La Guardia Civil hispana anunció la operación hoy en un comunicado, indicando que se había detenido a tres personas.

Los detenidos gestionaban el ‘botnet’ (red de computadoras infectadas y controladas a distancia) llamado Mariposa. Está previsto que el miércoles se celebre una rueda de prensa para proporcionar más información.

Mariposa había infectado computadoras de 190 países, a más de la mitad de las 1.000 empresas más grandes del mundo y al menos a 40 grandes instituciones financieras, según dos empresas de seguridad informática que colaboraron con el Grupo de Delitos Telemáticos de la Guardia Civil, la española Panda Security y la canadiense Defence Intelligence.

“Era muy duro, pensamos ‘Tenemos que apagarlo. Tenemos que cortarle la cabeza’”, indicó Chris Davis, consejero delegado de Defence Intelligence, que descubrió el virus el año pasado. El directivo añadió que la red de ordenadores se apagó el pasado 23 de diciembre.

El virus estaba programado para robar todas las claves de registro y guardar todas las pulsaciones de teclas de las computadoras infectadas, enviando después los datos a un “centro de mando y control” en el que los responsables almacenaban los datos.

“Básicamente, estaban detrás de cualquier cosa que pudiera darles dinero”, explicó Davis.

Al principio, Mariposa se extendió aprovechando una vulnerabilidad en el navegador Internet Explorer de Microsoft.

También contaminó máquinas infectando memorias USB.

Aunque los sitios Web infectados inocentemente, resultan en un gran porcentaje debido a fallos de seguridad, todavía abundan los correos electrónicos fraudulentos. Por desgracia, Atrás quedaron los días en que era fácil identificar maliciosos correo electrónico de phishing [2]por sus líneas extrañas y la gramática horrible.

Roger Grimes explica cómo detener las pérdidas de datos en un esclarecedor webcast de 30 minutos, Data Loss Prevention [3], que abarca las herramientas y técnicas utilizadas por los profesionales de seguridad experimentados. | Más información sobre cómo proteger sus sistemas con el boletín de seguridad libre de InfoWorld [4].]

Los Phishers de hoy, al menos, son gramaticalmente correctos. Los que sin educación o la experiencia suficiente para usar el lenguaje correctamente, naturalmente, hicieron menos dinero y se cayeron sus empresas criminales desde el principio, al menos que hayan contratado gente más inteligente.

La próxima generación de mensajes de phishing, que es todavía hoy predominante, se parece mucho a los mensajes legítimos de nuestros bancos, compañías de cable, servicios de pago electrónico en línea, y las compañías de tarjetas de crédito. Todo en el correo electrónico parece legítima, incluidos los gráficos que se originan en Sitio Web de la empresa real. (Los que incluyen un aviso de cuidado con falsos mensajes de phishing siempre me hizo reír.) La única cosa que es falso en el mensaje completo es el vínculo que las víctimas están obligadas a hacer clic para completar la acción solicitada.

Esta forma de “phishing” es bastante efectiva, pero los mensajes por lo menos contienen una pequeña pista (el URL o enlace falso) a los usuarios que deben evaluar la legitimidad de la petición. Los navegadores de hoy, con las características antiphishing, incluso podría alertar a un usuario final en contra de la carga del sitio Web falso.

Pero ahora los usuarios finales están siendo blanco de una nueva forma de phishing, llamado “spear phishing”, que se dirige específicamente a un usuario o empresa. Lanzan mensajes de correo electrónico de phishing ahora parecen más auténtico que la  mencionada, a menudo incluyendo el nombre completo del usuario o se refieran a un proyecto real de que el usuario está trabajando. Spear phishing suelen reunir esta información mediante la investigación táctica o incluso entrar en una base de datos, y es lo suficientemente eficaz para engañar incluso a los más hábiles de los usuarios finales.

A menudo, estas formas de intento de phishing para atraer a los usuarios finales es en funcionamiento con un programa caballo de Troya, la cual compromete el ordenador y la red de la empresa. La mayoría de las empresas con las que trabajo en estos días han sido explotados por uno de estos “spear phishing” e-mails. Si el usuario final se está ejecutando antimalware [5], el software de escaneo, el producto puede bloquear la instalación del Troyano.

