que determinar las muestras utilizadas en estas campañas con vulnerabilidades de día cero, los identificadores de campaña que emplean los atacantes hacen referencia al aprovechamiento de dichas vulnerabilidades.

Persistente: durante nuestra investigación hemos detectado que el malware se basa en dos mecanismos distintos de persistencia. Una de las versiones conseguía ser persistente instalándose como servicio de Windows, mientras que la otra se copiaba en la carpeta del sistema y garantizaba su persistencia modificando la carpeta de inicio común de Windows por otra especial creada por él mismo. Una vez hecho esto, copiaba todos los elementos habituales del inicio automático, además de copiarse a sí mismo. También hemos podido organizar el malware y las víctimas por “campañas” (el malware puede rastrearse por un “marcador”, elemento similar al que todos incluirían en cualquier campaña promocional) a fin de realizar un seguimiento de quién ha resultado infectado y por qué tipo de malware.

Amenaza: el malware recopila información de los equipos expuestos al peligro y la envía al servidor C&C a través de HTTP POST. Gracias a la comunicación con los servidores de comando y control, los atacantes envían diferentes comandos a los equipos atacados. Dichos comandos les permiten enviar y recibir archivos y activar una shell interactiva remota en los equipos en cuestión. Por lo general, los atacantes recuperan listados de directorio de los equipos y sustraen información (como archivos .XLS específicos). Los investigadores de Trend Micro disponen de algunos de los comandos, pero carecen de los archivos reales.

Hablando de números, y a partir de la información recuperada de los servidores C&C, podemos confirmar los siguientes datos:

1.465 hosts únicos (nombre de host + dirección mac, tal como los almacena el servidor C&C)
2.272 direcciones IP externas únicas

Los 10 países con mayor número de víctimas (calculado a partir de 2.272 direcciones IP):

Como suele suceder, es difícil saber quién está detrás de esta serie de ataques porque resulta fácil manipular elementos, tales como direcciones IP y registros de nombres de dominio, para despistar a los investigadores y hacerles creer que el responsable es una determinada entidad.

Nuestra investigación no revelaba con precisión los datos objetivo del ataque, pero sí pudo llegar a determinar que en algunos casos los atacantes intentaban robar documentos y hojas de cálculo concretos.

El objetivo de la revelación pública de la red “LURID” es comprender mejor el alcance y la frecuencia de dichos ataques, así como los problemas que los ataques de malware dirigidos entrañan para los sistemas de defensa tradicionales. Es posible mejorar drásticamente las estrategias defensivas si entendemos el funcionamiento de los ataques de malware dirigidos y las tendencias en el empleo de herramientas, tácticas y procedimientos por las que se rigen los instigadores de tales ataques. El uso eficaz de la información sobre amenazas obtenida de fuentes externas e internas, combinado con herramientas de seguridad que dotan de capacidad de acción a nuestros analistas humanos, permitirá un mejor posicionamiento de las organizaciones para detectar ataques dirigidos y mitigar sus efectos.

Hemos detectado varios desarrollos importantes en la nueva variante de DroidDreamLightque pudimos analizar a principios de este mes. Esta nueva variante, detectada en una tienda de aplicaciones de terceros basada en China, se presenta en forma de aplicaciones tales como una herramienta para el control de la batería, una herramienta para el listado de tareas y una aplicación que detalla los permisos utilizados por las aplicaciones instaladas. Es importante destacar que las aplicaciones están en inglés, por lo que las posibles víctimas no son solamente los usuarios que entienden chino.

El código presentaba cambios sustanciales:

Otro cambio importante es la inclusión de rutinas para el robo de información. Según nuestro análisis, esta variante nueva es capaz de robar determinada información de los dispositivos, como por ejemplo:

• SMS (bandeja de entrada y de salida)
• Registros de llamadas (entrantes y salientes)
• Lista de contactos
• Información relacionada con cuentas de Google almacenadas en el dispositivo

La información robada se almacena en formato comprimido en el directorio /data/data/%package name%/files y luego se carga en una URL incluida en el archivo de configuración.

Al igual que las variantes anteriores, también accede a una URL del archivo de configuración para luego cargar otra información sobre el dispositivo infectado, como:

• Modelo de teléfono
• Configuración de idioma
• País
• Número IMEI
• Número IMSI
• Versión del SDK
• Nombre del paquete de la aplicación maliciosa
• Información sobre las aplicaciones instaladas

Cuando la URL recibe la información, envía una respuesta en forma de archivo de configuración cifrado cuyo objetivo es actualizar el archivo de configuración actual. A continuación se incluye un ejemplo del código:

Además, según el código, este malware tiene la capacidad de introducir mensajes en la bandeja de entrada del dispositivo infectado (con el remitente y el cuerpo del mensaje que especifique el hacker) y de enviar mensajes a números de las listas de contactos de los usuarios.

