Noticias de Seguridad a nivel mundial: boletín nº 116
¿Seguridad de Iphone no funciona? nuevo malware ha infectado a más de 500 millones de usuarios Acorde a especialistas en análisis forense informático del Instituto Internacional de Seguridad Cibernética (IICS) un grupo cibercriminal identificado como eGobbler ha estado explotando una vulnerabilidad en Chrome para sistema iOS con el propósito de atacar a los usuarios de dispositivos iPhone con un exploit que les entrega malvertising; se calcula que alrededor de 500 millones de usuarios en todo el mundo han sido infectados. El malvertising es un método de ataque en el que los hackers muestran a los usuarios publicidad de apariencia inofensiva; en realidad estos anuncios contienen código que redirige a las víctimas a sitios web de contenido malicioso, comentan los especialistas en análisis forense informático. Los reportes sobre la campaña de ataques desplegada por eGobbler han concluido que este actor de amenazas ha infectado servidores de publicidad legítima, misma que ha usado para desplegar los anuncios que mostrarán la ventana emergente maliciosa. La carga útil empleada por este grupo de hackers tiene dos funciones: generar dinero con los anuncios mostrados y la capacidad de redirigir al usuario a sitios web fraudulentos donde se intentará extraer sus datos personales o infectar con malware. Continúa navegando en https://noticiasseguridad.com/ Facebook almacenó millones de contraseñas de usuarios de Instagram en texto sin formato A fines del mes pasado, Facebook reveló que "almacenaba erróneamente las contraseñas de cientos de millones de usuarios de Facebook en texto plano", incluidas las contraseñas de "decenas de miles" de sus usuarios de Instagram también. Ahora parece que el incidente es mucho peor de lo que se informó primero. Estas contraseñas de texto plano de millones de usuarios de Instagram, junto con millones de usuarios de Facebook, estaban disponibles para algunos de los ingenieros de Facebook que, según la compañía, "no abusaban de ellas". De acuerdo con la publicación actualizada, Facebook descubrió "registros adicionales de contraseñas de Instagram almacenados en un formato legible", pero agregó que su investigación reveló que "las contraseñas almacenadas nunca fueron abusadas o mal accedidas por ninguno de los empleados". La última revelación llega en menos de un día después de que se reveló que Facebook había almacenado hasta 1,5 millones de usuarios en sus servidores, sin su consentimiento o conocimiento, desde mayo de 2016. Continúa navegando en https://thehackernews.com/ Microsoft es hackeada – hackean cuentas de Outlook y cuentas de empleados Microsoft ha revelado que un grupo de hackers desconocidos ha perpetrado una brecha de datos en algunos de los sistemas de la compañía; acorde a especialistas en cómputo forense del Instituto Internacional de Seguridad Cibernética (IICS), los hackers habrían comprometido las credenciales de inicio de sesión de algunos miembros del equipo de soporte técnico de la compañía, gracias a esto, consiguieron acceder a las cuentas de email de uno de los clientes de Microsoft. Las primeras investigaciones indican que los hackers atacaron la red de la compañía en algún momento entre enero y marzo, poco después de la intrusión los cibercriminales consiguieron acceso a los datos de inicio de sesión del personal de Microsoft. Acorde a los expertos en cómputo forense, la compañía notificó al cliente comprometido sobre la situación, afirmando que: “el acceso no autorizado podría haber permitido que un usuario no autorizado consiguiera acceso a información relacionada con su cuenta de email, como nombres de carpetas, título del email, entre otros datos”. La compañía afirmó también que los atacantes no tienen acceso al contenido de las carpetas, mensajes o archivos adjuntos. Aún se desconoce el número exacto de correos electrónicos a los que los hackers accedieron. Continúa navegando en https://noticiasseguridad.com/ Nueva vulnerabilidad Día Cero en internet explorer permitiría robo de archivos locales Internet Explorer no es precisamente el buscador más popular, y en definitiva este nuevo incidente de seguridad no le ayudará. Acorde a especialistas del curso de informática forense del Instituto Internacional de Seguridad Cibernética (IICS), ha sido descubierta una vulnerabilidad día cero en este buscador que hace que las computadoras con Windows sean vulnerables a los ataques de robo de archivos. Acorde a los reportes, la vulnerabilidad se encuentra en el uso de archivos MHT de Internet Explorer cuando un usuario guarda una página web. La vulnerabilidad está en la apertura de archivos MHT. “Internet Explorer es vulnerable a un ataque de Entidad Externa XML si un usuario abre un archivo .MHT especialmente diseñado. Este inconveniente permitiría a un atacante extraer archivos locales y realizar un reconocimiento remoto de la versión de Program instalada en la máquina comprometida. Por ejemplo, enviar una solicitud c:\Python27\NEWS.txt podría devolver como respuesta información de la versión de ese programa”. Continúa navegando en https://noticiasseguridad.com/ Hackeo en Wipro; los hackers usan los sistemas de la compañía para atacar a sus propios clientes Wipro se encuentra investigando algunos reportes que sugieren que sus sistemas de TI han sido hackeados; es posible que los sistemas comprometidos se estén empleando para lanzar ciberataques contra algunos de los clientes de esta compañía. Los reportes indican que algunos de los clientes de la compañía de servicios de TI detectaron actividades maliciosas de reconocimiento de redes comunicándose directamente a las redes de Wipro. Se estima que al menos diez o doce compañías han sido afectadas. Aunque Wipro tardó un poco en fijar postura respecto a este incidente, finalmente publicó un comunicado mencionando: “Nuestros procesos internos son en verdad sólidos y nuestros sistemas de seguridad son los más avanzados para prevenir y detectar diversos intentos de ciberataques”. Acorde a los especialistas en análisis forense informático, el ataque se habría originado en el servidor de correo electrónico de la compañía, por lo que Wipro ya prepara una nueva red email de uso privado. Por el momento, los usuarios potencialmente afectados están siendo informados de la situación. Portavoces de la compañía han mantenido comunicación sobre las actualizaciones más recientes sobre este incidente: “Derivado de una compleja campaña de phishing, hemos detectado actividad anómala en las cuentas de algunos empleados en nuestra red interna”. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 112
Simbad: el phishing se cuela en los simuladores de Google Play Gmail, de Google, es uno de los principales servicios que usan este método de inicio de sesión, 206 aplicaciones y más de 150 millones de descargas. Este es el alcance de SimBad, una nueva campaña de adware que según investigadores de Mobile Threat de CheckPoint está haciendo estragos en la Google Play Store. Como ha explicado la compañía de seguridad, la mayoría de las aplicaciones afectadas son simuladores de juego (de ahí SimBad) y en su configuración más "sencilla" muestra en el terminal del usuario infectado innumerables anuncios (adware) fuera de la aplicación, que ralentizan y llegan a volver inutilizable cualquier teléfono móvil. No es este el único problema. Una vez instaladas, puede resultar complicado eliminar las aplicaciones afectadas del terminal. Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicaciones. Más información en https://www.muyseguridad.net/. Hackers están comprometiendo cuentas de Office 365 y G Suite usando protocolo Imap Acorde a especialistas en ciberseguridad, en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética, los hackers maliciosos están mostrando especial interés en el abuso de protocolos legítimos para incrementar la frecuencia y efectividad de los ataques de fuerza bruta. La conducta abusiva se ha enfocado principalmente en el protocolo IMAP (Protocolo de Acceso a Mensajes de Internet), que se encarga de pasar por alto la autenticación multi factor y las opciones de bloqueo para inicios de sesión sin éxito. Según el hacker ético, esta nueva campaña de ataques de fuerza bruta plantea un enfoque diferente para desplegar el ataque que utiliza la combinación de los nombres de usuario y contraseña. Gracias a un análisis realizado a una muestra de más de 100 mil inicios de sesión no autorizados en distintas plataformas, los investigadores llegaron a conclusiones como: El 70% de los usuarios han sido atacados por hackers maliciosos al menos una vez. Al menos el 40% de los usuarios tienen una de sus cuentas en línea comprometida. 15 de cada 10 mil cuentas de usuario activas han sido comprometidas con éxito. El principal objetivo de los hackers es desplegar campañas de phishing interno para generar persistencia en los sistemas de la organización atacada. El phishing interno es mucho más difícil de detectar que el externo, mencionó el experto en hacking ético. Los hackers tratarán de conseguir acceso de inicio de sesión a las cuentas en la nube de las víctimas, además dependerán de la campaña de phishing interno para propagar la infección de los sistemas. Más información en https://noticiasseguridad.com/seguridad-informatica/. Descubierta una vulnerabilidad en LTE que permite espiar llamadas Malas noticias para los usuarios de redes LTE. Tal y como publican varios medios, un grupo de investigadores de Corea del Sur, acaba de hacer público un informe en el que se identifican nada menos que 36 nuevas vulnerabilidades, en uno de los protocolos de comunicaciones inalámbricas más utilizados del mundo. Entre las reportadas, destacan algunas que permiten “manipular” antenas móviles, traduciéndose en la posibilidad de bloquear llamadas entrantes en un dispositivo, desconectar a usuarios de una red determinada, mandar SMS con malware a los usuarios que se conecten a la antena, e incluso, escuchar conversaciones privadas. No es esta la primera vez sin embargo, que un grupo de investigadores descubre vulnerabilidades de este calado en el protocolo de comunicaciones LTE. Como indican en ZDNET, se han reportado problemas similares en 2015, 2016, 2017 y 2018. ¿Por qué no se han subsanado? Básicamente por que aunque es cierto que algunas se han parcheado, la mayor parte de los esfuerzos se han centrado en el desarrollo y puesta en marcha del nuevo protocolo 5G, que nace de cero para entre otras muchas cosas, acabar con los problemas de seguridad (sin mucho éxito de momento). Para descubrir los problemas de lo que ya parece ser un protocolo más que vulnerable, los investigadores utilizaron el “fuzzing“, una técnica que consiste en inyectar una gran cantidad de datos aleatorios en una aplicación y analizar el output que produce para tratar de identificar anomalías que, en realidad, podrían ser bugs. Más información en https://www.muyseguridad.net/. Glitchpos, el malware que roba números de tarjetas de crédito de puntos de venta Especialistas en ciberseguridad en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva variante de malware diseñada para interceptar números de tarjetas de pago; el malware ha estado circulando por algunos foros de hackers maliciosos. El malware, conocido como GlitchPOS, está disponible para su compra en algunos foros de hacking alojados en dark web. Este software malicioso fue detectado por primera vez en febrero y el número de hackers que lo han comprado o usado aún es desconocido. Acorde a los investigadores, este malware cuenta con un diseño funcional y es muy fácil de utilizar; “no se requieren conocimientos avanzados de hacking para ejecutar GlitchPOS”. Los atacantes han estado desplegando el malware a través de un email malicioso, disfrazándolo como un videojuego muy simple. El malware está protegido por un packer desarrollado en VisualBasic, mismo que descifra una biblioteca (la carga útil del malware) cifrada con el packer UPX. “Cuando se descifra la carga útil, se ejecuta GlitchPOS, que captura la memoria del sistema de punto de venta”. Más información en https://noticiasseguridad.com/ Ransomware piewdiepie: archivos encriptados hasta que el youtuber alcance los 100 millones de suscriptores Los suscriptores al canal de YouTube de PewDiePie han decidido tomar medidas drásticas para que el famoso creador de contenido se consolide como el usuario con más suscriptores de la plataforma de vídeos, mencionan expertos de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética. Según se ha reportado, algún usuario desconocido desarrolló una variante de ransomware que cifra los archivos de las víctimas y sólo serán descifrados cuando el creador de contenido alcance los 100 millones de suscriptores. Acorde a los instructores de la escuela de hackers éticos la herramienta en cuestión, conocida como PewCrypt, es un ransomware basado en Java que ha cifrado miles de archivos. Aunque esta no es la peor parte; en diciembre pasado fue descubierta una nueva variante de ransomware relacionado con esta campaña, sólo que en esta ocasión el software maligno bloquea los archivos y no cuenta con un modo de recuperación, por lo que las víctimas pierden su información para siempre. Conocido como el ransomware PewDiePie, esta es una versión modificada y mal escrita del popular ransomware ShellLocker, reportan los expertos de la escuela de hackers éticos. El ransomware PewDiePie nunca almacena las claves de cifrado de las víctimas, por lo que los archivos comprometidos permanecerán bloqueados para siempre. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 72 Noticias Seguridad en Comunidad Movistar Empresas
El 26% de las empresas han sufrido robos de datos en la nube El hecho de que las tecnologías relacionadas con la nube estén cada vez más presentes en las empresas hacen que estas sean más atractivas para los cibercriminales. El 83% de las organizaciones reconoció que tuvieron al menos un incidente, siendo los más frecuentes las filtraciones de datos, que acapararon el 30%; el robo de datos de aplicaciones implementadas en la nube, que acaparó el 26%; un control incompleto sobre el acceso a los datos sensibles con un 25%; estructuras IT en la sombra que suministraban aplicaciones desde fuera del campo visible de la estructura legítima de la empresa, que acapararon un 23%; y otro 23% que reconoció la falta de profesionales especializados en la gestión de la seguridad de las aplicaciones en la nube. A todo esto se suma que alrededor del 20% de las empresas ha recibido un ataque avanzado contra sus infraestructuras cloud. Fuente: www.muyseguridad.net. Exfiltran datos a través de la red eléctrica Se trata de investigadores de la Ben-Gurion University of the Negev (BGU) en Israel que desde hace año trabajan en técnicas para atacar redes Air-Gapped. Ahora han encontrado una fórmula para extraer datos de equipos sin conexión a Internet, únicamente utilizando el cableado eléctrico. Aseguran que podría usarse de forma encubierta para robar datos de los usuarios. Sin embargo, como informan desde The Hacker News, los ciberdelincuentes podrían realizar ataques dirigidos. Podrían infiltrarse en los equipos sin conexión a Internet utilizando para ello la ingeniería social, ataques a la cadena de suministro o personas internas. Pero también mediante una técnica que han denominado como PowerHammer. El equipo ha probado con éxito un malware que puede extraer datos en los ordenadores a través de la línea eléctrica. La técnica de PowerHammer consiste en infectar un equipo alterando, de manera intencional, el uso de la CPU. Un ataque de este tipo produciría una variación en el consumo de energía. Al alterar los niveles de consumo, el malware PowerHammer puede codificar datos binarios del ordenador de la víctima en el patrón de consumo de energía. Fuente: www.thehackernews. Hackers podrían hackear cisco webex con un archivo flash malicioso Cisco ha emitido un parche crítico para corregir una vulnerabilidad grave (CVE-2018-0112) en su software WebEx que podría ser explotada por atacantes remotos para ejecutar código arbitrario en máquinas objetivo mediante archivos Flash armados, los expertos en seguridad informática dijeron que debe instalar el parche tan pronto como sea posible. La vulnerabilidad afecta tanto a las versiones de cliente y servidor de WebEx Business Suite o WebEx Meetings. Cisco insta a sus usuarios a actualizar su software para solucionar el problema. “Una vulnerabilidad en los clientes de Cisco WebEx Business Suite, Cisco WebEx Meetings y Cisco WebEx Meetings Server podría permitir que un atacante autenticado y remoto ejecutara código arbitrario en un sistema específico”, dice el aviso de seguridad publicado por Cisco. “La vulnerabilidad se debe a una validación de entrada insuficiente por parte de los clientes de Cisco WebEx. Un atacante podría aprovechar esta vulnerabilidad al proporcionar a los asistentes a la reunión un archivo Flash malicioso (.swf) a través de las capacidades de intercambio de archivos del cliente. Fuente: noticiasseguridad.com. Los pagos móviles podrían no ser tan seguros como piensas, y estas son las pruebas Pagar con el móvil nos parece algo extremadamente cómodo, aunque si te soy sincero, voy a preferir pagar siempre con dinero en metálico, salvo para casos imprescindibles, o para situaciones en las que voy con prisa, porque, al fin y al cabo, un cargo a tu tarjeta indica dónde estás o has estado, y convertir esto en un hábito hace que se pueda saber tu localización en casi todo momento. Lo cierto es que, más allá de esto, parece ser que los pagos móviles podrían ser menos seguros de lo que parecen, tal y como explica el profesor Zhe Zhou, de la Universidad Fudan (China) en The Register. Y es que, dio una charla hace poco hablando sobre el tema, que es bastante esclarecedora. En ella el profesor explicó un poco el funcionamiento de estos pagos móviles, los cuales, por si no lo sabías, funcionan igual. Al introducir tu tarjeta en la aplicación se genera un número identificativo de la misma, llamado token, el cual, pasa a manos del banco junto con el cargo que se hará a nuestra cuenta. Fuente: andro4all. Hackers realizan espionaje corporativo instalando malware en máquinas de rayos X y otros sistemas médicos Los investigadores de seguridad informática de la firma Symantec han descubierto un nuevo grupo de hackers que se dirige de forma agresiva a las empresas y organizaciones de salud con el fin de realizar espionaje corporativo. Llamado Orangeworm, este grupo carga malware en dispositivos que alojan software empleado para controlar máquinas de rayos X, Resonancia Magnética Nuclear (RMN), así como también dispositivos utilizados para ayudar a los pacientes a completar los formularios de consentimiento para procedimientos médicos. El informe de 11 páginas publicado por Symantec, revela que Orangeworm ha estado operando desde el año 2015 y su objetivo principal son las corporaciones internacionales con sede en Europa, Asia y Estados Unidos, enfocadas principalmente en el sector médico. Fuente: www.tekcrispy.com CCleaner con una puerta trasera afectó a 2,27 millones de usuarios El año pasado se detectó que CCleaner, la conocida herramienta de limpieza, tenía una puerta trasera en las versiones 5.33.6162 y Cloud 1.07.3191 para Windows que permitía al grupo de delincuentes que la desarrolló instalar en el sistema de la víctima malware, keyloggers y ransomware. Según ha explicado en la conferencia RSA Ondrej Vlcek, Director de Tecnología y vicepresidente ejecutivo de Avast, los hackers consiguieron infiltrarse en la red de la empresa cinco meses antes de reemplazar la versión legítima de la aplicación por la que contenía la puerta trasera, además de haber infectado a un total de 2,27 millones de usuarios mediante actualización o instalación limpia de CCleaner. Los atacantes habrían reutilizado las credenciales de TeamViewer del desarrollador obtenidas mediante brechas de datos para acceder a su estación de trabajo, consiguiendo instalar malware mediante VBScript. Al día siguiente, utilizando el ordenador ya infectado, lograron introducirse en un segundo equipo desatendido conectado a la misma red para abrir una puerta trasera a través del Protocolo de Escritorio Remoto (RDP) de Windows, soltando luego los atacantes un binario y una carga maliciosa sobre el registro de la computadora objetivo. Los atacantes prepararon entre abril y julio de 2017 la versión maliciosa de CCleaner, además de intentar colarse en más computadoras pertenecientes a la red de Piriform mediante la instalación de un keylogger en sistemas ya comprometidos para robar credenciales y luego acceder con privilegios de administrador mediante RPD. Fuente: www.thehackernews. Vulnerabilidad en la función autocompletar de LinkedIn podría poner en peligro los datos de los usuarios Vulnerabilidad descubierta en la funcionalidad autocompletar de Linkedin permite el robo de datos. Esta funcionalidad proporciona que otros sitios web puedan permitir que los usuarios de LinkedIn puedan completar rápidamente los datos del perfil, incluyendo información sensible como nombre completo, número de teléfono, dirección de correo electrónico, código postal, empresa...etc en un solo clic. Recientemente el investigador de seguridad Jack Cable de 'Lightning Security' descubrió que podía no ser así, ya que, esta funcionalidad estaba plagadas de vulnerabilidades que permitiría a cualquier sitio web obtener los datos del perfil del usuario sin que el usuario se diera cuenta. Más información en: unaaldia Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 121
Posible clonación de las tarjetas de crédito y débito que han usado para comprar vuelos de Air Europa Distintos bancos han empezado a alertar a sus clientes de la posible clonación de las tarjetas de crédito y débito que han usado para comprar vuelos de Air Europa, por lo que les han instado a bloquearlas y a revisar sus cuentas para comprobar que no tienen ningún cargo sospechoso en los últimos meses. Según han explicado los clientes, hoy mismo les ha llegado un sms alertando del problema de seguridad que puede haber dejado al descubierto los datos de sus tarjetas, que han podido ser duplicadas. Una de estas entidades es Colonya Caixa Pollença, que ha remitido entre los posibles afectados el siguiente mensaje: "Su tarjeta está afectada por un compromiso de seguridad de un comercio ajeno a Colonya. Contacte con su sucursal para bloquear la citada tarjeta". Así, además de ofrecer la posibilidad de bloquear las tarjetas afectadas, los bancos han pedido a sus usuarios que comprueben sus cuentas vinculadas a estas tarjetas para ver si detectan algún cargo irregular. Continúa navegando en https://www.ttcs.es/. Ciberdelincuencia: no use jamás los cargadores USB del aeropuerto Las estaciones de carga de energía USB en los aeropuertos pueden ser una salvación para el viajero con la batería del móvil acabada. Sin embargo, también son muy peligrosos. Los ciberdelincuentes modifican esas conexiones USB para instalar malware en tu teléfono o descargar datos sin su conocimiento, indica Forbes. “Conectarse a un puerto USB público es como encontrar un cepillo de dientes al costado de la carretera y usarlo”, señala Caleb Barlow, vicepresidente de X-Force Threat Intelligence en IBM Security al medio. "Y recuerde que ese puerto USB puede pasar datos", agrega. Por eso, lo más seguro es usar su propio cargador y enchufarlo a un tomacorriente de pared. En cambio, si aún decides usar el puerto USB público, se recomienda invertir en una herramienta de protección. Esta sería una pequeña mochila llamada Juice-Jack Defender y se coloca delante del cable de carga. Su función es bloquear cualquier información que pase por el cable y solo dejar pasar la energía. Continúa navegando en https://gestion.pe/. Encuentra los detalles de cualquier número móvil, id de email, o dirección ip del mundo OSINT (Open Source Intelligence) es una forma de recopilar datos de fuentes públicas. Hay muchas herramientas y técnicas que son capaces de recopilar información de fuentes públicas que forman parte del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS); acorde a los especialistas, antes de atacar, es necesario recopilar información sobre el objetivo, como reunir dominios, subdominios, puertos abiertos, servicios, etc. Acorde a especialistas del curso de ethical hacking del IICS, se han utilizado distintos motores de búsqueda, como Shodan, Censys, etc.. Continúa navegando en https://noticiasseguridad.com/tutoriales/. Los hackers robaron las tarjetas de crédito de los clientes de 103 Checkers y Rally's Restaurants Si ha pasado su tarjeta de pago en las populares cadenas de restaurantes Drive-Rally y Rally's drive-through en los últimos 2 a 3 años, debe solicitar de inmediato a su banco que bloquee su tarjeta y notificarla si observa alguna transacción sospechosa. Checkers, una de las mayores cadenas de restaurantes de autoservicio en los Estados Unidos, reveló ayer una violación masiva de datos de larga duración que afectó a un número desconocido de clientes en 103 de sus ubicaciones de Checkers y Rally, casi el 15% de sus restaurantes. Los restaurantes afectados residen en 20 estados, incluidos Florida, California, Michigan, Nueva York, Nevada, Nueva Jersey, Florida, Georgia, Ohio, Illinois, Indiana, Delaware, Kentucky, Louisiana, Alabama, Carolina del Norte, Pennsylvania, Tennessee, Virginia Occidental y Virginia. Después de conocer un "problema de seguridad de datos relacionado con el malware" en algunas ubicaciones de Checkers y Rally, la compañía inició una extensa investigación que reveló que piratas informáticos desconocidos lograron plantar malware en sus sistemas de punto de venta (PoS) en 103 tiendas. Continúa navegando en https://thehackernews.com/. Brecha de datos en banco Westpac; casi 100 mil usuarios afectados Datos personales pertenecientes a casi 100 mil usuarios de bancos australianos se encuentran expuestos debido a un ciberataque contra PayID, una plataforma de pagos en línea en tiempo real del banco australiano Westpac. Acorde a especialistas en seguridad de aplicaciones web, este ataque permitió a los hackers la transferencia instantánea de dinero entre múltiples bancos mediante un número de teléfono móvil y una dirección email. El ataque, que afecta a los clientes de Westpac y de otros bancos australianos ha disparado las alertas entre la comunidad de la ciberseguridad, que considera que la información comprometida podría terminar siendo usada para diversos fraudes de identidad. Aunque muchos ciudadanos australianos lo ignoran, PayID funciona como una guía telefónica, permitiendo que cualquier persona introduzca un número telefónico o dirección email para confirmar el nombre del titular de una cuenta. Los expertos en seguridad de aplicaciones web mencionan que esto permite el llamado “ataque de enumeración”, por lo que los números se pueden cambiar al azar para encontrar los nombres y los teléfonos móviles de miles de personas. “Cualquier actor de amenazas con alcance a estos detalles personales podría desplegar una campaña de ataque de gran alcance”, añadieron los expertos. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 118
Vulnerabilidad en WhatsApp permite instalar spyware en teléfonos con solo realizar una llamada WhatsApp reveló la existencia de una vulnerabilidad crítica en la aplicación que permite instalar el conocido spyware Pegasus en dispositivos Android e iOS con solo realizar una llamada al número de teléfono que se busca comprometer. La vulnerabilidad ya fue reparada y la compañía lanzó un parche con la última actualización. De acuerdo a la información revelada el 13 de mayo, Facebook, propietario de WhatsApp, anunció oficialmente la existencia de una vulnerabilidad (CVE-2019-3568) de buffer overflow (o desbordamiento de búfer) en WhatsApp VOIP que permiten la ejecución remota de código en el dispositivo de la víctima cuando se logra enviarle al número de teléfono elegido como blanco de ataque paquetes de SRTP especialmente diseñados. En este sentido, para explotar el fallo el atacante solo necesita llamar a un dispositivo vulnerable. Además, la víctima ni siquiera necesita aceptar la llamada para que su equipo sea comprometido e incluso la llamada desaparece del registro, explicó Financial Times. Continúa navegando en https://www.welivesecurity.com/. 50.000 empresas que ejecutan software de SAP vulnerables a ataques Los investigadores afirman que hasta 50.000 empresas que han adoptado soluciones SAP pueden ser susceptibles a ataques cibernéticos debido a nuevas vulnerabilidades que apuntan a fallas de configuración en el software. Según el equipo de seguridad cibernética de los laboratorios de investigación Onapsis, los ataques denominados 10KBlaze que apuntan a dos componentes técnicos del software SAP se han lanzado recientemente y pueden llevar al "compromiso total" de las aplicaciones SAP. Las herramientas "10KBlaze" también podrían usarse para crear nuevos usuarios con privilegios arbitrarios, para realizar funciones comerciales como crear nuevos proveedores o pedidos de compra, en otras palabras, cometer fraude financiero y obtener acceso a las bases de datos de SAP o interrumpir operaciones de negocios. Sin ninguna forma de autenticación, los atacantes remotos solo necesitan algunos conocimientos técnicos y conectividad de red al sistema vulnerable para realizar un ataque. Todos los sistemas SAP NetWeaver Application Server (AS) y S / 4HANA, ya que utilizan una Lista de control de acceso en Gateway y un Servidor de mensajes, pueden estar en riesgo. Continúa navegando en https://www.zdnet.com/article/. Hackers están explotando vulnerabilidad en Microsoft Sharepoint Una auditoría de seguridad informática reveló que actores de amenazas están explotando activamente una vulnerabilidad de ejecución remota de código en algunas versiones de SharePoint Server para instalar la herramienta de hacking conocida como The China Copper. A pesar de que la vulnerabilidad ya había sido corregida, no todas las implementaciones de SharePoint habían sido actualizadas. La vulnerabilidad, identificada como CVE-2019-0604, afecta a todas las versiones desde SharePoint 2010 hasta SharePoint 2019; Microsoft corrigió la falla en febrero y lanzó parches de actualización en marzo y abril. “Después de la auditoría de seguridad informática descubrimos que un hacker que trate de explotar esta vulnerabilidad podría ejecutar código arbitrario en el grupo de aplicaciones de SharePoint”, mencionaron los especialistas. Según los reportes, para explotar esta vulnerabilidad un atacante necesita de un paquete de aplicaciones de SharePoint especialmente diseñado. Para explotar esta vulnerabilidad, los actores de amenazas emplearon la herramienta de hacking The China Chopper para acceder de forma remota a los servidores comprometidos para enviar comandos y administrar archivos en los servidores de las víctimas. Continúa navegando en https://noticiasseguridad.com/vulnerabilidades/. Morpheus, el procesador “imposible de hackear” Expertos del diplomado en seguridad en redes del IICS reportan el lanzamiento de una nueva arquitectura de procesador de computadora que podría redefinir la forma en la que un sistema se defiende contra las amenazas cibernéticas, dejando en el pasado el modelo de trabajo de actualizaciones y correcciones periódicas. Este nuevo chip, llamado Morpheus, bloquea potenciales ciber ataques empleando cifrado y organizando aleatoriamente los bits clave de su propio código unas 20 veces por segundo, sobrepasando por mucho la velocidad de cualquier hacker o herramienta de hacking conocida. “El enfoque actual para corregir fallas de seguridad ya debería ser considerado obsoleto”, mencionan los especialistas del diplomado en seguridad en redes. “Nuevo código es desarrollado día a día, mientras esto siga sucediendo, siempre habrá nuevas fallas y vulnerabilidades”, añadieron. Con Morpheus, aunque los hackers descubran vulnerabilidades, la información necesaria para explotar estas fallas habrá desaparecido del sistema objetivo en cuestión de segundos. El primer prototipo de este procesador se defendió de forma exitosa contra todas las variantes de ataque de flujo conocidas; esta es una de las técnicas de ciberataque más peligrosas y utilizadas por los hackers. Esta tecnología podría usarse para múltiples propósitos, desde laptops, PCs de escritorio e incluso dispositivos de Internet de las Cosas (IoT), que requieren de más y mejores medidas de seguridad cada día. Continúa navegando en https://noticiasseguridad.com/ Filtración de código fuente confidencial de Samsung Una auditoría de seguridad informática ha revelado que una gran cantidad de información confidencial se ha expuesto al público de forma indebida en GitLab; acorde a los expertos, entre la información comprometida se encuentran código fuente, credenciales de acceso y claves confidenciales para varios proyectos privados. Una de las implementaciones comprometidas ha sido usada por personal de Samsung para trabajar en el código de algunos proyectos de la compañía, como Samsung SmartThings. Después de la auditoría de seguridad informática, se descubrieron decenas de proyectos de codificación interna de Samsung expuestos en GitLab debido a una configuración de seguridad errónea (no estaban protegidos con contraseña). Esto quiere decir que cualquiera podía acceder a ellos e incluso descargar el código fuente de SmartThings, la plataforma para smarthome desarrollada por Samsung y los certificados privados para la implementación de SmartThings en iOS y Android. Acorde a los expertos, muchas de las carpetas expuestas almacenaban registros y datos analíticos para los servicios de SmartThings y Bixby de Samsung, al igual que los tokens privados de GitLab de varios empleados almacenados en texto simple. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 125
Un problema en WhatsApp no deja descargar fotos, vídeos ni audios WhatsApp ha sufrido un nuevo error e impide la descarga de fotos, vídeos y mensajes de voz. Por el momento, el envío de mensajes de texto funciona con normalidad, pero no así la descarga de contenido multimedia, que se está viendo afectada en diferentes partes del mundo. El error no solo afecta a la app de mensajería, sino que se extienda también al resto de plataformas bajo la tutela de Zuckerberg. Así, se han detectado fallos en la carga de imágenes en Facebook, mientras que en Instagram la caída no es general ya que hay usuarios que disfrutan de la app con normalidad, mientras otros no pueden visualizar imágenes ni stories. Ser la aplicación de mensajería más usada de todo el mundo y contar con más de 1.500 millones de usuarios, no te exime de los errores. Tras experimentar una caída recientemente a nivel general, ahora WhatsApp impide la descarga de contenido multimedia, ya sean fotografías, vídeos o mensajes de texto. Continúa navegando en https://www.xatakamovil.com/. Hackers pueden atacar bancos con esta falla en Microsoft Excel Acorde a especialistas en auditorías de seguridad informática existe una característica de Microsoft Excel llamada Power Query que podría ser usada por actores de amenazas para inyectar malware en sistemas remotos. Los expertos de la firma Mimecast Threat Center describieron la forma en la que la vulnerabilidad podría ser explotada a través de una prueba de concepto. Power Query permite a los usuarios de Excel incrustar fuentes de datos externas en hojas de cálculo del servicio de Office. La firma de seguridad planteó un método de ataque para lanzar un ataque remoto DDE (intercambio dinámico de datos) en contra de una hoja de cálculo para entregar una carga útil maliciosa y controlarla a través de la función comprometida. Acorde a los especialistas en auditorías de seguridad informática, Power Query también podría servir para lanzar ataques complejos y difíciles de detectar combinando varios vectores vulnerables. Explotando esta característica, los hackers podrían adjuntar software malicioso en una fuente de datos externa a Excel y cargar el contenido en la hoja de cálculo cuando el usuario la abre. Los expertos mencionan que Microsoft colaboró con ellos en el proceso de divulgación de la falla. Continúa navegando en https://noticiasseguridad.com/. El gobierno de E.U. en contra del cifrado completo en Whatsapp y Facebook A pesar de que el cifrado en los dispositivos inteligentes que empleamos a diario se ha convertido casi en un estándar de seguridad para toda la industria, especialistas en seguridad de aplicaciones web afirman que muchos gobiernos no aprueban del todo esta medida de protección para los usuarios de tecnología. El cifrado de extremo a extremo, presente en servicios como Facebook Messenger y WhatsApp, garantiza que nadie más que el remitente y el destinatario de un mensaje puedan acceder al contenido de la conversación, dejando de lado a los hackers, la policía y a las compañías que prestan el servicio. Recientes reportes afirman que un grupo de altos funcionarios del gobierno de E.U. planean un intento de prohibición de este cifrado. Los reportes de los especialistas en seguridad de aplicaciones web mencionan que un grupo de reconocidos funcionarios de la administración de Donald Trump han acordado impulsar una prohibición. Continúa navegando en https://noticiasseguridad.com/. Miles de personas infectadas con virus en páginas de Facebook Un equipo de especialistas en seguridad en páginas web detectó y expuso una campaña que, aprovechándose de noticias relacionadas con Libia, comenzaron a desplegar decenas de sitios y perfiles de Facebook falsos para distribuir malware durante los últimos cinco años. Los enlaces utilizados por los atacantes redirigían a las víctimas a sitios cargados con malware para equipos Android y Windows; uno de los principales vectores de ataque era el uso de un falso perfil de Facebook supuestamente operado por el mariscal de campo Khalifa Haftar, comandante del Ejército Nacional de Libia. Este perfil falso fue creado a principios del mes de abril y contaba con más de 11 mil seguidores, publicando contenido relacionado con campañas militares y teorías de conspiración que acusaban a países como Turquía