Lima, 14 de abril de 2020
17
Transcript of Lima, 14 de abril de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 14 de abril de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 010
Fecha: 14-04-2020
Página: 2 de 16
Componente que reporta PECERT | EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Vulnerabilidad critica en VMWare permite robo de datos confidenciales Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV
Medios de propagación Internet
Código de familia H Código de Sub familia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional detectó un aviso de seguridad de VMware con el código de identificación Id VMSA-2020-0006, en el cual informan sobre una vulnerabilidad de divulgación de información confidencial que afecta al producto VMware vCenter Server. La vulnerabilidad reside en el directorio VMware Directory Service (vmdir) que forma parte de la versión 6.7 en el sistema operativo Windows y dispositivos virtuales.
VMware ya ha publicado la actualización de vCenter Server 6.7u3f para su descarga, en la cual corrige dicha vulnerabilidad en el producto señalado.
2. Detalles de la alerta:
VMWare informa en su aviso de seguridad con código de identificación Id VMSA-2020-0006, que la vulnerabilidad ha sido identificada como CVE-2020-3952, con una calificación crítica y recibe una puntuación CVSSv3 de 10. Para todos aquellos que utilicen vCenter Server versión 6.7.
CVE-2020-3947: Vulnerabilidad bajo ciertas condiciones, vmdir que se entrega con VMware vCenter Server, como parte de un controlador de servicios de plataforma (PSC) incorporado o externo, no implementa correctamente los controles de acceso.
Para remediar CVE-2020-3952, aplique las actualizaciones enumeradas en la columna 'Versión fija' de la Matriz de respuesta, que a continuación se detalla:
Producto Versión Que se ejecuta en
Identificador de CVE
CVSSV3 Gravedad Versión fija
Documentación adicional
vCenter Server
6.7 Dispositivo virtual
CVE-2020-3952 10,0 Crítico 6.7u3f KB78543
vCenter Server
6.7 Windows CVE-2020-3952 10,0 Crítico 6.7u3f KB78543
3. Solución:
La empresa ha publicado los enlaces donde se encuentra la descarga de la actualización vCenter Server 6.7u3f y su respectiva documentación:
Producto : VMware vCenter Server
Descarga : https://my.vmware.com/web/vmware/details?productId=742&rPId=44888&downloadGroup=VC67U3F
Documentación : https://kb.vmware.com/s/article/78543
4. Recomendaciones:
Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
Actualizar VMware vCenter Server 6.7u3f para corregir la vulnerabilidad crítica.
Actualizar los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ciberataques y la toma de control de los sistemas informáticos.
Realizar concientización constante a los usuarios sobre este tipo de amenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional-PECERT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 010
Fecha: 14-04-2020
Página: 3 de 16
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Exploits Zero Day cada vez más usados en ataques dirigidos
Tipo de ataque Exploits Abreviatura Zero Day
Medios de propagación Red, Correo
Código de familia C Código de sub familia C02 Clasificación temática familia Zero Day
Descripción
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha detectado que los exploits Zero Day son tipos de amenaza que evolucionan y encuentran un buen encaje en determinados mercados. Un ejemplo perfecto de ello son las botnets, redes de ordenadores como las recientemente desmanteladas en Holanda, puestas a disposición de quién esté dispuesto a pagar por emplearlas con las intenciones (nunca buenas) que sean.
2. La compañía FireEyese apoya en los datos recopilados por Mandiant Threat Intelligence, su servicio de recopilación de información sobre ciberamenazas, según el cual esto es la confirmación de una tendencia que se inició a final de 2017.
3. Estos son algunos de los casos descritos en el informe:
Un grupo descrito por los investigadores como Stealth Falcon y FruityArmor ha dirigido varios ataques a periodistas y activistas en oriente medio, utilizando un malware que aprovechó tres zero day exploits de iOS.
SandCat, entidad sospechosa de estar vinculada a la inteligencia del estado de Uzbekistán, habría utilizado varios exploits en operaciones contra objetivos en oriente medio. Este grupo podría haber adquirido sus armas en las mismas fuentes que Stealth Falcon ya que ambos emplearon las mismas.
