Noticias de Seguridad a nivel mundial: boletín nº 110
Formjacking: la nueva amenaza que hace temblar a las tiendas on-line Se llama Formjacking y es la nueva amenaza silenciosa que ya está comprometiendo la seguridad de cientos de tiendas on-line de todo el mundo. Según el nuevo informe anual sobre amenazas informáticas publicado por Symantec, esta técnica se ha convertido en una nueva mina de oro para los cibercriminales, ya que les permite enriquecerse rápidamente sin demasiado esfuerzo. ¿Pero en qué consiste exactamente? El formjacking pasa por trasladar el concepto de cajero manipulado, al mundo virtual. Frente a la manipulación física de un cajero clásico, en el mundo on-line los ciberdelincuentes inyectan código malicioso en una tienda on-line para robar los detalles de las tarjetas de pago de los compradores. Entre los afectados por esta técnica, la compañía de seguridad destaca los casos de multinacionales como British Airways o TicketMaster, si bien asegura, son las tiendas más pequeñas las más expuestas a este tipo de ataques. De hecho Symantec afirma que de media, 4.800 sitios web únicos se ven comprometidos por código de formjacking cada mes. La empresa asegura que bloqueó más de 3,7 millones de ataques sobre puntos finales en 2018. Más información en https://www.muyseguridad.net/ GHIDRA, la herramienta gratuita de la NSA, ya tiene un bug GHIDRA v.9.0 es la nueva herramienta de análisis y reversing de binarios gratuita, publicada estos días en la conferencia RSA y creada por la NSA. En cierta manera compite por el mercado de la conocida IDA. Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior. La curiosidad es que a pocos minutos de ser publicada, Matthew Hickey ha encontrado un grave problema de seguridad. Establece el JDWP en modo debug y se pone a la escucha en el puerto 18001 de todas las interfaces. JDWP (Java Debug Wire Protocol) permite ejecutar código arbitrario en el sistema, por lo que, al quedar accesible en cualquier red el sistema queda expuesto. Arreglarlo es sencillo, modificando en la línea que lanza JDWP, el asterisco por 127.0.0.1 en el script que lo lanza. Más información en https://www.theregister.co.uk/ Nueva vulnerabilidad afecta a todas las CPUs Intel, no se puede parchear y no afecta a AMD Después de que Spectre y Meltdown estrenara una larga lista de vulnerabilidades de seguridad en las CPUs de Intel, hoy seguimos sumando para bingo con Spoiler, la última vulnerabilidad descubierta por el Instituto Politécnico de Worcester y la Universidad de Lübeck, que afecta a todas las CPU de Intel, desde las CPU Intel Core de 1ª Generación, que llegaron a mediados de 2006, hasta las más recientes, que incluye la 9ª Generación. Intel Spectre Next Generation Spectre NG 0. Según el informe, el Instituto Politécnico de Worcester y la Universidad de Lübeck ha descubierto un nuevo fallo en la microarquitectura que revela información critica acerca del mapeo de páginas físicas en procesos del espacio de usuarios. “El agujero de seguridad puede ser explotado por un conjunto limitado de instrucciones, que es visible en todas las generaciones de Intel a partir de la primera generación de procesadores Intel Core, independientemente del sistema operativo empleado y también funciona desde máquinas virtuales y entornos de espacio aislado. Más información en https://elchapuzasinformatico.com/ Zero-Day en Google Chrome permite la ejecución remota de código La vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y Linux, habría estado siendo aprovechada por atacantes. Clement Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución arbitraria de código en la máquina de la víctima, para así tomar su control. Aunque no se han revelado detalles, según Google el fallo habría estado siendo aprovechado por atacantes. Desde Google han decidido restringir los detalles de la vulnerabilidad hasta que la mayoría de usuarios hayan actualizado; lo único que se conoce de momento de este fallo de corrupción de memoria, es que se produce tras intentar acceder a memoria que ya ha sido liberada ("use-after-free"), y que afecta al componente API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona desde la máquina del usuario. Debido a la alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y MacOS, normalmente estas actualizaciones se encuentran activadas por defecto. Más información en https://unaaldia.hispasec.com/ Desconectados a nivel mundial: Facebook e Instagram estuvieron caídos y WhatsApp tuvo problemas En un miércoles de terror para las comunicaciones y el uso de las redes sociales, WhatsApp se sumó a las fallas de Facebook e Instagram:vusuarios de todo el mundo reportaron problemas con el servicio de mensajería durante 10 horas. Más información en https://tn.com.ar/tecno/f5. App de identificador de llamadas expone información de millones de usuarios La filtración de datos se relaciona con la deficiente seguridad de una implementación de MongoDB. La app de identificador de llamadas Dalil, desarrollada en Arabia Saudita, ha estado filtrando la información de sus usuarios a causa de su implementación de MongoDB, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Más de 5 millones de registros han permanecido expuestos en línea por alrededor de diez días. La base de datos fue descubierta por un equipo de expertos en seguridad en redes; los expertos trataron de contactar a la compañía sobre el incidente, aunque esta tarea se ha complicado. “Esta app es usada principalmente por habitantes de Arabia Saudita, Egipto, Palestina e Israel. El motivo de la exposición es que la implementación de MongoDB no contaba con una contraseña”, mencionan los expertos en seguridad en redes. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 104
