espía

Creepware: tu webcam te espía y no lo sabes

Computer Hoy - ‎sábado‎, ‎18‎ de ‎abril‎ de ‎2015

En marzo de 2013 Cassidy Wolf, actual Miss Teen USA 2014, recibió un inquietante email. Contenía fotos suyas desnuda, tomadas en su dormitorio, y el siguiente mensaje: "O haces las cosas que pone en esta lista o enviaré estas fotos y otras peores a toda tu lista de contactos y a Internet, y tu sueño de convertirte en modelo se convertirá en una carrera pornográfica".

En la lista de "peticiones" que incluía el email, estaba el envío de fotos y vídeos con más calidad, y la grabación de un vídeo sexual de 5 minutos a través de Skype.

Alguien había hackeado la webcam del ordenador de su dormitorio, y la había estado espiando durante un año.

A este tipo de espionaje informático que utiliza la webcam se le conoce con el nombre de creepware. Por 35€ puedes comprar el software para llevarlo a cabo, y se estima que más de 700.000 personas han sido espiadas a través de lawebcam, sólo con un único software espía, BlackShades.

Cassidy Wolf no se dejó amedrentar. Denunció el caso a la policia mientras, al mismo tiempo, fue dando largas al ciberdelincuente. La policía tuvo tiempo de cazarle antes de que difundiera las intimidades de Miss Teen USA 2014. Se trataba de un compañero de instituto de tan sólo 19 años, que fue condenado a 18 meses de prisión. Según el FBI había intentado chantajear a 150 chicas, desde americanas a irlandesas, e incluso rusas.

La sombra de BlackShades

Jared Abrahams, el extorsionador de Cassidy Wolf, había utilizado un creepware llamado BlackShades, que puedes comprar en Internet por 35€ y no requiere conocimientos de hacker para usarlo. Simplemente lo instalas en un ordenador, y al instante obtienes el acceso a su webcam, a sus ficheros, y a todo lo que teclea.

A raíz de esta denuncia, el FBI comenzó una investigación que terminó con la detención de más de 100 personas de más de 20 países que había usado BlackShades para espiar la webcamde más de 700.000 usuarios de Internet.

BlackShades se vendía de forma semilegal a través de una web que lo publicitaba como una Herramienta de Administración Remota o RAT. En teoría servía para "vigilar que nadie use tu PC cuando no estás, para controlar las webs que visitan los menores, o para vigilar a tu pareja cuando sospechas que tiene un amante...".

¿Qué es el Ransomware? ¿Cómo evitarlo?

En la práctica, la gente compraba BlackShades para instalarlo en ordenadores de otras personas y espiar su webcam, mensajes, contraseñas, y todo lo que tecleaban en el ordenador, pues también incluye una función de keylogger. Muchos lo distribuían a través de falsos emails publicitarios o informativos. Cassidy Wolf  fue infectada por BlackShades a través de un falso email que publicitaba concursos de belleza para adolescentes. Cuando pinchó en el enlace, comenzó la pesadilla.

BlackShades también tiene la capacidad de reenviarse a todos los contactos de la víctima, e infectar a otros ordenadores.

Uno de los creadores de BlackShades, Michael Hogue, fue detenido en 2012, y se rumorea que su colaboración con el FBI permitió la detención de estos 100 hackers, incluyendo a otro co-creador, Alex Yucel. Pese a ello BlackShades se ha seguido distribuyendo de forma clandestina. Curiosamente, su ilegalidad hizo subir el precio, y de 35€ paso a costar cientos de euros, que muchas personas pagaron.

Pero BlackShades es sólo uno de los muchos tipos de creepware que existen. Otros programas muy conocidos son DarkComet, Poison Ivy, jRAT y Pandora RAT.

Aquí podemos ver una captura de un creepware que se ha conectado al ordenador de la víctima, y desde un sencillo menú se elige la opción para capturar la imagen de la webcam:

Si cogemos uno de estos programas, como Pandora RAT, nos damos cuenta de su peligrosidad simplemente echando un vistazo a las cosas que puede hacer:

•Bloquear tu PC o hacer que se reinicie

•Mostrar mensajes en la pantalla (amenazas, insultos, burlas, etc)

•Reproducir mensajes de audio

•Hacer capturas de pantalla

•Esconder la barra de tareas y los iconos del escritorio

•Abrir páginas web

•Grabar vídeo

•Grabar conversaciones a través del micrófono

•Guardar todo lo que tecleas

•Robar ficheros

•Realizar ataques DDoS usando tu PC

•Minar Bitcoins para otros

Cámaras... ¿de seguridad?

El creepware se asocia casi siempre a las webcams integradas en los ordenadores, como las que incluyen los portátiles, o una webcam USB que instalas en tu PC de escritorio. Pero este software espía también es capaz de actuar en las cámaras de seguridad que muchas personas utilizan para vigilar la casa, el jardín, su comercio, o la habitación del bebé.

En noviembre pasado, saltó a las noticias una web rusa que ofrecía en directo la conexión, en tiempo real, con 10.000 webcams privadas de 250 países, incluyendo más de 300 cámaras españolas. Se trataba de cámaras de seguridad hackeadas situadas en salones, habitaciones, locales comerciales, o en el jardín.

La web estuvo activa un mes hasta que la desactivó una acción conjunta de las policías de Canadá y Australia, junto con las agencias de Estados Unidos y Reino Unido. Pero durante todo ese tiempo cualquier visitante podía elegir cualquier cámara y ver a través de ella lo que ocurría en el salón, el dormitorio o el jardín de una casa privada. Cámaras de Linksys, Foscam y otras marcas conocidas, se encontraban en la lista.

Lo más asombroso de todo es que los ciberdelincuentes no tuvieron que hackear nada, ni usar ningún software espía. Todas las webcams modernas disponen de conexión a Internet para acceder a ellas de forma remota, por ejemplo si quieres ver lo que pasa en tu casa desde el trabajo. Los hackers rusos simplemente usaron las contraseñas por defecto que vienen en el manual de las cámaras para entrar en ellas. Sus dueños no se habían molestado en cambiarlas. En otros casos las cámaras tenían la contraseña desactivada o eran tan obvias como 1234.

La lección que podemos sacar de esto es que siempre hay que cambiar las contraseñas por defecto de cualquier dispositivo que usemos, ya sea una webcam, un router, o cualquier otro.

La larga mano del creepware

Estamos describiendo el creepware como un software espía asociado a las webcams, y en cierto modo así es. Pero existen diferentes variantes.

El uso más obvio del creepware ya lo hemos visto: espiar a la víctima para obtener fotos y vídeo comprometidos, y luego chantajearla pidiéndole dinero o sexo, para no sacar a la luz dichas imágenes. Pero la policía también ha detectado casos de vouyerismo en donde los delincuentes se conformaban con mirar. En otros, se transmitian fotos pornográficas y vídeos a través de la propia webcam o el ordenador hackeado, por gamberrismo o para molestar a la víctima.

Hackers "buenos" y háckers "malos". ¿Cómo trabajan?

La mayoría de este tipo de software espía también roba datos, ficheros, claves y cuentas, así que el creepware también se emplea para robar dinero, suplantar la personalidad en redes sociales, o realizar ataques DDoS usando el ordenador hackeado como esclavo.

"Estos cibercriminales tienen empleados a sueldo, reciben feedback de sus clientes para mejorar el software, y continuamente actualizan y mejoran su producto, funcionando de manera muy similar a como lo hace una compañía de software estándar", explica Leo Taddeo, el jefe del FBI en Nueva York, en una entrevista en la CNN.

Otra práctica común es usar los datos espiados para crear un perfil "publicitario" de la víctima y luego bombardearla con publicidad relacionada con temas que le interesa (ropa, bebidas, juegos, etc). Es lo que se conoce como Malversiting, y lo practican muchos programas y apps legales, como el propio Angry Birds, en palabras de Edward Snowden.

Tu Smart TV también te espía

Si te inquieta que tu portátil o la webcam de tu PC espíen todo lo que haces... ¿Te imaginas a tu Smart TV haciendo lo mismo? No es una fantasía. Muchas Smart TV están equipadas con cámaras para realizar videoconferecias por Skype o equivalente, y se han dado casos de hackeos que permiten espiar desde la cámara de los televisores.

Aaron Grattafiori y Josh Yavor, dos expertos de seguridad de la firma ISEC Partners, se pusieron como reto hackear un televisor Smart TV de Samsung. Descubrieron que funciona como un dispositivo Linux con un navegador basado en WebKit. Así que era vulnerable a los mismos ataques que han sufrido los ordenadores con navegadores. Ambos expertos hackearon la aplicación Java llamada SmartHub, que controla todos los servicios de Smart TV de los televisores de Samsung. Consiguieron tomar el control de la webcam conectada a la tele, para espiar los alrededores. Mediante ataques DNS y drive-by-download robaron datos privados del Smart TV (historial de navegación, cookies), así como de los dispositivos conectados al televisor, y de la propia red WiFi. También fueron capaces de desbordar Skype para resetearlo, y controlar las APIs de aplicaciones Java vulnerables.

¿Qué pasa con los móviles?

Los smartphones tampoco se libran de la plaga del creepware. Son un blanco perfecto porque todos tienen cámara y micrófono. Y en todos ellos damos permiso a las apps para que tomen el control total de nuestro smartphone, superando cualquier antivirus u otro software de protección que tengamos.

Tomemos, por ejemplo, las populares apps de Linternas. Su única función es iluminar y por tanto el único hardware del smartphone al que deberían tener acceso es la luz de la cámara. Pues bien, la empresa SnoopWall ha examinado los permisos que otorgamos a 10 de las apps de Linterna más populares de Android:

Cuando las instalamos y y aceptamos su lista de permisos, todas ellas toman el control de la cámara y el micrófono. No quiere decir que los usen para fines malignos, pero tienen la capacidad de hacerlo. Algunas puedes leer las apps que tienes instaladas, escribir o borrar datos a través del USB, o modificar la configuración del sistema.

Cerca de la mitad de las apps sobre la Biblia que leen los textos sagrados de viva voz, cuando las instalas les das permiso para acceder a tus contactos, leer y escribir mensajes SMS, leer tus emails, hacer llamadas, y activar la cámara y el micrófono.

¿Por qué ponemos el grito en el cielo cuando recibirmos un email con spam, pero voluntariamente aprobamos permisos que entregan el control total de nuestro móvil a apps que no lo necesitan?

Existe también software que nos engaña para realizar sus fechorías. Hace un mes te hablábamos de Power Off Hijack, un creepware que engaña al usuario con un mensaje que le hace creer que su móvil se está apagando. Aún a oscuras, accede a los archivos del sistema y realiza acciones como robar datos, hacer fotos, o incluso realizar llamadas.

Infección y cura

Ya hemos visto cómo se introduce el creepware en nuestros equipos. A través de falsos emails publicitarios o informativos, o mediante apps cuyos permisos aprobamos sin revisarlos. Pero tiene otras muchas formas de entrar: mediante ficheros que descargamos en redes sociales o P2P, mensajes de WhatsApp, SMS, etc.

Además el software creepware se puede comprar por unas docenas de euros en foros de hacking, y es muy sencillo de usar, no necesitas conocimientos de programación. De ahí que esté tan extendido.

¿Cómo protegerse de la amenaza del creepware que ataca a las webcams? ¿Crees que con mirar si el LED de la cámara está encendido es suficiente? En conferencias de hackers se han mostrado métodos para grabar con las cámaras aún con el LED apagado.

Vamos a mostrarte un método efectivo al 100% que además no te costará nada, o como mucho, unos céntimos de euro. Es éste:

En efecto, un trozo de cinta aislante sobre el objetivo de la webcam. ¿Te parece una broma? No lo es. Los ordenadores de los mayores expertos de seguridad del mundo la tienen puesta en sus webcams, y sólo la quitan cuando van a usar la cámara. Haz lo mismo.

Pero como hemos visto, el creepware no sólo afecta a la cámara. También roba datos y registra todo lo que tecleas. Por eso debes tomar otras medidas:

•Actualiza constantemente tu sistema operativo y tus programas

•Actualiza el navegador de Internet, Java, y el resto de librerías que uses

•Instala un antivirus y actualízalo

•Realiza chequeos semanales con software anti-malware

•No descargues programas de webs sospechosas

•No pinches en enlaces de redes sociales, emails y mensajes de móvil

•Cambias tus contraseñas críticas al menos una vez cada tres meses (mejor cada mes)

El creepware suena a ciencia-ficción, pero es muy real. Y las consecuencias de una infección pueden ser graves, porque como hemos visto muchas terminan en extorsiones sexuales o monetarias.

Hay que mantenerse siempre alerta y no dar por hecho, nunca, que nuestro ordenador o smartphone son seguros. Es la primera excusa que cuentan a la policía las víctimas del creepware...