Esta variante nueva también incluye códigos que verifican mediante comprobación de archivos específicos si el dispositivo infectado ha sido enraizado. También hemos detectado que este malware puede instalar y desinstalar paquetes si el dispositivo ha sido enraizado, a pesar de que no hemos encontrado ningún código de llamada de estos métodos.

Para comprobar si su teléfono está infectado, el usuario debe acceder a Settings > Applications > Running Services y buscar el servicio CelebrateService.

Este malware Android se detecta actualmente como ANDROIDOS_DORDRAE.N.

A los usuarios que deseen más información sobre las amenazas para Android se les recomienda consultar nuestro infográfico de amenazas para Android y nuestro libro electrónico, “5 pasos sencillos para proteger los smartphones basados en Android.”

Parece que Bitcoin está ganando popularidad no solo en el sector informático, sino también en el panorama de las amenazas.

Recientemente hemos registrado un par de ataques relacionados con malware que instala en los sistemas una aplicación de extracción de datos de Bitcoin. Además de convertir los sistemas en “extractores de datos” no deseados, este tipo de malware también interrumpe su uso, puesto que el proceso de extracción de datos consume una gran cantidad de recursos del sistema.

En las conversaciones sobre problemas de seguridad en torno a Bitcoin hemos hallado algunos ataques que tienen como objetivo a usuarios de Bitcoin, si bien a través de métodos distintos.

Uno de nuestros analistas de fraudes, Maela Angeles, ha captado recientemente nuestra atención sobre la emergencia de sitios de phishing que tienen como objetivo a usuarios de Mt. Gox, una popular página de cambio de Bitcoin.

Ilustración 1. Página de inicio de sesión legítima de Mt. Gox

Ilustración 2. Sitio de phishing dirigido a los usuarios de Mt. Gox

A la vista de este tipo de amenaza, uno no puede sino pensar que probablemente un ataque similar se utilizó para comprometer una cuenta determinada de Bitcoin, lo que más tarde causó la caída del precio de Bitcoin de 17,50 dólares estadounidenses a apenas unos céntimos. Mt. Gox emitió un aviso sobre el aumento de los ataques de phishing a finales del mes pasado.

En el transcurso de nuestra investigación sobre cómo afecta Bitcoin al panorama de las amenazas nos encontramos con un webmaster al que había amenazado un ciberdelincuente con lanzar un ataque DoS sobre su sitio si no depositaba 100 Bitcoins en una cuenta concreta.

La naturaleza de Bitcoin abre numerosas puertas al abuso así como a su utilización para operaciones de ciberdelincuencia. Definitivamente, el aumento de las amenazas al que estamos asistiendo es solo el principio.

Sin duda, el huracán Irene convirtió la ciudad de Nueva York en “la ciudad que nunca duerme”, ya que provocó inundaciones, dejó sin electricidad a más de 4 millones de personas e incluso fue responsable de al menos 15 muertes en seis estados.

Sin embargo, lo peor es que los ciberdelincuentes se están aprovechando de la catástrofe mediante la difusión de un vídeo falso en Facebook.

La página, que incluye el alarmante título “VIDEO SHOCK – Hurricane Irene New York kills All” (VÍDEO IMPACTANTE: el huracán Irene mata a todos en Nueva York), muestra una imagen en la que se puede hacer clic de un reproductor de vídeo falso.

El texto que se visualiza en las páginas siguientes está escrito en italiano, lo que sugiere que el ataque está específicamente orientado a usuarios italianos. Al hacer clic en la imagen del vídeo se muestra el mensaje “Per Vedere il video devi prima condividere”, que significa “Para ver el vídeo, primero debe compartirlo”, y dos opciones para compartir y ver el vídeo.

Al hacer clic en la opción de compartir, se muestra el enlace a la página de Facebook en el muro del usuario.

Por otro lado, al hacer clic en la opción de ver el vídeo, se muestra una lista de ofertas en las que el usuario debe registrarse para poder ver el vídeo.

Dichas ofertas solo dirigen a sitios Web de publicidad y programas afiliados.

