El primer cuatrimestre del año ha estado plagado de incidentes de seguridad: desde las acciones de los grupos hacktivistas movidos por el cierre de Megaupload por parte del FBI hasta amenazas para todo tipo de plataformas, incluyendo Mac y Android.

1. INFORME DE SEGURIDAD ENERO-ABRIL 2012
www.eset.es
www.eset.es

2. INFORME DE SEGURIDAD ENERO-ABRIL 2012
Índice
1. Introducción
2. Un primer cuatrimestre plagado de incidentes de seguridad
3. 4 de cada 10 españoles pierden o le roban el móvil o la tablet
4. Google y su mina de datos
5. Resumen de amenazas enero-abril
6. Sobre ESET España – Ontinet.com
www.eset.es

3. INFORME DE SEGURIDAD ENERO-ABRIL 2012
1. Introducción
El primer cuatrimestre del año ha estado plagado de incidentes de seguridad: desde las acciones de los
grupos hacktivistas movidos por el cierre de Megaupload por parte del FBI hasta amenazas para todo
tipo de plataformas, incluyendo Mac y Android.
Salíamos de comernos las uvas con la noticia de que el popular sitio de descargas, Megaupload, era
cerrado definitivamente por considerar que servía de plataforma de almacenamiento de contenido
ilegal y que, además, se lucraba con ello. Este suceso desató toda una concatenación de
acontecimientos, protagonizados por los grupos hacktivistas más populares, entre ellos, por supuesto,
Anonymous, que atacaron las webs de Universal Music, la MPAA, el Departamento de Justicia
Americano e incluso la propia web del FBI. También cargaron contra organismos españoles con motivo
de la celebración de los Premios Goya, entre otras acciones. Mucho nos tememos que este año seguirán
dando mucho que hablar.
San Valentín ha seguido siendo, un año más, un gancho para la publicación y difusión de todo tipo de
motivos basados en este concepto que intentaban alcanzar a cuantas más víctimas mejor. Pero si
tenemos que hablar de una amenaza que ha supuesto más de un quebradero de cabeza a un montón de
usuarios ha sido, sin duda, el “virus de la policía”.
Los usuarios afectados se encontraron con su ordenador bloqueado mientras una aplicación les indicaba
que habían sido pillados visitando sitios pornográficos o de pedofilia y pirateando material. Dicho
ransomware (falso software) contenía la imagen de la Policía Nacional pero se adaptaba según el país
desde el que se conecta el usuario, suplantando a varios cuerpos de seguridad europeos. Los usuarios,
quizá tratando de evitar un mal trago, llevaban a cabo el pago de la cantidad exigida.
Durante este mes también vimos cómo diversas amenazas afectaban al sistema operativo Mac OS, en
una tendencia que, como veremos más adelante seguirá en aumento durante meses venideros. Por un
lado vimos cómo el malware OSX/Imuler infectaba sistemas Mac usando una vieja técnica conocida para
todos los usuarios de Windows.
Otro ejemplo de malware que seguía afectando a los sistemas Mac OS era Flashback que, desde
mediados del año pasado ha ido adaptándose y sacando nuevas versiones para maximizar el número de
usuarios infectados.
Las redes sociales y sus políticas de privacidad también han dado mucho que hablar durante estos
cuatro meses, especialmente Google con su unificación de servicios y el descubrimiento de la cantidad
de información que recopila el popular buscador de nuestra actividad y correlaciona para ofrecernos un
servicio “de calidad y adaptado a nuestras necesidades”. Otras redes como Pinterest incluso declaraba
abiertamente la posibilidad de la venta o cesión de datos a terceros…
El robo y la pérdida de dispositivos móviles (smartphones y tablets) ha seguido una estela creciente,
acompañada con la cada vez mayor demanda de estos.
Cuatro meses sin duda más que entretenidos en cuanto a seguridad se refiere. Todos los datos los
encuentras en este informe. ¡Esperamos que lo disfrutes!
www.eset.es

4. INFORME DE SEGURIDAD ENERO-ABRIL 2012
2. Un primer cuatrimestre plagado de incidentes de seguridad
ENERO: Megaupload y Anonymous, una combinación explosiva
El primer mes del año territorio americano, como la de la SGAE en
estuvo marcado sin España.
duda por el cierre de
Megaupload por parte del FBI y las reacciones
que este hecho tuvo por parte de grupos de
ciberactivistas como Anonymous. El que fuera
el mayor sitio de almacenamiento de archivos
de Internet con millones de usuarios activos
(muchos de ellos de pago) fue cerrado por la
agencia americana acusado de almacenar
contenido ilegal y lucrarse con ello.
La fama de este servicio era tal que la mayoría
de las webs que ofrecían descargas de archivos
o la visión de películas o capítulos de series
usaba enlaces que redirigían a Megaupload,
hecho que generaba millones de euros en
beneficios a los creadores del servicio. Es por
ello que la suspensión de este servicio supuso
un duro golpe a todos los usuarios
acostumbrados a usarlo y las reacciones no se
hicieron esperar. No fue la única reacción a ese cierre y, en días
posteriores, vimos cómo se publicaba parte del
catálogo de Sony Music, tanto discos como
películas y se ponía a disposición de todo aquel
que quisiera descargarlos. Asimismo, a nivel
nacional, se publicó información personal sobre
alguno de los responsables de la ley Sinde,
empezando por los de su promotora, Ángeles
González Sinde, y los del actual Ministro de
Educación, Cultura y Deporte, José Ignacio
Wert. Estos datos incluían domicilios, teléfonos
Así pues, una de las primeras reacciones fue la
personales, datos de familiares e incluso
de realizar ataques masivos de denegación de
fotografías de su residencia, estando a
servicio contra aquellas agencias a las que se
disposición de cualquiera que quisiera
les atribuía el cierre de Megaupload y así, en
consultarlos.
poco tiempo vimos cómo las webs de Universal
Music, la MPAA, el Departamento de Justicia Obviamente, los ciberdelincuentes no quisieron
Americano o incluso la propia web del FBI iban dejar pasar esta ocasión y aprovecharon esta
cayendo una a una. La lista de víctimas fue más noticia para promocionar sitios falsos que
larga e incluyó algunas webs de fuera del afirmaban ser la nueva dirección de
Megaupload.
www.eset.es

