Newsletter - 2024-52
Tabla de Contenidos
- Newsletter - 2024-52
- Vulnerabilidad crítica en HTTP/2 expone servidores web a ataques de denegación de servicio
- Expertos alertan sobre riesgos de ciberseguridad en la aplicación Temu
- El peligro de las matrículas digitales: hackean el sistema y crean una nueva brecha de seguridad
- Dentro de la industria criminal masiva que está hackeando a empresas de miles de millones de dólares
- Principales ciberataques en España en 2024: Un panorama alarmante para la ciberseguridad
- El Gobierno de EE. UU. podría prohibir routers TP-Link por preocupaciones de ciberseguridad
- Nueva campaña de phishing dirigida a propietarios de carteras Ledger
Vulnerabilidad crítica en HTTP/2 expone servidores web a ataques de denegación de servicio
| Categoría | Seguridad en la nube |
|---|---|
| Nombre del tema | Vulnerabilidad crítica en HTTP/2 expone servidores web a ataques de denegación de servicio |
| Brecha | Ausencia de validaciones en el manejo de marcos CONTINUATION y falta de límites en las configuraciones de HTTP/2 |
| Criticidad | |
| Solución propuesta | Actualizar implementaciones de HTTP/2 para limitar marcos CONTINUATION y mejorar la gestión de recursos |
| Beneficios esperados | Garantizar la disponibilidad del servicio, prevenir interrupciones y proteger contra ataques DoS |
| Fuente | The Hacker News |
Una reciente investigación ha revelado una vulnerabilidad crítica en el protocolo HTTP/2, ampliamente utilizado en la web moderna. Esta falla, denominada HTTP/2 CONTINUATION Flood, permite a atacantes ejecutar ataques de denegación de servicio (DoS) contra servidores web, comprometiendo su disponibilidad y rendimiento.
El investigador de seguridad Bartek Nowotarski fue quien identificó esta vulnerabilidad y la reportó al CERT Coordination Center (CERT/CC) el 25 de enero de 2024. Según el aviso emitido por CERT/CC, “muchas implementaciones de HTTP/2 no limitan ni sanitizan adecuadamente la cantidad de marcos CONTINUATION enviados dentro de una sola secuencia”. Esto significa que un atacante puede enviar una serie de marcos CONTINUATION que, aunque no se agreguen a la lista de encabezados en memoria, serán procesados y decodificados por el servidor, potencialmente causando un bloqueo por agotamiento de memoria (OOM).
En el protocolo HTTP/2, los campos de encabezado en las solicitudes y respuestas se dividen en fragmentos y se transmiten mediante marcos HEADERS o CONTINUATION. El marco CONTINUATION se utiliza para continuar una secuencia de fragmentos de bloque de encabezado. Sin embargo, si un atacante envía múltiples marcos CONTINUATION sin establecer la bandera END_HEADERS, puede crear una secuencia interminable que el servidor debe analizar y almacenar en memoria, llevando al agotamiento de recursos y, eventualmente, a una denegación de servicio.
La gravedad de esta vulnerabilidad radica en que un solo atacante, incluso con una única conexión TCP, puede interrumpir la disponibilidad de un servidor, provocando desde caídas inmediatas hasta una degradación significativa del rendimiento. Además, las solicitudes maliciosas que constituyen el ataque no suelen ser visibles en los registros de acceso HTTP, lo que dificulta su detección.
Esta vulnerabilidad afecta a varios proyectos y servidores que implementan HTTP/2, incluyendo Apache HTTP Server, Apache Tomcat, Envoy proxy y Golang, entre otros. Las consecuencias de un ataque exitoso pueden variar según la implementación, desde caídas inmediatas del servidor tras el envío de unos pocos marcos HTTP/2, hasta un agotamiento de la CPU, afectando gravemente la disponibilidad del servicio.
Para mitigar este riesgo, se recomienda a los administradores de sistemas y desarrolladores que revisen y actualicen sus implementaciones de HTTP/2, asegurándose de que limitan adecuadamente la cantidad de marcos CONTINUATION y manejan correctamente la bandera END_HEADERS. Además, es aconsejable monitorear el rendimiento del servidor y establecer alertas que detecten comportamientos anómalos que puedan indicar un ataque en curso.
