viernes, 4 de diciembre de 2015

Cuidado con quién aceptas en tu Linkedin

Nuevo aviso, esta vez procedente de Symantec, sobre falsos perfiles en Linkedin cuya intención es acceder a nuestros contactos para recabar inteligencia, cara a ataques diversos. Hablaremos hoy también de fallos presentes en la mayoría de apps móviles, de una nueva campaña de ransomware que, además, roba contraseñas, y de la puesta en marcha en fase beta de la iniciativa Let's Encrypt, muy celebrada por la comunidad de seguridad informática.


Cuidado con las mujeres guapas que aseguran ser reclutadoras de diversas empresas de empleo. Podrían ser perfiles falsos creados por criminales informáticos que quieren acceder a nuestros contactos profesionales, para recolectar inteligencia. Su objetivo final podrían ser ataques de spear phishing para introducir malware de chantaje o espionaje en los ordenadores de sus víctimas. Symantec avisa que pueden verse estos falsos perfiles en todos los sectores profesionales y no sólo el de seguridad informática, como se había detectado en otra oleada.



Apps inseguras

Atacamos ahora un territorio que hace al menos 48 horas no pisábamos, cosa rara porque es uno de los top actualmente en inseguridad informática. Nos referimos a las apps para telefonía móvil. Según un estudio de Veracode, el 80% de apps para Android y iOS tienen serios fallos de cifrado que las exponen sobre todo a ataques de inyección SQL. Las más afectadas son las apps creadas con PHP, ClodFusion y Classic ASP, siendo las más seguras las creadas con Java y .NET.

Cóctel de malware

Otro terreno de gran inseguridad lo crean los virus llamados genéricamente ransomware. Hoy sabemos que el ataque a la web de la revista Reader's Digest, activo al menos desde principios de noviembre, no era un ataque normal con ransomware sinó que se instalaba en el ordenador de las víctimas un "cóctel de malware": primero, el malware Pony, que roba todos los nombres de usuario y contraseñas que encuentra y los manda a los atacantes. Después, el exploit kit Angler, que busca fallos de seguridad en el sistema. Cuando los ha identificado, instala a través de ellos el ransomware CryptoWall.

Let's Encrypt!

Ciertamente, da miedo y más saber que tenemos pocas defensas. Una de ellas son los certificados digitales, que aseguran que nuestras conexiones sean cifradas. Para acabar bien la semana, nada mejor que anunciar que hoy empieza en fase beta la iniciativa Let's Encrypt y ya es posible pedir nuestros propios certificados, de forma totalmente gratuita. 

Acabamos de forma tan esperanzadora nuestro informe del viernes, emplazando a lectoras y lectores a echar un vistazo a nuestra web el domingo, pues publicaremos una charla que recientemente tuvimos con un gran experto en seguridad informática: David Barroso


0 comentarios:

Publicar un comentario