Noticias de Seguridad a nivel mundial: boletín nº 110
Formjacking: la nueva amenaza que hace temblar a las tiendas on-line Se llama Formjacking y es la nueva amenaza silenciosa que ya está comprometiendo la seguridad de cientos de tiendas on-line de todo el mundo. Según el nuevo informe anual sobre amenazas informáticas publicado por Symantec, esta técnica se ha convertido en una nueva mina de oro para los cibercriminales, ya que les permite enriquecerse rápidamente sin demasiado esfuerzo. ¿Pero en qué consiste exactamente? El formjacking pasa por trasladar el concepto de cajero manipulado, al mundo virtual. Frente a la manipulación física de un cajero clásico, en el mundo on-line los ciberdelincuentes inyectan código malicioso en una tienda on-line para robar los detalles de las tarjetas de pago de los compradores. Entre los afectados por esta técnica, la compañía de seguridad destaca los casos de multinacionales como British Airways o TicketMaster, si bien asegura, son las tiendas más pequeñas las más expuestas a este tipo de ataques. De hecho Symantec afirma que de media, 4.800 sitios web únicos se ven comprometidos por código de formjacking cada mes. La empresa asegura que bloqueó más de 3,7 millones de ataques sobre puntos finales en 2018. Más información en https://www.muyseguridad.net/ GHIDRA, la herramienta gratuita de la NSA, ya tiene un bug GHIDRA v.9.0 es la nueva herramienta de análisis y reversing de binarios gratuita, publicada estos días en la conferencia RSA y creada por la NSA. En cierta manera compite por el mercado de la conocida IDA. Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior. La curiosidad es que a pocos minutos de ser publicada, Matthew Hickey ha encontrado un grave problema de seguridad. Establece el JDWP en modo debug y se pone a la escucha en el puerto 18001 de todas las interfaces. JDWP (Java Debug Wire Protocol) permite ejecutar código arbitrario en el sistema, por lo que, al quedar accesible en cualquier red el sistema queda expuesto. Arreglarlo es sencillo, modificando en la línea que lanza JDWP, el asterisco por 127.0.0.1 en el script que lo lanza. Más información en https://www.theregister.co.uk/ Nueva vulnerabilidad afecta a todas las CPUs Intel, no se puede parchear y no afecta a AMD Después de que Spectre y Meltdown estrenara una larga lista de vulnerabilidades de seguridad en las CPUs de Intel, hoy seguimos sumando para bingo con Spoiler, la última vulnerabilidad descubierta por el Instituto Politécnico de Worcester y la Universidad de Lübeck, que afecta a todas las CPU de Intel, desde las CPU Intel Core de 1ª Generación, que llegaron a mediados de 2006, hasta las más recientes, que incluye la 9ª Generación. Intel Spectre Next Generation Spectre NG 0. Según el informe, el Instituto Politécnico de Worcester y la Universidad de Lübeck ha descubierto un nuevo fallo en la microarquitectura que revela información critica acerca del mapeo de páginas físicas en procesos del espacio de usuarios. “El agujero de seguridad puede ser explotado por un conjunto limitado de instrucciones, que es visible en todas las generaciones de Intel a partir de la primera generación de procesadores Intel Core, independientemente del sistema operativo empleado y también funciona desde máquinas virtuales y entornos de espacio aislado. Más información en https://elchapuzasinformatico.com/ Zero-Day en Google Chrome permite la ejecución remota de código La vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y Linux, habría estado siendo aprovechada por atacantes. Clement Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución arbitraria de código en la máquina de la víctima, para así tomar su control. Aunque no se han revelado detalles, según Google el fallo habría estado siendo aprovechado por atacantes. Desde Google han decidido restringir los detalles de la vulnerabilidad hasta que la mayoría de usuarios hayan actualizado; lo único que se conoce de momento de este fallo de corrupción de memoria, es que se produce tras intentar acceder a memoria que ya ha sido liberada ("use-after-free"), y que afecta al componente API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona desde la máquina del usuario. Debido a la alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y MacOS, normalmente estas actualizaciones se encuentran activadas por defecto. Más información en https://unaaldia.hispasec.com/ Desconectados a nivel mundial: Facebook e Instagram estuvieron caídos y WhatsApp tuvo problemas En un miércoles de terror para las comunicaciones y el uso de las redes sociales, WhatsApp se sumó a las fallas de Facebook e Instagram:vusuarios de todo el mundo reportaron problemas con el servicio de mensajería durante 10 horas. Más información en https://tn.com.ar/tecno/f5. App de identificador de llamadas expone información de millones de usuarios La filtración de datos se relaciona con la deficiente seguridad de una implementación de MongoDB. La app de identificador de llamadas Dalil, desarrollada en Arabia Saudita, ha estado filtrando la información de sus usuarios a causa de su implementación de MongoDB, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Más de 5 millones de registros han permanecido expuestos en línea por alrededor de diez días. La base de datos fue descubierta por un equipo de expertos en seguridad en redes; los expertos trataron de contactar a la compañía sobre el incidente, aunque esta tarea se ha complicado. “Esta app es usada principalmente por habitantes de Arabia Saudita, Egipto, Palestina e Israel. El motivo de la exposición es que la implementación de MongoDB no contaba con una contraseña”, mencionan los expertos en seguridad en redes. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 116
¿Seguridad de Iphone no funciona? nuevo malware ha infectado a más de 500 millones de usuarios Acorde a especialistas en análisis forense informático del Instituto Internacional de Seguridad Cibernética (IICS) un grupo cibercriminal identificado como eGobbler ha estado explotando una vulnerabilidad en Chrome para sistema iOS con el propósito de atacar a los usuarios de dispositivos iPhone con un exploit que les entrega malvertising; se calcula que alrededor de 500 millones de usuarios en todo el mundo han sido infectados. El malvertising es un método de ataque en el que los hackers muestran a los usuarios publicidad de apariencia inofensiva; en realidad estos anuncios contienen código que redirige a las víctimas a sitios web de contenido malicioso, comentan los especialistas en análisis forense informático. Los reportes sobre la campaña de ataques desplegada por eGobbler han concluido que este actor de amenazas ha infectado servidores de publicidad legítima, misma que ha usado para desplegar los anuncios que mostrarán la ventana emergente maliciosa. La carga útil empleada por este grupo de hackers tiene dos funciones: generar dinero con los anuncios mostrados y la capacidad de redirigir al usuario a sitios web fraudulentos donde se intentará extraer sus datos personales o infectar con malware. Continúa navegando en https://noticiasseguridad.com/ Facebook almacenó millones de contraseñas de usuarios de Instagram en texto sin formato A fines del mes pasado, Facebook reveló que "almacenaba erróneamente las contraseñas de cientos de millones de usuarios de Facebook en texto plano", incluidas las contraseñas de "decenas de miles" de sus usuarios de Instagram también. Ahora parece que el incidente es mucho peor de lo que se informó primero. Estas contraseñas de texto plano de millones de usuarios de Instagram, junto con millones de usuarios de Facebook, estaban disponibles para algunos de los ingenieros de Facebook que, según la compañía, "no abusaban de ellas". De acuerdo con la publicación actualizada, Facebook descubrió "registros adicionales de contraseñas de Instagram almacenados en un formato legible", pero