Según los investigadores, el grupo de espionaje chino APT3 explotó la vulnerabilidadd CVE-2019-0703 en ataques dirigidos en 2016.
FireEye observó que el grupo norcoreano APT37 realizó una campaña de 2017 que aprovechó la vulnerabilidad Adobe Flash CVE-2018-4878. Este grupo ha demostrado una gran capacidad para emplear zero day exploits.
Desde diciembre de 2017 hasta enero de 2018, varios grupos chinos aprovecharon CVE-2018-0802 en una campaña dirigida a múltiples industrias en Europa, Rusia, el sudeste asiático y Taiwán. Al menos tres de cada seis vulnerabilidades see explotaron antes de que se emitiera el parche para las mismas.
En 2017, los grupos rusos APT28 y Turla aprovecharon varias vulnerabilidades de día cero en productos de Microsoft Office.
4. Recomendaciones:
Tener en cuenta que encontrar un zero day exploit en aplicaciones y sistemas operativos de uso extendido no
es algo sencillo, pero no imposible.
Usar UEBA, para adquirir políticas de seguridad que incluya medidas y herramientas capaces de detectar
comportamientos y acciones anómalas; aquí tenemos un ejemplo más de que la filosofía Zero Trust es un gran
acierto, de cara a limitar posibles daños.
Fuentes de información https://blog.segu-info.com.ar/2020/04/exploits-zero-day-cada-vez-mas-usados.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 010
Fecha: 14-04-2020
Página: 4 de 16
Componente que reporta CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Ataque E-Skimmer contra sitios web wordpress utilizando el complemento Woocommerce Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de sub familia C02
Clasificación temática familia Código Malicioso Descripción
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró que expertos han descubierto un nuevo e-skimmer (robo de información de tarjetas de crédito) empleado en ataques contra sitios web de WordPress, utilizando el complemento WooCommerce (plugin de comercio electrónico).
2. El malware se aloja dentro de un archivo ya existente y legítimo, lo que hace que sea un poco más difícil de detectar. La parte del script que captura los detalles de la tarjeta se inyectó en el archivo "./wp-includes/rest-api/class-wp-rest-api.php".
3. El software malicioso recoge los detalles de pago y guarda los números de tarjeta y los códigos de seguridad CVV en texto plano en forma de cookies. El script luego utiliza la función legítima file_put_contents para almacenarlos en dos archivos de imagen separados (un archivo .PNG y un JPEG) que se mantienen en la estructura del directorio wp-content / uploads. En el momento del análisis, ambos archivos no contenían datos robados. El malware tiene la capacidad de borrar automáticamente los archivos una vez que los atacantes han adquirido la información.
4. Recomendación:
Los administradores de sitios de WordPress deben deshabilitar la edición directa de archivos para wp-admin agregando la siguiente línea a su archivo wp-config.php: define ('DISALLOW_FILE_EDIT', verdadero).
Fuentes de información https://securityaffairs.co/wordpress/101445/hacking/woocommerce-plugin-e-skimmer.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 010
Fecha: 14-04-2020
Página: 5 de 16
Componente que reporta CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Detección de malware que infecta dispositivos móviles con apk de Youtube a través de Whatsapp
Tipo de ataque Malware Abreviatura Malware
Medios de propagación Red, páginas web
Código de familia C Código de sub familia C01 Clasificación temática familia
Código malicioso
Descripción
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un malware en un archivo de nombre “free youtube.apk” publicado el 07 de abril de 2020, por el Ing. de Seguridad Solomon Jade Thuo de la empresa Garrett Discovery(EEUU). Este malware viene circulando a través de WhatsApp infectando dispositivos móviles con sistema operativo Android, el mismo que fue publicado en la web de Noticias de Seguridad Informática.
2. Es un malware difundido como un APK de YouTube que tiene un peso de 509 kb. Al momento de ser instalado ofrece un supuesto beneficio de las características de un Youtube premium de manera gratuita, el cual ha sido detectado en usuarios de diversos países del África, siendo un potencial peligro para los países infectados por la pandemia del COVID-19.
