Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
2. La compañía FireEyese apoya en los datos recopilados por Mandiant Threat Intelligence, su servicio de recopilación de
información sobre ciberamenazas, según el cual esto es la confirmación de una tendencia que se inició a final de 2017.
3. Estos son algunos de los casos descritos en el informe:
Un grupo descrito por los investigadores como Stealth Falcon y FruityArmor ha dirigido varios ataques a periodistas
y activistas en oriente medio, utilizando un malware que aprovechó tres zero day exploits de iOS.
SandCat, entidad sospechosa de estar vinculada a la inteligencia del estado de Uzbekistán, habría utilizado varios
exploits en operaciones contra objetivos en oriente medio. Este grupo podría haber adquirido sus armas en las
mismas fuentes que Stealth Falcon ya que ambos emplearon las mismas.
Según los investigadores, el grupo de espionaje chino APT3 explotó la vulnerabilidadd CVE-2019-0703 en ataques
dirigidos en 2016.
FireEye observó que el grupo norcoreano APT37 realizó una campaña de 2017 que aprovechó la vulnerabilidad
Adobe Flash CVE-2018-4878. Este grupo ha demostrado una gran capacidad para emplear zero day exploits.
Desde diciembre de 2017 hasta enero de 2018, varios grupos chinos aprovecharon CVE-2018-0802 en una campaña
dirigida a múltiples industrias en Europa, Rusia, el sudeste asiático y Taiwán. Al menos tres de cada seis
vulnerabilidades see explotaron antes de que se emitiera el parche para las mismas.
En 2017, los grupos rusos APT28 y Turla aprovecharon varias vulnerabilidades de día cero en productos de
Microsoft Office.
4. Recomendaciones:
Tener en cuenta que encontrar un zero day exploit en aplicaciones y sistemas operativos de uso extendido no
es algo sencillo, pero no imposible.
Usar UEBA, para adquirir políticas de seguridad que incluya medidas y herramientas capaces de detectar
comportamientos y acciones anómalas; aquí tenemos un ejemplo más de que la filosofía Zero Trust es un gran
acierto, de cara a limitar posibles daños.
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró que expertos
han descubierto un nuevo e-skimmer (robo de información de tarjetas de crédito) empleado en ataques contra sitios
web de WordPress, utilizando el complemento WooCommerce (plugin de comercio electrónico).
2. El malware se aloja dentro de un archivo ya existente y legítimo, lo que hace que sea un poco más difícil de detectar.
La parte del script que captura los detalles de la tarjeta se inyectó en el archivo "./wp-includes/rest-api/class-wp-rest-
api.php".
3. El software malicioso recoge los detalles de pago y guarda los números de tarjeta y los códigos de seguridad CVV en
texto plano en forma de cookies. El script luego utiliza la función legítima file_put_contents para almacenarlos en dos
archivos de imagen separados (un archivo .PNG y un JPEG) que se mantienen en la estructura del directorio wp-content
/ uploads. En el momento del análisis, ambos archivos no contenían datos robados. El malware tiene la capacidad de
borrar automáticamente los archivos una vez que los atacantes han adquirido la información.
4. Recomendación:
Los administradores de sitios de WordPress deben deshabilitar la edición directa de archivos para wp-admin
agregando la siguiente línea a su archivo wp-config.php: define ('DISALLOW_FILE_EDIT', verdadero).
https://securityaffairs.co/wordpress/101445/hacking/woocommerce-plugin-e-
Fuentes de información
skimmer.html
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un malware en
un archivo de nombre “free youtube.apk” publicado el 07 de abril de 2020, por el Ing. de Seguridad Solomon Jade
Thuo de la empresa Garrett Discovery(EEUU). Este malware viene circulando a través de WhatsApp infectando
dispositivos móviles con sistema operativo Android, el mismo que fue publicado en la web de Noticias de Seguridad
Informática.
2. Es un malware difundido como un APK de YouTube que tiene un peso de 509 kb. Al momento de ser instalado ofrece
un supuesto beneficio de las características de un Youtube premium de manera gratuita, el cual ha sido detectado en
usuarios de diversos países del África, siendo un potencial peligro para los países infectados por la pandemia del
COVID-19.
3. Una vez instalado el APK obtiene permisos para leer, enviar y recibir mensajes en el dispositivo del usuario infectado,
además de solicitar permisos de administrador en el sistema operativo Android, lo que le permitiría borrar y formatear
la tarjeta de memoria del dispositivo móvil.
4. Es necesario señalar que los desarrolladores de esta APK no incluyeron una interfaz de usuario, por lo que esta
aplicación pasara desapercibida a simple vista, complicándose el proceso de desinstalación de este malware.
5. Recomendaciones:
No abrir ni instalar aplicativos supuestamente gratuitos.
No descargar aplicativos de fuentes externas o desconocidas, a las plataformas oficiales del sistema operativo
Android.
https://noticiasseguridad.com/videos-noticias/nuevo-virus-de-whatsapp-infecta-
Fuentes de información dispositivos-via-apk-de-youtube/
https://es.digitaltrends.com/entretenimiento/que-es-youtube-premium/
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de
NIST (Instituto Nacional de Estándares y Tecnología), la vulnerabilidad “CVE-2019-1866” que se encuentra activa desde
el 13abr2020, que afecta a la aplicación de “Cisco Webex” a la versión 39.1.0 para dispositivos móviles y de escritorio.
