Boletín nº 66 Noticias Seguridad en Comunidad Movistar Empresas
El mayor ataque DDoS (1.35 Tbs) alcanza el sitio web de Github El miércoles 28 de febrero de 2018, el sitio web de hospedaje de código de GitHub tocó con el ataque de denegación de servicio (DDoS) más grande jamás distribuido que alcanzó un récord de 1.35 Tbps. Curiosamente, los atacantes no usaron ninguna red de bots, sino servidores Memcached mal configurados para amplificar el ataque DDoS. A principios de esta semana publicamos un informe que detalla cómo los atacantes podrían abusar de Memcached, el popular sistema de caché distribuido de código abierto y fácil de implementar, para lanzar un ataque DDoS de más de 51,000 veces más potente que su fortaleza original. Fuente: thehackernews.com Una vulnerabilidad crítica afecta a la mitad de los servidores de correos electrónicos Hoy en día prácticamente todos los usuarios de Internet cuentan con un email. Es por ello que cuando hablamos de un problema que afecta a este tipo de servicios, podemos decir que se considera grave. Más aún cuando se trata de una vulnerabilidad crítica que afecta a la mitad de todos los servidores de correos electrónicos. Concretamente, se trata de un fallo en Exim, un software de transferencia de correo que se ejecuta en estos servidores.Cientos de miles de servidores de correos electrónicos están afectados. Esto significa que resolver esta vulnerabilidad puede suponer varias semanas o incluso meses. Si tiramos de datos, se estima que el 56% de todos los servidores de correos electrónicos ejecutan Exim. De ahí que se pueda afirmar que la mitad de todos ellos sean vulnerables a este problema. En cifras concretas, hay más de 560.000 servidores disponibles en Internet ahora mismo ejecutando Exim, según datos que maneja Bleeping Computer. Fuente: redeszone.net. Nuevos ataques de red 4G LTE permiten a los piratas espiar, rastrear, falsificar y enviar spam Los investigadores de seguridad han descubierto un conjunto de vulnerabilidades graves en el protocolo 4G LTE que podrían explotarse para espiar las llamadas telefónicas de los usuarios y los mensajes de texto, enviar falsas alertas de emergencia, falsificar la ubicación del dispositivo e incluso bloquear completamente los dispositivos. Un nuevo documento de investigación recientemente publicado por investigadores de la Universidad de Purdue y la Universidad de Iowa detalla 10 nuevos ciberataques contra la tecnología de comunicaciones inalámbricas de datos 4G LTE para dispositivos móviles y terminales de datos. Los ataques explotan las debilidades de diseño en tres procedimientos de protocolo clave de la red 4G LTE conocidos como adjuntar, separar y paginar. Fuente: thehackernews.com La nueva variante de spectre roba datos protegidos por sgx de intel Los datos confidenciales protegidos por Intel SGX podrían estar abiertos a un nuevo ataque de side-channel. De acuerdo con los expertos en seguridad cibernética, una nueva variante del ataque de Spectre en los dispositivos que usan Intel puede usarse para abrir los enclaves seguros de Intel para ver su memoria. El ataque side-channel de SgxPectre afecta a los programas con componentes sensibles, protegidos por los enclaves SGX (Extensiones de Guardia de Software) de Intel. SGX está disponible en los nuevos chips Intel Core y permite a los desarrolladores aislar selectivamente códigos e información de aplicaciones para que se ejecuten en su propio entorno de ejecución. Este enclave es creado por la CPU y permite que partes sensibles de una aplicación se ejecuten en su propia región de memoria dentro del enclave donde está protegido del software del sistema, incluidos los hipervisores y el sistema operativo. Fuente: http://noticiasseguridad.com Comercio ilegal de pasaportes españoles a cambio de bitcoins Para conseguir ilícitamente un pasaporte español hace falta dinero, un acceso a Internet y cruzar los dedos para no ser estafado. En la web se anuncian decenas de vendedores de estos documentos de viaje, carnés de identidad y permisos de conducir. La mayoría de los precios oscila entre los 1.000 y los 3.000 euros, aunque pueden llegar a alcanzar los 12.500 euros. Un análisis de EL PAÍS recoge los precios concretos para documentos de varios países. “Pasaporte auténtico español, recién salido de inmigración”, anuncia en inglés un usuario. Ha subido su oferta a Dream Market, un popular supermercado de productos y servicios ilegales en la Internet oscura, la favorita de los traficantes. Otro anunciante ofrece un DNI válido hasta 2026, pero desaconseja su uso en España porque “carece de microchip (que solo puede ser leído en España)”. Sugiere usarlo para alquilar un coche o abrir una cuenta en el banco. Fuente: https://elpais.com 600 potentes computadoras de minería de Bitcoin con un valor de $ 2 millones robadas en Islandia Alrededor de 600 potentes dispositivos diseñados específicamente para extraer Bitcoin y otras criptomonedas han sido robados de los centros de datos de Islandia en lo que se ha denominado el "Big Bitcoin Heist". Para obtener ganancias, hasta ahora los delincuentes han pirateado intercambios de criptomonedas, propagado malware de minería y ransomware, e incluso han secuestrado inversores de criptomonedas para pedir rescate y han intentado robar un intercambio de bitcoins, pero ahora la avaricia ha alcanzado otro nivel. Se estima que las poderosas computadoras valen alrededor de $ 2 millones, informa Associated Press, y se utilizan para generar criptomonedas que, al momento de escribir estas líneas, valen $ 11,500 cada una. El robo, que tuvo lugar entre finales de diciembre y principios de enero, es una de las mayores series de robos que Islandia haya experimentado jamás, de acuerdo con las autoridades. Fuente: thehackernews.com Vulnerabilidad en pivotal spring data rest permite hackear cualquier máquina basada en sus componentes La vulnerabilidad en Spring Data REST de Pivotal permite a los hackers remotos ejecutar comandos arbitrarios en cualquier máquina que ejecute una aplicación creada con sus componentes. La vulnerabilidad fue rastreada como CVE-2017-8046, que fue descubierta por expertos en seguridad de la información de Semmie / lgtm. Pivotal’s Spring Framework es una plataforma ampliamente utilizada por los equipos de desarrollo para crear aplicaciones web. Fuente: http://noticiasseguridad.com 23,000 certificados HTTPS eliminados después de que el CEO envíe correos electrónicos a las claves privadas Un gran revuelo en un foro de discusión en Internet está despertando preguntas preocupantes sobre la seguridad de algunos certificados HTTPS confiables para el navegador cuando reveló que el CEO de un revendedor de certificados le envió por correo electrónico a un socio las claves privadas sensibles para 23,000 certificados TLS. Google lleva a Symantec a la leñera por emitir incorrectamente 30,000 certificaciones HTTPS . El correo electrónico fue enviado el martes por el CEO de Trustico, un revendedor de certificados TLS con sede en el Reino Unido emitido por las autoridades certificadoras confiables de navegadores Comodo y, hasta hace poco, Symantec. Fuente: arstechnica.com. Hackean la votación de los agentes por la equiparación salarial Sindicatos de Policía Nacional y Guardia Civil han denunciado "un ataque brutal" al sondeo telemático en el que participaban desde este lunes policías nacionales y guardias civiles, sobre si respaldan el preacuerdo alcanzado por sus representantes con Interior para igualar sus sueldos al de mossos; por lo que la consulta ha sido suspendida temporalmente. El 83,5% de los cerca de 65.000 policías nacionales y en torno al 60% de los casi 78.000 guardias civiles estaban llamados a votar a partir de las nueve de la mañana del lunes hasta las 15.00 horas del miércoles a través de una plataforma ajena a los sindicatos y asociaciones, de modo que una consultora especializa se encargaba del proceso. Fuente: http://www.cope.es. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana! ÁngelesNoticias de Seguridad a nivel mundial: boletín nº 127
Naturgy sufre el chantaje de un 'hacker' que robó información ultraconfidencial Naturgy se ha visto obligada a implementar un plan especial contra la ciberseguridad tras sufrir meses atrás un chantaje de unos piratas informáticos que entraron en ordenadores claves de la cúpula directiva. El ataque fue de tal calibre que Francisco Reynés, presidente ejecutivo del grupo energético, elevó el problema al consejo de administración, que decidió encargar a cuatro empresas especializadas una nueva estrategia para hacer frente a estos riesgos de seguridad. Según han confirmado fuentes de Naturgy, el ciberataque selectivo, dirigido exclusivamente a una serie de ordenadores de altos directivos, se produjo en diciembre de 2018. Un técnico robó ciertas contraseñas particulares de ejecutivos de la multinacional y amenazó a la compañía con difundir por la red la información a la que había tenido acceso. Entre ellas, según otras fuentes, correos electrónicos personales, documentos internos altamente confidenciales, operaciones de fusiones y adquisiciones y potenciales objetivos estratégicos corporativos. Este servicio estaba subcontratado y externalizado con Cap Gemini. Continúa navegando en https://www.elconfidencial.com/empresas/. Fuga de datos de Attunity: datos de Netflix, Ford, TD Bank expuestos por Open AWS Buckets La filtración de datos ha sido revelada por la empresa UpGuard, en la que se han visto afectadas empresas como Netflix o Ford. El problema parece estar relacionado con un bucket de Amazon S3, un servidor abierto de AWS que contaba con terabytes de información sensible de esas compañías a través de una plataforma de integración de datos israelí llamada Attunity. La filtración fue descubierta el pasado 13 de mayo, en la que UpGuard descubrió esos tres servidores con información de Attunity sin ningún tipo de protección. De todos los datos que vieron sin cifrar, probaron a descargar en torno a un terabyte de información, entre los que había 750 gigas de copias de seguridad de emails, además de cuentas de OneDrive de trabajadores que tenían emails, contraseñas de acceso al sistema, información de ventas y marketing, datos de proyectos, etc. Para demostrar la filtración de datos, UpGuard envió pruebas cadenas de verificación de la base de datos a Netflix, una factura de una actualización de software a TD Bank, y a Ford unas diapositivas describiendo un proyecto próximo. En principio no han detectado datos pertenecientes a los usuarios. Con respecto a la propia Attunity, también se descubrieron multitud de datos como credenciales para sus sistemas y su cuenta oficial de Twitter, además de identificación de sus empleados, como nombres, salario, fecha de nacimiento y números de identificación dentro de la empresa. UpGuard informó a Attunity de la filtración de datos el 16 de mayo, y la compañía procedió rápidamente a cifrar estos buckets. Continúa navegando en https://securityaffairs.co/wordpress. 100 apps de préstamos filtran detalles personales y financieros, más de 4 millones de usuarios afectados Especialistas en protección de datos de la firma de seguridad Safety Detectives han descubierto una brecha de datos masiva (casi 900 GB de información comprometida) originada en un servidor establecido en China; el servidor expuesto ya ha sido cerrado. El servidor expuesto es una implementación de Elastic y expone la información personal de millones de ciudadanos chinos. Los expertos, liderados por el reconocido investigador Anurag Sen, descubrieron que la información expuesta fue recolectada y almacenada por más de 100 desarrolladores de aplicaciones, sobre todo servicios de préstamos bancarios en el país asiático. Acorde a los expertos en protección de datos, entre la información personal comprometida destacan detalles como: historial crediticio del usuario, información sobre gestión de riesgos financieros, números de identidad personal, nombres completos, dirección, detalles de contacto (número telefónico, email, etc). Además de los detalles personales, los expertos también descubrieron que el servidor almacenaba información sobre los dispositivos empleados por los usuarios de estas apps, como marca y modelo del smartphone, lista de contactos, detalles de ubicación, dirección IP, números IMEI, compañía operadora de red móvil, entre otros datos. Continúa navegando en https://noticiasseguridad.com/. Los apagones seguirán. Es hora de mejorar nuestra resistencia cibernética Un apagón invernal de seis horas en la Francia metropolitana podría causar daños a hogares, empresas e instituciones esenciales por más de 1500 millones de euros. Un ataque cibernético bien organizado a una infraestructura crítica de electricidad podría tener este tipo de repercusión económica en un país. ¿Es esta una opción realista? En 2018, los funcionarios del Departamento de Seguridad Nacional de los Estados Unidos declararon públicamente que piratas informáticos se habían infiltrado en las salas de control de varias empresas de electricidad de los Estados Unidos, hasta el punto de tener la capacidad de interrumpir el flujo de electricidad a los clientes. Como copresidentes del pasado año de los sistemas de resistencia cibernética del Foro Económico Mundial: grupo de trabajo público-privado sobre electricidad, hemos dedicado tiempo a analizar la manera de mitigar el riesgo de ataques cibernéticos que afecten a la infraestructura crítica de electricidad y definir el mejor enfoque para la resistencia cibernética en una comunidad eléctrica cada vez más compleja. En los últimos 10 años, el sector eléctrico ha padecido ataques cibernéticos importantes: el mapa a continuación ofrece una vista rápida no exhaustiva. En 2010, el virus informático Stuxnet ocasionó un daño considerable a las centrifugadoras nucleares de Irán, que fueron manipuladas para quedar fuera de control. Continúa navegando en https://es.weforum.org/agenda/. Vulnerabilidades en mouse y teclados Logitech permiten robar contraseñas Logitech cuenta con los teclados y ratones más vendidos de Internet. Algunos de sus modelos se encuentran entre los más vendidos de Amazon, como el B100 de 5 euros, el G203 Prodigy, o el M185, su popular ratón inalámbrico por 10 euros. Ahora, una vulnerabilidad afecta al protocolo inalámbrico usado por ratones, teclados y punteros para presentaciones de la compañía. Los ratones y teclados inalámbricos de Logitech llevan 10 años con graves vulnerabilidades. El investigador de seguridad Marcus Mengs ha descubierto que un gran número de teclados y ratones de Logitech son vulnerables a ataques mediante wireless. Su investigación sobre las conexiones wireless de los mencionados dispositivos ha puesto al descubierto numerosas debilidades. Estas vulnerabilidades afectan a teclados, ratones, y a punteros láser inalámbricos. Los fallos permitirían a un atacante espiar las pulsaciones de los teclados. Todo lo que el usuario escribe puede ser capturado y leído por un potencial atacante. También permitiría enviar cualquier comando si un dispositivo vulnerable está conectado a la máquina víctima. Marcus Mengs demuestra cómo infectar un sistema con un troyano controlado remotamente por radio. El uso de un canal de radio, implica que el ataque es incluso efectivo con máquinas que ni siquiera están conectadas a Internet. Continúa navegando en https://www.heise.de/ct/artikel/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 124
PoC para vulnerabilidad de Outlook for Android Microsoft lanzó esta semana una versión actualizada de su aplicación de Outlook para Android que corrige una grave vulnerabilidad de ejecución remota de código (CVE-2019-1105) que afectaría a más de 100 millones de usuarios. Sin embargo, en ese momento, había muy pocos detalles de la falla, que reveló que las versiones anteriores de la aplicación de correo electrónico contenían una falla de XSS que podía permitir a los atacantes ejecutar scripts en el contexto del usuario actual, simplemente enviando un correo electrónico especialmente diseñado a las víctimas. Ahora, Bryan Appleby de F5 Networks, uno de los investigadores de seguridad que informó este problema de manera independiente a Microsoft, presentó más detalles y prueba de concepto de la vulnerabilidad de Outlook que informó al gigante de la tecnología hace casi seis meses. En una publicación de blog, Appleby reveló que mientras intercambiaba un código JavaScript con sus amigos a través de un correo electrónico, descubrió accidentalmente un problema de XSS que podía permitir que un atacante incrustara un iframe en el correo electrónico. Continúa navegando en https://thehackernews.com/. WeTransfer envía los archivos de los usuarios a las personas equivocadas En el incidente de seguridad más embarazoso hasta ahora en 2019, el servicio de intercambio de archivos WeTransfer ha enviado los archivos de los usuarios a las