Lima, 14 de abril de 2020

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 14-04-2020
SEGURIDAD DIGITAL N° 010 Página: 2 de 16
Componente que reporta PECERT | EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Vulnerabilidad critica en VMWare permite robo de datos confidenciales
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV
Medios de propagación Internet
Código de familia H Código de Sub familia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional detectó un aviso de seguridad de VMware con
el código de identificación Id VMSA-2020-0006, en el cual informan sobre una vulnerabilidad de divulgación de
información confidencial que afecta al producto VMware vCenter Server. La vulnerabilidad reside en el directorio
VMware Directory Service (vmdir) que forma parte de la versión 6.7 en el sistema operativo Windows y dispositivos
virtuales.
VMware ya ha publicado la actualización de vCenter Server 6.7u3f para su descarga, en la cual corrige dicha
vulnerabilidad en el producto señalado.
2. Detalles de la alerta:
VMWare informa en su aviso de seguridad con código de identificación Id VMSA-2020-0006, que la vulnerabilidad ha
sido identificada como CVE-2020-3952, con una calificación crítica y recibe una puntuación CVSSv3 de 10. Para todos
aquellos que utilicen vCenter Server versión 6.7.
CVE-2020-3947: Vulnerabilidad bajo ciertas condiciones, vmdir que se entrega con VMware vCenter Server, como
parte de un controlador de servicios de plataforma (PSC) incorporado o externo, no implementa correctamente los
controles de acceso.
Para remediar CVE-2020-3952, aplique las actualizaciones enumeradas en la columna 'Versión fija' de la Matriz de
respuesta, que a continuación se detalla:
Producto Versión Que se Identificador de CVSSV3 Gravedad Versión Documentación
ejecuta en CVE fija adicional
vCenter Dispositivo
6.7 CVE-2020-3952 10,0 Crítico 6.7u3f KB78543
Server virtual
vCenter
6.7 Windows CVE-2020-3952 10,0 Crítico 6.7u3f KB78543
Server
3. Solución:
La empresa ha publicado los enlaces donde se encuentra la descarga de la actualización
vCenter Server 6.7u3f y su respectiva documentación:
 Producto : VMware vCenter Server
 Descarga :
https://my.vmware.com/web/vmware/details?productId=742&rPId=44888&downloadGroup=V
C67U3F
 Documentación : https://kb.vmware.com/s/article/78543
4. Recomendaciones:
 Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
 Actualizar VMware vCenter Server 6.7u3f para corregir la vulnerabilidad crítica.
 Actualizar los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a
ciberataques y la toma de control de los sistemas informáticos.
 Realizar concientización constante a los usuarios sobre este tipo de amenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional-PECERT

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 14-04-2020
SEGURIDAD DIGITAL N° 010 Página: 3 de 16
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS
ARMADAS
Nombre de la alerta Exploits Zero Day cada vez más usados en ataques dirigidos
Tipo de ataque Exploits Abreviatura Zero Day
Medios de propagación Red, Correo
Código de familia C Código de sub familia C02
Clasificación temática familia Zero Day
Descripción
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha detectado que los
exploits Zero Day son tipos de amenaza que evolucionan y encuentran un buen encaje en determinados mercados. Un
ejemplo perfecto de ello son las botnets, redes de ordenadores como las recientemente desmanteladas en Holanda,
puestas a disposición de quién esté dispuesto a pagar por emplearlas con las intenciones (nunca buenas) que sean.