Un fallo de WhatsApp permite ver los mensajes borrados WhatsApp incorporó, meses atrás, la posibilidad de eliminar mensajes enviados. Sin embargo, es posible que un error en la aplicación pueda resucitar estos mensajes no deseados y cause estragos a algunos de los usuarios. Se trata, según Metro, de la copia de seguridad que realiza WhatsApp, todas las noches, a las dos de la madrugada, para mantener un registro de los chats. Un error en el sistema de la copia de seguridad podría hacer ‘resucitar’ los mensajes eliminados. Por lo que si recibes un aviso de WhatsApp que te dice que el mensaje que te acaban de enviar ha sido eliminado y te pica la curiosidad, solo debes restaurar la copia de seguridad. Los mensajes perdidos volverán a la vida. Para realizar este truco, solo deberás desinstalar la ‘app’ y volverla a instalar, y se restaurarán los chats desde la copia de seguridad. Más información en https://www.lavanguardia.com/tecnologia. ¿Cuánto les cuesta el cibercrimen a las empresas? El cibercrimen podría costarles 5,2 billones de dólares a las compañías en los próximos cinco años según un informe de Accenture. Las compañías podrían incurrir en 5,2 billones de dólares de costes adicionales y pérdidas de ingresos, a nivel global y en los próximos cinco años, como consecuencia de ciberataques, según un nuevo estudio de Accenture. Esto se debe a que la dependencia de modelos de negocio complejos, basados en Internet, sobrepasa la capacidad de las compañías de introducir medidas de protección adecuadas para resguardar sus principales activos. El informe, Securing the Digital Economy: Reinventig the Internet for Trust, se ha realizado a través de una encuesta a más de 1.700 CEO y altos ejecutivos de todo el mundo, en la que se exploran las complejidades de los desafíos de Internet a los que se enfrentan las empresas y se esbozan los pasos que los directivos deben dar para evolucionar su rol en cuestiones de tecnología, arquitectura de negocio y gobierno. El estudio resalta que el cibercrimen plantea una serie de retos que pueden amenazar las operaciones, la innovación y el crecimiento de las compañías, así como la expansión de nuevos productos y servicios.Más información en http://www.computing.es/seguridad/ Se detecta una familia de Ransomware, Anatova McAfee ha publicado una noticia en la que anuncia una nueva familia de Ransomware detectada, la cual han bautizado con el nombre de Anatova. La detección de esta familia se realizó a través de redes P2P privadas, y se cree que Anatova puede ser un peligro serio para la red en general debido a la extensión modular con la que se ha creado el malware y al auto cifrado del que dispone sus recursos a través de estas redes. El método de entrada que utiliza Anatova normalmente es el engaño de la víctima a través de un camuflado de su icono con uno de juegos o aplicaciones conocidas en estas redes P2P, lo que lo hace más amigable para las víctimas.El objetivo es el cifrado de todos los documentos de la máquina infectada para después pedir un rescate en criptomonedas, que asciende a 700$. Más información en https://unaaldia.hispasec.com. Vulnerabilidad en FaceTime permite espiar a usuarios de Apple Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de una vulnerabilidad sin parchear en FaceTime, la aplicación de Apple para realizar llamadas de audio y vídeo. Según los reportes, este error permitiría que el receptor de una llamada sea visto o escuchado desde antes de contestar la llamada. Este incidente se ha vuelto viral en Twitter y otras redes sociales, donde los usuarios han mostrado su malestar con esta falla de seguridad, pues cualquier dispositivo Apple podría convertirse en una máquina de espionaje sin que la víctima pueda darse cuenta. Esta falla, que algunos consideran más una falla de diseño que una vulnerabilidad, reside en la función Group FaceTime, lanzada recientemente por Apple. El proceso para reproducir el error es el siguiente: Inicie una videollamada de FaceTime con cualquier contacto Mientras se marca al contacto, deslice hacia arriba desde la parte inferior de la pantalla de su iPhone y seleccione “Agregar persona” En “Agregar persona”, agregue su propio número Esto iniciará una llamada grupal de FaceTime entre usted y la persona a la que llamó, con lo que podrá escuchar al receptor de la llamada, incluso si la persona aún no acepta la llamada Los especialistas en seguridad en redes también mencionaron que si la persona que recibe la llamada presiona el botón de volumen o encendido (para silenciar o rechazar la llamada) la cámara del iPhone podría encenderse. Más información en https://noticiasseguridad.com/. Robo de datos afecta a usuarios de tarjetas Discover Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan un incidente de seguridad en los sistemas de las tarjetas Discover, gracias al que usuarios maliciosos habrían accedido a una cantidad indefinida de detalles de identificación de los clientes, como números de cuenta, fechas de vencimiento, e incluso códigos de seguridad de las tarjetas. Incluso cuando esta clase de incidentes de seguridad son comunes entre las instituciones financieras, esta es la segunda ocasión en menos de un año en que Discover Financial Services notifica un robo de datos relacionado con las tarjetas de sus clientes a las autoridades de California. Con base en los comentarios de Discover, especialistas en seguridad en redes creen que los atacantes habrían obtenido la información comprometiendo los servicios de terceros con acceso a los datos de pago de los clientes de Discover, o bien los datos podrían haber estado a la venta en algún foro de dark web gracias al uso de malware de robo de datos o a skimmers de tarjetas instalados en puntos de venta o cajeros automáticos. Más información en https://noticiasseguridad.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 118
Vulnerabilidad en WhatsApp permite instalar spyware en teléfonos con solo realizar una llamada WhatsApp reveló la existencia de una vulnerabilidad crítica en la aplicación que permite instalar el conocido spyware Pegasus en dispositivos Android e iOS con solo realizar una llamada al número de teléfono que se busca comprometer. La vulnerabilidad ya fue reparada y la compañía lanzó un parche con la última actualización. De acuerdo a la información revelada el 13 de mayo, Facebook, propietario de WhatsApp, anunció oficialmente la existencia de una vulnerabilidad (CVE-2019-3568) de buffer overflow (o desbordamiento de búfer) en WhatsApp VOIP que permiten la ejecución remota de código en el dispositivo de la víctima cuando se logra enviarle al número de teléfono elegido como blanco de ataque paquetes de SRTP especialmente diseñados. En este sentido, para explotar el fallo el atacante solo necesita llamar a un dispositivo vulnerable. Además, la víctima ni siquiera necesita aceptar la llamada para que su equipo sea comprometido e incluso la llamada desaparece del registro, explicó Financial Times. Continúa navegando en https://www.welivesecurity.com/. 50.000 empresas que ejecutan software de SAP vulnerables a ataques Los investigadores afirman que hasta 50.000 empresas que han adoptado soluciones SAP pueden ser susceptibles a ataques cibernéticos debido a nuevas vulnerabilidades que apuntan a fallas de configuración en el software. Según el equipo de seguridad cibernética de los laboratorios de investigación Onapsis, los ataques denominados 10KBlaze que apuntan a dos componentes técnicos del software SAP se han lanzado recientemente y pueden llevar al "compromiso total" de las aplicaciones SAP. Las herramientas "10KBlaze" también podrían usarse para crear nuevos usuarios con privilegios arbitrarios, para realizar funciones comerciales como crear nuevos proveedores o pedidos de compra, en otras palabras, cometer fraude financiero y obtener acceso a las bases de datos de SAP o interrumpir operaciones de negocios. Sin ninguna forma de autenticación, los atacantes remotos solo necesitan algunos conocimientos técnicos y conectividad de red al sistema vulnerable para realizar un ataque. Todos los sistemas SAP NetWeaver Application Server (AS) y S / 4HANA, ya que utilizan una Lista de control de acceso en Gateway y un Servidor de mensajes, pueden estar en riesgo. Continúa navegando en https://www.zdnet.com/article/. Hackers están explotando vulnerabilidad en Microsoft Sharepoint Una auditoría de seguridad informática reveló que actores de amenazas están explotando activamente una vulnerabilidad de ejecución remota de código en algunas versiones de SharePoint Server para instalar la herramienta de hacking conocida como The China Copper. A pesar de que la vulnerabilidad ya había sido corregida, no todas las implementaciones de SharePoint habían sido actualizadas. La vulnerabilidad, identificada como CVE-2019-0604, afecta a todas las versiones desde SharePoint 2010 hasta SharePoint 2019; Microsoft corrigió la falla en febrero y lanzó parches de actualización en marzo y abril. “Después de la auditoría de seguridad informática descubrimos que un hacker que trate de explotar esta vulnerabilidad podría ejecutar código arbitrario en el grupo de aplicaciones de SharePoint”, mencionaron los especialistas. Según los reportes, para explotar esta vulnerabilidad un atacante necesita de un paquete de aplicaciones de SharePoint especialmente diseñado. Para explotar esta vulnerabilidad, los actores de amenazas emplearon la herramienta de hacking The China Chopper para acceder de forma remota a los servidores comprometidos para enviar comandos y administrar archivos en los servidores de las víctimas. Continúa navegando en https://noticiasseguridad.com/vulnerabilidades/. Morpheus, el procesador “imposible de hackear” Expertos del diplomado en seguridad en redes del IICS reportan el lanzamiento de una nueva arquitectura de procesador de computadora que podría redefinir la forma en la que un sistema se defiende contra las amenazas cibernéticas, dejando en el pasado el modelo de trabajo de actualizaciones y correcciones periódicas. Este nuevo chip, llamado Morpheus, bloquea potenciales ciber ataques empleando cifrado y organizando aleatoriamente los bits clave de su propio código unas 20 veces por segundo, sobrepasando por mucho la velocidad de cualquier hacker o herramienta de hacking conocida. “El enfoque actual para corregir fallas de seguridad ya debería ser considerado obsoleto”, mencionan los especialistas del diplomado en seguridad en redes. “Nuevo código es desarrollado día a día, mientras esto siga sucediendo, siempre habrá nuevas fallas y vulnerabilidades”, añadieron. Con Morpheus, aunque los hackers descubran vulnerabilidades, la información necesaria para explotar estas fallas habrá desaparecido del sistema objetivo en cuestión de segundos. El primer prototipo de este procesador se defendió de forma exitosa contra todas las variantes de ataque de flujo conocidas; esta es una de las técnicas de ciberataque más peligrosas y utilizadas por los hackers. Esta tecnología podría usarse para múltiples propósitos, desde laptops, PCs de escritorio e incluso dispositivos de Internet de las Cosas (IoT), que requieren de más y mejores medidas de seguridad cada día. Continúa navegando en https://noticiasseguridad.com/ Filtración de código fuente confidencial de Samsung Una auditoría de seguridad informática ha revelado que una gran cantidad de información confidencial se ha expuesto al público de forma indebida en GitLab; acorde a los expertos, entre la información comprometida se encuentran código fuente, credenciales de acceso y claves confidenciales para varios proyectos privados. Una de las implementaciones comprometidas ha sido usada por personal de Samsung para trabajar en el código de algunos proyectos de la compañía, como Samsung SmartThings. Después de la auditoría de seguridad informática, se descubrieron decenas de proyectos de codificación interna de Samsung expuestos en GitLab debido a una configuración de seguridad errónea (no estaban protegidos con contraseña). Esto quiere decir que cualquiera podía acceder a ellos e incluso descargar el código fuente de SmartThings, la plataforma para smarthome desarrollada por Samsung y los certificados privados para la implementación de SmartThings en iOS y Android. Acorde a los expertos, muchas de las carpetas expuestas almacenaban registros y datos analíticos para los servicios de SmartThings y Bixby de Samsung, al igual que los tokens privados de GitLab de varios empleados almacenados en texto simple. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 119
Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto Los datos personales y financieros de 4,5 millones de visitantes de la Alhambra y casi 1.000 agencias de viaje han quedado al descubierto por un fallo en la web oficial de reservas de entradas. Números de cuentas corrientes, contraseñas, nombres y apellidos, teléfono móvil, 'e-mail', dirección postal… Son los datos privados de visitantes y agencias de viaje que han estado totalmente desprotegidos durante dos años en la web oficial de compra de entradas de la Alhambra, gestionada por un organismo adscrito a la Consejería de Cultura de la Junta de Andalucía. En total, más de 4,5 millones de visitantes, muchos turistas, y casi un millar de agencias de viajes han tenido sus datos expuestos en la que ya es una de las mayores brechas de seguridad en España de los últimos años. Si usted ha usado recientemente la web tickets.alhambra-patronato.es del Patronato de la Alhambra y Generalife, la página oficial adscrita a la Junta de Andalucía que gestiona el 100% de la reserva y venta de entradas al monumento, todos los datos enviados han quedado expuestos. El fallo, detectado por el grupo de 'hackers' La9, vinculado a Anonymous, afectaba a la página desde mediados de 2017. Continúa navegando en https://www.elconfidencial.com/tecnologia. Datos pertenecientes a influencers y celebridades de Instagram expuestos en línea La noticia se informó por primera vez en el sitio web de TechCrunch, una base de datos se dejó desprotegida en un depósito de AWS, cualquiera pudo acceder a ella sin autenticación. Instagram. La base de datos no protegida fue descubierta por el investigador de seguridad Anurag Sen que informó de inmediato su descubrimiento a TechCrunch en un esfuerzo por encontrar al propietario. "Una base de datos masiva que contiene información de contacto de millones de personas influyentes en Instagram, celebridades y cuentas de marca se ha encontrado en línea". En el momento de escribir este artículo, la base de datos tenía más de 49 millones de registros, pero estaba creciendo por hora. La base de datos contenía datos públicos extraídos de las cuentas de Instagram de influencer, incluida su biografía, foto de perfil, número de seguidores, si están verificados, su ubicación por ciudad y país, información de contacto privado, dirección de correo electrónico y número de teléfono de la Propietario de la cuenta de Instagram. Cada registro en la base de datos también contenía un campo que calculaba el valor de cada cuenta. La lista de personas influyentes en el archivo incluye destacados blogueros de alimentos, celebridades y otras personas influyentes en las redes sociales. Continúa navegando en https://securityaffairs.co/. Examinando WhatsApp en sus investigaciones forenses WhatApp hoy en día es una aplicación de mensajería tan popular con hasta 1.500 millones de usuarios activos mensuales en más de 180 países que la usan diariamente. En el top de los 5 principales países, Brasil y México se ubicaron en el 4º y 5º lugar representando en conjunto el 38% del total de usuarios activos. En América Latina, el uso de WhatsApp facilita la comunicación diaria y ha llegado a ser incluso más común que los mensajes de texto. Como resultado, WhatsApp ha creado un gran desafío para las investigaciones forenses debido a la creciente cantidad de datos producidos y la creación de nuevos modus operandi por parte de los delincuentes que utilizan la plataforma para: Fuga de datos sensibles. Compartir contenidos de abuso infantil. Apoyar las extorsiones. Realizar otros delitos cibernéticos que aún no son conocidos o tipificados por los tribunales de la región. Continúa navegando en https://www.magnetforensics.com/resources/. El ransomware «RobbinHood» tumba las redes gubernamentales de Baltimore Un ataque de ransomware mediante el conocido "RobbinHood" ha tumbado las redes gubernamentales de la ciudad de Baltimore. Es un nuevo recordatorio de la peligrosidad de este tipo de malware, especialmente en redes empresariales. RobbinHood es un ransomware que se dirige específicamente a las empresas, no se distribuye a través de spam, sino a través de otros métodos, que podrían incluir servicios de escritorio remoto previamente hackeados u otros troyanos que brindan acceso a los atacantes. Desde que apareció, no ha sido fácil encontrar muestras del ransomware RobbinHood. MalwareHunterTeam fue capaz de encontrar muestras para hacer ingeniería reversa y aprender sobre él. El malware detiene 181 servicios de Windows asociados con antivirus, bases de datos, servidores de correo y otros programas que podrían mantener los archivos abiertos y evitar su cifrado. Lo hace emitiendo el comando "sc.exe stop". Continúa navegando en https://www.muycomputerpro.com/. Comprometen más de 29 botnets de IoT con credenciales débiles Un hacker con nick 'Subby' se hizo con más de 29 botnets de IoT en las últimas semanas haciendo fuerza bruta sobre los paneles de backend de sus servidores C2, debido a que éstos usaban credenciales débiles. "Ahora, esta teoría ha sido llevada a la práctica por un threat actor llamado Subby, que ha hecho fuerza bruta al menos contra 29 IoT C2s y los ha comprometido