Por desgracia, el hecho de que un hacker instale software malicioso en nuestro ordenador camuflado con otro programa o incluso “escondido” en un archivo del correo electrónico es algo preocupante, pero que hemos normalizado. Aunque cuando hablamos de que una empresa del calibre de Kaspersky instale software no autorizado en los dispositivos de sus usuarios es algo que nos hace llevarnos las manos a la cabeza.

Esto que parece algo imposible de que ocurra con una marca como esta es lo que les pasó a varios usuarios que vieron como en sus ordenadores apareció una aplicación que antes no tenían. Y todo sin haberla instalado ellos de manera intencionada.

Kaspersky ha creado crispación con su transición en Estados Unidos

Automáticamente, los foros como Reddit comenzaron a dar luz sobre este hecho. Uno de los usuarios relataba como al levantar por la mañana se había encontrado que "Kaspersky ha desaparecido de mi sistema y Ultra AV y Ultra VPN estaban  recién instalados (no por mí, sino automáticamente mientras dormía".

Pero en este no quedó. Otros usuarios confirmaban que Kaspersky había desaparecido de sus ordenadores y habían aparecido estas dos aplicaciones, y todo esto en Estados Unidos. Y pese a que algunos no habían tenido noticias de este cambio, otros usuarios sí habían recibido un aviso de Kaspersky en el email donde se informaba que ahora la suite de seguridad sería la de UltraAV.

Este es un cambio que llega tras la prohibición de Estados Unidos de vender en su país productos de Kaspersky por sus supuestos lazos con el gobierno ruso. Es por ello que la compañía tuvo que firmar un acuerdo con Pango para ofrecer esta alternativa a sus clientes. Una transición que ahora se ha hecho efectiva en sus clientes de Estados Unidos tal y como han informado oficialmente. Si bien, aunque defienden que avisaron a sus clientes, son muchos los que no han recibido ese aviso o no recuerdan haberlo visto.

En Genbeta

Acabo de renovar VPN por 1 año con este ofertón por tiempo limitado: los mejores antivirus también están rebajadísimos

Los usuarios critican concretamente que se haya realizado este cambio a otro producto, que se categoriza con una calidad más baja, sin el consentimiento expreso del usuario. Pero lo verdaderamente llamativo radica en que la empresa ha tenido el control para desinstalar una aplicación e instalar otras literalmente de la noche a la mañana.

Imágenes | Kaspersky

En Genbeta | Los 12 mejores antivirus de 2024 para Windows

Hace varias semanas el gobierno de Joe Biden tomó una decisión drástica con respecto al famoso antivirus Kaspersky: su prohibición en territorio estadounidense. Una compañía de origen ruso a la que acusaron de ser un riesgo para la seguridad nacional y que en un primer momento quiso plantar batalla a esta decisión. Pero ahora ya se sabe que abandonará el país de manera inmediata.

A través de CNN la compañía de origen ruso ha explicado que "ha examinado y evaluado cuidadosamente el impacto de los requisitos legales de EE.UU". Pero tras esta evaluación han podido ver que las oportunidades para poder desarrollarse en el país ya "no son viables".

Kaspersky abandona de manera definitiva Estados Unidos

En un primer momento, la orden emitida por la administración Biden establecía que Kaspersky no iba a poder comercializar productos de software a partir del 20 de julio, dejando abiertas otras vías de ingreso abiertas. Pero finalmente no ha podido explorar estas vías, haciendo que directamente dejen de operar en el país.

Una de las grandes afectadas es la subsidiaria fundada en 2004 llamada Kaspersky North America. Una red de oficinas que depende de la sede en Londres y que se conecta de aquí con Moscú. Esta oficina como es lógico se va a tener que eliminar por completo, y esto se traduce en despidos.

En concreto, se va a despedir a un total de 50 empleados, tal y como ha recogido The Register. Unos despidos que se harán de manera gradual, haciendo que se acabe la aventura de esta compañía en territorio estadounidense. Ahora, según la empresa van a invertir en otros mercados que sean estratégicos para ellos.

En Genbeta

Tanto los antivirus como las VPN protegen tu PC: este es el que más te conviene según cómo lo uses

Tras la investigación que llevó a cabo la administración Biden y que ha desencadenado esta decisión, Kaspersky propuso un cambio en su esquema corporativo. Pero siempre sin renunciar a legislación de Rusia. Y esto precisamente es lo que no gusta a Estados Unidos, ya que las leyes del Kremlin obliga a las compañías a compartir información con el gobierno.

Kaspersky era considerada una compañía totalmente segura, pero desde la secretaria de Comercio se afirmó que "Rusia ha demostrado que tiene la capacidad y la intención de explotar empresas rusas como Kaspersky para recopilar y convertir en arma la información personal de los estadounidenses". Y esto ha derivado finalmente en lo que todos esperábamos: su expulsión del país.

Imágenes | Werner Moser

En Genbeta | Los 12 mejores antivirus de 2024 para Windows

Kaspersky es un antivirus realmente conocido y que está instalado en miles de dispositivos alrededor de todo el mundo. Pero ahora este software de origen ruso tiene un problema grave: ha sido prohibido en Estados Unidos tal y como ha anunciado la administración Biden.

Esta decisión tan drástica llega a través del Departamento de Comercio, que ha concluido en su investigación que la aplicación presenta riesgos de seguridad "indebidos o inaceptables" para cualquier usuario que la use. De esta manera, a partir del día 20 de julio no se va a poder comprar una licencia de Kaspersky y las actualizaciones para los usuarios existentes cesarán el 29 de septiembre.

Estados Unidos ataca a Kaspersky por su relación rusa

Como decimos, estamos hablando de un software que tiene un origen ruso. Ahora mismo con la situación geopolítica a nivel mundial, las relaciones entre ambos países están en uno de sus peores momentos. Esto ha hecho que el gobierno de EEUU haya afirmado que Kaspersky pueda ser usado por el enemigo, como Rusia, para dañar a Estados Unidos.

Ahora mismo, Kaspersky está sometida a la jurisdicción de Rusia, y esto hace que tengan que cumplir ante cualquier requerimiento de información del gobierno de Rusia. Aquí es donde entra el miedo que alude en Departamento de Comercio por el posible espionaje a los dispositivos donde esté instalado el software.

Obviamente esto es un jarro de agua fría para Kaspersky que verá reducida de manera drástica su cuota de mercado. En Estados Unidos se perseguirá de manera contundente a quien distribuya este software, aunque sea bajo el paraguas de otras marcas. De esta manera, la recomendación del Gobierno es que se opte por una alternativa cuanto antes.

En Genbeta

Los 12 mejores antivirus de 2024 para Windows

Desde Kaspersky obviamente han tenido que salir a defenderse, afirmando en un comunicado que la decisión ha sido tomada “basándose en el clima geopolítico actual y las preocupaciones teóricas”. Aluden a que no se ha hecho una verificación en profundidad y neutral para comprobar la seguridad del producto. Ahora, habrá que ver también si esta es una medida que se pueda contagiar a otros países.

Imágenes | Mika Baumeister Kaspersky

En Genbeta | He probado el antivirus Avast Ultimate durante una semana. Esto es lo que me ha aportado frente a Windows Defender

WhatsApp, una de las aplicaciones de mensajería instantánea más populares del mundo —más de 2.000 millones de usuarios activos al mes—, se ha convertido en objetivo de un peligroso 'mod' espía que se está propagando a través de Telegram. Los investigadores de la empresa de ciberseguridad Kaspersky han alertado sobre esta amenaza, que ya ha infectado a más de 340.000 usuarios en tan solo un mes.

Los mods de WhatsApp, modificaciones no oficiales de la aplicación original creadas por desarrolladores independientes —como GBWhatsApp, WhatsApp Plus o YoWhatsApp—, suelen ofrecer características adicionales como temas personalizados, nuevos stickers y funciones de personalización.

Sin embargo, en ocasiones, estas modificaciones también pueden ser portadoras de malware oculto, lo que pone en riesgo la seguridad de los usuarios.

El mod malicioso

vía Kaspersky

El mod en cuestión, descubierto por los investigadores de Kaspersky y etiquetado como "Trojan-Spy.AndroidOS.CanesSpy", promete mejoras en la experiencia del usuario —como mensajes programados—…

…pero también contiene un módulo malicioso dedicado al espionaje, que se activa cuando el teléfono se enciende o se carga, enviando información del dispositivo al servidor del atacante.

Los datos que filtra a terceros incluyen el IMEI, número de teléfono, códigos de red móvil, etc. Además, el módulo espía es capaz de configurar grabaciones de micrófono y acceder a archivos del almacenamiento externo.

En Genbeta

Cuidado con la estafa de 'WhatsApp Pink': por querer tunear tu app de mensajería, puedes perder el control de tu móvil

Lo más preocupante es que este malware se ha propagado a través de canales populares de Telegram, principalmente dirigidos a hablantes de árabe y azerí, aunque a estas alturas ha afectado a personas en todo el mundo, destacando Estados Unidos, Rusia, Reino Unido, Alemania o Turquía.

Consejos

Los expertos de Kaspersky recomiendan tomar precauciones para protegerse de esta amenaza y otras similares:

• No descargar mods: Evitar descargar modificaciones —todas ellas no oficiales— de apps populares como WhatsApp, y optar siempre por utilizar las versiones estándar.
• Usar tiendas de aplicaciones oficiales: Incluso si usamos apps oficiales, descargarlas de una fuente no oficial puede suponer también que el paquete de instalación esté infectado. Usa, en la medida de lo posible Google Play y App Store como fuente de instalación de apps.
• Recurrir a software de seguridad fiable: Instalar y mantener actualizado un software antivirus y antimalware confiable en tus dispositivos. Realizar análisis periódicos en busca de posibles amenazas.
• Estar informado sobre las ciberamenazas: Mantenerse al tanto de las últimas novedades sobre malware y aprender a reconocer señales de posibles estafas o malware.

Imagen | Marcos Merino mediante IA

En Genbeta | Si recibes este enlace por WhatsApp ten cuidado porque es adware: cómo evitarlo y eliminarlo si ya has sido infectado

El sector del videojuego crece a cada momento, y aunque existen títulos que aportan grandes experiencias multijugador, también son lugares donde más puede proliferar el malware. Y es que los videojuegos siguen siendo material atractivo para los ciberdelincuentes.

Desde Kaspersky han publicado un informe en el que destacan los 10 juegos en los que más malware se distribuye. Minecraft sigue encabezando la lista a nivel global, acompañada de 9 de los videojuegos más vendidos de los últimos años.

Minecraft sigue siendo el juego donde más malware se distribuye

En el informe se especifica que la investigación ha sido llevada a cabo en un periodo entre junio de 2021 y junio de 2022. Según confirma Kaspersky, el título de Mojang ha sido utilizado para distribuir malware, afectando a un total de 131.005 personas. Para ello, se han utilizado hasta 23.239 archivos que contaban con código malicioso.

Si bien la cifra de archivos con malware se ha reducido, Minecraft sigue liderando tanto en su versión de móvil como en PC. Bajo estas líneas dejamos la lista completa:

La compañía también ordena la lista según el número total de usuarios que han sido víctimas de malware a través de todos estos juegos:

La descarga sigue siendo la principal vía de distribución de malware en videojuegos, apuntando a un 88,56% de todos los casos. Sin embargo, la firma también menciona otro tipo de amenazas que pueden causar la ejecución de malware en nuestros dispositivos. Entre estas amenazas se encuentra el AdWare (4.19%), Troyano (2.99%), DangerousObject (0.86%), Trojan-SMS (0.49%), Trojan-Downloader (0.48%), WebToolbar (0.47%), RiskTool (0.45%), Exploit (0.34%), y Trojan-Spy (0.29%). Si bien el porcentaje de éstos es bastante más reducido, ser víctima de dichas amenazas puede poner en riesgo la seguridad e información del usuario.

En el estudio se ha mencionado además la creciente oleada de software malicioso diseñado para robar información personal del usuario, ya sean contraseñas, o información financiera. Desde junio de 2021, Kaspersky asegura que 6.491 usuarios fueron víctimas de este tipo de software.

En Genbeta

Este malware de criptominería llevaba años haciéndose pasar por apps populares en webs de descargas gratis sin ser detectado

En este sector, es muy común que los usuarios busquen en la red formas de utilizar trucos, instaladores gratuitos y demás, siendo así la manera más fácil de que los atacantes puedan obtener el control del equipo y la información del usuario inyectando malware en este tipo de casos. La creación de webs falsas para conseguir ciertas bonificaciones en juegos son también una práctica muy común para atraer a las víctimas.

Los expertos en ciberseguridad han detectado una campaña de distribución de malware que recurre a un método nunca antes visto: utilizar los registros de eventos de Windows para ocultar en ellos el malware… un método que ha permitido a los atacantes difundirlo sin llamar la atención, dadas las pocas alarmas que levanta un ataque de esas características.

Concretamente, lo que hace este ataque es recurrir a un primer malware que va inyectando fragmentos de 8 KB de código shell encriptado en los registros de eventos de Windows para el Servicio de Administración de Claves (KMS), fragmentos que posteriormente desencripta, combina y ejecuta. Un mecanismo que ha permitido hasta ahora al creador de esta técnica —de identidad aún desconocida— 'volar bajo el radar' de los antivirus.

Fases y componentes de esta técnica de infección. (Fuente: Kaspersky)

Un robo de datos que no se parece a nada antes visto

Finalmente, fue gracias a un software de Kaspersky, basado no en el habitual reconocimiento de firmas, sino en la detección de comportamiento anómalo del software, lo que permitió identificar por primera vez este malware, que ahora ha sido estudiado por los analistas de la compañía. La investigación reveló que el malware era parte de una campaña "muy dirigida".

Se cree que el sigiloso proceso de infección que ha permitido a este software distribuirse entre sus víctimas se inició en septiembre de 2021, cuando la víctima fue manipulada para descargar un archivo RAR desde el servicio de intercambio de archivos file.io.

En Genbeta

El aumento del malware que sobrevive formatear tu PC: otra razón para aprender a actualizar la BIOS/UEFI

El troyano que contenía (cuyos ficheros venían firmados irregularmente con el certificado de una compañía denominada Fast Invest ApS) alteraba ficheros del sistema situados en C:\Windows\Task con el objetivo de 'secuestrar' el proceso de detección de errores de Windows y así poder inyectar el citado código en los logs de Windows.

Más allá de su complejidad técnica, en la mayoría de los casos el propósito final del código inyectado no era otro que el de obtener algunos "datos valiosos" contenidos en los equipos de las víctimas, según declaraciones de los investigadores del caso a la publicación BleepingComputer.

Kaspersky afirma que la investigación en torno a este malware no encontró ninguna similitud con campañas anteriores asociadas con cibercriminales o grupos 'hackers' previamente conocidos. Aunque, ahora que una porción de su código fuente está disponible en GitHub, es posible que esta técnica de intrusión empiece a popularizarse.

En la guerra entre Rusia y Ucrania, las empresas tecnológicas están jugando un papel clave. Se usan para meter presión al gobierno de Vladimir Putin (con una larga lista de restricciones por parte de empresas globales) y también para robar información del enemigo con los ciberataques que hemos ido viendo en las últimas semanas (y que Europa quiere impedir con el envío de expertos).

Pues bien, en todo este enredo, Kaspersky, empresa de ciberseguridad con origen ruso, está en el punto de mira. La agencia de ciberseguridad pública (BSI) de Alemania ha advertido a los usuarios del software antivirus desarrollado por Kaspersky Lab, con sede en Moscú, que hay un grave riesgo de que se produzca un ataque de piratería informática.

La sospecha no está tras unas malas intenciones de la empresa. Sino que la agencia BSI dijo que la empresa de ciberseguridad, que tiene su sede en Rusia, podría ser coaccionada por agentes del gobierno ruso para hackear sistemas informáticos en el extranjero o que los agentes podrían utilizar clandestinamente su tecnología para lanzar ciberataques sin su conocimiento.

Kaspersky se defiende

Kaspersky dijo en un comunicado que era una empresa de gestión privada sin vínculos con el gobierno ruso. Dijo que la advertencia del BSI tenía una motivación política, y añadió que estaba en contacto con el BSI para aclarar el asunto.

Este organismo alemán de ciberseguridad está convencido de que las empresas alemanas, así como los organismos gubernamentales que gestionan infraestructuras críticas, corren especial riesgo de sufrir un ataque de piratería informática.