2. La compañía FireEyese apoya en los datos recopilados por Mandiant Threat Intelligence, su servicio de recopilación de
información sobre ciberamenazas, según el cual esto es la confirmación de una tendencia que se inició a final de 2017.
3. Estos son algunos de los casos descritos en el informe:
 Un grupo descrito por los investigadores como Stealth Falcon y FruityArmor ha dirigido varios ataques a periodistas
y activistas en oriente medio, utilizando un malware que aprovechó tres zero day exploits de iOS.
 SandCat, entidad sospechosa de estar vinculada a la inteligencia del estado de Uzbekistán, habría utilizado varios
exploits en operaciones contra objetivos en oriente medio. Este grupo podría haber adquirido sus armas en las
mismas fuentes que Stealth Falcon ya que ambos emplearon las mismas.
 Según los investigadores, el grupo de espionaje chino APT3 explotó la vulnerabilidadd CVE-2019-0703 en ataques
dirigidos en 2016.
 FireEye observó que el grupo norcoreano APT37 realizó una campaña de 2017 que aprovechó la vulnerabilidad
Adobe Flash CVE-2018-4878. Este grupo ha demostrado una gran capacidad para emplear zero day exploits.
 Desde diciembre de 2017 hasta enero de 2018, varios grupos chinos aprovecharon CVE-2018-0802 en una campaña
dirigida a múltiples industrias en Europa, Rusia, el sudeste asiático y Taiwán. Al menos tres de cada seis
vulnerabilidades see explotaron antes de que se emitiera el parche para las mismas.
 En 2017, los grupos rusos APT28 y Turla aprovecharon varias vulnerabilidades de día cero en productos de
Microsoft Office.
4. Recomendaciones:
 Tener en cuenta que encontrar un zero day exploit en aplicaciones y sistemas operativos de uso extendido no
es algo sencillo, pero no imposible.
 Usar UEBA, para adquirir políticas de seguridad que incluya medidas y herramientas capaces de detectar
comportamientos y acciones anómalas; aquí tenemos un ejemplo más de que la filosofía Zero Trust es un gran
acierto, de cara a limitar posibles daños.

Fuentes de información https://blog.segu-info.com.ar/2020/04/exploits-zero-day-cada-vez-mas-usados.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 14-04-2020
SEGURIDAD DIGITAL N° 010 Página: 4 de 16
Componente que reporta CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Ataque E-Skimmer contra sitios web wordpress utilizando el complemento Woocommerce
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de sub familia C02
Clasificación temática familia Código Malicioso
Descripción

1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró que expertos
han descubierto un nuevo e-skimmer (robo de información de tarjetas de crédito) empleado en ataques contra sitios
web de WordPress, utilizando el complemento WooCommerce (plugin de comercio electrónico).
2. El malware se aloja dentro de un archivo ya existente y legítimo, lo que hace que sea un poco más difícil de detectar.
La parte del script que captura los detalles de la tarjeta se inyectó en el archivo "./wp-includes/rest-api/class-wp-rest-
api.php".

3. El software malicioso recoge los detalles de pago y guarda los números de tarjeta y los códigos de seguridad CVV en
texto plano en forma de cookies. El script luego utiliza la función legítima file_put_contents para almacenarlos en dos
archivos de imagen separados (un archivo .PNG y un JPEG) que se mantienen en la estructura del directorio wp-content
/ uploads. En el momento del análisis, ambos archivos no contenían datos robados. El malware tiene la capacidad de
borrar automáticamente los archivos una vez que los atacantes han adquirido la información.
4. Recomendación:
 Los administradores de sitios de WordPress deben deshabilitar la edición directa de archivos para wp-admin
agregando la siguiente línea a su archivo wp-config.php: define ('DISALLOW_FILE_EDIT', verdadero).

https://securityaffairs.co/wordpress/101445/hacking/woocommerce-plugin-e-
Fuentes de información
skimmer.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática
familia
ALERTA INTEGRADA DE Fecha: 14-04-2020
SEGURIDAD DIGITAL N° 010 Página: 5 de 16
CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ
Detección de malware que infecta dispositivos móviles con apk de Youtube a través de
Whatsapp
Malware Abreviatura Malware
Red, páginas web
C Código de sub familia C01
Código malicioso
Descripción

1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un malware en
un archivo de nombre “free youtube.apk” publicado el 07 de abril de 2020, por el Ing. de Seguridad Solomon Jade
Thuo de la empresa Garrett Discovery(EEUU). Este malware viene circulando a través de WhatsApp infectando
dispositivos móviles con sistema operativo Android, el mismo que fue publicado en la web de Noticias de Seguridad
Informática.
2. Es un malware difundido como un APK de YouTube que tiene un peso de 509 kb. Al momento de ser instalado ofrece
un supuesto beneficio de las características de un Youtube premium de manera gratuita, el cual ha sido detectado en
usuarios de diversos países del África, siendo un potencial peligro para los países infectados por la pandemia del
COVID-19.