utilizando credenciales extremadamente triviales", escribió Ankit Anubhav, investigador de seguridad de NewSky Security. "Según lo compartido por el threat actor, se puede ver que las credenciales utilizadas son bastante débiles". Subby le dijo a Anubhav que algunos de los C2 asociados con las redes de bots de IoT estaban usando credenciales muy comunes, incluyendo "root: root", "admin: admin" y "oof: oof". Continúa navegando en https://www.hackplayers.com/. Ciberataques contra hospitales aumentan 1000% Durante un reciente evento de ciberseguridad en California, E.U., especialistas ofrecieron una conferencia en la que hablaron de las consecuencias que puede generar un ataque cibernético contra los sistemas de un hospital o dispositivos médicos conectados a una red; durante la conferencia, los expertos afirmaron que los ciberataques contra centros hospitalarios incrementaron alrededor de 1200% el último año. Una de las principales interrogantes al pensar en una situación de esta clase es: ¿pueden los doctores salvar a un paciente si el equipo médico ha sido hackeado? “Tratamos de generar conciencia sobre estos riesgos”, mencionan los especialistas en temas de hacking y ciberseguridad Jeff Tully y Christian Dameff, encargados de brindar la conferencia. “La mayoría de los centros hospitalarios ni siquiera cuenta con los recursos tecnológicos y personal capacitado para detectar un incidente de ciberataque“, agregaron los expertos. Un ejemplo claro de estas debilidades de seguridad es el brote de ransomware WannaCry, surgido en 2017. En aquel entonces, este malware fue capaz de colapsar la infraestructura informática de 16 hospitales en Reino Unido; el gobierno de países como Estados Unidos señaló abiertamente a Corea del Norte como responsable de los ataques, alegando motivaciones políticas y financieras. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 123
Whatsapp podría permitir que los mensajes sean rastreables, los gobiernos podrían identificar el origen de un mensaje Acorde a especialistas en protección de datos personales, las autoridades de India han solicitado al popular servicio de mensajería WhatsApp que tome registros digitales de los mensajes enviados a través de la plataforma sin violar el cifrado, pues de esta manera los mensajes serían rastreables, lo que facilitaría algunas labores de inteligencia del gobierno. El gobierno de India considera que WhatsApp debe tener la capacidad de identificar el origen de un mensaje en específico, el número de personas que lo han recibido y el número de veces que ha sido reenviado, todo sin necesidad de acceder al contenido del mensaje. Para el gobierno de India el rastreo de un mensaje de esta plataforma se ha vuelto prioridad después de que una serie de noticias falsas sobre secuestros de niños provocara múltiples linchamientos en diferentes territorios. “Nuestra intención no es leer los mensajes de los usuarios, sólo pretendemos rastrear el origen de los mensajes reenviados a múltiples usuarios que generan esta clase de confusiones”, mencionó un funcionario del gobierno. India es uno de los mercados principales para WhatsApp, con más de 300 millones de usuarios activos registrados. Continúa navegando en https://noticiasseguridad.com/seguridad-informatica. 8.4TB en metadatos de correos electrónicos expuestos en brecha de seguridad Una base de datos perteneciente a la Shanghai Jiao Tong University ha sufrido una brecha de seguridad exponiendo 8.4TB en metadatos de correos electrónicos por no implementar las reglas básicas de autenticación. Publicado por el blog de ciberseguridad, Rainbowtabl.es el descubridor Justin Paine cuenta que tras una búsqueda con Shodan encontró esta base de datos ElasticSearch sin ningún tipo de autenticación. La base de datos contenía metadatos de una enorme cantidad de correos electrónicos, que eventualmente confirmó, tanto el servidor y los correos electrónicos pertenecían a una universidad ubicada en China. La base de datos contenía 9.5 mil millones de hileras de datos, y se encontraba activa en el momento del descubrimiento, ya que aumentó de 7TB del 23 de mayo a 8.4TB sólo un día después. «Basándome en los metadatos, pude localizar todos los correos electrónicos enviados o recibidos por una persona específica», dijo Paine» Estos datos también incluyen la dirección IP y el agente de usuario de la persona que revisa su correo electrónico. Como tal, podría localizar todas las direcciones IP utilizadas y el tipo de dispositivo de una persona específica».Continúa navegando en https://safeshadow.com/seguridad-informatica/. Chile: se filtró información de más de 40 mil tarjetas de crédito y débito La Comisión para el Mercado Financiero (CMF) emitió un comunicado informando que Redbanc reportó en la casilla de incidentes operacionales la filtración de 41.953 tarjetas de crédito y débito emitidas por un total de 13 instituciones (bancarias y no bancarias) de Chile y que las mismas bloquearon las tarjetas como mecanismo de prevención y se comunicaron con los clientes afectados por el incidente. Por su parte, la prestadora de servicios de procesamiento de transacciones Redbanc, publicó un comunicado en el que confirma el incidente y afirma también que a partir de la información robada y previo a la implementación de las medidas de contención, se identificaron 82 operaciones fraudulentas. La empresa resaltó en el comunicado que el hecho se trata de un delito que está en proceso de investigación por el OS9 de Carabineros de Chile. Según publicó Pulso, Redbanc investiga a uno de sus proveedores por el robo de la información. Asimismo, la Asociación de Bancos e Instituciones Financieras (ABIF) aseguró que luego de haber sido informados de la filtración, los bancos activaron sus protocolos de seguridad a tiempo, bloqueando las tarjetas afectadas y comenzando con el proceso de emisión de nuevas tarjetas