¡Que no le pase a usted!


seguridad-informatica-viaje

Buen día. Estamos viendo a nivel mundial, y por ende en Colombia, una creciente amenaza que pone en riesgo nuestra información, con todo lo que esto conlleva. Ya sea información personal, empresarial, privada, intima, en fin, es nuestro bien más preciado y el más costoso hoy día. Les hablo del ransomware, una modalidad que no es nueva, viene de finales de los 80s y de la cual yo ya había hablado en mi libro como posible amenaza de alto riesgo a futuro (CiberPadres 2.0 – Seguridad en la red para la familia – 2014 – Pag.82) aunque en aquella época no era tan presencial en dispositivos móviles como lo es hoy día.

El ransomware es un software malicioso y básicamente lo que hace es en primer lugar bloquear el equipo y luego restringir el acceso a los archivos (o a algunos en particular) pueden ser del computador o el Smartphone (mas en Android que iOS) y no deja acceder a ellos. Técnicamente “cifra” la información, es decir la hace ilegible. Para volver a recuperarla generalmente hay que pagar una cantidad de dinero. Por eso se habla de esta amenaza como “Secuestro de la Información”

ransom

Las principales formas de propagación o infección de este malware (software malintencionado) en los equipos se dan a través de adjuntos de correos electrónicos (camuflado), en algunos videos que al dar clic piden instalar un plugin tipo Flash, o incluso en actualizaciones de software como Adobe Reader o Flash. En móviles generlamente es a través de apps "especiales", mensajes por whastapp o tambien correos. Existen otras formas un poco más complejas de contagio pero para efectos de cultura de seguridad digital, y pensando en el usuario de a pie, les quiero por hoy dejar algunas recomendaciones en cuanto al correo electrónico, siendo uno de los medios más usados por nosotros, y obviamente por los ciberdelincuentes para la propagación.

phishing

CORREO ELECTRONICO

Como decía, el correo electrónico es la forma más común de propagación, ya que llega un mensaje con un adjunto que se pide descargar. Este adjunto viene con el “regalito”. Sería muy fácil confiar en que nuestro servicio de correo envía todo esto a SPAM, esa carpetica a donde llega toda la basura (¡o a veces no es basura!, por lo que de vez en cuando es bueno revisarla, de pronto encuentra el correo que buscó por más de un año) - perdón el paréntesis, seguimos - Lo que pasa es que hoy día los mensajes que llegan saltan los filtros de Spam de los servicios de correo y aparte vienen muy bien elaborados, de contactos o empresas reconocidas y con el uso de técnicas de ingeniería social. Miremos esta imagen de un correo que tengo para este tipo de pruebas.


Como pueden ver se han desquitado conmigo! ¡Que les he hecho!. En fin, vayamos al asunto. Tengo correos “intimidantes” de la DIAN, de MOVISTAR, del SIMIT, y para abajo siguen y siguen…

Todos son preocupantes en el sentido de que hacen parte de nuestro día a día, lo que de una u otra manera asusta, presiona, motiva al usuario a abrirlo. Por ejemplo la DIAN, con ese asunto “SU OBLIGACION CON EL ESTADO….¡huy! …. SE ENCUENTRA EN COBRO JURIDICO ¡nooo! …y rematan con (ULTIMO AVISO). Así quién no se preocupa.

super

 

Analicemos uno de estos correos de la supuesta DIAN:

dian


Bueno, aquí van algunas pistas que nos ayudan a determinar lo falso de estos mensajes y por ende cero estrés.

Encontramos en A, que el correo viene de “asist_contabilidad @ etecsa.com”, si es de la DIAN el correo debe venir de @dian.gov.co, en este caso ni parecido, Y hay unos que vienen de @dian.gov.org, que se parece más pero que al igual no son legítimos, no debe terminar en org. Por cierto, etecsa.com es una empresa de servicios y soluciones hidráulicas. En los otros correos que me llegaron de la “DIAN” figuran enviados por comercial @ efitrans.com (transporte de pasajeros), secretaria.tesoreria @ cootrasena.com (cooperativa) este último venia incluso con el logo bien bonito en HD de la DIAN.

