Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
• URL:
o hxxp://188[.]166[.]74[.]218/office.exe hxxp://188[.]166[.]74[.]218/radm.exe
o hxxp://188[.]166[.]74[.]218/untitled.exe hxxp://45[.]55[.]211[.]79/.cache/untitled.exe
3. Recomendaciones:
• Evaluar bloqueo preventivo de los indicadores de compromiso.
• No abrir correos electrónicos de dudosa procedencia.
• Contar con un antivirus y/o herramientas antiransomware.
• Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
1. El 23 de febrero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un artículo
en el que un grupo de académicos de la ETH de Zúrich ha publicado una investigación sobre un ataque bastante
novedoso mediante el cual es posible usar una tarjeta Mastercard como si fuera una tarjeta VISA y sin necesidad de
conocer el PIN.
2. Esta técnica se aprovecha de vulnerabilidades en el protocolo EMV (Europay, mastercard, and Visa). Aunque se
detallará en el 30° Simposio de Seguridad de USENIX, muy a alto nivel decir que el ataque se logra utilizando una
aplicación de Android que implementa un ataque man-in-the-middle (MitM) sobre una arquitectura de relay, lo que
permite que la aplicación no solo inicie mensajes entre los dos extremos: el terminal y el tarjeta, sino también
interceptar y manipular las comunicaciones NFC (o Wi-Fi) para introducir maliciosamente una discrepancia entre la
marca de la tarjeta y la red de pago.
3. El ataque llamado “card brand mixup”, en español “confusión de tarjetas”, aprovecha el hecho de que estos AID no
están autenticados en el terminal de pago, lo que hace posible “engañarla” para que active un kernel defectuoso y,
por ende, que el banco que procesa los pagos en nombre del comerciante acepte transacciones contactless con un
PAN y un AID que indican diferentes marcas de tarjetas.
4. Sin embargo, el ataque requiere una serie de requisitos previos: se debe tener acceso a la tarjeta de la víctima, además
de poder modificar los comandos del terminal y las respuestas de la tarjeta antes de entregarlos al destinatario
correspondiente. Lo que no requiere es la necesidad de tener privilegios de root o explotar fallos en Android para usar
la aplicación de prueba de concepto (PoC).
5. Contramedidas:
• MasterCard y Visa han entregado una serie de contramedidas, incluida la obligación de las instituciones
financieras de incluir la AID en los datos de autorización, lo que permite a los emisores de tarjetas comparar la
AID con el PAN.
• La red de pago ha implementado controles para otros puntos de datos presente en la solicitud de autorización
que podrían usarse para identificar un ataque de este tipo.
▪ hxxps://blog.segu-info.com.ar/2021/02/evaden-el-pin-de-las-tarjetas.html?m=1
Fuentes de información
▪ hxxps://www.hackplayers.com/2021/02/ataque-confusion-marcas-tarjetas.html
1. El 23 de febrero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un ataque tipo
Defacement a un sitio web con dominio “edu.pe” perteneciente al colegio francés Mary Buss (Lima). Los
ciberdelincuentes aprovechan el bajo nivel de seguridad de las páginas web para realizar este tipo de ataque.
2. Recomendaciones:
• Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de
prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).
• Adquirir un certificado de seguridad para proteger el sitio web.
• Realizar copias de seguridad del sitio web con frecuencia.
• Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.
• Tener softwares actualizados.
1. Se ha detectado un nuevo malware denominado Silver Sparrow, dirigido a dispositivos Mac, encontrándose alrededor de
30 000 sistemas infectado de forma silenciosa.
Según los datos proporcionados por Malwarebytes, este malware a infectado 29,139 puntos finales de macOS en 153
países hasta el 17 de febrero. A pesar del alto número de infecciones, los detalles sobre cómo se distribuyó el malware y
los usuarios infectados aún son escasos.
Una vez infectado el sistema, el malware solo espera nuevos comandos de sus operadores.
La gran cantidad de sistemas infectados sugiere que se trata de una amenaza muy grave, ya que también viene con soporte
para infectar sistemas macOS que se ejecutan en la última arquitectura de chip M1 de Apple.
El malware se ha visto distribuido como dos archivos diferentes denominados “Updater.pkg” o “Update.pkg”. La única
diferencia observada es que update.pkg incluye un binario Intelx86_64 y un Apple M1, mientras que el otro solo incluye
el ejecutable de Intel.