3. Una vez instalado el APK obtiene permisos para leer, enviar y recibir mensajes en el dispositivo del usuario infectado, además de solicitar permisos de administrador en el sistema operativo Android, lo que le permitiría borrar y formatear la tarjeta de memoria del dispositivo móvil.
4. Es necesario señalar que los desarrolladores de esta APK no incluyeron una interfaz de usuario, por lo que esta aplicación pasara desapercibida a simple vista, complicándose el proceso de desinstalación de este malware.
5. Recomendaciones:
No abrir ni instalar aplicativos supuestamente gratuitos.
No descargar aplicativos de fuentes externas o desconocidas, a las plataformas oficiales del sistema operativo Android.
Fuentes de información https://noticiasseguridad.com/videos-noticias/nuevo-virus-de-whatsapp-infecta-dispositivos-via-apk-de-youtube/ https://es.digitaltrends.com/entretenimiento/que-es-youtube-premium/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 010
Fecha: 14-04-2020
Página: 6 de 16
Componente que reporta CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidad en la aplicación de videoconferencia Cisco Webex
Tipo de ataque Interrupción de servicios tecnológicos. Abreviatura Intservtec
Medios de propagación Usb, disco, red, correo, navegación de internet Código de familia F Código de sub familia F01
Clasificación temática familia
Disponibilidad del servicio
Descripción
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de NIST (Instituto Nacional de Estándares y Tecnología), la vulnerabilidad “CVE-2019-1866” que se encuentra activa desde el 13abr2020, que afecta a la aplicación de “Cisco Webex” a la versión 39.1.0 para dispositivos móviles y de escritorio.
2. Esta vulnerabilidad afecta a la integridad de la aplicación de videoconferencia Cisco Webex, la cual atribuye a una validación incorrecta de los valores del encabezado del host y conduce a una vulnerabilidad de escalada de privilegios, esto permite que el atacante ingrese remotamente y obtenga una posición de red privilegiada.
3. Al momento de que el atacante obtenga los valores de encabezado del host podría obtener la manipulación de la aplicación y la use para redirigir a un usuario desde el sitio de Cisco Webex a un sitio arbitrario de su elección.
4. El ataque puede ejecutarse de forma remota, pues no requiere de una forma de autentificación para realizar una explotación exitosa, impactando la confidencialidad, integridad y disponibilidad de la aplicación.
5. Recomendaciones:
Actualizaciones a una versión más reciente y más segura.
Añadir una contraseña para las videoconferencias, esto evita el acceso no autorizado.
Fuentes de información
https://nvd.nist.gov/vuln/detail/CVE-2019-1866 https://vuldb.com/?id.153066
https://quickview.cloudapps.cisco.com/quickview/bug/CSCvm98833
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA DE SEGURIDAD DIGITAL N°010 Fecha: 14-04-2020
Página: 7 de 16
Componente que reporta DIRECCION NACIONAL DE INTELIGENCIA
Nombre de la alerta El uso de Zoom y sus implicaciones para la seguridad y privacidad. Recomendaciones y buenas prácticas
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red
Código de familia H Código de Sub familia H01 Clasificación temática familia Intento de intrusión
Descripción
1. Contexto:
De acuerdo a las coordinaciones e intercambio de información con el Centro Criptológico Nacional (CCN) de España, el CCN ha elaborado un informe sobre “El uso de Zoom y sus implicaciones para la seguridad y privacidad”. En donde nos enumera una serie de recomendaciones y buenas prácticas que debemos de tener en consideración.
Según el CCN, la evolución de la pandemia marcada por Covid-19 y el confinamiento asociado de los ciudadanos, el distanciamiento social y la cuarentena ha traído consigo el uso generalizado de videoconferencias y aplicaciones de chat como Zoom, WebEx, Houseparty, Google Meet o Microsoft Teams.