He aquí un ejemplo de uno de estos mensajes, que me envió mi amigo y CISSP, Bob McCoy. Estaba dirigido a él directamente y parecía provenir de proveedor de servicios de correo electrónico de su empresa. (Para mayor brevedad y seguridad, me he quitado los nombres de proveedores, auténticos gráficos de aspecto, y los vínculos de los mensajes).

Estimado cliente:

Nos complace anunciar el go-fecha de publicación de un nuevo Centro de Datos, prevista para entrar en funcionamiento el 19 de abril de 2010.
Por favor, actualice sus reglas de cortafuegos para permitir el tráfico SMTP en el puerto 25 de los siguientes rangos de direcciones IP: 213.199.180.128/26 (213.199.180.129 – 213.199.180.190) 94.245.120.64/26 (94.245.120.65 – 94.245.120.126)

Si usted tiene la configuración de su servidor de correo electrónico que el control de las IPs que tienen permiso de conexión para el e-mail relay por favor confirme que los ajustes se actualizaron.

Vamos a ser capaces de probar y verificar las conexiones de una semana de antelación al 19 de abril de 2010. Además, vamos a ejecutar las pruebas de conexión de forma proactiva antes del lanzamiento, en nombre de todos los clientes y ponerse en contacto con usted directamente si se puede conectar a cualquiera de sus ámbitos de TODAS las direcciones IP de dicho dominio.

Antes de la puesta en marcha de las nuevas direcciones IP, le recomendamos que instalar y configurar la función de notificación de aplazamiento de alerta para sus dominios utilizando la opción de aplazamiento de notificación en la página de propiedades de dominio en el Centro de Administración. La función de notificación de alerta de Aplazamiento envía un mensaje a usted cuando haya un umbral de medida se ha cumplido o excedido de aplazamiento de correo electrónico en tu dominio. Después del lanzamiento de las nuevas direcciones IP, esta función le ayudará a asegurarse de que el correo electrónico enviado a sus dominios no se aplazó debido a los intentos fallidos de conexión a la red, y que avisará en caso de que el correo electrónico se aplaza más allá de su límites aceptables. Para obtener más información sobre cómo configurar la característica de Aplazamiento de notificación de alerta, consulte la Guía del Centro de Administración en el Centro de Recursos.

Por favor refiérase a la subpestaña Configuración del Centro de Administración para una lista completa de direcciones IP que deberían ser autorizadas a conectarse a su entorno en cualquier momento.

Basta analizar el contenido del mensaje de suplantación de identidad no reveló nada fuera de lo común. A diferencia de los correos electrónicos de phishing, todos los enlaces y direcciones de correo electrónico eran legítimos. No hubo sitios Web falsos y no ejecutables para instalar el caballo de Troya. Por el contrario, los atacantes son esencialmente instruir a las víctimas a abrir su servidor de correo electrónico para transmitir correo no deseado.

Al abrir este mensaje, Bob sospecha de la estafa de inmediato. Sus sospechas se han confirmado 10 minutos más tarde, cuando recibió un mensaje idéntico de otro proveedor. Otros usuarios no han sido tan afortunados.

Ya estoy al tanto de varios clientes que han caído en esta estafa. En cada caso, la víctima recordó conseguir un tipo similar de mensaje de correo electrónico cuando se firmó por primera vez en un servicio y, por tanto, pensó el falso mensaje era legítimo – sobre todo porque su nube / hosting proveedores se jactaba de todos los datos nuevos centros que Eres por introducir en línea.

Otros mensajes de phishing han dado instrucciones a los usuarios desactivar sus firewalls basados en host [6] y abrir recursos compartidos de red sin protección y permitir a pares demasiado permisiva para el intercambio de archivos entre iguales. Tiene los viejos tiempos de mensajes fraudulentos que los usuarios han hecho para borrar archivos del sistema operativo legítimo parecen relativamente inofensivos.

Como con cualquier correo electrónico sospechoso Phish, los beneficiarios deberán ponerse en contacto a los remitentes con otro supuesto fuera del método de la banda para confirmar la legitimidad. Por otra parte, usted debe actualizar su final de materiales de educación de usuarios para incluir este tipo de correos electrónicos de phishing.

