LummaStealer y el impacto masivo que registró México durante 2025.

La versatilidad del malware es ya una constante en cada informe de ciberamenazas anual. Por ello, mantener actualizado nuestro conocimiento sobre los ciberataques es indispensable para el profesional y también para los usuarios.

Dentro de este escenario, hay una amenaza particular que requirió especial atención: el Lummastealer. Un tipo de malware especializado en dificultar la detección de técnicas de cifrado y dejar "Backrooms" disponibles para ataques futuros.

 

Fuentes de relevancia como lo es el informe de: ESET Threath Report del año pasado, han confirmado un crecimiento desmedido reciente y que, incluso en países como México, su presencia ocupó el 70% de las amenazas detectadas.

Afortunadamente para la mayoría de usuarios con antivirus activos, han ido recibiendo actualizaciones constantes sobre las modificaciones que el malware ha realizado, y únicamente requiere que el usuario acceda a los cleaners para poder controlar el riesgo.

 

Casos como Lumma Stealer son únicamente uno de los ejemplos más recientes de la distribución de ciberamenazas que se replican a diario por nuestros entornos digitales. El paso más efectivo para prevenir su impacto dañino siempre será conocerlas y tomar medidas precautorias.

 

ONLYFAKE da inicio a la nueva era de la falsificación utilizando IA

Desde hace años, el uso de herramientas digitales han tenido una participación indispensable en la falsificación de documentos oficiales como lo han demostrado las decenas de legislaciones en todo el mundo al respecto. Sin embargo el surgimiento de la IA para diversos fines de aceleración de actividades que antes requerían horas de esfuerzo humano han acelerado también la aparición de cibercrímenes que antes eran mucho más complejos de elaborar.

El caso de ONLYFAKE es particularmente alarmante para el entorno de la investigación digital, ya que la plataforma ha puesto al alcance del usuario de internet no especializado una peligrosa herramienta de falsificación de documentación oficial a un precio accesible para millones de bolsillos.

El sitio asegura utilizar un sistema de IA para duplicar todos los elementos que permiten identificar a un documento de identidad como legítimo. Si bien la impresión representa un reto adicional, muchas personas han olvidado que muchos trámites se han digitalizado, por lo que se piden únicamente documentos escaneados, siendo este uno de los puntos de mayor preocupación para los especialistas.

Si bien en estos momentos ha arrancado su uso en la DarkNet (ya que el nombre del dominio se diferencia únicamente por un caracter con otro sitio web), si esta herramienta logra una financiación lo suficientemente lucrativa, es probable que decida extenderse aún más a la surface web y también haya otros cibercriminales que desarrollen sitios con el mismo servicio.

Finalmente otro punto vulnerable que requiere gran atención se basa en el enorme riesgo que representa la base de datos que la plataforma vaya acumulando. Ya que el robo de identidad quedaría a disposición de quienes reciban el contenido digital de las identificaciones.

El Banco Chino ICBC sufre un ataque de Ransomware y afecta el mercado del Tesoro de EEUU

Desde que el cibercrimen se posicionó como la actividad delictiva más lucrativa de la historia a nivel mundial, el sector financiero se convirtió en el preferido por los ciberatacantes enfocados en ofensivas contra compañías.

La razón resulta un tanto obvia, al ser el ámbito donde por lógica se acumula el capital electrónico a nivel mundial; una vulneración a su sistema implica una alta probabilidad de obtener ganancias económicas directas.

Uno de los ejemplos más recientes y de impacto internacional, fue la vulneración al banco chino ICBC, una de las instituciones financieras más importantes de China, que al mismo tiempo generó consecuencias en el panorama internacional.

El ciberataque registrado fue un ransomware y al parecer, de acuerdo a la postura oficial la información comprometida no significó una pérdida importante como para afectar las actividades a mediano plazo.

Sin embargo, al parecer esto sí provocó que sus actividades se detuvieran momentáneamente y a su vez, trajo consigo un efecto cadena que llegó al mercado del Tesoro estadounidense.

Este es solo uno de los ejemplos más recientes que demuestra cuan fácil puede colapsar el sistema económico mundial a partir de un ciberataque a gran escala, ya que si tomamos como base las consecuencias que tuvo un ataque de ransomware "menor", si alguna institución financiera estadounidense, china, inglesa, alemana o de algún otro país que concentre una importante cantidad de recursos en el mundo llega a ser víctima de una vulneración de alto impacto, esta situación podría materializarse.

El 2024 se perfila como el año del cibercrimen a través de la IA

A poco más de mes y medio para que el 2023 culmine, se puede considerar al pasado 2022 como el año donde la Inteligencia Artificial se posicionó como un recurso común más allá de la industria tecnológica, pero fue en el actual 2023 donde aconteció la explosión mediática y de uso cotidiano para el usuario común.

Aunque la mayoría de usuarios se concentraba en agilizar varias actividades, y otro tanto únicamente hacía uso de estas herramientas con fines puramente de ocio; era de esperarse que los cibercriminales también empezaran a darle uso para sofisticar sus ataques.