Los ciberatacantes están aprovechando las oportunidades asociadas con el miedo en torno a la pandemia, el teletrabajo ampliamente implantado, las dificultades para parchear puntos finales conectados remotamente y el incremento de la superficie de exposición derivada de permitir operativas más fluidas. En este contexto, las sesiones y aplicaciones de videoconferencia deficientemente protegidas son un magnífico vector de ataque.
2. Análisis de Zoom:
Zoom es una aplicación de videoconferencia con mensajería en tiempo real e intercambio de contenido fácil de configurar y usar, que permite reuniones con hasta 100 participantes de forma gratuita. Decisiones de diseño orientadas a ofrecer una mayor usabilidad han permitido realizar actuaciones no deseadas.
La aplicación Zoom está siendo cuestionada por problemas de privacidad y seguridad en los últimos días.
Cualquiera puede "bombardear" una reunión pública de Zoom si conoce el número de la reunión y usar la compartición de ficheros para publicar imágenes impactantes o hacer sonidos molestos en el audio permitiendo de esta manera la interrupción y sabotaje (zoombombing) de reuniones con contenido inapropiado, blasfemias y lenguaje amenazante. Zoom aconseja a los anfitriones de las reuniones que establezcan "salas de espera" para evitar los "bombardeos de Zoom", ya que mantiene a los participantes en espera hasta que un anfitrión autoriza su acceso.
Para minimizar el número de clics desde la descarga de la aplicación hasta su ejecución en macOS se usan incorrectamente las comprobaciones previas a la instalación mostrando un mensaje de contraseña engañoso.
Fugas de direcciones de correo electrónico, fotos de usuarios y llamadas injustificadas debido a una configuración inadecuada que agregaría automáticamente personas a las listas de contactos de un usuario si ambos inician sesión con una dirección de correo electrónico perteneciente al mismo dominio.
Zoom utiliza AES-256 en modo ECB para el cifrado de las comunicaciones, lo que no resulta aconsejable ya que la información cifrada conserva posibles patrones presentes en los datos en claro facilitando romper el cifrado para un ciberatacante que capture el tráfico. Además, Zoom cifra las comunicaciones, pero no el contenido, por lo que ataques de MitM (Man in the Middle) en el que se acepte la conexión con certificados no válidos, podría permitir a un atacante el acceso a la información.
Es posible que ciertas reuniones hayan podido conectarse a sistemas en China, donde las autoridades de este país con una diferente legislación de protección de datos podrían obligar a los operadores de servicios a entregar datos.
A pesar de que Zoom tiene mecanismos antisabotaje integrados, estos pueden deshabilitarse o incluso reemplazarse por una versión maliciosa que secuestra la aplicación.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Por otro lado, los cibercriminales1 están aprovechando el auge de la aplicación Zoom y el aumento en el número de descargas de la app para registrar dominios que ofrecen un ejecutable de Zoom que contiene código dañino. Esto no significa que Zoom distribuya malware, sino que páginas creadas por cibercriminales distribuirían el malware haciéndose pasar por la página oficial de la aplicación para engañar al usuario.
Se recomienda encarecidamente descargarse la aplicación únicamente de sitios y markets oficiales y verificar contactando con el remitente por otro canal de comunicación cualquier enlace de reunión que no utilice los nombres de dominio zoom[.]us o zoom[.]com.
En este escenario diversas instituciones, organismos y agencias desaconsejan la utilización de Zoom hasta que la empresa corrija las vulnerabilidades reportadas, aplique prácticas de cifrado más seguro, aclare sus políticas de privacidad y publique un informe de transparencia.
Ante estos hechos, Zoom ha procedido a parchear y actualizar los servicios que presta de cara a reducir la superficie de exposición indicada y enfatizada por la crisis del Covid-19.
El 20 de marzo, Zoom publicó una entrada en su blog2 para ayudar a los usuarios a gestionar incidentes de acoso escolar (zoombombing), indicando medidas de prevención como salas de espera, contraseñas, controles de silencio y limitar el uso compartido de pantalla.
Asimismo, Zoom reconoció que su reclamo de soporte de cifrado extremo a extremo es engañoso3, aclarando que Zoom cifra el contenido de la conferencia y que no se realiza grabación de la misma. La empresa indicó que el tráfico pasa por.su infraestructura sin descifrarse en ningún momento antes de llegar a los clientes receptores.