La empresa recuerda en un comunicado que su "infraestructura de procesamiento de datos se trasladó a Suiza en 2018: desde entonces, los archivos maliciosos y sospechosos compartidos voluntariamente por los usuarios de los productos de Kaspersky en Alemania se procesan en dos centros de datos en Zúrich". Otro servicios de Kaspersky Security Network están ubicados en varios países del mundo, incluyendo Canadá y Alemania.

Sobre la guerra, afirma que "creemos que el diálogo pacífico es el único instrumento posible para resolver los conflictos. La guerra no es buena para nadie".

La polémica con Kaspersky no es nueva

Esta no es la primera vez en la que Kaspersky está en el punto de mira por el mismo motivo. Muchas son las creencias de que se usa para espiar en el mundo, a favor de los intereses del gobierno de Rusia. En 2017 los productos de software de Kaspersky se prohibieron por el gobierno de Estados Unidos por sus supuestos lazos con Rusia.

Antes de esto, un informe de ABC News que citaba fuentes oficiales sostenía que las autoridades estadounidenses habían abierto una investigación sobre la relación de Kaspersky Lab con el gobierno ruso.

El Comité de Inteligencia del Senado envió un memorándum al director de inteligencia y al fiscal general alertando sobre la creciente presencia de Kaspersky en el mercado estadounidense. Estas soluciones de seguridad estaban instaladas en muchas "infraestructuras críticas del país".

Eugene Kaspersky llegó a decir que estaba dispuesto a entregar el código fuente de su empresa a las autoridades de Estados Unidos si eso ayudaba a probar que no trabajan para el gobierno ruso.

Los códigos QR ya son parte de nuestra vida, sobre todo desde que la pandemia del Covid-19 requiere que guardemos cierta distancia y evitemos tocar cosas ajenas. Usamos los QR para viajar, para identificarnos, para constatar que estamos vacunados (como el Pasaporte Covid), para conectarnos a una red WiFi o para leer los menús de los restaurantes, entre muchas otras cosas.

Pero esta tecnología no está exenta de inseguridad. Por el momento, recientemente se han descubierto casos de phishing en España a través del QR también conocidos como Qrishing. La Policía Nacional de España detectó hace unos días en Málaga una modalidad de estafa que se lleva a cabo a través de los códigos QR y cuyo objetivo es el de hacerse con datos personales o bancarios de las víctimas.

Lo que veremos en este artículo es cómo funciona y qué debemos conocer para evitar caer en estas trampas, con consejos de organismos expertos en seguridad.

Cómo se usa el QR en el phishing

Primero, veamos qué descubrió la policía en Málaga para comprender cómo funcionan estos ataques de phishing. Una persona escanea un código QR y aparece una web o una aplicación donde, supuestamente tenemos la información que necesitamos (por ejemplo, para un restaurante, para acceder a un gimnasio o para tener datos concretos de una tienda). Al acceder a esa web o app puede suceder que sea un enlace malicioso que pretende robar tu información.

De todos modos, aunque las autoridades han dicho que se han encontrado estos casos, no ha especificado a qué empresas ha afectado en concreto o el número de víctimas que han caído en la trampa. Lo que si ha dicho la Policía es que, como siempre sucede con los casos de phishing, una de las principales formas de evitar caer en la trampa es no acceder a enlaces desconocidos y, en este caso incluye no escanear QR desconocidos.

En Genbeta

En esta web puedes generar códigos QR personalizados con diferentes colores, formas o hasta tu logo

El INCIBE o Instituto Nacional de Ciberseguridad ya ha hablado del bautizado como Qrishing (una combinación entre QR y phishing), y la define como una técnica que usa la ingeniería social para lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR contenido en una página web, mensaje o correo electrónico.

El usuario al escanear ese código es redirigido a una página web, que suplanta a la de la empresa, donde se le solicita información confidencial. "Hay que tener en cuenta que si el usuario no verifica la dirección web, puede ser engañado fácilmente", como dicen desde este organismo. Kaspersky, empresa de seguridad, dice que para evitar que esto suceda se recomienda revisar los enlaces antes de picnhar en ellos.