3. Una vez instalado el APK obtiene permisos para leer, enviar y recibir mensajes en el dispositivo del usuario infectado,
además de solicitar permisos de administrador en el sistema operativo Android, lo que le permitiría borrar y formatear
la tarjeta de memoria del dispositivo móvil.
4. Es necesario señalar que los desarrolladores de esta APK no incluyeron una interfaz de usuario, por lo que esta
aplicación pasara desapercibida a simple vista, complicándose el proceso de desinstalación de este malware.

5. Recomendaciones:
 No abrir ni instalar aplicativos supuestamente gratuitos.
 No descargar aplicativos de fuentes externas o desconocidas, a las plataformas oficiales del sistema operativo
Android.

https://noticiasseguridad.com/videos-noticias/nuevo-virus-de-whatsapp-infecta-
Fuentes de información dispositivos-via-apk-de-youtube/
https://es.digitaltrends.com/entretenimiento/que-es-youtube-premium/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática
familia
ALERTA INTEGRADA DE Fecha: 14-04-2020
SEGURIDAD DIGITAL N° 010 Página: 6 de 16
CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ
Vulnerabilidad en la aplicación de videoconferencia Cisco Webex
Interrupción de servicios tecnológicos. Abreviatura Intservtec
Usb, disco, red, correo, navegación de internet
F Código de sub familia F01
Disponibilidad del servicio
Descripción

1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de
NIST (Instituto Nacional de Estándares y Tecnología), la vulnerabilidad “CVE-2019-1866” que se encuentra activa desde
el 13abr2020, que afecta a la aplicación de “Cisco Webex” a la versión 39.1.0 para dispositivos móviles y de escritorio.

2. Esta vulnerabilidad afecta a la integridad de la aplicación de videoconferencia Cisco Webex, la cual atribuye a una
validación incorrecta de los valores del encabezado del host y conduce a una vulnerabilidad de escalada de privilegios,
esto permite que el atacante ingrese remotamente y obtenga una posición de red privilegiada.

3. Al momento de que el atacante obtenga los valores de encabezado del host podría obtener la manipulación de la
aplicación y la use para redirigir a un usuario desde el sitio de Cisco Webex a un sitio arbitrario de su elección.

4. El ataque puede ejecutarse de forma remota, pues no requiere de una forma de autentificación para realizar una
explotación exitosa, impactando la confidencialidad, integridad y disponibilidad de la aplicación.

5. Recomendaciones:
 Actualizaciones a una versión más reciente y más segura.
 Añadir una contraseña para las videoconferencias, esto evita el acceso no autorizado.

https://nvd.nist.gov/vuln/detail/CVE-2019-1866
Fuentes de información https://vuldb.com/?id.153066
https://quickview.cloudapps.cisco.com/quickview/bug/CSCvm98833