bandejas de entrada incorrectas durante al menos un día completo la semana pasada. Peor aún, la compañía dice que no puede averiguar qué sucedió. Los clientes de Transferencia que usaron el servicio para compartir archivos entre el 16 de junio y el 17 de junio han recibido la siguiente notificación de la compañía por correo electrónico: “Le escribimos para informarle sobre un incidente de seguridad en el que se enviaron varios correos electrónicos del servicio WeTransfer a las personas equivocadas. Esto sucedió el 16 y 17 de junio. Nuestro equipo ha estado trabajando incansablemente para corregir y contener esta situación y descubrir cómo sucedió. “Hemos aprendido que una transferencia que usted envió o recibió también se entregó a algunas personas a las que no debía ir. Nuestros registros muestran que se ha accedido a esos archivos, pero casi con seguridad por el destinatario deseado. Sin embargo, como medida de precaución, hemos bloqueado el enlace para evitar futuras descargas ". Ya que WeTransfer también incluye el correo electrónico del remitente con la entrega de un archivo, se les dice a los clientes que vigilen sus bandejas de entrada para detectar actividades sospechosas. Continúa navegando en https://hotforsecurity.bitdefender.com/. Millones de PC Dell vulnerables por software de PC Doctor Millones de PC y laptops Dell con Windows son vulnerables a ataques a través de un agujero de seguridad de alta severidad, que podría ser explotado por atacantes para tomar el control sobre los dispositivos. En un aviso de soporte publicado en su sitio web, Dell revela que el problema se encuentra dentro de un componente de terceros de SupportAssist, el software de solución de problemas que se incluye con los PC domésticos y de negocios de la empresa. El software que el fabricante de PC describe como "la primera tecnología de soporte proactivo y predictivo automatizada de la industria". El investigador de seguridad Peleg Hadar descubrió que el componente PC Doctor de SupportAssist contiene una vulnerabilidad de secuestro de DLL, que puede ser explotada durante un ataque para obtener privilegios a nivel de sistema. A través de este mecanismo, un atacante podría obtener fácilmente el control de una computadora específica. Como el software SupportAssist está preinstalado en millones de PC y portátiles de Dell, hay muchos incentivos para que los delincuentes en línea intenten aprovechar la falla.Continúa navegando en https://hotforsecurity.bitdefender.com. Estados Unidos lanzó un ataque cibernético a los sistemas de armas de Irán Las tensiones entre Estados Unidos e Irán han aumentado desde que Estados Unidos se retiró el año pasado de un acuerdo nuclear de 2015 entre Irán y las potencias mundiales y restableció las sanciones, lo que desencadenó un colapso económico en Irán. El restablecimiento de las sanciones estadounidenses el año pasado, en particular las impuestas a los sectores de energía, transporte y finanzas, causó que la inversión extranjera se agotara y afectara las exportaciones de petróleo. Las sanciones impiden a las empresas estadounidenses comerciar con Irán, pero también con empresas extranjeras o países que están tratando con Irán. La semana pasada, Irán dijo que superaría los límites acordados internacionalmente en su programa nuclear. Trump ha dicho que no quiere la guerra con Irán, pero advirtió que el país se enfrentaría a una "destrucción" si surgiera el conflicto. ¿Qué hizo el ciberataque estadounidense? El presidente Trump aprobó un ataque cibernético ofensivo que desactivó los sistemas informáticos utilizados por el Cuerpo de la Guardia Revolucionaria Islámica de Irán para controlar el lanzamiento de misiles y cohetes". "Aunque ha paralizado los sistemas de control y comando militar de Irán", informó el Washington Post, "la operación no implicó una pérdida de vidas o víctimas civiles, un contraste con los ataques convencionales". Continúa navegando en https://www.bbc.com/news/ La seguridad de la NASA en ridículo por un Rogue Raspberry Pi conectada a su red La seguridad del Jet Propulsion Laboratory (JPL) de la NASA ha quedado totalmente ridiculizada por un informe publicado a raíz de un incidente de seguridad que ocurrió en abril de 2018. En ese momento, al parecer los atacantes llegaron a la red interna del laboratorio a través de una Raspberry Pi conectada a la red. De ahí, con movimientos laterales parece que consiguieron implantarse durante un año en la red hasta que se descubrió. La peligrosidad del ataque no se fundamenta solo en la posibilidad de controlar ciertos experimentos o misiones, sino además de la posibilidad de tener acceso a la tecnología y conocimiento y que se investiga y desarrolla en esa red. Ya en marzo de 2019 se advirtió en una carta de la Office of the Inspector General (OIG) de la propia NASA de las pobres prácticas de seguridad. Ahora es cuando se ha publicado un informe al respecto. El informe explica las deficiencias en la red, en las que prácticamente fallaban todos y cada uno de los procedimientos y técnicas básicas de ciberseguridad: desde una mala segmentación (con redes compartidas con terceros), hasta deficiencias en la monitorización, desde una mala interpretación de los logs, hasta administradores no cualificados, pasando por una evidente falta de protocolo de respuesta ante incidentes. Todo un despropósito que ha quedado al descubierto. Continúa navegando en https://www.engadget.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 118
Vulnerabilidad en WhatsApp permite instalar spyware en teléfonos con solo realizar una llamada WhatsApp reveló la existencia de una vulnerabilidad crítica en la aplicación que permite instalar el conocido spyware Pegasus en dispositivos Android e iOS con solo realizar una llamada al número de teléfono que se busca comprometer. La vulnerabilidad ya fue reparada y la compañía lanzó un parche con la última actualización. De acuerdo a la información revelada el 13 de mayo, Facebook, propietario de WhatsApp, anunció oficialmente la existencia de una vulnerabilidad (CVE-2019-3568) de buffer overflow (o desbordamiento de búfer) en WhatsApp VOIP que permiten la ejecución remota de código en el dispositivo de la víctima cuando se logra enviarle al número de teléfono elegido como blanco de ataque paquetes de SRTP especialmente diseñados. En este sentido, para explotar el fallo el atacante solo necesita llamar a un dispositivo vulnerable. Además, la víctima ni siquiera necesita aceptar la llamada para que su equipo sea comprometido e incluso la llamada desaparece del registro, explicó Financial Times. Continúa navegando en https://www.welivesecurity.com/. 50.000 empresas que ejecutan software de SAP vulnerables a ataques Los investigadores afirman que hasta 50.000 empresas que han adoptado soluciones SAP pueden ser susceptibles a ataques cibernéticos debido a nuevas vulnerabilidades que apuntan a fallas de configuración en el software. Según el equipo de seguridad cibernética de los laboratorios de investigación Onapsis, los ataques denominados 10KBlaze que apuntan a dos componentes técnicos del software SAP se han lanzado recientemente y pueden llevar al "compromiso total" de las aplicaciones SAP. Las herramientas "10KBlaze" también podrían usarse para crear nuevos usuarios con privilegios arbitrarios, para realizar funciones comerciales como crear nuevos proveedores o pedidos de compra, en otras palabras, cometer fraude financiero y obtener acceso a las bases de datos de SAP o interrumpir operaciones de negocios. Sin ninguna forma de autenticación, los atacantes remotos solo necesitan algunos conocimientos técnicos y conectividad de red al sistema vulnerable para realizar un ataque. Todos los sistemas SAP NetWeaver Application Server (AS) y S / 4HANA, ya que utilizan una Lista de control de acceso en Gateway y un Servidor de mensajes, pueden estar en riesgo. Continúa navegando en https://www.zdnet.com/article/. Hackers están explotando vulnerabilidad en Microsoft Sharepoint Una auditoría de seguridad informática reveló que actores de amenazas están explotando activamente una vulnerabilidad de ejecución remota de código en algunas versiones de SharePoint Server para instalar la herramienta de hacking conocida como The China Copper. A pesar de que la vulnerabilidad ya había sido corregida, no todas las implementaciones de SharePoint habían sido actualizadas. La vulnerabilidad, identificada como CVE-2019-0604, afecta a todas