Otra forma de robar tus datos a través del Qrishing es inyectando código malicioso (mediante un exploit presente en la página web a la que redirige el código QR) o de un ataque Drive by download. Es decir, si visitas un sitio web infectado o falso, se te puede descargar software malicioso en tu dispositivo, y desde ahí puede ir haciéndose con datos tuyos de tu software (sistema operativo, navegador u otro tipo). También, ya instalado en tu teléfono puede realizar acciones, como unirse a una botnet (por ejemplo, para realizar un ataque DDOS contra un sitio web legítimo), filtrar información confidencial o suscribirse a servicios premium sin que el usuario lo sepa, por poner algunos ejemplos.

Otra técnica descubierta de phishing a través de QR es la bautizada como "Qrljacking o secuestro de sesión", un tipo de ataque que se caracteriza por hacer uso de la ingeniería social para secuestrar la cuenta de un servicio que acepte la función “Inicio de sesión con código QR”. Para ello, tratan de engañar a la víctima para que escanee un código QR modificado que suplanta al original que ha sido capturado previamente por los ciberdelincuentes. Al escanearlo, el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida en esta cuenta.

En Genbeta

Phishing: qué es y diferentes tipos que existen

No hay que olvidar que, además también podemos llegar a tener problemas con las aplicaciones que descargamos para leer QR y esto pasó este mismo año, con un gran impacto. Malwarebytes detectó hace unos meses un troyano en 'Barcode Scanner', una de las aplicaciones para escanear códigos de barras con más instalaciones en Google Play Store (contaba con más de 10 millones de instalaciones en el momento en que descubrió la estafa).

Unos consejos para evitar el Qrishing o phishing a través de QR

Como siempre sucede con el phishing y con cualquier incidencia informática, la mejor forma de evitar caer en trampas es acceder a lugares web, enlaces y aplicaciones en las que confíes y que conozcas. Si tienes un negocio y ofreces un QR para alguno de tus servicios (como acceso a tu catálogo de productos), también es tu responsabilidad "comprobar de forma frecuente que los códigos QR que usas no han sido cambiados ni modificados por terceras personas" y así mantener a tus clientes a salvo.

El INCIBE también recomienda a los negocios "elegir un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad en materia de generación de códigos QR, enlace correcto al servicio, etc" y deshabilitar la apertura automática de enlaces al escanear un código QR. Y es que, de esta manera los usuarios podrán comprobar la dirección a la que enlaza el código.

Además, en el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, no divulgues el código QR por redes sociales ya que podrías ser víctima de un fraude.

Por su parte, Kaspersky recomienda a los usuarios en general que nunca escaneen códigos QR de fuentes sospechosas y que, a la hora de acceder a un enlace que nos dé un código, tener mucho cuidado si la URL está acortada, "porque con los códigos QR no hay razón suficiente como para acortar los enlaces". Si sucede que al escanear un código te aparece una URL corta, lo mejor que puedes hacer es usar un bsucador o ir a la tienda oficial y acceder directamente a lo que buscas.

Otra sugerencia es que puedes hacer "una revisión física rápida antes de escanear un código QR de un cartel o señal para asegurarte de que el código no está pegado sobre la imagen original".

Queda cada vez menos para el lanzamiento de Windows 11 (anunciado para el próximo mes de octubre), y crece la expectación de los usuarios por poder probar el nuevo sistema operativo de Microsoft directamente en sus propios equipos.

Sin embargo, las builds preliminares de W11 sólo están, por ahora (y siempre y cuando contemos previamente con una instalación legal de Windows 10), disponibles mediante inscripción en el programa Windows Insiders o en la web UUP Dump.

De modo que, para los usuarios no-insiders que estén buscando descargarse una ISO sin más complicaciones, surge la fuerte tentación de intentar burlar a Microsoft haciéndose con instaladores de Windows 11 mediante otros medios 'menos oficiales'.

Y, como suele ocurrir en estos casos, recurrir a esta clase de soluciones suele conllevar no sólo instaladores que no funcionan, sino también una puerta de entrada a todo tipo de malware.

En Xataka

Windows Insider: qué es, para qué sirve y cómo apuntarse

El falso instalador contra el que advierte Kaspersky

La firma de ciberseguridad Kaspersky ha advertido, precisamente, de la proliferación de esta clase de instaladores falsos que buscan aprovechar el interés de los usuarios por el nuevo Windows para infectar el mayor número posible de equipos.

Y ha puesto como ejemplo paradigmático de esta clase de instaladores el fichero "86307_windows 11 build 21996.1 x64 + activator.exe", que ya circula por diversas webs y redes.

El nombre de este fichero induce a pensar que estamos descargando Windows 11 en su compilación 21996.1 y que, además, estamos obteniendo en el mismo pack un 'activador' que nos evite tener que pagar la licencia del SO a Microsoft.

Unamos a eso su peso de 1,75 Gb (aunque en realidad sea de menos de la mitad que el de la ISO real) y el aspecto perfectamente normal de su instalador, y nada debería hacernos dudar —en un primer momento— de que estamos bajando Windows 11.

Sin embargo, como advierten los investigadores de Kaspersky, este instalador no hace sino descargar un segundo instalador que se presenta a sí mismo como un 'gestor de descargas' y que, en un momento dado nos pedirá que aceptemos un acuerdo de licencia.

Sí, hablamos de ese largo texto legal que todos tendemos a no leer y que solventamos clicando en 'Aceptar'. Sin embargo, este acuerdo de licencia indica al lector atento que instalará en nuestro equipo nuevo software que define como "ofertas adicionales de nuestros patrocinadores".

Por supuesto, todo lo que recibirá nuestro sistema a partir de ese momento será una amplia gama de programas maliciosos, desde adware molesto pero relativamente inofensivo hasta exploits y software de robo de contraseñas.

Vía | Kaspersky

Imagen | Kaspersky

Los investigadores de CyberArk Labs han revelado en las últimas horas que alguna de las soluciones antivirus más populares en Windows 10 sufrían importantes vulnerabilidades que hubiesen permitido a un potencial atacante aumentar sus privilegios en el sistema aumentando así sus posibilidades de éxito.

El informe dice que los errores más comunes que sufren los productos de seguridad pueden permitir que un usuario estándar se convierta en un usuario con privilegios. "Lo que descubrimos a través de nuestra investigación fue que todos los principales proveedores de antimalware que probamos podrían ser explotados", aseguran.

Una ayuda involuntaria por parte de los antivirus a los atacantes

Las soluciones antimalware que se supone que protegen al usuario pueden ayudar involuntariamente al malware a obtener más privilegios en el sistema y, de esta manera, actuar más eficazmente. Un problema que se suma, explican los expertos en ciberseguridad, a que estos programas se usan en millones de equipos.

"Probablemente todas las máquinas con Windows han tenido al menos un software del que se puede abusar para obtener privilegios elevados mediante ataques de manipulación de archivos", afirman desde CyberArk Labs. Concretamente, las vulnerabilidades que han sufrido algunos de los antivirus más conocidos son estas:

• Kaspersky: CVE-2020-25043, CVE-2020-25044 y CVE-2020-25045
• McAfee: CVE-2020-7250 y CVE-2020-7310
• Symantec: CVE-2019-1954
• Fortinet: CVE-2020-9290
• Checkpoint: CVE-2019-8452
• Trend Micro: CVE-2019-19688, CVE-2019-19689 y tres vulnerabilidades más
• Avira: CVE-2020-13903
• Microsoft: CVE-2019-1161

En Genbeta

Seis cursos online gratuitos que puedes comenzar en octubre para formarte en ciberseguridad

La vulnerabilidad más preocupante de todas las detectadas por esta compañía de ciberseguridad permitía al malware, gracias a la intervención de un antivirus, eliminar archivos de cualquier parte de los directorios del ordenador.

Pese a ser vulnerabilidades diferentes, en síntesis, todas implican una escalada de privilegios del sistema local. Los fallos son responsabilidad de las Discretionary Access Control Lists o DACL predeterminadas para la carpeta C:\ProgramData de Windows.

Los exploits presentado por los investigadores son fáciles de llevar a cabo, aunque también es fácil parchear los programas para evitarlos, como ya ha pasado con todas las soluciones de seguridad afectadas. Por tanto, no hay que preocuparse.