Me ha llegado un correo con un adjunto ¿Cómo lo abro de forma segura?

En numerosas ocasiones, todos hemos recibido un correo de un remitente desconocido con un documento adjunto. Craso error.

Estos documentos adjuntos pueden ser maliciosos.
Aunque a día de hoy los gestores de correo "se han puesto las pilas"
con el tema de la seguridad, aun queda un largo camino que recorrer,
tanto en la propia seguridad, como en la concienciación de los usuarios.

¿Por que no debo abrir los adjuntos de un correo desconocido?

Es muy importante saber que prácticamente todo adjunto en un correo puede ser malicioso, Los documentos Office, por ejemplo, pueden tener macros incrustadas. Una macro, es una orden incluída en un fichero ofimático. Estas órdenes, pueden hacer que tu equipo conecte con un dominio que en sí, si que tiene un malware como tal. Digamos que la macro es el método de infección.

Lo primero, siempre recomendamos seguir los siguientes consejos:

• Todo adjunto es malicioso hasta que se demuestre lo contrario
• La desconfianza es el mejor antivirus
• No abrir correos que no esperabas, o de remitentes desconocidos, como se suele decir, si es importante insistirán!.
  
• Los ciberdelincuentes siempre usarán reclamos para que abras el adjunto (o la url phishing)
• Factura pendiente, multa de tráfico, impago..
• Has ganado..., te ha tocado..., tienes un premio esperándote
• chicas quieren conocerte, te paso las fotos que me tome desnuda en la fiesta...

Si a estas alturas de la vida, sigues pensando que las multas llegan por correo, que ganas sorteos sin ni siquiera echar la papeleta, o que de repente una chica monísima que no has visto en tu vida quiere conocerte sin tener tu correo... Tienes un problema.

Vale, vale. Pero... ¿Cómo puedo verificar qué es el adjunto?

Si has llegado a leer hasta aquí, te daré la respuesta.

Hay varias formas de analizar qué es ese archivo y qué hace, tenemos la forma mas "básica" y la forma más "cyberhacker"  😉

Forma básica:

Usa un lector de ese tipo de documento (no me hago responsable del tratamiento que le den a esa información). Si buscas abrir pdf online o abrir word online, podrás encontrar cientos de sitios que lo abrirán por ti, igual encuentras alguna que te abra una lata de atún 😂

Forma cyberhaker 😉

Usa un sandbox online, te dirá tanto la puntuación de malignidad, como las conexiones que hace (si las hace). Alguna también te muestra el contenido del fichero.

De esta forma, ya no hay excusa para no quedar protegidos frente a correos electrónicos.

Resumen de consejos.

• Desconfía de todo.
• Ignora correos con reclamos poco realistas
• No pinches
• No abras
• No toques
• No hagas
• Analiza

KeyLogger ¿Qué hacen?, ¿Cómo funcionan? ¿Para qué sirven?

Hoy vamos a hablar acerca de los programas de tipo Keylogger, qué hacen, cómo funcionan y para que sirven. También veremos la parte negativa de éstos

Los KeyLogger son básicamente programas espía que registran todas y cada una de las pulsaciones que se registran en el teclado.
Esto significa que registrará las conversaciones que realizas a través de las redes sociales, lo que escribes en el documento que estás redactando para entregárselo a tu jefe mañana o lo peor de todo tu usuario y la contraseña de tu red social favorita, por ejemplo.

Funciona ejecutándose en segundo plano, con lo que el usuario que está realizando las pulsaciones en el teclado no verá ningún programa abierto... A no ser que lo vea desde el administrador de tareas, éste programa puede ser configurado para activarse manualmente o mediante comandos de teclas, todas las pulsaciones de teclas se vuelcan en un fichero de texto en local o puede ser enviado directamente a través de internet.

El peligro no es sólo que un amigo o familiar te quiera robar contraseñas o espiar tus conversaciones, si no que si algún amigo o familiar te lo instala, puede que éste sea enviado a través de internet a una persona con intenciones maliciosas, y que esta obtenga credenciales personales tuyas. Por ello NO recomendamos para nada el uso de este tipo de programas, ya que por una broma que quieras gastar a un amigo, puede hacer que algún malo "listillo" se haga con sus contraseñas y el asunto se vuelva serio. Respetemos la privacidad del vecino.

Malware-Backdoor

Un malware de tipo backdoor es un programa no deseado cuyo fin es crear una puerta trasera en un sistema, dando acceso al atacante. Dicho de otro modo, el fin de un malware de tipo backdoor es el acceso al sistema no autorizado para que el atacante tenga libertad de usarlo a su gusto. Actualmente muchos antivirus "de estar por casa" detectan estas puertas traseras en nuestros sistemas. Algunos fabricantes instalan una puerta trasera en sus productos por si el usuario olvida la clave de acceso al sistema, poder restaurarla.