Por razones de prevención, y en consideración a la alta cantidad de visitantes en este blog, no se profundizará ni se darán instrucciones específicas de cómo se puede utilizar una IA para realizar ciberataques. Pero sí se pueden dar indicios de algunas actividades que los cibercriminales han realizado con fines maliciosos:

• En un primer ejemplo, nos encontramos con el uso de la escritura de código para la creación de malware, destacando principalmente para el diseño de ransomware, convirtiéndose en uno de los ciberataques más comunes.
• Otro uso inadecuado ha sido en la creación de páginas apócrifas, las cuales ahora gracias a la IA, se pueden realizar con una velocidad tan avanzada que se pueden crear decenas simultáneamente, favoreciendo el robo de información y las estafas.
• Adicionalmente otra faceta preocupante es la falsificación de voces, vídeos e imágenes; ya que si bien las notificas falsas han sido una constante durante más de una década, ahora el realismo de este material generado ha multiplicado su impacto.

Es de esta manera como se ha abierto un nuevo panorama para la cibercriminalidad, sin embargo, también nos hemos encontrado con nuevas herramientas de ciberseguridad que han sido potenciadas por la IA, y depende de los profesionales en el área realizar los estudios correspondientes, intentando equilibrar el complejo escenario de nuestra seguridad de la información.

Se detecta un troyano preinstalado en miles de dispositivos chinos Android disponibles en Amazon y Mercado Libre

Durante varios años, la abrumadora presencia de China en la exportación de sus dispositivos tecnológicos ha sido una costumbre para la mayoría de países en el mundo. La principal razón reside en primer lugar en sus bajísimos precios en comparación al resto de exportadores, así como en su variedad de sus modelos y en el acceso a dispositivos con funciones y características que muchas veces pueden igualar o incluso superar las que ofrecen marcas de otros países en sus líneas premium.

Como era de esperarse de este crecimiento comercial, muchas hipótesis se crearon alrededor de esta industria; muchas veces exageradas y con un sospechoso origen por parte de algunas empresas europeas que se veían seriamente afectadas por esta oleada de productos que superaban su oferta.

Teniendo en cuenta este contexto, es indispensable para el investigador no crear prejuicios y esperar a emitir opiniones profesionales hasta que haya evidencia disponible, como fue en este caso.

La firma de ciberseguridad Human Security ha informado que millones de dispositivos, la mayoría de ellos diseñados para instalarse en Android TV han sido fabricados con malware preinstalado, aprovechando que el sistema operativo utilizado está basado en el modelo abierto de AOSP.

Este malware fue denominado por los especialistas como badbox, y se calcula que son más de 15 millones de dispositivos los que han sido exportados desde China.

La complejidad de este problema reside en que este puede ejecutarse de forma remota desde el momento en que el dispositivo es instalado o cuando se conecta a internet, lo que permite tomar el control del equipo y extraer toda la información que el artefacto recibe. Además de que preliminarmente se han encontrado bases de datos que son colocadas a la venta en la darkweb, aunque esto último deberá corroborarse en los próximos meses.

Asimismo se ha liberado una lista de los modelos donde se ha encontrado este malware, intentando advertirle a usuarios particulares, así como empresas e instituciones educativas. A continuación se compartirá con fines preventivos:

• T95 
• T95Z 
• T95MAX 
• X88 
• Q9 
• X12PLUS 
• MXQ Pro 5G
• J5-W

El ciberataque masivo al Departamento de Salud de EEUU y sus cientos de miles de víctimas

Las agencias gubernamentales de las principales potencias industriales en el mundo suelen volverse blanco de tentativas de ataques casi diario, por lo que sus sistemas de defensa deben estar en permanente guardia; a pesar de esto en ocasiones algunos grupos cibercriminales son capaces de completar exitosamente alguna clase de ciberataque.

Tal es el caso del grupo cibercriminal "CLOP" el cual completó un robo de datos masivo al Departamento de Salud de Estados Unidos, siendo reportado por importantes medios como CNN o la BBC.

Las cifras se calculan en alrededor de 100,000 registros personales. Esta situación adquiere un agravante en dicho país, ya que como se sabe el número de seguridad social representa uno de los recursos de identificación más recurrentes.

Hasta el momento de la redacción de esta entrada, los registros no han sido publicados, sin embargo, la posesión de estos por parte de los cibercriminales les permite una extensa variedad de oportunidades de beneficio a partir de la suplantación de identidad y su uso para distintos fines.

Este ataque se dio a conocer por obligación legislativa, ya que en Estados Unidos los organismos públicos están obligados a reportar cualquier ciberataque, que tenga un mínimo de 100,000 víctimas. Si bien el congreso ya ha sido enterado, aún no se han anunciado medidas oficiales.

En este tipo de vulnerabilidades, el primer paso de los equipos de respuesta es determinar el fin de la información robada, ya que las medidas que se deben tomar frente a una divulgación pública son muy distintas a aquellas donde se colocan a la venta en la DarkNet o que, como ya se mencionó si estas se robaron con el fin de crear suplantaciones de identidad de forma masiva.

