Abril de 2006 

4 de abril: Microsoft afirma que la recuperación tras un ataque de software malicioso es prácticamente imposible 

"Cuando se trata de rootkits y algunos programas de software espía avanzados, la única solución es empezar desde cero. En algunos casos, realmente no hay modo alguno de recuperar el sistema sin desviarlo de su órbita", afirmó Mike Danseglio, director de programa del Grupo de soluciones de seguridad de Microsoft en el Congreso mundial de InfoSec. La mejor medida que las empresas pueden tomar es invertir en procesos automatizados de restauración de sistemas afectados por software malicioso.

5 de abril: Un software Beta público permite que equipos Mac basados en Intel ejecuten Windows XP 

Apple ha lanzado una versión de software beta, denominada “Boot Camp", que permite instalar Windows XP en equipos Macintosh basados en Intel. Una vez instalado este software y después de reiniciar el equipo, el usuario tiene la opción de iniciar Mac OSX o Windows XP. Boot Camp forma parte de “Leopard", el nombre en código utilizado para referirse a la próxima versión de Mac OSX de Apple, que tiene prevista su primera aparición para agosto de 2006.

5 de abril: Cisco publica información sobre su vulnerabilidad

Se ha detectado vulnerabilidad en diversos dispositivos de Cisco. El primero de ellos es Cisco 11500 Content Services Switch, que presenta una vulnerabilidad relacionada con las solicitudes HTTP. Si este dispositivo está configurado para realizar la compresión HTTP, puede ser susceptible de sufrir un ataque distribuido de denegación de servicio al procesar solicitudes HTTP especialmente diseñadas.

Asimismo, se detectaron varias vulnerabilidades en los sistemas de redes ópticas de Cisco (ONS). Afectan a las plataformas Multi-Service Provisioning Platforms de los sistemas ONS 15310, ONS 15327 y ONS 15600 y a las plataformas Multi-Service Transport Platforms del sistema ONS 15454, en las que los nodos ópticos con tarjetas de control comunes conectadas a una red de comunicación de datos se ven afectados cuando se utilizan para IP4. Cuando se explotan, pueden desembocar en un ataque de denegación de servicio en las tarjetas de control comunes.

También se detectó una vulnerabilidad del iniciador del subprograma Transport Controller de Cisco que puede provocar la ejecución de código arbitrario en la estación de trabajo.

Cisco ha puesto a disposición de los usuarios software destinado a solucionar las vulnerabilidades detectadas en estos dos dispositivos. 

6 de abril: Oracle publica accidentalmente información sobre una brecha de seguridad propia 

De manera no intencionada, Oracle ha publicado información sobre una brecha de seguridad para la que no existe revisión en su propio sitio web MetaLink y ha proporcionado todos los detalles, incluido el código de explotación. Esta brecha afectaba a todas las versiones de Oracle Database, de la 9.2.2.0 a la 10.2.0.3. Oracle, tras conocer que esta información estaba disponible, la ha retirado de su sitio web. La brecha de seguridad afecta al modo en que Oracle Database gestiona algunas vistas de diseño especial creadas por usuarios sin privilegios. Estos usuarios podían obtener privilegios de SELECCIÓN y, a continuación, actualizar, eliminar o insertar datos en las bases de datos.

Curiosamente, es precisamente Oracle quien con frecuencia critica a otros por publicar los detalles de las vulnerabilidades. Ahora, aunque de forma accidental, es Oracle quien lo ha hecho. 

7 de abril: Prueba de concepto: virus que infecta Linux/Win32 

Hasta ahora, el año 2006 parece ser el año de las "pruebas de concepto", con una más: un virus que infecta archivos tanto de Windows (formato PE) como de Linux (formato ELF). El virus emplea dos técnicas diferentes para infectar archivos de ambas plataformas. Utiliza la función Kernel32.dll para infectar los archivos de Windows y la función de llamada del sistema Int 80 para infectar los archivos de Linux. Aparte de infectar ambos formatos de archivo, este virus no tiene ninguna otra acción malintencionada. 

10 de abril: SecureBlue: ofrecido por BigBlue 

IBM ha creado un dispositivo de cifrado basado en hardware e inspirado en la seguridad Mainframe para proteger productos de consumo, dispositivos médicos, sistemas de defensa y medios digitales. Esta tecnología, denominada "SecureBlue", puede aplicarse cualquier equipo imaginable que contenga información confidencial o privada de gran valor, como teléfonos móviles, PDA, PC, ordenadores portátiles, etc.

