WhatsApp Pink y las aplicaciones alternativas que terminan con millones de víctimas

La piratería existe aún antes del nacimiento de la computación, es una respuesta natural del ser humano que se origina por diversos factores frente a una versión "oficial" que aspira a ser la única.

No obstante, en la actualidad, en un mundo donde los sistemas computacionales ocupan buena parte o incluso la mayor parte de la vida de billones de seres humanos en el mundo, la piratería ha sido adoptada como una práctica común donde muy cerca del 100% de usuarios frecuentes de internet han utilizado programas no legítimos distintos al fabricante.

Es en este tenor donde las aplicaciones han sustituido decenas de actividades diarias, también han ido encontrando sus propias versiones apócrifas; algunas que eliminan la opción de pago por su uso y otras que, en el caso de que sean gratuitas ofrecen mayores opciones y herramientas que la aplicación original. Tal es el caso de Whatsapp, la mayor plataforma de mensajería instantánea de la actualidad en el mundo occidental. Esta herramienta es una de las que mayores alternativas no oficiales exitosas ha desarrollado, algunas de ellas muy peligrosas.

Entre estas populares versiones se encuentran el Whatsapp "Gold", Black" y "Blue", cada uno con distintas herramientas que permiten tomar ventajas sobre la privacidad del Whatsapp oficial, razón por la cual han sido millones de usuarios que se han arriesgado a instalar la aplicación en estos móviles, pero ¿qué consecuencias han traído para quienes cuentan con este software?

Naturalmente la exposición al malware se incrementa notoriamente al utilizar software desarrollado por terceros sin autorización, ya que incluso la aplicación oficial ha tenido problemas de vulnerabilidades y polémicas con el uso de datos de sus usuarios, esta situación se agrava al no haber regulaciones claras cuando un desarrollador es desconocido en el medio.

Entre las consecuencias que ya se han registrado oficialmente entre las víctimas de estos programas, han sido principalmente el spyware, es decir un malware cuya función es espiar en tiempo real información que el usuario comparte, comprometiendo crucialmente su privacidad; otro malware bastante común han sido los keyloggers los cuales son capaces de registrar cada palabra escrita para tener acceso a contraseñas y credenciales escritas en el dispositivo.

Ahora, en una de las versiones más recientes se ha popularizado el "Whatsapp Pink", el cual es particularmente más riesgoso que algunas de las opciones más populares de esta plataforma.

La razón, es que se ha confirmado que varias APKs contienen un malware muy agresivo que está específicamente dirigido hacía aplicaciones bancarias y de pago, con el propósito de realizar cargos no reconocidos o transferencias hacía cuentas internacionales. Si bien algunas instituciones bancarias cuentas con factores de autenticación, algunos malware son capaces de acceder (de acuerdo a los permisos otorgados) a los SMS o a la sección de llamadas, obteniendo así códigos por distintas vías, autorizandose ellos mismos las transacciones.

Esta es una de las mecánicas de ataque que se encuentran específicamente detalladas y esto permite alertar adecuadamente a cada usuario sobre la exposición a la que se enfrenta al hacer uso de este tipo de contenido.

El ciberataque a FEMSA y los grupos cibercriminales involucrados

Uno de los pocos ciberataques que atrajeron buena parte de atención por parte de la ciudadanía en general, fue el ocurrido en abril de 2023, donde la empresa FEMSA (la embotelladora y distribuidora responsable del producto Coca Cola en México y algunas zonas latinoamericanas, así como del embotellamiento y distribución de otras bebidas carbonatadas y alcohólicas); todo este revuelo se debió probablemente a que la trascendencia de la compañía en México es altísima debido a la fuerte presencia refresquera que existe en el país.

En principio se discutía acerca de la posibilidad de que existiera una interrupción de algunas de sus actividades (por lo que basado en el volumen de ventas que presenta esta empresa, sería económicamente desastroso), sin embargo, al menos en los pronunciamientos oficiales no existió alguna aceptación respecto a esta probable interrupción e incluso días después se llegó a desmentir.

