Incidentes

¿Una red de (des)confianza?

En la rueda de prensa internacional que realizamos en Moscú a principios de febrero, hablamos sobre la disolución de la confianza en Internet y discutimos el impacto que tienen los certificados digitales comprometidos y la posibilidad de subvertir a las Autoridades de Certificación.

En parte, nuestras reflexiones se basaron en el abuso de confianza causado por los certificados digitales robados de Stuxnet.

Por desgracia, parece que el momento de hacer los cambios está llegando antes de lo esperado. La semana pasada, apareció otro ejemplo de la pérdida del principio básico de confianza en la red causado por las fallas de coordinación entre una Autoridad de Certificación comprometida y los navegadores web. La Autoridad de Certificación comprometida y los desarrolladores de navegadores tenían que agregar a su lista de rechazados una serie de certificados digitales para sitios valiosos, que los atacantes habían creado para su propio uso. Como resultado, los atacantes adoptaron la credibilidad de algunas de las empresas más importantes de la red, respaldados por la Autoridad de Certificación. Mozilla ofreció una breve descripción del impacto de este problema: “Se puede redirigir a los usuarios de una red comprometida a sitios web en los que se utilizan los certificados fraudulentos para hacerles creer que se encuentran en sitios legítimos. Esto los puede persuadir para que revelen información personal como sus nombres de usuario y contraseñas. También los puede convencer de que descarguen programas maliciosos, si es que piensan que la descarga se encuentra en un sitio de confianza”.

¿Qué significa esto? Esta es una lista de algunos de los sitios afectados:

login.live.com
mail.google.com
www.google.com
login.yahoo.com (3 certificados)
login.skype.com
addons.mozilla.org
“Global Trustee”

En teoría, has podido haber recibido un correo electrónico y haber pulsado en un enlace que contenía, o tu navegador pudo haberte redirigido a un sitio que se parece a cualquiera de los mencionados arriba. El navegador indicó que confiaba en el sitio, así que escribes tu nombre de usuario y contraseña. Por alguna razón, te redirigen de nuevo al mismo sitio y vuelves a escribir tus datos. En ese momento, un atacante compromete parte de tu identidad y de tu acceso a tu cuenta de correo electrónico y mensajería instantánea. Repito: esto es sólo en teoría.

Haciendo un seguimiento de este problema, un largo artículo (en inglés) sobre los asuntos técnicos del incidente anunció que se ha creado el “proyecto crlwatch”.

El proyecto crlwatch ayudará a controlar la revocación de certificados en respuesta a problemas de seguridad de este tipo.

Se están publicando más datos mientras escribo esta entrada. La iré actualizando a medida de que aparezcan más detalles.

¿Una red de (des)confianza?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada