Miles de sitios webs de los gobiernos hackeados para minar criptomonedas

Se han descubierto miles de webs de varios gobiernos del mundo que forzaban a los visitantes a minar criptomonedas.

Extraída de Hackbusters

 

El script de minado ha sido encontrado en más de 4.000 webs entre las que destacan el Servicio Nacional de Salud de Reino Unido (NHS) y el sistemas judicial de los Estados Unidos.

Los ciberdelincuentes consiguieron modificar un complemento de accesibilidad de terceros llamado Browsealoud, el cuál estaba presente en todas las webs afectadas. Una vez más, la secuencia de comandos que se insertó pertenece a CoinHive, al cuál ya hemos mencionado en otros artículos.

Como ya hemos mencionado en otras ocasiones, los usuarios al visitar una web que contiene código de CoinHive, notan como la potencia de su procesador se ve aumentada notablemente para minar criptomonedas sin conocimiento de ello. Esto es conocido comocriptojacking.

El encargado en dar la voz de alarma fue Scott Helme (Consultor de Seguridad en Reino Unido). Descubrió el hackeo después de que uno de sus amigos mencionara haber recibido alertas de antivirus en la web del gobierno y lo publicó en su cuenta de Twitter.

El complemento vulnerado pertenece a la empresa TextHelpMartin McKay, CTO de dicha compañía escribió un post para tranquilizar a los usuarios. En él, especifica que el completemento está pasando una serie de revisiones de seguridad.

Debido a esta acción, el completemento ha sido borrado eventualmente de todas las webs sin que los encargados de dichas páginas deban realizar ninguna acción.

Además, la compañía asegura que no se ha comprometido datos de ninguno de los usuarios y que sus clientes recibirán una actualización tan pronto como la investigación de seguridad haya finalizado.

Más información:

Lista de webs vulneradas:
https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

Web de CoinHive:
https://coinhive.com/

Tweet de Scott Helme dando la alarma:
https://twitter.com/Scott_Helme/status/962684239975272450 

Virus periodístico

Lunes 12 de febrero 9:00 am. Llega a mis manos, a través de un compañero de trabajo, una noticia publicada en el periódico ‘El País’ titulada “Virus informático”. Como informático dedicado precisamente a la seguridad informática, un titular tan directo me invita a prepararme un café que acompañe la lectura y me caliente antes de comenzar con mis responsabilidades.

 
 


9:00h: Me dispongo a leer el artículo de la escritora Ana Merino (Madrid, 1971), una poeta, dramaturga y teórica española de la historieta, perteneciente a la Generación Poética del 2000. No lo digo yo, lo dice Wikipedia.


9:01h: Empezamos el artículo que viene subtitulado con sus intenciones: “Los hacker son un nuevo peligro de una gravedad incalculable y se requiere de una acción seria, coordinada y efectiva”. La escritora no esconde ninguna carta.


9:02h: Sorbo el café y me adentro en el primer párrafo del artículo: Estarán contentos los que desarrollaron los primeros virus informáticos y dieron lugar a un linaje de seres siniestros que se pasan la vida tecleando destrucción y toxicidad cibernética”. Vale, esto es una sátira. Me da la impresión de que va a ser una entrada con dosis de humor desternillante. Sigo leyendo.


9:03h: Cito textualmente: “Estos sujetos, esparcidos por el mundo, son los nuevos discípulos del sabio Frestón, que en su día se las hizo pasar canutas a Don Quijote y obstaculizó todo lo que pudo sus hazañas”. Oops! Lo que podía ser un artículo con altas dosis de humor se transforma en mi mente en que ForoCoches lo ha vuelto a hacer y se la han colado a ‘El País’. Cambio de pestaña y busco en ForoCoches. No encuentro nada.


9:10h: “Estos malévolos embrujos no son anécdotas aisladas y hacen mucho daño. Afectan a las bases de datos de hospitales y otras infraestructuras neurálgicas de nuestra sociedad. Son un nuevo peligro de una gravedad incalculable y se requiere de una acción seria, coordinada y efectiva”. Empiezo a vislumbrar lo que ha pasado aquí: a esta mujer le ha “entrado” un ransomware y se ha venido arriba maldiciendo a diestro y siniestro, intentando crear opinión sobre un tema del cual es una completa ignorante, en el buen sentido.