Esta historia, “Los defraudadores perfeccionar sus ataques con” spear phishing “[7],” fue publicado originalmente en InfoWorld.com [8]. Siga las últimas novedades en seguridad [9] y leer más de Seguridad Roger Grimes Asesor blog [10] en InfoWorld.com.

Picasa es un software de tratamiento y gestión de fotografías de Google, con el que se puede organizar, editar e imprimir las fotos del ordenador.

El problema consiste en que un usuario remoto podría crear una imagen en formato jpeg de tal forma, que cuando fuera cargada por el usuario atacado y este realice cualquier acción se provoque un desbordamiento de entero en “PicasaPhotoViewer.exe” y la ejecución de código en el sistema del usuario. El código se ejecutará con los privilegios del usuario.
Aunque no ha realizado ninguna comunicación al respecto, Google ha publicado una versión que corrige el problema.

Via Hispasec

El último virus troyano ha logrado reunir formar un botnet conocido como Kneber. Un botnet es un ejército de ordenadores infectados que los hackers pueden controlar desde una máquina central. Los piratas informáticos habrían logrado así disponer datos de acceso a sistemas financieros online, sitios de redes sociales y sistemas de correo electrónico desde los ordenadores infectados, dijo la firma de seguridad en internet NetWitness en un comunicado.

La compañía dijo que el ataque se descubrió por primera vez en enero durante una puesta en funcionamiento de rutina del software de NetWitness para monitorizar redes. Investigaciones adicionales de la firma de software de seguridad con sede en Herndon, Virginia, revelaron que muchos sistemas comerciales y gubernamentales estuvieron afectados, incluyendo 68.000 credenciales de conexión corporativas y acceso a sistemas de correo electrónicos, sitiosde banca electrónica, Yahoo, Hotmail y redes sociales como Facebook.

“La protección convencional contra malware y sistemas de detección de intrusos basados en la firma son, por definición, inadecuados para enfrentarse a Kneber o la mayoría de amenazas avanzadas”, dijo el consejero delegado, Amit Yoran, en un comunicado.

REUTERS

Según ha publicado el diario The New York Times, los ataques procedían de dos instituciones, en concreto de la universidad de elite Shanghay Jiaotong y la escuela de formación profesional de Lanxiang. Lo que no han podido constatar estos análisis es si el gobierno chino estuvo detrás de los sabotajes como en su día insinuó la compañía californiana, que acusó al regimen chino de haber instigado al incidente. Es posible, según la citada información, que los ordenadores de ambas instituciones educativas fueran manipulados, incluso desde fuera del país.

Google denunció el pasado 12 de enero que sus operaciones habían sido blanco de ciberataques, probablemente procedentes de China, con el fin de acceder a la correspondencia de disidentes chinos además de robarle a la empresa códigos y secretos comerciales. Una veintena más de empresas, aparte de Google, fueron afectados por los ciberataques, que los investigadores creen pudieron comenzar en abril del año pasado.

Tras el ataque a Google, las relaciones diplomáticas entre Estados Unidos y China se han tensado y desde la Administración estadounidense se ha exigido una explicación. Asimismo, se ha venido censurando la actuación de algunos gobiernos que como el chino están torpedeando continuamente las libertades en internet, algo que se ha convertido en una prioridad del Gobierno de Obama, según aseguró durante una conferencia la secretaria de Estado, Hillary Clinton.

ABC (España)

En dias pasados estaba el anuncio  del plan de censura de Internet del gobierno australiano, que incluirá el filtrado de Internet y la prohibición de algunas formas de pornografía, el grupo “Anomymous”, que se hizo famoso por sus ataques y demostraciones contra la Cienciología, ha “llamado a las armas” a todos aquellos que se opongan a las medidas legislativas propuestas.

La operación, denominada “Titstorm”, consistio en comprometer los servidores gubernamentales con ataques de denegación de servicio (DdoS), así como generar una gran avalancha de llamadas, faxes con spam y correos electrónicos con contenido pornográfico dirigidos a las oficinas gubernamentales (poniendo pornografía en la página del Primer Ministro, Kevin Rudd.)