La expansión de malware a través de software apócrifo de ChatGPT

La piratería o falsificación de software es un tema que continuamente se ha tocado en las entradas de este blog, incluso ha sido de las discusiones más profundizadas debido a las implicaciones ideológicas y de principios que hay alrededor de esta práctica.

Y es que también, una de las principales opciones de distribución de malware es a través de este medio: el software apócrifo que contiene malware. Y es un nuevo caso el que compete a esta entrada: el de malware asociado a versiones de el famoso ChatGPT.

Si no te encuentras familiarizado con lo que hace ChatGPT exactamente, debes saber que es un ChatBot (un programa diseñado para interactuar con el usuario a través de conversaciones de chat) que utiliza Inteligencia Artificial (AI por sus siglas en inglés), desarrollado por la empresa OpenAI la cual en un principio había colocado productos gratuitos, pero a medida que el proyecto se consolidó y comenzó a tener una creciente actividad de usuarios, así como una base de datos lo suficientemente extensa para ser comercializada, su servicio pasó a ser de paga y esto ocasionó malestar a quienes utilizaban su versión beta de forma libre.

Naturalmente esta decisión, acarreó una serie de reacciones inmediatas que muchos cibercriminales decidieron aprovechar para su beneficio: versiones gratuitas, extensiones, complementos y hasta versiones avanzadas del mismo servicio comenzaron a ofertarse en sitios de software libre y de piratería: a lo que muchos usuarios sin considerar en los riesgos han decidido instalar estos programas.

Como ha sucedido en la instalación de software no licenciado de aplicaciones legitimas (por ejemplo, en el comentado caso de las versiones de WhatsApp), empresas de ciberseguridad, como ESET han encontrado que el malware que contenían este falso contenido se enfocaban en la recolección de memoria cache y robo de datos de acceso, principalmente en cuentas de Facebook (las cuales son relativamente fáciles de vulnerar para quien ha robado información de usuario y contraseña).

Por esta razón se debe ser en extremo cuidadoso cuando se realiza la instalación de programas sin licencia y verificarlos previamente, ya que los problemas que estos causan pueden llegar a ser mucho más perjudiciales que el ahorro del pago por una licencia original.

WhatsApp Pink y las aplicaciones alternativas que terminan con millones de víctimas

La piratería existe aún antes del nacimiento de la computación, es una respuesta natural del ser humano que se origina por diversos factores frente a una versión "oficial" que aspira a ser la única.

No obstante, en la actualidad, en un mundo donde los sistemas computacionales ocupan buena parte o incluso la mayor parte de la vida de billones de seres humanos en el mundo, la piratería ha sido adoptada como una práctica común donde muy cerca del 100% de usuarios frecuentes de internet han utilizado programas no legítimos distintos al fabricante.

Es en este tenor donde las aplicaciones han sustituido decenas de actividades diarias, también han ido encontrando sus propias versiones apócrifas; algunas que eliminan la opción de pago por su uso y otras que, en el caso de que sean gratuitas ofrecen mayores opciones y herramientas que la aplicación original. Tal es el caso de Whatsapp, la mayor plataforma de mensajería instantánea de la actualidad en el mundo occidental. Esta herramienta es una de las que mayores alternativas no oficiales exitosas ha desarrollado, algunas de ellas muy peligrosas.

Entre estas populares versiones se encuentran el Whatsapp "Gold", Black" y "Blue", cada uno con distintas herramientas que permiten tomar ventajas sobre la privacidad del Whatsapp oficial, razón por la cual han sido millones de usuarios que se han arriesgado a instalar la aplicación en estos móviles, pero ¿qué consecuencias han traído para quienes cuentan con este software?

Naturalmente la exposición al malware se incrementa notoriamente al utilizar software desarrollado por terceros sin autorización, ya que incluso la aplicación oficial ha tenido problemas de vulnerabilidades y polémicas con el uso de datos de sus usuarios, esta situación se agrava al no haber regulaciones claras cuando un desarrollador es desconocido en el medio.

Entre las consecuencias que ya se han registrado oficialmente entre las víctimas de estos programas, han sido principalmente el spyware, es decir un malware cuya función es espiar en tiempo real información que el usuario comparte, comprometiendo crucialmente su privacidad; otro malware bastante común han sido los keyloggers los cuales son capaces de registrar cada palabra escrita para tener acceso a contraseñas y credenciales escritas en el dispositivo.

Ahora, en una de las versiones más recientes se ha popularizado el "Whatsapp Pink", el cual es particularmente más riesgoso que algunas de las opciones más populares de esta plataforma.

La razón, es que se ha confirmado que varias APKs contienen un malware muy agresivo que está específicamente dirigido hacía aplicaciones bancarias y de pago, con el propósito de realizar cargos no reconocidos o transferencias hacía cuentas internacionales. Si bien algunas instituciones bancarias cuentas con factores de autenticación, algunos malware son capaces de acceder (de acuerdo a los permisos otorgados) a los SMS o a la sección de llamadas, obteniendo así códigos por distintas vías, autorizandose ellos mismos las transacciones.