las versiones desde SharePoint 2010 hasta SharePoint 2019; Microsoft corrigió la falla en febrero y lanzó parches de actualización en marzo y abril. “Después de la auditoría de seguridad informática descubrimos que un hacker que trate de explotar esta vulnerabilidad podría ejecutar código arbitrario en el grupo de aplicaciones de SharePoint”, mencionaron los especialistas. Según los reportes, para explotar esta vulnerabilidad un atacante necesita de un paquete de aplicaciones de SharePoint especialmente diseñado. Para explotar esta vulnerabilidad, los actores de amenazas emplearon la herramienta de hacking The China Chopper para acceder de forma remota a los servidores comprometidos para enviar comandos y administrar archivos en los servidores de las víctimas. Continúa navegando en https://noticiasseguridad.com/vulnerabilidades/. Morpheus, el procesador “imposible de hackear” Expertos del diplomado en seguridad en redes del IICS reportan el lanzamiento de una nueva arquitectura de procesador de computadora que podría redefinir la forma en la que un sistema se defiende contra las amenazas cibernéticas, dejando en el pasado el modelo de trabajo de actualizaciones y correcciones periódicas. Este nuevo chip, llamado Morpheus, bloquea potenciales ciber ataques empleando cifrado y organizando aleatoriamente los bits clave de su propio código unas 20 veces por segundo, sobrepasando por mucho la velocidad de cualquier hacker o herramienta de hacking conocida. “El enfoque actual para corregir fallas de seguridad ya debería ser considerado obsoleto”, mencionan los especialistas del diplomado en seguridad en redes. “Nuevo código es desarrollado día a día, mientras esto siga sucediendo, siempre habrá nuevas fallas y vulnerabilidades”, añadieron. Con Morpheus, aunque los hackers descubran vulnerabilidades, la información necesaria para explotar estas fallas habrá desaparecido del sistema objetivo en cuestión de segundos. El primer prototipo de este procesador se defendió de forma exitosa contra todas las variantes de ataque de flujo conocidas; esta es una de las técnicas de ciberataque más peligrosas y utilizadas por los hackers. Esta tecnología podría usarse para múltiples propósitos, desde laptops, PCs de escritorio e incluso dispositivos de Internet de las Cosas (IoT), que requieren de más y mejores medidas de seguridad cada día. Continúa navegando en https://noticiasseguridad.com/ Filtración de código fuente confidencial de Samsung Una auditoría de seguridad informática ha revelado que una gran cantidad de información confidencial se ha expuesto al público de forma indebida en GitLab; acorde a los expertos, entre la información comprometida se encuentran código fuente, credenciales de acceso y claves confidenciales para varios proyectos privados. Una de las implementaciones comprometidas ha sido usada por personal de Samsung para trabajar en el código de algunos proyectos de la compañía, como Samsung SmartThings. Después de la auditoría de seguridad informática, se descubrieron decenas de proyectos de codificación interna de Samsung expuestos en GitLab debido a una configuración de seguridad errónea (no estaban protegidos con contraseña). Esto quiere decir que cualquiera podía acceder a ellos e incluso descargar el código fuente de SmartThings, la plataforma para smarthome desarrollada por Samsung y los certificados privados para la implementación de SmartThings en iOS y Android. Acorde a los expertos, muchas de las carpetas expuestas almacenaban registros y datos analíticos para los servicios de SmartThings y Bixby de Samsung, al igual que los tokens privados de GitLab de varios empleados almacenados en texto simple. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 116
¿Seguridad de Iphone no funciona? nuevo malware ha infectado a más de 500 millones de usuarios Acorde a especialistas en análisis forense informático del Instituto Internacional de Seguridad Cibernética (IICS) un grupo cibercriminal identificado como eGobbler ha estado explotando una vulnerabilidad en Chrome para sistema iOS con el propósito de atacar a los usuarios de dispositivos iPhone con un exploit que les entrega malvertising; se calcula que alrededor de 500 millones de usuarios en todo el mundo han sido infectados. El malvertising es un método de ataque en el que los hackers muestran a los usuarios publicidad de apariencia inofensiva; en realidad estos anuncios contienen código que redirige a las víctimas a sitios web de contenido malicioso, comentan los especialistas en análisis forense informático. Los reportes sobre la campaña de ataques desplegada por eGobbler han concluido que este actor de amenazas ha infectado servidores de publicidad legítima, misma que ha usado para desplegar los anuncios que mostrarán la ventana emergente maliciosa. La carga útil empleada por este grupo de hackers tiene dos funciones: generar dinero con los anuncios mostrados y la capacidad de redirigir al usuario a sitios web fraudulentos donde se intentará extraer sus datos personales o infectar con malware. Continúa navegando en https://noticiasseguridad.com/ Facebook almacenó millones de contraseñas de usuarios de Instagram en texto sin formato A fines del mes pasado, Facebook reveló que "almacenaba erróneamente las contraseñas de cientos de millones de usuarios de Facebook en texto plano", incluidas las contraseñas de "decenas de miles" de sus usuarios de Instagram también. Ahora parece que el incidente es mucho peor de lo que se informó primero. Estas contraseñas de texto plano de millones de usuarios de Instagram, junto con millones de usuarios de Facebook, estaban disponibles para algunos de los ingenieros de Facebook que, según la compañía, "no abusaban de ellas". De acuerdo con la publicación actualizada, Facebook descubrió "registros adicionales de contraseñas de Instagram almacenados en un formato legible", pero agregó que su investigación reveló que "las contraseñas almacenadas nunca fueron abusadas o mal accedidas por ninguno de los empleados". La última revelación llega en menos de un día después de que se reveló que Facebook había almacenado hasta 1,5 millones de usuarios en sus servidores, sin su consentimiento o conocimiento, desde mayo de 2016. Continúa navegando en https://thehackernews.com/ Microsoft es hackeada – hackean cuentas de Outlook y cuentas de empleados Microsoft ha revelado que un grupo de hackers desconocidos ha perpetrado una brecha de datos en algunos de los sistemas de la compañía; acorde a especialistas en cómputo forense del Instituto Internacional de Seguridad Cibernética (IICS), los hackers habrían comprometido las credenciales de inicio de sesión de algunos miembros del equipo de soporte técnico de la compañía, gracias a esto, consiguieron acceder a las cuentas de email de uno de los clientes de Microsoft. Las primeras investigaciones indican que los hackers atacaron la red de la compañía en algún momento entre enero y marzo, poco después de la intrusión los cibercriminales consiguieron acceso a los datos de inicio de sesión del personal de Microsoft. Acorde a los expertos en cómputo forense, la compañía notificó al cliente comprometido sobre la situación, afirmando que: “el acceso no autorizado podría haber permitido que un usuario no autorizado consiguiera acceso a información relacionada con su cuenta de email, como nombres de carpetas, título del email, entre otros datos”. La compañía afirmó también que los atacantes no tienen acceso al contenido de las carpetas, mensajes o archivos adjuntos. Aún se desconoce el número exacto de correos electrónicos a los que los hackers accedieron. Continúa navegando en https://noticiasseguridad.com/ Nueva vulnerabilidad Día Cero en internet explorer permitiría robo de archivos locales Internet Explorer no es precisamente el buscador más popular, y en definitiva este nuevo incidente de seguridad no le ayudará. Acorde a especialistas del curso de informática forense del Instituto Internacional de Seguridad Cibernética (IICS), ha sido descubierta una vulnerabilidad día cero en este buscador que hace que las computadoras con Windows sean vulnerables a los ataques de robo de archivos. Acorde a los reportes, la vulnerabilidad se encuentra en el uso de archivos MHT de Internet Explorer cuando un usuario guarda una página web. La vulnerabilidad está en la apertura de archivos MHT. “Internet Explorer es vulnerable a un ataque de Entidad Externa XML si un usuario abre un archivo .MHT