Para aquellos que necesiten un control adicional de sus claves, a día de hoy existe una solución local para toda la infraestructura de la reunión. Adicionalmente, a finales de este año estará disponible una solución para permitir a las organizaciones aprovechar la infraestructura en la nube de Zoom y así alojar el sistema de gestión de claves dentro de su entorno.
Zoom ha indicado que nunca ha creado un mecanismo para descifrar reuniones en directo con fines de interceptación legal y que no existe ningún medio para incluir a terceros en las reuniones sin que se refleje en la lista de participantes.
El 27 de marzo, Zoom actualizó su aplicación de iOS4 (violaciones de privacidad de iOS) para eliminar el código que enviaba los datos del usuario a Facebook cuando abría la aplicación (zona horaria y ciudad, detalles sobre el dispositivo o si el usuario no tenía cuenta de Facebook).
El 29 de marzo, Zoom actualizó su política de privacidad5 para que fuese más clara y transparente sobre los datos que recopila y cómo se utilizan, aclarando explícitamente que “no vendemos los datos de nuestros usuarios, nunca hemos vendido datos de usuarios en el pasado, y no tenemos intención de vender datos de usuarios en el futuro”.
El 2 de abril, Zoom parcheó vulnerabilidades que permitían la escalada de privilegios y el acceso a grabación, reunión y micrófono en macOS.
El 2 de abril, Zoom corrigió una vulnerabilidad asociada al chat del cliente Zoom de Windows que podría permitir a un atacante remoto robar las credenciales de inicio de sesión de Windows de un usuario si este hacía clic en una ruta de tipo Universal Naming Convention (UNC).
El 7 de abril, Zoom informó que habían implementado una solución para una vulnerabilidad grave en Zoom que permitía obtener la clave de cifrado de la reunión a usuarios en la sala de espera.
Zoom eliminó recientemente una función de "seguimiento de atención de asistentes" que permitía a los anfitriones ver si los asistentes tenían la ventana Zoom u otra ventana de aplicación enfocada durante una reunión.
3. Recomendaciones y buenas prácticas:
La mejor manera de evitar el bombardeo6 de Zoom es no compartir los números de reunión de Zoom con nadie más que con los participantes previstos. Adicionalmente, se puede solicitar a los participantes que usen una contraseña para iniciar sesión en la reunión.
1 un artículo que recogía las investigaciones de la empresa Check Point Research 2 https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/ 3 https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/ 4 https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/ 5 https://blog.zoom.us/wordpress/2020/03/29/zoom-privacy-policy/ 6 https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La mejor manera de evitar el bombardeo7 de Zoom es no compartir los números de reunión de Zoom con nadie más que con los participantes previstos. Adicionalmente, se puede solicitar a los participantes que usen una contraseña para iniciar sesión en la reunión.
Agendar una reunión
Zoom permite dejar programada una reunión para una hora y fecha concreta. Si usted es el organizador de la reunión, a la hora de agendarla debe tener en cuenta las siguientes recomendaciones:
o Genere un ID de reunión aleatorio y requiera contraseña para entrar en la reunión. Si pulsa sobre la opción “Contraseña”, puede cambiar la contraseña por defecto.
o Configure la reunión para que el vídeo del anfitrión y de los participantes permanezca desactivado.
o Habilite la sala de espera y no permita que los invitados entren a la reunión antes que el anfitrión (organizador). Del mismo modo, si no es estrictamente necesario grabar la reunión, deshabilite esta opción antes de iniciar la reunión.