A diferencia de otros malware, este utiliza JavaScript para ejecutar sus comandos, lo cual dificulta la detección de actividad
maliciosa.
2. Recomendaciones:
Evitar abrir links o ventanas de anuncios, aplicaciones piratas o actualizaciones de Flash que son muchas veces falsas, pues
estos son los vectores de distribución de malware para la mayoría de los programas maliciosos con objetivo a sistemas
Mac.
▪ hxxps://www.zdnet.com/article/30000-macs-infected-with-new-silver-sparrow-
malware/#ftag=RSSbaffb68
Fuentes de información
▪ hxxps://www.bleepingcomputer.com/news/security/new-silver-sparrow-malware-
infects-30-000-macs-for-unknown-purpose/
1. Se tomó conocimiento que ciberdelincuentes están utilizando un enfoque novedoso para robar los detalles de las
tarjetas de crédito de los compradores de comercio electrónico mediante la explotación de la plataforma de
aplicaciones empresariales Apps Script de Google. Los actores de amenazas están abusando del dominio de Google
Apps Script 'script.google.com' para ocultar sus actividades maliciosas de los motores de detección de malware y evadir
los controles de la Política de seguridad de contenido (CSP).
Los ciberdelincuentes confían en el hecho de que la mayoría de las tiendas en línea habrían incluido en la lista blanca
todos los subdominios de Google en su respectiva configuración de CSP (un protocolo de seguridad para bloquear la
ejecución de código sospechoso en aplicaciones web).
Una vez, los estafadores inyectaron el script malicioso en el sitio de comercio electrónico, todos los detalles de pago
robados del sitio explotado son transferidos como datos JSON codificados en base64 a una aplicación personalizada de
Google Apps Script, utilizando script.google.com como punto final de exfiltración. Luego, los datos robados se
transfirieron a otro servidor.
Los servicios de Google, como Google Forms y Google Sheets, también son explotados por la banda de
ciberdelincuentes FIN7 para comunicaciones de comando y control de malware.
defectuoso y el banco procese los pagos en nombre del comerciante y acepte transacciones contactless con un PAN y
un AID que indican diferentes marcas de tarjetas. El atacante realiza simultáneamente una transacción Visa con el
terminar y una transacción Mastercard con la tarjeta.
2. Recomendaciones:
Evitar ingresar credenciales de tarjetas de crédito en páginas no oficiales ni que sean compartidas por redes sociales.
1. Resumen:
Rockwell Automation ha reportado una vulnerabilidad de severidad CRÍTICA de tipo uso de hash de contraseñas con
esfuerzo computacional insuficiente que afecta a la plataforma de servicios FactoryTalk (FactoryTalk Services Platform).
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto no autenticado crear nuevos
usuarios en la consola de administración de FactoryTalk Services Platform. Estos nuevos usuarios podrían permitir que
un atacante modifique o elimine la configuración y los datos de la aplicación en otro software FactoryTalk conectado a
la plataforma de servicios FactoryTalk.
2. Detalles:
Existe un problema con la implementación del algoritmo de hash SHA-256 con FactoryTalk Services Platform que impide
que la contraseña del usuario se procese correctamente. El software genera un hash para una contraseña, pero utiliza
un esquema que no proporciona un nivel suficiente de esfuerzo computacional que haría inviables o costosos los
ataques de descifrado de contraseñas.
Esta vulnerabilidad afecta a los sectores críticos de infraestructura: Química, Instalaciones comerciales, Manufactura
crítica, Energía, Instalaciones gubernamentales, Agua y sistemas de aguas residuales en todo el mundo.
CVE-2020-14516
3. Productos afectados:
FactoryTalk Services Platform, versión 6.10.00 y 6.11.00.
4. Solución:
Rockwell Automation ha lanzado una nueva versión del software afectado para su descarga (es necesario iniciar sesión).
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recomienda a los usuarios tomar medidas
defensivas para minimizar el riesgo de explotación de esta vulnerabilidad.
Los usuarios deben:
• Minimizar la exposición de la red para todos los dispositivos y / o sistemas del sistema de control y asegúrese de
que no sean accesibles desde internet.