La aparición de esta vulnerabilidad subraya la importancia de una gestión proactiva de la seguridad en las infraestructuras web. Mantenerse informado sobre las últimas amenazas y aplicar las actualizaciones y parches de seguridad de manera oportuna es esencial para proteger los sistemas contra ataques que buscan explotar estas debilidades.
En conclusión, la vulnerabilidad HTTP/2 CONTINUATION Flood representa una amenaza significativa para la estabilidad y seguridad de los servidores web. Es imperativo que las organizaciones tomen medidas inmediatas para evaluar su exposición a esta falla y adopten las soluciones necesarias para garantizar la continuidad y seguridad de sus servicios en línea.
Expertos alertan sobre riesgos de ciberseguridad en la aplicación Temu
| Categoría | Seguridad en dispositivos móviles |
|---|---|
| Nombre del tema | Expertos alertan sobre riesgos de ciberseguridad en la aplicación Temu |
| Brecha | Comportamientos sospechosos en la aplicación y manipulación remota de permisos |
| Criticidad | |
| Solución propuesta | Desinstalar la aplicación, revisar permisos de las apps instaladas y monitorear comportamientos sospechosos |
| Beneficios esperados | Protección de la privacidad de los usuarios, prevención de fraudes y menor exposición a riesgos de seguridad |
| Fuente | SER |
En un reciente informe, expertos en ciberseguridad han advertido sobre los riesgos asociados con la popular aplicación de compras en línea Temu, que ha ganado rápidamente una gran base de usuarios en todo el mundo, especialmente en países como Estados Unidos y España. Según los especialistas, Temu presenta una serie de problemas que ponen en peligro la seguridad y la privacidad de los usuarios.
La aplicación, que permite a los usuarios comprar una amplia gama de productos a precios bajos, ha sido objeto de creciente escrutinio debido a comportamientos sospechosos en su programación y el manejo de datos personales. En particular, los expertos señalan que Temu no solo recoge una gran cantidad de información sobre los usuarios, sino que también muestra una capacidad alarmante para modificar sus funciones sin que los usuarios sean informados adecuadamente.
El Instituto Nacional de Ciberseguridad (INCIBE), junto con varios investigadores independientes, ha expresado su preocupación debido a que la aplicación parece estar vinculada a prácticas dudosas relacionadas con el uso de los datos personales y la posible venta de información a terceros. A pesar de que, hasta ahora, no se ha encontrado evidencia de que la app contenga malware o esté comprometida con actividades de espionaje, las alertas de seguridad siguen creciendo.
Uno de los principales motivos de preocupación radica en el sistema de cifrado de la aplicación, que, aunque parece ser robusto a primera vista, en realidad podría estar ocultando actividades no deseadas que los usuarios no pueden detectar fácilmente. Esto significa que, aunque los datos se envíen de forma encriptada, no se puede garantizar que no estén siendo manipulados o filtrados hacia servidores no autorizados.
Además, otro de los problemas detectados por los expertos es que Temu incluye una serie de funcionalidades que permiten a la aplicación alterar sus propios permisos de forma remota sin que los usuarios tengan conocimiento de estos cambios. Esto implica que la aplicación podría modificar su comportamiento en cualquier momento, lo que aumenta las vulnerabilidades de seguridad y deja a los usuarios expuestos a riesgos de fraude y robo de datos.
Como medida de precaución, los expertos recomiendan desinstalar Temu de los dispositivos móviles y evitar realizar compras a través de la plataforma. Además, sugieren revisar cuidadosamente los permisos de las aplicaciones instaladas y estar alerta ante cualquier comportamiento extraño en los dispositivos. Los usuarios también deben estar especialmente atentos a los correos electrónicos o mensajes sospechosos relacionados con compras realizadas en la app.
En conclusión, aunque Temu ha captado la atención de millones de usuarios con sus precios bajos y su interfaz amigable, los riesgos que plantea en términos de privacidad y seguridad son demasiado altos. En un entorno digital cada vez más vulnerable a ataques, es fundamental que los usuarios tomen decisiones informadas sobre las aplicaciones que instalan y se mantengan alerta ante cualquier amenaza potencial.