especialmente diseñado. Este inconveniente permitiría a un atacante extraer archivos locales y realizar un reconocimiento remoto de la versión de Program instalada en la máquina comprometida. Por ejemplo, enviar una solicitud c:\Python27\NEWS.txt podría devolver como respuesta información de la versión de ese programa”. Continúa navegando en https://noticiasseguridad.com/ Hackeo en Wipro; los hackers usan los sistemas de la compañía para atacar a sus propios clientes Wipro se encuentra investigando algunos reportes que sugieren que sus sistemas de TI han sido hackeados; es posible que los sistemas comprometidos se estén empleando para lanzar ciberataques contra algunos de los clientes de esta compañía. Los reportes indican que algunos de los clientes de la compañía de servicios de TI detectaron actividades maliciosas de reconocimiento de redes comunicándose directamente a las redes de Wipro. Se estima que al menos diez o doce compañías han sido afectadas. Aunque Wipro tardó un poco en fijar postura respecto a este incidente, finalmente publicó un comunicado mencionando: “Nuestros procesos internos son en verdad sólidos y nuestros sistemas de seguridad son los más avanzados para prevenir y detectar diversos intentos de ciberataques”. Acorde a los especialistas en análisis forense informático, el ataque se habría originado en el servidor de correo electrónico de la compañía, por lo que Wipro ya prepara una nueva red email de uso privado. Por el momento, los usuarios potencialmente afectados están siendo informados de la situación. Portavoces de la compañía han mantenido comunicación sobre las actualizaciones más recientes sobre este incidente: “Derivado de una compleja campaña de phishing, hemos detectado actividad anómala en las cuentas de algunos empleados en nuestra red interna”. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 112
Simbad: el phishing se cuela en los simuladores de Google Play Gmail, de Google, es uno de los principales servicios que usan este método de inicio de sesión, 206 aplicaciones y más de 150 millones de descargas. Este es el alcance de SimBad, una nueva campaña de adware que según investigadores de Mobile Threat de CheckPoint está haciendo estragos en la Google Play Store. Como ha explicado la compañía de seguridad, la mayoría de las aplicaciones afectadas son simuladores de juego (de ahí SimBad) y en su configuración más "sencilla" muestra en el terminal del usuario infectado innumerables anuncios (adware) fuera de la aplicación, que ralentizan y llegan a volver inutilizable cualquier teléfono móvil. No es este el único problema. Una vez instaladas, puede resultar complicado eliminar las aplicaciones afectadas del terminal. Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicaciones. Más información en https://www.muyseguridad.net/. Hackers están comprometiendo cuentas de Office 365 y G Suite usando protocolo Imap Acorde a especialistas en ciberseguridad, en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética, los hackers maliciosos están mostrando especial interés en el abuso de protocolos legítimos para incrementar la frecuencia y efectividad de los ataques de fuerza bruta. La conducta abusiva se ha enfocado principalmente en el protocolo IMAP (Protocolo de Acceso a Mensajes de Internet), que se encarga de pasar por alto la autenticación multi factor y las opciones de bloqueo para inicios de sesión sin éxito. Según el hacker ético, esta nueva campaña de ataques de fuerza bruta plantea un enfoque diferente para desplegar el ataque que utiliza la combinación de los nombres de usuario y contraseña. Gracias a un análisis realizado a una muestra de más de 100 mil inicios de sesión no autorizados en distintas plataformas, los investigadores llegaron a conclusiones como: El 70% de los usuarios han sido atacados por hackers maliciosos al menos una vez. Al menos el 40% de los usuarios tienen una de sus cuentas en línea comprometida. 15 de cada 10 mil cuentas de usuario activas han sido comprometidas con éxito. El principal objetivo de los hackers es desplegar campañas de phishing interno para generar persistencia en los sistemas de la organización atacada. El phishing interno es mucho más difícil de detectar que el externo, mencionó el experto en hacking ético. Los hackers tratarán de conseguir acceso de inicio de sesión a las cuentas en la nube de las víctimas, además dependerán de la campaña de phishing interno para propagar la infección de los sistemas. Más información en https://noticiasseguridad.com/seguridad-informatica/. Descubierta una vulnerabilidad en LTE que permite espiar llamadas Malas noticias para los usuarios de redes LTE. Tal y como publican varios medios, un grupo de investigadores de Corea del Sur, acaba de hacer público un informe en el que se identifican nada menos que 36 nuevas vulnerabilidades, en uno de los protocolos de comunicaciones inalámbricas más utilizados del mundo. Entre las reportadas, destacan algunas que permiten “manipular” antenas móviles, traduciéndose en la posibilidad de bloquear llamadas entrantes en un dispositivo, desconectar a usuarios de una red determinada, mandar SMS con malware a los usuarios que se conecten a la antena, e incluso, escuchar conversaciones privadas. No es esta la primera vez sin embargo, que un grupo de investigadores descubre vulnerabilidades de este calado en el protocolo de comunicaciones LTE. Como indican en ZDNET, se han reportado problemas similares en 2015, 2016, 2017 y 2018. ¿Por qué no se han subsanado? Básicamente por que aunque es cierto que algunas se han parcheado, la mayor parte de los esfuerzos se han centrado en el desarrollo y puesta en marcha del nuevo protocolo 5G, que nace de cero para entre otras muchas cosas, acabar con los problemas de seguridad (sin mucho éxito de momento). Para descubrir los problemas de lo que ya parece ser un protocolo más que vulnerable, los investigadores utilizaron el “fuzzing“, una técnica que consiste en inyectar una gran cantidad de datos aleatorios en una aplicación y analizar el output que produce para tratar de identificar anomalías que, en realidad, podrían ser bugs. Más información en https://www.muyseguridad.net/. Glitchpos, el malware que roba números de tarjetas de crédito de puntos de venta Especialistas en ciberseguridad en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva variante de malware diseñada para interceptar números de tarjetas de pago; el malware ha estado circulando por algunos foros de hackers maliciosos. El malware, conocido como GlitchPOS, está disponible para su compra en algunos foros de hacking alojados en dark web. Este software malicioso fue detectado por primera vez en febrero y el número de hackers que lo han comprado o usado aún es desconocido. Acorde a los investigadores, este malware cuenta con un diseño funcional y es muy fácil de utilizar; “no se requieren conocimientos avanzados de hacking para ejecutar GlitchPOS”. Los atacantes han estado desplegando el malware a través de un email malicioso, disfrazándolo como un videojuego muy simple. El malware está protegido por un packer desarrollado en VisualBasic, mismo que descifra una biblioteca (la carga útil del malware) cifrada con el packer UPX. “Cuando se descifra la carga útil, se ejecuta GlitchPOS, que captura la memoria del sistema de punto de venta”. Más información en https://noticiasseguridad.com/ Ransomware piewdiepie: archivos encriptados hasta que el youtuber alcance los 100 millones de suscriptores Los suscriptores al canal de YouTube de PewDiePie han decidido tomar medidas drásticas para que el famoso creador de contenido se consolide como el usuario con más suscriptores de la plataforma de vídeos, mencionan expertos de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética. Según se ha reportado, algún usuario desconocido desarrolló una variante de ransomware que cifra los archivos de las víctimas y sólo serán descifrados cuando el creador de contenido alcance los 100 millones de suscriptores. Acorde a los instructores de la escuela de hackers éticos la herramienta en cuestión, conocida como PewCrypt, es un ransomware basado en Java que ha cifrado miles de archivos. Aunque esta no es la peor parte; en diciembre pasado fue descubierta una nueva variante de ransomware relacionado con esta campaña, sólo que en esta ocasión el software maligno bloquea los archivos y no cuenta con un modo de recuperación, por lo que las víctimas pierden su información para siempre. Conocido como el ransomware PewDiePie, esta es una versión modificada y mal escrita del popular ransomware ShellLocker, reportan los expertos de la escuela de hackers éticos. El ransomware PewDiePie nunca almacena las claves de cifrado de las víctimas, por lo que los archivos comprometidos permanecerán bloqueados para siempre. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 110
