Las noticias de la semana: se sigue hablando de Heartbleed y Apple resuelve sus problemas de encriptación

El primer troyano para Android en EE.UU., actualización de OpenSSL en el caso Heartbleed, Apple soluciona una vulnerabilidad SSL en iOS y OSX, minería de bitcoin en la Iowa State University.

Noticias semana

En las noticias de esta semana, seguimos hablando de OpenSSL y de su famoso bug Heartbleed. Apple ha  solucionado un problema de encriptación presente en los sistemas operativos iOS (para dispositivos móviles) y OSX (ordenadores). AOL y sus usuarios han sido involucrados en un serio problema de seguridad. La Iowa State University ha sido atacada por unos cibercriminales que han intentado explotar sus recursos informáticos para operaciones de minería de bitcoins.

La saga continúa

Todavía se está hablando sobre la gravedad y la profundidad del bug Heartbleed que ha afectado OpenSSL.  El debate se centra sobre todo en los efectos a largo plazo para el sistema de certificados digitales, que sirven para verificar la fiabilidad de una página web, y que han evidenciado la eficacia y al mismo tiempo los fallos del sistema de encriptación.

De todas formas, esta semana es un poco distinta porque por primera vez las empresas han empezado a buscar de verdad unas medidas para prevenir accidentes parecidos en el futuro.

El primer troyano para Android en EE.UU., actualización de OpenSSL en el caso Heartbleed, Apple soluciona una vulnerabilidad SSL en iOS y OSX, minería de bitcoin en la Iowa State University.

Una nueva organización, llamada The Core Infrastructure Initiative, está construyendo un fondo multimillonario que servirá para soportar los proyectos de código abierto, vitales para la seguridad de la Red. OpenSSL es el primer proyecto que recibirá los fondos, recaudados por Linux Foundation, Microsoft, Facebook, Amazon, Dell, Google y otras importantes empresas TI. También la Mozilla Corporation hace su parte, poniendo una recompensa de 10 mil dólares para los investigadores que consigan encontrar una vulnerabilidad grave en la librería del nuevo certificado de verificación que la empresa quiere añadir a la versión 31 de su navegador Firefox el próximo verano.

Apple soluciona un bug en el certificado SSL de iOS y OSX

Apple ha publicado unos parches para solucionar un grave fallo de seguridad presente en muchas versiones tanto de iOS como de OSX. Esta vulnerabilidad podría permitir a un cibercriminal interceptar los datos de conexiones SSL cifradas. En pocas palabras, gracias a este bug, un cibercriminal podría leer el contenido de unos mensajes, tanto comunicaciones como información sensible.

Se trata de uno de los varios bugs que la empresa de Cupertino (California) ha solucionado en sus dos principales sistemas operativos. Aunque tal vez no sean muy graves, estos fallos en la encriptación podrían llevar a consecuencias más importantes. Los usuarios de estos sistemas operativos deberían entrar lo antes posible en el App Store e instalar las actualizaciones.

Problemas para AOL

No sabemos si hoy en día hay muchos usuarios que utilizan las cuentas de correo de América On Line, pero hay que señalar una noticia importante que les interesará: un número no bien definido de cuentas de AOL Mail ha sido víctima de un ataque de “spoofing”. Una vez en las cuentas, el cibercriminal o los cibercriminales responsables de la botnet empezaron a enviar mails de spam a los contactos de las cuentas comprometidas. AOL ha confirmado tener constancia del hackeo, aunque AOL no ha definido el acontecimiento con estos términos, y no se sabe cuántos usuarios hayan sido afectados y cuántos mails de spam se hayan enviado. Lo curioso es que AOL ha declarado que es improbable que las cuentas de correo hayan sido comprometidas, sino que ha sido un caso de “spoofing”.

Como precisado por AOL, los ataques de spoofing consisten en emails de spam que aparentemente vienen de la víctima pero técnicamente llegan de la cuenta mail del cibercriminal y se envían a través de su servidor. En pocas palabras, AOL  afirma que no hubo un hackeo en gran escala sino que los cibercriminales estaban “imitando” las cuentas de los usuarios. De todas formas  esto no explica cómo los hackers han llegado a tener en sus manos la lista de los usuarios, así que faltan muchas cosas por contar.

Troyanos SMS en Estados Unidos

Los troyanos SMS que envían mensajes a números Premium no son una novedad. La estafa es la siguiente: los cibercriminales obligan a las víctimas a descargar un troyano en sus dispositivos móviles. El troyano obtiene la capacidad de enviar SMS al dispositivo infectado. El troyano luego envía SMS a números de alta tarificación controlados por los cibercriminales o por alguien en lugar de los cibercriminales. Los únicos que pagan son las víctimas de los dispositivos infectados.

Como hemos dicho, es algo que pasa con frecuencia. Lo raro es que, por razones que desconocemos, los troyanos SMS todavía no habían llegado a Estados Unidos. Pero la situación ha cambiado esta semana, ya que los investigadores de Viruslist han encontrado un troyano para Android dirigido a los usuarios estadounidenses.

Como si esto ya no fuera suficiente, FakeInst (es el nombre del troyano) ha atacado también a los usuarios de Android de otros 65 países, entre ellos Alemania, Francia, Finlandia, Hong Kong, Ucrania, Reino Unido, Suiza, Argentina, España, Polonia, Canadá y China.

La Iowa State University atacada para ganar… ¿bitcoins?

Pues, así es. Una importante universidad estadounidense ha sido hackeada y su potencia computacional ha sido utilizada para generar bitcoins, moneda electrónica que ha vivido muchos altibajos durante el último año. Con suficiente potencia computacional, se pueden resolver algunos algoritmos y generar de esta manera nuevos bitcoins. Gracias a este procedimiento, llamado minería de Bitcoin, se puede ganar mucho dinero y sabemos que los cibercriminales siguen el rastro del dinero. La minería ilegal de bitcoins no es una práctica nueva, pero lo nuevo es que ahora también grandes instituciones educativas como la Iowa State University pueden ser objetivos apetecibles. Pero esto no es todo. Con esta operación, se han comprometido los datos de la seguridad social de más de 30 mil estudiantes.

Consejos