Aunque ese escenario pueda parecer sorprendente a algunos recién iniciados en el estudio del cibercrimen, los alcances de un ciberatacante en la actualidad le permiten realizar vulnerabilidades que dificulten toda la operatividad de una empresa, incluso una de alcance internacional como la propia FEMSA.

Lo comunicado -semanas después- es que los propios directivos han confirmado la sustracción de datos financieros de la compañía y han advertido acerca de la posibilidad de que estos lleguen a ser filtrados públicamente, sin dejar de tomar esto como algo alarmante; ya que, de acuerdo a sus declaraciones la información sustraida no comprometerá el funcionamiento de la compañía.

Para finalizar, una situación inusual ha ocurrido respecto a los responsables. Es bastante común que los grupos cibercriminales se adjudiquen el ataque, mas, en esta ocasión fueron distintas redes cibercriminales quienes asumieron el ataque, en primera instancia fue el grupo Pro-Rusia: "Stormous", posteriormente fue el grupo cibercriminal Black Cat y momentos después, otra organización asociada a ALPHV decía ser partícipe de este ciberataque.

Si bien las redes cibercriminales que suelen adjudicarse vulneraciones para aumentar su prestigio son relativamente comunes, en este caso ocurrió que todos ellos proporcionaron capturas y datos confidenciales que indicaban sí estaban detrás de la perpetración ilegal. Hasta estos momentos, aún queda por definir con precisión al autor o autores detrás de este incidente.

¿Qué hay detrás de la noticia del hackeo a ChatGPT y la supuesta filtración de 100000 cuentas?

Aunque la mayoría de los medios de comunicación no han atendido este suceso, entre la comunidad de ciberseguridad ha causado gran alarma enterarse que, de acuerdo a la empresa de ciberseguridad "Group IB", la plataforma de ChatGPT ha sido vulnerada y la base de datos de más de 100,000 cuentas puede estar comprometida, ya que de acuerdo a los cibercriminales es esta la cantidad de información que han colocado a la venta.

Puedes conocer la fuente original de la noticia aquí.

¿Qué implica esta noticia? Cuando un usuario sin experiencia lee la nota, puede considerar como real la filtración y difundir la información sin ser verificada. Sin embargo, con la debida experiencia en el área, se sabe que este tipo de información debe tomarse con cautela y si bien existe la probabilidad de que esta vulnerabilidad sí haya ocurrido, hasta el momento de redactar la presente entrada (27 de junio de 2023), no existe evidencia que compruebe este incidente.

Si bien en una DarkNet es común encontrar venta de paquetes de datos obtenidos ilegalmente, y la mayoría de las filtraciones han ocurrido por ese medio, un verdadero especialista sabe que también algunos cibercriminales ya sea independientes o contratados por gobierno o incluso empresas rivales, suelen hacer uso de estos medios para "exponer" bases de datos ficticias e incidir en la valuación de una empresa o la reputación de un país que normalmente suelen encontrarse en conflicto, cuando ocurren estas supuestas filtraciones.

¿Cómo se puede corroborar la originalidad de este robo de información? La única vía segura es que alguien realice la transacción que el supuesto criminal pone a la venta, y una vez que la reciba decida hacerla pública.

Aunque parezca algo inviable, en muchas ocasiones son los propios cibercriminales quienes deciden filtrar públicamente los datos robados, en represalia cuando las empresas o gobiernos no responden a sus extorsiones. En otros casos, se sabe (aunque esto no se hace oficial debido a razones éticas y de reputación) que son las propias empresas quienes compran su información robada a través de la DarkNet, evitando así que termine siendo difundida por terceros y tampoco dejando registros de una transacción oficial, ya que se realiza por medios ilegítimos.

El ciberataque a la Fiscalía de Quintana Roo y el data breach de sus registros

Dentro de la "reducida" (en comparación a otros sectores profesionales mucho más numerosos) comunidad de investigadores en cibercriminalidad, es muy común acostumbrarse a que pocas noticias de ciberataques lleguen a filtrarse a los principales medios de comunicación, ya sea porque estos temas son difíciles de tocar para quienes redactan las notas debido al nivel de conocimiento requerido para redactar apropiadamente, o en un terreno de mayor especulación, debido a que esto significaría mostrar vulnerabilidades de poderosos organismos públicos y privados.