• Ubicar las redes del sistema de control y los dispositivos remotos detrás de firewalls y aislarlos de la red empresarial.
• Cuando se requiera acceso remoto, utilizar métodos seguros, como redes privadas virtuales (VPN), reconociendo
que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más actual disponible. También
reconocer que la VPN es tan segura como los dispositivos conectados.
▪ hxxps://us-cert.cisa.gov/ncas/current-activity/2021/02/23/sonicwall-releases-additional-
patches
Fuentes de información
▪ hxxps://www.sonicwall.com/support/product-notification/additional-sma-100-series-10-
x-and-9-x-firmware-updates-required-updated-feb-19-2-p-m-cst/210122173415410/
Igualmente, existe una vulnerabilidad registrada como CVE-2020-29030 que podría permitir a un atacante obtener
información confidencial de la URL de ruta de todas las peticiones POST/GET después de que un usuario se haya
autenticado en GateManager, ya que el token de autenticación queda expuesto de forma predeterminada. Si la ruta
de la URL contiene información confidencial, como identificadores de sesión, los atacantes pueden usar esta
información para lanzar más ataques.
Por último, existe una vulnerabilidad que afecta a SiteManager Embedded y SiteManager podría permitir a un atacante
con permisos de nivel de operador de servicio, instalar firmware manipulado y así, instalar una puerta trasera en el
dispositivo afectado.
3. Productos afectados:
• GateManager, todas las versiones anteriores a la 9.4;
• SiteManager, todas las versiones anteriores a la 9.4.
4. Solución:
Secomea recomienda actualizar los productos afectados a la versión 9.4 siguiendo las referencias adicionales para
GateManager y SiteManager.
▪ hxxps://es-la.tenable.com/security/research/tra-2021-06
▪ hxxps://kb.secomea.com/helpdesk/KB/View/34924335-secomea-sitemanager-release-
Fuentes de información ▪ hxxps://kb.secomea.com/helpdesk/KB/View/34924326-secomea-gatemanager--release-
▪ hxxps://www.incibe-cert.es/alerta-temprana/avisos-sci/multiples-vulnerabilidades-
productos-secomea
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Una al Día”, se
informa sobre la detección de una nueva variante de Malware denominado “Silver Sparrow”, dirigido a equipos Mac
de Apple con macOS, incluyendo soporte para el chip M1 de Apple silicon. Silver Sparrow, tiene como finalidad infectar
los dispositivos y robar información confidencial de las víctimas.
• Utiliza javascript para su instalación y scripts shell para asegurar su persistencia y conectar con los servidores de
comando y control (C2).
• Tiene dos versiones: una con un binario en formato mach-object compilado para procesadores Intel x86_64 y la
otra Mach-O binary para el M1.
• El código nativo M1 se ejecuta con mayor velocidad y confiabilidad en la nueva plataforma que el código x86_64,
porque el primero no tiene que traducirse antes de ejecutarse.
• Dispone de medidas para asegurar su borrado de la máquina, con la finalidad de evitar ser detectado.
• Imagen. Descripción general de las dos versiones del Malware Silver Sparrow.
o Nombre: updater.pkg
o Tipo: Apple software package
o Tamaño: 53.13 KB (54403 bytes)
o MD5: 30c9bc7d40454e501c358f77449071aa
o SHA-1: 0a2f947b5c844713b7c55188aa2e47917945816e
o SHA-256: 1decb4070db4dfe5d68ba502cf3a67de96a69ea6f3acfa4454795f96472ccc0d
o Nombre: update.pkg
o Tipo: Apple software package
o Tamaño: 72.08 KB (73805 bytes)
o MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
o SHA-1: 63c9506d704ee873a75abe18163122fcfe114cc5
o SHA-256: c7dd06b20b64b64d3b155b6b77c2778a08ef6a6c0396d7537af411258e57af1e
4. Recomendaciones
• Usar mecanismos de seguridad.
• Desarrollar actualizaciones periódicas de software.
• Concientizar y capacitar sobre medidas de ciberseguridad.
• Usar copias o respaldo de seguridad.
hxxps://unaaldia.hispasec.com/2021/02/nueva-variante-del-malware-silver-sparrow-afecta-a-
Fuentes de información
30-000-macos-incluyendo-soporte-para-el-chip-m1.html
Índice alfabético