agregó que su investigación reveló que "las contraseñas almacenadas nunca fueron abusadas o mal accedidas por ninguno de los empleados". La última revelación llega en menos de un día después de que se reveló que Facebook había almacenado hasta 1,5 millones de usuarios en sus servidores, sin su consentimiento o conocimiento, desde mayo de 2016. Continúa navegando en https://thehackernews.com/ Microsoft es hackeada – hackean cuentas de Outlook y cuentas de empleados Microsoft ha revelado que un grupo de hackers desconocidos ha perpetrado una brecha de datos en algunos de los sistemas de la compañía; acorde a especialistas en cómputo forense del Instituto Internacional de Seguridad Cibernética (IICS), los hackers habrían comprometido las credenciales de inicio de sesión de algunos miembros del equipo de soporte técnico de la compañía, gracias a esto, consiguieron acceder a las cuentas de email de uno de los clientes de Microsoft. Las primeras investigaciones indican que los hackers atacaron la red de la compañía en algún momento entre enero y marzo, poco después de la intrusión los cibercriminales consiguieron acceso a los datos de inicio de sesión del personal de Microsoft. Acorde a los expertos en cómputo forense, la compañía notificó al cliente comprometido sobre la situación, afirmando que: “el acceso no autorizado podría haber permitido que un usuario no autorizado consiguiera acceso a información relacionada con su cuenta de email, como nombres de carpetas, título del email, entre otros datos”. La compañía afirmó también que los atacantes no tienen acceso al contenido de las carpetas, mensajes o archivos adjuntos. Aún se desconoce el número exacto de correos electrónicos a los que los hackers accedieron. Continúa navegando en https://noticiasseguridad.com/ Nueva vulnerabilidad Día Cero en internet explorer permitiría robo de archivos locales Internet Explorer no es precisamente el buscador más popular, y en definitiva este nuevo incidente de seguridad no le ayudará. Acorde a especialistas del curso de informática forense del Instituto Internacional de Seguridad Cibernética (IICS), ha sido descubierta una vulnerabilidad día cero en este buscador que hace que las computadoras con Windows sean vulnerables a los ataques de robo de archivos. Acorde a los reportes, la vulnerabilidad se encuentra en el uso de archivos MHT de Internet Explorer cuando un usuario guarda una página web. La vulnerabilidad está en la apertura de archivos MHT. “Internet Explorer es vulnerable a un ataque de Entidad Externa XML si un usuario abre un archivo .MHT especialmente diseñado. Este inconveniente permitiría a un atacante extraer archivos locales y realizar un reconocimiento remoto de la versión de Program instalada en la máquina comprometida. Por ejemplo, enviar una solicitud c:\Python27\NEWS.txt podría devolver como respuesta información de la versión de ese programa”. Continúa navegando en https://noticiasseguridad.com/ Hackeo en Wipro; los hackers usan los sistemas de la compañía para atacar a sus propios clientes Wipro se encuentra investigando algunos reportes que sugieren que sus sistemas de TI han sido hackeados; es posible que los sistemas comprometidos se estén empleando para lanzar ciberataques contra algunos de los clientes de esta compañía. Los reportes indican que algunos de los clientes de la compañía de servicios de TI detectaron actividades maliciosas de reconocimiento de redes comunicándose directamente a las redes de Wipro. Se estima que al menos diez o doce compañías han sido afectadas. Aunque Wipro tardó un poco en fijar postura respecto a este incidente, finalmente publicó un comunicado mencionando: “Nuestros procesos internos son en verdad sólidos y nuestros sistemas de seguridad son los más avanzados para prevenir y detectar diversos intentos de ciberataques”. Acorde a los especialistas en análisis forense informático, el ataque se habría originado en el servidor de correo electrónico de la compañía, por lo que Wipro ya prepara una nueva red email de uso privado. Por el momento, los usuarios potencialmente afectados están siendo informados de la situación. Portavoces de la compañía han mantenido comunicación sobre las actualizaciones más recientes sobre este incidente: “Derivado de una compleja campaña de phishing, hemos detectado actividad anómala en las cuentas de algunos empleados en nuestra red interna”. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Cómo mejorar la Seguridad de tu empresa
¿Sabes por qué es tan importante tener contraseñas robustas? ¿Y el hecho de hacer copias de seguridad de forma frecuente? ¿Te gustaría obtener unos consejos para comprar en línea o sobre cómo evitar los programas maliciosos? Queremos ayudarte a mejorar la seguridad en tu empresa. A continuación te presentamos una Guía de "Privacidad y seguridad en Internet" desarrollada por la Agencia Española de Protección de Datos (AEPD) y la OSI. La guía está formada por 18 fichas que recogen los principales riesgos a los que nos exponemos al hacer uso de Internet así como las medidas de protección que debemos aplicar para evitarlos. En concreto, cada ficha plantea una situación que podría ocurrir a cualquier usuario que haga uso de dispositivos electrónicos y se conecte a Internet, con el objetivo de hacer reflexionar a éste sobre la problemática de hacer o no hacer una determinada acción. A continuación, se expone información general sobre la temática abordada. Finalmente, cada ficha facilita una serie de consejos y recomendaciones que ayudarán a evitar los riesgos planteados y mantenerse protegido. Además de las 18 fichas, se han desarrollado varios Videotutoriales que te permitirán configurar las opciones de privacidad de las principales redes sociales y aplicaciones de mensajería instantánea. En concreto, puedes visualizarlas en los siguientes enlaces: Privacidad en Facebook Privacidad en Twitter Privacidad en Instagram Privacidad en Youtube Privacidad en Whatsapp Privacidad en Snapchat Toda esta información resulta altamente valiosa para cualquier usuario que tiene acceso a Internet, pero, lo es aún más para cualquier empresa, en las que, cada vez más, las gestiones se hacen online y, el contacto con clientes y proveedores también. Si necesitas más información, no dudes en ponerte en contacto con nosotros y te ayudaremos!Boletín nº 81 Noticias Seguridad en Comunidad Movistar Empresas
56% de las organizaciones sufrieron el ransomware El Informe Global sobre Ransomware de 2018 de SentinelOne pone sobre la mesa datos sobre organizaciones en Estados Unidos que han sido víctimas de un malware del tipo mencionado. La encuesta muestra que el 53% de las organizaciones en Estados Unidos han culpado de la infección por ransomware a las soluciones de antivirus antiguas, que fallaron a la hora de proteger sus sistemas. Dentro de ese grupo, el 68% se siente más seguro tras sustituir las soluciones antimalware obsoletas que utilizaban por protección de última generación. Con un panorama cada vez más complejo en torno a los malware y ciberataques, tener una protección que responda a los verdaderos desafíos actuales en términos de ciberseguridad puede terminar siendo crítico. El 56% de las organizaciones indicaron que están poniendo en marcha planes de formación y concienciación para sus empleados con el fin mejorar el conocimiento y participación en la seguridad a nivel organizacional. Los cibercriminales no se quedan ni mucho estancados, sino que sus métodos no paran de evolucionar. Aquí siempre es mejor ser malpensado y asumir que siempre están un paso por delante de las medidas defensivas, más si tenemos en cuenta que llegan a tener hasta acceso a peligroso material procedente de las más importantes agencias de inteligencia y seguridad. Fuente: muyseguridad.net. Facebook vuelve a filtrar datos de 120 millones de usuarios Una nueva aplicación vuelve a poner a Facebook en el centro de las críticas respecto al mal uso de los datos de sus usuarios. Los que tienen un perfil hace una década podrán recordar el furor que fueron los tests de personalidad, en donde el usuario respondía unas preguntas y a cambio la plataforma te decía a qué jugador de fútbol te parecías o qué princesa de Disney eras. Esta última es la que llamó la atención de Inti De Cukelaire, un experto en seguridad informática que expuso como la aplicación NameTests.com filtró datos de sus usuarios durante años con la vista gorda de la red social. La plataforma acumulaba información de más de 120 millones de usuarios cada mes y, desde hace dos años, permitía que cualquiera pueda tener acceso a la información de los que iniciaron el test. Según se abría el test, la app era capaz de hacer un barrido de la información privada, se hubieran dados permisos o no. El otro grave error de seguridad de la plataforma era que esos datos estaban disponibles en un archivo que podía consultarse o que se compartía con terceros a través de los sitios visitados por los usuarios. Desde Facebook reconocieron el error y confirmaron que ya trabajaron para corregir la vulnerabilidad. Fuente: www.businessinsider.es. Redes LTE y 5G podrían verse afectadas por nuevas vulnerabilidades Un grupo de investigadores en pruebas de penetración ha demostrado la capacidad de identificar pasivamente detalles de sesión y de realizar hijacking, lo que permite ataques de phishing. Acorde al Instituto Internacional de Seguridad Cibernética, los investigadores han encontrado vulnerabilidades en los estándares de LTE, que dejan a los usuarios vulnerables a posibles ataques, como determinar identidades de usuario, determinar a qué sitios web accedió un usuario determinado y alterar el tráfico DNS, lo que permite a los atacantes secuestrar una conexión y redirigir a las potenciales víctimas a sitios de phishing. Las vulnerabilidades fueron descubiertas por expertos en pruebas de penetración de las universidades Ruhr-Universität y la Universidad de Nueva York en Abu Dhabi, remarcando que de los tres tipos de posibles ataques dos son pasivos, lo que permite a los atacantes escuchar el tráfico e intentar derivar información en función de esos datos. El tercero es un ataque activo, llamado por los investigadores “aLTEr”. El ataque aLTEr es técnicamente complejo, en parte porque depende en gran medida de que exista infraestructura externa: funciona como una redirección de DNS, lo cual es posible debido a la aplicación inconsistente de la autenticación en las capas de LTE. Fuente: noticiasseguridad.com. Hackean la tienda de Adidas en estados unidos para robar datos de los clientes Todo parece indicar que la tienda oficial de Adidas en Estados Unidos ha sido hackeada, exponiendo datos comprometedores entre los que se encontrarían los detalles de contacto, las direcciones físicas, las direcciones de email y las contraseñas, con casi toda probabilidad cifradas. La compañía de ropa deportiva ha comunicado que otros datos comprometedores como las tarjetas de crédito y la información sobre el estado físico de sus usuarios (derivada de productos como las pulseras que miden la actividad física) no han sido expuestos. Adidas empezó a ser consciente del ataque el 26 de junio de este este año, cuando se detectó el acceso no autorizado a la tienda por parte de alguien que dijo haber obtenido de forma limitada ciertos datos de los clientes de Adidas. La multinacional ha iniciado una investigación y está notificando a los clientes sobre la brecha de datos que ha padecido en su tienda. Como suele ser habitual en este tipo de incidentes, se está recomendando a los clientes cambiar la contraseña cuanto antes a pesar de que en teoría los hackers no tendrían que tener acceso a las cuentas con las contraseñas cifradas. Fuente: noticiasseguridad.com. Ataque RAMpage: afecta a todos los Android desde 2012 RAMpage fue descubierto por un grupo de ocho académicos en tres universidades diferentes y el documento de investigación oficial se publicó el 28 de junio de 2018. Hasta ahora con el ataque se han conseguido replicar en un LG G4 y aseguran que cualquier teléfono fabricado desde 2012 hasta hoy se encuentra potencialmente expuesto al peligro que supone este error en el sistema. Es esto último, precisamente, lo que hace notoria a la vulnerabilidad, pues afecta de manera inmediata a millones de smartphones alrededor del mundo. RAMpage rompe el aislamiento fundamental entre las aplicaciones del usuario y el sistema operativo. Si bien las aplicaciones generalmente no tienen permiso para leer datos de otras aplicaciones, un programa malicioso puede crear un exploit de RAMpage para obtener control administrativo y es capaz de acceder a los datos, por ejemplo, de contraseñas guardados en el navegador o de apps administradoras de contraseñas, fotos personales, emails, mensajes y hasta incluso documentos. Este ataque se centra en subsistema ION, un driver que se dedica a la gestión de memoria, el cual, Google introdujo en Android 4.0 Ice Scream Sandwich. Aunque RAMpage afecte de momento a Android también se espera que se adapten versiones que impacten a iOS y otros dispositivos como ordenadores. Fuente www.androidcentral.com. Rastreo de correos electrónicos y cómo evitarlo Imagina que dentro de tu buzón de correo ordinario hay una cámara que supervisa qué folletos lees y cuáles tiras sin pensártelo. Puede que nunca te lo hayas planteado, pero el correo electrónico ha otorgado esta habilidad a los creadores de spam y de correo directo. Durante su existencia, el correo electrónico ha evolucionado de un simple texto a mensajes llamativos con todo tipo de fuentes, estilos e imágenes incorporadas. En cuanto a sus habilidades, los correos ahora son muy parecidos las páginas web, es decir, los remitentes pueden insertar elementos en mensajes para rastrear lo que tiene lugar en el buzón. Los investigadores de la Universidad de Princeton han analizado unos mil correos publicitarios y han descubierto que el 70% de los mensajes contenían rastreadores de publicidad, elementos de descarga automática como imágenes invisibles que no solo informan al remitente cuándo y cuántas veces abres el mensaje, sino que también transmite datos personales (por ejemplo, tu dirección de correo electrónico) en la cadena de consulta. Además, la consulta del dominio de rastreo refleja tu dirección IP, a través de la cual se puede determinar tu ubicación aproximada. Estas tecnologías permiten que los creadores de publicidad en correos electrónicos dirijan sus mensajes de forma más eficaz. Por ejemplo, el rastreo es muy útil en los famosos test A/B, que ayuda a determinar qué temas y qué tipo de mensajes suelen ser más atractivos (como usar o no emoticonos).Fuente: www.kaspersky.es. Vulnerabilidad en McDonald's permite robar contraseñas de usuarios Abusando de Insecure Cryptographic Strorage y un Server Cross-Site-Scripting es posible robar contraseñas de usuarios de McDonald's, además de otros detalles como nombres de usuario, direcciones y detalles de contacto. Reflected XSS a través de AngularJS sandbox es lo que permite lograr esto, pero necesitas forzar el inicio de sesión de un usuario para poder realizarlo. McDonald's usa CryptoJS para cifrar y descifrar datos sensibles como la cookie de sesión pero usan la misma clave y IV (Vector de Inicialización) para cada usuario. Para robar la cookie, el método getCookie no funciona pero Tijme Gommers ha publicado un código en Javascript que carga la página de inicio en una iframe para robar la cookie. McDonald's recibió múltiples reportes de la vulnerabilidad pero no respondieron y por eso se ha hecho pública la vulnerabilidad. Fuente: finnwea.com. Cómo un malware podría dañar físicamente tu equipo Cuando navegamos, cuando utilizamos cualquier equipo informático, estamos expuestos a sufrir infecciones en forma de malware. Son muchas las variedades que podemos encontrarnos. También son múltiples las formas en las que podemos ser víctimas de algún ataque. Es vital tener ciertas precauciones de cara a protegernos. Ahora bien, ¿el malware solamente puede afectar al buen funcionamiento, al sistema, o podría afectar de forma física? La realidad es que un equipo afectado podría ser dañado físicamente incluso hasta el punto de quemarse o sufrir algún fallo de hardware. Todas las variedades de malware alteran, de una u otra forma, un sistema. Puede provocar ralentización, una navegación más lenta, mal funcionamiento de algunas aplicaciones… También puede afectar a los mineros de criptomonedas. Un ejemplo son los mineros de criptomonedas. Este tipo de malware utiliza los recursos de un equipo para llevar a cabo su función. Puede poner al límite una tarjeta gráfica o CPU y, en última instancia, llegar a quedar completamente inutilizado. A quemarse el hardware, incluso. Fuente: www.redeszone.net. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 77 Noticias Seguridad en Comunidad Movistar Empresas
FBI lanza una alerta internacional para routers cisco por ser fáciles de hackear El FBI está recomendando a las empresas y hogares, reiniciar lo antes posible los enrutadores; esto basado en un informe de Cisco de que 500,000 dispositivos infectados podrían ser destruidos con un solo comando. Expertos en seguridad informática comentaron que el malware denominado VPNFilter, fue desarrollado por el grupo de hackers rusos Sofacy. El FBI confirmo la información, ya que la semana pasada obtuvo una orden de captura de un dominio utilizado para controlar los enrutadores infectados. Cisco Talos Intelligence revelo en un informe que 500,000 enrutadores hechos por Linksys, MikroTik, Netgear y TP-Link habían sido infectados con VPNFilter. Este malware recoge el tráfico enviado a través de enrutadores infectados, como las credenciales del sitio web. Pero la capacidad más preocupante es que el malware autoriza a los actores maliciosos borrar una parte del firmware de un dispositivo infectado, dejándolo inservible. Fuente: noticiasseguridad. Pérdida de datos internos en distintas empresas De acuerdo con un aviso de seguridad de Coca-Cola, un ex-empleado de una subsidiaria de Coca-Cola ha sido encontrado en posesión de un disco duro que parecía haber sido sacado de la empresa con datos personales de 8.000 empleados. El incidente tuvo lugar en septiembre de 2017, sin embargo, los funcionarios encargados de hacer cumplir la ley solicitaron a Coca-Cola que no publicitara el asunto en ese momento debido a las investigaciones en curso. Ahora que las investigaciones han concluido, Coca-Cola ha confirmado que el disco duro contenía algunos documentos pertenecientes a sus trabajadores. Esta no es la primera vez que un interno ha dañado a la compañía para la que trabajaba. Fuente: https://www.hackread.com Todos los fondos de la aplicación de criptomonedas Taylor han sido robados en ciberataque El equipo de la startup Taylor despertó y descubrió que un actor malicioso había limpiado Taylor. El robo es una pesadilla para las startups y un problema constante en la industria de la criptomoneda, comentaron expertos en seguridad informática. Taylor es una startup que a través del diseño y lanzamiento de una aplicación comercial, quiere ser la conexión entre los intercambios de criptomonedas y la tecnología móvil. El equipo logro desarrollar el asistente de intercambio de criptomonedas inteligente Taylor, que presume ser una aplicación fácil de usar que lo ayudará a obtener beneficios todos los días. Pero no todo son buenas noticias, el proyecto ha sido arruinado por un ataque que ha drenado por completo el inicio de la tienda de criptomonedas. En una publicación de blog, el equipo de Taylor dijo que “todos nuestros fondos han sido robados, no solo el ETH (2,578.98 ETH) sino también los tokens TAY”. Esto es aproximadamente $ 1.5 millones de dólares. Fuente: noticiasseguridad.com Chrome y Firefox han estado filtrando los nombres de perfiles de Facebook desde 2016 Un grupo de investigadores de seguridad ha dado a conocer un fallo de seguridad que fue introducido en los principales navegadores web, Google Chrome y Firefox, en 2016 cuando se implementó una de las últimas características del estándar CSS, mix-blend-mode, una característica que puede ser fácilmente utilizada para filtrar la información de un perfil de Facebook, pixel a pixel, para insertarla en un iframe en una web de terceros. Si todo hubiera funcionado correctamente, las propias políticas del navegador hubieran impedido que piratas informáticos se aprovecharan de esta característica, sin embargo, esto no ha sido así. Los investigadores de seguridad que han descubierto este fallo han podido demostrar cómo es posible aprovecharse de esta característica del CSS para extraer todo tipo de información directamente de un perfil de Facebook. Para ello, se analiza pixel a pixel cada imagen o contenido multimedia dentro del perfil, así como se consiguen utilizar técnicas de reconocimiento de caracteres, OCR, para extraer texto, como el nombre o las publicaciones. Fuente: redeszone.net. Revelan que 2017 fue el "peor año" para la seguridad informática El año 2017 fue el peor para la seguridad informática, ya que la cantidad de reclamos por ciberataques y pérdida de datos superó los de los cuatro años anteriores, afirma un estudio del AIG, compañía estadounidense de finanzas y seguros, cuyos resultados publica Insurance Times. Según el reporte de AIG, publicado la semana pasada, el 26 % de los reclamos en 2017 estuvieron relacionados con los 'ransomware', virus que restringen el acceso al sistema del usuario hasta que se envíe un pago para quitar las restricciones. Mientras tanto, entre 2013 y 2016 se registró apenas un 16 % de ese tipo de denuncias. Entre otras causas de pérdidas de datos, los analistas destacaron los ataques de 'hackers' y otros fallos de seguridad como accesos no autorizados y fraude de suplantación de identidad. Entretanto, según afirman analistas, el error humano sigue siendo un factor crucial en la mayoría de los reclamos a pesar de que el número de notificaciones provocadas por negligencia de los usuarios se redujo un 7 % el año pasado. Fuente: actualidad.rt.com El sector de la aviación se prepara para una lluvia de ciberataques este verano Los ciberataques están a la orden del día. Practicamente todos los sectores andan con pies de plomo y buscando la mejor forma de protegerse ante el cibercrimen. Uno de los sectores que más amenazado se va a ver este verano es el de la aviación, a quien la Agencia Europea de Seguridad Aérea ha advertido que se avecina un verano 'caliente' con más de mil ciberataques mensuales a este sector. David Warburton, ingeniero senior de sistemas de F5 Networks afirma que con la llegada del verano la actividad en los aeropuertos crece exponencialmente. "Por desgracia, turistas y ciberdelincuentes se reparten el protagonismo a partes iguales. La Agencia Europea de Seguridad Aérea pronostica que los sistemas de aviación de este continente tendrán que hacer frente a más de mil ciberataques cada mes. Es un dato alarmante, pero no sorprendente. La tendencia a facilitar los trámites de los usuarios y la reducción de los presupuestos de TI son dos factores que se suman para reducir la seguridad efectiva de los sistemas y de los datos. En este punto, es necesario ser conscientes de que se debe priorizar la protección de las infraestructuras críticas, a menudo bastante antiguas”. Fuente: cso.computerworld.es Bancos holandeses afectados por ciberataque, todos los servicios desconectados Bancos holandeses ABN Amro y Rabobank afectados por ataques DDOS, el 27 de mayo, lo cual ha afectado a su sistema de banca en línea con servidores fuera de línea. Expertos en seguridad informática comentaron, que los actores maliciosos lanzaron ataques DDoS contra dos servidores de bancos y sobrecargaron el tráfico afectado a los sitios web. Un grupo de profesionales en seguridad informática explican, los ataques DDoS es cuando varios sistemas desbordan el ancho de banda o los recursos de un sistema específico, generalmente uno o más servidores web. Los ataques DDOS son a menudo el resultado de múltiples sistemas comprometidos, por ejemplo una botnet, que inundan el sistema de destino con tráfico. El primer ataque fue lanzado contra Rabobank y ABN Amro la semana pasada, lo que provoco que la banca en línea y móvil se desconectara, los pagos iDeal y los sitios web fueron inaccesibles. Fuente: noticiasseguridad.com Honeywell lanza su centro de Ciberseguridad Industrial Honeywell ha lanzado su primer centro de excelencia en Ciberseguridad Industrial COE en su sede de Medio Oriente en Dubai. El nuevo COE es un centro tecnológico pionero con un entorno fuera de proceso seguro para probar y demostrar las vulnerabilidades y amenazas de la red de control de procesos, capacitar a los clientes con simulaciones de ataques en tiempo real y proporcionar consultas avanzadas a los clientes. El COE demuestra aún más el compromiso de Honeywell de abordar las necesidades de ciberseguridad industrial de los clientes en la región del Medio Oriente aprovechando la experiencia, tecnología y soluciones comprobadas a nivel mundial. Esta inversión se realiza en apoyo de iniciativas del gobierno regional, como la Estrategia de seguridad cibernética de Dubai, con el objetivo de fortalecer las defensas de ciberseguridad en medio de una creciente transformación digital en todas las industrias. Fuente: www.infoplc.net Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 125
Un problema en WhatsApp no deja descargar fotos, vídeos ni audios WhatsApp ha sufrido un nuevo error e impide la descarga de fotos, vídeos y mensajes de voz. Por el momento, el envío de mensajes de texto funciona con normalidad, pero no así la descarga de contenido multimedia, que se está viendo afectada en diferentes partes del mundo. El error no solo afecta a la app de mensajería, sino que se extienda también al resto de plataformas bajo la tutela de Zuckerberg. Así, se han detectado fallos en la carga de imágenes en Facebook, mientras que en Instagram la caída no es general ya que hay usuarios que disfrutan de la app con normalidad, mientras otros no pueden visualizar imágenes ni stories. Ser la aplicación de mensajería más usada de todo el mundo y contar con más de 1.500 millones de usuarios, no te exime de los errores. Tras experimentar una caída recientemente a nivel general, ahora WhatsApp impide la descarga de contenido multimedia, ya sean fotografías, vídeos o mensajes de texto. Continúa navegando en https://www.xatakamovil.com/. Hackers pueden atacar bancos con esta falla en Microsoft Excel Acorde a especialistas en auditorías de seguridad informática existe una característica de Microsoft Excel llamada Power Query que podría ser usada por actores de amenazas para inyectar malware en sistemas remotos. Los expertos de la firma Mimecast Threat Center describieron la forma en la que la vulnerabilidad podría ser explotada a través de una prueba de concepto. Power Query permite a los usuarios de Excel incrustar fuentes de datos externas en hojas de cálculo del servicio de Office. La firma de seguridad planteó un método de ataque para lanzar un ataque remoto DDE (intercambio dinámico de datos) en contra de una hoja de cálculo para entregar una carga útil maliciosa y controlarla a través de la función comprometida. Acorde a los especialistas en auditorías de seguridad informática, Power Query también podría servir para lanzar ataques complejos y difíciles de detectar combinando varios vectores vulnerables. Explotando esta característica, los hackers podrían adjuntar software malicioso en una fuente de datos externa a Excel y cargar el contenido en la hoja de cálculo cuando el usuario la abre. Los expertos mencionan que Microsoft colaboró con ellos en el proceso de divulgación de la falla. Continúa navegando en https://noticiasseguridad.com/. El gobierno de E.U. en contra del cifrado completo en Whatsapp y Facebook A pesar de que el cifrado en los dispositivos inteligentes que empleamos a diario se ha convertido casi en un estándar de seguridad para toda la industria, especialistas en seguridad de aplicaciones web afirman que muchos gobiernos no aprueban del todo esta medida de protección para los usuarios de tecnología. El cifrado de extremo a extremo, presente en servicios como Facebook Messenger y WhatsApp, garantiza que nadie más que el remitente y el destinatario de un mensaje puedan acceder al contenido de la conversación, dejando de lado a los hackers, la policía y a las compañías que prestan el servicio. Recientes reportes afirman que un grupo de altos funcionarios del gobierno de E.U. planean un intento de prohibición de este cifrado. Los reportes de los especialistas en seguridad de aplicaciones web mencionan que un grupo de reconocidos funcionarios de la administración de Donald Trump han acordado impulsar una prohibición. Continúa navegando en https://noticiasseguridad.com/. Miles de personas infectadas con virus en páginas de Facebook Un equipo de especialistas en seguridad en páginas web detectó y expuso una campaña que, aprovechándose de noticias relacionadas con Libia, comenzaron a desplegar decenas de sitios y perfiles de Facebook falsos para distribuir malware durante los últimos cinco años. Los enlaces utilizados por los atacantes redirigían a las víctimas a sitios cargados con malware para equipos Android y Windows; uno de los principales vectores de ataque era el uso de un falso perfil de Facebook supuestamente operado por el mariscal de campo Khalifa Haftar, comandante del Ejército Nacional de Libia. Este perfil falso fue creado a principios del mes de abril y contaba con más de 11 mil seguidores, publicando contenido relacionado con campañas militares y teorías de conspiración que acusaban a países como Turquía de espionaje contra Libia. Entre otras cosas, las publicaciones de este perfil también ofrecían una supuesta app que la gente de Libia podría emplear para encontrar información de ingreso al ejército del país. Expertos en seguridad en páginas web de la firma de seguridad Check Point informaron que la mayoría de estos enlaces redirigían al usuario a sitios y aplicaciones identificadas anteriormente como contenido malicioso. Los atacantes infectaban al usuario con diversas herramientas de administración remota como Houdina, Remcos y SpyNote; la mayoría de estas se almacenan en servicios de hosting como Google Drive y Dropbox. Continúa navegando en https://noticiasseguridad.com/ El análisis "post-morten" del apagón de Google el día 2 de junio de 2019 demuestra la gran dependencia que tenemos de la nube El domingo 2 de junio, durante 4 horas y 25 minutos, millones de personas en todo el mundo no pudieron acceder a Gmail, Youtube, SnapChat o incluso Google Cloud (del cual de sus servicios de computación en la nube dependen miles de clientes) provocando un impacto casi incalculable a diversas empresas y servicios. Esas más de 4 horas sólo fueron el tiempo contabilizado por Google, pero se extendió durante prácticamente todo el día y la noche, ya que los ingenieros tuvieron que deshacer todas las múltiples nuevas rutas que configuraron para poder mantener el servicio funcionando mientras reparaban el problema. Dejando aparte la terrible sensación de inquietud que nos deja la dependencia absoluta que tenemos de los servicios en la nube, la causa de este apagón no fue un ataque, sino como suele ocurrir en muchos otros accidentes, un cúmulo de errores e imprevistos en cadena. Sobre las 2:45 am del domingo 2 de junio, se ejecutó una simple y habitual tarea de mantenimiento que en principio no tenía nada de especial. Para no dejar sin servicio a esa zona geográfica que se va a recibir dicho mantenimiento, los datos y los trabajos pendientes se enrutan hacia otras regiones para no afectar a los usuarios. De repente, muchos de los clientes de estos servicios de Google detectaron varios problemas como alta latencia y errores de conexión en instancias ubicadas en las zonas us-central1, us-east1, us-east4, us-west2, northamerica-northeast1 y southameria-east1. Continúa navegando en https://www.flu-project.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 114
Google revela que hay 200 millones de móviles Android con malware instalado Google ha publicado el informe de seguridad de Android de 2018, el cual nos muestra una imagen de la seguridad en el sistema operativo durante el pasado año y cuáles han sido los principales vectores de infección. Además, nos muestra que se detectó que casi 200 millones de dispositivos con su sistema operativo fueron infectados con malware. Google ha cumplido recientemente 10 años, en los cuales ha tenido bastantes fallos y problemas de seguridad que Google ha ido subsanando con el paso de los años. Cada año publica un informe para ver cómo ha avanzado la seguridad en el sistema operativo, y este año, a pesar de haber mejorado, sigue arrojando cifras que asustan. Así, un 0,04% de las descargas totales de la Google Play fueron clasificadas como Potentially Harmful Apps, o PHA, frente a la cifra del 0,02% en 2017. Esto supone al menos duplicar la cifra de apps peligrosas, ya que se realizaron más descargas en 2018 que en 2017. Este cambio tiene “truco”, ya que Google ha aumentado el tipo de apps y las categorías que considera como peligrosas. Sin embargo, gracias a Google Play Protect, su propio escáner antimalware, la instalación de aplicaciones peligrosas a través de fuentes ajenas a la Play Store ha caído significativamente. Sobre las apps bloqueadas de la Play Store no han desvelado cifras, pero en 2017 fueron de 700.000. Este año han preferido destacar que han prevenido la instalación de 1.600 millones de aplicaciones peligrosas que provenían de fuentes externas. Continúa navegando en https://www.adslzone.net/. Facebook expone más de 540 millones de usuarios Facebook ha eliminado 540 millones de datos de sus usuarios, almacenados en servidores públicos de Amazon por la plataforma digital mexicana Cultura Colectiva, que contenían 146 gigabytes de información. Recientemente se ha publicado por la empresa de ciberseguridad UpGuard un estudio que denunciaba la publicación de dos colecciones de datos de usuarios de Facebook obtenidas a través de aplicaciones de terceros. En la mayor de las colecciones, Cultura Colectiva había utilizado los servidores de Amazon en la nube para almacenar públicamente 540 millones de datos que detallaban comentarios, gustos, reacciones, nombres de cuentas e ID de Facebook. El medio mexicano ha declarado en un comunicado oficial que los datos que usan «incluyen 540 millones de interacciones como likes, comentarios y reacciones», aunque afirma que «entre ellos no se incluía información privada o confidencial, como correos electrónicos y contraseñas». Continúa navegando en https://www.abc.es/. Rusia falsifica su GPS regional para ocultar bases militares Acorde a los autores de ‘Cómo ser un hacker profesional‘, un análisis masivo de datos de posicionamiento global descubrió una conducta sospechosa en territorio ruso. Los expertos señalan el descubrimiento de una falsificación generalizada del sistema de navegación global por satélite durante los más recientes tres años. La investigación, realizada por una organización sin fines de lucro, descubrió que al menos 9800 casos de falsificación ocurrieron en las zonas sensibles para Rusia y Crimea; los especialistas también demostraron que la falsificación ocurría regularmente cerca de una base militar rusa en Siria. Acorde a los autores de ‘Cómo ser un hacker profesional’, estos hallazgos señalan lo arriesgado que puede ser confiar en los datos de posicionamiento global, pues en ocasiones dependemos demasiado de ellos y, como ya se ha visto, esta tecnología puede ser comprometida, interrumpida o secuestrada con diversos fines. Esta investigación hace notar lo vulnerables que son los sistemas de navegación por satélite. Durante al menos diez años, diversos medios especializados y los autores de ‘Cómo ser un hacker profesional’ han dado seguimiento a los problemas de seguridad presentes en los sistemas de navegación. Continúa navegando en https://noticiasseguridad.com/. Segundo robo de datos en Toyota en un mes Acorde a especialistas del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS), la empresa automotriz japonesa Toyota ha sufrido su segundo robo de datos de las últimas cuatro semanas. Aunque, tal como reportaron los expertos del curso de ethical hacking, el primer incidente sucedió en las instalaciones de Toyota Australia, el más reciente robo de datos ha sido informado directamente desde las oficinas principales de Toyota en Japón. La compañía publicó un comunicado mencionando que los hackers consiguieron comprometer sus sistemas informáticos y posteriormente accedieron a las bases de datos de distintas subsidiarias. Entre las subsidiarias comprometidas se encuentran: Toyota Tokyo Sales Holdings, Tokyo Motor, Tokyo Toyopet, Toyota Tokyo Corolla, entre otras. Según el comunicado, los hackers accedieron a información relacionada con las ventas de hasta 3 millones de clientes de la compañía. Toyota afirma que ya se ha emprendido una investigación para determinar si los actores de amenazas filtraron algo de la información comprometida. Según reportan los expertos del curso de ethical hacking, la información financiera de los clientes de Toyota no se almacena en los servidores comprometidos, esto había sido informado por la compañía desde el último incidente de seguridad. Continúa navegando en https://noticiasseguridad.com. Departamento de policía sufre infección de Ransomware Acorde a especialistas de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética, la Federación de Policía de Inglaterra y Gales (PFEW) ha puesto todos sus esfuerzos en contener un ataque de ransomware que infectó los sistemas de esta organización (es una especie de sindicato de empleados de la policía). La Federación de Policía de Inglaterra y Gales (PFEW) ha puesto todos sus esfuerzos en contener un ataque de ransomware que infectó los sistemas de esta organización. A través de su cuenta de Twitter, PFEW declaró que detectó la infección en sus sistemas el pasado 9 de marzo. “Colaboramos en conjunto con una escuela de hackers éticos para contener el brote y evitar su propagación”. PFEW informó a la Oficina del Comisionado de Información en Reino Unido después de descubrir la infección. Después de las primeras investigaciones, la PFEW declaró que este incidente no se trata de un ataque especialmente dirigido contra la organización. Además, agregan que no hay evidencia de robo de datos, por lo que creen que lo más probable es que se trate de un ataque de ransomware convencional. “Aunque aún no podemos descartar la posibilidad, no hay indicios de robo de datos. Continuaremos implementando medidas de seguridad adicionales y notificando a cualquier persona potencialmente afectada por este incidente”. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 75 Noticias Seguridad en Comunidad Movistar Empresas