de espionaje contra Libia. Entre otras cosas, las publicaciones de este perfil también ofrecían una supuesta app que la gente de Libia podría emplear para encontrar información de ingreso al ejército del país. Expertos en seguridad en páginas web de la firma de seguridad Check Point informaron que la mayoría de estos enlaces redirigían al usuario a sitios y aplicaciones identificadas anteriormente como contenido malicioso. Los atacantes infectaban al usuario con diversas herramientas de administración remota como Houdina, Remcos y SpyNote; la mayoría de estas se almacenan en servicios de hosting como Google Drive y Dropbox. Continúa navegando en https://noticiasseguridad.com/ El análisis "post-morten" del apagón de Google el día 2 de junio de 2019 demuestra la gran dependencia que tenemos de la nube El domingo 2 de junio, durante 4 horas y 25 minutos, millones de personas en todo el mundo no pudieron acceder a Gmail, Youtube, SnapChat o incluso Google Cloud (del cual de sus servicios de computación en la nube dependen miles de clientes) provocando un impacto casi incalculable a diversas empresas y servicios. Esas más de 4 horas sólo fueron el tiempo contabilizado por Google, pero se extendió durante prácticamente todo el día y la noche, ya que los ingenieros tuvieron que deshacer todas las múltiples nuevas rutas que configuraron para poder mantener el servicio funcionando mientras reparaban el problema. Dejando aparte la terrible sensación de inquietud que nos deja la dependencia absoluta que tenemos de los servicios en la nube, la causa de este apagón no fue un ataque, sino como suele ocurrir en muchos otros accidentes, un cúmulo de errores e imprevistos en cadena. Sobre las 2:45 am del domingo 2 de junio, se ejecutó una simple y habitual tarea de mantenimiento que en principio no tenía nada de especial. Para no dejar sin servicio a esa zona geográfica que se va a recibir dicho mantenimiento, los datos y los trabajos pendientes se enrutan hacia otras regiones para no afectar a los usuarios. De repente, muchos de los clientes de estos servicios de Google detectaron varios problemas como alta latencia y errores de conexión en instancias ubicadas en las zonas us-central1, us-east1, us-east4, us-west2, northamerica-northeast1 y southameria-east1. Continúa navegando en https://www.flu-project.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 82 Noticias Seguridad en Comunidad Movistar Empresas
Facebook vuelve a filtrar datos de 120 millones de usuarios Una nueva aplicación vuelve a poner a Facebook en el centro de las críticas respecto al mal uso de los datos de sus usuarios. Los que tienen un perfil hace una década podrán recordar el furor que fueron los tests de personalidad, en donde el usuario respondía unas preguntas y a cambio la plataforma te decía a qué jugador de fútbol te parecías o qué princesa de Disney eras. Esta última es la que llamó la atención de Inti De Cukelaire, un experto en seguridad informática que expuso como la aplicación NameTests.com filtró datos de sus usuarios durante años con la vista gorda de la red social. La plataforma acumulaba información de más de 120 millones de usuarios cada mes y, desde hace dos años, permitía que cualquiera pueda tener acceso a la información de los que iniciaron el test. Apenas se abría el test, la app era capaz de hacer un barrido de la información privada, se hubieran dados permisos o no. De nuevo, los usuarios de la app tendrán que volver a autorizar a la aplicación para poder seguir usándola, indicó la red social en una publicación. El experto en seguridad informática que descubrió la falla creó un video explicando cómo funcionaba el error. Hasta el momento no hay evidencia que permita asegurar si la información expuesta por Nametests fue utilizada por otros y cuantá gente ya lo había descubierto al error. Como si fuera poco Facebook ha revelado el pasado fin de semana que ha tenido asociaciones con 52 organizaciones con las que ha compartido datos, posiblemente sin el consentimiento de los usuarios. Fuente: www.businessinsider.es Los ataques de criptomonedas se disparan, hackers roban $761 millones en seis meses CipherTrace, firma de seguridad informática y pruebas de penetración, menciona que la suma de criptomoneda robada y utilizada en el lavado de dinero en la primera mitad de 2018 ya supera en tres veces la cantidad robada durante todo el 2017. La compañía presume haber encontrado que 761 millones de dólares han sido lavados desde inicios de 2018 a partir del robo de criptomoneda. La cifra representa un ascenso escandaloso en comparación con los 266 millones de dólares robados en todo el 2017. Expertos en pruebas de penetración del Instituto Internacional de Seguridad Informática mencionan que quienes realizan operaciones con criptomoneda se han vuelto víctimas predilectas de los hackers; dado que es prácticamente imposible proteger sus activos virtuales, es relativamente fácil que sean susceptibles de ataques. Fuente: noticiasseguridad.com Polar, monitor fitness finlandés, acusado de filtrar datos sobre el personal militar Polar, un gadget de monitoreo de ejercicios se une a una larga lista de dispositivos que presuntamente filtrarían información de sus usuarios por fallas de seguridad, afirma el Instituto Internacional de Seguridad Cibernética. Polar no sólo hace que sea relativamente fácil ver las sesiones de entrenamiento de personas específicas, sino que también puede mostrar todos los ejercicios que ha realizado una persona desde 2014. Los especialistas en seguridad informática ilustraron lo insegura que es la app al mostrar un mapa que muestra los ejercicios de los militares en una base militar en Malí, África Occidental. Agregaron que también es posible identificar individualmente a las personas en la interfaz de Polar, encontrando sus nombres completos y varios perfiles de redes sociales, así como localizar sus direcciones de casa. Los investigadores demostraron ser capaces también de encontrar en el sitio web de Polar registros de personas que se ejercitan en más de 20 sitios sensibles (como hogares o instalaciones militares), reuniendo una lista de casi 6 mil 500 usuarios únicos, que marcaban los lugares donde trabajan, viven y salen de vacaciones. Fuente: noticiasseguridad. Backswap: malware bancario que utiliza método ingenioso para vaciar cuentas A lo largo de los últimos años, los malware bancarios (también conocidos como “bankers”) han visto disminuida su popularidad entre los cibercriminales. Una de las razones para explicar esta realidad puede deberse a que tanto las compañías desarrolladoras de soluciones de seguridad, como los desarrolladores de navegadores, están continuamente ampliando el campo de acción de sus mecanismos de protección contra ataques de troyanos bancarios. Esto hizo que los fraudes mediante malware bancarios sean más difíciles de realizar, lo que trajo como resultado que los creadores de estos códigos maliciosos se enfocaran más en el desarrollo de otros tipos de malware más rentables y fáciles de desarrollar, como ransomware, mineros de criptomonedas o códigos maliciosos para robar criptomonedas. Sin embargo, recientemente descubrimos una nueva familia de malware bancario que utiliza una técnica innovadora para manipular el navegador: en lugar de usar métodos complejos de inyección de procesos para monitorear la actividad del navegador, el malware coloca hooks para interceptar eventos específicos del bucle de mensajes de Windows, de tal modo que pueda inspeccionar los valores de las ventanas en busca de actividades bancarias. Una vez que la actividad bancaria es detectada, el malware inyecta un JavaScript malicioso en el sitio web, ya sea a través de la consola JavaScipt del navegador o directamente en la barra de dirección. Todas estas operaciones son realizadas sin que el usuario se entere. Si bien se trata de un truco aparentemente sencillo. Fuente: welivesecurity. Algunos móviles de Samsung envían fotos privadas sin permiso por SMS Con la privacidad adquiriendo una importancia creciente parece que los usuarios empezamos a tomárnosla en serio. Permisos extraños, aplicaciones que comparten datos… Y errores en apps que terminan vulnerando nuestra privacidad. Uno de estos errores está afectando a los dueños de algunos móviles de Samsung: la aplicación de mensajes está enviando fotos privadas sin permiso. WhatsApp pierde al último defensor de su privacidad. El error está sumamente localizado ya que atañe a la aplicación stock de Samsung para los SMS. Dicha aplicación se actualizó hace muy poco, de ahí que sea ahora cuando se esté descubriendo su mal funcionamiento. Sin que el usuario intervenga, la app de Mensajes de Samsung estaría enviando la galería de fotos a los contactos más allegados. Actualización: Samsung ha emitido un comunicado descartando problemas en el hardware o software de sus dispositivos. Asegura que continuará investigando lo sucedido. Fuente: elandroidelibre. Los desarrolladores de apps para Gmail pueden leer tus mensajes Según un informe del Wall Street Journal del que se han hecho eco en The Verge, diversos desarrolladores de apps tienen acceso y pueden leer los correos electrónicos enviados y recibidos en Gmail. Hace ya un año que en Google no leen correos privados de Gmail, pero esta popular herramienta de correo electrónico de Google cuenta con una configuración de acceso que permite a empresas y desarrolladores de apps acceso a los emails, lo que les permite ver detalles privados de los mismos. Por ejemplo, las direcciones de los receptores de dichos