Formjacking: la nueva amenaza que hace temblar a las tiendas on-line Se llama Formjacking y es la nueva amenaza silenciosa que ya está comprometiendo la seguridad de cientos de tiendas on-line de todo el mundo. Según el nuevo informe anual sobre amenazas informáticas publicado por Symantec, esta técnica se ha convertido en una nueva mina de oro para los cibercriminales, ya que les permite enriquecerse rápidamente sin demasiado esfuerzo. ¿Pero en qué consiste exactamente? El formjacking pasa por trasladar el concepto de cajero manipulado, al mundo virtual. Frente a la manipulación física de un cajero clásico, en el mundo on-line los ciberdelincuentes inyectan código malicioso en una tienda on-line para robar los detalles de las tarjetas de pago de los compradores. Entre los afectados por esta técnica, la compañía de seguridad destaca los casos de multinacionales como British Airways o TicketMaster, si bien asegura, son las tiendas más pequeñas las más expuestas a este tipo de ataques. De hecho Symantec afirma que de media, 4.800 sitios web únicos se ven comprometidos por código de formjacking cada mes. La empresa asegura que bloqueó más de 3,7 millones de ataques sobre puntos finales en 2018. Más información en https://www.muyseguridad.net/ GHIDRA, la herramienta gratuita de la NSA, ya tiene un bug GHIDRA v.9.0 es la nueva herramienta de análisis y reversing de binarios gratuita, publicada estos días en la conferencia RSA y creada por la NSA. En cierta manera compite por el mercado de la conocida IDA. Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior. La curiosidad es que a pocos minutos de ser publicada, Matthew Hickey ha encontrado un grave problema de seguridad. Establece el JDWP en modo debug y se pone a la escucha en el puerto 18001 de todas las interfaces. JDWP (Java Debug Wire Protocol) permite ejecutar código arbitrario en el sistema, por lo que, al quedar accesible en cualquier red el sistema queda expuesto. Arreglarlo es sencillo, modificando en la línea que lanza JDWP, el asterisco por 127.0.0.1 en el script que lo lanza. Más información en https://www.theregister.co.uk/ Nueva vulnerabilidad afecta a todas las CPUs Intel, no se puede parchear y no afecta a AMD Después de que Spectre y Meltdown estrenara una larga lista de vulnerabilidades de seguridad en las CPUs de Intel, hoy seguimos sumando para bingo con Spoiler, la última vulnerabilidad descubierta por el Instituto Politécnico de Worcester y la Universidad de Lübeck, que afecta a todas las CPU de Intel, desde las CPU Intel Core de 1ª Generación, que llegaron a mediados de 2006, hasta las más recientes, que incluye la 9ª Generación. Intel Spectre Next Generation Spectre NG 0. Según el informe, el Instituto Politécnico de Worcester y la Universidad de Lübeck ha descubierto un nuevo fallo en la microarquitectura que revela información critica acerca del mapeo de páginas físicas en procesos del espacio de usuarios. “El agujero de seguridad puede ser explotado por un conjunto limitado de instrucciones, que es visible en todas las generaciones de Intel a partir de la primera generación de procesadores Intel Core, independientemente del sistema operativo empleado y también funciona desde máquinas virtuales y entornos de espacio aislado. Más información en https://elchapuzasinformatico.com/ Zero-Day en Google Chrome permite la ejecución remota de código La vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y Linux, habría estado siendo aprovechada por atacantes. Clement Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución arbitraria de código en la máquina de la víctima, para así tomar su control. Aunque no se han revelado detalles, según Google el fallo habría estado siendo aprovechado por atacantes. Desde Google han decidido restringir los detalles de la vulnerabilidad hasta que la mayoría de usuarios hayan actualizado; lo único que se conoce de momento de este fallo de corrupción de memoria, es que se produce tras intentar acceder a memoria que ya ha sido liberada ("use-after-free"), y que afecta al componente API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona desde la máquina del usuario. Debido a la alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y MacOS, normalmente estas actualizaciones se encuentran activadas por defecto. Más información en https://unaaldia.hispasec.com/ Desconectados a nivel mundial: Facebook e Instagram estuvieron caídos y WhatsApp tuvo problemas En un miércoles de terror para las comunicaciones y el uso de las redes sociales, WhatsApp se sumó a las fallas de Facebook e Instagram:vusuarios de todo el mundo reportaron problemas con el servicio de mensajería durante 10 horas. Más información en https://tn.com.ar/tecno/f5. App de identificador de llamadas expone información de millones de usuarios La filtración de datos se relaciona con la deficiente seguridad de una implementación de MongoDB. La app de identificador de llamadas Dalil, desarrollada en Arabia Saudita, ha estado filtrando la información de sus usuarios a causa de su implementación de MongoDB, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Más de 5 millones de registros han permanecido expuestos en línea por alrededor de diez días. La base de datos fue descubierta por un equipo de expertos en seguridad en redes; los expertos trataron de contactar a la compañía sobre el incidente, aunque esta tarea se ha complicado. “Esta app es usada principalmente por habitantes de Arabia Saudita, Egipto, Palestina e Israel. El motivo de la exposición es que la implementación de MongoDB no contaba con una contraseña”, mencionan los expertos en seguridad en redes. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 109
Microsoft afirma que los ataques de phishing han aumentado bastante El equipo de seguridad de Microsoft analiza más de 6,500 millones de señales de seguridad al día para identificar tendencias que podrían afectar el entorno digital en el que vivimos. Después de analizar más de 470 mil millones de mensajes de correo electrónico que han sido enviados y recibidos por los clientes de su plataforma Office 365, la compañía informa que los ataques maliciosos de phishing están aumentando, y no por un pequeño margen. Se trata de un masivo 250 por ciento. Peor aún, las técnicas utilizadas por los estafadores son cada vez más competentes y más difíciles de detectar. Más información en https://es.digitaltrends.com/ Nuevos defectos vuelven a habilitar los ataques DMA en una amplia gama de computadoras modernas Los investigadores de seguridad han descubierto una nueva clase de vulnerabilidades de seguridad que afecta a todos los principales sistemas operativos, incluidos Microsoft Windows, Apple macOS, Linux y FreeBSD, lo que permite a los atacantes eludir los mecanismos de protección introducidos para defenderse de los ataques DMA. Conocidos desde hace años, los ataques basados en el acceso directo a la memoria (DMA) permiten que un atacante ponga en peligro una computadora específica en cuestión de segundos al conectar un dispositivo malicioso de conexión en caliente, como una tarjeta de red externa, mouse, teclado, impresora, almacenamiento, y tarjeta gráfica: en el puerto Thunderbolt 3 o el último puerto USB-C. Los ataques basados en DMA son posibles porque el puerto Thunderbolt permite que los periféricos conectados eviten las políticas de seguridad del sistema operativo y la memoria del sistema de lectura / escritura directa que contiene información confidencial, incluidas las contraseñas, los inicios de sesión bancarios, los archivos privados y la actividad del navegador. Más información en https://thehackernews.com. Estas apps de Android te han estado rastreando, incluso cuando tú no lo deseas Aproximadamente 17,000 aplicaciones de Android recopilan información de identificación que crea un registro permanente de la actividad en tu dispositivo, de acuerdo con investigación del International Computer Science Institute. La recopilación de datos parece violar la política del gigante de búsquedas sobre la recopilación de datos que pueden