En C, que es el cuerpo del mensaje y que generalmente tienen el mismo aspecto, palabras fuertes “cobro jurídico”, “penalizado”, “último aviso” y generalmente “no responder”; además para dar más impacto y sensación de seguridad, al final aparecen palabras que buscan colocar al usuario en una situacion que le genere confianza, en este caso el archivo esta protegido con contraseña ¡que tal!. Son mensajes intimidantes, esto es cierto, y asustan, pero espero que después de leer este artículo se tenga un poco mas de calma y prudencia. Pero sigamos…

En B encontramos el archivo adjunto y es lo que hace peligroso el mensaje, porque en si abrir el mensaje, leerlo, reír un rato y cerrarlo no pasa nada, el quid es descargar este archivo y abrirlo. Ahí si está el problema. Es más, solo descargarlo y sin culpa por ahí se le da clic ! ¡nooo!

Analizando el archivo (no hacerlo en casa) en primer lugar se ve que es un archivo tipo .rar (comprimido, empaquetado, etc). Esto hace que sea un poco más difícil la detección por los antivirus.

virusrarEn Internet se encuentran páginas en donde podemos subir este archivo y estas realizan un análisis de malware con diversos antivirus. Una de estas páginas es www.virustotal.com, al subir este archivo vemos que no detecta ninguna amenaza (lobo disfrazado de oveja…)

virustotalnada

 

Parecería inofensivo (0 detecciones), pero como en Internet hay que dudar de todo, pues quería saber que pasaba cuando abría el archivo, en pro del conocimiento (como digo, esto NO se hace en casa). Lo más curioso es que no mintieron. Efectivamente pide la contraseña 2017 para abrirlo :) como para que el usuario diga “vaya, esto sí es seguridad”. Al abrir, dar la contraseña y extraer del RAR, aparece un archivo tipo “aplicación” es decir, si le doy clic ahí, pues, el Armagedón!  Bueno, algo parecido...

virusexe

Si es un reporte, cobro, multa, etc. debería ser un documento PDF, Word, imagen, etc, jamás una Aplicación. Ahora, de todos modos hay que tener cuidado con los PDFs, imágenes, etc. Ese será otro tema.

Ok, ahora procedo a subir este archivo a virustotal.com y el panorama cambia drásticamente:

virustotal1
Ahora ya encuentra 22 detecciones! es decir, 22 antivirus encuentran malware en el archivo. Y bueno, solo 22 de 62 antivirus lo detectaron…para pensar. Este archivo puede ser la entrada para el ransomware, como lo estamos viendo en el artículo, pero también para instalar troyanos de control remoto, es decir, activar la cámara web en la distancia, instalar un keylogger que capture todo lo que se escriba en el teclado, en fin, de todo.

En los otros correos, en el adjunto tratan de camuflar el nombre, por ejemplo, el de Movistar viene con un adjunto “facturamovistar763894pdf.uue, como para engañar con el nombre PDF, pero al final es un RAR. La misma cosa

Como ven, estos adjuntos dejan claro que no hay que descargar nada! Estamos viendo precisamente como detectar lo falso de estos mensajes como para dejar muy claro que no hay que creer, ni siquiera un “¿será que es verdad?” Para nada! En este caso la DIAN deja un claro mensaje en su página, pero igual aplica para todo lo demás. (http://www.dian.gov.co/)

dianaviso
Entonces, no asustarse, dudar, omitir, pero pues si aun son de los que dicen “y si es verdad? No descarguen nada y comuníquense directamente con los operadores que dan las diversas paginas institucionales. O en este caso, hablen con su contador…como hago yo con mi contadora estrella, mi esposa, a la que llaman muy seguido sus clientes angustiados por estas cosillas.

Esta es entonces una de las principales formas de propagación del ransomware, un alto riesgo que se puede evitar al tener estas sencillas precauciones en los correos. Que no les pase a ustedes

Bueno, les dejo algunas otras imágenes entretenidas, para una tarde de diversión.

- El comparendo por fotomulta, y lo más curioso es que uno lo abre y después recuerda que no tiene ningún vehículo!  jeje

comparendo

- Este de DataCredito, además de venir de esehospitalario.gov.co, este mensaje entrega una aviso de detección de fraude, pero a veces no prestamos atención a esto. Lo verde lo puse yo, no viene así de resaltado.

datacredito

Y bueno, todo por hoy. Mas adelante analizaremos las otras formas de propagación. Les deseo una sana y segura convivencia en la red.

Luis Miguel Angel C.

Escribir un comentario

Código de seguridad
Refescar

redes
Canal de youtube Pinterest Instagram

kaspersky