correos, así como todo el mensaje. Eso sí, para poder acceder al correo, las apps necesitan contar con el consentimiento del usuario. Pero este permiso no aclara si al dar acceso, se permite que los humanos, además de las máquinas, puedan leer mensajes. Fuente: muycomputerpro NHS Digital revela erróneamente datos de 150,000 pacientes NHS Digital es el socio nacional de información y tecnología para el sistema de salud y asistencia social. Tiene la responsabilidad de estandarizar, recopilar y publicar datos e información de todo el sistema de salud y asistencia social en Inglaterra. Por lo tanto, es responsable de almacenar y difundir los datos del paciente NHS a aquellos calificados para recibirlo. El mismo día, NHS Digital lanzó su propia declaración . "Nos disculpamos sin reservas por este problema, que ha sido causado por un error de codificación de un proveedor del sistema GP (TPP) y significa que las preferencias de datos de algunas personas no se han respetado cuando tenemos datos diseminados. El error de codificación TPP significaba que no lo hicimos recibir estas preferencias y, por lo tanto, no hemos podido aplicarlas a nuestros datos ". El error de software se detectó el 28 de junio, tres años después del lanzamiento de SystmOne, cuando TPP cambió a un nuevo sistema. Ni Jackie Doyle-Price ni NHS Digital han dado cifras sobre cuántas veces se han compartido erróneamente estos datos externamente durante este período. Sin embargo, NHS Digital compila y publica un registro de organizaciones que reciben datos de pacientes. Fuente: www.securityweek.com Nueva característica de seguridad de Apple se puede eludir con un adaptador que la propia marca vende Apple lanzó un par de actualizaciones para su software, corrigiendo errores y reparando agujeros de seguridad en MacOS, watchOS, tvOS, Safari, iTunes para Windows, iCloud para Windows y de iOS para iPhone y para iPad. El parche de software para iOS, que actualiza a la versión 11.4.1, es particularmente interesante ya que incluye una nueva característica, el Modo USB restringido. Acorde a especialistas en borrado seguro de datos, esta funcionalidad está diseñada para desactivar el puerto Lightning de un iPhone o iPad, impidiendo que transfiera datos una hora después de que el dispositivo se bloqueó por última vez. Todavía puede cargar su dispositivo después de que se desactivó su puerto Lightning, pero debes introducir tu contraseña si deseas usar el puerto para transferir datos. En más detalles, la empresa comunicó que “con el iOS 11.4.1, si usa accesorios USB con su dispositivo iOS, o si lo conecta a una PC, deberá desbloquear su dispositivo para que sea reconocido. Su accesorio permanecerá conectado, incluso si su dispositivo se bloquea posteriormente. Si no desbloquea su dispositivo iOS, o no lo ha desbloqueado y conectado a un accesorio USB en la última hora, su dispositivo no se comunicará con el accesorio o la computadora, y en algunos casos, es posible que no cargue. Investigadores especialistas en borrado seguro de datos descubrieron que el temporizador de una hora puede reiniciarse simplemente conectando el iPhone a un accesorio USB sin características de seguridad. En palabras simples, cuando un agente obtiene un iPhone, deberá conectarlo de inmediato a un accesorio USB para evitar que el modo USB restringido bloquee el equipo después de una hora, lo que sólo funciona si el modo restringido aún no se ha activado. Fuente: noticiasseguridad.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 101
Facebook expone fotos privadas de millones de usuarios… otra vez Mil 500 aplicaciones, de 876 desarrolladores diferentes, accedieran a fotos que los usuarios almacenaban en su bandeja de borradores. Facebook acaba de revelar una nueva vulnerabilidad en su plataforma, misma que permitió que aplicaciones desarrolladas por terceros accedieran a fotos sin publicar de alrededor de 6.8 millones de usuarios, informan expertos en forense digital del Instituto Internacional de Seguridad Cibernética. Si un usuario sube una foto a su perfil de Facebook sin terminar el proceso de publicación en el perfil, el archivo se guarda como borrador en la base de datos de la red social. Este error concedió a múltiples aplicaciones de terceros a la base de datos de los borradores. La empresa afirma que descubrió la falla en una interfaz de programa de aplicación de fotos (API) que persistió en la plataforma durante casi dos semanas, entre el 13 y el 25 de septiembre. “La falla de seguridad ya ha sido corregida. Algunas aplicaciones de terceros accedieron a un conjunto de fotos más allá de los permisos concedidos”, mencionó Facebook en su comunicado. De forma predeterminada, Facebook sólo otorga a las aplicaciones de terceros permiso de acceso a las fotos publicadas en el timeline del usuario. Más información en https://noticiasseguridad.com/ La NASA afirma haber sufrido una brecha de seguridad en el mes de Octubre Las brechas de seguridad están a la orden del día, y ni siquiera la NASA parece poder librarse de ello. En un reciente comunicado interno, obtenido por el medio Spaceref, uno de los altos ejecutivos de la agencia espacial estadounidense, Bob Gibbs, ha revelado que la NASA sufrió una brecha de seguridad el pasado mes de octubre. Concretamente, los investigadores de la agencia han descubierto que la brecha ocurrió el pasado 23 de octubre, y que los intrusos consiguieron acceso a un servidor que contenía información personal de alta delicadeza sobre los empleados de la NASA. Esta información, además de nombre, apellidos o edad, también comprende el número de la Seguridad Social, entre otras cosas. Más información en https://elchapuzasinformatico.com/ Microsoft expone 400 millones de cuentas de Outlook y Office 360 por error Sahad Nk, experto en forense digital originario de la India y colaborador de una firma de ciberseguridad, ha recibido una recompensa de Microsoft como parte del programa de reporte de errores de la empresa gracias al descubrimiento y reporte de una serie de vulnerabilidades críticas presentes en las cuentas de Microsoft. Las vulnerabilidades estaban presentes en las cuentas de Microsoft de los usuarios, desde archivos de Office hasta correos electrónicos de Outlook, según especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. En otras palabras, todo tipo de cuentas de Microsoft (más de 400 millones) y todo tipo de datos fueron expuestos a hacking. De ser encadenados, los bugs se convertirían en el vector de ataque perfecto para acceder a la cuenta de Microsoft de cualquier usuario; todo lo que requería el atacante era que el usuario hiciera clic en un enlace. Más información en https://noticiasseguridad.com/ Usan memes en Twitter para enviar comandos a servidor de hackers Un equipo de investigadores ha descubierto una nueva forma para ocultar software malicioso. Los investigadores de una firma de ciberseguridad reportan el descubrimiento de una nueva muestra de malware capaz de recuperar los comandos de memes publicados en una cuenta de Twitter controlada por un actor malicioso. Gracias a este procedimiento, los atacantes dificultan la detección del tráfico asociado con el malware, haciendo que este sea detectado como tráfico legítimo de Twitter, mencionan expertos del Instituto Internacional de Seguridad Cibernética. La idea de explotar servicios web legítimos para controlar malware no es algo reciente, en oportunidades pasadas algunos hackers han controlado códigos maliciosos a través de plataformas como Gmail, Dropbox, PasteBin, e incluso Twitter. Sin embargo, en esta ocasión es un poco diferente. El malware descubierto por los expertos en ciberseguridad usa la esteganografía (técnica para ocultar contenido dentro de una imagen gráfica digital de manera que sea invisible para un observador) para ocultar los comandos incrustados en una imagen (en este caso un meme) publicada en Twitter. “Este troyano, identificado como TROJAN.MSIL.BERBOMTHUM.AA, muestra un comportamiento interesante debido a que los comandos del malware son recibidos vía el tráfico legítimo de Twitter, usa un meme de apariencia inofensiva y no puede ser eliminado a menos que la cuenta donde se publicó sea eliminada de la plataforma”, menciona el informe de los especialistas en ciberseguridad. Más información en https://noticiasseguridad.com/ Sharpshooter: campaña de ciberataques contra infraestructura crítica en Estados Unidos y américa latina Expertos han descubierto una campaña de ciberataques contra decenas de organizaciones dedicadas a la defensa. Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan la aparición de una campaña de hacking dirigida contra empresas de infraestructura alrededor del mundo. Los hackers detrás de esta campaña, conocida como Operación Sharpshooter, se encuentran desplegando malware asociado al grupo de hackers Lazarus, misma organización detrás de los ciberataques contra Sony en 2014. Los expertos en forense digital y ciberseguridad que descubrieron esta campaña creen que los actores maliciosos podrían estar reuniendo información referente a las actividades de inteligencia en múltiples países con el propósito de planificar futuros ciberataques contra compañías nucleares, energéticas, financieras y de defensa. Acorde a los especialistas, durante esta operación los hackers aprovechan un implante en la memoria para descargar y recuperar un implante de segunda etapa para su posterior explotación. Más información en http://noticiasseguridad.com/ #Printerhack2: hackers vuelven a atacar alrededor de 100 mil impresoras Los atacantes afirman que esta vez han comprometido cientos de miles de equipos en todo el mundo, en lo que ellos mismos llamaron #PrinterHack2. Hace algunos días, especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportaron la repentina aparición de un mensaje de apoyo a PiewDiePie, famoso YouTuber, en miles de impresoras en todo el mundo con el propósito de generar conciencia sobre las vulnerabilidades de seguridad presentes en estos equipos. Esta vez, los atacantes afirman que han lanzado un nuevo ataque dirigido a cientos de miles de impresoras, imprimiendo de nueva cuenta un mensaje de apoyo al creador de contenido. Los hackers se han identificado en Twitter como TheHackerGiraffe y j3ws3r, y han llamado a esta campaña #PrinterHack2. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 128