usarse para orientar a los usuarios a la publicidad en la mayoría de los casos, dijeron los investigadores. Las aplicaciones pueden rastrearte vinculando tu ID de publicidad (se conoce como ID Advertising, en inglés), un número único pero cambiable utilizado para personalizar la publicidad, con otros identificadores en tu teléfono que son difíciles –o imposibles– de cambiar. Esos ID están compuestos por identificaciones únicas de tu dispositivo: la dirección MAC, o los números IMEI y Android ID. Menos de un tercio de las aplicaciones que recopilan identificadores toman solo el Advertising ID, según lo que recomienda Google en su documento de prácticas adecuadas para desarrolladores. Más información en https://www.cnet.com/ Nvidia corrige ocho vulnerabilidades críticas Los desarrolladores de procesadores gráficos ofrecen protección contra vulnerabilidades encontradas en sistemas Windows y Linux. Nvidia, compañía especializada en el desarrollo de unidades de procesamiento gráfico, ha incluido una característica inusual en sus nuevos lanzamientos: protección contra ocho vulnerabilidades que podrían ser usadas para desplegar algunas variantes de ciberataque, mencionan expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética. En una publicación en su blog, la compañía informó sobre su decisión de brindar protección contra la explotación de algunas vulnerabilidades, mismas que varían en alcance. Acorde a expertos en seguridad en redes, estas vulnerabilidades podrían permitir que hackers maliciosos habilitaran ejecución remota de código, escalada de privilegios e incluso generar condiciones de denegación de servicio (DDoS). Estas vulnerabilidades se encuentran en los sistemas Windows, Linux y Solaris. Una de las vulnerabilidades reportadas, rastreada como CVE-2018-6260, permite ataques similares a los conocidos Spectre y Meltdown, mencionan expertos en seguridad en redes; sin embargo, esta falla no ha sido considerada crítica debido a que no es explotable de forma remota. Acorde a Nvidia, es necesario realizar algunas acciones adicionales para corregir por completo esta vulnerabilidad en sistemas operativos Windows y Linux. Más información en https://noticiasseguridad.com/ Nueva vulnerabilidad de escalada de privilegios en cisco Webex Hackers maliciosos podrían explotar una vulnerabilidad en Cisco Webex Meetings para sistemas operativos Windows para elevar sus privilegios y ejecutar comandos arbitrarios usando los privilegios de administrador, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Esta vulnerabilidad afecta a todas las versiones de la aplicación Cisco Webex Meetings para equipos de escritorio entre 33.6.4.15 y 33.8.2.7, aunque los expertos no descartan la posibilidad de que versiones anteriores también sean afectadas por esta vulnerabilidad. La vulnerabilidad (CVE-2019-1674) es una inyección de comandos en el sistema operativo pensada para esquivar las nuevas medidas de seguridad de Cisco, implementadas después de corregir un problema de secuestro de DLL encontrado en la misma aplicación anteriormente. Acorde a los expertos en seguridad en redes, CVE-2019-1674 existe debido a la incapacidad del servicio de actualización de Webex para Windows para validar adecuadamente los números de versión de los nuevos archivos. Atacantes locales sin privilegios podrían explotar la vulnerabilidad invocando el comando de servicio de actualización con un comando especialmente diseñado. Los hackers maliciosos podrían explotar esta vulnerabilidad reemplazando el binario de la actualización de esta aplicación con una versión anterior usando la técnica de falsa actualización de software. Posteriormente se genera la escalada de privilegios y los hackers ejecutan comandos arbitrarios con privilegios de administrador. Esta no es la primera ocasión que expertos en seguridad en redes encuentran vulnerabilidades en esta herramienta, aunque no es considerada tan severa como la vulnerabilidad conocida como WebExec, que permite a los atacantes ejecutar comandos de forma remota a través de un componente de una versión vulnerable de Webex. Más información en https://noticiasseguridad.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 106
Una imagen PNG es suficiente para vulnerar un Android Como se informó la semana pasada, una falla crítica de seguridad permite que algunos móviles con determinadas versiones del sistema operativo Android 7.0 a 9.0 estén expuestos a infectarse, simplemente abriendo un archivo de imagen PNG. Google informó de las vulnerabilidades a través de sus boletines CVE-2019-1986, CVE-2019-1987, y CVE-2019-1988, y ya transmitió especialmente sobre esto a los fabricantes que usan esos sistemas operativos. Según explican en el boletín de febrero, basta con utilizar un archivo en formato .PNG para poder atacar un teléfono inteligente o una tableta. No se ha especificado el "diseño" de este tipo de archivos en formato PNG, para evitar que sea aprovechado el fallo de seguridad, pero con ellos se puede ejecutar código arbitrario con privilegios sobre el sistema. Los dispositivos que reciben actualizaciones directas de la compañía, que son los Pixel y Android One, tienen que haber recibido ya este parche de seguridad que soluciona el importante problema relacionado con las imágenes en formato PNG. Sin embargo, otros muchos dispositivos con las versiones afectadas no recibirán nunca la actualización que acaba de ser liberada por la compañía. Por eso, Google ha decidido omitir los detalles del problema de seguridad con la intención de evitar que los atacantes puedan aprovechar el fallo y atacar a los usuarios. Más información en https://www.zdnet.com/ Glovo hackeada: los clientes denuncian el cobro de pedidos que no han realizado Tras las polémicas en torno a los problemas con sus repartidores, ahora se enfrenta a la denuncia por parte de decenas de clientes que aseguran que Glovo ha sido hackeada. A lo largo del fin de semana los usuarios de la app notaron que el acceso a su perfil ha quedado bloqueado por un cambio de contraseña y al restaurarla se han dado cuenta que su email y cuentas bancarias muestran cargos producidos desde Egipto en la app, además de que su nombre de usuario ha cambiado, así como la localización y el idioma. El reporte de que la app de Glovo ha sido hackeada se ha producido en España, Perú, Argentina e Inglaterra. Hasta el momento, Glovo no ha ofrecido un comunicado oficial sobre esta brecha de seguridad que sus usuarios en varios países han informado, sin embargo al ponernos en contacto con la agencia de prensa de Glovo, nos han asegurado que los hackers no han tenido acceso a los datos de las tarjetas de sus clientes, ya que esa información se gestiona por medio de una plataforma externa. En cualquier caso, la recomendación general es que por el momento y hasta que esta situación se resuelva, debes actualizar los datos de tu cuenta en Glovo: asegura que tu número telefónico sea el correcto y cambia la contraseña utilizando un código seguro y que sea único para esta app. Más información en https://marketing4ecommerce.net/ Ciberdelincuentes vacían tus cuentas con los códigos de un solo uso La autentificación de doble factor es un método muy utilizado por las instituciones financieras de todo el mundo para mantener a salvo el dinero de sus clientes: ya sabes, esos 4 o 6 dígitos que recibes del banco y que tienes que introducir para aprobar una transacción. Normalmente, los bancos envían contraseñas de un solo uso a través de mensajes de texto. Por desgracia, los SMS son uno de los métodos más débiles de implantación de la 2FA, ya que pueden ser interceptados y eso es lo que acaba de suceder en el Reino Unido. Los cibercriminales pueden acceder a tus mensajes de distintas formas y una de las más extravagantes es explotando un error en el SS7, un protocolo utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas. A la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen acceder, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas. El procedimiento es el siguiente: primero, los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca online y solicitan una transferencia. Actualmente, la mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7: interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono. Los bancos aceptan la transferencia como legítima, ya que la transacción se ha autorizado dos veces: con tu contraseña y con el código de un solo uso. Por tanto, el dinero acaba