Crear una nueva reunión desde el menú principal
El menú principal de Zoom, también permite crear una reunión de forma inmediata. Para ello, habría que pulsar sobre “Nueva reunión” y comenzar a configurar la sala antes de invitar a los participantes. Para ello:
o Una vez pulse sobre “Nueva reunión”, genere una ID de reunión aleatoria.
o Apague el vídeo para el anfitrión.
o Cuando pinche sobre el botón azul “Iniciar una reunión”, le aparecerá en la pantalla el ID de la reunión asignado de manera aleatoria y la contraseña generada de manera automática al organizar una reunión siguiendo este procedimiento.
o Se procederá a continuación a configurar la seguridad de la reunión.
o Habilite la sala de espera y silencie a los participantes al entrar.
o Además, configure la reunión para que:
o Permita que solo los participantes que hayan iniciado sesión en Zoom ingresen a la reunión.
o Deshabilite la inclusión de contraseña en el enlace de invitación a la reunión.
o Silencie a los participantes cuando ingresen a la reunión.
o Desactive el chat privado entre los asistentes.
o Establezca el uso compartido de pantalla solo para el anfitrión.
o Active la sala de espera para los participantes (al activar esta opción, se desactiva automáticamente la opción que permite a los participantes unirse a la reunión antes que el anfitrión).
o Active indicador sonoro cada vez que un invitado entre o salga de la reunión.
Crear una nueva reunión desde el menú secundario
La aplicación Zoom también permite crear de una tercera forma una reunión que, en principio, se desaconsejaría puesto que implica iniciar la reunión con el ID personal y no con uno aleatorio.
Si se pulsa sobre el menú secundario, sobre la opción “Reunión” puede iniciar una nueva reunión a partir de su ID personal. En primer lugar, antes de iniciar la reunión o invitar a participantes, pulse sobre la opción Editar para comenzar a configurar los ajustes de la sesión:
o Requiera contraseña para acceder a la reunión. Si pulsa sobre la opción “Contraseña” puede modificar la que, establecida por defecto, luego desactive el vídeo del anfitrión (organizador) y de los invitados.
o Habilite la sala de espera y no permita que los invitados accedan a la reunión antes que el organizador.
o Si no es estrictamente necesario grabar la reunión, desactive la opción “Grabar la reunión de forma automática”.
7 https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Recomendaciones de Zoom para el ámbito educativo:
o Publicó una guía8 del administrador sobre cómo configurar un aula virtual.
o Estableció una guía9 sobre cómo asegurar mejor sus aulas virtuales.
o Configuró una política de privacidad dedicada a los menores de 12 años (K-12)10.
o Modificó la configuración para los usuarios de educación inscritos en el programa K-12 para que las salas de espera virtuales estén habilitadas de forma predeterminada.
o Modificó la configuración para los usuarios de educación inscritos en el programa K-12 para que los maestros sean los únicos que, de forma predeterminada, puedan compartir contenido en clase.
4. Conclusiones
Con una configuración adecuada, Zoom puede ser una alternativa apropiada en la mayoría de los casos, con independencia de que este software se encuentre actualmente en el objetivo de los ciberatacantes dada su reciente popularidad.
Zoom está publicando parches de seguridad, ha reforzado el equipo de seguridad, pretende continuar mejorando el producto11 y está organizando webinar semanales12 para proporcionar actualizaciones sobre privacidad y seguridad a la comunidad.
En este sentido, si se realiza una adecuada implementación13, respetan unos mínimos requisitos de seguridad en la configuración14 y llevan a cabo buenas prácticas15 se puede considerar Zoom una opción a tener en cuenta en escenarios de teletrabajo como los actuales marcados por la crisis del Covid-19 donde no se maneje información sensible.
En definitiva, ante las reacciones en contra de Zoom durante estos días, y de acuerdo con el párrafo anterior se considera asumible el riesgo de usar Zoom para reuniones que no sean muy sensibles en su contenido, clases escolares y situaciones fuera de la oficina sobre asuntos rutinarios.