El peligro de las matrículas digitales: hackean el sistema y crean una nueva brecha de seguridad
| Categoría | Seguridad IoT |
|---|---|
| Nombre del tema | El peligro de las matrículas digitales: hackean el sistema y crean una nueva brecha de seguridad |
| Brecha | Vulnerabilidades en las actualizaciones remotas de las matrículas digitales |
| Criticidad | |
| Solución propuesta | Mejorar el cifrado de datos, implementar autenticación robusta y revisar el software de forma constante |
| Beneficios esperados | Reducción de riesgos de hackeo, mayor seguridad vehicular y protección de la privacidad de los conductores |
| Fuente | WIRED |
Recientemente, se ha descubierto una nueva vulnerabilidad que afecta a las matrículas digitales en Estados Unidos, una tecnología emergente que permite a los conductores personalizar sus placas de matrícula y, al mismo tiempo, mantener un registro digital vinculado a su vehículo. Investigadores de seguridad han revelado que los dispositivos de estas matrículas pueden ser hackeados, lo que abre una nueva brecha de seguridad para los propietarios de vehículos y las autoridades encargadas de su control.
El hackeo de las matrículas digitales no solo afecta la integridad de los registros vehiculares, sino que también permite a los atacantes modificar, clonar o incluso eliminar la información almacenada en estas placas. Esta vulnerabilidad fue expuesta por un grupo de investigadores de seguridad en un evento reciente, donde demostraron cómo pueden alterar la información que aparece en una matrícula digital en tiempo real. Mediante el uso de técnicas de “jailbreak” (liberación de software), los atacantes pueden manipular las placas, lo que podría permitirles, por ejemplo, falsificar el registro del vehículo y evadir sanciones.
Las matrículas digitales, que han sido promovidas como una solución moderna y más flexible que las tradicionales, permiten la personalización de los números de las placas, la visualización de mensajes y la integración con sistemas de gestión de tráfico. Sin embargo, este ataque ha puesto en evidencia una serie de vulnerabilidades que podrían comprometer no solo la seguridad de los vehículos, sino también la privacidad de los propietarios.
El principal riesgo de este hackeo radica en que las matrículas digitales están equipadas con tecnología inalámbrica que permite actualizar su contenido de forma remota. Si los atacantes logran acceder al sistema de actualización, pueden alterar los datos que se muestran en la matrícula, lo que podría facilitar el robo de vehículos, el uso de matrículas falsas o la evasión de la ley. De hecho, algunos informes indican que este tipo de vulnerabilidades podrían incluso ser aprovechadas por grupos criminales organizados para realizar actividades ilícitas sin ser detectados por las autoridades.
Por otro lado, los expertos en ciberseguridad han señalado que la implementación de medidas de seguridad adicionales, como la encriptación de los datos transmitidos y un sistema de autenticación más robusto, podría reducir significativamente el riesgo de este tipo de ataques. Además, los desarrolladores de las matrículas digitales deben revisar constantemente el software de sus dispositivos para corregir posibles fallos y evitar que los atacantes encuentren nuevas formas de explotar las debilidades del sistema.
En conclusión, aunque las matrículas digitales ofrecen numerosas ventajas en términos de personalización y conveniencia, los riesgos de seguridad asociados con esta tecnología deben ser tomados en cuenta. La posibilidad de hackear y manipular estas placas plantea una nueva amenaza tanto para la seguridad vial como para la privacidad de los conductores. Es fundamental que los reguladores y las empresas tecnológicas trabajen juntos para mejorar la seguridad de estos dispositivos y evitar que se conviertan en un objetivo atractivo para los ciberdelincuentes.