Esta es una de las mecánicas de ataque que se encuentran específicamente detalladas y esto permite alertar adecuadamente a cada usuario sobre la exposición a la que se enfrenta al hacer uso de este tipo de contenido.

El ciberataque a FEMSA y los grupos cibercriminales involucrados

Uno de los pocos ciberataques que atrajeron buena parte de atención por parte de la ciudadanía en general, fue el ocurrido en abril de 2023, donde la empresa FEMSA (la embotelladora y distribuidora responsable del producto Coca Cola en México y algunas zonas latinoamericanas, así como del embotellamiento y distribución de otras bebidas carbonatadas y alcohólicas); todo este revuelo se debió probablemente a que la trascendencia de la compañía en México es altísima debido a la fuerte presencia refresquera que existe en el país.

En principio se discutía acerca de la posibilidad de que existiera una interrupción de algunas de sus actividades (por lo que basado en el volumen de ventas que presenta esta empresa, sería económicamente desastroso), sin embargo, al menos en los pronunciamientos oficiales no existió alguna aceptación respecto a esta probable interrupción e incluso días después se llegó a desmentir.

Aunque ese escenario pueda parecer sorprendente a algunos recién iniciados en el estudio del cibercrimen, los alcances de un ciberatacante en la actualidad le permiten realizar vulnerabilidades que dificulten toda la operatividad de una empresa, incluso una de alcance internacional como la propia FEMSA.

Lo comunicado -semanas después- es que los propios directivos han confirmado la sustracción de datos financieros de la compañía y han advertido acerca de la posibilidad de que estos lleguen a ser filtrados públicamente, sin dejar de tomar esto como algo alarmante; ya que, de acuerdo a sus declaraciones la información sustraida no comprometerá el funcionamiento de la compañía.

Para finalizar, una situación inusual ha ocurrido respecto a los responsables. Es bastante común que los grupos cibercriminales se adjudiquen el ataque, mas, en esta ocasión fueron distintas redes cibercriminales quienes asumieron el ataque, en primera instancia fue el grupo Pro-Rusia: "Stormous", posteriormente fue el grupo cibercriminal Black Cat y momentos después, otra organización asociada a ALPHV decía ser partícipe de este ciberataque.

Si bien las redes cibercriminales que suelen adjudicarse vulneraciones para aumentar su prestigio son relativamente comunes, en este caso ocurrió que todos ellos proporcionaron capturas y datos confidenciales que indicaban sí estaban detrás de la perpetración ilegal. Hasta estos momentos, aún queda por definir con precisión al autor o autores detrás de este incidente.

¿Qué hay detrás de la noticia del hackeo a ChatGPT y la supuesta filtración de 100000 cuentas?

Aunque la mayoría de los medios de comunicación no han atendido este suceso, entre la comunidad de ciberseguridad ha causado gran alarma enterarse que, de acuerdo a la empresa de ciberseguridad "Group IB", la plataforma de ChatGPT ha sido vulnerada y la base de datos de más de 100,000 cuentas puede estar comprometida, ya que de acuerdo a los cibercriminales es esta la cantidad de información que han colocado a la venta.

Puedes conocer la fuente original de la noticia aquí.

¿Qué implica esta noticia? Cuando un usuario sin experiencia lee la nota, puede considerar como real la filtración y difundir la información sin ser verificada. Sin embargo, con la debida experiencia en el área, se sabe que este tipo de información debe tomarse con cautela y si bien existe la probabilidad de que esta vulnerabilidad sí haya ocurrido, hasta el momento de redactar la presente entrada (27 de junio de 2023), no existe evidencia que compruebe este incidente.

Si bien en una DarkNet es común encontrar venta de paquetes de datos obtenidos ilegalmente, y la mayoría de las filtraciones han ocurrido por ese medio, un verdadero especialista sabe que también algunos cibercriminales ya sea independientes o contratados por gobierno o incluso empresas rivales, suelen hacer uso de estos medios para "exponer" bases de datos ficticias e incidir en la valuación de una empresa o la reputación de un país que normalmente suelen encontrarse en conflicto, cuando ocurren estas supuestas filtraciones.

¿Cómo se puede corroborar la originalidad de este robo de información? La única vía segura es que alguien realice la transacción que el supuesto criminal pone a la venta, y una vez que la reciba decida hacerla pública.

Aunque parezca algo inviable, en muchas ocasiones son los propios cibercriminales quienes deciden filtrar públicamente los datos robados, en represalia cuando las empresas o gobiernos no responden a sus extorsiones. En otros casos, se sabe (aunque esto no se hace oficial debido a razones éticas y de reputación) que son las propias empresas quienes compran su información robada a través de la DarkNet, evitando así que termine siendo difundida por terceros y tampoco dejando registros de una transacción oficial, ya que se realiza por medios ilegítimos.