Estos esquemas han proliferado en Facebook durante las últimas semanas, ya que hemos detectado estafas similares que dirigían a páginas de spam o de encuestas. Hemos observado que estos ataques utilizan diversos señuelos de ingeniería social como noticias falsas sobre la muerte de la cantante Lady Gaga, entradas para la película de la saga Crepúsculo “Amanecer” e invitaciones para unirse a Google+.

Si desea obtener más información sobre las amenazas detectadas en redes sociales como Facebook, consulte nuestro informe Spam, Scams, and Other Social Media Threats, y nuestro gráfico de información The Geography of Social Media Threats.

En lo que parece ser un crimen premeditado y bien planeado, unos ladrones consiguieron vaciar la caja fuerte del supermercado Carrefour con ayuda de un amigo de Facebook.

A principios de febrero, el responsable del supermercado hizo una nueva e interesante amistad en Facebook, una joven llamada Katrien Van Loo. La relación se fue consolidando y bien pronto la víctima recibió una invitación para una cena romántica, presuntamente para conocerse mejor con su nueva amiga. La cena tuvo lugar el 15 de febrero de este año. La policía está publicando imágenes para buscar testigos. Aquí clic aquí para ver el informe de la policía belga.

Cuando la víctima llegó esa noche a las diez y media al lugar de la cita, un edificio vacío, descubrió que le habían tendido una trampa con ayuda de un perfil falso de Facebook. Rápidamente fue asaltado por dos hombres que lo amordazaron y le vendaron los ojos y le obligaron a entregarles las llaves de su apartamento.

Mientras uno de los delincuentes se quedó con la víctima, el otro se dirigió con las llaves robadas a casa del director del supermercado. Cuando encontró las llaves del supermercado, salió del edificio. Al salir, fue filmado por las cámaras de videovigilancia del edificio.

Imágenes del sospechoso del robo perpetrado en Bélgica obtenidas con las cámaras de videovigilancia

Poco después de la medianoche, y con ayuda de un tercer cómplice que también fue grabado por las cámaras, vaciaron la caja fuerte del supermercado. Los sospechosos pueden verse en el las imágenes de vídeo preparadas por la policía belga. Sospechoso del robo Facebook perpetrado en Bélgica. Es importante mencionar que ambos sospechosos son zurdos.

Si reconoce a los sospechosos, o si tiene algún tipo de información con relación a este delito, acuda a las autoridades belgas. Puede hacerlo a través del número de teléfono gratuito 0800 / 30.30.0 o de este formulario en línea.

Si es usuario de Facebook, recuerde que es fácil hacerse pasar por cualquiera. No permita que personas que no conoce entren a formar parte de su círculo de confianza. Al hacerlo, pondría en peligro su seguridad y su privacidad, así como la de los amigos que publican mensajes en su muro. Si alguna vez decide encontrarse con un extraño, no repita los errores de este hombre. Hágalo en un lugar público y no acuda en solitario. La confianza hay que ganársela, no se regala.

Si recibe una solicitud de amistad de alguien que no conoce, es recomendable comprobar una serie de puntos. ¿Tienen amigos en común? Si no los tienen, debería empezar a sospechar. Si puede ver información de la persona, compruebe si tienen en común algo más, como la escuela o alguna empresa donde hayan trabajado. Compruebe si hay alguna foto en el perfil y, si es así, intente reconocer a la persona. Si no puede ver ningún tipo de información, amigos comunes o fotografía, la respuesta debe ser definitivamente NO.

Si a pesar de todas estas comprobaciones todavía tiene sospechas, puede enviar un mensaje a esa persona para preguntarle de qué le conoce o cómo lo ha encontrado en Facebook. Si al final resulta ser una solicitud de amistad tentativa, mi recomendación sería ignorarla y salir a tomar una cerveza.

Imagen utilizada bajo la licencia de Creative Commons de vídeos L2F1 de Flickr.

Se han ofrecido recompensas por proporcionar información que permita arrestar a los creadores/operadores de malware de alto perfil durante algún tiempo. ¿Han tenido éxito estas iniciativas? ¿Qué factores las condicionan?

El programa de recompensas por capturar creadores de virus de Microsoft, Microsoft Anti-Virus Reward, existe desde finales de 2003. En el marco de esta iniciativa se han ofrecido gratificaciones por capturar a los creadores de Sasser, Sobig, Blaster, Conficker y ahora también de Rustock, por nombrar algunos de alto perfil. Microsoft es quien pone el dinero de la recompensa, pero son las leyes las que determinan si los candidatos cumplen los criterios necesarios para obtenerla en función de las detenciones y las condenas.