para sus clientes, explicó el medio. Continúa navegando en https://www.welivesecurity.com. Sus dispositivos IoT, como cámaras, lavadoras, almacenamiento Nas, y demás, se verán afectados por este nuevo malware Hace un par de años la botnet Mirai puso en aprietos a miles de administradores de sistemas antes de ser desmantelada; no obstante, expertos en seguridad en páginas web afirman que los desarrolladores de malware siguen usando su código fuente como base para nuevas variantes de la botnet para explotar dispositivos de Internet de las Cosas (IoT). Nuevas versiones de la botnet aparecen con una frecuencia amenazadora, lanzando ataques masivos contra dispositivos inteligentes de todo el mundo, ya sea explotando vulnerabilidades conocidas o burlando las medidas básicas de seguridad de estos dispositivos. Una de las más recientes versiones de botnet Mirai ha sido identificada como Echobot. Especialistas en seguridad en páginas web de la firma de seguridad Palo Alto Networks reportaron por primera vez la actividad de esta botnet a principios del mes de junio; durante los últimos días, los reportes sobre la actividad de este malware se han multiplicado. Echobot no presenta cambios profundos en el código fuente original de Mirai, sino que sigue la tendencia de sólo agregar algunos módulos nuevos. Los expertos en seguridad en páginas web mencionaron que, al momento de su detección, Echobot contaba con exploits para 18 vulnerabilidades distintas; en el último reporte se detectaron 26 exploits diferentes.Continúa navegando en https://noticiasseguridad.com/ Un ataque de ransomware paraliza la producción de ASCO Industries ASCO Industries, compañía belga dedicada a la fabricación de componentes para aviones tanto civiles como militares, fue víctima de un ataque de ransomware el 7 de junio que le obligó a paralizar la producción en todo el mundo. Con todos los sistemas de TI incapacitados, entre 1.000 de 1.400 empleados fueron enviados a casa, según publica ZDNet. ASCO Industries fabrica partes de aviones para Airbus, Boeing, Bombardier Aerospace, Lockheed Martin y el nuevo avión de combate F-35. La compañía tiene plantas en Bélgica, Alemania, Canadá y Estados Unidos, además de oficinas en Brasil y Francia. Aunque la infección se produjo en la planta de producción de Bélgica, las plantas en el resto de ubicaciones se cerraron como precaución para evitar que el ransomware se propague por toda la red. Una semana después, todas las plantas continúan cerradas y se ha abierto una investigación por expertos externos para determinar el daño real causado. "Hemos informado de este ciberataque a todas las autoridades competentes en esta área y hemos traído expertos externos para resolver el problema", ha comentado la directora de recursos humanos, Vicky Welvaert, para VRT. Continúa navegando en https://www.itdigitalsecurity.es. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 125
Un problema en WhatsApp no deja descargar fotos, vídeos ni audios WhatsApp ha sufrido un nuevo error e impide la descarga de fotos, vídeos y mensajes de voz. Por el momento, el envío de mensajes de texto funciona con normalidad, pero no así la descarga de contenido multimedia, que se está viendo afectada en diferentes partes del mundo. El error no solo afecta a la app de mensajería, sino que se extienda también al resto de plataformas bajo la tutela de Zuckerberg. Así, se han detectado fallos en la carga de imágenes en Facebook, mientras que en Instagram la caída no es general ya que hay usuarios que disfrutan de la app con normalidad, mientras otros no pueden visualizar imágenes ni stories. Ser la aplicación de mensajería más usada de todo el mundo y contar con más de 1.500 millones de usuarios, no te exime de los errores. Tras experimentar una caída recientemente a nivel general, ahora WhatsApp impide la descarga de contenido multimedia, ya sean fotografías, vídeos o mensajes de texto. Continúa navegando en https://www.xatakamovil.com/. Hackers pueden atacar bancos con esta falla en Microsoft Excel Acorde a especialistas en auditorías de seguridad informática existe una característica de Microsoft Excel llamada Power Query que podría ser usada por actores de amenazas para inyectar malware en sistemas remotos. Los expertos de la firma Mimecast Threat Center describieron la forma en la que la vulnerabilidad podría ser explotada a través de una prueba de concepto. Power Query permite a los usuarios de Excel incrustar fuentes de datos externas en hojas de cálculo del servicio de Office. La firma de seguridad planteó un método de ataque para lanzar un ataque remoto DDE (intercambio dinámico de datos) en contra de una hoja de cálculo para entregar una carga útil maliciosa y controlarla a través de la función comprometida. Acorde a los especialistas en auditorías de seguridad informática, Power Query también podría servir para lanzar ataques complejos y difíciles de detectar combinando varios vectores vulnerables. Explotando esta característica, los hackers podrían adjuntar software malicioso en una fuente de datos externa a Excel y cargar el contenido en la hoja de cálculo cuando el usuario la abre. Los expertos mencionan que Microsoft colaboró con ellos en el proceso de divulgación de la falla. Continúa navegando en https://noticiasseguridad.com/. El gobierno de E.U. en contra del cifrado completo en Whatsapp y Facebook A pesar de que el cifrado en los dispositivos inteligentes que empleamos a diario se ha convertido casi en un estándar de seguridad para toda la industria, especialistas en seguridad de aplicaciones web afirman que muchos gobiernos no aprueban del todo esta medida de protección para los usuarios de tecnología. El cifrado de extremo a extremo, presente en servicios como Facebook Messenger y WhatsApp, garantiza que nadie más que el remitente y el destinatario de un mensaje puedan acceder al