Dentro de la industria criminal masiva que está hackeando a empresas de miles de millones de dólares
| Categoría | Seguridad Zero Trust |
|---|---|
| Nombre del tema | Dentro de la industria criminal masiva que está hackeando a empresas de miles de millones de dólares |
| Brecha | Ausencia de modelos de seguridad Zero Trust que limiten el acceso a recursos internos y detecten actividades anómalas |
| Criticidad | |
| Solución propuesta | Implementación de controles Zero Trust, segmentación de redes y monitoreo constante del tráfico interno y externo |
| Beneficios esperados | Reducción del impacto de ataques de ransomware y phishing, limitación del movimiento lateral de atacantes y mejora de la resiliencia organizacional |
| Fuente | WIRED |
En un nuevo informe revelador, Wired ha profundizado en el auge de una industria criminal masiva que está poniendo en jaque a empresas de todo el mundo, hackeando compañías valoradas en miles de millones de dólares. La creciente sofisticación de los cibercriminales, que ahora operan de manera mucho más organizada y profesionalizada que nunca, ha llevado a muchos expertos a catalogar estos grupos como una amenaza mayor para la seguridad digital global.
Estos grupos de cibercriminales han transformado el robo de datos y el extorsión en un negocio multimillonario, utilizando técnicas avanzadas como ransomware, phishing y vulnerabilidades de software explotadas para infiltrarse en las redes de grandes corporaciones. Según el informe, estas bandas criminales no solo se centran en ataques a pequeñas empresas, sino que han comenzado a dirigirse a compañías globales de alto perfil, con recursos suficientes para pagar enormes cantidades de dinero a cambio de recuperar el acceso a sus sistemas o evitar la publicación de datos sensibles.
El informe revela cómo estos grupos operan con una estructura jerárquica similar a la de una empresa legítima, con equipos especializados en distintas áreas, desde la planificación del ataque hasta el lavado de dinero. Su capacidad para ejecutar ataques a gran escala y mantenerse fuera del radar de las autoridades es lo que ha permitido que estos grupos florezcan en la última década, sin que haya habido un enfoque efectivo para detenerlos.
Una de las características que distingue a estos ciberdelincuentes de los atacantes tradicionales es su profesionalización del proceso de ataque. Utilizan herramientas y técnicas altamente especializadas que les permiten automatizar los ataques y maximizar su alcance, lo que les ha permitido aumentar significativamente los beneficios obtenidos con cada incidente de hackeo. Además, muchos de estos grupos operan como “as-a-service” (como servicio), ofreciendo sus herramientas a otros delincuentes a cambio de un porcentaje de las ganancias obtenidas.
Uno de los aspectos más preocupantes de este fenómeno es la rápida expansión de estas redes criminales, que ahora están compuestas por un número creciente de grupos que colaboran entre sí, compartiendo recursos, información y conocimientos. A menudo, estos grupos también se asocian con otras formas de crimen organizado, lo que les proporciona una red de apoyo aún más amplia para llevar a cabo sus ataques.
Las víctimas de estos ataques son cada vez más diversas, desde gigantes tecnológicos hasta empresas financieras, pasando por instituciones gubernamentales y organizaciones de salud. La capacidad de estos grupos para infiltrarse en redes tan protegidas ha hecho que muchas empresas reconsideren sus estrategias de seguridad digital, incrementando las inversiones en medidas preventivas, como inteligencia artificial y ciberseguridad proactiva.
Este informe resalta la creciente amenaza que representan los cibercriminales en el panorama global de la seguridad digital y la necesidad urgente de colaboración internacional para contrarrestar estos ataques masivos. La respuesta efectiva requerirá una combinación de mejores políticas de seguridad, innovación tecnológica y, sobre todo, cooperación entre gobiernos y empresas privadas.
Principales ciberataques en España en 2024: Un panorama alarmante para la ciberseguridad
| Categoría | Cumplimiento |
|---|---|
| Nombre del tema | Principales ciberataques en España en 2024: Un panorama alarmante para la ciberseguridad |
| Brecha | Falta de implementación de normativas actualizadas y medidas preventivas en sectores críticos |
| Criticidad | |
| Solución propuesta | Refuerzo del cumplimiento normativo en ciberseguridad, adopción de marcos como NIST y ENS, y auditorías regulares |
| Beneficios esperados | Incremento de la confianza pública, reducción de pérdidas económicas y fortalecimiento de infraestructuras críticas |
| Fuente | Digital360 |
España ha experimentado un incremento significativo en la frecuencia y sofisticación de los ciberataques durante 2024, con un aumento de incidentes que afectan tanto a grandes corporaciones como a instituciones gubernamentales. La ciberseguridad en el país se ha visto puesta a prueba por una serie de ataques que no solo han comprometido la privacidad de los datos, sino que también han generado pérdidas económicas millonarias y afectado la confianza pública en la protección digital.
Uno de los incidentes más destacados fue el ataque ransomware dirigido a varias empresas del sector tecnológico y financiero, donde los atacantes exigieron grandes sumas de dinero a cambio de no publicar información sensible. Este tipo de ataque ha estado en aumento en España, con grupos criminales que operan a nivel internacional y que han logrado infiltrarse en redes corporativas mediante phishing y vulnerabilidades no parcheadas.
El sector público también ha sido blanco de ataques, destacando el caso de un ciberataque dirigido a una agencia gubernamental en la que se filtraron datos sensibles de ciudadanos y funcionarios. El ataque fue atribuido a un grupo de hackers organizado que utilizó técnicas avanzadas para vulnerar los sistemas de seguridad del gobierno y acceder a bases de datos críticas. Las autoridades españolas han reaccionado implementando medidas adicionales de protección, pero la amenaza persiste y sigue siendo un desafío constante.
Además, los ataques a infraestructuras críticas, como los sistemas de energía y las redes de comunicaciones, también se han intensificado en 2024. Este tipo de ciberataques pone en riesgo no solo la estabilidad de los servicios esenciales, sino también la seguridad nacional. Expertos en ciberseguridad han señalado que la creciente dependencia de la tecnología y la interconexión de los sistemas aumenta la vulnerabilidad de estos sectores clave, lo que exige una actualización continua de las estrategias de defensa.
La amenaza de los ataques DDoS (denegación de servicio distribuido) también ha tenido un repunte en el país. Los atacantes utilizan redes de dispositivos comprometidos para saturar los servidores y hacer que los servicios en línea se caigan, afectando a las empresas y a los usuarios finales. Estos ataques no solo interrumpen las operaciones comerciales, sino que también provocan una pérdida de reputación para las empresas afectadas.
En este contexto, las autoridades españolas y las empresas privadas están colaborando más estrechamente para mejorar la respuesta ante incidentes y fortalecer las infraestructuras de ciberseguridad. Se está invirtiendo en tecnologías de defensa avanzadas, como la inteligencia artificial y el análisis de comportamiento, para identificar y neutralizar los ataques antes de que causen daños significativos.
El panorama de la ciberseguridad en España para 2024 refleja la importancia de mantener una postura proactiva en cuanto a la protección digital. La evolución de las amenazas requiere una cooperación constante entre las autoridades, las empresas y los usuarios para prevenir futuros ciberataques y mitigar sus efectos.
El Gobierno de EE. UU. podría prohibir routers TP-Link por preocupaciones de ciberseguridad
| Categoría | Seguridad de Redes |
|---|---|
| Nombre del tema | Investigación de routers TP-Link por sus implicaciones en ciberataques |
| Brecha | Uso de dispositivos de red comprometidos en ciberataques |
| Criticidad | |
| Solución propuesta | Mejora de la seguridad en routers domésticos y SOHO, implementando protocolos de cifrado y análisis de tráfico |
| Beneficios esperados | Reducción del riesgo de ciberataques a infraestructuras sensibles y mejora en la protección de dispositivos conectados |
| Fuente | Bleeping Computer |
El gobierno de Estados Unidos está investigando a la empresa TP-Link, uno de los principales fabricantes de routers, debido a su presunta vinculación con ciberataques que comprometen la seguridad nacional. Esta investigación ha sido impulsada por los Departamentos de Justicia, Comercio y Defensa de EE. UU., que temen que el uso de routers TP-Link pueda representar un riesgo para la seguridad de las infraestructuras críticas del país, como agencias gubernamentales y redes de telecomunicaciones. La investigación está centrada en el hecho de que TP-Link, que actualmente controla alrededor del 65% del mercado de routers para pequeñas oficinas y hogares (SOHO) en Estados Unidos, ha crecido de manera significativa en los últimos años, lo que ha despertado sospechas de prácticas comerciales cuestionables.