El ciberataque a la Fiscalía de Quintana Roo y el data breach de sus registros

Dentro de la "reducida" (en comparación a otros sectores profesionales mucho más numerosos) comunidad de investigadores en cibercriminalidad, es muy común acostumbrarse a que pocas noticias de ciberataques lleguen a filtrarse a los principales medios de comunicación, ya sea porque estos temas son difíciles de tocar para quienes redactan las notas debido al nivel de conocimiento requerido para redactar apropiadamente, o en un terreno de mayor especulación, debido a que esto significaría mostrar vulnerabilidades de poderosos organismos públicos y privados.

Si bien no quedó claro la razón por la cual el caso de data breach que se presentó a inicios del mes de enero de 2023 dentro de la Fiscalía de Quintana Roo no llegó a recibir una cobertura mediática considerable, sí nos hemos encontrado que la información filtrada corresponde a una enorme cantidad de registros de datos confidenciales (al menos así se planteaba en el mensaje de difusión de la información).

No obstante, al investigar sobre el tratamiento que se le dio a este incidente de parte de los servidores públicos involucrados, se encontró que existen declaraciones y comunicados oficiales, donde "aclaran" que esta información corresponde a "registros menores" y que la sensibilidad de los datos filtrados, no tienen la gravedad que se ha mencionado por parte del autor de la publicación donde se dio a conocer la respectiva filtración.

Es menester recordar que en los casos de ciberataques a gobiernos (y esto no se restringe a los gobiernos mexicanos) las versiones oficiales y las de los cibercriminales suelen distanciarse notoriamente (es oportuno recalcar que no se debe crear un sesgo de creencia basado en que las versiones de los gobiernos sean mentiras o que las de los ciberatacantes sean verdaderas).

Recordemos que cuando el ataque de ransomware ocurrió en las bases de datos de PEMEX, las instancias oficiales minimizaron el incidente afirmando que "únicamente" había sido menos del 5% de sus equipos afectados.

Por ello, para los investigadores de debe contar con un criterio muy agudo para evitar caer en sesgos de preferencias ideológicas o políticas, ya que ambas partes pueden estar modificando sus aseveraciones con base en sus intereses.

Lockbit, la evolución del ransomware a una poderosa agrupación cibercriminal internacional

En este blog comúnmente se abordan tendencias que ya son una problemática para la ciberseguridad a nivel mundial, o están encaminadas a serlo. Tal es el caso de Lockbit, que en una entrada pasada lo considerábamos como un ransomware de alto riesgo para instituciones del sector público y privado, como prueba de lo mencionado se comparte el enlace con redireccionamiento a dicha entrada: LockBit el malware de mayor amenaza creciente para México y la comunidad internacional en el 2023

En la mencionada publicación, se clasificaba a Lockbit como un ransomware agresivo y de fácil expansión, sin embargo, esta denominación fue utilizada por sus creadores para identificarse con el mismo título a la agrupación, la cual comenzó con una serie de ataques dirigidos a objetivos específicos.

Si bien las agrupaciones cibercriminales son un común denominador en la actualidad, su nivel de peligrosidad se mide no solo por el historial de sus miembros, sino por los antecedentes de sus ataques. Y en este caso, las "hazañas" recientes de estos cibercriminales, han ganado un respeto considerable, por la magnitud de algunos ciberataques, siendo el realizado al servicio postal británico uno de los más complejos, considerando que incluso las actividades de servicio al público se vieron paralizadas durante varios días.

Una mayor celebridad les generó una de sus más recientes decisiones: cuando después de cifrar archivos de un hospital infantil, sus miembros tomaron conciencia de las características de las víctimas de este ciberataque y ofrecieron de manera gratuita el software para poder desinstalar dicho ransomware, además de ofrecer una disculpa pública.

Es en este escenario donde se clasifica a Lockbit como una organización criminal de alta expansión y niveles de riesgo que pueden interferir en la prestación de servicios de los países más industrializados a nivel mundial. Por lo que a partir de esta entrada se realizarán enfoques específicos hacía este equipo, señalando aquellas actividades más trascendentales que los lectores del presente blog deben conocer.

El riesgo de los anuncios de Google y su redireccionamiento a páginas falsas

Todos los usuarios en internet hemos automatizado procesos de manera habitual, ahorrando así esfuerzo y tiempo en nuestras actividades digitales.

Una de estas mecánicas que se volvió tan recurrente como desapercibida, fue el visitar sitios web a través de los buscadores, debido a que es muy común desconocer exactamente cómo se escriben las direcciones URL.

Desafortunadamente, como suele suceder en aquellas actividades donde los usuarios muestran descuidos asiduos, los cibercriminales aprovechan estos comportamientos que los ven como una enorme oportunidad de tomar ventaja de omisiones que pasan inadvertidas para la persona común.

¿En qué consiste el malware o phishing por anuncios publicitarios? Se tomará como ejemplo al buscador Google, ya que este concentra un dominio abrumador sobre el resto de sus competidores, incluso sumando las visitas totales de todos estos juntos. 