Pese a las recompensas ofrecidas, el número de casos que no obtienen respuesta supera al número de casos que sí la obtienen. En 2005, dos personas compartieron una recompensa de 250.000 $ por ofrecer información que permitió condenar a Sven Jaschan, el creador del gusano Sasser. Sin embargo, los éxitos han sido escasos, todavía no se han producido arrestos relacionados con Sobig y, lo que es más importante, la recompensa por informar sobre el creador o los creadores de Conficker sigue sin ser reclamada. Microsoft no es la única fuente que ofrece una tentadora recompensa en efectivo. En 2004, SCO ofreció otros 250.000 $ por el arresto y condena del autor o autores de MyDoom, que también continúan sin reclamarse.

Probablemente, existen algunas razones para este éxito limitado: los delincuentes operan en línea bajo seudónimos y suelen ser muy herméticos en lo referente a sus identidades reales. Si bien las recompensas normalmente permiten obtener información valiosa en los delitos que se producen en el “mundo real”, hay que reconocer que, en estos casos, las posibilidades de que existan testigos presenciales son mucho mayores. En el “mundo en línea”, el razonamiento debe ser que la mayoría de los testigos, de algún modo, también están involucrados. En los casos de perfiles altos, la recompensa de 250.000 $ (o incluso 500.000 $ si se ofrecen dos recompensas) puede resultar muy baja en comparación con los ingresos que las bandas de delincuentes organizadas pueden obtener llevando el negocio de la forma habitual. Quizás exista un extraño tipo de confianza que también desempeñe un papel importante. El mundo clandestino en línea, como cualquier otra empresa de Internet más legítima, se basa en un alto grado de confianza y credibilidad. Si alguien se desmarca y reclama una recompensa de 250.000 $ nunca más podrá volver a participar en el mundo de la delincuencia en línea. Tal y como ellos dicen, sería un movimiento que limitaría una carrera… Si le pide a una persona que abandone su carrera, aunque esta sea ilegal, seguramente las recompensas deberán ser bastante más altas.

No subestime al tipo duro pequeño ni el poder de los ecologistas y, tal y como me dijo mi amigo Julio Canto de Virustotal en Twitter, “probablemente el foco central del problema son los individuos que todavía encuentran interesantes los 250.000. :) Incluso un pez pequeño puede causar problemas“.

por Presales Team Iberia

Puede parecer increíble, pero es cierto: los cibercriminales aprovechan cualquier circunstancia, evento social etc, para intentar lucrarse a través de Internet. La forma de hacerlo: creando amenazas nuevas con elevada capacidad de infección.

Algunos ejemplos de estos hechos los comentamos a continuación:

* Enlaces maliciosos insertados en webs de búsqueda. En cualquier buscador, un usuario, inicia una query para encontrar información sobre los terremotos de Japón y, entre los múltiples links encontrados, algunos de ellos son enlaces envenenados que nos conducirán a webs que contienen malware o a sitios web desde donde se nos intente instalar cualquier elemento malicioso. Ejemplo de ello son los famosos FAKEAV

* Phishing: Falsos sitios web de recaudación de donaciones. Se han detectado emails que simulan proceder de entidades de confianza y que solicitan al receptor acceder a un enlace web para hacer donaciones destinadas a la ayuda para el desastre. A través de dichos enlaces, el cibercriminal recoge información confidencial del cliente para cometer robos.

Recomendaciones:

Es importante contar con una herramienta de seguridad robusta que permita detectar el malware antes de que este entre en la red (Identificar Spammers que intenten enviar emails que contengan phishing, identificar URLs que no tienen la resputación suficiente como para navegar por ellas de forma segura, detectar ficheros maliciosos antes de que estos se descarguen de pa web para evitar infecciones). Smart Protection Network de Trend Micro utiliza los anteriores servicios para proporcionar al entorno del cliente máxima seguridad proactiva y desde la nube.

Aparte, el sentido común también es un factor clave en el proceso de protección frente a infecciones. Si el usuario duda de la seguridad en ciertos tipos de accesos, pues no se debe ir adicho sitio web; si recibimos un email en el que se nos solicita información confidencial o bancaria para hacer un préstamo, tampoco debemos dar ningún tipo de información, no desactivar el software de antimalware del PC…etc. Siguiendo estas sencillas pautas, tendremos bastantes garantías de que no vamnos a vernos desprotegidos.

Desde Trend Micro, nuestro más profundo pésame para las víctimas y familiares de los fallecidos en estos terribles sucesos.

Para poder leer más en relación a estas nuevas amenazas, acceded a este enlace.

Gracias