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Fecha: 14-04-2020
ALERTA DE SEGURIDAD DIGITAL N°010
Página: 7 de 16
Componente que reporta DIRECCION NACIONAL DE INTELIGENCIA
El uso de Zoom y sus implicaciones para la seguridad y privacidad. Recomendaciones y buenas
Nombre de la alerta
prácticas
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red
Código de familia H Código de Sub familia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Contexto:
De acuerdo a las coordinaciones e intercambio de información con el Centro
Criptológico Nacional (CCN) de España, el CCN ha elaborado un informe sobre “El uso
de Zoom y sus implicaciones para la seguridad y privacidad”. En donde nos enumera una
serie de recomendaciones y buenas prácticas que debemos de tener en consideración.
Según el CCN, la evolución de la pandemia marcada por Covid-19 y el confinamiento
asociado de los ciudadanos, el distanciamiento social y la cuarentena ha traído consigo
el uso generalizado de videoconferencias y aplicaciones de chat como Zoom, WebEx,
Houseparty, Google Meet o Microsoft Teams.
Los ciberatacantes están aprovechando las oportunidades asociadas con el miedo en torno a la pandemia, el
teletrabajo ampliamente implantado, las dificultades para parchear puntos finales conectados remotamente y el
incremento de la superficie de exposición derivada de permitir operativas más fluidas. En este contexto, las sesiones
y aplicaciones de videoconferencia deficientemente protegidas son un magnífico vector de ataque.
2. Análisis de Zoom:
Zoom es una aplicación de videoconferencia con mensajería en tiempo real e intercambio de contenido fácil de
configurar y usar, que permite reuniones con hasta 100 participantes de forma gratuita. Decisiones de diseño
orientadas a ofrecer una mayor usabilidad han permitido realizar actuaciones no deseadas.
La aplicación Zoom está siendo cuestionada por problemas de privacidad y seguridad en los últimos días.
 Cualquiera puede "bombardear" una reunión pública de Zoom si conoce el número de la reunión y usar la
compartición de ficheros para publicar imágenes impactantes o hacer sonidos molestos en el audio permitiendo
de esta manera la interrupción y sabotaje (zoombombing) de reuniones con contenido inapropiado, blasfemias y
lenguaje amenazante. Zoom aconseja a los anfitriones de las reuniones que establezcan "salas de espera" para
evitar los "bombardeos de Zoom", ya que mantiene a los participantes en espera hasta que un anfitrión autoriza
su acceso.
 Para minimizar el número de clics desde la descarga de la aplicación hasta su ejecución en macOS se usan
incorrectamente las comprobaciones previas a la instalación mostrando un mensaje de contraseña engañoso.
 Fugas de direcciones de correo electrónico, fotos de usuarios y llamadas injustificadas debido a una configuración
inadecuada que agregaría automáticamente personas a las listas de contactos de un usuario si ambos inician
sesión con una dirección de correo electrónico perteneciente al mismo dominio.
 Zoom utiliza AES-256 en modo ECB para el cifrado de las comunicaciones, lo que no resulta aconsejable ya que la
información cifrada conserva posibles patrones presentes en los datos en claro facilitando romper el cifrado para
un ciberatacante que capture el tráfico. Además, Zoom cifra las comunicaciones, pero no el contenido, por lo que
ataques de MitM (Man in the Middle) en el que se acepte la conexión con certificados no válidos, podría permitir
a un atacante el acceso a la información.
 Es posible que ciertas reuniones hayan podido conectarse a sistemas en China, donde las autoridades de este país
con una diferente legislación de protección de datos podrían obligar a los operadores de servicios a entregar datos.
 A pesar de que Zoom tiene mecanismos antisabotaje integrados, estos pueden deshabilitarse o incluso
reemplazarse por una versión maliciosa que secuestra la aplicación.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Por otro lado, los cibercriminales1 están aprovechando el auge de la aplicación Zoom y el aumento en el número de