Para explicar este proceso, lo ejemplificaremos con un usuario promedio que busca descargar su estado de cuenta bancario y no recuerda el nombre de dominio de su banco. Por lo que decide ingresar a Google y escribir el nombre de su banco en el buscador para darle click al primer resultado encontrado.

En un escenario benigno, el usuario accede sin mayores contratiempos, ya que el resultado principal es el sitio web legitimo debido a que el buscador lo posicionó en el primer lugar debido a la valoración de los metadatos en la web.

Desafortunadamente, hay otras ocasiones que suceden en una pequeña frecuencia, aunque con un crecimiento cada vez más notorio. Ya que, haciendo uso del posicionamiento que ofrece Google a través de su servicio de anuncios, estos suelen colocarse en los primeros resultados de una búsqueda.

Basta con crear un sitio lo suficientemente similar en cuanto a características visuales, para posicionarlo a través de pagos de anuncios en el buscador de Google. Esta suplantación puede resultar enormemente efectiva, para aquellos clientes que no reparan en detalles de seguridad para identificar sitios dedicados al phishing.

Por ello, la principal recomendación que se puede realizar al respecto es cerciorarse del sitio en el que se está navegando. Se pueden utilizar apoyos externos, como visitar las redes digitales del sitio web para compararlo con el enlace oficial, también se pueden realizar sitios de verificación del certificado digital como site 24/7.

Tor Project el navegador más popular para acceder a la DarkNet víctima de ataques DDoS

Desde hace más de una década el proyecto Tor se ha considerado como el principal recurso de acceso a la DarkNet (vulgarizada como Deep Web), esto ha atraído no solo a especialistas de seguridad informática, activistas o periodistas que buscan difundir noticias de alto compromiso o cibercriminales que se benefician del anonimato para compartir contenido ilegal. También atrajo a millones de curiosos alrededor del mundo, que siguiendo las modas digitales de influencers y youtubers, se adentraban a navegar en foros para comprobar lo que leyendas digitales surgieron sobre estos espacios.

Esta popularidad ha obligado a sus desarrolladores a aumentar la capacidad de sus servidores para hacerlo funcional a cada usuario del browser. 

También, como era de esperarse algunos gobiernos o miembros de círculos empresariales que se han visto afectados por la difusión de material que atenta contra sus intereses a través de la DarkNet han intentado por mecanismos legales en algunas ocasiones, y medios de ciberofensiva en otras ocasiones intentar dificultar la actividad de TorProject.

Desafortunadamente en meses recientes, parece que algunos de estos ataques han resultado efectivos, ya que en el propio blog del browser han confirmado la existencia de ataques DDoS 

Si bien la autoría de sus ataques aún es desconocida, sí se ha podido corroborar que estos han ralentizado la funcionalidad del navegador, y que desafortunadamente estos ataques han sido continuos por más de 7 meses. Explicando que en algunas ocasiones la red ha estado más lenta en los puntos donde se han registrado una mayor cantidad de ataques.

Afortunadamente numerosos desarrolladores se han aliado para apoyar en distintas formas a la restauración de las actividades para regresarlas a su normalidad. Entre las que se encuentran:  Ocelot, Quiet, Wasabi Wallet / zKSNACKs, Fedimint, Trezor, OpenSats, y la Freedom of the Press Foundation.

Una vez que TorProject se estabilice se comunicará por esta vía.

¿Cómo verificar si mis cuentas de redes o números han sido atacados? Sugerencias para comprobarlo

La cantidad de noticias sobre ciberincidentes a diario que las personas con un mínimo de interés en el tema que pueden encontrar, resulta abrumadora para muchas de ellas; puede resultar igualmente en preocupación sobre la protección de los propios datos y preguntarse si existe alguna forma de consultar individualmente si nuestras direcciones de correo electrónico se encuentran en una base de datos.

Afortunadamente la respuesta es afirmativa, y no solo eso, sino que los sitios web han desarrollado portales de una consulta extremadamente simple y rápida, aún para las personas con menores conocimientos en navegación online.

A continuación se agregan 3 opciones en donde podrás consultar las bases de datos, con un redireccionamiento inmediato desde este blog:

• Cybernews. Probablemente el portal más completo de las 3 opciones, una página que está alojada en el sitio de cybernews, el cual provee otros servicios además de la consulta de data breach, en la imagen se puede observar la advertencia que recibirás en caso de que tus datos han sido vulnerados e incluso pueden proporcionarte en qué fuga ha sido distribuida (se utilizó una dirección extremadamente genérica, lo que haría muy probable que ya haya sido atacada), en caso de que quieras tener un panorama más completo sobre el ataque que recibiste. Si tu información no se ha visto comprometida en sus bases de datos, aparecerá una respuesta normal sin mayor alarma.

https://cybernews.com/personal-data-leak-check/

• haveibeenpwned. Este sitio ofrece una útil modalidad de notificación, en caso de que tu número o dirección de correo electrónico ingrese en su base datos. Por lo que registrar tu correo en esta página es útil en caso de que quieras estar actualizado en data breach.

https://haveibeenpwned.com/

• F-Secure. Otra opción que además de informarte si en su base de datos se ha filtrado en algún ciberataque, puede informarte sobre aspectos elementales de cibercrimen, para aquellos quienes les interese el área y apenas vayan familiarizándose con los términos, pueden visitar su sección de artículos para conocer de mejor forma el glosario de cibercrimen.

https://www.f-secure.com/en/home/free-tools/identity-theft-checker

LockBit el malware de mayor amenaza creciente para México y la comunidad internacional en el 2023

 El elemento preventivo contra las ciberamenazas suele ser una de las mejores armas para el combate a la cibercriminalidad, algo que paradójicamente es olvidado por muchos de los responsables encargados de la seguridad de las instituciones donde laboran.