5. INFORME DE SEGURIDAD ENERO-ABRIL 2012
Estos sitios solo pretendían engañar a los
usuarios que intentaban acceder a ella, siendo
posible que les bombardearan con publicidad,
almacenasen sus datos para usarlos en
posteriores campañas de spam o descargando
algún tipo de malware que infectara su sistema.
También fue un mes en el que se produjeron
hackeos de sitios webs como el que sufrió el
sitio web de venta online de zapatos
Zappos.com, propiedad de Amazon.com. En
este hackeo los cibercriminales tuvieron acceso
a parte de su red interna al haber penetrado
desde uno de sus servidores en Kentucky,
comprometiendo los datos de 24 millones de También se usaron las redes sociales,
clientes, entre los que figuran nombres, especialmente Facebook, para engañar a los
direcciones e-mail, datos de facturación y de usuarios. Fueron varios los ejemplos que vimos,
envío, números de teléfono y los últimos cuatro entre ellos, volver a la versión anterior del
dígitos de sus tarjetas de crédito así como Timeline, aprovechándose de que en enero se
contraseñas de acceso al servicio. No obstante, empezó a cambiar el aspecto del perfil de los
los atacantes no pudieron acceder a datos usuarios. Vimos cómo se usaban fotos como
críticos de tarjeta de crédito y otros datos de gancho para que los usuarios pulsasen sobre el
pago. botón “Me gusta” y procediesen a contestar
innumerables encuestas que no terminaban
Enero también fue el mes en el que hemos llevándoles a ningún sitio, técnica nada
celebrado el día de la privacidad, día que nos novedosa pero que sigue consiguiendo buenos
encargamos de recordar ofreciendo una serie resultados entre los usuarios más
de consejos en nuestro blog. Precisamente esta desprevenidos.
privacidad no solo se ve amenazada por las
filtraciones ocurridas en enero y que afectaron, Al respecto de vulnerabilidades en aplicaciones,
además de a la ya comentada empresa enero fue el mes en el que Microsoft se
Zappos.com, a grandes empresas como T- decidió, finalmente, a terminar con la obsoleta
Mobile o incluso a la prestigiosa universidad de versión 6 de su navegador Internet Explorer,
Harvard.. También aprovechamos para activo durante más de 10 años. También vimos
recordar la importancia de ir con cuidado sobre cómo Apple retiraba de su App Store la popular
qué datos privados cedemos a terceros y cómo aplicación WhatsApp sin dar mayores
pueden ser usados. El aviso del cambio en las explicaciones para, días después, volver a
políticas de privacidad de Google también puso publicarla. Imaginamos que pretendían forzar a
en alerta a muchos usuarios y no son pocos los los desarrolladores para que solucionasen los
que revisaron estos cambios para ver en qué graves errores de diseño que permiten que se
medida les afectaba. envíe información sin cifrar.
Asimismo, vimos cómo la privacidad de muchos
usuarios de un determinado tipo de webcam
usado principalmente por particulares y
empresas también pudo verse comprometida
tal y como comprobamos en nuestro
laboratorio. Un error en el firmware de estas
cámaras permitió a cualquiera que realizara
una simple búsqueda encontrarse con miles de
cámaras mostrando todo aquello que estaban
grabando sin ninguna autenticación previa.
www.eset.es

6. INFORME DE SEGURIDAD ENERO-ABRIL 2012
FEBRERO: dispositivos móviles, objetivo de las amenazas
El mes de febrero estuvo Junto a estas técnicas clásicas, vimos cómo se
caracterizado por la también se confirmaba una tendencia que
vuelta de los clásicos veníamos observando en los últimos años: el
engaños que intentan uso de redes sociales como vector de ataque.
aprovecharse de la celebración del día de San Tanto Facebook, como Twitter y otras se
Valentín. A pesar de que las amenazas han llenaron de enlaces con motivos de San
evolucionado y cada vez son más sofisticadas, Valentín ofreciendo premios en metálico, viajes
el aprovecharse de una fecha señalada sigue o más postales. Los ciberdelincuentes saben
dando buen resultado a los ciberdelincuentes. que la mayoría de usuarios se mueven en estas
redes sociales y no quieren perder la
oportunidad de aumentar sus listas de víctimas.
Así, durante este mes observamos todo tipo de
malware usando diversas técnicas para engañar
a los usuarios conforme nos acercábamos al 14
de febrero. Vimos ejemplos clásicos como el
típico mensaje de correo electrónico que nos
invita a descargarnos una supuesta postal
romántica pero que en realidad descargaba un También aprovechando esta celebración vimos
archivo infectado. Una variación de este un aumento en la actividad de promoción de
ejemplo fue otro correo comunicándonos que las falsas farmacias online usando, de nuevo,
habíamos ganado un viaje romántico. De nuevo las redes sociales. Para este tipo de promoción
se trataba de un engaño y, en el caso de que se usaron, no solo las redes sociales más
cayésemos en la trampa y pulsásemos sobre el generalistas como Facebook o Twitter, sino que
enlace proporcionado descargábamos un también se usaron redes más profesionales
malware que infectaba nuestro sistema y este como LinkedIn. De esta manera, con poco
pasaba a formar parte de una botnet. esfuerzo los ciberdelincuentes consiguieron
aumentar sus víctimas potenciales y conseguir
más sistemas infectados.
Los grupos hacktivistas como Anonymous
también estuvieron activos durante ese mes,
realizando acciones como la que publicó los
datos personales de miles de usuarios de foros
neonazis. También hackers anónimos realizaron
intrusiones a diversos sitios webs y publicaron,
por ejemplo, los datos de acceso de miles de
usuarios al sitio web con contenido adulto
Youporn.
www.eset.es