El ataque comenzó a las 8 AM el 10 de Febrero, y el “Sydney Morning Herald” afirma que ciertas web gubernamentales están sufriendo problemas de acceso o han estado caídas durante algún tiempo. Según un representante del gobierno australiano, algunas web han sido bombardeadas con 7.5 millones de peticiones por segundo. No está claro qué páginas web han sido atacadas, pero parece que hay bastantes servidores afectados por el ataque.

“Ningún gobierno debería tener el derecho de prohibir a sus ciudadanos el acceso a la información sólo porque la perciben como “no deseada”, afirma el correo electrónico enviado por “Anonymous” a los medios. Los grupos anti-censura australianos han condenado el ataque porque lo consideran inefectivo y perjudicial para la causa.

El hombre intervino el complejo sistema de servidores de Novorossiysk, Grozny y Moscú. El detenido usaba el sobrenombre de “Igor” y declaró “que sólo quería divertir a los moscovitas”.

Igor es fanático de la pornografía y experto en piratería informática. Atacó el servidor de la empresa de publicidad dueña de la pantalla desde la ciudad de Novorossiysk para proyectar una caliente película latinoamericana en el centro de Moscú y después la subió a internet.

Su vida es bastante insulsa. Tiene 40 años, no está casado y lee revistas para adolescentes.

— ¿Lees Hacker  y dices que no eres pirata?, le preguntaron.
— No, es una revista vieja, respondió.

En su apartamento, un cuarto pequeño y estrecho, hay dos CPU y dos monitores. En sus archivos se encuentran cientos de películas pornográficas, de entre las cuales eligió una y la puso en lugar de la publicidad de una marca de reloj.  Ahí comenzó el escándalo. En el centro de la capital rusa la pantalla gemía de placer. Los testigos —taxistas y demás conductores— empezaron a grabar el video con sus teléfonos móviles.

En el interrogatorio contestó:

— Bueno, has visto esta película antes?
— Sí, la he visto.
— ¿Te gusta?
— Sí, más o menos.
— Pues, ¿qué es lo que no te gusta?
— La mujer no es tan caliente.
— ¿No es hermosa?
— Está bien, lo es.

Para encontrar al bromista los propietarios de la pantalla llamaron a la brigada informática de la policía. Ellos buscaron al hacker durante casi un mes, pero éste borraba sus huellas. Por ese motivo, la primera pista de la policía los condujo a Chechenia y luego a Grozny. Allí todo se aclaró.

El pirata informático intervino el servidor de una organización en Grozny porque estaba seguro de que los policías nunca irían al Cáucaso.

“Nuestros agentes de inmediato partieron a Grozni, donde una organización fue hackeada y sus empleados estaban muy sorprendidos”, dijo el representante oficial de la policía informática, Irina Zubarev.

Después de esto, rápidamente encontraron al hombre, el cual confesó:

— ¿Por qué pornografía y no dibujos animados? ¿Por qué una película con contenido pornográfico?
— Quería divertir a la gente.
— ¿Fumaste algo antes?
— Tomé una cerveza.

Los daños causados por las actividades piratas de este hombre se estimaron en cientos de miles de dólares e incluso hay víctimas humanas: un conductor de edad avanzada se sintió mal al ver la película erótica.

El delincuente podría ser condenado a 3 años de prisión.

RT | Rusia | 16 de febrero 2010 | 12:38

La alianza permitirá que la Agencia Nacional de Seguridad norteamericana ayude a investigar los ataques de espionaje corporativos.

El objetivo de la investigación es defender mejor a Google, la mayor firma de búsqueda de internet en el mundo, y a sus usuarios de futuros ataques, informó el jueves el Washington Post.

Las fuentes dijeron que la alianza de Google con la NSA, la organización de vigilancia electrónica más poderosa del mundo, tendría por objetivo el permitir que ambas partes compartan información clave sin violar las políticas de Google o leyes que protegen la privacidad de las comunicaciones en internet. Bajo el acuerdo, la Agencia Nacional de Seguridad (NSA) no verá las búsquedas de los usuarios o cuentas de correo electrónico, dijeron las fuentes.