descargas de la app para registrar dominios que ofrecen un ejecutable de Zoom que contiene código dañino. Esto no
significa que Zoom distribuya malware, sino que páginas creadas por cibercriminales distribuirían el malware
haciéndose pasar por la página oficial de la aplicación para engañar al usuario.
Se recomienda encarecidamente descargarse la aplicación únicamente de sitios y markets oficiales y verificar
contactando con el remitente por otro canal de comunicación cualquier enlace de reunión que no utilice los nombres
de dominio zoom[.]us o zoom[.]com.
En este escenario diversas instituciones, organismos y agencias desaconsejan la utilización de Zoom hasta que la
empresa corrija las vulnerabilidades reportadas, aplique prácticas de cifrado más seguro, aclare sus políticas de
privacidad y publique un informe de transparencia.
Ante estos hechos, Zoom ha procedido a parchear y actualizar los servicios que presta de cara a reducir la superficie
de exposición indicada y enfatizada por la crisis del Covid-19.
 El 20 de marzo, Zoom publicó una entrada en su blog 2 para ayudar a los usuarios a gestionar incidentes de acoso
escolar (zoombombing), indicando medidas de prevención como salas de espera, contraseñas, controles de
silencio y limitar el uso compartido de pantalla.
 Asimismo, Zoom reconoció que su reclamo de soporte de cifrado extremo a extremo es engañoso 3, aclarando que
Zoom cifra el contenido de la conferencia y que no se realiza grabación de la misma. La empresa indicó que el
tráfico pasa por.su infraestructura sin descifrarse en ningún momento antes de llegar a los clientes receptores.
 Para aquellos que necesiten un control adicional de sus claves, a día de hoy existe una solución local para toda la
infraestructura de la reunión. Adicionalmente, a finales de este año estará disponible una solución para permitir
a las organizaciones aprovechar la infraestructura en la nube de Zoom y así alojar el sistema de gestión de claves
dentro de su entorno.
 Zoom ha indicado que nunca ha creado un mecanismo para descifrar reuniones en directo con fines de
interceptación legal y que no existe ningún medio para incluir a terceros en las reuniones sin que se refleje en la
lista de participantes.
 El 27 de marzo, Zoom actualizó su aplicación de iOS4 (violaciones de privacidad de iOS) para eliminar el código que
enviaba los datos del usuario a Facebook cuando abría la aplicación (zona horaria y ciudad, detalles sobre el
dispositivo o si el usuario no tenía cuenta de Facebook).
 El 29 de marzo, Zoom actualizó su política de privacidad 5 para que fuese más clara y transparente sobre los datos
que recopila y cómo se utilizan, aclarando explícitamente que “no vendemos los datos de nuestros usuarios, nunca
hemos vendido datos de usuarios en el pasado, y no tenemos intención de vender datos de usuarios en el futuro”.
 El 2 de abril, Zoom parcheó vulnerabilidades que permitían la escalada de privilegios y el acceso a grabación,
reunión y micrófono en macOS.
 El 2 de abril, Zoom corrigió una vulnerabilidad asociada al chat del cliente Zoom de Windows que podría permitir
a un atacante remoto robar las credenciales de inicio de sesión de Windows de un usuario si este hacía clic en una
ruta de tipo Universal Naming Convention (UNC).
 El 7 de abril, Zoom informó que habían implementado una solución para una vulnerabilidad grave en Zoom que
permitía obtener la clave de cifrado de la reunión a usuarios en la sala de espera.
 Zoom eliminó recientemente una función de "seguimiento de atención de asistentes" que permitía a los
anfitriones ver si los asistentes tenían la ventana Zoom u otra ventana de aplicación enfocada durante una reunión.
3. Recomendaciones y buenas prácticas:
La mejor manera de evitar el bombardeo6 de Zoom es no compartir los números de reunión de Zoom con nadie más
que con los participantes previstos. Adicionalmente, se puede solicitar a los participantes que usen una contraseña
para iniciar sesión en la reunión.