Microsoft lanza una vista previa pública del soporte de claves de seguridad: la vida sin contraseña se acerca más Microsoft dice que las empresas ahora pueden implementar el uso de claves de seguridad a escala, ya que lanza una vista previa pública del soporte de claves de seguridad FIDO2 en Azure Active Directory (AD). El movimiento es un paso importante hacia un entorno empresarial sin contraseña (Passwordless). (Azure AD es la plataforma de administración de identidad y acceso de Microsoft). Las claves de seguridad están disponibles en una variedad de factores de forma, pero comúnmente vienen como un pequeño llavero USB que crea una clave pública y privada cuando se registra. La clave privada solo se puede desbloquear mediante un gesto local, como un biométrico o PIN. Los usuarios tienen la opción de iniciar sesión directamente a través del reconocimiento biométrico, como el escaneo de huellas dactilares, el reconocimiento facial o el escaneo del iris, o con un PIN que está bloqueado y asegurado en el dispositivo. Compatibilidad con claves de seguridad de Microsoft. El movimiento será bien recibido por muchas empresas preocupadas por la creciente facilidad con que las contraseñas pueden ser forzadas bruscamente o comprometidas de otra manera: es decir, si no han sido robadas en una violación de datos. Aproximadamente el 81% de los ataques cibernéticos exitosos comienzan con un nombre de usuario y contraseña comprometidos. Continúa navegando en https://www.cbronline.com/news/. Nueva herramienta de espionaje puede monitorear sus actividades en facebook, google, amazon, apple cloud.... Especialistas en servicios de ciberseguridad han revelado una investigación sobre nuevas actividades de Pegasus, el spyware desarrollado por la compañía NSO, con sede en Israel, que ahora cuenta con capacidad para extraer información sobre cualquier individuo que use los servidores de compañías como Microsoft, Apple, Amazon, Facebook o Google. Después de la publicación de este informe, portavoces de la NSO declararon: “Las firmas de seguridad han entendido mal; los productos desarrollados por NSO no cuentan con la capacidad de recopilar información o acceder a implementaciones en la nube ni a ninguno de los servicios mencionados en esta investigación”. No obstante, los expertos en servicios de ciberseguridad sostienen que un smartphone infectado con Pegasus es capaz de proporcionar a NSO las claves de autenticación del usuario para acceder a diversos servicios en línea, incluyendo Google Drive y Facebook Messenger. “El dispositivo accede a estos servicios sin solicitar una verificación adicional o un correo electrónico de confirmación”, mencionan los expertos. Por su parte, los portavoces de NSO dijeron que “los terroristas y delincuentes cuentan con cada vez mejores herramientas para llevar a cabo sus actividades maliciosas, lo que los pone en una situación ventajosa frente a las firmas de seguridad y agencias de inteligencia; las soluciones que ofrece NSO son completamente legales y están diseñadas para combatir este tipo de prácticas”. Continúa navegando en https://noticiasseguridad.com/. Miles de cuentas de clientes de Microsoft comprometidas por vigilancia corporativa y robo de datos Acorde a especialistas en seguridad en redes, miles de ciberataques comprometieron la seguridad de la información de más de 10 mil clientes de Microsoft el año pasado. Según los reportes, la mayoría de estas actividades maliciosas se llevaron a cabo desde países como Corea del Norte, Irán y Rusia. El vicepresidente corporativo de Microsoft para la seguridad y confianza del cliente, Tom Burt, mencionó en el blog oficial de la compañía que “alrededor del 84% de las víctimas de estos ataques son clientes empresariales de Microsoft”, por lo tanto, el 16% restante son individuos que usan alguna solución de software de la compañía. Aunque Microsoft desconoce si estos ataques cuentan con una motivación en común, sí aceptan que la escala a la que los ataques se están llevando a cabo, además de los métodos utilizados, deben alertar a las autoridades de diversos países, pues los expertos en seguridad en redes creen que estos grupos de hackers cuentan con la capacidad y los recursos necesarios para comprometer la seguridad a un nivel considerable. Tan sólo en E.U., alrededor de 700 organizaciones civiles interesadas en el fortalecimiento de la democracia que usan la solución de Microsoft llamada Account Guard fueron víctimas de ciberataques presuntamente patrocinados por gobiernos extranjeros. Continúa navegando en https://noticiasseguridad.com/seguridad-informatica/. Hackers filtran 7,5 TB de información sobre los planes del servicio de inteligencia ruso para Internet Hackers filtran 7,5 TB de información sobre los planes del servicio de inteligencia ruso para Internet. Un grupo de hackers ha filtrado cerca de 7,5 TB de información de una empresa contratista del servicio de inteligencia ruso (FSB) con información sobre planes internos, entre los que se incluyen los trabajos para desanonimizar la red Tor. El grupo conocido como 0v1ru$ accedió a los servidores de SyTech el pasado 13 de julio. Como explican medios como ZDNet o Forbes, estos hackers dejaron su impronta en la web del contratista, en la que dejaron visible el emoji de 'yoba face', para dar a entender que habían sido hackeados. Continúa navegando en https://www.europapress.es/portaltic. Google reconoce que escucha todo lo que hablas en casa . Los asistentes de voz están copando el mercado desde hace algún tiempo. Sin embargo, no queda del todo claro qué hacen con la información que se les da a diario. Si la semana pasada saltaba la noticia de que Alexa, el asistente de voz de Amazon, deja grabadas todas las órdenes que le da el usuario por un tiempo indefinido, ahora, gracias a la televisión belga «VRT News», el mundo ha podido saber que los contratistas de Google reciben los audios que graba su dispositivo doméstico, el altavoz inteligente Google Home. Algo que la empresa estadounidense ha reconocido, aunque señala que se trata únicamente del 0,2% de lo grabado. La cadena belga accedió a un millar de conversaciones ajenas. El medio de comunicación hace hincapié en que, tras escuchar los clips de Google Home junto a la fuente que se los había facilitado, lograron averiguar dónde se encuentra el domicilio de varios holandeses y belgas que emplean esta tecnología. Incluso afirman, que, tras escuchar los audios, una pareja de Waasmunster (Bélgica) reconoció inmediatamente la voz de su hijo y de su nieto. «Nos asociamos con expertos lingüistas de todo el mundo para mejorar la tecnología de voz transcribiendo un pequeño conjunto de palabras. Este trabajo es clave para desarrollar la tecnología que hace posible los productos como el asistente de Google». Continúa navegando en https://www.abc.es/tecnologia/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 84 Noticias Seguridad en Comunidad Movistar Empresas
Solo 20% de las empresas cumplen correctamente con el GDPR Las fuertes sanciones previstas en el GDPR no han servido para que las compañías se preparasen para poder cumplirla correctamente. De hecho, casi dos meses después de su entrada en vigor, nos encontramos que menos de la mitad de las empresas están preparadas. Según los datos que se pueden extraer de una encuesta llevada a cabo por Dimensional Research, solo el 20% de las empresas cumplen actualmente con el GDPR, mientras que el 53% todavía se encuentra en proceso de implementación y el 27% todavía no han iniciado los procesos necesarios para implementarlo. Excluyendo a Reino Unido, que en estos momentos se encuentra inmerso en el proceso de su salida de la Unión Europea, actualmente el 27% de las empresas ubicadas en el ente comunitario dicen cumplir con el nuevo Reglamento, cuya aplicación es directa sin necesidad de que los países adecuen sus legislaciones a él. Al ser el GDPR un reglamento que pretende ser aplicados a nivel mundial, las organizaciones de países terceros también se están viendo forzadas a hacer cambios para no violarla, así que nos encontramos con el 21% de las empresas del Reino Unido y el 12% de las ubicadas en Estados Unidos que la cumplen. Para finales de 2018 se espera un nivel de cumplimiento del 74%, un porcentaje que se espera llegue al 93% para finales del 2019. La entrada en vigor del GDPR ha supuesto un impulso para acelerar su cumplimiento por parte de las empresas, ya que en agosto de 2017 solo el 38% de las ubicadas en Estados Unidos y el 37% del Reino Unido habían iniciados los procesos requeridos. En estos momentos esos porcentajes están en el 66% y el 73% respectivamente. . Fuente: https://www.helpnetsecurity.com. SIM Hijacking: roban tu número de teléfono para suplantar tu identidad Robar datos a través