Aunque a finales de año, empresas e individuos suelen hacer un recuento o conclusión de sus labores, en el caso de la cibercriminalidad uno de los ejercicios más intensos corresponde a la evaluación de probabilidades para determinar cuáles son las amenazas que causarán más daño cuantitativo durante el siguiente ciclo anual.

En este contexto, y revisando las miles de variables que se presentan en los malware que actualmente están activos, son muchos especialistas en ciberseguridad los que coinciden que el malware LockBit será una de las principales preocupaciones y registrará un importante número de ataques contra organizaciones objetivos.

Para quienes no estén familiarizados con este malware, LockBit es un ransomware, es decir los software maliciosos encargados de encriptar archivos y "secuestrarlos" hasta que la víctima accede a pagar un rescate con el propósito de liberar su información.

Actualmente la versión más reciente que se ha extendido de LockBit es la 3.0, la cual se caracteriza por editar los nombres de los archivos encriptados, también ha llegado a cambiar los fondos de pantalla del equipo por uno más amenazante notificando del ataque, además de colocar un mensaje notificando del encriptado de los archivos.

Como es costumbre, el desencriptado de sus versiones ha sido tarea de muchas empresas del rubro de ciberseguridad, así como de programadores y aficionados quienes desarrollan desencriptadores gratuitos con el propósito de ayudar a la comunidad.

Hasta el momento, las primeras versiones ya suelen recibir actualizaciones para ser contrarrestadas con la mayoría de programas de antivirus, sin embargo la versión más reciente aún requiere mayores labores para estar disponible y ayudar a las víctimas que han perdido el acceso a sus archivos.

Este es uno de los escenarios que se vislumbra en el 2023, aparentemente demostrando que el ransomware se mantiene como una modalidad de cibercrimen peligrosa, que a pesar de los esfuerzos de distintos ejes no ha logrado ser contenido.

Data Breach de Universidad Mexicana, colocado a la venta en la DarkWeb

En una continua dinámica de aviso de fuga de datos en este espacio, ahora el turno corresponde a una universidad. Otra situación delicada en consideración al tipo de información que estas instituciones resguardan y lo sensible que pueden representar un ciberataque de estas características.

La problemática del presente ataque, recae en que este fue divulgado por Kelvin Security, uno de los grupos de explotadores de vulnerabilidades más poderosos a nivel mundial, autores de decenas de ataques contra organizaciones trasnacionales de enorme poder económico. También han sido reconocidos dentro de la comunidad de hacking como los expositores de varias vulnerabilidades básicas que muchos sitios reconocidos dejaron descuidadamente al alcance de los cibercriminales.

Tal parece ser el caso de IEU, quienes sin implementar medidas de protección de datos básicas, han tenido un robo de datos de cientos de credenciales y datos de sus cuerpo estudiantil.

Al igual que en otras ocasiones, por iniciativa se decidió comunicar hace meses sobre esta vulnerabilidad a través del community manager en Facebook de la institución, sin embargo meses después se subió la publicación a los foros de la dark web, demostrando que tampoco se tomaron medidas básicas de protección de la información.

Para acreditar la legitimidad del ataque, el grupo adjunto capturas que forman parte del contenido. El cual solo se mostrará fraccionado en esta entrada, con el fin de proteger la información personal de los cientos de víctimas involucradas, las cuales probablemente desconozcan que su información entregada a la universidad ha sido filtrada.

Data Breach de Hospital Mexicano, colocado a la venta en la DarkWeb

 Continuamente se utilizan las cuentas de este proyecto para reportar la amplia cantidad de casos de instituciones que son víctimas de fuga de datos sensibles. Desafortunadamente la mayoría de empresas, ya sean públicas o privadas no suelen tomar medidas de seguridad de su información previo al ataque, aún más grave resulta aquellas que incluso después de este tampoco toman acciones efectivas para investigar o contener estas incidencias.

En este caso se ha detectado que una de los objetivos más recientes es Swiss Hospital, quienes han sufrido la sensible filtración de datos de pacientes, los cuales contienen datos como fechas de ingresos, egresos y medicamentos adquiridos en las farmacias de las instalaciones. Situación que pone en grave predicamento a la infraestructura de seguridad digital de esta institución privada.

El aviso se ha dado en foros de la DarkWeb donde ofertan la información para quien le interese adquirirla, mostrando la información que tienen disponible.