1 un artículo que recogía las investigaciones de la empresa Check Point Research

2 https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/
3 https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
4 https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/
5 https://blog.zoom.us/wordpress/2020/03/29/zoom-privacy-policy/
6 https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 La mejor manera de evitar el bombardeo7 de Zoom es no compartir los números de reunión de Zoom con nadie más
que con los participantes previstos. Adicionalmente, se puede solicitar a los participantes que usen una contraseña
para iniciar sesión en la reunión.
 Agendar una reunión
Zoom permite dejar programada una reunión para una hora y fecha concreta. Si usted es el organizador de la
reunión, a la hora de agendarla debe tener en cuenta las siguientes recomendaciones:

o Genere un ID de reunión aleatorio y requiera contraseña para entrar en la reunión. Si pulsa sobre la
opción “Contraseña”, puede cambiar la contraseña por defecto.
o Configure la reunión para que el vídeo del anfitrión y de los participantes permanezca desactivado.
o Habilite la sala de espera y no permita que los invitados entren a la reunión antes que el anfitrión
(organizador). Del mismo modo, si no es estrictamente necesario grabar la reunión, deshabilite esta
opción antes de iniciar la reunión.

 Crear una nueva reunión desde el menú principal

El menú principal de Zoom, también permite crear una reunión de forma inmediata. Para ello, habría que pulsar
sobre “Nueva reunión” y comenzar a configurar la sala antes de invitar a los participantes. Para ello:

o Una vez pulse sobre “Nueva reunión”, genere una ID de reunión aleatoria.
o Apague el vídeo para el anfitrión.
o Cuando pinche sobre el botón azul “Iniciar una reunión”, le aparecerá en la pantalla el ID de la reunión
asignado de manera aleatoria y la contraseña generada de manera automática al organizar una reunión
siguiendo este procedimiento.
o Se procederá a continuación a configurar la seguridad de la reunión.
o Habilite la sala de espera y silencie a los participantes al entrar.
o Además, configure la reunión para que:
o Permita que solo los participantes que hayan iniciado sesión en Zoom ingresen a la reunión.
o Deshabilite la inclusión de contraseña en el enlace de invitación a la reunión.
o Silencie a los participantes cuando ingresen a la reunión.
o Desactive el chat privado entre los asistentes.
o Establezca el uso compartido de pantalla solo para el anfitrión.
o Active la sala de espera para los participantes (al activar esta opción, se desactiva automáticamente la
opción que permite a los participantes unirse a la reunión antes que el anfitrión).
o Active indicador sonoro cada vez que un invitado entre o salga de la reunión.

 Crear una nueva reunión desde el menú secundario

La aplicación Zoom también permite crear de una tercera forma una reunión que, en principio, se desaconsejaría
puesto que implica iniciar la reunión con el ID personal y no con uno aleatorio.

Si se pulsa sobre el menú secundario, sobre la opción “Reunión” puede iniciar una nueva reunión a partir de su ID
personal. En primer lugar, antes de iniciar la reunión o invitar a participantes, pulse sobre la opción Editar para
comenzar a configurar los ajustes de la sesión:

o Requiera contraseña para acceder a la reunión. Si pulsa sobre la opción “Contraseña” puede modificar la
que, establecida por defecto, luego desactive el vídeo del anfitrión (organizador) y de los invitados.
o Habilite la sala de espera y no permita que los invitados accedan a la reunión antes que el organizador.
o Si no es estrictamente necesario grabar la reunión, desactive la opción “Grabar la reunión de forma
automática”.

7 https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
  Recomendaciones de Zoom para el ámbito educativo:
o Publicó una guía8 del administrador sobre cómo configurar un aula virtual.
o Estableció una guía9 sobre cómo asegurar mejor sus aulas virtuales.
o Configuró una política de privacidad dedicada a los menores de 12 años (K-12)10.
o Modificó la configuración para los usuarios de educación inscritos en el programa K-12 para que las salas de
espera virtuales estén habilitadas de forma predeterminada.
o Modificó la configuración para los usuarios de educación inscritos en el programa K-12 para que los maestros
sean los únicos que, de forma predeterminada, puedan compartir contenido en clase.
4. Conclusiones
 Con una configuración adecuada, Zoom puede ser una alternativa apropiada en la mayoría de los casos, con
independencia de que este software se encuentre actualmente en el objetivo de los ciberatacantes dada su
reciente popularidad.
 Zoom está publicando parches de seguridad, ha reforzado el equipo de seguridad, pretende continuar mejorando
el producto11 y está organizando webinar semanales12 para proporcionar actualizaciones sobre privacidad y
seguridad a la comunidad.
 En este sentido, si se realiza una adecuada implementación 13, respetan unos mínimos requisitos de seguridad en
la configuración14 y llevan a cabo buenas prácticas15 se puede considerar Zoom una opción a tener en cuenta en
escenarios de teletrabajo como los actuales marcados por la crisis del Covid-19 donde no se maneje información
sensible.
 En definitiva, ante las reacciones en contra de Zoom durante estos días, y de acuerdo con el párrafo anterior se
considera asumible el riesgo de usar Zoom para reuniones que no sean muy sensibles en su contenido, clases
escolares y situaciones fuera de la oficina sobre asuntos rutinarios.
5. Imágenes:

8 https://zoom.us/docs/doc/School%20Administrators%20Guide%20to%20Rolling%20Out%20Zoom.pdf?zcid=1231
9 https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/
10 https://zoom.us/docs/en-us/childrens-privacy.html?zcid=1231
11 https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
12 https://zoom.us/webinar/register/WN_9jdr63uuRuSRBX-yEJ2zVQ?zcid=1231
13 https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
14 https://www.eff.org/deeplinks/2020/04/harden-your-zoom-settings-protect-your-privacy-and-avoid-trolls
15 https://www.ccn.cni.es/index.php/es/docman/documentos-publicos/206-ciberconsejos-videollamada