11 de abril: MS06-013, ejecución remota desde Internet Explorer 

Se ha detectado una vulnerabilidad en la API CreateTextRange que podría permitir la ejecución remota de código a través de sitios web y correos electrónicos diseñados especialmente para ello. El daño real ha sido limitado ya que Microsoft ha trabajado en estrecha colaboración con algunos de sus socios, como Norman, para eliminar aquellos sitios web que alojaban código malintencionado y publicar la URL de estos sitios malintencionados.

17 de abril: Dos docenas más de brechas de seguridad en Firefox 

Aunque siempre se ha dicho que es más seguro que Internet Explorer de Microsoft, Firefox de Mozilla ya acumula más actualizaciones de seguridad durante este año que Internet Explorer en todo el año pasado. Hoy, Mozilla Foundation ha publicado nada menos que 21 actualizaciones para las brechas de seguridad detectadas en el explorador web Firefox. Entre otras cosas, estas brechas se pueden explotar para realizar ataques de phishing y alterar las restricciones de seguridad o los datos confidenciales. 

18 de abril: Norman sufre un ataque DDoS 

A las cuatro y media de la tarde, el popular centro de información Sandbox Information Center de Norman (http://sandbox.norman.com) se enfrentó a un ataque DDoS (ataque distribuido de denegación de servicio). El servidor web/sql estaba extremadamente ocupado debido al ataque de una red de robots. Con la ayuda de nuestro proveedor de servicios de Internet (ISP), pudimos bloquear el ataque DDoS en la red troncal de Internet noruega, de manera que las operaciones en Norman pudieron proseguir con normalidad. Asimismo, vencimos a la red de robots.

Desde que Norman ofrece el centro de información Sandbox Information Center, la gente trata de atacar el Sandbox. Tras estos ataques, se han recopilado algunas referencias interesantes en el software malicioso, por ejemplo, referencias a opción sexual de Norman. Ni que decir tiene que la opción sexual de Norman es información confidencial y, por lo tanto, cualquier sugerencia al respecto no es más que una especulación.

19 de abril: Tres docenas más de brechas de seguridad en Oracle 

Parece que este año va a convertirse en un año de frecuentes y numerosas revisiones de seguridad. A pesar de que estas revisiones de seguridad estaban dirigidas a productos de Oracle que incluían software de aplicaciones de bases de datos y servidor, el uso generalizado de éste por parte de grandes empresas ha hecho que el número tenga que ser elevado. Asimismo, aparte de la revisiones de seguridad, Oracle también ha introducido modificaciones en su herramienta para detectar inicios de sesión defectuosos y contraseñas vulnerables. Las contraseñas vulnerables normalmente se pueden adivinar o utilizar en un ataque de fuerza bruta, la situación ideal para que los piratas informáticos tengan acceso fácil.

Mayo de 2006 

1 de mayo: American Express sufre un ataque de mensajes emergentes falsos 

La conocida compañía de tarjetas de crédito American Express sufrió un ataque de mensajes emergentes falsos que solicitaban datos personales como el nombre, la fecha de nacimiento, el número de la seguridad social o el segundo apellido. Cabe destacar que estos mensajes aparecían incluso mientras el usuario consultaba el sitio web de la propia empresa American Express. Estos mensajes emergentes son creados en su mayoría por software espía que se ha introducido en los ordenadores de aquellos usuarios que normalmente reciben este tipo de mensajes. Cada mes se descubren varios cientos de nuevos troyanos en el sector bancario.

2 de mayo: DDoS en sitios de blogs 

Un ataque distribuido de denegación de servicio (DDoS) en Six Apart, uno de los servicios de blog más populares de Estados Unidos, provocó que millones de blogs dejaran de estar disponibles. Este tipo de ataques a sitios populares es cada vez más frecuente.

9 de mayo: Bienvenido a la feria: súbase al SpyCar 

El archivo de comprobación EICAR se creó con el objetivo de garantizar que los productos antivirus instalados funcionan: detectan los virus y toman las medidas necesarias. Sin embargo, es preciso aclarar el siguiente error generalizado: la detección del archivo de comprobación EICAR NO garantiza que el producto antivirus detecte todos y cada uno de los virus existentes. Alguno proveedores de productos antivirus han decidido, por algún motivo, que sus productos no detecten el archivo de comprobación EICAR. Todos los productos de Norman que incorporan el motor de búsqueda de virus Norman Scanner Engine detectan el archivo de comprobación EICAR.