7. INFORME DE SEGURIDAD ENERO-ABRIL 2012
Pero si hubo una acción de un grupo hacktivista Otro tipo de amenaza, que estamos viendo en
que destacó en febrero en España, fue la de abundancia en los últimos meses y que en
Anonymous con motivo de la celebración de la febrero también hizo su aparición, fueron las
gala de los premios Goya. Había expectación páginas web legítimas pero con fallos de
por ver qué actividades de protesta se llevarían seguridad y vulnerabilidades que estaban
a cabo tras la aprobación de la ley Sinde/Wert y siendo aprovechadas para propagar malware.
con los precedentes del año pasado. En esta ocasión analizamos cómo miles de
Finalmente, el fuerte dispositivo policial evitó páginas web que usaban versiones vulnerables
que hubiese incidentes en los exteriores de la del gestor de contenidos Wordpress habían
gala pero sí que hubo una fuerte repercusión sido modificadas por ciberdelincuentes para
en medios online. albergar malware e infectar a todo aquel que
las visitase y no contase con la debida
protección.
Igualmente nos hicimos eco de la intención del
FBI de desconectar los servidores usados por el
malware DNSChanger para redirigir a los
usuarios infectados a sitios maliciosos. Esta
actuación, inicialmente planeada para aarzo
pero que se ha retrasado hasta el próximo 9 de
julio debido al alto número de equipos que aún
se encuentran infectados, puede hacer que
muchos usuarios infectados se queden sin
poder acceder a páginas web hasta que no
cambien la dirección de los servidores DNS en
su sistema.
Siguiendo con malware y cuerpos de seguridad,
durante febrero empezamos a ver una
importante propagación del conocido “virus de
la policía”, propagación que continuaría en
meses siguientes. Esta clase de código
malicioso, también conocido como
ransomware, bloquea los sistemas a los que
infecta y pide un rescate, haciéndose pasar por
un cuerpo de seguridad, diferente según el país
Así pues, mientras aún se estaban entregando de la víctima.
premios, el colectivo hacktivista publicaba una
filtración con datos personales de usuarios Por último, las amenazas más clásicas también
ubicados en uno o varios servidores de la
tuvieron su parte de protagonismo en forma de
Academia de Cine, que habían sido
comprometidos. En los datos publicados se nuevos casos de phishing a diversos bancos o
encontraban, además de los datos de acceso de en estafas en forma de falsos correos
los administradores a los servidores anunciando la ganancia de grandes premios de
comprometidos, mucha información de lotería que se aprovechan del nombre de las
productores, representantes, empresas y próximas olimpiadas de Londres para confundir
demás usuarios relacionados con la industria
a los usuarios.
cinematográfica española. Entre la información
publicada también se encontraban varios
números de teléfono y direcciones de correo
electrónico.
www.eset.es

8. INFORME DE SEGURIDAD ENERO-ABRIL 2012
MARZO: de las botnets desarticuladas a los atentados de Moscú
Tal y como ya de los ficheros es una estrategia rudimentaria
anunciábamos en el pero que suele dar buenos resultados si se sabe
resumen de febrero, el usar apropiadamente. En esta ocasión se ocultó
ransomware conocido un aplicación haciéndola pasar por una foto de
popularmente como “virus de la policía” se la modelo Irina Shayk. Al no mostrarse la
mostró especialmente activo durante este mes. extensión del archivo, la mayoría de usuarios
Fueron muchas las variantes de este malware pulsaron sobre la foto sin saber que realmente
que detectamos en nuestro laboratorio, estaban infectando su sistema.
registrando también numerosos casos reales de
usuarios afectados que vieron cómo su
ordenador era bloqueado bajo amenaza de
denuncia a los cuerpos de seguridad del Estado
si el usuario no hacía un pago de una cantidad
que ronda los 100 €.
Otro ejemplo de malware que seguía afectando
a los sistemas Mac OS era Flashback que, desde
mediados del año pasado ha ido adaptándose y
sacando nuevas versiones para maximizar el
número de usuarios infectados. Durante marzo
aún eran relativamente pocos los usuarios que
se vieron afectados por este malware, sobre
todo si los comparamos con el elevado número
Los usuarios afectados se encontraron con su de afectados que se observó posteriormente y
ordenador bloqueado mientras una aplicación que analizaremos detalladamente en el
les indicaba que habían sido pillados visitando resumen correspondiente al mes de abril.
sitios pornográficos o de pedofilia y pirateando
Uno de los vectores de ataque que más ha sido
material. Dicho ransomware (falso software)
usado para propagar amenazas son las
contenía la imagen de la Policía Nacional pero
vulnerabilidades en el software
se adaptaba según el país desde el que se
multiplataforma de Java. Durante marzo vimos
conecta el usuario, suplantando a varios
cómo una de estas vulnerabilidades era
cuerpos de seguridad europeos. Los usuarios,
aprovechada para descargar malware al visitar
quizá tratando de evitar un mal trago, llevaban
sitios legítimos que habían sido
a cabo el pago de la cantidad exigida.
comprometidos, incluyendo algún blog de
Durante este mes también vimos cómo diversas seguridad informática.
amenazas afectaban al sistema operativo Mac
Estas vulnerabilidades en el software de Java
OS, en una tendencia que, como veremos más
también fueron aprovechadas para realizar
adelante seguirá en aumento durante meses
ataques dirigidos, como el que sufrieron varias
venideros. Por un lado vimos cómo el malware
ONGs pro Tibet. Aprovechándose de dichas
OSX/Imuler infectaba sistemas Mac usando una
vulnerabilidades se enviaban miles de correos
vieja técnica conocida para todos los usuarios
spam con un enlace que redirigía al usuario a
de Windows. La ocultación de las extensiones
www.eset.es

