2019 finaliza con múltiples campañas de phishing y vulnerabilidades

Finalizado 2019, el laboratorio de ESET hace un repaso a lo que nos deparó diciembre en materia de ciberseguridad, un mes que estuvo marcado por numerosos casos de phishing aprovechando la cercanía de las fechas navideñas. Por un lado, se han producido algunas campañas convencionales, como la que suplantaba la identidad de Paypal con la intención de obtener los datos de las tarjetas de crédito y el número de cuenta bancaria de sus víctimas y, por otro, las llevadas a cabo por algunos delincuentes que se aprovechaban de la marca comercial Adidas para, utilizando una falsa celebración de aniversario, empezar a propagar por WhatsApp mensajes con supuestos regalos que la marca estaría haciendo a cambio de rellenar una encuesta y de reenviarla a nuestros contactos.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

El uso de estas encuestas ha sido una tendencia durante todo el mes de diciembre y hemos visto cómo se intentaban obtener los datos de las tarjetas bancarias de aquellos usuarios que pensaban que estaban contestando una encuesta de Amazon o Carrefour y, a cambio, iban a obtener un smartphone de gama alta por tan solo un euro.

Pero si hay una amenaza que ha sabido utilizar en su provecho la suplantación de identidad y el correo electrónico esa ha sido Emotet, que ha utilizado una táctica tan vieja como efectiva, consistente en adjuntar documentos de Office maliciosos a correos con asuntos sugerentes, que han ido variando, incluyendo felicitaciones navideñas o celebraciones de cena de empresa. También hemos visto otras variantes en español con una supuesta subida del salario mínimo como asunto.

El laboratorio de ESET ha analizado asimismo varios casos donde las cámaras IP han protagonizado incidentes de seguridad, bien porque han quedado expuestos los datos de sus usuarios bien porque se ha visto su privacidad invadida por espectadores no deseados. Por un lado, está el caso de una niña de 8 años que observó cómo un delincuente consiguió acceder a la cámara IP instalada en su cuarto logrando comunicarse con la menor. Por otro lado, el circuito cerrado de televisión de una cárcel en Tailandia también fue vulnerado, y el atacante publicó las imágenes en su canal de Youtube. Además, el fabricante Wyze vio expuestos los datos de 2,4 millones de sus usuarios, debido a la mala configuración de una base de datos Elasticsearch.

Para terminar el repaso a lo más destacado del mundo de la ciberseguridad durante las últimas semanas hay que destacar un par de vulnerabilidades con un impacto potencial elevado. La primera de ellas, llamada Strandhogg afecta a Android y permite a una aplicación maliciosa hacerse pasar por otra app. La víctima podría llegar a pensar que está utilizando la aplicación legítima, pero en realidad el código malicioso estaría robándole sus credenciales de acceso a servicios online.

La segunda vulnerabilidad grave afecta a Citrix Application Delivery Controller y puede ser aprovechada por un atacante sin necesitar ningún tipo de autenticación e incluso algunos investigadores apuntan a que podría ser explotada remotamente para ejecutar código arbitrario, acceder a la red interna de una empresa y atacar a otros recursos ubicados en la red interna desde un servidor Citrix vulnerable.