5. Imágenes:
8 https://zoom.us/docs/doc/School%20Administrators%20Guide%20to%20Rolling%20Out%20Zoom.pdf?zcid=1231 9 https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/ 10 https://zoom.us/docs/en-us/childrens-privacy.html?zcid=1231 11 https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/ 12 https://zoom.us/webinar/register/WN_9jdr63uuRuSRBX-yEJ2zVQ?zcid=1231 13 https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf 14 https://www.eff.org/deeplinks/2020/04/harden-your-zoom-settings-protect-your-privacy-and-avoid-trolls 15 https://www.ccn.cni.es/index.php/es/docman/documentos-publicos/206-ciberconsejos-videollamada
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Fuentes de información 1. Centro Criptológico Nacional (CCN) de España 2. Equipo de Seguridad Digital DINI
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 010
Fecha: 14-04-2020
Página: 12 de 16
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Páginas falsas para descargar ZOOM Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de Subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes aprovechando la situación actual de la pandemia coronavirus, COVID-19 y el uso de la aplicación ZOOM, que permite trabajar en casa, para diseñar páginas fraudulentas con la finalidad que los usuarios descarguen la aplicación en mención. La relación de páginas falsas se viene difundiendo a través de PASTEBIN, una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general.
ZOOM - Es un sistema de videoconferencia o de reuniones virtuales, accesible desde computadoras tradicionales y desde aparatos móviles. Comúnmente conocido como Zoom, se le conoce también como Zoom app.
2. Relación de URL fraudulentas:
N° URL Fraudulenta Compañía de Seguridad
Informática Resultado
1 zoom-download.com Fortinet Phishing
2 shortm.su ESET Phishing
3 joke-in-video.com Kaspersky Malware
4 games-onl1ne.com Kaspersky Malware
5 internet-explorer-browser.com Kaspersky Malware
6 amigo-downloads.com Kaspersky Malware
7 bittorrent-msetup.com Kaspersky Malware
8 www.nod32-downloads.com Fortinet Malware
9 www.firefox-msetup.com Kaspersky Malware
10 chrome-download-now.com Kaspersky Malware
11 bittorrent-msetup.com Kaspersky Malware
12 zoom-download.com Kaspersky Malware
13 nod32-downloads.com ESET Malware
14 goods-on1ine.com Kaspersky Malware
15 google-chrome-msetup.com BitDefender Malware
16 360-security-msetup.com Kaspersky Malware
17 www.minecraft-msetup.com Kaspersky Malware
18 www.flash-player-now.com Kaspersky Malware
19 okzrenie.su Kaspersky Malware
20 winrar-msetup.ru Kaspersky Malware
21 savefrom-msetup.com CLEAN MX Malicioso
22 zoom-download.com CRDF Malicioso
23 viber-desktop.com Fortinet Malicioso
24 telegram-download.net CLEAN MX Malicioso
25 best-games-online.net Fortinet Malicioso
26 viber-desktop.com Fortinet Malicioso
27 getfftrk.com Fortinet Malicioso
28 ogbtrck.com Fortinet Malicioso
29 flash-player-msetup.ru Fortinet Malicioso
30 chrome-msetup.ru Fortinet Malicioso
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
31 utorrent-msetup.ru Fortinet Malicioso
32 my-skype-now.com Fortinet Malicioso
33 www.ogbtrck.com Fortinet Malicioso
34 www.tlauncher-msetup.com Fortinet Malicioso
35 skype-msetup.ru Fortinet Malicioso
36 watch-video-online.su Fortinet Malicioso
Como resultado del análisis de las URL fraudulentas en las diferentes plataformas de las compañías de seguridad informática, se puede apreciar que 18 URL presentan Malware, 02 Phishing y 16 figuran como sospechosas.
Referencias:
Malware. – Software malicioso, programa malicioso, programa maligno, badware, código maligno, software maligno, software dañino o software malintencionado a cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.
Phishing. – Conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar
Malicioso. - Código malicioso es un tipo de código informático o script web dañino diseñado para crear vulnerabilidades en el sistema que permiten la generación de puertas traseras, brechas de seguridad, robo de información y datos, así como otros perjuicios potenciales en archivos y sistemas informáticos.
3. Recomendaciones:
No abras correos de remitentes que no conoce.
No descargues archivos de URL dudosas.
Visita páginas oficiales para realizar descargas.
Siempre debes pensar que los ciberdelincuentes harán hasta lo imposible para obtener información personal (contraseñas, datos de cuenta bancarias, entre otras informaciones).