9. INFORME DE SEGURIDAD ENERO-ABRIL 2012
un sitio web especialmente diseñado para Incluso fuimos testigos de una posible filtración
reconocer el navegador usado y lanzar un de una de estas pruebas de concepto en un
exploit diferente para Windows o para Mac y foro chino, dato sorprendente si tenemos en
Linux. De esta forma se consigue maximizar el cuenta que la prueba de concepto original no
número de víctimas aprovechándose de la había salido de aquellos miembros que
condición multiplataforma de Java. componen la Microsoft Active Protection
Program (MAPP), formada por otros
En marzo también vimos cómo Microsoft investigadores, ya sean de Microsoft,
publicaba un parche para solucionar una grave independientes o de las mismas casas antivirus.
vulnerabilidad en la implementación del
protocolo RDP, protocolo que permite las Por suerte también hubo otros investigadores
conexiones a un escritorio remoto. La que se dedicaron a crear herramientas para
posibilidad de ejecutar código remoto en mitigar un posible ataque y hacer más fácil el
millones de equipos de forma remota nos trabajo de los administradores de sistemas.
devolvía a la memoria los problemas que
causaron Sasser o Blaster en su época. Microsoft también fue noticia por ser uno de
Afortunadamente, el uso de este protocolo se los principales responsables, junto con otras
encuentra desactivado por defecto en la empresas y fuerzas de seguridad, del
mayoría de usuarios, siendo los entornos desmantelamiento de varias botnets basadas
corporativos los más propensos a sufrir un en el conocido malware Zeus. Mediante una
ataque de este tipo. Es por eso que Microsoft acción coordinada alrededor del mundo, se
recomendó aplicar este parche lo antes posible consiguió desmantelar alguno de los servidores
para evitar males mayores. más importantes que los ciberdelincuentes
usaban para manejar y dar órdenes a los miles
de ordenadores zombis que poseían. Las
acciones se llevaron a cabo de forma directa,
accediendo a los proveedores de servicios que
alojaban estos servidores de C&C.
A menor escala, ESET colaboró con las
autoridades de Georgia para desmantelar una
botnet que tenía como objetivo al Gobierno de
ese país de Europa del Este. Esta nueva red de
botnets, Win32/Georbot, trataba de robar
documentos y certificados, pero también era
capaz de grabar audio y vídeo y navegar dentro
de la red local para buscar información.
Palabras clave como top secret, army, USA, FBI
o CIA eran buscadas en los ordenadores
afectados para conseguir información
clasificada.
Tras publicarse esta grave vulnerabilidad no
Los vectores de infección clásicos como el envío
tardamos en ver cómo se empezaban a mostrar
de spam también tuvieron su parte de
diversas pruebas de concepto para
protagonismo, sobre todo si incluyen noticias
aprovecharse de ella.
impactantes o tienen como protagonistas a
personajes famosos.
www.eset.es

10. INFORME DE SEGURIDAD ENERO-ABRIL 2012
Durante este mes de marzo vimos cómo se
usaba a jugadores del F.C. Barcelona como
Alexis, Piqué y su novia, la famosa cantante
Shakira, como gancho para, usando técnicas de
phishing, obtener los datos bancarios de los
usuarios que muerdan el anzuelo.
Asimismo, el cantante brasileño de moda,
Michel Teló, también fue usado por los
ciberdelincuentes como gancho al enviarse de
forma masiva un correo con una supuesta
grabación del presunto autor del robo que
sufrió el cantante en Murcia. Obviamente, se
trataba de información falsa, pero que
descargaba un troyano bancario en los sistemas
de aquellos usuarios que, curiosos, intentaban
visualizar el supuesto vídeo.
www.eset.es

