Este lunes 30 de noviembre, en el marco de la celebración del Día Internacional de la Seguridad Informática, ESET ha decido repasar los tipos de ciberataques más relevantes del año, ilustrando tanto escenarios como modus operandi, entre ellos, juegos online, Internet de las cosas, estafas en redes sociales, ransomware y phishing.
Y es que a juicio de Josep Albors, director del laboratorio de ESET España, los ciberdelincuentes aprovechan cualquier resquicio y oportunidad para sacar provecho económico de los usuarios o empresas desprotegidos.
“Por eso, creemos que es imprescindible la labor de información y concienciación de forma que se reduzca al mínimo el impacto que pueda tener un ataque o amenaza, aunque también es imprescindible seguir una serie de pasos básicos, como contar con herramientas de seguridad actualizadas, no acceder a páginas web sospechosas, desconfiar de enlaces o archivos adjuntos en mails procedentes de desconocidos o, en definitiva, llevar la sensatez de la vida real a nuestras actividades online”, ha apuntado el ejecutivo.
Juegos online
El año comenzaba con los ataques a los servicios online de PlayStation Network de Sony y Xbox Live de Microsoft que dejaron a millones de personas sin poder utilizarlos durante semanas; sin embargo, no fue flor de un día y los ataques a plataformas de juego online se mantuvieron durante todo el año.
Reseñan los expertos de ESET, , empresa pionera en la protección proactiva contra el malware desde hace más de dos décadas, los usuarios de Steam fueron engañados por juegos que suplantaban a los originales con el objetivo de que pulsaran sobre enlaces maliciosos.
Sumado a ello, los ciberdelincuentes también aprovecharon el lanzamiento del esperado Mortal Kombat X para propagar malware, así como juegos tan populares como Minecraft o Grand Theft Auto V que fueron utilizados para robar información de los usuarios a lo largo del año.
Internet de las cosas
Cada vez con más frecuencia oímos hablar de los objetos conectados a Internet para hacer nuestra vida más fácil. Y, como siempre recuerdan desde ESET, cualquier dispositivo conectado a la Red es susceptible de ser atacado si no contamos con las herramientas necesarias para protegernos.
Según los balances de la compañía, durante 2015 se ha visto, por ejemplo, cómo un dispositivo aparentemente tan inofensivo como un cargador conectado a una toma de corriente podía ser utilizado para registrar las pulsaciones de ciertos modelos de teclados Microsoft. Esta prueba de concepto desarrollada por un investigador independiente, demostró que, usando materiales muy baratos, se pueden espiar comunicaciones personales.
Una de las vulnerabilidades más sonadas y curiosas detectadas este año, afectaba a reproductores de discos Blu-ray y permitía a un atacante ejecutar código malicioso en el popular software Power DVD o en el hardware encargado de reproducir estos discos. Otro tema recurrente a lo largo de 2015, fue la posibilidad de tomar el control de un avión en pleno vuelo por parte de un atacante.
Con respecto a ese último punto y teniendo en cuenta que varios medios se hicieron eco de la noticia de la detención de un investigador supuestamente por interferir en los sistemas de navegación de una aeronave durante el vuelo, los de ESET enfatizan que a día de hoy, es bastante improbable que se dé este escenario, al menos accediendo a través del sistema de entretenimiento situado en los asientos; sin embargo, afirman que dos investigadores fueron capaces de hackear y controlar remotamente algunas de las funciones de un Jeep Cherokee, por lo que Chrysler se vio forzada a publicar una actualización del software usado en estos vehículos con el objetivo de evitar que millones de conductores se vieran amenazados por un ataque de este tipo.
Estafas en redes sociales
A pesar de utilizar técnicas conocidas desde hace años, todavía a día de hoy hay usuarios que pican en los engaños difundidos a través de las redes sociales.
En esta parte, los diestros de ESET recalcan que las estafas en Facebook, Whatsapp o Instagram han afectado a miles de usuarios que creían estar descargando bonos descuento de sus tiendas favoritas, cuando en realidad estaban abriendo sus puertas a los ciberdelincuentes. Empresas como Starbucks, Mercadona, McDonald’s, Zara o Ikea vieron afectada su imagen por estas estafas.
Sumado a esto, el lanzamiento del Apple Watch fue utilizado por delincuentes para engañar a través de las redes sociales, ofreciéndoles uno de estos dispositivos de forma completamente gratuita. Además, el lanzamiento de Windows 10 también fue aprovechado por los ciberdelincuentes como gancho para conseguir engañar a usuarios desprevenidos y que servían para suscribirles a mensajes Premium o para instalarles molesto adware.
Y la red social Adult Friend Finder, especializada en la búsqueda de relaciones entre adultos o la más conocida todavía red de contactos extra matrimoniales Ashley Madison, se vieron envueltas en asuntos de filtraciones de datos. En total se considera que más de 44 millones de cuentas de usuarios e información confidencial de los mismos fueron expuestos.
Ransomware
El ransomware ha sido sin duda uno de los protagonistas indiscutibles del año en cuanto a amenazas se refiere.
Ahondando en este aspecto, los diestros en seguridad informática de ESET han reseñado que desde principios de 2015, la variante CTB-Locker fue responsable de miles de infecciones en España y otros países. El malware se propagaba a través de ficheros adjuntos a correos electrónicos que decían contener un fax importante o una factura. Consiguió que muchos usuarios desprevenidos lo ejecutasen e infectasen sus sistemas.
Otro caso de ransomware importante durante este año fue el protagonizado por Lockerpin, que afectó a los teléfonos móviles, bloqueando los dispositivos modificando el PIN original. Emblemático también fue el ransomware que afectó a Correos de España.
“Nuestro país se convirtió en el foco principal de ataques de diferentes variantes de Filecoder a través de la suplantación de esta empresa. Los usuarios recibían supuestas cartas certificadas online que al ser abiertas infectaban la máquina bloqueando los ficheros”, han recordado los de ESET, apuntado igualmente que en los últimos meses, otra variante de ransomware, conocida como Cryptowall, ha ganado en importancia y ha pasado a ser una de las más distribuidas (incluyendo kits de exploits), ya que ha causado importantes pérdidas a los usuarios infectados, que algunas fuentes llegan a cifrar en más de 325 millones de dólares.
Phishing
El phishing también estuvo presente en las amenazas reportadas a lo largo de todo el año (…) El caso de phishing más curioso de 2015 fue el que supuso la suplantación del popular servicio de mensajería WhatsApp, en el que se invitaba a los usuarios a probar el esperado nuevo sistema de llamadas por voz IP que la empresa estaba a punto de empezar a implantar.
Por un lado, ha habido casos de phishing clásico, como el que afectó a La Caixa, en el que el usuario era redirigido a una web muy similar a la original desde la que se robaban las credenciales de acceso y todos los códigos de la tarjeta de coordenadas del afectado, o el que sufrió el Banco Sabadell con la excusa de implantar nuevos sistemas de seguridad de doble autenticación. Otro caso de phishing que suele repetirse todos los años cuando empieza el periodo de declaración de la renta es el del falso correo de la Agencia Tributaria.
Equipo de redacción de GizTab