de la tarjeta SIM parece imposible, pero lo cierto es que hay un método para poder conseguir esto. Y todo se basa en tu tarjeta SIM. Pero el método SIM Hijacking consiste en obtener los datos suficientes de la víctima, como su número de la seguridad social o sus correos personales, y pedir un recambio de tarjeta SIM con la excusa de haber perdido la primera. Como imaginaréis, un teleoperador no puede verificar de forma totalmente eficaz si la persona al otro lado del teléfono es la propietaria original. Si un delincuente consigue superar esa barrera de seguridad entonces no tendrá problema alguno en hacerse pasar por esa persona y por ende conseguir la SIM. Una vez superado esto y consiguiendo la SIM, la pesadilla comienza. Cuando pides una SIM secundaria, para prever problemas se desactiva la SIM primaria. Es decir, la víctima no puede hacer absolutamente nada. Tu banco, todas tus cuentas de los servicios clásicos de Internet y, sobre todo, sus intimidades. Cuentas como las de Netflix, Instagram o la de un banco tienen el número asociado. Y si consigues dicho número basta con usar la recuperación de contraseña para acceder a todos los datos de la víctima y hacer lo que quieras con ellos. Fuente: https://elandroidelibre.elespanol.com. Perspectivas sobre pérdida y robo: Applepay y Google Wallet ApplePay y Google Wallet son servicios de pago móvil que pretenden hacer más cómoda la experiencia de compra de sus usuarios, al tiempo de proteger su información de pago con las más altas medidas de seguridad. Especialistas en cursos de protección de datos personales mencionan que tanto ApplePay como Google Wallet prestan mucha atención a la seguridad. ApplePay y Google Wallet se ocupan de la seguridad en todos los niveles dentro del ciclo de vida de pago sin comprometer la comodidad para los consumidores. Este artículo tratará de identificar algunas diferencias en su estrategia de seguridad en casos donde un dispositivo sea robado. Piensa en este escenario: has perdido tu teléfono Android equipado con Google Wallet o un iPhone equipado con ApplePay con múltiples cuentas de pago almacenadas en la memoria del dispositivo. A diferencia de la billetera física, Google Wallet está protegido por un PIN que sólo conoce el usuario. En ApplePay, la información está protegida mediante Touch ID, que sólo puede usar el propietario del dispositivo. Un ladrón sin conocimientos sobre tecnología no podía superar siquiera este primer nivel de seguridad. Ninguna tarjeta almacenada en la billetera electrónica podrá ser usada. Fuente: http://noticiasseguridad.com. Unión Europea multa a Google por incumplimiento contra leyes antimonopolio El gigante tecnológico enfrenta la multa más cara de su historia. La Comisión Europea anunció hoy una multa contra Google de 4.3 mil millones de euros (5.04 mil millones de dólares) por incumplir políticas antimonopolio con Android, informan especialistas en seguridad informática y cursos de protección de datos personales. Según la Unión Europea, Google rompió la regulación antimonopolio con respecto a la comercialización del sistema operativo Android de tres formas: Google exigió a los fabricantes de teléfonos preinstalar su aplicación de búsqueda y la aplicación del navegador (Chrome), como condición para otorgar licencias a la PlayStore. Google realizó pagos a ciertos fabricantes de teléfonos y operadores de redes móviles con la condición de preinstalar la aplicación Google Search exclusivamente en sus dispositivos. Google evitó la preinstalación de aplicaciones de Google para fabricantes que vendieran dispositivos móviles que ejecutaran alternativas al uso de Android (llamados “Android forks”). Expertos en cursos de protección de datos personales estiman que Google lleva realizando estas prácticas por al menos los últimos 10 años. Fuente: http://noticiasseguridad.com. Ataque informático a Labcorp impacta procesos de prueba Cada vez más ataques contra el sector salud. Especialistas en cursos de protección de datos personales investigan un ataque informático en la red TI de la firma de pruebas de laboratorio médico LabCorp, el ataque forzó a la empresa a cerrar temporalmente sus sistemas, lo que impactó temporalmente sus procesos de prueba y el acceso de los clientes a los resultados de laboratorio. En un comunicado la empresa afirmó haber “desconectado de inmediato ciertos sistemas como parte de su estrategia para contener el ataque, lo que afectó temporalmente el procesamiento de pruebas clínicas y el acceso de los clientes a las mismas durante el fin de semana. LabCorp ya trabaja para restaurar la funcionalidad completa del sistema lo más rápido posible, las operaciones de prueba se reanudaron sustancialmente y se anticipa que los sistemas y funciones adicionales sean restauradas durante los próximos días”. Acorde a los especialistas en cursos de protección de datos personales encargados del análisis, algunos clientes de LabCorp Diagnostics podrían experimentar breves retrasos en la entrega de sus resultados de laboratorio mientras la compañía restaura por completo sus funciones. El hackeo en LabCorp es una muestra de la oleada de ataques informáticos contra una gran entidad de empresas del sector de la salud. De hecho, los ataques al sector salud, desde ransomware hasta el robo de bases de datos, se presentan cada vez con mayor frecuencia. En algunos ataques de ransomware contra este sector, los hackers recurren primero a las copias de seguridad y comprometen el acceso a estas copias a los proveedores, lo que lleva a los especialistas en seguridad informática a pensar en que estos ataques ponen en un riesgo cada vez mayor la estabilidad de la infraestructura de estas empresas, y por ende la de los pacientes. Según estimaciones del FBI, el sector hospitalario ha perdido este año alrededor de 2.3 millones de dólares en ataques de ransomware. Fuente: http://noticiasseguridad.com. Cisco elimina 25 parches para vulnerabilidades inalámbricas Cisco ha informado a los usuarios de su servicio Policy Suite que ha descubierto diferentes vulnerabilidades, que permitirían a los hackers acceder de forma remota a diferentes funciones de sus soluciones, según reportan especialistas en cursos de protección de datos personales del Instituto Internacional de Seguridad Cibernética. Policy Suite un marco para la construcción de reglas que pueden utilizarse para aplicar la lógica empresarial contra puntos de aplicación de políticas, tales como enrutadores de red y gateways de datos por paquetes. Es utilizado principalmente por organizaciones que operan con sistemas inalámbricos y vía móvil. Acorde a reportes de expertos en cursos de protección de datos personales la vulnerabilidad se debe a la falta de autenticación, lo que significa que un atacante podría obtener acceso y realizar cambios en los repositorios existentes y crear otros nuevos. Además, una vulnerabilidad en especial podría permitir que un atacante remoto inicie sesión en un sistema afectado utilizando la cuenta raíz, que tiene credenciales de usuario predeterminadas. Un exploit podría permitir al hacker iniciar sesión en el sistema afectado y ejecutar comandos arbitrarios como el usuario raíz. Cisco también ha lanzado parches para su SD-WAN, con siete avisos de alta calificación, y su subsistema VPN. Para la solución SD-WAN, existe una vulnerabilidad de sobrescritura de archivos y una de denegación de servicio. Fuente: http://noticiasseguridad.com Hackers roban 1 millón de dólares por enrutador sin actualizar Un grupo de hackers robó al menos 920 mil dólares del PIR Bank de Rusia después de haber intervenido exitosamente un enrutador de Cisco desactualizado e incompatible en una sucursal bancaria, utilizándolo como un método de acceso a la red local del banco, reportan expertos en cursos de protección de datos personales del Instituto Internacional de Seguridad Cibernética. Reportes de seguridad afirman que el equipo comprometido se trataba de un enrutador Cisco 800 Series, con iOS 12.4, que dejó de recibir soporte desde el 2016. El robo salió a la luz después de que el diario político y financiero ruso Kommersant informara el 6 de julio que el PIR Bank perdió al menos 58 millones de rublos (920 mil dólares) y posiblemente mucho más, después de que hackers transfirieran dinero desde la cuenta del Banco de Rusia, que es el banco central del país. Fuente: http://noticiasseguridad.com. Oracle parchea más de 200 vulnerabilidades explotables remotamente Oracle lanzó un conjunto de parches de julio de 2018 para abordar un total de 334 vulnerabilidades de seguridad, la mayor cantidad de fallas resueltas con una actualización crítica de parches (CPU) hasta la fecha. Más de 200 de los errores pueden ser explotables remotamente sin autenticación. Este mes, se parchearon 23 productos, incluidos E-Business Suite, Financial Services Applications, Fusion Middleware, Hospitality Applications, Java SE, MySQL, PeopleSoft Products, Retail Applications, Siebel CRM y Sun Systems Products Suite. Según el aviso de Oracle, Más de 50 de los errores abordados este mes tuvieron un puntaje básico de CVSS 3.0 de 9.8. En general, 61 errores de seguridad tenían un puntaje CVSS de 9.0 o superior. Se aplicaron parches a un total de 203 vulnerabilidades en aplicaciones críticas para el negocio, de las cuales aproximadamente el 65% podrían explotarse remotamente sin necesidad de ingresar credenciales, señala ERPScan, una compañía especializada en asegurar aplicaciones Oracle y SAP. Fuente: https://www.securityweek.com. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