11. INFORME DE SEGURIDAD ENERO-ABRIL 2012
ABRIL: filtraciones de datos en PlayStation Network y refuerzo de la
seguridad en Facebook
El troyano Flashback, que OSX/Sabpab. Inicialmente usaba una vieja
había protagonizado varios vulnerabilidad de Microsoft Office 2004 y 2008
quebraderos de cabeza en para Mac pero, al ver el éxito cosechado por el
materia de seguridad en sistemas Mac OS, fue troyano Flashback, decidió incorporar también
el protagonista indiscutible el pasado mes de las vulnerabilidades de Java como vector de
abril al descubrirse una botnet con más de propagación.
600.000 usuarios infectados. Esta elevada
cantidad de usuarios de Mac hizo que saltaran Como vimos en el mes anterior, las webs
todas las alarmas y pronto empezaron a legítimas vulnerables se han convertido en uno
tomarse medidas para mitigar esta infección. de los vectores de propagación de amenazas
Las últimas variantes de OSX/Flashback usaron preferidos por los ciberdelincuentes. Durante
una de las múltiples vulnerabilidades en Java abril vimos cómo con una simple inyección SQL
para propagarse sin intervención del usuario. se conseguía comprometer la seguridad de más
de 180.000 páginas web y hacer que estas se
dedicasen a descargar malware en los sistemas
de los usuarios que las visitasen.
Este vector de ataque es uno de los más usados
en la actualidad y desmitifica la sensación de
seguridad que muchos usuarios tienen al
navegar solo por webs conocidas o
supuestamente confiables.
Por su parte, el ransomware policial o “virus de
la policía” siguió haciendo de las suyas e incluso
le salieron imitadores como
Win32/Ransomcrypt. No es de extrañar la
aparición de este tipo de amenazas, conocidas
también como criptovirología, ya que suponen
una importante fuente de ingresos de la
manera más directa posible, aun a sabiendas de
que también se pueden ser rastreados de
forma mas fácil.
Pero no es la única muestra de ransomware
El hecho de que se aprovechase de una
que vimos en abril. También observamos cómo
vulnerabilidad que hacía varias semanas que se
otra variante infectaba el sistema y
había solucionado en otras plataformas como
reemplazaba el MBR original por uno propio.
Windows o Linux causó bastante malestar,
MBR son las siglas de Master Boot Record y
sobre todo al saber que es la propia Apple y no
consiste en una porción de código almacenada
Oracle, la empresa propietaria de Java, quien se
en los primeros sectores de nuestro disco duro
encarga de gestionar este tipo de
que inicia el gestor de arranque del sistema. Si
actualizaciones. Aun varias semanas después
un malware de este tipo consigue modificar
de que se publicase este descubrimiento y los
este sector de arranque, el usuario no podrá
parches correspondientes sigue habiendo
acceder a su sistema a menos que ceda al
decenas de miles de usuarios infectados y otros
chantaje del ciberdelincuente y pague la
códigos maliciosos han aprovechado esta u
cantidad solicitada.
otras vulnerabilidades para propagarse en
sistemas Mac OS.
Una de estas amenazas que también se
aprovechó de vulnerabilidades en Java fue
www.eset.es

12. INFORME DE SEGURIDAD ENERO-ABRIL 2012
Con respecto a las amenazas orientadas a La empresa japonesa Nissan también anunció
dispositivos móviles, durante el mes de abril una intrusión en la red de su empresa y la
seguimos viendo un goteo constante de detección de un malware que tendría
malware desarrollado, especialmente, para la supuestamente la intención de robar datos
plataforma Android. Durante este mes confidenciales. Según las declaraciones de la
destacamos en el laboratorio de ESET España a propia compañía, tan pronto como se
RootSmart, un malware que parecía una descubrió esta intrusión se tomaron medidas
evolución de GingerMaster, otra amenaza que para eliminar este malware de la red
el verano pasado se aprovechó de corporativa y proteger los datos sensibles
una vulnerabilidad crítica de Android 2.3 relacionados con empleados, clientes y
(Gingerbread) con la finalidad de obtener distribuidores en todo el mundo.
privilegios de root en el sistema infectado.
Por último, la compañía VMware también avisó
de la filtración y posterior publicación del
código fuente de uno de sus productos,
concretamente VMware ESX. Como en otras
ocasiones anteriores, el enlace desde el cual
descargar esta información se compartió en
múltiples sitios como Pastebin y, aunque la
empresa anunció que esta filtración no suponía
un peligro para sus usuarios, siempre es
desagradable que se produzcan este tipo de
sucesos en grandes empresas.
Microsoft avisó a finales de mes de una
vulnerabilidad en su servicio de correo Hotmail
que permitía acceder a las cuentas de los
usuarios, permitiendo a un atacante cambiar la
contraseña de acceso por una de su elección.
Esta vulnerabilidad se estuvo aprovechando
durante varias semanas, sobre todo en países
árabes aunque Microsoft reaccionó rápido
evitando que el fallo pasara a mayores.
Los APT o ataques dirigidos tuvieron su
protagonismo en forma de ataques que
afectaron a empresas y Gobiernos. El Ministerio
del Petroleo iraní y otras empresas asociadas
fue víctima de la infección por parte de un
gusano informático. De nuevo las alarmas
saltaron al recordar el caso Stuxnet y corrieron
ríos de tinta especulando sobre las posibles
consecuencias de este nuevo ataque aunque
desde las fuentes oficiales se aseguró que
ningún documento oficial se había visto
comprometido y que solo se desconectaron
temporalmente las refinerías para evitar daños
en estas.
www.eset.es

13. INFORME DE SEGURIDAD ENERO-ABRIL 2012
3. 4 de cada 10 españoles pierde o le roban el móvil o la tablet
Quizá es la primavera, quizá no, pero lo cierto es
que últimamente cada vez son más los conocidos o compañeros
que pierden su móvil o su tablet. O lo que es peor, son víctimas
de ladrones que van específicamente buscando el último modelo
tecnológico de smartphone o de tableta. En la mayoría de las
ocasiones, lo más probable es que no quieran más que sacar un
dinero vendiendo los dispositivos en otros países, pero lo cierto
es que por el camino tienen acceso a un montón de información
privada que todos y cada uno almacenamos en nuestros
terminales.
Según los resultados del último estudio sobre “Seguridad en
móviles” que publicamos recientemente, 4 de cada 10 españoles
pierde o le roban el móvil o la tablet. Lo verdaderamente
importante es que cada vez más, utilizamos el móvil
prácticamente para todo: no solo para enviar y recibir llamadas
(evidentemente), sino para leer y contestar e-mails, entrar a
redes sociales, almacenar fotos, comprar online e incluso utilizar
nuestro banco desde el terminal.
Y lo hacemos desde aplicaciones que en su inmensa mayoría
conservan abierta la sesión para facilitarnos la vida y no tener que
introducir una y otra vez nuestras contraseñas de acceso:
costumbre muy peligrosa si pensamos que nuestro móvil o tablet
puede caer en manos de terceros.
En muchas ocasiones por desconocimiento, o por pereza (que
todo hay que decirlo), no siempre seguimos unas normas básicas
de seguridad. Y cuando tenemos algún percance, en algunos
casos no sabemos muy bien qué pasos tenemos que dar para
intentar recuperar el dispositivo o, al menos, bloquear el acceso
del “indeseable” a nuestra información sensible.
Por eso, en ESET España, Ontinet.com, hemos elaborado esta
infografía que resume los seis principales hábitos de seguridad
básicos que recomendamos seguir a los usuarios, así como los
tres pasos a seguir en caso de sufrir algún percance.
Esperemos que esta guía sirva de utilidad para prevenir disgustos
innecesarios y que ningún lector tenga que seguir los tres pasos
de emergencia.
www.eset.es