Si bien no quedó claro la razón por la cual el caso de data breach que se presentó a inicios del mes de enero de 2023 dentro de la Fiscalía de Quintana Roo no llegó a recibir una cobertura mediática considerable, sí nos hemos encontrado que la información filtrada corresponde a una enorme cantidad de registros de datos confidenciales (al menos así se planteaba en el mensaje de difusión de la información).

No obstante, al investigar sobre el tratamiento que se le dio a este incidente de parte de los servidores públicos involucrados, se encontró que existen declaraciones y comunicados oficiales, donde "aclaran" que esta información corresponde a "registros menores" y que la sensibilidad de los datos filtrados, no tienen la gravedad que se ha mencionado por parte del autor de la publicación donde se dio a conocer la respectiva filtración.

Es menester recordar que en los casos de ciberataques a gobiernos (y esto no se restringe a los gobiernos mexicanos) las versiones oficiales y las de los cibercriminales suelen distanciarse notoriamente (es oportuno recalcar que no se debe crear un sesgo de creencia basado en que las versiones de los gobiernos sean mentiras o que las de los ciberatacantes sean verdaderas).

Recordemos que cuando el ataque de ransomware ocurrió en las bases de datos de PEMEX, las instancias oficiales minimizaron el incidente afirmando que "únicamente" había sido menos del 5% de sus equipos afectados.

Por ello, para los investigadores de debe contar con un criterio muy agudo para evitar caer en sesgos de preferencias ideológicas o políticas, ya que ambas partes pueden estar modificando sus aseveraciones con base en sus intereses.

Lockbit, la evolución del ransomware a una poderosa agrupación cibercriminal internacional

En este blog comúnmente se abordan tendencias que ya son una problemática para la ciberseguridad a nivel mundial, o están encaminadas a serlo. Tal es el caso de Lockbit, que en una entrada pasada lo considerábamos como un ransomware de alto riesgo para instituciones del sector público y privado, como prueba de lo mencionado se comparte el enlace con redireccionamiento a dicha entrada: LockBit el malware de mayor amenaza creciente para México y la comunidad internacional en el 2023

En la mencionada publicación, se clasificaba a Lockbit como un ransomware agresivo y de fácil expansión, sin embargo, esta denominación fue utilizada por sus creadores para identificarse con el mismo título a la agrupación, la cual comenzó con una serie de ataques dirigidos a objetivos específicos.

Si bien las agrupaciones cibercriminales son un común denominador en la actualidad, su nivel de peligrosidad se mide no solo por el historial de sus miembros, sino por los antecedentes de sus ataques. Y en este caso, las "hazañas" recientes de estos cibercriminales, han ganado un respeto considerable, por la magnitud de algunos ciberataques, siendo el realizado al servicio postal británico uno de los más complejos, considerando que incluso las actividades de servicio al público se vieron paralizadas durante varios días.

Una mayor celebridad les generó una de sus más recientes decisiones: cuando después de cifrar archivos de un hospital infantil, sus miembros tomaron conciencia de las características de las víctimas de este ciberataque y ofrecieron de manera gratuita el software para poder desinstalar dicho ransomware, además de ofrecer una disculpa pública.

Es en este escenario donde se clasifica a Lockbit como una organización criminal de alta expansión y niveles de riesgo que pueden interferir en la prestación de servicios de los países más industrializados a nivel mundial. Por lo que a partir de esta entrada se realizarán enfoques específicos hacía este equipo, señalando aquellas actividades más trascendentales que los lectores del presente blog deben conocer.

El riesgo de los anuncios de Google y su redireccionamiento a páginas falsas

Todos los usuarios en internet hemos automatizado procesos de manera habitual, ahorrando así esfuerzo y tiempo en nuestras actividades digitales.

