Septiembre trajo consigo bastantes novedades en el mundo de la ciberseguridad. Las amenazas siguen evolucionando y, con ellas, las formas de defendernos. Este mes vimos desde ataques de ransomware con tácticas más agresivas hasta incidentes que afectaron a infraestructuras críticas. Cada semana hubo algo que puso en alerta a muchas empresas y usuarios. Si quieres estar al tanto de lo más importante que ocurrió y conocer cómo puedes protegerte mejor frente a estos riesgos, aquí tienes un resumen de las noticias clave de septiembre.
Transport for London (TfL) ha sufrido un ciberataque que dejó a su personal con acceso limitado a sistemas y correos electrónicos. Inmediatamente tras el ataque, se notificó a las agencias gubernamentales pertinentes, como el Centro Nacional de Seguridad Cibernética y la Agencia Nacional contra el Crimen. TfL está trabajando junto con estas entidades para contener el incidente y minimizar el impacto.
Shashi Verma, director de tecnología de TfL, explicó que se tomaron medidas rápidamente para frenar cualquier otro intento de acceso no autorizado. Aunque la operación diaria del transporte público de Londres no se vio afectada, los sistemas de reembolso se han ralentizado y se ha expuesto información de clientes, incluyendo nombres, datos de contacto y direcciones.
En su actualización de seguridad de septiembre de 2024, Microsoft lanzó parches para 79 vulnerabilidades, incluyendo cuatro de día cero, tres de las cuales estaban siendo activamente explotadas. Esta actualización también aborda siete fallas críticas que permitían la ejecución remota de código y la elevación de privilegios.
Entre las vulnerabilidades más graves está la CVE-2024-38014, que permite a los atacantes obtener privilegios de SISTEMA en máquinas con Windows, y la CVE-2024-38217, que elude funciones de seguridad clave como Smart App Control. También destaca la CVE-2024-38226, que vulnera las protecciones de macros en Microsoft Publisher.
Además, Microsoft corrigió un problema crítico, CVE-2024-43491, que había reintroducido fallas de seguridad previamente parcheadas en algunas versiones de Windows 10 y ediciones empresariales específicas. Las actualizaciones abarcan una amplia gama de vulnerabilidades, desde la elevación de privilegios hasta la ejecución remota de código, y son esenciales para garantizar la protección de los sistemas contra posibles ataques.
La policía desmanteló una red criminal internacional que utilizaba una plataforma de phishing como servicio (PhaaS) para desbloquear teléfonos robados o perdidos, afectando a miles de personas en todo el mundo. Esta plataforma, conocida como iServer, fue responsable de más de 483,000 víctimas, con los mayores impactos en países como Chile (77,000), Colombia (70,000), Ecuador (42,000), Perú (41,500), España (30,000) y Argentina (29,000).
Según Europol, la mayoría de las víctimas eran hispanohablantes de Europa, América del Norte y América del Sur. Este golpe a la red criminal fue parte de la Operación Kaerb, una colaboración entre las autoridades de España, Argentina, Chile, Colombia, Ecuador y Perú.
La operación, que se llevó a cabo del 10 al 17 de septiembre, resultó en la detención de un ciudadano argentino, identificado como el creador y operador del servicio PhaaS desde 2018. Además, las autoridades arrestaron a 17 personas, realizaron 28 allanamientos y confiscaron 921 objetos, incluidos teléfonos móviles, dispositivos electrónicos, vehículos y armas. Según los informes, la red había logrado desbloquear 1.2 millones de teléfonos móviles antes de ser desarticulada.
Conoce más sobre: Europol Desmantela Red de Phishing que Atacaba Credenciales Móviles
Desde junio de 2024, el sector asegurador en Colombia ha sido objetivo de un grupo de cibercriminales conocido como Blind Eagle. El ataque tiene como fin desplegar una versión personalizada del malware Quasar RAT en los sistemas de las víctimas.
La ofensiva comenzó a través de correos electrónicos de phishing que se hacían pasar por la autoridad fiscal de Colombia, engañando a los destinatarios para que hicieran clic en enlaces maliciosos. Estos enlaces dirigían a archivos ZIP almacenados en Google Drive, vinculados a una cuenta comprometida de una entidad gubernamental. Los archivos contenían una variante del malware Quasar RAT, llamada BlotchyQuasar, diseñada para evadir la detección mediante técnicas de ofuscación.
Este malware tiene capacidades para registrar pulsaciones de teclas, ejecutar comandos remotos, robar datos y vigilar las actividades bancarias de los usuarios en Colombia y Ecuador, representando un riesgo significativo para las empresas afectadas.
El gigante de alquiler de autos Avis reveló una violación de datos en la que se comprometió la información personal de 299,006 clientes. El incidente ocurrió entre el 3 y el 6 de agosto de 2024, cuando los atacantes accedieron a una de las aplicaciones comerciales de la compañía.
Una vez detectada la brecha, Avis bloqueó el acceso de los intrusos y lanzó una investigación junto a expertos en ciberseguridad. Como parte de su respuesta, la empresa está notificando a los clientes afectados y ofreciéndoles servicios gratuitos de monitoreo de crédito e identidad para protegerse de posibles fraudes.
Además, la compañía, que opera más de 10,000 puntos de alquiler en todo el mundo y generó más de $3 mil millones en ingresos en el segundo trimestre de 2024, ha implementado mejoras en sus sistemas de seguridad para evitar futuros ataques.
Podría interesarte leer: ¿La Ciberseguridad es cara? Descubre lo que Cuesta No Tenerla
El equipo de Análisis de Amenazas (TAG) de Google ha dado a conocer que México ha sido blanco de ciberespionaje debido a su relevancia como la duodécima economía más grande del mundo. Desde 2020, grupos de espionaje cibernético de más de 10 países han atacado a usuarios y organizaciones mexicanas, y lo más alarmante es que más del 77% de estos ataques provienen de solo tres países:
Esta situación está poniendo en riesgo la seguridad digital del país, afectando tanto a ciudadanos como a sectores clave de la economía. Según el informe de Google, "México está en la mira de varios actores de ciberespionaje, con ataques que reflejan intereses y prioridades geopolíticas que también observamos en otras regiones".
Una reciente investigación de Acronis ha revelado una sofisticada operación de ciberataques, conocida como "Operación WordDrone", que está afectando a fabricantes de drones en Taiwán. Los atacantes aprovecharon una vulnerabilidad en versiones antiguas de Microsoft Word para infiltrar una puerta trasera en los sistemas afectados. Usando un archivo de Word legítimo, introdujeron un cargador de DLL malicioso que permitía ejecutar una carga útil cifrada, lo que les daba acceso y control persistente sobre los sistemas comprometidos.
Durante el ataque, se utilizaron herramientas como Impacket wmicexec y ProcDump para expandir el acceso dentro de la red y robar credenciales. El objetivo principal eran empresas taiwanesas relacionadas con la creciente industria de drones, convirtiéndolas en blancos de alto valor para posibles actividades de espionaje.
Lo más preocupante es que los archivos maliciosos se encontraron en directorios de un software ERP popular en Taiwán, lo que sugiere que los atacantes podrían haber comprometido la cadena de suministro. Además, explotaron software desactualizado y certificados digitales para evadir las medidas de seguridad y mantener su acceso a los sistemas.