Malware-Spyware

Un programa de tipo spyware es un programa espía, como su propio nombre indica. Se dedicará a recoger información del sistema sin el consentimiento del usuario, historial de navegación, configuraciones del sistema,contraseñas y accesos bancarios

Los métodos más comunes de infección son, mediante la recepción de un correo con una URL que redirige a un sitio malicioso y mediante el callback de un malware de tipo troyano (El callback de un malware son las conexiones [llamadas] que realiza una vez se ha infectado el sistema, pudiendo conectarse con direcciones IP y con dominios, puede realizar conexiones con algún dominio malicioso que contenga malware de tipo spyware).

Buffer Overflow

El desbordamiento de búfer o buffer overflow se produce cuando un programa satura la zona de memoria llamada búfer (es una parte de la memoria cuya función es reservar una parte de esta a los datos que están a la espera de ser procesados).

Cuando esto ocurre, se produce un efecto de desbordamiento, "inundando" con esa información pendiente de procesar, otras áreas de la memoria sobre-escribiendo lo que había anteriormente en esa zona.

Esto se puede producir debido a fallos críticos en el código de un programa, que puede ser aprovechado por un atacante para hacer que un sistema no funcione correctamente

Anonymous ATACA de nuevo!

Esta tarde, el grupo de "hacktivistas" Anonymous ha atacado a diferentes páginas de instituciones españolas (ministerio del interior, tribunal constitucional, ministerio de fomento, ministerio de justicia, universidad de Barcelona...) con motivo de la independencia de Cataluña, y por ello aprovecho para hablar de este tipo de ataques.



¿Cómo lo hacen?

Este tipo de ataques se denominan DDOS, o en español, ataque de denegación de servicio distribuido.  Éste se lleva a cabo generando un gran flujo de información desde varios puntos de conexión hacia un mismo punto de destino. Esto se realiza mediante una red de bots o bot net, con ordenadores infectados previamente con un malware que los convierte en ordenadores "zombie" y así quedan a su entera disposición. hay numerosos ataques de este tipo, pero principalmente nombraremos tres:

SYN Flood:

SYN es un paquete que envía el cliente para contactar con el servidor, entonces se establece la conexión TCP entre ambas partes. Una vez la conexión está establecida, el atacante inunda la conexión con tantos paquetes SYN como les sea posible.


ICMP Flood:

En este tipo de ataque se envían paquetes ICMP hasta sobrecargar el servidor, aunque este tipo de ataque puede ser  detenido detenido fácilmente.

Zombie Flood:

Son los más dificiles de detener, las conexiones no falsificadas sobrecargan la red consumiendo el ancho de banda.

¿Cómo puedo protegerme de este tipo de ataques?

Estos ataques son los que más pueden afectar a las empresas, para ello las empresas contratan las llamadas tecnologías de control de mitigación, que funcionan 24/7, evitando ataques pequeños y mitigando los ataques más grandes.

Todos los ataques cometidos por Anonymous con motivo de la independencia de Cataluña han sido avisados en Twitter por miembros de este grupo de "hacktivistas" con el hashtag #OPCatalunya

Funciones HASH

Hash: Código unidireccional de longitud de entrada variable y longitud de salida fija. Sirve para verificar la integridad de los datos (asegurarnos que los datos no han sido modificados) y para guardar contraseñas.

¿Qué significa esto?

Significa que mediante una comprobación del hash podemos ver si han modificado los datos, cabe destacar que por poco que hayan sido modificados el hash cambiará completamente, veámoslo:

Datos	MD5 Hash
El jinete cabalga sobre el caballo blanco	e588c948e5fed4e11ba53c7008aa6af8
el jinete cabalga sobre el caballo blanco	6c98591f791b9a6e2b2c8221217c4981

Con cambiar solamente una letra por la misma en minúscula, vemos que cambia completamente el resultado de la función.

¿Puede haber dos entradas diferentes con el mismo resultado hash?

No debería haberlas, si las hubiese se denominaría colisión hash, lo que significa que ese hash no es seguro.

¿Y si roban el hash de mi contraseña en una base de datos?

Existe una función complementaria a las hash, son las SALT. Se trata de enmascarar el hash, introduciendo en la función hash bits aleatorios.Volvamos al ejemplo anterior

El jinete cabalga sobre el caballo blanco → MD5 e588c948e5fed4e11ba53c7008aa6af8→ MD5+SALT→e588c948e53fed4e11bat53c70e08aa6af8

Vemos que el hash ha cambiado, así se complica el trabajo de robar contraseñas a los ciberdelincuentes.

¿Cómo pueden desencriptar los hash?

Existen unas tablas llamadas tablas rainbow o arcoiris, que se venden en Internet donde salen palabras y contraseñas frecuentes con su correspondiente hash, he aquí el problema de tener hola123 como contraseña, esa contraseña aparecerá en numerosas tablas arcoiris. Contraseñas fuertes evitan este tipo de ataques.