Uno de los aspectos más preocupantes para las autoridades es el modelo de negocio de TP-Link, que se ha basado en vender sus routers a precios muy por debajo de los costos de fabricación, lo que podría haber sido una estrategia para aumentar su cuota de mercado de forma artificial. El Departamento de Justicia de EE. UU. ha estado investigando esta práctica de precios, que podría estar relacionada con un intento de introducir en el mercado dispositivos de bajo costo, que a su vez podrían ser utilizados para fines maliciosos.
A pesar de que TP-Link ha negado cualquier implicación en actividades ilegales, la empresa no ha podido evitar la controversia. Se ha informado que más de 300 proveedores de servicios de Internet en EE. UU. han comenzado a ofrecer los routers TP-Link como dispositivos predeterminados para sus usuarios domésticos, lo que amplifica el alcance de la preocupación sobre la seguridad de estos dispositivos. A medida que la cuota de mercado de TP-Link ha crecido, también lo ha hecho su presencia en redes gubernamentales, incluyendo agencias clave como el Departamento de Defensa, la NASA y la DEA. Esto ha suscitado aún más preocupaciones sobre la seguridad, dado que los routers TP-Link podrían ser utilizados para realizar ciberataques o incluso permitir que actores hostiles se infiltren en las redes gubernamentales a través de vulnerabilidades no detectadas.
La investigación ha cobrado relevancia tras la revelación de Microsoft en octubre, cuando la compañía informó que una botnet operada por actores de amenazas chinos estaba utilizando routers comprometidos, muchos de los cuales eran de la marca TP-Link. Esta botnet, identificada como Quad7, CovertNetwork-1658 o xlogin, está formada principalmente por routers SOHO de TP-Link que han sido hackeados para llevar a cabo ataques de “password spraying” (aspersión de contraseñas), en los que se prueban contraseñas comunes contra una gran cantidad de cuentas para obtener acceso no autorizado a los sistemas. Además, estos routers comprometidos están siendo utilizados por actores chinos para realizar actividades de explotación de redes (CNE, por sus siglas en inglés), un tipo de ciberataque que busca obtener información sensible de redes extranjeras.
A lo largo de los años, las autoridades estadounidenses han intensificado sus esfuerzos para proteger sus infraestructuras críticas de ciberataques provenientes de actores estatales, especialmente de China, que ha sido identificado como un actor principal en las amenazas cibernéticas dirigidas a Estados Unidos. De hecho, el gobierno de EE. UU. ya ha tomado medidas drásticas contra otras empresas tecnológicas chinas, como Huawei y ZTE, debido a preocupaciones similares. En 2022, la Comisión Federal de Comunicaciones (FCC) revocó la licencia de China Telecom en Estados Unidos debido a riesgos para la seguridad nacional, y en noviembre del mismo año prohibió las ventas de equipos de telecomunicaciones de otras empresas chinas, como Huawei, ZTE y Dahua, debido a su vínculo con el espionaje y la vulnerabilidad de sus productos a los ciberataques.
A raíz de la creciente amenaza que representa el ciberespionaje y la guerra cibernética, el gobierno de EE. UU. está adoptando medidas cada vez más estrictas para proteger su infraestructura tecnológica. Esta situación ha puesto a TP-Link en el centro de la atención, ya que se enfrenta a la posibilidad de ser prohibida en el mercado estadounidense si se determina que sus dispositivos representan un riesgo para la seguridad nacional. En un comunicado, un portavoz de la filial estadounidense de TP-Link afirmó que la empresa está dispuesta a colaborar con el gobierno para demostrar que sus prácticas de seguridad cumplen con los estándares de la industria, y que están comprometidos con el mercado estadounidense, los consumidores y la protección de la seguridad nacional.
Por otro lado, la investigación de estos routers compromete también la confianza en el ecosistema de dispositivos de red para hogares y pequeñas empresas. Los usuarios de estos dispositivos, incluidos gobiernos y empresas, deben ser conscientes de los riesgos asociados con el uso de equipos de bajo costo que podrían tener vulnerabilidades de seguridad no detectadas. En este contexto, las autoridades deben centrarse en establecer normas más rigurosas de seguridad para dispositivos de red, con el fin de garantizar que los mismos cumplan con los requisitos de seguridad necesarios para prevenir ciberataques.