14. INFORME DE SEGURIDAD ENERO-ABRIL 2012
4. Google y su mina de datos
¿Utilizas Google? Bueno, actualmente la verdad es que esta
pregunta podría resultar un poco absurda si utilizas Internet, o
un iPhone, o un teléfono con Android, o Kindle o un iPad,
porque desde luego en este caso seguro que utilizas Google de
alguna manera.
Desde el 1 de marzo de 2012, el mayor recolector de datos
personales del mundo, Google, cambió la forma en cómo usa la
información que tiene de ti. ¿Qué cambio supone esto? Y lo que
es más, ¿qué debo hacer para proteger la información que
Google está recopilando sobre mí?
Empecemos a contestar estas cuestiones fijándonos en la
infografía, que representa potencialmente cuánta información
es capaz Google de recopilar sobre nosotros a través de sus
diferentes servicios.
La infografía, llamada “Google y su mina de datos”, muestra
algunos –aunque no todos– de sus servicios, a través de los
cuales Google podría, potencialmente, acceder para recopilar
información y hacerse una imagen de ti y de tus intereses, según
utilices dichos productos.
Para ser claros, no estoy diciendo que Google esté activamente
recopilando todos estos datos para crear perfiles detallados de
la gente que se compartan de forma inapropiada con terceros.
Lo que digo es que los cambios que Google hizo el pasado 1 de
marzo han levantado numerosas cuestiones que no tienen
contestación, y no somos lo que se puede decir nuevos en esto
de la privacidad de Internet.
El indicador más visible de los cambios realizados el pasado 1 de
marzo es la “unificación de las políticas de privacidad”, que
combinó unas 60 políticas de privacidad de diferentes productos
de Google en una sola. Pero la aplicación de solo una política de
privacidad de forma retroactiva es problemática. Es por esto que
todo el mundo que ya utilizaba un servicio de Google ha tenido
que dar de nuevo su consentimiento.
Vamos a ver un ejemplo práctico. Cojamos Gmail: empecé a
utilizarlo hace muchos años (Google dice que tiene 350 millones
de usuarios activos en Gmail). Aunque no utilizo la dirección de
Gmail como mi correo principal, en la actualidad tengo como
47.000 mensajes en mi bandeja de entrada, lo que puede darte
una imagen más o menos certera de qué ha pasado en los
últimos siete años de mi historia, que han sido un montón de
cosas.
www.eset.es

15. INFORME DE SEGURIDAD ENERO-ABRIL 2012
¿Y qué pasa con el motor de búsqueda de Google? Si hago un cálculo rápido, es posible que haya
realizado más de 47.000 búsquedas vía Google en estos últimos años.
Bueno, con estos datos mi imagen puede estar mucho más completa. Y todavía podemos completarla
más si tomamos en cuenta la cantidad de vídeos de YouTube que he publicado, comentado, buscado o
visto.
Creo que el punto crítico de todo esto, es cuánto valgo para Google como un cliente potencial de sus
anunciantes online, ya que Google se ha dado cuenta de que mi valor es más alto según va recopilando
más información sobre mí. Como un montón de gente, incluyendo los fans de Google, ahora me
pregunto qué podría llegar a pasar con todo el set de datos que Google tiene de mí.
¿Y cuáles son mis opciones si quiero impedir que Google utilice todos los datos que tiene míos? El sitio
por donde debemos empezar, sitio que deberías visitar incluso si no estás preocupado sobre tus datos y
Google, es el Dashboard.
El Dashboard de Google
Necesitas hacer login en Google para ver la
información del Panel de Control o Dashboard, y
seguramente te sorprenderás por la gran
cantidad de información que el gigante tiene
sobre ti.
En mi perfil, he contado 32 entradas diferentes
de datos, y una nota que dice “15 productos
adicionales no están disponibles en este
dashboard” (estaría bien saber cuáles son, de
forma que pudiera analizarlos). Debajo puedes
ver una imagen de mi Dashboard.
La primera cosa que ha atraído mi interés es el
link “Websites authorized to access the account”,
es decir, “Lista de sitios web autorizados a
acceder la cuenta”. Cuando he hecho clic en este link, me he encontrado con algunas sorpresas, dado
que había algunos servicios de los que no era consciente de que tenían acceso a mis datos.
www.eset.es