9.12h: “Necesitamos castigos estrictos y disuasorios, neutralizar a estos seres abyectos.“ Con esta frase me acaba de ganar. Más bien con el adjetivo que finaliza la frase: abyectos. ¿Qué significa?. Me suena a algo malo pero disculpad mi ignorancia, tuve que buscarlo para dimensionar su magnitud…


abyecto, ta.
Del lat. abiectus, part. pas. de abiicĕre ‘rebajar, envilecer’.
  1. 1. adj. Despreciable, vil en extremo.
  2. 2. adj. desus. Humillado, herido en el orgullo.


9.15h: …y termino: “Expulsarles del universo informático y las redes, que no puedan volver a navegar, ni a programar, ni a embrujar ninguna base de datos”. Un final más propio de Dragones y Mazmorras que de un artículo de opinión sobre el fortalecimiento de la legislación contra amenazas cibernéticas.


En cierto modo, aunque me sentía aludido por esta escritora perteneciente a la generación poética del 2000 y comprendiendo su mensaje, (eso sí, carente de una argumentación sensata), su ofensa es debida a un mal uso de la palabra ‘hacker’. Quizás ella desconozca que el término ‘hacker’ dejó de ser despectivo hace ya muchos años y que el 20 de diciembre de 2017 la RAE incluyó la siguiente acepción: “persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora“. Pero con él ha ofendido a una minoría y todos sabemos que, en los tiempos que corren, ofender a una minoría debe de ir acompañado de una disculpa.



Actualización:
‘El País’ ha rectificado la noticia eliminando el término ‘hackers’.

 
 
Más información:
 

Driver vulnerable en Gundam Online (BANDAI NAMCO)

Los laboratorios de Kaspersky detectan una muestra que es constantemente clasificada para análisis exhaustivos al ser detectada por su plugin de exploits. Al examinarla, resulta ser un driver de Gundam Online, el videojuego de NAMCO.

Para poder entender esto, tenemos que conocer qué es SMEP. SMEP (Supervisor Mode Execution Protection), es una característica que marca todas las páginas disponibles para distinguirlas entre aquellas que pueden ejecutar código en ring-0 o no. SMEP se encuentra activo cuando el bit SMAP del registro CR4 y la paginación se encuentran establecidos. Con este mecanismo, todos los intentos implícitos de lectura de memoria de paginas en user-land con un privilegio menor que ring-3 serán bloqueadas siempre que SMAP esté habilitado.

Durante su ejecución, se observa que una página de user-space es llamada desde el driver de CAPCOM justo después de que se cree una petición IOCTL (0x0AA012044) al DeviceObject \\.\Htsysm7838 – Este comportamiento no debería ser válido, ya que SMEP no lo permite; por lo que se debería generar una excepción de violación de acceso y detener el sistema con un BSOD.

Flujo de llamadas para habilitar y deshabilitar SMEP.

En este fragmento, podemos observar cómo esta rutina que contiene un puntero a una función en userspace, deshabilita SMEP para llamar a dicha función en user-land. Tras esto, rehabilita SMEP volviendo a su estado original.
Para poder llamar a dicha función, necesitaríamos tener el bit CR4 (que mencionamos al principio de la entrada) que es justo lo que la función indicada como disableSMEP hace.

Analizando el driver podemos observar que solo acepta dos IOCTL:

IOCTL validos.

Este driver no tiene ninguna comprobación de seguridad extra, por tanto cualquier aplicación desde user-land podría explotar el IOControlCode a través de la API DeviceIoControl, conociendo el código de control del driver.

Definición de kernel32!DeviceIoControl (https://msdn.microsoft.com/es-es/library/windows/desktop/aa363216(v=vs.85).aspx)
Prueba de concepto de la vulnerabilidad.
Resultado de la prueba de concepto. Aunque se podría haber incluido una shellcode y el resultado sería distinto.

Por tanto, un atacante podría crear una aplicación desde user-land y provocar la ejecución de código o provocar un crash en el sistema. Para hacer la prueba, se ha utilizado una cadena basura para demostrar el problema, sin embargo es posible utilizar una shellcode. En caso de que el Driver no estuviera instalado en el sistema, al estar firmado no habrá problemas para incorporarlo al sistema por parte de un atacante.

Al ser informados BANDAI NAMCO eliminaron el driver problemático que ya no es cargado por el juego, siendo la actuación similar al driver de CAPCOM.

Más información:
 
SMEP: What is it, and how to beat it on Windows:
http://j00ru.vexillium.org/?p=783

Supervisor Mode Access Prevention (SMEP):
https://en.wikipedia.org/wiki/Supervisor_Mode_Access_Prevention

Elevation of privileges in Namco Driver:

Citrix presenta el concepto de “Movilizartodo”

La iniciativa pretende transformar un espacio de trabajo en un entorno móvil. Frente a este panorama, los canales deben empezar a trabajar para preparar a sus clientes ante las nuevas exigencias y necesidades que se presentarán en el entorno laboral, destacan desde Licencias OnLine.