Nueva campaña de phishing dirigida a propietarios de carteras Ledger
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Campaña de phishing para robar frases de recuperación de carteras Ledger |
| Brecha | Uso de correos electrónicos fraudulentos para robar credenciales de acceso a criptomonedas |
| Criticidad | |
| Solución propuesta | Implementación de medidas de verificación multifactorial (MFA) y educación sobre seguridad en el manejo de criptomonedas |
| Beneficios esperados | Prevención de la pérdida de fondos en carteras de criptomonedas y mejora en la conciencia de seguridad entre los usuarios |
| Fuente | Bleeping Computer |
Una nueva y sofisticada campaña de phishing está siendo dirigida a los propietarios de carteras Ledger, con el objetivo de robar sus frases de recuperación, las cuales permiten acceder a las criptomonedas almacenadas en estos dispositivos. Esta campaña, que ha sido detectada recientemente, intenta engañar a los usuarios mediante correos electrónicos fraudulentos que simulan ser notificaciones de una filtración de datos. El contenido del correo electrónico señala que los usuarios deben verificar sus frases de recuperación para proteger sus fondos. Sin embargo, este es un intento de los ciberdelincuentes para obtener las frases de recuperación y, de este modo, robar las criptomonedas almacenadas en las carteras de las víctimas.
Ledger es una empresa que proporciona monederos de hardware para almacenar criptomonedas de manera segura. Estos dispositivos permiten que los usuarios gestionen y protejan sus activos digitales sin depender de servicios en línea. La seguridad de las carteras Ledger depende de una frase de recuperación compuesta por 24 palabras, que debe ser guardada de forma offline y nunca compartida con terceros. Sin embargo, los ciberdelincuentes han estado utilizando técnicas de phishing para obtener estas frases de recuperación, lo que les da acceso completo a las carteras de criptomonedas de las víctimas.
Esta campaña de phishing ha comenzado a propagarse en los últimos días y se caracteriza por correos electrónicos con el asunto “Alerta de seguridad: la filtración de datos puede exponer tu frase de recuperación”. Los correos parecen provenir de una dirección oficial de Ledger (support@ledger.com), pero en realidad, son enviados a través de la plataforma de marketing por correo electrónico SendGrid. Los mensajes afirman que Ledger ha sufrido una filtración de datos y que algunas frases de recuperación pueden haberse visto expuestas. Se insta a los usuarios a verificar la seguridad de sus frases de recuperación a través de una página de verificación segura proporcionada en el correo electrónico.
El enlace que se incluye en el correo electrónico redirige a una página web falsa alojada en Amazon AWS, que simula ser la página oficial de Ledger. Al ingresar en la página falsa, los usuarios son solicitados a introducir su frase de recuperación, lo que permite a los atacantes obtener las credenciales necesarias para robar sus criptomonedas. Los ciberdelincuentes utilizan un proceso en el que validan la frase de recuperación en tiempo real, permitiendo que los atacantes identifiquen las frases correctas a medida que las víctimas las ingresan. Cada palabra que se introduce se comprueba contra una lista de 2,048 palabras válidas, lo que hace que el proceso de ingreso sea más difícil de detectar por los usuarios.
Para protegerse de este tipo de ataques, los expertos en seguridad aconsejan a los propietarios de carteras Ledger que nunca ingresen su frase de recuperación en aplicaciones o sitios web que no sean los dispositivos Ledger oficiales. También recomiendan que se ingrese manualmente la URL de los sitios oficiales de Ledger en el navegador en lugar de hacer clic en enlaces de correos electrónicos, para evitar caer en sitios web fraudulentos. Además, es fundamental que los usuarios mantengan sus frases de recuperación en lugares físicos seguros y nunca las compartan con nadie.
Este ataque pone de manifiesto el peligro de los intentos de phishing cada vez más sofisticados que apuntan a usuarios de criptomonedas, quienes deben ser conscientes de los riesgos de compartir información confidencial a través de canales no oficiales. También resalta la importancia de la educación en seguridad y la implementación de medidas de protección adicionales, como la autenticación multifactor (MFA), para proteger las carteras de criptomonedas de accesos no autorizados.