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 1. Centro Criptológico Nacional (CCN) de España
Fuentes de información
2. Equipo de Seguridad Digital DINI

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 14-04-2020
SEGURIDAD DIGITAL N° 010 Página: 12 de 16
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Páginas falsas para descargar ZOOM
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de Subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 14 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los
ciberdelincuentes aprovechando la situación actual de la pandemia coronavirus, COVID-19 y el uso de la aplicación
ZOOM, que permite trabajar en casa, para diseñar páginas fraudulentas con la finalidad que los usuarios descarguen
la aplicación en mención. La relación de páginas falsas se viene difundiendo a través de PASTEBIN, una aplicación web
que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles
al público en general.
ZOOM - Es un sistema de videoconferencia o de reuniones virtuales, accesible desde
computadoras tradicionales y desde aparatos móviles. Comúnmente conocido como Zoom,
se le conoce también como Zoom app.
2. Relación de URL fraudulentas:
N° Compañía de Seguridad Resultado
URL Fraudulenta Informática
1 zoom-download.com Fortinet Phishing
2 shortm.su ESET Phishing
3 joke-in-video.com Kaspersky Malware
4 games-onl1ne.com Kaspersky Malware
5 internet-explorer-browser.com Kaspersky Malware
6 amigo-downloads.com Kaspersky Malware
7 bittorrent-msetup.com Kaspersky Malware
8 www.nod32-downloads.com Fortinet Malware
9 www.firefox-msetup.com Kaspersky Malware
10 chrome-download-now.com Kaspersky Malware
11 bittorrent-msetup.com Kaspersky Malware
12 zoom-download.com Kaspersky Malware
13 nod32-downloads.com ESET Malware
14 goods-on1ine.com Kaspersky Malware
15 google-chrome-msetup.com BitDefender Malware
16 360-security-msetup.com Kaspersky Malware
17 www.minecraft-msetup.com Kaspersky Malware
18 www.flash-player-now.com Kaspersky Malware
19 okzrenie.su Kaspersky Malware
20 winrar-msetup.ru Kaspersky Malware
21 savefrom-msetup.com CLEAN MX Malicioso
22 zoom-download.com CRDF Malicioso
23 viber-desktop.com Fortinet Malicioso
24 telegram-download.net CLEAN MX Malicioso
25 best-games-online.net Fortinet Malicioso
26 viber-desktop.com Fortinet Malicioso
27 getfftrk.com Fortinet Malicioso
28 ogbtrck.com Fortinet Malicioso
29 flash-player-msetup.ru Fortinet Malicioso
30 chrome-msetup.ru Fortinet Malicioso

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 31 utorrent-msetup.ru Fortinet Malicioso
32 my-skype-now.com Fortinet Malicioso
33 www.ogbtrck.com Fortinet Malicioso
34 www.tlauncher-msetup.com Fortinet Malicioso
35 skype-msetup.ru Fortinet Malicioso
36 watch-video-online.su Fortinet Malicioso

Como resultado del análisis de las URL fraudulentas en las diferentes plataformas de las
compañías de seguridad informática, se puede apreciar que 18 URL presentan Malware,
02 Phishing y 16 figuran como sospechosas.

Referencias:

 Malware. – Software malicioso, programa malicioso, programa maligno, badware, código

maligno, software maligno, software dañino o software malintencionado a cualquier tipo
de software que realiza acciones dañinas en un sistema informático de forma intencionada
y sin el conocimiento del usuario.

 Phishing. – Conjunto de técnicas que persiguen el engaño a una víctima ganándose su

confianza haciéndose pasar por una persona, empresa o servicio de confianza, para
manipularla y hacer que realice acciones que no debería realizar

 Malicioso. - Código malicioso es un tipo de código informático o script web dañino diseñado
para crear vulnerabilidades en el sistema que permiten la generación de puertas traseras,
brechas de seguridad, robo de información y datos, así como otros perjuicios potenciales
en archivos y sistemas informáticos.