Datos de 3,1 millones de usuarios de Facebook expuestos por aplicación de terceros Después de toda la tormenta generada por el escándalo de Cambridge Analytica, una investigación llevada a cabo por New Scientist muestra que una aplicación desarrollada en la Universidad de Cambridge ha terminado por exponer los datos privados de 3,1 millones de usuarios. La aplicación, que era vendida como un test psicológico, se llamaba myPersonality y estuvo enviando datos personales como la edad, el sexo, la localización, el estado de las actualizaciones y otros resultados a investigadores de otras universidades y de distintas compañías, entre las que se encuentran Google, Microsoft, Yahoo y la propia Facebook, que accedían a lo recopilado mediante un sitio web compartido. Lo peor fue que unos estudiantes, después de subir código a GitHub (cosa normal en los entornos universitarios), acabaron filtrando, posiblemente sin querer, el usuario y la contraseña para acceder al sitio web compartido, por lo que dicha credencial se podía obtener con tan solo realizar una búsqueda en Internet. El escándalo de Cambridge Analytica ha obligado a Facebook a reforzar sus políticas en torno a la privacidad. Fuente: muyseguridad.net. Malware que mina criptomonedas CSIRT-CV ha elaborado un informe sobre el estado del arte del malware destinado a minar criptomoneda, tan en auge en los últimos meses. CSIRT-CV en colaboración con el laboratorio de malware de S2Grupo ha elaborado un informe que contiene un estado del arte de las distintas variantes de amenazas orientadas al minado de criptomoneda más comunes. En concreto se detallan el tipo de equipos objetivo más comunes de cada una, así como sus principales vías y técnicas de infección. A partir de todos los datos recopilados se puede remarcar el considerable incremento de nuevas amenazas orientadas al minado de criptomoneda, y de entre ellas el hecho de que la mayoría se basan en código reutilizado de repositorios públicos que puede ser utilizado de forma legítima. Otro detalle remarcable es que se está explotando todo tipo de dispositivos desde equipos de usuario, servidores, smartphones y dispositivos IoT. Fuente: www.csirtcv.gva.es Wicked-Mirai: nueva variante más agresiva Expertos de la empresa Fortinet identificaron a esta nueva variante de la famosa botnet Mirai a la que denominaron Wicked-Mirai. Esta nueva variante incluye al menos 3 nuevos exploit en comparación a la versión original. Usualmente los módulos que están dentro del bot Mirai son 3: Attack, Killer, y Scanner. En el análisis que realizó Fortiguard, esta nueva variante "Wicked" se centró en el mecanismo de distribución del malware. La versión original de Mirai utilizaba intentos de fuerza bruta para ganar acceso a los dispositivos IoT, pero la versión nueva viene con algunos exploit ya conocidos para realizar los ataques. Wicked utiliza los puertos 8080, 8443 80 y 81 para intentar realizar la detección de los dispositivos. Si la conexión es exitosa este intentará utilizar el exploit y descargar la carga útil. Fuente: www.seguridadyfirewall Extensiones maliciosas de Chrome infectan a más de 100.000 usuarios Ciberdelincuentes desconocidos infectaron más de 100.000 PCs mediante siete extensiones maliciosas para el navegador web Chrome, que estaban alojadas en la tienda oficial de Google. Hace tiempo que las extensiones maliciosas (y otro tipo de apps) superaron la seguridad de la tienda de aplicaciones de Google y lamentablemente se repiten este tipo de noticias a pesar de los esfuerzos del gigante de Internet. Abarcar todo su ecosistema de forma minuciosa es una tarea difícil, por lo que a veces hackers y cibercriminales consiguen colar software malintencionado tanto en la Play Store como en la Chrome Store. En enero, ICEBRG detectó cuatro extensiones maliciosas en la Chrome Store que llegaron a infectar alrededor de medio millón de computadoras, incluyendo estaciones de trabajo pertenecientes a organizaciones importantes. El mes pasado, Google decidió eliminar las extensiones de criptominado de la Chrome Web Store por los problemas derivados de esta actividad. La historia se repite, según el anuncio de la firma Radware, que habla de 100.000 máquinas infectadas por descargas de siete extensiones maliciosas de Chrome vinculadas al criptominado desde la tienda oficial. Con ello, los ciberdelincuentes habrían obtenido datos de inicio de sesión y otros confidenciales de los usuarios. Una buena parte de ellas se propagaron a través de enlaces falsos enviados a la red social Facebook. Fuente: www.muyseguridad.net Brain Food: Botnet para spam en PHP encontrado en 5.000 servidores Han conseguido comprometer 5.000 servidores con un script malicioso en PHP que ha sumado ordenadores para llevar a cabo campañas de spam a escala, las cuales van redirigiendo a los usuarios hacia páginas web sobre presuntas píldoras para potenciar dietas y mejorar la inteligencia. Fuente: www.bleepingcomputer.com Speculative Store Buffer Bypass: vulnerabilidad en Red Hat y KVM Speculative Store Bypass es una vulnerabilidad de seguridad descubierta recientemente por varios investigadores de seguridad de Google y Microsoft y bautizada por Spectre-NG y parece ser una cuarta variante del error de hardware de Spectre divulgado públicamente a principios de este año en microprocesadores modernos, y luego descubierto para afectar miles de millones de dispositivos. Los investigadores de Google y Microsoft descubrieron el error de forma independiente. Los errores se funcionan de manera similar a los errores Meltdown y Spectre, una razón por la cual se clasificaron como "variante 3a" y "variante 4" en lugar de vulnerabilidades separadas por completo. AMD, ARM, Intel, Microsoft, y Red Hat han publicado avisos de seguridad en el momento de la redacción, con explicaciones de cómo funcionan los errores, junto con los consejos de mitigación. Fuente: access.redhat.com Identifican APT Crouching Yeti, conocido por sus ataques a compañías industriales Kaspersky Lab ha descubierto la infraestructura utilizada por el conocido grupo APT de habla rusa Crouching Yeti, también conocido como Energetic Bear. Numerosos servidores en diferentes países se han visto afectados desde 2016, a veces solo con el fin de obtener acceso a otros recursos. Otros muchos, incluidos aquellos que alojan sitios web rusos, se utilizaron para ataques "watering hole". Crouching Yeti es un grupo de habla rusa de amenazas persistentes avanzadas (APT) al que Kaspersky Lab lleva siguiendo desde 2010. Es muy conocido por dirigirse contra industrias de todo el mundo, con un interés prioritario por las instalaciones de energía, con el objetivo de robar datos valiosos de los sistemas. Una de las técnicas que el grupo utiliza es la de los ataques "watering hole" (los atacantes inyectan en una web un enlace que redirige a los visitantes a un servidor malicioso). Fuente: diarioti.com Ciberdelincuetes roban 15 millones en México A finales de Abril, diversos bancos mexicanos registraron que estaban sufriendo fallas en sus sistemas de pagos y transferencias interbancarios. En este caso, el SPEI (Sistema de Pagos Electrónicos Interbancarios), que es administrado por el Banco de México(Banxico) por ser la institución financiera central del país, fue lo que presentó problemas. El sistema SPEI de México es una red doméstica similar al sistema de mensajería global SWIFT que mueve miles de millones de dólares diariamente. El 27 de abril las transferencias electrónicas de los bancos se volvieron lentas. Siendo viernes y fin de mes, varios mexicanos esperaban el pago de sus salarios por lo que algunos usuarios comenzaron a denunciar las irregularidades. Aunque se cree que fue un intento de ciberataque o una vulnerabilidad en el SPEI lo que causó que miles de trabajadores no recibieran sus pagos, Banxico rechazó la posibilidad. En su lugar acusó a los bancos afectados de ser los responsables del problema, y les ordenó trabajar en un protocolo de contingencia que provocaría retrasos en los movimientos realizados. Este protocolo de contingencia pone las transacciones en manos humanas, por lo que aunque han sido capaces de realizar algunos pagos y de retornar dinero a las cuentas originales de aquellos movimientos que no se completaron, toma una considerable cantidad de tiempo el realizar todo esto. Fuente: www.fayerwayer.com Software malicioso de minería realiza medio millón de ataques en tres días La instalación de un software de minería desde la web, a espaldas de los usuarios, es una tendencia muy en boga. Pero esta semana tomó un giro más agresivo, con un malware denominado WinstarNssmMiner, del cual se han detectado 500.000 ataques en tres días y habría dejado hasta 30.000 dólares en ganancias para los delincuentes en la criptomoneda monero. Fuente: www.criptonoticias.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Descubre las últimas noticias de Seguridad a nivel mundial