Otra iniciativa presentada con el objetivo de "ayudar" al usuario final a comprobar su equipo en busca de software espía es el Proyecto SpyCar. Por definición, SpyCar es un conjunto de herramientas diseñadas para imitar el comportamiento del software espía, pero de forma que no dañe el sistema. La empresa Intelguardians creó SpyCar para que cualquiera pudiera comprobar el comportamiento de defensa de una herramienta contra el software espía. Cabe señalar que las acciones de SpyCar son más bien genéricas. Cambiar la página de inicio predeterminada en Internet Explorer es algo que muchos usuarios finales hacen conscientemente y de forma automática haciendo clic en un vínculo de la página de inicio de su sitio favorito. Y lo mismo ocurre con la página de búsqueda predeterminada. Por lo tanto, estas acciones no son exclusivas del software espía ni del software espía comercial.

Uno de los inconvenientes de SpyCar es que se centra únicamente y exclusivamente en Internet Explorer y no puede aplicarse a otros exploradores comunes como Firefox y Opera. El archivo de comprobación EICAR no depende de ninguna plataforma antivirus. La demanda de un archivo de comprobación contra software espía ha crecido últimamente. EICAR modificará la descripción del archivo de comprobación EICAR que dejará de ser un archivo de comprobación antivirus para convertirse en un archivo de comprobación contra el software malintencionado. No obstante, la definición y el contenido de este archivo de 68 bytes seguirán siendo los mismos, ya que no pueden modificarse sin causar problemas generalizados en el sector de los productos antivirus.

11 de mayo: Mac OSX seguro; se han cerrado 43 brechas de seguridad 

El nuevo Mac OSX, considerado mucho más seguro, no lo es tanto después de todo. La aparición de BootCamp favoreció que los equipos Macintosh ganaran en popularidad. Los nuevos equipos Macintosh están basados en una CPU Intel y BootCamp permite que el equipo Mac pueda ejecutar los sistemas operativos Mac OSX y Windows. Esta ampliación del segmento de mercado ha despertado súbitamente el interés de la gente por Mac OSX y, como consecuencia, el número de vulnerabilidades detectadas ahora antes era inimaginable. Se han solucionado 31 vulnerabilidades de OSX y 12 de Safari, que es el explorador de Internet de Mac OSX.

12 de mayo: El rootkit de ContextPlus muerde el polvo 

ContextPlus da por concluida su actividad. Los programas más conocidos de esta empresa son PeopleOnPage y Apropos. Una vez instalados, estos programas realizan un seguimiento del comportamiento de consulta y búsqueda en Internet y envían la información obtenida a los servidores de ContextPlus. A continuación, en función del comportamiento observado, el usuario recibe mensajes emergentes que reflejan de forma precisa sus intereses. No cabe duda de que la aparición constante de este tipo de mensajes resulta muy molesta. Durante la instalación de estos programas, se implementa la tecnología RootKit en modo kernel a fin de ocultarlos de los programas contra software espía. Como es sabido, la detección de los programas ocultos mediante este tipo de tecnología no resulta nada fácil.

25 de mayo: El nuevo discurso para vender 

Se trate del acontecimiento que se trate, siempre hay alguien que intenta sacar dinero de él. Esta vez, la víctima es la Copa del mundo de fútbol, que se celebrará próximamente en Alemania. Un nuevo gusano denominado W32/Banwarum se propaga enviando mensajes de correo electrónico en alemán que, en algunos casos, ofrecen entradas para los partidos que el destinatario sólo tiene que imprimir. En realidad, el gusano está enviando un archivo protegido mediante contraseña (que incluye a su vez una copia del gusano) y la contraseña está incluida en el mensaje de correo electrónico. Ni que decir tiene que el archivo no contiene entradas (como si fuera tan fácil conseguirlas). 

Junio de 2006 

6 de junio: El ataque de los números 

Desde el 6 de junio, un número elevado de empresas está recibiendo extraños mensajes de correo electrónico en los que la dirección del destinatario coincide con la dirección del remitente. La línea Asunto y el cuerpo del mensaje contienen números variables de 3-7 dígitos de longitud y no hay archivos adjuntos ni secuencias de comandos incrustadas. Al observar el encabezado del mensaje, es fácil ver que el campo De ha sido suplantado. Algunos fragmentos de software malintencionado están enviando mensajes de "comprobación". Se ha especulado mucho sobre el motivo de estos mensajes; podría tratarse de un intento de limpiar una lista maestra de entradas de correo electrónico no válidas o quizás de verificar nuevas entradas. Otros afirman que esta lista se utilizará posteriormente para enviar correo no deseado o realizar ataques de phishing. Finalmente, se ha descubierto que se trata de mensajes enviados por una nueva variante del gusano Bagle. 