Una de estas mecánicas que se volvió tan recurrente como desapercibida, fue el visitar sitios web a través de los buscadores, debido a que es muy común desconocer exactamente cómo se escriben las direcciones URL.

Desafortunadamente, como suele suceder en aquellas actividades donde los usuarios muestran descuidos asiduos, los cibercriminales aprovechan estos comportamientos que los ven como una enorme oportunidad de tomar ventaja de omisiones que pasan inadvertidas para la persona común.

¿En qué consiste el malware o phishing por anuncios publicitarios? Se tomará como ejemplo al buscador Google, ya que este concentra un dominio abrumador sobre el resto de sus competidores, incluso sumando las visitas totales de todos estos juntos. 

Para explicar este proceso, lo ejemplificaremos con un usuario promedio que busca descargar su estado de cuenta bancario y no recuerda el nombre de dominio de su banco. Por lo que decide ingresar a Google y escribir el nombre de su banco en el buscador para darle click al primer resultado encontrado.

En un escenario benigno, el usuario accede sin mayores contratiempos, ya que el resultado principal es el sitio web legitimo debido a que el buscador lo posicionó en el primer lugar debido a la valoración de los metadatos en la web.

Desafortunadamente, hay otras ocasiones que suceden en una pequeña frecuencia, aunque con un crecimiento cada vez más notorio. Ya que, haciendo uso del posicionamiento que ofrece Google a través de su servicio de anuncios, estos suelen colocarse en los primeros resultados de una búsqueda.

Basta con crear un sitio lo suficientemente similar en cuanto a características visuales, para posicionarlo a través de pagos de anuncios en el buscador de Google. Esta suplantación puede resultar enormemente efectiva, para aquellos clientes que no reparan en detalles de seguridad para identificar sitios dedicados al phishing.

Por ello, la principal recomendación que se puede realizar al respecto es cerciorarse del sitio en el que se está navegando. Se pueden utilizar apoyos externos, como visitar las redes digitales del sitio web para compararlo con el enlace oficial, también se pueden realizar sitios de verificación del certificado digital como site 24/7.

Tor Project el navegador más popular para acceder a la DarkNet víctima de ataques DDoS

Desde hace más de una década el proyecto Tor se ha considerado como el principal recurso de acceso a la DarkNet (vulgarizada como Deep Web), esto ha atraído no solo a especialistas de seguridad informática, activistas o periodistas que buscan difundir noticias de alto compromiso o cibercriminales que se benefician del anonimato para compartir contenido ilegal. También atrajo a millones de curiosos alrededor del mundo, que siguiendo las modas digitales de influencers y youtubers, se adentraban a navegar en foros para comprobar lo que leyendas digitales surgieron sobre estos espacios.

Esta popularidad ha obligado a sus desarrolladores a aumentar la capacidad de sus servidores para hacerlo funcional a cada usuario del browser. 

También, como era de esperarse algunos gobiernos o miembros de círculos empresariales que se han visto afectados por la difusión de material que atenta contra sus intereses a través de la DarkNet han intentado por mecanismos legales en algunas ocasiones, y medios de ciberofensiva en otras ocasiones intentar dificultar la actividad de TorProject.

Desafortunadamente en meses recientes, parece que algunos de estos ataques han resultado efectivos, ya que en el propio blog del browser han confirmado la existencia de ataques DDoS 

Si bien la autoría de sus ataques aún es desconocida, sí se ha podido corroborar que estos han ralentizado la funcionalidad del navegador, y que desafortunadamente estos ataques han sido continuos por más de 7 meses. Explicando que en algunas ocasiones la red ha estado más lenta en los puntos donde se han registrado una mayor cantidad de ataques.

Afortunadamente numerosos desarrolladores se han aliado para apoyar en distintas formas a la restauración de las actividades para regresarlas a su normalidad. Entre las que se encuentran:  Ocelot, Quiet, Wasabi Wallet / zKSNACKs, Fedimint, Trezor, OpenSats, y la Freedom of the Press Foundation.

Una vez que TorProject se estabilice se comunicará por esta vía.