contenido de la conversación, dejando de lado a los hackers, la policía y a las compañías que prestan el servicio. Recientes reportes afirman que un grupo de altos funcionarios del gobierno de E.U. planean un intento de prohibición de este cifrado. Los reportes de los especialistas en seguridad de aplicaciones web mencionan que un grupo de reconocidos funcionarios de la administración de Donald Trump han acordado impulsar una prohibición. Continúa navegando en https://noticiasseguridad.com/. Miles de personas infectadas con virus en páginas de Facebook Un equipo de especialistas en seguridad en páginas web detectó y expuso una campaña que, aprovechándose de noticias relacionadas con Libia, comenzaron a desplegar decenas de sitios y perfiles de Facebook falsos para distribuir malware durante los últimos cinco años. Los enlaces utilizados por los atacantes redirigían a las víctimas a sitios cargados con malware para equipos Android y Windows; uno de los principales vectores de ataque era el uso de un falso perfil de Facebook supuestamente operado por el mariscal de campo Khalifa Haftar, comandante del Ejército Nacional de Libia. Este perfil falso fue creado a principios del mes de abril y contaba con más de 11 mil seguidores, publicando contenido relacionado con campañas militares y teorías de conspiración que acusaban a países como Turquía de espionaje contra Libia. Entre otras cosas, las publicaciones de este perfil también ofrecían una supuesta app que la gente de Libia podría emplear para encontrar información de ingreso al ejército del país. Expertos en seguridad en páginas web de la firma de seguridad Check Point informaron que la mayoría de estos enlaces redirigían al usuario a sitios y aplicaciones identificadas anteriormente como contenido malicioso. Los atacantes infectaban al usuario con diversas herramientas de administración remota como Houdina, Remcos y SpyNote; la mayoría de estas se almacenan en servicios de hosting como Google Drive y Dropbox. Continúa navegando en https://noticiasseguridad.com/ El análisis "post-morten" del apagón de Google el día 2 de junio de 2019 demuestra la gran dependencia que tenemos de la nube El domingo 2 de junio, durante 4 horas y 25 minutos, millones de personas en todo el mundo no pudieron acceder a Gmail, Youtube, SnapChat o incluso Google Cloud (del cual de sus servicios de computación en la nube dependen miles de clientes) provocando un impacto casi incalculable a diversas empresas y servicios. Esas más de 4 horas sólo fueron el tiempo contabilizado por Google, pero se extendió durante prácticamente todo el día y la noche, ya que los ingenieros tuvieron que deshacer todas las múltiples nuevas rutas que configuraron para poder mantener el servicio funcionando mientras reparaban el problema. Dejando aparte la terrible sensación de inquietud que nos deja la dependencia absoluta que tenemos de los servicios en la nube, la causa de este apagón no fue un ataque, sino como suele ocurrir en muchos otros accidentes, un cúmulo de errores e imprevistos en cadena. Sobre las 2:45 am del domingo 2 de junio, se ejecutó una simple y habitual tarea de mantenimiento que en principio no tenía nada de especial. Para no dejar sin servicio a esa zona geográfica que se va a recibir dicho mantenimiento, los datos y los trabajos pendientes se enrutan hacia otras regiones para no afectar a los usuarios. De repente, muchos de los clientes de estos servicios de Google detectaron varios problemas como alta latencia y errores de conexión en instancias ubicadas en las zonas us-central1, us-east1, us-east4, us-west2, northamerica-northeast1 y southameria-east1. Continúa navegando en https://www.flu-project.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 59 Noticias Seguridad en Comunidad Movistar Empresas
* Vulnerabilidad en Signal, WhatsApp, and Threema permite el acceso a los chats grupales A pesar del cifrado de extremo a extremo mediante el cual Signal, WhatsApp, and Threema aseguran que solo emisor y receptor pueden leer lo que se envía, y que nadie más (ni siquiera WhatsApp) lo puede hacer, una nueva investigación de la universidad Rurh de Bochum [PDF] revela una vulnerabilidad que compromete la privacidad del contenido multimedia y los datos personales de los chats grupales. La investigación fue publicada el miércoles en Real World Crypto Security Symposium en Suiza. En el paper se analizan distintos tipos de enfoques para explotar vulnerabilidades en los mensajeros actuales, el analista jefe de Kaspersky Lab, Victor Chebyshev, ha asegurado que las vulnerabilidades descubiertas en la infraestructura de servicios de mensajería, "dan la oportunidad a los intrusos de agregar nuevos miembros a los chats grupales sin que este hecho sea evidente para los demás miembros. Si no queda más remedio que compartir información confidencial por WhatsApp, hay que evitar hacerlo en un chat de grupo y, en su lugar, enviar un mensaje directo". Toda la información en este artículo. * MaMi, el nuevo spyware para macOS Se ha descubierto un malware para macOS cuya característica principal es modificar los servidores DNS de la máquina infectada, y que incluye código con funcionalidades de espionaje. La maligna configuración de DNS's extraído de objective-see.com. Patrick Wardle, un experto en seguridad informática ha descubierto un spyware para macOS, gracias al reporte de un usuario en el foro de Malwarebytes. Este usuario reportaba que su compañera de trabajo había instalado algo por accidente, y tras ello su configuración de servidores DNS permanecía fija apuntando a direcciones IP no deseadas. El malware, bautizado como OSX/MaMi debido a una de los cadenas usadas en el código fuente, tiene dos funciones principales que destacan: el secuestro de la configuración de los servidores DNS para que apunten a servidores controlados por el atacante y la instalación