12 de junio: Un pirata en el Ministerio de energía de Estados Unidos 

Un pirata informático ha conseguido copiar información personal, como nombres y números de la seguridad social, de un archivo almacenado en un sistema del Ministerio de energía de Estados Unidos. Sin duda alguna, esta información, en su mayor parte datos de empleados contratados, puede emplearse indebidamente de diversos modos. Los datos estaban almacenados en una partición no confidencial de la red, distinta a la partición en la que se guardan los datos sobre sistemas nucleares, que es mucho más segura. Aunque el robo de los datos se produjo hacía algunos meses, se reconoció en una sesión pública reciente. Hasta ese momento, no se comunicó este hecho a las personas cuyos datos fueron copiados.

13 de junio: MS06-021, otra brecha más en Internet Explorer 

Con esta actualización, se han solucionado ocho vulnerabilidades críticas e importantes. Cualquier atacante que aproveche una o varias de estas vulnerabilidades puede hacerse con el control total del sistema afectado. Una vez que haya obtenido el control, puede instalar programas o alterar datos valiosos. Y lo que es más, puede crear nuevas cuentas con todos los derechos de usuario.

13 de junio: MS06-027, una vulnerabilidad en Microsoft Word  

Una vulnerabilidad detectada en Microsoft Word, identificada como CVE2006-2492, abre las puertas a cualquier ataque. En un documento de Word especialmente diseñado, un atacante podría ejecutar código shell que le permitiría obtener el control total del sistema. Varias pruebas de concepto de esta vulnerabilidad circulan por ahí aunque, afortunadamente, el contenido de ninguna de ellas es malintencionado.

21 de junio: WiFi como brecha de seguridad 

Un grupo de investigadores estadounidenses ha conseguido el control de un ordenador portátil mediante la manipulación del código del controlador del dispositivo de la tarjeta WiFi del sistema. Mediante el programa de origen abierto LORCON (Lots of Radio Connectivity), han enviado numerosos paquetes inalámbricos a diferentes tarjetas inalámbricas. Mediante la aplicación de esta técnica, han podido detectar numerosas brechas de seguridad en los controladores de los dispositivos WiFi; incluso una de estas brechas de seguridad les permitió obtener el control total del ordenador portátil que explotaba el error. Los investigadores divulgarán la información con una demostración en el encuentro Black Hat que se celebrará en Las Vegas el próximo 2 de agosto.

30 de junio: Macintosh atacado de nuevo 

Sólo un día después de que Apple lanzara las actualizaciones de sus sistemas operativos, incluido OSX, ya se ha publicado el código que puede utilizarse para explotar una de las vulnerabilidades. Aunque esta vulnerabilidad (del componente de sistema “lanzado") se ha solucionado en la actualización, la experiencia nos ha demostrado en numerosas ocasiones que los usuarios se toman su tiempo para aplicar las revisiones de seguridad. Parece que el mundo de Mac llegará a ser tan inseguro como el de Windows, un efecto secundario del aumento de popularidad de Macintosh, especialmente desde que los nuevos PowerBooks disponen de una CPU Intel y pueden ejecutar también Windows XP. 

30 de junio: WinFS suspende de nuevo

El nuevo sistema de archivos avanzado WinFS de Microsoft, que debía incluirse en Windows Vista, ha suspendido de nuevo. En un principio, estaba previsto que fuera uno de los elementos principales de Windows Vista, un sistema de archivos basado en bases de datos, pero a lo largo de los años ya ha causado varios retrasos. Ahora, Microsoft ha anunciado que Vista no incluirá WinFS y que WinFS tampoco estará disponible como complemento de Windows Vista ni de Windows XP.

El motivo de esto no está claro. Si no se trata de un motivo técnico, es posible que sea uno legal. El hecho de que WinFS sea un sistema basado en bases de datos ya ha suscitado algunas reclamaciones antimonopolio
.

Visión general de los sucesos relacionados con la seguridad en periodos anteriores

El documento Visión general de los sucesos relacionados con la seguridad correspondiente al primer trimestre de 2006 está disponible en este enlace.