Google tampoco compartirá datos con propiedad con la NSA, dijeron. Google tomó el 12 de enero la inusual medida de anunciar que había sido víctima de sofisticados ciberataques a medidados de diciembre y que está revisando su operación de negocios en China.

La compañía con base en Silicon Valley dijo que los ciberataques dirigidos contra cuentas de Gmail de activistas defensores de los derechos humanos chinos y un fondo de investigación de al menos otras 20 grandes compañías habían sido blanco de ataques. China respondió varios días después con una defensa del control del Estado sobre internet.

Un funcionario de alto rango dijo que la pornografía en internet, fraudes y rumores eran una amenaza y que los medios de internet deben ayudar “a guiar la opinión pública” en China.

El director norteamericano de la inteligencia nacional, Dennis Blair, dijo el martes que los ciberataques contra Google fueron una llamada de atención.

La sociedad entre el gigante de las búsquedas en internet y la NSA toca temas delicados sobre cómo equilibrar la privacidad individual y la seguridad nacional en línea. Google se acercó a la NSA como consecuencia de los ataques, pero el lograr el acuerdo ha tomado semanas debido a la delicada naturaleza del intercambio de información entre ambas partes.

El centro de atención de la sociedad de cooperación no estará en determinar quién estuvo detrás de los ataques. Eso sería casi imposible. En cambio, el objetivo es construir una mejor defensa de las redes de Google, o lo que los técnicos llaman “garantías de información”.

Fuente: Reuters

Por el momento, no está claro qué efecto tendrá la orden sobre las operaciones de Gmail en Irán, que en ocasiones anteriores ha anunciado avances tecnológicos que nunca ha llegado a aplicar, indicó el WSJ. Google, por su parte, no ha hecho ningún comentario sobre la cuestión.

Un responsable iraní dijo que la medida pretende impulsar el desarrollo local de las tecnologías de Internet y generar confianza entre el Gobierno y los ciudadanos, citó el WSJ.

La medida fue anunciada en la víspera del trigésimo primer aniversario de la República Islámica, con motivo del cual han sido convocadas manifestaciones pro gubernamentales y opositoras, disponiendo el escenario para que se produzcan nuevos enfrentamientos en las calles.

El Departamento de Estado de Estados Unidos dijo que no podía confirmar la información publicada por el citado diario, pero advirtió a Teherán del fracaso de cualquier intento de impedir que los iraníes tengan acceso a la información.

“Mientras las tecnologías de la información permiten que la gente se comunique alrededor del mundo (…) como nunca antes, el Gobierno iraní parece decidido a negar a sus ciudadanos el acceso a la información, la capacidad de expresarse libremente, en cadena y compartir ideas”, declaró el portavoz del Departamento de Estado P.J. Crowley. “Los muros virtuales no funcionarán en el siglo XXI mejor de lo que funcionaron los muros físicos en el siglo XX”, añadió Crowley.

Para suplantar la identidad de sus víctimas, los criminales consiguen información de diversas maneras:

-    Revisando la basura de edificios o conjuntos residenciales en busca de facturas, cuentas u otros documentos.

-    Oyendo las conversaciones que una víctima sostiene a través de su celular, en sitios públicos, en las que pueda revelar su número de tarjeta de crédito o viendo sobre su hombro cuando ingresa esa información en su computador.

-    Copiando las tarjetas débito o crédito en cajeros o en sitios abiertos al público (como tiendas o restaurantes) usando los viejos skimmers.

-    Usando técnicas de phishing para que sus víctimas voluntariamente entreguen su propia información.

-    Modificando la dirección de correspondencia de las víctimas.

-    Mediante el robo de carteras que puedan contener documentos con información de identificación de víctimas.

-    Consiguiendo información de las víctimas a través de los bancos o instituciones del sector financiero.

-    Usando documentación desechada relativa a créditos preaprobados, que no haya sido destruida.

En 1998 fue promulgada en Estados Unidos la Ley de Disuasión de la Asunción y el Robo de Identidad (Identity Theft and Assumption Deterrence Act), que, en términos colombianos, tipificó la conducta de “con conocimiento, transferir o utilizar en una forma no autorizada por la ley, un medio de identificación de otra persona con la intención de cometer, o ayudar o auxiliar en, cualquier actividad ilegal que constituya una violación de la ley federal o un delito según la ley de un estado o una ley local”. Definió como sanción una pena privativa de la libertad de 15 años, multa y confiscación de todos los bienes usados para cometer el delito.