16. INFORME DE SEGURIDAD ENERO-ABRIL 2012
Es cierto que eliminar el acceso a mis datos es fácil, pero la verdad es que Google podría haber hecho un
mejor trabajo en esta página informándome de qué significa exactamente que dichos servicios tienen
acceso a mi cuenta, así como las implicaciones de añadir más servicios o de revocar los permisos.
En esta misma página encontramos bastante información acerca de las passwords específicas de
aplicaciones y de la verificación en dos pasos, pero, de nuevo, no hay suficiente información.
Yo mismo en la web
Lo siguiente que me encuentro en mi Dashboard de Google es “Me on the Web”, algo así como “Yo
mismo en la web”. Este apartado tiene tres secciones, aunque el contenido que Google ha puesto en
este apartado es realmente valioso:
1. Cómo gestionar tu identidad online: consejos sobre cómo buscarte a ti mismo para averiguar
qué hay indexado sobre ti; cómo crear un perfil de Google como una vía de control acerca de lo
que la gente puede averiguar de ti; cómo eliminar contenidos no deseados en resultados de
búsqueda y una vía para notificarte cuando algo nuevo sobre ti aparece en la web.
2. Cómo eliminar contenido inadecuado: más contenido sobre el mismo tema de la sección
anterior.
3. Sobre mí en la Web: más de lo mismo.
A pesar de la redundancia de los contenidos, esta información es realmente valiosa. Es normal que los
usuarios que estén activos en Social Media probablemente sepan lo que se habla de ellos y ya se han
buscado (por ejemplo, yo, regularmente, me busco a mí misma para controlar todo lo que aparece o se
habla sobre mí, y tengo configurada una alerta de Google para que me avise precisamente de esto). Lo
que me sorprende es la cantidad de pasos y de cosas que hay que hacer para poder gestionar tu
identidad online.
Historial Web
Lo que también me ha sorprendido cuando exploras el Dashboard, es el hecho de que el acceso a tu
historial de navegación, a pesar de que es un asunto que parece que preocupa a la gente, está situado
justo al final de la página (sé que es porque esta página se ordena de forma alfabética, pero considero
que es una debilidad desde el punto de vista de diseño de interfaz). Cuando entras a este apartado,
resulta cuanto menos interesante. Esto es lo que veo cuando hago clic en “Remove items or clear Web
History” (eliminar datos o limpiar mi historial web):
www.eset.es

17. INFORME DE SEGURIDAD ENERO-ABRIL 2012
Cuando analices esta página, no te sorprendas con lo que encuentres. Por mi historial, está claro que
Google está guardando la información de qué busco y desde qué fuente: desde mi portátil, desde mi
iPhone, desde mi Kindle… Está claro que se trata de un seguimiento donde se mezclan los datos de
diferentes plataformas. Afortunadamente, Google facilita el que los usuarios puedan parar este servicio
a través del botón Pausa. De acuerdo a Google, el botón Pausa “previene que en el futuro se almacene
la información de tu actividad en la web en tu historial, y de ser utilizada dicha información para
personalizar tus resultados de búsqueda”. Si haces clic en “Remove all Web History” (eliminar todo el
historial web), tus datos de actividad almacenados se eliminarán totalmente.
Otra forma de evitar que Google almacene información sobre ti es navegar y buscar sin hacer login en
ningún servicio de Google. Si al ir awww.google.es ves tu nombre en la parte superior de la página,
entonces estás validado en algún servicio de Google. Puedes hacer clic en tu nombre para acceder a la
opción de “Sign out” o salir.
Si estás utilizando Google como motor de búsqueda en tu iPhone de Apple y utilizas iOS5, puedes ir a la
pantalla de configuración de Safari y activar la navegación privada como sistema para evitar ser
rastreado (estoy segura de que la opción de navegación privada viene desactivada por defecto y no
recuerdo haber hecho login en Google desde Safari en mi iPhone, pero puedo asegurarte que mis
búsquedas realizadas desde este teléfono han sido rastreadas por Google antes de que haya activado la
navegación privada).
También verás que Google es muy persistente avisándote de que no estás validado en el portal,
instándote a hacer login. Una estrategia a considerar es el utilizar diferentes navegadores desde tu
ordenador, y hacer login solo con uno en concreto. Esto significaría que podrías utilizar Google Chrome,
por ejemplo, para mantener tu sesión abierta, mientras navegas y realizas tu actividad normal con
Firefox, sin hacer login en Google. Pero para asegurarnos todavía más de que no vas a ser rastreado,
acuérdate de activar la opción “Do not track” en Firefox.
¿Qué problema hay en que Google grabe toda tu actividad de búsqueda? La respuesta es muy subjetiva,
teniendo en cuenta que otras personas pueden llegar a saber en qué estás particularmente interesado.
Por supuesto que no todo el mundo en Google está vigilando exactamente toda tu actividad de
búsqueda, pero hay cosas claramente certeras en cuanto a qué puede pasar con tu historial.
Te invito a que leas de nuevo (y si no lo has hecho, te invito a que lo hagas) la sección titulada “For legal
reasons” (por razones legales) de la Política de Privacidad de Google. Básicamente, dice que Google
compartirá tu información personal con compañías, organizaciones o personas fuera de Google si la
compañía tiene “una buena razón debido a temas legales, regulaciones, procesos legales o
requerimientos gubernamentales que justifique el acceso, uso, preservación o difusión de la
información”. No soy abogada, pero sí me atrevo a decir que es demasiado amplia la definición y parece
que hay muchas formas de interpretar las expresiones “una buena razón” y “que justifique el acceso…”.
Es una cuestión de fe… Y, claramente, no creo que Google tenga ningún tipo de control sobre de qué
manera una tercera entidad puede interpretar algunas de mis búsquedas en Google, como “almacén de
misiles cerca de mí” o “dónde comprar arsénico”.
Preferencias publicitarias
Una de las razones por las que Google quiere tener tu historial de navegación web es para mejorar la
orientación de sus anuncios. La compañía argumenta que es mejor para sus usuarios. El mercado
sugiere que también es mejor para Google. Y aunque Google te permite ejercer cierto control sobre los
anuncios que puedes ver, esta posibilidad de configuración no aparece, extrañamente, en el
Dashboard. Tienes que ir a un sitio llamado Ads Preferences para hacer cambios. Las preferencias están
divididas entre “Ads on Search and Gmail” (anuncios en el motor de búsqueda y en Gmail) y “Ads on the
Web” (anuncios en la Web).
www.eset.es