Fuentes de información https://pastebin.com/iWfCNxkf https://www.virustotal.com/gui/home
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 010
Fecha: 14-04-2020
Página: 14 de 16
Componente que reporta AREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ
Nombre de la alerta Smishing – BBVA Perú Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación SMS
Código de familia G Código de Sub familia G02
Clasificación temática familia Fraude
Descripción
1. Comportamiento:
El área de Operaciones de ASBANC advierte sobre una campaña de smishing que se está difundiendo desde el número de celular +51 984 630 895 que contiene el enlace http://gg.gg/BBVA-PE, y redirige a una página web fraudulenta del Banco BBVA Perú https://bancaporinternet.bbva.pe.thelinkmart.com/bdntux_pe_web/bdntux_pe_web.
2. Indicadores de compromiso:
URL de alojamiento : https://bancaporinternet.bbva.pe.thelinkmart.com/bdntux_pe_web/bdntux_pe_web
IP : 162.213.253.75
Dominio : thelinkmart.com
Localización : Los Ángeles - Estados Unidos
URL de redirección : http://gg.gg/BBVA-PE
Nro. de celular : +51 984 630 895
3. Imágenes:
4. Recomendaciones
Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).
Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).
Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad.
Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.
Fuentes de información Área de Operaciones de ASBANC
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 010
Fecha: 14-04-2020
Página: 15 de 16
Componente que reporta AREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ
Nombre de la alerta Smishing – Banco de Crédito del Perú Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación SMS
Código de familia G Código de Sub familia G02
Clasificación temática familia Fraude
Descripción
1. Comportamiento:
El área de Operaciones de ASBANC advierte sobre una campaña de smishing que se está difundiendo desde el número de celular +51 959 895 736 que contiene el enlace https://bit.ly/AlertBCP, y redirige a una página web fraudulenta del Banco Crédito del Perú https://bcpzonasegurabeta.viabcip.me/#/iniciar-sesion.
2. Indicadores de compromiso:
URL de alojamiento : https://bcpzonasegurabeta.viabcip.me/#/iniciar-sesion
IP : 142.11.227.112
Dominio : viabcip.me
Localización : Seattle - Estados Unidos
URL de redirección : https://bit.ly/AlertBCP
Nro. de celular : +51 959 895 736
3. Imágenes:
4. Recomendaciones:
Promover el uso de una solución de seguridad en todos los dispositivos finales (antivirus, EDR).
Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).
Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos. o Esquemas de Ingeniería social. o Aprenda a reconocer las características de los portales de su entidad.
Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.
Fuentes de información Área de Operaciones de ASBANC
FALSO
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 010
Fecha: 14-04-2020
Página: 16 de 16
Componente que reporta AREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ
Nombre de la alerta Smishing – Banco de Crédito del Perú Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación SMS
Código de familia G Código de Sub familia G02
Clasificación temática familia Fraude
Descripción
1. Comportamiento:
El área de Operaciones de ASBANC advierte sobre una campaña de smishing que se está difundiendo desde el número de celular +51 959 434 498 que contiene el enlace https://bit.ly/Bcp-actualizacion, y redirige a una página web fraudulenta del Banco Crédito del Perú https://www.bcpzonasegurabeta.vibcp.live/inicar-sesion.
2. Indicadores de compromiso
URL de alojamiento : https://www.bcpzonasegurabeta.vibcp.live/inicar-sesion
IP : 23.254.161.6
Dominio : vibcp.live
Localización : Seattle - Estados Unidos
URL de redirección : https://bit.ly/Bcp-actualizacion
Nro de celular : +51 959 434 498
3. Imágenes
4. Recomendaciones:
Promover el uso de una solución de seguridad en todos los dispositivos finales (antivirus, EDR).
Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).
Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad.
Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.
Fuentes de información Área de Operaciones de ASBANC
![[05] PlantillaActividadCurso 11 de Abril 2013 Lima Peru](https://static.fdocuments.es/doc/165x107/563db8ae550346aa9a95f476/05-plantillaactividadcurso-11-de-abril-2013-lima-peru.jpg)