 

Según estudios de IDC el 75% de la fuerza laboral será móvil en el 2021, y para enfrentar los retos que traerá esta tendencia, Citrix presenta el concepto de “Movilizartodo” para transformar un espacio de trabajo en un entorno móvil.

En este contexto, el rol del TI se convierte en un proveedor de servicios para el Digital Workspace dondequiera que el individuo este, por tanto, la experiencia del usuario juega un rol fundamental para que las personas puedan trabajar desde donde sea, de forma segura y productiva.

“El dispositivo más avanzado es la gente, y hoy necesita de un espacio de trabajo que pueda llevar consigo a todas partes”, explica Juan Pablo Jiménez, vicepresidente de Citrix para Latinoamérica y el Caribe.

Frente a este panorama, los canales deben empezar a trabajar para preparar a sus clientes ante las nuevas exigencias y necesidades que se presentarán en el entorno laboral. Christian Dattoli, Product Manager de virtualización en Licencias OnLine, explica: “es necesario que los canales puedan direccionar esta tendencia y brindar a sus clientes servicios eficientes que aumenten su productividad; en Licencias OnLine estamos brindando soluciones que se enfocan en el trabajo digital, además de apoyarlos en dimensionar soluciones móviles”.

En tanto, a medida que crece la demanda del acceso móvil, los usuarios pueden sufrir tiempos de respuesta de red lentos, desconexiones y una pobre experiencia de usuario en muchas herramientas empresariales comunes.

En varias ocasiones las caídas de llamadas VoIP están asociadas a problemas de red, acceso lento y desconexiones, es por ello que es necesario disponibilizar y dar capacidad, velocidad y seguridad a los usuarios.

Licencias OnLine en su portfolio de soluciones entrega herramientas de Citrix, Microsoft y otros fabricantes, que puedan ayudar a los Partners a idear una estrategia eficaz para hacer frente a los desafíos de las empresas.

Conoce el amplio abanico de soluciones de Citrix que permitirá a sus clientes transformar su espacio de trabajo en un entorno móvil.

VIRTUALIZACIÓN DE APLICACIONES Y VDI

XenApp y XenDesktop
Entrega segura y asequible de aplicaciones y escritorios Windows en cualquier dispositivo.

XenServer
Plataforma de virtualización de servidores líder de la industria para rendimiento optimizado de escritorios y aplicaciones.

ADMINISTRACIÓN DE MOVILIDAD EMPRESARIAL (EMM)

XenMobile
Administración de dispositivos móviles, administración de aplicaciones móviles y aplicaciones de productividad para una seguridad móvil completa.

INTERCAMBIO Y SINCRONIZACIÓN DE ARCHIVOS (EFSS)

ShareFile
Servicios de intercambio y sincronización de datos seguros y de calidad empresarial en las instalaciones y en la nube.

NETWORKING

NetScaler
Infraestructura de red escalable para alta disponibilidad, rendimiento y seguridad del centro de datos, sucursal, nube y servicios móviles.

Boletín de Hispasec para empresas – Febrero

Empezamos 2018 con una noticia cuyos coletazos seguramente nos acompañen todo el año: nos referimos a Meltdown y Spectre, las vulnerabilidades que afectan a los microprocesadores Intel, ARM y AMD (Meltdown sólo a Intel). Estamos ante fallos originados por un error en el diseño interno de los microprocesadores, y de los cuales Intel (el mayor afectado) aún no ha confirmado fecha de cuando serán corregidos.

Pero este mes de enero también nos ha traído otras noticias relevantes. Una de ellas está directamente relacionada con el universo de las criptomonedas, y no por el descalabro que han sufrido algunas de ellas en los últimos días, sino por la inclusión de un JavaScript fraudulento con capacidad de minado en YouTube. Esta inclusión se debió a que el sistema de publicidad DoubleClick, propiedad de Google, no incluía los controles necesarios, y un atacante podría aprovecharlo para incluir JavaScript con capacidad de minado. De esta forma, mientras los usuarios veían vídeos en la plataforma estaban usando su capacidad de cómputo para minar la criptomoneda Monero.

Este mes en nuestro boletín de noticias diarias también hemos hablado de la cantidad de conferencias que se acumulan año tras a año en el panorama mundial, basándonos en los datos ofrecidos por la web infosec-conferences.com.

Desde Hispasec hemos hecho un repaso a las conferencias de seguridad en las que hemos tenido presencia en los últimos dos años, y el resultado no está nada mal: un total de 13 ponencias en los últimos dos años.

 

  • 2016 Black Hat Las Vegas, Francisco López y Fernando Ramírez. Koodous ,Collaborative Social Antivirus for Android

  • 2016 Black Hat Londres, Daniel Vaca. Koodous ,Collaborative Social Antivirus for Android

  • 2016 Navaja Negra, por Daniel Vaca: “Analizando Malware like a n00b”.

  • 2016 OpenSouthCode Fernando Díaz: Reverse engineering in Android devices. Francisco López, Automatización de sistemas con Ansible

  • 2016 HackersWeek Francisco López, Koodous, un antivirus colaborativo para Android

  • 2016 Google Developers Group Malaga NexT  Fernando Díaz : Introduction to AppEngine.

  • 2017 GDG DevFest Fernando Díaz: Procesamiento de Eventos Complejos para detectar de amenazas de seguridad

  • 2017 Google Campus Exchange: Cybersecurity (Tel Aviv). Francisco López y Fernando Ramírez.

  • 2017 Charla en Simposio de seguridad bancaria de Panamá, por Fernando Ramírez  “Evolución del Malware en Android” 2017

  • 2017 HITCON Pacific In-depth analysis of Bankbot  Fernando Díaz : Emulation, decryption and attack techniques.

  • 2017 Navaja Negra Conference: Analyzing Bankbot  Fernando Díaz , a mobile banking botnet.

  • 2017 UMA Hackers Week  Fernando Díaz : Videogames security  Fernando Díaz : Exploiting vulnerabilities in game engines.

  • 2017 OpenSouthCode  Fernando Díaz: Automatic analysis of vulnerabilities in Source Code.

  • 2018 FIRST TC Osaka 2018 The day your IP camera took down a website  Fernando Díaz: An In-Depth Analysis of Emerging IoT Botnets.

  • 2018 XIII SEMINARIO IBEROAMERICANO DE SEGURIDAD EN LAS TICFernando Díaz: Malware y Ransomware en Android

 

Los atacantes siempre están buscando mecanismos para la proliferación de sus amenazas. Muchas veces estas técnicas no destacan por ser muy sofisticadas: un ejemplo de ello ha sido el descubrimiento de un spyware para macOS llamado MaMi, que a pesar de usar técnicas sencillas para conseguir infectar a la víctima, siguen teniendo éxito.

Queremos aprovechar la oportunidad de hablaros sobre el servicio Antifraude de Hispasec, que acumula 12 años de experiencia. El servicio Antifraude está enfocado a empresas que sufran alguna variante de fraude online. Estas variantes pueden ir desde el clásico scam (timo) que aprovecha la marca para el robo de datos, hasta el malware más sofisticado para robar dinero a los clientes finales. En Hispasec llevamos años trabajando en mejorar y adaptarnos a las nuevas tendencias de los atacantes, actualizando y mejorando continuamente nuestras sondas de detección y procedimientos de cierre de amenazas.

Nuestro ‘know-how’ está basado en un proceso combinado de búsqueda, procesado y análisis de información que nos posiciona como una empresa líder en la detección de fraude online. Este hecho unido a una media de cierre inferior a 3 horas y 46 minutos por incidente y una suite de servicios añadidos, hace que desde Hispasec se brinde a nuestros clientes un servicio integral de soluciones antifraude.

Vulnerabilidades en software de gasolineras

Hace unos meses, Kaspersky detectó una amenaza crítica de seguridad. Resultó ser una simple interfaz web que en realidad era un enlace a una gasolinera real, haciéndola manipulable de manera remota.

La interfaz web no resultó ser solo eso, sino que era en realidad una máquina ejecutando un controlador basado en linux con un pequeño servidor httpd. Según el fabricante, el software del controlador se encarga de gestionar todos los componentes de la gasolinera: Dispensadores, terminales de pago… Algunos de estos controladores llevaban gestionando estaciones más de 10 años, y llevan expuestos a internet desde entonces.Según los especialistas de Kaspersky, en el momento de la investigación localizaron donde se encontraban las estaciones activas. Mayormente en Estados Unidos y la India, aunque también se encontraron en un porcentaje considerable en España y Chile.

Países afectados por estos dispositivos.

Una vez conocida la información del dispositivo, era sencillo obtener la documentación de este. Los manuales del fabricante eran bastante detallados, llegando a incluir capturas de pantalla, comandos, credenciales por defecto e incluso una guía paso a paso sobre cómo acceder y manejar cada interfaz. Solo con esto, se puede tener conocimiento de como funciona la aplicación.

Esquema del funcionamiento de la aplicación y los controladores.

Observando la interfaz, podemos ver que es sencilla para utilizar por los operarios de la gasolinera. Sin embargo, en el caso de que el operario sea un usuario malicioso puede llevar a cabo distintas acciones entre ellas modificar informes, recibos o incluso el precio de la gasolina. Estos privilegios, que deberían ser accesibles solo al administrador pueden ser utilizados por cualquier usuario.

También es interesante que, en el esquema anterior no encontramos ninguna referencia a medidas de seguridad o de protección contra la interfaz.
Los investigadores de Kaspersky volcaron el firmware del dispositivo para poder analizarlo, llegando a darse cuenta de una ingrata sorpresa: el fabricante había dejado unas credenciales hardcodeadas a modo de backdoor, en caso de que el dispositivo requiriese permisos mayores o acceso local con los privilegios mas altos. Cualquier dispositivo de dicho fabricante cuenta con las mismas credenciales hardcodeadas.

Entre otras vulnerabilidades, resulta interesante que se pueda obtener la localización exacta de la gasolinera. Existe un componente que genera informes diariamente,  incluyendo el nombre de la estación además su localización.

Haciendo uso de las credenciales encontradas en el código del firmware, se pueden cambiar los precios de la gasolina. El atacante tendría que investigar los productos de la gasolinera con estas credenciales hasta dar con el producto que corresponda a la gasolina para poder modificar su precio.

Tras el análisis por los investigadores de Kasperksy, concluyeron que un atacante que conozca las credenciales hardcodeadas tendría acceso a:

  • Apagar todos los sistemas de provisionamiento
  • Filtro de combustible
  • Cambiar los precios de los productos
  • Robar dinero a través de la terminal de pago
  • Obtener información de las licencias de los vehículos y sus dueños
  • Bloquear la estación a cambio de un rescate.
  • Ejecutar código remoto
  • Moverse libremente dentro de la red de la estación
Más información:
 

Vulnerabilidad en LibreOffice

Remote Arbitrary File Disclosure en LibreOffice

Esta vulnerabilidad se encuentra en el soporte que da LibreOffice a la función“COM.MICROSOFT.WEBSERVICE” se trata de una función que se encarga de mostrar datos de Internet o de una intranet en nuestros documentos de LibreOffice Calc.

Función

Esta función recibe un parámetro que debe ser una URL de cualquier servicio web. Existen una serie de restricciones sobre esta función, devolverá #VALUE! error :

  1. Si no puede obtener los datos del WebService.
  2. Si se devuelve una cadena no válida o que contenga más caracteres que lo permitido por las celdas (longitud máxima: 32767).
  3. Si la URL contiene una cadena de más de 2048 caracteres permitidos en una petición GET
  4. No están soportados los protocolos ‘file://’ ‘ftp://’

La vulnerabilidad se encuentra en nuestro punto número 4. Esta restricción no está implementada en LibreOffice. Por defecto las celdas no se actualizan, pero si se especifica el tipo de celda como ‘~error’ hará que la celda se actualice cuando se abra el documento.
Explotación

Para explotar esta vulnerabilidad se necesita enviar los archivos desde el usuario actual por lo que se necesita la ruta de su carpeta de usuario, para explotarla solo necesitamos:

Explotación

También podemos hacer una llamada a otros ficheros muchos más importantes.Es posible explotar esta vulnerabilidad en otros formatos que no sean los de LibreOffice.

Impacto y versiones vulnerables
Es muy preocupante la facilidad de enviar cualquier archivo con información sensible.
Por ahora las versiones de LibreOffice vulnerables a este ataque son:

  • LibreOffice 5.4.5 hasta 6.0.1
  • Explotable en cualquier plataforma Linux/Windows/macOS
Más información:
 
Función COM.MICROSOFT.WEBSERVICE:

UDPoS, el malware que afecta a puntos de venta

UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn

Recientemente se ha descubierto una nueva variedad de malware que afecta principalmente a puntos de venta (PoS) y envía la información de las tarjetas robadas a través del protocolo DNS. El uso de este protoloco es algo a destacar, ya que lo más común en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar por una actualización de LogMeIn.

El malware se presenta con nombres como ‘logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe’ y se comunica con servidores de control alojados en Suiza. La primera vez que se ejecuta genera un archivo ‘infobat.bat’ que se usa para hacer una firma del sistema y poder identificar las máquinas infectadas. A continuación escanea la máquina infectada y la información recopilada se aloja en un fichero llamado‘PCi.jpg’, que se envía al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se asegura de sobrevivir al reinicio de la máquina).

Malware UDPoS, extraída de: forcepoint

C2 y Hashes

Extraída de: forcepoint
Extraída de: forcepoint

El malware también busca software antivirus en la máquina infectada o si está siendo ejecutado en una máquina virtual.

Extraída de: forcepoint

Los investigadores de Forcepoint que lo han descubierto comentan que parece ser una versión en desarrollo, ya que no se puede asegurar que esté en funcionamiento completamente. Tal vez esto sólo sea una prueba del malware…

Volviendo al envío de datos robados, como ya comentamos el uso del protocolo DNS no es una elección común, pero tampoco es algo único. A continuación, recordamos algunos malwares que usan esta misma técnica para enviar los datos robados:

Extraída de:  akamail.com

LogMeIn ha publicado una aviso a sus clientes el cual podéis leer aquí.

Soy de esas personas que toman el café sin azúcar, que no beben refrescos, cuyos desayunos no provienen de una caja de cartón y hace muchísimo que no compro galletas, ni tartas, ni chocolate, así que no me parecía que fuera la persona ideal para aceptar el reto pasar un mes sin azúcar. Sin embargo, sí me gustan los dulces así que me apunté. Y esto fue lo que pasó.

Aunque suelo llenar el carro de la compra con cosas naturales, sí tomo algo de chocolate si lo hay en la oficina, por ejemplo. Y sigo picando más y más trozos a lo largo del día. Si voy a casa de alguien y ponen unas galletas con el café, seguro que cojo alguna. Y luego otra y luego otra. Si me ofrecen un trozo de tarta, sería raro que dijera que no. Me conozco, esas son mis 3 debilidades.

Dieta sin azúcar: Huevos revueltos con salmón y aguacate

Día 1, 1 de enero: Me decanto por huevos revueltos con aguacate, beicon y tomates para desayunar. Algo que suelo tomar. Empezamos bien. Sin embargo, anoche fue Fin de Año, así que tengo limpiar y retirar algunas botellas, boles y una fondue de chocolate. Me dirijo a la cocina para deshacerme de ese chocolate que no puedo comer en 31 días y, sin darme ni cuenta, rompo un trozo y me lo como. Sí, chocolate para desayunar (esas cosas que puedes hacer cuando eres adulto y ya no vives con tus padres). Después de 50 minutos de vivir sin azúcar, ya he fallado en mi reto. Pero no pasa nada, mañana es lunes y todos los planes se deben empezar un lunes, ¿no?

Día 1, toma 2: Me fui a dormir algo más tarde de lo que debía, así que me levanto algo cansado y bajo de fuerza de voluntad en mi primer día del reto. Desayuno unas gachas con frutos del bosque y semillas de linaza. No he preparado nada para comer: estar cansado y no tener la comida preparada no es ponértelo fácil precisamente. Me voy a un restaurante de sushi que hay al lado de la oficina, pensando que el sushi es una buena idea. Cuando estoy en la cola me acuerdo de que el arroz del sushi tiene azúcar añadido. Entonces cambio al sashimi, que además es más caro. El primer día de trabajo después de las vacaciones me mantiene muy ocupado y no paro en todo el día, lo que normalmente me haría caer en algo dulce, pero me mantengo fuerte y me quito los antojos con frutos secos. Otra ocasión en la que suelo ir a por algo dulce es justo antes de salir a correr, para darme un poco de energía extra. Pero hoy no. Hago un salmón al horno, judías y boniatos y consigo llegar a la tercera y última comida del día sin azúcar. Día 1 del reto sin azúcar, completado.

Dieta sin azúcar: pimiento rojo y verduras

Llega el día 2 y otra vez no me he preparado la comida. Está claro que no he aprendido nada del día 1. Me decanto rápidamente por ir al súper a por unos filetes de caballa, arroz de microondas y guisantes. Me pongo a buscar las latas de guisantes (pasando por el pasillo de los chocolates dos veces) y cuando las encuentro veo que contienen guisantes, agua… ¡Y azúcar! ¿Por qué contiene azúcar una lata de guisantes? Parece que el azúcar está presente en casi toda la comida envasada, no se libran ni unos guisantes. Parece que las judías sí han huido de su destino azucarado: la lata contiene judías y agua como cabría esperar. Escojo un filete de trucha y voy a la oficina. Así son las cosas cuando tienes que improvisar una comida sin azúcar.

Como esta vez sí que he aprendido la lección, me doy cuenta de que preparar la comida es clave a la hora de evitar el azúcar y conseguir dejarlo. Así que me dispongo a preparar y planear mis comidas para el resto del mes. Me aseguro de tener una bolsa de frutos secos a mano para picar durante mi reto. La parte social es el verdadero reto cuando intentas dejar el azúcar, pero he descubierto que comer con antelación es una buena clave y también aceptar que tendrás que rechazar lo que te ofrezcan sin dudarlo. Lo que también ayuda es rodearte de gente que te apoye. Por suerte para mí, al trabajar en Runtastic estoy rodeado de gente que piensa como yo, que me apoya y que me ayuda a mantenerme firme en mis objetivos. Dejar el azúcar no es fácil y necesitarás fuerza de voluntad para conseguirlo. Lo de dejar el azúcar se ha puesto de moda en los dos últimos años por unas cuantas buenas razones. Durante mi reto me he estado informando sobre el tema viendo películas y documentales sobre el azúcar y su consumo. Esto me abrió los ojos.

Dieta sin azúcar: Salmón a la plancha con verduras

¿Por qué es tan malo el azúcar?

El azúcar está en todas partes. De hecho, está en el 80% de la comida envasada. Es altamente adictivo y provoca estragos en el cuerpo. El azúcar no sólo altera los niveles de energía, sino que también altera las hormonas. Con el tiempo, estas fluctuaciones constantes dejan los niveles hormonales en desequilibrio y no cumplirán su función como deben. Cuando tomamos azúcar, se libera insulina desde el páncreas para eliminar la glucosa de la sangre. Finalmente, esta demanda constante, combinada con los altos niveles de insulina y glucosa, llevan a que el páncreas produzca menos insulina con el tiempo, lo cual causa resistencia a la insulina, la precursora de la diabetes. Además, si la energía del azúcar no se quema justo después de su consumición, se convertirá en grasa que se almacenará en el cuerpo.

Dejar el azúcar y perder peso

Durante mi reto perdí unos 3 kg (si bien es cierto que mi reto empezó justo después de esa época de excesos que es la Navidad). Aparte de eso, continué corriendo y comiendo como me apetecía (siempre y cuando no hubiera azúcar de por medio, claro). A las dos semanas empecé a notar que estaba más definido, lo cual no está nada mal considerando que aún no había ido al gimnasio en todo el mes de enero. Esto me hace preguntarme qué clase de grasa se pierde cuando haces una dieta sin azúcar. Por las mismas fechas me di cuenta de que había empezado una dieta alta en grasas, moderada en carbohidratos y proteínas: frutos secos, queso, aguacates y mantequilla de cacahuete se convirtieron en aperitivos frecuentes. Las comidas principales contenían carbohidratos o verduras, junto con carne o pescado. Esto me hizo adaptarme a la grasa, empecé a quemar grasa para obtener energía, en lugar de azúcar o glucosa.

Dieta sin azúcar: boniatos al horno

5 cosas que aprendí al llevar una dieta sin azúcar:

1. El azúcar está en todas partes

El azúcar se pasea a sus anchas por todas partes. La próxima vez, echa un vistazo a lo que compras. Lee las etiquetas de algunos productos y verás cuántos de ellos contienen azúcar. El azúcar viene presentado de muchas maneras. Puede que no esté escrito “azúcar” exactamente, pero si las palabras que ves acaban en “-osa”, probablemente lo sean. Un desayuno supuestamente saludable con yogur con cereales y fruta y un vaso de zumo de naranja puede contener hasta 14 cucharaditas de azúcar. La cantidad recomendada para todo un día son 7.

2. La claridad mental y la concentración aumentaron

Las 2 primeras semanas me sentía un poco confuso. Tuve un par de noches de poco descanso y algunos días muy largos en el trabajo, pero era una sensación distinta a la de estar cansado. Después de las 2 semanas algo cambió. De repente salí de esa fase y me sentí más centrado y con más claridad mental que nunca.

3. Más energía, menos bajones

Desde que empecé mi dieta sin azúcar, mis niveles de energía han ido subiendo y ya nunca recurro al azúcar para darme ese subidón. Me despierto más fresco y enérgico. Además, esa energía me dura todo el día. El bajón de las 3 pm ya no existe y ya no busco algo azucarado para remediarlo.

4. Una piel mejor

Con la dieta sin azúcar he notado que tengo la zona T (la frente y la nariz) menos grasienta. Tomar azúcar en exceso puede causar piel grasa, así que en lugar de ponerte productos en el exterior puedes probar a cuidarte desde el interior (¡el azúcar también produce granos y hasta arrugas!).

5. Amor por la cocina

He vuelto a amar la cocina. Siempre me ha gustado cocinar y siempre suelo preparar comidas sanas. Dado que muchas salsas y productos se esfumaron de mis platos, tenía que cocinar prácticamente todo desde cero. Esto me hizo crear mis propias recetas. Hacía mucho que no lo hacía. Así sabes exactamente qué hay en tu plato.

¿Volveré a comer productos que contengan azúcar? Sí. ¿Y si alguien trae una tarta de cumpleaños a la oficina? Seguro. ¿Y si hay tiramisú de postre en un restaurante? Ni lo dudes. ¿Pero seré más consciente de los productos que tomo e intentaré reducir la ingesta de azúcar? Absolutamente.

Sobre el autor:

Jonathan Meadows

Jonathan es un entusiasta corredor de maratones, con un récord personal de 3:02. A Jonathan le gusta leer sobre nuevas modas en el mundo del fitness, nuevas formas de mejorarse a sí mismo y siempre está dispuesto a aceptar un reto.

Los 9 mejores remedios caseros para el dolor muscular

Los 9 mejores remedios caseros para el dolor muscular

Estirar, calentar y enfriar son algunos imprescindibles para evitar las agujetas al día siguiente, pero la nutrición también juega un papel crucial. ¿Sabes qué alimentos te ayudan a prevenir el dolor muscular? Nosotros te traemos 9 remedios.

Alimentos contra las agujetas: remolacha

1. Remolacha

En la Conferencia 2013 ISSN, la Sociedad Internacional de Nutrición Deportiva descubrió lo siguiente: siete runners con un buen entrenamiento habían estado bebiendo zumo de remolacha regularmente durante unas dos semanas y, como resultado, disminuyeron su dolor muscular de forma significativa.

2. Cafeína

Algunos estudios demuestran que los atletas reducen la predisposición a tener dolor muscular cuando toman cafeína antes de su entrenamiento.

Taza de café rodeada de granos enteros de café

3. Cerezas

Alivia las agujetas bebiendo unos 400 ml de zumo de cerezas, antes y después de tu entrenamiento. El efecto antiinflamatorio del zumo, junto con sus antioxidantes, te ayudarán a recuperarte más rápidamente.

4. Jengibre

Los efectos del gingerol, el componente activo responsable del dolor, son similares a los de los agentes activos de una aspirina. Puede reducir el dolor muscular hasta en un 24%.

5. Zumo de tomate

Beber zumo de tomate después de tu entrenamiento puede reducir la cantidad de marcadores de inflamación en sangre. Este efecto viene causado por los antioxidantes presentes en el tomate.

Vaso de zumo de tomate, con tomates alrededor

6. Pescado

Los ácidos grasos omega 3 presentes en el pescado favorecen la recuperación muscular.

7. Cúrcuma

Esta planta ayuda a relajar los músculos, alivia el dolor y mejora la movilidad muscular.

8. Agua de coco

El agua pura de los cocos es una bebida perfecta para deportistas y ayuda a reducir las agujetas gracias a los electrolitos que contiene.

9. Chile y té verde

Los fitoquímicos estimulan la circulación de la sangre y ayudan a aliviar las agujetas.

Taza de té, con una hoja de menta y un limón cortado

Te estarás preguntando si realmente funcionan, ¿verdad? Pues yo misma he probado el zumo de cerezas, el de remolacha y el café y creo sinceramente que sentí menos agujetas. ¡Anímate a probarlos! No pierdes nada. Ah, y recuerda descansar cuando tengas dolor muscular. Podrás a volver a tu rutina de entrenamiento después de un par de días.

Buena suerte 🙂

Y tú, ¿tienes una receta o algún truquito para las agujetas? Compártelo con nosotros en los comentarios.

Vera

Publicado originalmente el 8 de septiembre de 2014. Actualizado el 1 de febrero de 2017.
***

Vera Schwaiger

Vera Schwaiger

Vera ha estudiado dietética y psicoterapia y su lema se resume en esta frase de Einstein: “La vida es como una bicicleta. Para mantener el equilibrio hay que seguir avanzando”.