18. INFORME DE SEGURIDAD ENERO-ABRIL 2012
Seguramente encontrarás cosas muy interesantes si has permitido a Google utilizar su cookie para
seguir el rastro de tus actividades. La página presenta “un resumen de tus intereses y datos
demográficos que Google ha asociado a tu cookie”. Francamente, me ha sorprendido lo que he
encontrado, porque no tenía una imagen tan exacta de mí y de mis intereses como suponía, lo que
puede sugerir que Google todavía no está haciendo la correlación de toda la información que tiene de
mí…, todavía.
La página Ads Preferences te permite deshabilitar la opción de ver anuncios específicos para ti y te da
acceso también a la eliminación o a la edición de tus preferencias sobre anuncios. Entre otras cosas, te
permite personalizar los anuncios eliminando categorías erróneas de temas que no te interesan e
incluso añadir nuevas categorías de intereses. Y como pasa con muchas cosas en Google, los detalles son
un poco complejos. Por ejemplo, se necesita una cookie para prevenir el seguimiento. Por lo tanto, si
eres de los que por hábito sueles eliminar tus cookies del navegador, probablemente también estarás
eliminando esta una y otra vez.
Algo más que decir…
Efectivamente, hay muchas más cosas que decir sobre los cambios en la política de privacidad de Google
y en cómo están siendo gestionados, empezando por el hecho de que Google ha seguido adelante a
pesar del coro de objeciones de legisladores y reguladores tanto en Estados Unidos como en la Unión
Europea. Hay también una pregunta en el aire: ¿qué pasa con las empresas y las agencias
gubernamentales que utilizan los productos de Google y cómo les afectan a ellos estos cambios?
Durante la crisis financiera en 2008, todos nosotros oímos una y otra vez una frase que se hizo muy
popular: “Demasiado grande para caer”. Me resulta complicado evitar pensar que, dado el vasto
imperio que tiene Google con su base instalada y su gran catálogo de servicios, los cambios en su
política de privacidad son “demasiado grandes para entenderlos en toda su complejidad”. Ciertamente,
teniendo una imagen clara de dónde están ahora las cosas, es normal pensar que Google tiene un
trabajo duro por delante en cuanto a adecuar todos sus servicios a todos sus usuarios, teniendo en
consideración que el gigante sigue desarrollando herramientas como el Dashboard (que todavía
necesita evolutivos).
www.eset.es

19. INFORME DE SEGURIDAD ENERO-ABRIL 2012
5. Resumen de amenazas enero-abril
Pocas sorpresas en cuanto al top 10 de amenazas que han estado distribuyéndose y afectando durante
estos cuatro meses. Los sospechosos habituales han seguido manteniéndose en lo alto del ranking.
Y también pocos cambios, si lo comparamos con las tendencias del año 2011, lo que parece indicar que
vamos a seguir la misma tendencia a lo largo del año.
Las amenazas que se han mantenido en los titulares de nuestras noticias son básicamente
HTML/Scrinject, INF/Autorun, HTML/Iframe, el viejo y conocido Conficker y otro histórico, Sality.
INF/Autorun, es una amenaza diseñada para distribuirse a través de dispositivos USB. Tener una buena
protección instalada en el ordenador y utilizar cualquiera de las aplicaciones gratuitas que evitan la
autoejecución de estos dispositivos nos ayudaría sumamente a la hora de evitar ser afectados. Conficker
se soluciona aplicando un parche de seguridad de Microsoft, que al parecer muchos todavía no hemos
aplicado.
Este es el top 10 de amenazas de estos primeros cuatro meses del año:
www.eset.es

20. INFORME DE SEGURIDAD ENERO-ABRIL 2012
6. Sobre ESET España – Ontinet.com
Acerca de ESET
Fundada en 1992, ESET es un proveedor global de software de seguridad para empresas y
consumidores. El líder de la industria en detección proactiva de malware, ESET NOD32 Antivirus, posee
el récord mundial en número de premios VB100 de Virus Bulletin, sin haber dejado de detectar nunca ni
un solo gusano o virus “in the wild” (activo en el mundo real) desde la fundación de las pruebas en 1998.
ESET tiene sus oficinas centrales en Bratislava (Eslovaquia) y oficinas en San Diego (EE.UU.), Buenos
Aires (Argentina), Praga (República Checa) y una amplia red de partners en 160 países. En 2008, ESET
abrió un nuevo centro de investigación en Cracovia (Polonia). ESET fue incluida en la lista Technology
Fast 500 de Deloitte como una de las compañías tecnológicas de más rápido crecimiento en la región de
Europa, Oriente Medio y África.
Acerca de Ontinet.com
Ontinet.com, empresa valenciana especializada en la comercialización de productos y servicios de
seguridad informática, está presente en todo el territorio español a través de una red de más de 3500
distribuidores.
Creada en 1992, distribuye en exclusiva para el mercado español los productos ESET, además de otros
productos, tecnologías y servicios de seguridad como Outpost Firewall, de Agnitum, y el controlador de
ancho de banda Netlimiter, de Locktime Systems, soluciones cuya calidad está avalada por prestigiosos
organismos independientes que lo certifican.
Actualmente sigue ampliando su oferta de productos y su presencia en el sector mayorista, para cubrir
las necesidades de los consumidores, tanto domésticos como corporativos, en materia de seguridad.
Ontinet.com es una empresa comprometida con sus clientes. Sus responsables técnicos analizan a diario
todos los temas relacionados con la seguridad informática en su Blog de Laboratorio, una manera
informal de acercarse a la seguridad informática, en blogs.protegerse.com.
www.eset.es

21. INFORME DE SEGURIDAD ENERO-ABRIL 2012
www.eset.es/siguenos
Hazte fan de ESET España
Consulta nuestras últimas noticias en
twitter
Síguenos la pista en tuenti
Añádenos a tus círculos en Google+.
Visita nuestro canal en youtube
www.eset.es