de un certificado raíz. Lo primero permite que cuando la víctima quiera visitar "google.com", sea el atacante quien responda a qué servidor debe acudir la víctima para descargar esa página web, con lo cual puede responder que acuda a un servidor diseñado para robar información. Toda la información aquí. * Encuentran un grave fallo en Gmail que puede dejar sin servicio de correo a cualquier usuario La empresa de seguridad We Are Segmented daba a conocer una nueva vulnerabilidad en los servidores de Gmail, un fallo de seguridad bastante preocupante para Google. Tal como ha podido demostrar esta empresa de seguridad, el fallo en los servidores puede permitir a un atacante enviar un correo especialmente diseñado con un texto “Zalgo” que, al recibirlo la víctima, podría dejarle sin acceso al correo electrónico. Un texto Zalgo es un tipo de texto formado por caracteres (letras, números, símbolos, etc) unicode que se extiende hacia arriba, abajo, derecha e izquierda mezclándose con el texto original. El investigador de seguridad que descubrió este fallo empezó probando los efectos de este tipo de texto, formado por más de 1 millón de caracteres, al inyectarlo en cualquier página web desde el navegador. Al hacerlo, pudo ver cómo el navegador se bloqueaba por completo y quedaba totalmente inutilizado. Si quieres saber más sobre este tema, pulsa en este enlace. * Skygofree es el spyware más poderoso de la historia, según expertos Un grupo de investigadores de seguridad informática ha revelado una nueva variedad de malware de Android que ha sido catalogado como una de las herramientas de spyware más poderosas jamás detectadas. Bajo el nombre ‘Skygofree’, apodado así por los expertos de Kaspersky Lab, el spyware se ha utilizado desde el 2014 para atacar Smartphones, robar chats de WhatsApp, grabar conversaciones y espiar los mensajes de texto de las víctimas, así como también llamadas telefónicas, audios, eventos de agenda y ubicación geográfica de dispositivos . El malware generalmente se propaga a través de sitios web comprometidos que imitan a los operadores móviles más conocidos, incluidas las empresas británicas Three y Vodafone. Si bien el código interno del malware ha cambiado a lo largo de los años, los investigadores dicen que se puede utilizar para dar a los hackers control remoto total del dispositivo infectado. La última versión del Skygofree contiene 48 comandos para diversas formas de espionaje. Uno de ellos se conoce como ‘geofence’, y solo graba audio cuando el objetivo se encuentra en una ubicación específica. Otro comando, llamado ‘WiFi’, podría usarse para interceptar los datos que fluyen a través de una red inalámbrica. Si te interesa leer la noticia completa, accede a este enlace. * Otro error en Intel AMT permite acceso remoto con contraseña "admin" Ha sido un año nuevo terrible para Intel. Los investigadores advierten de un nuevo ataque que se puede llevar a cabo en menos de 30 segundos y que potencialmente afecta a millones de computadoras portátiles en todo el mundo. Mientras Intel se apresuraba a implementar parches para las vulnerabilidades de Meltdown y Spectre, los investigadores de seguridad descubrieron un nuevo fallo crítico de seguridad en el hardware de Intel que podría permitir a los piratas informáticos acceder a las computadoras portátiles corporativas de forma remota. ¿Cómo es el ataque? Reiniciar el el sistema de la víctima, presionar CTRL-P para iniciar la BIOS de Intel Management Engine (MEBx), introducir la contraseña predeterminada que es:"admin", una vez iniciado el proceso, el atacante puede cambiar la contraseña predeterminada y habilitar el acceso remoto. Ahora, el atacante puede acceder al sistema de forma remota mediante la conexión a la misma red inalámbrica o cableada. Más información aquí. * Bypass del doble factor de autenticación por SMS En 2016, el broker de criptodivisas Coinbase informó que recibió ataques de intercambio de puertos, el cual ocurre cuando un delincuente conecta el número de teléfono de la víctima a un dispositivo bajo su control y logra obtener sus SMS. El ataque comienza cuando el delincuente busca personas que trabajan en una industria en particular o revisando las cuentas de las redes sociales que mencionan Bitcoin y Coinbase. El ladrón no tardará mucho en encontrar la dirección de correo electrónico y el número de teléfono móvil de la víctima en línea a través de una página de contacto, por ejemplo, fingiendo ser un usuario legítimo, el delincuente llama al proveedor de telefonía móvil de la víctima. Más información en este enlace. * Google Cloud alcanza la certificación de ciberseguridad ENS Con esta certificación de conformidad con el Esquema Nacional de Seguridad, el servicio Cloud de la compañía amplía su ámbito de implantación a nuevas empresas, organismos y administraciones públicas. Google informa que desde finales del pasado año, desde octubre de 2017, su plataforma Cloud cuenta con la certificación de conformidad del ENS (Esquema Nacional de Seguridad) de nuestro país en la categoría de Nivel Alto. Desde Google afirman cumplir con la regulación europea y española (LOPD, Ley Orgánica de Protección de Datos) y ofrecer dos alternativas de cumplimiento. En la actualidad, Google cuenta con más de 3 millones de clientes a nivel mundial, y gracias a la certificación obtenida de ENS, la cartera de clientes previsiblemente se ampliará, con posibilidad de llegar a nuevos clientes de la administración pública. De hecho, los servicios y productos Azure y Office 365 de Microsoft ya la obtuvieron a mediados del año 2016 como cita Microsoft Trust Center, un reconocimiento que posicionó a Microsoft Ibérica como el primer proveedor Hyper Scale Cloud en conseguir dicha certificación cumpliendo con las exigencias legales en materia de seguridad. Más info aquí. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