Las violaciones de esta ley son investigadas por agencias federales de investigación como el U.S. Secret Service, el FBI y el U.S. Postal Inspection Service; son procesadas judicialmente por el Departamento de Justicia.

Adicionalmente, existe toda una estructura legal, de los órdenes federal y estatal, que está directamente relacionada con este delito. A nivel federal están:

-    En cuanto al historial de crédito de las personas: el Fair Credit Reporting Act define procedimientos para corregir errores en el historial de crédito y obliga a que el mismo solamente sea entregado cuando quien lo solicite tenga fines legítimos de negocios.

-    En cuanto al uso de tarjetas de crédito: el Fair Credit Billing Act, que define procedimientos para corregir errores de facturación en las cuentas de las tarjetas de crédito. Limita, también, la responsabilidad de los usuarios por deudas correspondientes a usos fraudulentos de sus tarjetas.

-    El Fair Debt Collection Practices Act: prohibe a los acreedores usar técnicas de cobro que sean injustas o engañosas, cuando envían las deudas a su favor a las oficinas de cobro de cartera vencida.

-    El Electronic Fund Transfer Act: protege a los consumidores en todas las transacciones en las que usen tarjetas de crédito o débito. Limita la responsabilidad de los consumidores frente a transferencias de fondos no autorizadas.

-    El Driver’s Protection Act y el Family Educational Rights and Privacy Act que ponen límites a la divulgación de información personal contenida en registros de departamentos estatales de vehículos y de instituciones y registros educativos guardados por agencias que reciban fondos federales, respectivamente.

-    El Gramm-Leach-Bliley Act y el Health Information Portability and Accountability Act, que protegen la información personal de los consumidores que es guardada por instituciones financieras y por algunas entidades de salud que realizan determinadas clases de transacciones financieras y administrativas en línea.

A nivel estatal, se encuentra el siguiente panorama:

-    47 estados han promulgado leyes que obligan a las centrales de reporte de crédito a implementar la medida conocida como credit freeze, que consiste en que nadie puede acceder al historial de crédito de quien haya solicitado la protección; el consumidor que goce de ella podrá levantarla temporalmente mediante el uso de una clave para así poder adelantar sus negocios de manera legítima.

-    Algunos estados han promulgado leyes que obligan a las centrales de reporte de crédito a, ante la solicitud de un consumidor, bloquear información inexacta del reporte de crédito que sea resultado de robo de identidad, generalmente 30 días después de su recepción de toda la documentación correspondiente.

-    También existen regulaciones estatales que prohíben la revelación del número de Social Security de las personas, por ejemplo mediante su publicación o impresión en carnets educativos o identificaciones de empleado.

El robo de identidad se presenta frecuentemente en concurso con otros delitos, como el fraude en la identificación, el fraude con tarjeta de crédito, el fraude mediante el uso de un computador, el fraude relacionado con el correo, el fraude electrónico o el fraude a institución financiera.

Las víctimas de robo o fraude de identidad deben denunciar la ocurrencia del hecho que los ha afectado ante la Federal Trade Comission, que es la entidad que defiende a los consumidores, o ante el FBI o el U.S. Secret Service. También, si la víctima cree que su dirección de correspondencia ha sido modificada, debe comunicarse con su oficina local del Postal Inspection Service; si la víctima cree que su número de Social Security está siendo usado fraudulentamente, debe contactar a la Social Security Administration; y, debe contactar al IRS, si cree que están usando su identificación para cometer violaciones de impuestos. Y, obviamente, la víctima debe contactar a las centrales de crédito americanas (Equifax, Experian y Trans Union), para reportar el fraude, pedir copia del reporte de crédito, controvertir la información incluida en él o para excluirse de listas de consumidores con créditos preaprobados.

Con información de: Federal Trade Commision, Department of Justice, Social Security Administration y Identity Theft Resource Center.

Por: Carlos Alvarez

Enfoque Seguro