Google+: cierra el servicio personal de la red social de Google después de que los datos de miles usuarios quedaran expuestos La batalla perdida contra Facebook ya llegó a su fin. Google anunció que cerrará gran parte de su red social, Google+ meses después de saber que los datos de unos 500.000 usuarios quedaran expuestos. ¿Cómo averiguar todo lo que Google sabe de ti? La compañía dijo que un error en una de sus interfaces para crear aplicaciones había permitido que desarrolladores externos pudieran acceder a información que se creía que era privada."El error permitía que las aplicaciones pudieran acceder a campos del perfil del usuario que no estaban clasificados como públicos", escribió Ben Smith, vicepresidente de Ingeniería de Google, en el blog de la empresa el lunes. "Estos datos se limitan al nombre, la dirección de correo electrónico, la ocupación, el género y la edad, entre otros", agregó Smith. Más información en https://www.bbc.com. Nueva legislación de IoT prohíbe las contraseñas predeterminadas (California) En un intento por hacer más difícil que los bots se apoderen de la gran cantidad de dispositivos conectados que se venden en California, los legisladores estatales aprobaron la ley SB-327. El proyecto de ley se promulgará el 1 de enero de 2020 y se aplica a los fabricantes de dispositivos, ya sea que lo hagan ellos mismos o contraten a otra persona para que fabrique el dispositivo en su nombre. Requiere que los fabricantes de dispositivos conectados a internet vendidos en California "equipen el dispositivo con características de seguridad razonables" Apropiado a su naturaleza y función; Diseñado para proteger el dispositivo y cualquier información que contenga del acceso, la destrucción, el uso, la modificación o la divulgación no autorizados. El proyecto establece que "Si un dispositivo conectado está equipado con un medio de autenticación fuera de una red de área local, se considerará una característica de seguridad razonable, si se cumple alguno de los siguientes requisitos: la contraseña preprogramada debe ser única para cada dispositivo fabricado, o el dispositivo debe contener una función de seguridad que requiera que un usuario genere un nuevo medio de autenticación antes de que se otorgue el acceso al dispositivo por primera vez". Más información en https://www.helpnetsecurity.com. Privacy Badger para evitar el rastreo de Google y FB Privacy Badger acaba de ser presentada por Electronic Frontier Foundation, la organización que está detrás de esta extensión. Su objetivo es ofrecer a los usuarios una mayor protección frente al rastreo en aquellos navegadores donde es compatible. Privacy Badger evita el rastreo en los servicios de Google. Hay que mencionar que hace unos meses, lanzaron una actualización para evitar el rastreo de enlaces de Facebook. Ahora ha hecho algo similar, pero en esta ocasión para los servicios de Google. Ya sabemos que esta compañía cuenta con diferentes plataformas que son muy utilizadas en el día a día de los internautas. Eso sí, hay que tener en cuenta que de momento se trata de una versión inicial y no cubre todos estos servicios. De momento actúa en las búsquedas de Google, Google Hangouts y Google Docs. Como podemos ver no actúa en otros muy usados como Gmail o incluso Google Plus. Eso sí, en un futuro podría evitar también el seguimiento en estos servicios. Ya sabemos que el gigante de las búsquedas utiliza métodos para rastrear a los usuarios a través de sus servicios. Pero al final todo dependerá también del software que utilice el internauta. Existen herramientas, como es el caso de Privacy Badger, que puede evitar esto. Más información en https://www.ghacks.net/ Esto es lo que vale tu cuenta de Facebook tras el ataque de la semana pasada La semana pasada, Facebook, y otras plataformas similares, se vieron afectadas por un grave fallo de seguridad descubierto por piratas informáticos que permitió a estos piratas robar los datos de más de 50 millones de usuarios mediante los tokens de acceso. A diferencia de lo que ocurre cuando la vulnerabilidad la descubren investigadores de seguridad, esta vez los datos han caído en manos de piratas informáticos, por lo que, desde hace varios días, se están vendiendo en la Deep Web al mejor postor, poniendo, una vez más, precio a nuestra privacidad. Tal como muestra el medio Independent, los piratas informáticos tras el hackeo de Facebook ya están haciendo negocio con las cuentas de los 50 millones de usuarios robadas. En la Deep Web ya están a la venta los tokens de las cuentas que permitirían acceder a las cuentas de otras personas, tokens que se pueden comprar por poco más de 3 dólares, aunque hay algunas cuentas más relevantes que tienen un precio algo superior, en torno a los 12 dólares. Para comprarlas debemos pagar utilizando criptomonedas semi-anónimas, como Bitcoin o Bitcoin Cash. Venta tokens Facebook Deep Web. Si estas cuentas se vendieran individualmente, los piratas informáticos podrían hacerse fácilmente con una cantidad de dinero entre 150 millones y 600 millones de dólares, según el precio de los tokens de las cuentas. De todas formas, es probable que ya estén a la venta “packs” de tokens más baratos que rebajarían el valor final del robo. Más información en https://www.redeszone.net/ Actualización de Windows 10 October 2018 Update La actualización Windows 10 October 2018 Update está teniendo algunos efectos inesperados tras aplicarse. Algunos usuarios indican que esta versión ha borrado sus archivos personales durante el proceso de instalación, algo que puede ser muy grave. Nosotros ya te hemos presentado Windows 10 October 2018 Update a fondo, también conocida como versión 1809. Aporta nuevas funciones interesantes, pero parece que también trae fallos, a juzgar por el número de personas que afirman en redes sociales que la actualización ha borrado sus archivos. Surface Pro 6, Laptop 2 y Studio 2, los nuevos PCs de Microsoft. El problema surge cuando actualizamos Windows 10 desde la versión que tengamos en ese momento, no en las instalaciones limpias. Es decir, que los archivos con los que trabajamos estarán en el disco duro, y tras terminar la instalación de la October 2018 Update, todo se puede haber borrado. Windows 10 October 2018 Update ha borrado los archivos de algunos usuarios. Más información en https://www.elgrupoinformatico.com/ FASTCash: el nuevo ataque utilizado para sacar dinero de los cajeros automáticos El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes 'Hidden Cobra' está comprometiendo servidores bancarios. El conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas. ¿Cómo funciona el ataque? Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta. Sin embargo, los ciberdelincuentes consiguieron comprometer estos servidores para que interceptaran la solicitud de transacción y diera una respuesta afirmativa falsa pero legítima, sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros para que escupan la cantidad solicitada sin siquiera notificar al banco. "Según la estimación de un socio de confianza, los componentes de 'Hidden Cobra' han robado decenas de millones de dólares", explican en el informe. Más información en https://unaaldia.hispasec.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