2. Esta vulnerabilidad afecta a la integridad de la aplicación de videoconferencia Cisco Webex, la cual atribuye a una
validación incorrecta de los valores del encabezado del host y conduce a una vulnerabilidad de escalada de privilegios,
esto permite que el atacante ingrese remotamente y obtenga una posición de red privilegiada.
3. Al momento de que el atacante obtenga los valores de encabezado del host podría obtener la manipulación de la
aplicación y la use para redirigir a un usuario desde el sitio de Cisco Webex a un sitio arbitrario de su elección.
4. El ataque puede ejecutarse de forma remota, pues no requiere de una forma de autentificación para realizar una
explotación exitosa, impactando la confidencialidad, integridad y disponibilidad de la aplicación.
5. Recomendaciones:
Actualizaciones a una versión más reciente y más segura.
Añadir una contraseña para las videoconferencias, esto evita el acceso no autorizado.
https://nvd.nist.gov/vuln/detail/CVE-2019-1866
Fuentes de información https://vuldb.com/?id.153066
https://quickview.cloudapps.cisco.com/quickview/bug/CSCvm98833
o Genere un ID de reunión aleatorio y requiera contraseña para entrar en la reunión. Si pulsa sobre la
opción “Contraseña”, puede cambiar la contraseña por defecto.
o Configure la reunión para que el vídeo del anfitrión y de los participantes permanezca desactivado.
o Habilite la sala de espera y no permita que los invitados entren a la reunión antes que el anfitrión
(organizador). Del mismo modo, si no es estrictamente necesario grabar la reunión, deshabilite esta
opción antes de iniciar la reunión.
o Una vez pulse sobre “Nueva reunión”, genere una ID de reunión aleatoria.
o Apague el vídeo para el anfitrión.
o Cuando pinche sobre el botón azul “Iniciar una reunión”, le aparecerá en la pantalla el ID de la reunión
asignado de manera aleatoria y la contraseña generada de manera automática al organizar una reunión
siguiendo este procedimiento.
o Se procederá a continuación a configurar la seguridad de la reunión.
o Habilite la sala de espera y silencie a los participantes al entrar.
o Además, configure la reunión para que:
o Permita que solo los participantes que hayan iniciado sesión en Zoom ingresen a la reunión.
o Deshabilite la inclusión de contraseña en el enlace de invitación a la reunión.
o Silencie a los participantes cuando ingresen a la reunión.
o Desactive el chat privado entre los asistentes.
o Establezca el uso compartido de pantalla solo para el anfitrión.
o Active la sala de espera para los participantes (al activar esta opción, se desactiva automáticamente la
opción que permite a los participantes unirse a la reunión antes que el anfitrión).
o Active indicador sonoro cada vez que un invitado entre o salga de la reunión.
Si se pulsa sobre el menú secundario, sobre la opción “Reunión” puede iniciar una nueva reunión a partir de su ID
personal. En primer lugar, antes de iniciar la reunión o invitar a participantes, pulse sobre la opción Editar para
comenzar a configurar los ajustes de la sesión:
o Requiera contraseña para acceder a la reunión. Si pulsa sobre la opción “Contraseña” puede modificar la
que, establecida por defecto, luego desactive el vídeo del anfitrión (organizador) y de los invitados.
o Habilite la sala de espera y no permita que los invitados accedan a la reunión antes que el organizador.
o Si no es estrictamente necesario grabar la reunión, desactive la opción “Grabar la reunión de forma
automática”.
7 https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/
8 https://zoom.us/docs/doc/School%20Administrators%20Guide%20to%20Rolling%20Out%20Zoom.pdf?zcid=1231
9 https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/
10 https://zoom.us/docs/en-us/childrens-privacy.html?zcid=1231
11 https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
12 https://zoom.us/webinar/register/WN_9jdr63uuRuSRBX-yEJ2zVQ?zcid=1231
13 https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
14 https://www.eff.org/deeplinks/2020/04/harden-your-zoom-settings-protect-your-privacy-and-avoid-trolls
15 https://www.ccn.cni.es/index.php/es/docman/documentos-publicos/206-ciberconsejos-videollamada
Como resultado del análisis de las URL fraudulentas en las diferentes plataformas de las
compañías de seguridad informática, se puede apreciar que 18 URL presentan Malware,
02 Phishing y 16 figuran como sospechosas.
Referencias:
Malicioso. - Código malicioso es un tipo de código informático o script web dañino diseñado
para crear vulnerabilidades en el sistema que permiten la generación de puertas traseras,
brechas de seguridad, robo de información y datos, así como otros perjuicios potenciales
en archivos y sistemas informáticos.
3. Recomendaciones:
No abras correos de remitentes que no conoce.
No descargues archivos de URL dudosas.
Visita páginas oficiales para realizar descargas.
Siempre debes pensar que los ciberdelincuentes harán hasta lo imposible para obtener información personal
(contraseñas, datos de cuenta bancarias, entre otras informaciones).
https://pastebin.com/iWfCNxkf
Fuentes de información
https://www.virustotal.com/gui/home
4. Recomendaciones
Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).
Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).
Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad.
Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.
FALSO
4. Recomendaciones:
Promover el uso de una solución de seguridad en todos los dispositivos finales (antivirus, EDR).
Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).
Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad.
Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.
4. Recomendaciones:
Promover el uso de una solución de seguridad en todos los dispositivos finales (antivirus, EDR).
Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).
Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad.
Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.