en manos de los delincuentes. Más información en https://latam.kaspersky.com/ Alemania prohíbe que WhatsApp e Instagram compartan datos con Facebook sin consentimiento Facebook vuelve a encontrarse con un nuevo obstáculo interpuesto por las autoridades alemanas y en este caso el obstáculo afecta a la línea de flotación de su negocio de recopilación de datos. La Oficina Federal Antimonopolio de Alemania ha anunciado la prohibición a la red social de recopilar datos a través de terceros, lo que significa que, por ejemplo, no podrá recopilar los datos generados mediante el botón de «Me gusta», los llamados «likes», una práctica que tacha de «abusiva» e «injusta para la competencia». Las autoridades de la competencia alemanas basan su decisión en el hecho de que Facebook desempeña una posición dominante en el mercado y en la valoración de que está abusando de ella. Facebook ha comunicado que tiene previsto recurrir la decisión ante la Justicia y se juega mucho en ese recurso, porque el caso podría sentar un precedente europeo, vinculando por primera vez en la jurisprudencia la protección de datos con la defensa de la competencia. Más información en https://www.abc.es/tecnologia/redes/ Rusia se desconectará del internet mundial Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el gobierno de Rusia estaría considerando la posibilidad de desconectarse de Internet a nivel global por un breve periodo de tiempo, todo como parte de una prueba de ciberseguridad. Esto implica que los datos enviados y recibidos entre individuos y organizaciones rusas permanecerán en las redes de ese país, en lugar de ser enrutados de forma trasnacional. Una ley que está por ser aprobada podría ser el motivo principal por el que el gobierno ruso contempla esta opción, reportan los expertos en seguridad en redes. En esta ley se establece que se deberán realizar todas las modificaciones técnicas necesarias para operar de forma independiente. Para implementar el proyecto denominado Programa de Economía Digital, se requiere que los proveedores de servicios de Internet en Rusia se aseguren de poder operar en caso de que un ataque extranjero aísle las redes rusas. Países miembros de la Organización del Tratado del Atlántico Norte (OTAN) acusan continuamente al gobierno ruso de promover actividades de ciberguerra, por lo que ya han amagado con imponer sanciones por este proyecto. Se espera que la prueba se realice a comienzos del mes de abril, aunque se desconoce la fecha exacta. Más información en https://noticiasseguridad.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 104
Un fallo de WhatsApp permite ver los mensajes borrados WhatsApp incorporó, meses atrás, la posibilidad de eliminar mensajes enviados. Sin embargo, es posible que un error en la aplicación pueda resucitar estos mensajes no deseados y cause estragos a algunos de los usuarios. Se trata, según Metro, de la copia de seguridad que realiza WhatsApp, todas las noches, a las dos de la madrugada, para mantener un registro de los chats. Un error en el sistema de la copia de seguridad podría hacer ‘resucitar’ los mensajes eliminados. Por lo que si recibes un aviso de WhatsApp que te dice que el mensaje que te acaban de enviar ha sido eliminado y te pica la curiosidad, solo debes restaurar la copia de seguridad. Los mensajes perdidos volverán a la vida. Para realizar este truco, solo deberás desinstalar la ‘app’ y volverla a instalar, y se restaurarán los chats desde la copia de seguridad. Más información en https://www.lavanguardia.com/tecnologia. ¿Cuánto les cuesta el cibercrimen a las empresas? El cibercrimen podría costarles 5,2 billones de dólares a las compañías en los próximos cinco años según un informe de Accenture. Las compañías podrían incurrir en 5,2 billones de dólares de costes adicionales y pérdidas de ingresos, a nivel global y en los próximos cinco años, como consecuencia de ciberataques, según un nuevo estudio de Accenture. Esto se debe a que la dependencia de modelos de negocio complejos, basados en Internet, sobrepasa la capacidad de las compañías de introducir medidas de protección adecuadas para resguardar sus principales activos. El informe, Securing the Digital Economy: Reinventig the Internet for Trust, se ha realizado a través de una encuesta a más de 1.700 CEO y altos ejecutivos de todo el mundo, en la que se exploran las complejidades de los desafíos de Internet a los que se enfrentan las empresas y se esbozan los pasos que los directivos deben dar para evolucionar su rol en cuestiones de tecnología, arquitectura de negocio y gobierno. El estudio resalta que el cibercrimen plantea una serie de retos que pueden amenazar las operaciones, la innovación y el crecimiento de las compañías, así como la expansión de nuevos productos y servicios.Más información en http://www.computing.es/seguridad/ Se detecta una familia de Ransomware, Anatova McAfee ha publicado una noticia en la que anuncia una nueva familia de Ransomware detectada, la cual han bautizado con el nombre de Anatova. La detección de esta familia se realizó a través de redes P2P privadas, y se cree que Anatova puede ser un peligro serio para la red en general debido a la extensión modular con la que se ha creado el malware y al auto cifrado del que dispone sus recursos a través de estas redes. El método de entrada que utiliza Anatova normalmente es el engaño de la víctima a través de un camuflado de su icono con uno de juegos o aplicaciones conocidas en estas redes P2P, lo que lo hace más amigable para las víctimas.El objetivo es el cifrado de todos los documentos de la máquina infectada para después pedir un rescate en criptomonedas, que asciende a 700$. Más información en https://unaaldia.hispasec.com. Vulnerabilidad en FaceTime permite espiar a usuarios de Apple Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de una vulnerabilidad sin parchear en FaceTime, la aplicación de Apple para realizar llamadas de audio y vídeo. Según los reportes, este error permitiría que el receptor de una llamada sea visto o escuchado desde antes de contestar la llamada. Este incidente se ha vuelto viral en Twitter y otras redes sociales, donde los usuarios han mostrado su malestar con esta falla de seguridad, pues cualquier dispositivo Apple podría convertirse en una máquina de espionaje sin que la víctima pueda darse cuenta. Esta falla, que algunos consideran más una falla de diseño que una vulnerabilidad, reside en la función Group FaceTime, lanzada recientemente por Apple. El proceso para reproducir el error es el siguiente: Inicie una videollamada de FaceTime con cualquier contacto Mientras se marca al contacto, deslice hacia arriba desde la parte inferior de la pantalla de su iPhone y seleccione “Agregar persona” En “Agregar persona”, agregue su propio número Esto iniciará una llamada grupal de FaceTime entre usted y la persona a la que llamó, con lo que podrá escuchar al receptor de la llamada, incluso si la persona aún no acepta la llamada Los especialistas en seguridad en redes también mencionaron que si la persona que recibe la llamada presiona el botón de volumen o encendido (para silenciar o rechazar la llamada) la cámara del iPhone podría encenderse. Más información en https://noticiasseguridad.com/. Robo de datos afecta a usuarios de tarjetas Discover Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan un incidente de seguridad en los sistemas de las tarjetas Discover, gracias al que usuarios maliciosos habrían accedido a una cantidad indefinida de detalles de identificación de los clientes, como números de cuenta, fechas de vencimiento, e incluso códigos de seguridad de las tarjetas. Incluso cuando esta clase de incidentes de seguridad son comunes entre las instituciones financieras, esta es la segunda ocasión en menos de un año en que Discover Financial Services notifica un robo de datos relacionado con las tarjetas de sus clientes a las autoridades de California. Con base en los comentarios de Discover, especialistas en seguridad en redes creen que los atacantes habrían obtenido la información comprometiendo los servicios de terceros con acceso a los datos de pago de los clientes de Discover, o bien los datos podrían haber estado a la venta en algún foro de dark web gracias al uso de malware de robo de datos o a skimmers de tarjetas instalados en puntos de venta o cajeros automáticos. Más información en https://noticiasseguridad.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