3. Recomendaciones:
 No abras correos de remitentes que no conoce.
 No descargues archivos de URL dudosas.
 Visita páginas oficiales para realizar descargas.
 Siempre debes pensar que los ciberdelincuentes harán hasta lo imposible para obtener información personal
(contraseñas, datos de cuenta bancarias, entre otras informaciones).

https://pastebin.com/iWfCNxkf
Fuentes de información
https://www.virustotal.com/gui/home

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 14-04-2020
SEGURIDAD DIGITAL N° 010 Página: 14 de 16
Componente que reporta AREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ
Nombre de la alerta Smishing – BBVA Perú
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación SMS
Código de familia G Código de Sub familia G02
Clasificación temática familia Fraude
Descripción
1. Comportamiento:
El área de Operaciones de ASBANC advierte sobre una campaña de smishing que se está difundiendo desde el número
de celular +51 984 630 895 que contiene el enlace http://gg.gg/BBVA-PE, y redirige a una página web fraudulenta del
Banco BBVA Perú https://bancaporinternet.bbva.pe.thelinkmart.com/bdntux_pe_web/bdntux_pe_web.
2. Indicadores de compromiso:
URL de alojamiento : https://bancaporinternet.bbva.pe.thelinkmart.com/bdntux_pe_web/bdntux_pe_web
IP : 162.213.253.75
Dominio : thelinkmart.com
Localización : Los Ángeles - Estados Unidos
URL de redirección : http://gg.gg/BBVA-PE
Nro. de celular : +51 984 630 895
3. Imágenes:

4. Recomendaciones
 Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).
 Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
 Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).
 Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad.
 Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.

Fuentes de información Área de Operaciones de ASBANC

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 14-04-2020
SEGURIDAD DIGITAL N° 010 Página: 15 de 16
Componente que reporta AREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ
Nombre de la alerta Smishing – Banco de Crédito del Perú
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación SMS
Código de familia G Código de Sub familia G02
Clasificación temática familia Fraude
Descripción
1. Comportamiento:
El área de Operaciones de ASBANC advierte sobre una campaña de smishing que se está difundiendo desde el número
de celular +51 959 895 736 que contiene el enlace https://bit.ly/AlertBCP, y redirige a una página web fraudulenta del
Banco Crédito del Perú https://bcpzonasegurabeta.viabcip.me/#/iniciar-sesion.
2. Indicadores de compromiso:
 URL de alojamiento : https://bcpzonasegurabeta.viabcip.me/#/iniciar-sesion
 IP : 142.11.227.112
 Dominio : viabcip.me
 Localización : Seattle - Estados Unidos
 URL de redirección : https://bit.ly/AlertBCP
 Nro. de celular : +51 959 895 736
3. Imágenes:

FALSO

4. Recomendaciones:
 Promover el uso de una solución de seguridad en todos los dispositivos finales (antivirus, EDR).
 Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
 Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).
 Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad.
 Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.

Fuentes de información Área de Operaciones de ASBANC

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 14-04-2020
SEGURIDAD DIGITAL N° 010 Página: 16 de 16
Componente que reporta AREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ
Nombre de la alerta Smishing – Banco de Crédito del Perú
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación SMS
Código de familia G Código de Sub familia G02
Clasificación temática familia Fraude
Descripción
1. Comportamiento:
El área de Operaciones de ASBANC advierte sobre una campaña de smishing que se está difundiendo desde el número
de celular +51 959 434 498 que contiene el enlace https://bit.ly/Bcp-actualizacion, y redirige a una página web
fraudulenta del Banco Crédito del Perú https://www.bcpzonasegurabeta.vibcp.live/inicar-sesion.
2. Indicadores de compromiso
 URL de alojamiento : https://www.bcpzonasegurabeta.vibcp.live/inicar-sesion
 IP : 23.254.161.6
 Dominio : vibcp.live
 Localización : Seattle - Estados Unidos
 URL de redirección : https://bit.ly/Bcp-actualizacion
 Nro de celular : +51 959 434 498
3. Imágenes

4. Recomendaciones:
 Promover el uso de una solución de seguridad en todos los dispositivos finales (antivirus, EDR).
 Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
 Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).
 Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad.
 Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.

Fuentes de información Área de Operaciones de ASBANC

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe