Noticias de Seguridad a nivel mundial: boletín nº 128
Microsoft lanza una vista previa pública del soporte de claves de seguridad: la vida sin contraseña se acerca más Microsoft dice que las empresas ahora pueden implementar el uso de claves de seguridad a escala, ya que lanza una vista previa pública del soporte de claves de seguridad FIDO2 en Azure Active Directory (AD). El movimiento es un paso importante hacia un entorno empresarial sin contraseña (Passwordless). (Azure AD es la plataforma de administración de identidad y acceso de Microsoft). Las claves de seguridad están disponibles en una variedad de factores de forma, pero comúnmente vienen como un pequeño llavero USB que crea una clave pública y privada cuando se registra. La clave privada solo se puede desbloquear mediante un gesto local, como un biométrico o PIN. Los usuarios tienen la opción de iniciar sesión directamente a través del reconocimiento biométrico, como el escaneo de huellas dactilares, el reconocimiento facial o el escaneo del iris, o con un PIN que está bloqueado y asegurado en el dispositivo. Compatibilidad con claves de seguridad de Microsoft. El movimiento será bien recibido por muchas empresas preocupadas por la creciente facilidad con que las contraseñas pueden ser forzadas bruscamente o comprometidas de otra manera: es decir, si no han sido robadas en una violación de datos. Aproximadamente el 81% de los ataques cibernéticos exitosos comienzan con un nombre de usuario y contraseña comprometidos. Continúa navegando en https://www.cbronline.com/news/. Nueva herramienta de espionaje puede monitorear sus actividades en facebook, google, amazon, apple cloud.... Especialistas en servicios de ciberseguridad han revelado una investigación sobre nuevas actividades de Pegasus, el spyware desarrollado por la compañía NSO, con sede en Israel, que ahora cuenta con capacidad para extraer información sobre cualquier individuo que use los servidores de compañías como Microsoft, Apple, Amazon, Facebook o Google. Después de la publicación de este informe, portavoces de la NSO declararon: “Las firmas de seguridad han entendido mal; los productos desarrollados por NSO no cuentan con la capacidad de recopilar información o acceder a implementaciones en la nube ni a ninguno de los servicios mencionados en esta investigación”. No obstante, los expertos en servicios de ciberseguridad sostienen que un smartphone infectado con Pegasus es capaz de proporcionar a NSO las claves de autenticación del usuario para acceder a diversos servicios en línea, incluyendo Google Drive y Facebook Messenger. “El dispositivo accede a estos servicios sin solicitar una verificación adicional o un correo electrónico de confirmación”, mencionan los expertos. Por su parte, los portavoces de NSO dijeron que “los terroristas y delincuentes cuentan con cada vez mejores herramientas para llevar a cabo sus actividades maliciosas, lo que los pone en una situación ventajosa frente a las firmas de seguridad y agencias de inteligencia; las soluciones que ofrece NSO son completamente legales y están diseñadas para combatir este tipo de prácticas”. Continúa navegando en https://noticiasseguridad.com/. Miles de cuentas de clientes de Microsoft comprometidas por vigilancia corporativa y robo de datos Acorde a especialistas en seguridad en redes, miles de ciberataques comprometieron la seguridad de la información de más de 10 mil clientes de Microsoft el año pasado. Según los reportes, la mayoría de estas actividades maliciosas se llevaron a cabo desde países como Corea del Norte, Irán y Rusia. El vicepresidente corporativo de Microsoft para la seguridad y confianza del cliente, Tom Burt, mencionó en el blog oficial de la compañía que “alrededor del 84% de las víctimas de estos ataques son clientes empresariales de Microsoft”, por lo tanto, el 16% restante son individuos que usan alguna solución de software de la compañía. Aunque Microsoft desconoce si estos ataques cuentan con una motivación en común, sí aceptan que la escala a la que los ataques se están llevando a cabo, además de los métodos utilizados, deben alertar a las autoridades de diversos países, pues los expertos en seguridad en redes creen que estos grupos de hackers cuentan con la capacidad y los recursos necesarios para comprometer la seguridad a un nivel considerable. Tan sólo en E.U., alrededor de 700 organizaciones civiles interesadas en el fortalecimiento de la democracia que usan la solución de Microsoft llamada Account Guard fueron víctimas de ciberataques presuntamente patrocinados por gobiernos extranjeros. Continúa navegando en https://noticiasseguridad.com/seguridad-informatica/. Hackers filtran 7,5 TB de información sobre los planes del servicio de inteligencia ruso para Internet Hackers filtran 7,5 TB de información sobre los planes del servicio de inteligencia ruso para Internet. Un grupo de hackers ha filtrado cerca de 7,5 TB de información de una empresa contratista del servicio de inteligencia ruso (FSB) con información sobre planes internos, entre los que se incluyen los trabajos para desanonimizar la red Tor. El grupo conocido como 0v1ru$ accedió a los servidores de SyTech el pasado 13 de julio. Como explican medios como ZDNet o Forbes, estos hackers dejaron su impronta en la web del contratista, en la que dejaron visible el emoji de 'yoba face', para dar a entender que habían sido hackeados. Continúa navegando en https://www.europapress.es/portaltic. Google reconoce que escucha todo lo que hablas en casa . Los asistentes de voz están copando el mercado desde hace algún tiempo. Sin embargo, no queda del todo claro qué hacen con la información que se les da a diario. Si la semana pasada saltaba la noticia de que Alexa, el asistente de voz de Amazon, deja grabadas todas las órdenes que le da el usuario por un tiempo indefinido, ahora, gracias a la televisión belga «VRT News», el mundo ha podido saber que los contratistas de Google reciben los audios que graba su dispositivo doméstico, el altavoz inteligente Google Home. Algo que la empresa estadounidense ha reconocido, aunque señala que se trata únicamente del 0,2% de lo grabado. La cadena belga accedió a un millar de conversaciones ajenas. El medio de comunicación hace hincapié en que, tras escuchar los clips de Google Home junto a la fuente que se los había facilitado, lograron averiguar dónde se encuentra el domicilio de varios holandeses y belgas que emplean esta tecnología. Incluso afirman, que, tras escuchar los audios, una pareja de Waasmunster (Bélgica) reconoció inmediatamente la voz de su hijo y de su nieto. «Nos asociamos con expertos lingüistas de todo el mundo para mejorar la tecnología de voz transcribiendo un pequeño conjunto de palabras. Este trabajo es clave para desarrollar la tecnología que hace posible los productos como el asistente de Google». Continúa navegando en https://www.abc.es/tecnologia/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 125
Un problema en WhatsApp no deja descargar fotos, vídeos ni audios WhatsApp ha sufrido un nuevo error e impide la descarga de fotos, vídeos y mensajes de voz. Por el momento, el envío de mensajes de texto funciona con normalidad, pero no así la descarga de contenido multimedia, que se está viendo afectada en diferentes partes del mundo. El error no solo afecta a la app de mensajería, sino que se extienda también al resto de plataformas bajo la tutela de Zuckerberg. Así, se han detectado fallos en la carga de imágenes en Facebook, mientras que en Instagram la caída no es general ya que hay usuarios que disfrutan de la app con normalidad, mientras otros no pueden visualizar imágenes ni stories. Ser la aplicación de mensajería más usada de todo el mundo y contar con más de 1.500 millones de usuarios, no te exime de los errores. Tras experimentar una caída recientemente a nivel general, ahora WhatsApp impide la descarga de contenido multimedia, ya sean fotografías, vídeos o mensajes de texto. Continúa navegando en https://www.xatakamovil.com/. Hackers pueden atacar bancos con esta falla en Microsoft Excel Acorde a especialistas en auditorías de seguridad informática existe una característica de Microsoft Excel llamada Power Query que podría ser usada por actores de amenazas para inyectar malware en sistemas remotos. Los expertos de la firma Mimecast Threat Center describieron la forma en la que la vulnerabilidad podría ser explotada a través de una prueba de concepto. Power Query permite a los usuarios de Excel incrustar fuentes de datos externas en hojas de cálculo del servicio de Office. La firma de seguridad planteó un método de ataque para lanzar un ataque remoto DDE (intercambio dinámico de datos) en contra de una hoja de cálculo para entregar una carga útil maliciosa y controlarla a través de la función comprometida. Acorde a los especialistas en auditorías de seguridad informática, Power Query también podría servir para lanzar ataques complejos y difíciles de detectar combinando varios vectores vulnerables. Explotando esta característica, los hackers podrían adjuntar software malicioso en una fuente de datos externa a Excel y cargar el contenido en la hoja de cálculo cuando el usuario la abre. Los expertos mencionan que Microsoft colaboró con ellos en el proceso de divulgación de la falla. Continúa navegando en https://noticiasseguridad.com/. El gobierno de E.U. en contra del cifrado completo en Whatsapp y Facebook A pesar de que el cifrado en los dispositivos inteligentes que empleamos a diario se ha convertido casi en un estándar de seguridad para toda la industria, especialistas en seguridad de aplicaciones web afirman que muchos gobiernos no aprueban del todo esta medida de protección para los usuarios de tecnología. El cifrado de extremo a extremo, presente en servicios como Facebook Messenger y WhatsApp, garantiza que nadie más que el remitente y el destinatario de un mensaje puedan acceder al contenido de la conversación, dejando de lado a los hackers, la policía y a las compañías que prestan el servicio. Recientes reportes afirman que un grupo de altos funcionarios del gobierno de E.U. planean un intento de prohibición de este cifrado. Los reportes de los especialistas en seguridad de aplicaciones web mencionan que un grupo de reconocidos funcionarios de la administración de Donald Trump han acordado impulsar una prohibición. Continúa navegando en https://noticiasseguridad.com/. Miles de personas infectadas con virus en páginas de Facebook Un equipo de especialistas en seguridad en páginas web detectó y expuso una campaña que, aprovechándose de noticias relacionadas con Libia, comenzaron a desplegar decenas de sitios y perfiles de Facebook falsos para distribuir malware durante los últimos cinco años. Los enlaces utilizados por los atacantes redirigían a las víctimas a sitios cargados con malware para equipos Android y Windows; uno de los principales vectores de ataque era el uso de un falso perfil de Facebook supuestamente operado por el mariscal de campo Khalifa Haftar, comandante del Ejército Nacional de Libia. Este perfil falso fue creado a principios del mes de abril y contaba con más de 11 mil seguidores, publicando contenido relacionado con campañas militares y teorías de conspiración que acusaban a países como Turquía de espionaje contra Libia. Entre otras cosas, las publicaciones de este perfil también ofrecían una supuesta app que la gente de Libia podría emplear para encontrar información de ingreso al ejército del país. Expertos en seguridad en páginas web de la firma de seguridad Check Point informaron que la mayoría de estos enlaces redirigían al usuario a sitios y aplicaciones identificadas anteriormente como contenido malicioso. Los atacantes infectaban al usuario con diversas herramientas de administración remota como Houdina, Remcos y SpyNote; la mayoría de estas se almacenan en servicios de hosting como Google Drive y Dropbox. Continúa navegando en https://noticiasseguridad.com/ El análisis "post-morten" del apagón de Google el día 2 de junio de 2019 demuestra la gran dependencia que tenemos de la nube El domingo 2 de junio, durante 4 horas y 25 minutos, millones de personas en todo el mundo no pudieron acceder a Gmail, Youtube, SnapChat o incluso Google Cloud (del cual de sus servicios de computación en la nube dependen miles de clientes) provocando un impacto casi incalculable a diversas empresas y servicios. Esas más de 4 horas sólo fueron el tiempo contabilizado por Google, pero se extendió durante prácticamente todo el día y la noche, ya que los ingenieros tuvieron que deshacer todas las múltiples nuevas rutas que configuraron para poder mantener el servicio funcionando mientras reparaban el problema. Dejando aparte la terrible sensación de inquietud que nos deja la dependencia absoluta que tenemos de los servicios en la nube, la causa de este apagón no fue un ataque, sino como suele ocurrir en muchos otros accidentes, un cúmulo de errores e imprevistos en cadena. Sobre las 2:45 am del domingo 2 de junio, se ejecutó una simple y habitual tarea de mantenimiento que en principio no tenía nada de especial. Para no dejar sin servicio a esa zona geográfica que se va a recibir dicho mantenimiento, los datos y los trabajos pendientes se enrutan hacia otras regiones para no afectar a los usuarios. De repente, muchos de los clientes de estos servicios de Google detectaron varios problemas como alta latencia y errores de conexión en instancias ubicadas en las zonas us-central1, us-east1, us-east4, us-west2, northamerica-northeast1 y southameria-east1. Continúa navegando en https://www.flu-project.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 122
Vulnerabilidad en Linux permite hackear un sistema con sólo abrir un archivo en Vim El experto en seguridad de páginas web Armin Razmjou ha reportado el hallazgo de una vulnerabilidad de ejecución de comandos remotos en Vim y Neovim, considerada como una falla de alta severidad. Las herramientas comprometidas son las más potentes y utilizadas para editar textos con líneas de comandos y que se encuentran preinstaladas en la mayoría de los sistemas operativos basados en Linux. En los sistemas Linux, el editor Vim permite a los usuarios crear, ver o editar cualquier archivo, incluidos texto, scripts de programación y documentos, si así lo desean. La vulnerabilidad fue detectada en Vim, no obstante, debido a que Neovim es sólo una versión extendida de Vim con algunas mejoras de plugins, esta vulnerabilidad también reside en ella. En su reporte, el especialista en seguridad de páginas web menciona que la vulnerabilidad reside en la forma en la que Vim maneja una característica llamada “modelines”, que está habilitada de forma predeterminada para encontrar y aplicar automáticamente un conjunto de preferencias personalizadas establecidas por el creador de un archivo. El experto menciona que, aunque el editor sólo permite un subconjunto de operaciones en “modelines” por seguridad, además de usar el entorno sandbox como protección, es posible usar el comando “:source!” para omitir el sandbox. Por lo tanto, al abrir un archivo de Vim o Neovim especialmente diseñado y con apariencia inofensiva, un actor de amenazas podría ejecutar comandos arbitrarios en el sistema Linux comprometido y tomar control del equipo. Continúa navegando en https://noticiasseguridad.com/. Facebook, Google y Apple están vendiendo información de sus usuarios a terceros Se ha reportado un nuevo incidente relacionado con las grandes compañías tecnológicas y la privacidad de sus usuarios. Acorde a expertos en seguridad en páginas web, Apple enfrenta una demanda colectiva por la divulgación ilegal e intencional de la información de los usuarios de iTunes con terceros. Los demandantes aseguran que Apple ha estado compartiendo los datos de los usuarios de iTunes sin su consentimiento expreso; esta información podría incluir datos como nombre de usuario, edad, detalles de ubicación e historial de preferencias musicales en la plataforma. La demanda fue presentada por tres ciudadanos estadounidenses. En la demanda se afirma que Apple vende un conjunto de datos pertenecientes a mil personas por unos 130 dólares. “Una compañía podría solicitar una lista con la información de todas las mujeres solteras, mayores de 70 años, con estudios universitarios e ingresos mínimos de 80 mil dólares anuales que escuchan música country en iTunes, por ejemplo”, se menciona en la demanda. Esta práctica podría generar consecuencias desagradables para los usuarios de iTunes, como campañas de marketing demasiado invasivas, afirman los expertos en seguridad en páginas web. Además, la intervención de terceros podría complicar aún más la situación, pues estos terceros podrían volver a vender la información a otras compañías para generar más ganancias. Continúa navegando en https://noticiasseguridad.com/ Hackers roban grabaciones de Radiohead, exigen 150 mil dólares de rescate Acorde a especialistas en servicios de seguridad informática, el grupo musical Radiohead fue víctima de un grupo de hackers que de algún modo logró sustraer un conjunto de sesiones archivadas de la banda en días recientes, amenazando con publicarlas si no recibían un rescate de 150 mil dólares. No obstante, en lugar de tratar de negociar con los actores de amenazas, la banda decidió lanzar el material inédito vía Bandcamp, una plataforma para músicos donde los artistas pueden publicar su trabajo y establecer sus propios precios. “Fuimos hackeados hace algunos días; una persona o grupo no identificado robó algunas grabaciones de finales de los 90’s y, según nos han informado, exige un rescate de 150 mil dólares para no publicarlo. En lugar de iniciar un proceso tedioso, o sólo ignorar a los ladrones, decidimos publicar estas 18 horas de grabaciones en Bandcamp”, menciona un post en el Facebook oficial de la banda. Radiohead fijó un precio mínimo de 18 libras a cambio de las 18 horas de grabación que datan del año 1997, cuando fue lanzado su álbum “OK Computer”. Acorde a especialistas en servicios de seguridad informática, el material estará disponible en Bandcamp por dos semanas; a través de un comunicado, la banda afirmó que los ingresos generados por la venta de este material serán destinados a una ONG dedicada a combatir el cambio climático. Continúa navegando en https://noticiasseguridad.com/ Zombieload: nuevos bugs que permiten extraer información de procesadores Intel Varios investigadores de distintas universidades han encontrado una nueva clase de vulnerabilidades en los procesadores de Intel que pueden usarse para robar información confidencial directamente del procesador. Los errores recuerdan a otros de canal lateral como Meltdown, Spectre o Foreshadow, que explotaron una vulnerabilidad en la ejecución especulativa, una parte importante de cómo funcionan los procesadores modernos. La ejecución especulativa es una técnica de optimización que Intel agregó a sus CPU para mejorar la velocidad de procesamiento de datos y el rendimiento. El ataque ha sido bautizado como "ZombieLoad" porque toma su nombre de "carga zombie", una cantidad de datos que el procesador no puede entender o procesar adecuadamente, lo que obliga al procesador a pedir ayuda al microcódigo del procesador para evitar un bloqueo. Las aplicaciones generalmente solo pueden ver sus propios datos, pero este error permite que los datos se filtren a través de esos límites. Los investigadores dijeron que ZombieLoad filtrará cualquier dato actualmente cargado por el núcleo del procesador. Intel dijo que los parches al microcódigo ayudarán a borrar los buffers del procesador, evitando que se lean los datos. Continúa navegando en https://www.hackplayers.com/ Millones de usuarios afectados por brecha de datos en Truecaller Expertos del curso de seguridad web del IICS reportan una brecha de datos en Truecaller, el popular servicio para evitar el spam telefónico. Los datos personales de millones de usuarios del servicio, en su mayoría residentes de India, se encuentran expuestos en foros de hackers en dark web, un sector de Internet donde los cibercriminales pueden poner a la venta productos y servicios ilícitos. Acorde a múltiples miembros de la comunidad de la ciberseguridad, los datos personales de los usuarios de Truecaller, incluyendo nombres completos, direcciones email, entre otros, han sido detectados en diversos foros de hacking en dark web. Los criminales ofrecen la información de los usuarios de Truecaller en India a cambio de alrededor de 2 mil euros; por otra parte, la información de los usuarios a nivel global es ofrecida a cambio de cerca de 25 mil euros. Los expertos del curso de seguridad web que reportaron inicialmente el incidente, también encontraron evidencia para confirmar que los hackers han estado haciendo copias no autorizadas de la información comprometida, además de que, entre los datos expuestos, es posible encontrar información de residencia y proveedor de servicio de telefonía móvil de los usuarios. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 116
¿Seguridad de Iphone no funciona? nuevo malware ha infectado a más de 500 millones de usuarios Acorde a especialistas en análisis forense informático del Instituto Internacional de Seguridad Cibernética (IICS) un grupo cibercriminal identificado como eGobbler ha estado explotando una vulnerabilidad en Chrome para sistema iOS con el propósito de atacar a los usuarios de dispositivos iPhone con un exploit que les entrega malvertising; se calcula que alrededor de 500 millones de usuarios en todo el mundo han sido infectados. El malvertising es un método de ataque en el que los hackers muestran a los usuarios publicidad de apariencia inofensiva; en realidad estos anuncios contienen código que redirige a las víctimas a sitios web de contenido malicioso, comentan los especialistas en análisis forense informático. Los reportes sobre la campaña de ataques desplegada por eGobbler han concluido que este actor de amenazas ha infectado servidores de publicidad legítima, misma que ha usado para desplegar los anuncios que mostrarán la ventana emergente maliciosa. La carga útil empleada por este grupo de hackers tiene dos funciones: generar dinero con los anuncios mostrados y la capacidad de redirigir al usuario a sitios web fraudulentos donde se intentará extraer sus datos personales o infectar con malware. Continúa navegando en https://noticiasseguridad.com/ Facebook almacenó millones de contraseñas de usuarios de Instagram en texto sin formato A fines del mes pasado, Facebook reveló que "almacenaba erróneamente las contraseñas de cientos de millones de usuarios de Facebook en texto plano", incluidas las contraseñas de "decenas de miles" de sus usuarios de Instagram también. Ahora parece que el incidente es mucho peor de lo que se informó primero. Estas contraseñas de texto plano de millones de usuarios de Instagram, junto con millones de usuarios de Facebook, estaban disponibles para algunos de los ingenieros de Facebook que, según la compañía, "no abusaban de ellas". De acuerdo con la publicación actualizada, Facebook descubrió "registros adicionales de contraseñas de Instagram almacenados en un formato legible", pero agregó que su investigación reveló que "las contraseñas almacenadas nunca fueron abusadas o mal accedidas por ninguno de los empleados". La última revelación llega en menos de un día después de que se reveló que Facebook había almacenado hasta 1,5 millones de usuarios en sus servidores, sin su consentimiento o conocimiento, desde mayo de 2016. Continúa navegando en https://thehackernews.com/ Microsoft es hackeada – hackean cuentas de Outlook y cuentas de empleados Microsoft ha revelado que un grupo de hackers desconocidos ha perpetrado una brecha de datos en algunos de los sistemas de la compañía; acorde a especialistas en cómputo forense del Instituto Internacional de Seguridad Cibernética (IICS), los hackers habrían comprometido las credenciales de inicio de sesión de algunos miembros del equipo de soporte técnico de la compañía, gracias a esto, consiguieron acceder a las cuentas de email de uno de los clientes de Microsoft. Las primeras investigaciones indican que los hackers atacaron la red de la compañía en algún momento entre enero y marzo, poco después de la intrusión los cibercriminales consiguieron acceso a los datos de inicio de sesión del personal de Microsoft. Acorde a los expertos en cómputo forense, la compañía notificó al cliente comprometido sobre la situación, afirmando que: “el acceso no autorizado podría haber permitido que un usuario no autorizado consiguiera acceso a información relacionada con su cuenta de email, como nombres de carpetas, título del email, entre otros datos”. La compañía afirmó también que los atacantes no tienen acceso al contenido de las carpetas, mensajes o archivos adjuntos. Aún se desconoce el número exacto de correos electrónicos a los que los hackers accedieron. Continúa navegando en https://noticiasseguridad.com/ Nueva vulnerabilidad Día Cero en internet explorer permitiría robo de archivos locales Internet Explorer no es precisamente el buscador más popular, y en definitiva este nuevo incidente de seguridad no le ayudará. Acorde a especialistas del curso de informática forense del Instituto Internacional de Seguridad Cibernética (IICS), ha sido descubierta una vulnerabilidad día cero en este buscador que hace que las computadoras con Windows sean vulnerables a los ataques de robo de archivos. Acorde a los reportes, la vulnerabilidad se encuentra en el uso de archivos MHT de Internet Explorer cuando un usuario guarda una página web. La vulnerabilidad está en la apertura de archivos MHT. “Internet Explorer es vulnerable a un ataque de Entidad Externa XML si un usuario abre un archivo .MHT especialmente diseñado. Este inconveniente permitiría a un atacante extraer archivos locales y realizar un reconocimiento remoto de la versión de Program instalada en la máquina comprometida. Por ejemplo, enviar una solicitud c:\Python27\NEWS.txt podría devolver como respuesta información de la versión de ese programa”. Continúa navegando en https://noticiasseguridad.com/ Hackeo en Wipro; los hackers usan los sistemas de la compañía para atacar a sus propios clientes Wipro se encuentra investigando algunos reportes que sugieren que sus sistemas de TI han sido hackeados; es posible que los sistemas comprometidos se estén empleando para lanzar ciberataques contra algunos de los clientes de esta compañía. Los reportes indican que algunos de los clientes de la compañía de servicios de TI detectaron actividades maliciosas de reconocimiento de redes comunicándose directamente a las redes de Wipro. Se estima que al menos diez o doce compañías han sido afectadas. Aunque Wipro tardó un poco en fijar postura respecto a este incidente, finalmente publicó un comunicado mencionando: “Nuestros procesos internos son en verdad sólidos y nuestros sistemas de seguridad son los más avanzados para prevenir y detectar diversos intentos de ciberataques”. Acorde a los especialistas en análisis forense informático, el ataque se habría originado en el servidor de correo electrónico de la compañía, por lo que Wipro ya prepara una nueva red email de uso privado. Por el momento, los usuarios potencialmente afectados están siendo informados de la situación. Portavoces de la compañía han mantenido comunicación sobre las actualizaciones más recientes sobre este incidente: “Derivado de una compleja campaña de phishing, hemos detectado actividad anómala en las cuentas de algunos empleados en nuestra red interna”. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 114
Google revela que hay 200 millones de móviles Android con malware instalado Google ha publicado el informe de seguridad de Android de 2018, el cual nos muestra una imagen de la seguridad en el sistema operativo durante el pasado año y cuáles han sido los principales vectores de infección. Además, nos muestra que se detectó que casi 200 millones de dispositivos con su sistema operativo fueron infectados con malware. Google ha cumplido recientemente 10 años, en los cuales ha tenido bastantes fallos y problemas de seguridad que Google ha ido subsanando con el paso de los años. Cada año publica un informe para ver cómo ha avanzado la seguridad en el sistema operativo, y este año, a pesar de haber mejorado, sigue arrojando cifras que asustan. Así, un 0,04% de las descargas totales de la Google Play fueron clasificadas como Potentially Harmful Apps, o PHA, frente a la cifra del 0,02% en 2017. Esto supone al menos duplicar la cifra de apps peligrosas, ya que se realizaron más descargas en 2018 que en 2017. Este cambio tiene “truco”, ya que Google ha aumentado el tipo de apps y las categorías que considera como peligrosas. Sin embargo, gracias a Google Play Protect, su propio escáner antimalware, la instalación de aplicaciones peligrosas a través de fuentes ajenas a la Play Store ha caído significativamente. Sobre las apps bloqueadas de la Play Store no han desvelado cifras, pero en 2017 fueron de 700.000. Este año han preferido destacar que han prevenido la instalación de 1.600 millones de aplicaciones peligrosas que provenían de fuentes externas. Continúa navegando en https://www.adslzone.net/. Facebook expone más de 540 millones de usuarios Facebook ha eliminado 540 millones de datos de sus usuarios, almacenados en servidores públicos de Amazon por la plataforma digital mexicana Cultura Colectiva, que contenían 146 gigabytes de información. Recientemente se ha publicado por la empresa de ciberseguridad UpGuard un estudio que denunciaba la publicación de dos colecciones de datos de usuarios de Facebook obtenidas a través de aplicaciones de terceros. En la mayor de las colecciones, Cultura Colectiva había utilizado los servidores de Amazon en la nube para almacenar públicamente 540 millones de datos que detallaban comentarios, gustos, reacciones, nombres de cuentas e ID de Facebook. El medio mexicano ha declarado en un comunicado oficial que los datos que usan «incluyen 540 millones de interacciones como likes, comentarios y reacciones», aunque afirma que «entre ellos no se incluía información privada o confidencial, como correos electrónicos y contraseñas». Continúa navegando en https://www.abc.es/. Rusia falsifica su GPS regional para ocultar bases militares Acorde a los autores de ‘Cómo ser un hacker profesional‘, un análisis masivo de datos de posicionamiento global descubrió una conducta sospechosa en territorio ruso. Los expertos señalan el descubrimiento de una falsificación generalizada del sistema de navegación global por satélite durante los más recientes tres años. La investigación, realizada por una organización sin fines de lucro, descubrió que al menos 9800 casos de falsificación ocurrieron en las zonas sensibles para Rusia y Crimea; los especialistas también demostraron que la falsificación ocurría regularmente cerca de una base militar rusa en Siria. Acorde a los autores de ‘Cómo ser un hacker profesional’, estos hallazgos señalan lo arriesgado que puede ser confiar en los datos de posicionamiento global, pues en ocasiones dependemos demasiado de ellos y, como ya se ha visto, esta tecnología puede ser comprometida, interrumpida o secuestrada con diversos fines. Esta investigación hace notar lo vulnerables que son los sistemas de navegación por satélite. Durante al menos diez años, diversos medios especializados y los autores de ‘Cómo ser un hacker profesional’ han dado seguimiento a los problemas de seguridad presentes en los sistemas de navegación. Continúa navegando en https://noticiasseguridad.com/. Segundo robo de datos en Toyota en un mes Acorde a especialistas del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS), la empresa automotriz japonesa Toyota ha sufrido su segundo robo de datos de las últimas cuatro semanas. Aunque, tal como reportaron los expertos del curso de ethical hacking, el primer incidente sucedió en las instalaciones de Toyota Australia, el más reciente robo de datos ha sido informado directamente desde las oficinas principales de Toyota en Japón. La compañía publicó un comunicado mencionando que los hackers consiguieron comprometer sus sistemas informáticos y posteriormente accedieron a las bases de datos de distintas subsidiarias. Entre las subsidiarias comprometidas se encuentran: Toyota Tokyo Sales Holdings, Tokyo Motor, Tokyo Toyopet, Toyota Tokyo Corolla, entre otras. Según el comunicado, los hackers accedieron a información relacionada con las ventas de hasta 3 millones de clientes de la compañía. Toyota afirma que ya se ha emprendido una investigación para determinar si los actores de amenazas filtraron algo de la información comprometida. Según reportan los expertos del curso de ethical hacking, la información financiera de los clientes de Toyota no se almacena en los servidores comprometidos, esto había sido informado por la compañía desde el último incidente de seguridad. Continúa navegando en https://noticiasseguridad.com. Departamento de policía sufre infección de Ransomware Acorde a especialistas de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética, la Federación de Policía de Inglaterra y Gales (PFEW) ha puesto todos sus esfuerzos en contener un ataque de ransomware que infectó los sistemas de esta organización (es una especie de sindicato de empleados de la policía). La Federación de Policía de Inglaterra y Gales (PFEW) ha puesto todos sus esfuerzos en contener un ataque de ransomware que infectó los sistemas de esta organización. A través de su cuenta de Twitter, PFEW declaró que detectó la infección en sus sistemas el pasado 9 de marzo. “Colaboramos en conjunto con una escuela de hackers éticos para contener el brote y evitar su propagación”. PFEW informó a la Oficina del Comisionado de Información en Reino Unido después de descubrir la infección. Después de las primeras investigaciones, la PFEW declaró que este incidente no se trata de un ataque especialmente dirigido contra la organización. Además, agregan que no hay evidencia de robo de datos, por lo que creen que lo más probable es que se trate de un ataque de ransomware convencional. “Aunque aún no podemos descartar la posibilidad, no hay indicios de robo de datos. Continuaremos implementando medidas de seguridad adicionales y notificando a cualquier persona potencialmente afectada por este incidente”. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 110
Formjacking: la nueva amenaza que hace temblar a las tiendas on-line Se llama Formjacking y es la nueva amenaza silenciosa que ya está comprometiendo la seguridad de cientos de tiendas on-line de todo el mundo. Según el nuevo informe anual sobre amenazas informáticas publicado por Symantec, esta técnica se ha convertido en una nueva mina de oro para los cibercriminales, ya que les permite enriquecerse rápidamente sin demasiado esfuerzo. ¿Pero en qué consiste exactamente? El formjacking pasa por trasladar el concepto de cajero manipulado, al mundo virtual. Frente a la manipulación física de un cajero clásico, en el mundo on-line los ciberdelincuentes inyectan código malicioso en una tienda on-line para robar los detalles de las tarjetas de pago de los compradores. Entre los afectados por esta técnica, la compañía de seguridad destaca los casos de multinacionales como British Airways o TicketMaster, si bien asegura, son las tiendas más pequeñas las más expuestas a este tipo de ataques. De hecho Symantec afirma que de media, 4.800 sitios web únicos se ven comprometidos por código de formjacking cada mes. La empresa asegura que bloqueó más de 3,7 millones de ataques sobre puntos finales en 2018. Más información en https://www.muyseguridad.net/ GHIDRA, la herramienta gratuita de la NSA, ya tiene un bug GHIDRA v.9.0 es la nueva herramienta de análisis y reversing de binarios gratuita, publicada estos días en la conferencia RSA y creada por la NSA. En cierta manera compite por el mercado de la conocida IDA. Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior. La curiosidad es que a pocos minutos de ser publicada, Matthew Hickey ha encontrado un grave problema de seguridad. Establece el JDWP en modo debug y se pone a la escucha en el puerto 18001 de todas las interfaces. JDWP (Java Debug Wire Protocol) permite ejecutar código arbitrario en el sistema, por lo que, al quedar accesible en cualquier red el sistema queda expuesto. Arreglarlo es sencillo, modificando en la línea que lanza JDWP, el asterisco por 127.0.0.1 en el script que lo lanza. Más información en https://www.theregister.co.uk/ Nueva vulnerabilidad afecta a todas las CPUs Intel, no se puede parchear y no afecta a AMD Después de que Spectre y Meltdown estrenara una larga lista de vulnerabilidades de seguridad en las CPUs de Intel, hoy seguimos sumando para bingo con Spoiler, la última vulnerabilidad descubierta por el Instituto Politécnico de Worcester y la Universidad de Lübeck, que afecta a todas las CPU de Intel, desde las CPU Intel Core de 1ª Generación, que llegaron a mediados de 2006, hasta las más recientes, que incluye la 9ª Generación. Intel Spectre Next Generation Spectre NG 0. Según el informe, el Instituto Politécnico de Worcester y la Universidad de Lübeck ha descubierto un nuevo fallo en la microarquitectura que revela información critica acerca del mapeo de páginas físicas en procesos del espacio de usuarios. “El agujero de seguridad puede ser explotado por un conjunto limitado de instrucciones, que es visible en todas las generaciones de Intel a partir de la primera generación de procesadores Intel Core, independientemente del sistema operativo empleado y también funciona desde máquinas virtuales y entornos de espacio aislado. Más información en https://elchapuzasinformatico.com/ Zero-Day en Google Chrome permite la ejecución remota de código La vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y Linux, habría estado siendo aprovechada por atacantes. Clement Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución arbitraria de código en la máquina de la víctima, para así tomar su control. Aunque no se han revelado detalles, según Google el fallo habría estado siendo aprovechado por atacantes. Desde Google han decidido restringir los detalles de la vulnerabilidad hasta que la mayoría de usuarios hayan actualizado; lo único que se conoce de momento de este fallo de corrupción de memoria, es que se produce tras intentar acceder a memoria que ya ha sido liberada ("use-after-free"), y que afecta al componente API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona desde la máquina del usuario. Debido a la alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y MacOS, normalmente estas actualizaciones se encuentran activadas por defecto. Más información en https://unaaldia.hispasec.com/ Desconectados a nivel mundial: Facebook e Instagram estuvieron caídos y WhatsApp tuvo problemas En un miércoles de terror para las comunicaciones y el uso de las redes sociales, WhatsApp se sumó a las fallas de Facebook e Instagram:vusuarios de todo el mundo reportaron problemas con el servicio de mensajería durante 10 horas. Más información en https://tn.com.ar/tecno/f5. App de identificador de llamadas expone información de millones de usuarios La filtración de datos se relaciona con la deficiente seguridad de una implementación de MongoDB. La app de identificador de llamadas Dalil, desarrollada en Arabia Saudita, ha estado filtrando la información de sus usuarios a causa de su implementación de MongoDB, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Más de 5 millones de registros han permanecido expuestos en línea por alrededor de diez días. La base de datos fue descubierta por un equipo de expertos en seguridad en redes; los expertos trataron de contactar a la compañía sobre el incidente, aunque esta tarea se ha complicado. “Esta app es usada principalmente por habitantes de Arabia Saudita, Egipto, Palestina e Israel. El motivo de la exposición es que la implementación de MongoDB no contaba con una contraseña”, mencionan los expertos en seguridad en redes. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 101
Facebook expone fotos privadas de millones de usuarios… otra vez Mil 500 aplicaciones, de 876 desarrolladores diferentes, accedieran a fotos que los usuarios almacenaban en su bandeja de borradores. Facebook acaba de revelar una nueva vulnerabilidad en su plataforma, misma que permitió que aplicaciones desarrolladas por terceros accedieran a fotos sin publicar de alrededor de 6.8 millones de usuarios, informan expertos en forense digital del Instituto Internacional de Seguridad Cibernética. Si un usuario sube una foto a su perfil de Facebook sin terminar el proceso de publicación en el perfil, el archivo se guarda como borrador en la base de datos de la red social. Este error concedió a múltiples aplicaciones de terceros a la base de datos de los borradores. La empresa afirma que descubrió la falla en una interfaz de programa de aplicación de fotos (API) que persistió en la plataforma durante casi dos semanas, entre el 13 y el 25 de septiembre. “La falla de seguridad ya ha sido corregida. Algunas aplicaciones de terceros accedieron a un conjunto de fotos más allá de los permisos concedidos”, mencionó Facebook en su comunicado. De forma predeterminada, Facebook sólo otorga a las aplicaciones de terceros permiso de acceso a las fotos publicadas en el timeline del usuario. Más información en https://noticiasseguridad.com/ La NASA afirma haber sufrido una brecha de seguridad en el mes de Octubre Las brechas de seguridad están a la orden del día, y ni siquiera la NASA parece poder librarse de ello. En un reciente comunicado interno, obtenido por el medio Spaceref, uno de los altos ejecutivos de la agencia espacial estadounidense, Bob Gibbs, ha revelado que la NASA sufrió una brecha de seguridad el pasado mes de octubre. Concretamente, los investigadores de la agencia han descubierto que la brecha ocurrió el pasado 23 de octubre, y que los intrusos consiguieron acceso a un servidor que contenía información personal de alta delicadeza sobre los empleados de la NASA. Esta información, además de nombre, apellidos o edad, también comprende el número de la Seguridad Social, entre otras cosas. Más información en https://elchapuzasinformatico.com/ Microsoft expone 400 millones de cuentas de Outlook y Office 360 por error Sahad Nk, experto en forense digital originario de la India y colaborador de una firma de ciberseguridad, ha recibido una recompensa de Microsoft como parte del programa de reporte de errores de la empresa gracias al descubrimiento y reporte de una serie de vulnerabilidades críticas presentes en las cuentas de Microsoft. Las vulnerabilidades estaban presentes en las cuentas de Microsoft de los usuarios, desde archivos de Office hasta correos electrónicos de Outlook, según especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. En otras palabras, todo tipo de cuentas de Microsoft (más de 400 millones) y todo tipo de datos fueron expuestos a hacking. De ser encadenados, los bugs se convertirían en el vector de ataque perfecto para acceder a la cuenta de Microsoft de cualquier usuario; todo lo que requería el atacante era que el usuario hiciera clic en un enlace. Más información en https://noticiasseguridad.com/ Usan memes en Twitter para enviar comandos a servidor de hackers Un equipo de investigadores ha descubierto una nueva forma para ocultar software malicioso. Los investigadores de una firma de ciberseguridad reportan el descubrimiento de una nueva muestra de malware capaz de recuperar los comandos de memes publicados en una cuenta de Twitter controlada por un actor malicioso. Gracias a este procedimiento, los atacantes dificultan la detección del tráfico asociado con el malware, haciendo que este sea detectado como tráfico legítimo de Twitter, mencionan expertos del Instituto Internacional de Seguridad Cibernética. La idea de explotar servicios web legítimos para controlar malware no es algo reciente, en oportunidades pasadas algunos hackers han controlado códigos maliciosos a través de plataformas como Gmail, Dropbox, PasteBin, e incluso Twitter. Sin embargo, en esta ocasión es un poco diferente. El malware descubierto por los expertos en ciberseguridad usa la esteganografía (técnica para ocultar contenido dentro de una imagen gráfica digital de manera que sea invisible para un observador) para ocultar los comandos incrustados en una imagen (en este caso un meme) publicada en Twitter. “Este troyano, identificado como TROJAN.MSIL.BERBOMTHUM.AA, muestra un comportamiento interesante debido a que los comandos del malware son recibidos vía el tráfico legítimo de Twitter, usa un meme de apariencia inofensiva y no puede ser eliminado a menos que la cuenta donde se publicó sea eliminada de la plataforma”, menciona el informe de los especialistas en ciberseguridad. Más información en https://noticiasseguridad.com/ Sharpshooter: campaña de ciberataques contra infraestructura crítica en Estados Unidos y américa latina Expertos han descubierto una campaña de ciberataques contra decenas de organizaciones dedicadas a la defensa. Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan la aparición de una campaña de hacking dirigida contra empresas de infraestructura alrededor del mundo. Los hackers detrás de esta campaña, conocida como Operación Sharpshooter, se encuentran desplegando malware asociado al grupo de hackers Lazarus, misma organización detrás de los ciberataques contra Sony en 2014. Los expertos en forense digital y ciberseguridad que descubrieron esta campaña creen que los actores maliciosos podrían estar reuniendo información referente a las actividades de inteligencia en múltiples países con el propósito de planificar futuros ciberataques contra compañías nucleares, energéticas, financieras y de defensa. Acorde a los especialistas, durante esta operación los hackers aprovechan un implante en la memoria para descargar y recuperar un implante de segunda etapa para su posterior explotación. Más información en http://noticiasseguridad.com/ #Printerhack2: hackers vuelven a atacar alrededor de 100 mil impresoras Los atacantes afirman que esta vez han comprometido cientos de miles de equipos en todo el mundo, en lo que ellos mismos llamaron #PrinterHack2. Hace algunos días, especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportaron la repentina aparición de un mensaje de apoyo a PiewDiePie, famoso YouTuber, en miles de impresoras en todo el mundo con el propósito de generar conciencia sobre las vulnerabilidades de seguridad presentes en estos equipos. Esta vez, los atacantes afirman que han lanzado un nuevo ataque dirigido a cientos de miles de impresoras, imprimiendo de nueva cuenta un mensaje de apoyo al creador de contenido. Los hackers se han identificado en Twitter como TheHackerGiraffe y j3ws3r, y han llamado a esta campaña #PrinterHack2. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Descubre las últimas noticias de Seguridad a nivel mundial
Google+: cierra el servicio personal de la red social de Google después de que los datos de miles usuarios quedaran expuestos La batalla perdida contra Facebook ya llegó a su fin. Google anunció que cerrará gran parte de su red social, Google+ meses después de saber que los datos de unos 500.000 usuarios quedaran expuestos. ¿Cómo averiguar todo lo que Google sabe de ti? La compañía dijo que un error en una de sus interfaces para crear aplicaciones había permitido que desarrolladores externos pudieran acceder a información que se creía que era privada."El error permitía que las aplicaciones pudieran acceder a campos del perfil del usuario que no estaban clasificados como públicos", escribió Ben Smith, vicepresidente de Ingeniería de Google, en el blog de la empresa el lunes. "Estos datos se limitan al nombre, la dirección de correo electrónico, la ocupación, el género y la edad, entre otros", agregó Smith. Más información en https://www.bbc.com. Nueva legislación de IoT prohíbe las contraseñas predeterminadas (California) En un intento por hacer más difícil que los bots se apoderen de la gran cantidad de dispositivos conectados que se venden en California, los legisladores estatales aprobaron la ley SB-327. El proyecto de ley se promulgará el 1 de enero de 2020 y se aplica a los fabricantes de dispositivos, ya sea que lo hagan ellos mismos o contraten a otra persona para que fabrique el dispositivo en su nombre. Requiere que los fabricantes de dispositivos conectados a internet vendidos en California "equipen el dispositivo con características de seguridad razonables" Apropiado a su naturaleza y función; Diseñado para proteger el dispositivo y cualquier información que contenga del acceso, la destrucción, el uso, la modificación o la divulgación no autorizados. El proyecto establece que "Si un dispositivo conectado está equipado con un medio de autenticación fuera de una red de área local, se considerará una característica de seguridad razonable, si se cumple alguno de los siguientes requisitos: la contraseña preprogramada debe ser única para cada dispositivo fabricado, o el dispositivo debe contener una función de seguridad que requiera que un usuario genere un nuevo medio de autenticación antes de que se otorgue el acceso al dispositivo por primera vez". Más información en https://www.helpnetsecurity.com. Privacy Badger para evitar el rastreo de Google y FB Privacy Badger acaba de ser presentada por Electronic Frontier Foundation, la organización que está detrás de esta extensión. Su objetivo es ofrecer a los usuarios una mayor protección frente al rastreo en aquellos navegadores donde es compatible. Privacy Badger evita el rastreo en los servicios de Google. Hay que mencionar que hace unos meses, lanzaron una actualización para evitar el rastreo de enlaces de Facebook. Ahora ha hecho algo similar, pero en esta ocasión para los servicios de Google. Ya sabemos que esta compañía cuenta con diferentes plataformas que son muy utilizadas en el día a día de los internautas. Eso sí, hay que tener en cuenta que de momento se trata de una versión inicial y no cubre todos estos servicios. De momento actúa en las búsquedas de Google, Google Hangouts y Google Docs. Como podemos ver no actúa en otros muy usados como Gmail o incluso Google Plus. Eso sí, en un futuro podría evitar también el seguimiento en estos servicios. Ya sabemos que el gigante de las búsquedas utiliza métodos para rastrear a los usuarios a través de sus servicios. Pero al final todo dependerá también del software que utilice el internauta. Existen herramientas, como es el caso de Privacy Badger, que puede evitar esto. Más información en https://www.ghacks.net/ Esto es lo que vale tu cuenta de Facebook tras el ataque de la semana pasada La semana pasada, Facebook, y otras plataformas similares, se vieron afectadas por un grave fallo de seguridad descubierto por piratas informáticos que permitió a estos piratas robar los datos de más de 50 millones de usuarios mediante los tokens de acceso. A diferencia de lo que ocurre cuando la vulnerabilidad la descubren investigadores de seguridad, esta vez los datos han caído en manos de piratas informáticos, por lo que, desde hace varios días, se están vendiendo en la Deep Web al mejor postor, poniendo, una vez más, precio a nuestra privacidad. Tal como muestra el medio Independent, los piratas informáticos tras el hackeo de Facebook ya están haciendo negocio con las cuentas de los 50 millones de usuarios robadas. En la Deep Web ya están a la venta los tokens de las cuentas que permitirían acceder a las cuentas de otras personas, tokens que se pueden comprar por poco más de 3 dólares, aunque hay algunas cuentas más relevantes que tienen un precio algo superior, en torno a los 12 dólares. Para comprarlas debemos pagar utilizando criptomonedas semi-anónimas, como Bitcoin o Bitcoin Cash. Venta tokens Facebook Deep Web. Si estas cuentas se vendieran individualmente, los piratas informáticos podrían hacerse fácilmente con una cantidad de dinero entre 150 millones y 600 millones de dólares, según el precio de los tokens de las cuentas. De todas formas, es probable que ya estén a la venta “packs” de tokens más baratos que rebajarían el valor final del robo. Más información en https://www.redeszone.net/ Actualización de Windows 10 October 2018 Update La actualización Windows 10 October 2018 Update está teniendo algunos efectos inesperados tras aplicarse. Algunos usuarios indican que esta versión ha borrado sus archivos personales durante el proceso de instalación, algo que puede ser muy grave. Nosotros ya te hemos presentado Windows 10 October 2018 Update a fondo, también conocida como versión 1809. Aporta nuevas funciones interesantes, pero parece que también trae fallos, a juzgar por el número de personas que afirman en redes sociales que la actualización ha borrado sus archivos. Surface Pro 6, Laptop 2 y Studio 2, los nuevos PCs de Microsoft. El problema surge cuando actualizamos Windows 10 desde la versión que tengamos en ese momento, no en las instalaciones limpias. Es decir, que los archivos con los que trabajamos estarán en el disco duro, y tras terminar la instalación de la October 2018 Update, todo se puede haber borrado. Windows 10 October 2018 Update ha borrado los archivos de algunos usuarios. Más información en https://www.elgrupoinformatico.com/ FASTCash: el nuevo ataque utilizado para sacar dinero de los cajeros automáticos El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes 'Hidden Cobra' está comprometiendo servidores bancarios. El conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas. ¿Cómo funciona el ataque? Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta. Sin embargo, los ciberdelincuentes consiguieron comprometer estos servidores para que interceptaran la solicitud de transacción y diera una respuesta afirmativa falsa pero legítima, sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros para que escupan la cantidad solicitada sin siquiera notificar al banco. "Según la estimación de un socio de confianza, los componentes de 'Hidden Cobra' han robado decenas de millones de dólares", explican en el informe. Más información en https://unaaldia.hispasec.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 90 Noticias Seguridad en Comunidad Movistar Empresas
GhostDNS: unos hackers han cambiado las DNS de 100.000 routers La empresa Netlab ha detallado que hay más de 100.000 routers afectados (un 87,8% en Brasil), habiendo más de 70 routers o versiones de firmware afectados. Las principales webs falsas a la que redirigían los atacantes eran páginas de bancos del país, e incluso Netflix. Este ataque estaba compuesto de cuatro módulos diferentes: DNSChanger, Web Amin, Phishing Web y Rogue DNS. DNSChanger, el primero de ellos, es el responsable de recopilar la información y llevar a cabo el ataque a través de tres submódulos en routers conectados a redes públicas o privadas. En total, es capaz de ejecutar más de 100 ataques a más de 70 routers. Uno de ellos realizaba 69 ataques a 47 routers o firmwares distintos, habiendo conseguido infectar 62.000 routers. El segundo, llamado Web Admin, contiene la página de login del Web Admin System. El tercero, el Rogue DNS, contiene la información de las webs que el malware suplanta y que el usuario termina viendo en su navegador. El cuarto y último, Phishing Web, se complementa con el tercero, y resuelve las páginas web falsas correspondientes al sitio que se quiere suplantar. ¡Mucho cuidado! Descubren que el 83% de los routers que tenemos en casa no son seguros. Revisa que tienes la última versión del firmare instalada, y que los DNS de tu router son los correctos. Más información en https://www.adslzone.net. TORII: nueva botnet IoT, aún sin objetivos claros Cada vez existen más dispositivos conectados a Internet, dispositivos de todo tipo que forman lo que conocemos como "Internet de las Cosas", o IoT. Desde cámaras de vigilancia hasta micro-servidores y electrodomésticos, cada vez son más los dispositivos conectados a la red, dispositivos que, por desgracia, no destacan precisamente por su seguridad, hecho que no han tardado los piratas informáticos en aprovechar para tomar el control de estos dispositivos y crear peligrosas botnets, como Mirai o la nueva botnet recién descubierta: Torii. Tal como se ha podido comprobar, el grupo de delincuentes informáticos ha creado binarios para una gran de arquitecturas diferentes, como MIPS, ARM, x86, x64, PowerPC y SuperH, adaptando los binarios a cada tipo de arquitectura para reducir la probabilidad de ser detectada y, además, poder implementar medidas de persistencia especiales para cada tipo de dispositivo. ¿Cómo funciona la botnet Torii?. Esta botnet busca nuevos dispositivos para infectar a través del puerto 23 Telnet, pero a diferencia de otras, el ataque llega directamente desde la red Tor. Más información en https://www.bleepingcomputer.com/. Puerto de San Diego golpeado por Ransomware La Oficina Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional (DHS) fueron convocados por el Puerto de San Diego en California después de que algunos de los sistemas de TI de la organización se infectaron con un ransomware. El Puerto de San Diego emitió su primera declaración sobre el incidente de ciberseguridad, que calificó de "grave", el 26 de septiembre, un día después de que comenzó a recibir informes de interrupciones en los sistemas de TI. El Puerto de Barcelona también informó haber sido golpeado por un ciberataque este mes, pero no está claro si los incidentes están relacionados. El puerto español no ha compartido ninguna información sobre el tipo de ataque, pero también afirmó que el incidente solo afectó a los sistemas internos, sin impacto en las operaciones terrestres o costeras. El Puerto de Barcelona dice que ha "iniciado las acciones legales apropiadas en represalia a este grave ataque".Más información en https://www.securityweek.com/. Exponen datos de 50 millones de usuarios de Facebook Un ataque a Facebook que se descubrió esta semana expuso información sobre casi 50 millones de usuarios de la red social, anunció la compañía el viernes. Los atacantes, que no fueron identificados, explotaron una característica que les permite a los usuarios ver su página de Facebook de la misma forma que lo haría otra persona (función "View As"). Facebook dice que ya ha solucionado el problema y ha informado a la policía. Según el New York Times, la compañía ha encontrado el agujero esta semana, y ya ha informado de ello a las autoridades estadounidenses. Los atacantes han explotado una vulnerabilidad en el código que les ha permitido hacerse con el control de las cuentas de los usuarios. Los atacantes se aprovecharon de un error en el código de la app y accedieron a la información privada de los usuarios. Este viernes por la mañana, más de 90 millones de personas fueron obligadas a salir de sus cuentas por la propia red social como medida de seguridad. Facebook no tiene pistas de la nacionalidad de los atacantes ni de dónde han podido provenir el hackeo. También reconocen que aún no saben la magnitud total del ataque, así que con el paso de las horas podrían ser más de 50 millones de cuentas comprometidas. Más información en https://newsroom.fb.com Cuidado con este nuevo malware; puede resistir un formateo e incluso un cambio de disco duro Formatear un ordenador, o restablecer los valores de fábrica de un dispositivo, suele ser la mejor forma de eliminar un malware que, por alguna razón, ha infectado nuestro sistema. Sin embargo, los piratas informáticos buscan constantemente nuevas formas de persistencia que les permitan, además de ser prácticamente indetectables, mantener un equipo o dispositivo infectado incluso después de formatear. Así nacieron los rootkits, y una de las últimas amenazas de este tipo, recién descubierta, es LoJax, un rootkit UEFI. Un rootkit UEFI es un tipo de malware que, en lugar de infectar el sistema operativo, infecta la UEFI (antigua BIOS) de los ordenadores. De esta manera, el malware pasa totalmente desapercibido en el sistema operativo (ya que los antivirus no suelen analizar la UEFI de los equipos) y, además, son capaces de resistir a un formateo del ordenador y a un cambio de disco duro. Recientemente, investigadores de seguridad han encontrado un nuevo rootkit UEFI, llamado LoJax, que está infectando ordenadores y sistemas por todo el mundo. Este nuevo rootkit ha sido desarrollado por el grupo de piratas informáticos APT28, uno de los grupos de piratas más peligrosos, responsable ya de varios ataques a grandes empresas. Más información https://www.redeszone.net/2 Vulnerabilidad de escalamiento de privilegios en Linux de más de 10 años Con relativa frecuencia se encuentran vulnerabilidades de escalamiento de privilegios en Linux. Estas permiten a un atacante con privilegios limitados el poder llegar hasta a manipular partes esenciales del sistema operativo o algún servicio en ejecución. Lo descrito en el párrafo anterior es lo descubierto por unos investigadores de Qualys, que han publicado los detalles de dos pruebas de concepto (1 y 2) mostrando una vulnerabilidad en el kernel Linux que abre la puerta a que un usuario sin privilegios consiga acceso a nivel de superusuario (root) en el sistema operativo. Llamada "Mutagen Astronomy", afecta a versiones del kernel Linux publicadas entre julio de 2007 y junio de 2017. Esto hace que las distribuciones más afectadas sean aquellas que ofrecen un soporte largo en el tiempo, como RHEL, CentOS, y Debian 8 Jessie , ya que otras muchas orientadas al escritorio suelen cambiar el componente que nos ocupa con más frecuencia. Más información https://thehackernews.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