Como prueba de este ciberataque los cibercriminales han subido capturas de pantalla de tablas de excel que fueron sustraídas durante la vulneración, de la cual se mostrará un extracto de la captura, cuidando que los datos personales no sean mostrados por respeto a las víctimas del incidente, así que parte de la información se ha decidido opacar de la imagen original.

También cabe aclarar que se ha notificado hace semanas al community manager de la cuenta de Facebook sobre esta situación, sin encontrar mayor respuesta, más allá de que los responsables encargados tomarían medidas. Sin embargo hasta la fecha el paquete de datos sigue disponible, e incluso se han ido agregando nuevas imágenes que prueban la veracidad de la filtración.

Royal Ransomware la próxima amenaza contra los sistemas de salud en México y Norteamérica

La prevención es un elemento vital en la contención de la cibercriminalidad, está claro que de tomar medidas preventivas adecuadas tanto por usuarios, como por empresas y organismos públicos disminuiría considerablemente la cantidad de ciberataques exitosos y el número de víctimas.

Desafortunadamente dentro de la conciencia colectiva, la amenaza del cibercrimen es difícilmente medible por quienes no están inmersos en la investigación de esta área, ya que lo consideran como una problemática menor... Esto hasta que las consecuencias comienzan a medirse cualitativa y cuantitativamente, descubriendo el real impacto de un ciberataque.

Este por desgracia parece ser el caso del "royal ransomware" un ransomware de la familia (RaaS), es decir utilizado como servicio el cual se ha centrado en distribuirse por instituciones de salud del sector público y privado.

Lo delicado del objetivo ha provocado que algunos países comiencen a realizar investigaciones en el tema sobre el grupo creador de este peligroso ransomware.

Si bien su mecánica entra dentro de la operatividad de muchos otros ransomwares, la propagación e inutilización de distintos equipos de forma tan rápida puede poner en riesgo la operación administrativa e incluso el acceso a la información de cientos de pacientes colocando en un verdadero riesgo la integridad de todos los pacientes.

Dentro de las buenas noticias, a partir de que en septiembre del 2022 empezó a identificarse como una amenaza de alto riesgo, por lo que además de distribuir la imagen de la caratula del bloqueo (la que aparece en la parte superior), los equipos dedicados a realizar programas de desencriptación ya han podido desarrollar algunas llaves de descifrado para algunas de sus versiones.

Como en casos pasados, realizando algunos mecanismos preventivos como el descarte de archivos sospechosos, el uso responsable de correo electrónico y los respaldos continuos y con acceso controlado debería ser suficiente para superar la mayoría de incidentes que relacionan a este cibercrimen.

El hackeo a LastPass la poderosa plataforma mundial de gestión de contraseñas

Los gestores de contraseña han sido una herramienta de enorme valor para millones de usuarios y miles de empresas alrededor del mundo. A sabiendas de que crear mejores contraseña, con mayor longitud, combinación de caracteres, números y signos representa para la memoria humana un verdadero reto cuando se tienen diversas cuentas, estas herramientas representaron una solución que se popularizó rápidamente.

En este tenor LastPass se ha ido consolidando como una de las opciones preferidas por muchos usuarios, por su facilidad de uso y la seguridad que esta solía trasmitir a través de su estrategia publicitaria. Sin embargo en días recientes el propio CEO Karim Toubba ha confirmado actividad ajena al personal oficial del sitio.

 

 

 

Si bien se ha mencionado que los datos de los usuarios se encuentran a salvo y se ha confirmado que la "llave maestra" de toda la información almacenada en sus servidores no ha tenido ninguna clase de manipulación externa, la inestabilidad que generó esta noticia fue notoria entre el mundo informático y la desconfianza hacía la empresa ha ido en ascenso si se analizan las métricas de la tendencia respecto a su reputación previa y posterior al incidente nos encontraremos con una probable migración de sus consumidores hacía otras aplicaciones.

¿Qué lecciones puede dejarnos esta situación? Si bien, considerando el anuncio los clientes de esta plataforma no deberían tomar medidas como cambio de datos personales o de cuentas, sí pueden existir puntos de atención en los cuales centrarnos.

La lección más importante con la cual partimos es que cualquier sitio web, por mayores medidas de seguridad que tome, será proclive a recibir un ataque si este es lo suficientemente efectivo y la seguridad permanente no existe en internet. 

En segunda instancia, si bien la desconfianza es una consecuencia obvia de este incidente no se recomienda prescindir de los gestores de las contraseñas. Ya que estos permiten formular contraseñas con combinaciones más complejas que las que una persona promedio podría recordar.

Finalmente, el que un gestor de contraseña almacene claves de acceso bien elaboradas esto no significa que deban permanecer inmóviles durante años. La recomendación de ir rotando las credenciales es fundamental para mantener una línea de protección de la información aceptable, ya que a pesar de que tengan claves muy extensas, cuando existe una filtración de datos las contraseñas simplemente se copian, por lo que al actualizarlas constantemente, permite evitar que haya acceso ajenos a nuestras cuentas.