Descubre las últimas noticias de Seguridad a nivel mundial
Google+: cierra el servicio personal de la red social de Google después de que los datos de miles usuarios quedaran expuestos La batalla perdida contra Facebook ya llegó a su fin. Google anunció que cerrará gran parte de su red social, Google+ meses después de saber que los datos de unos 500.000 usuarios quedaran expuestos. ¿Cómo averiguar todo lo que Google sabe de ti? La compañía dijo que un error en una de sus interfaces para crear aplicaciones había permitido que desarrolladores externos pudieran acceder a información que se creía que era privada."El error permitía que las aplicaciones pudieran acceder a campos del perfil del usuario que no estaban clasificados como públicos", escribió Ben Smith, vicepresidente de Ingeniería de Google, en el blog de la empresa el lunes. "Estos datos se limitan al nombre, la dirección de correo electrónico, la ocupación, el género y la edad, entre otros", agregó Smith. Más información en https://www.bbc.com. Nueva legislación de IoT prohíbe las contraseñas predeterminadas (California) En un intento por hacer más difícil que los bots se apoderen de la gran cantidad de dispositivos conectados que se venden en California, los legisladores estatales aprobaron la ley SB-327. El proyecto de ley se promulgará el 1 de enero de 2020 y se aplica a los fabricantes de dispositivos, ya sea que lo hagan ellos mismos o contraten a otra persona para que fabrique el dispositivo en su nombre. Requiere que los fabricantes de dispositivos conectados a internet vendidos en California "equipen el dispositivo con características de seguridad razonables" Apropiado a su naturaleza y función; Diseñado para proteger el dispositivo y cualquier información que contenga del acceso, la destrucción, el uso, la modificación o la divulgación no autorizados. El proyecto establece que "Si un dispositivo conectado está equipado con un medio de autenticación fuera de una red de área local, se considerará una característica de seguridad razonable, si se cumple alguno de los siguientes requisitos: la contraseña preprogramada debe ser única para cada dispositivo fabricado, o el dispositivo debe contener una función de seguridad que requiera que un usuario genere un nuevo medio de autenticación antes de que se otorgue el acceso al dispositivo por primera vez". Más información en https://www.helpnetsecurity.com. Privacy Badger para evitar el rastreo de Google y FB Privacy Badger acaba de ser presentada por Electronic Frontier Foundation, la organización que está detrás de esta extensión. Su objetivo es ofrecer a los usuarios una mayor protección frente al rastreo en aquellos navegadores donde es compatible. Privacy Badger evita el rastreo en los servicios de Google. Hay que mencionar que hace unos meses, lanzaron una actualización para evitar el rastreo de enlaces de Facebook. Ahora ha hecho algo similar, pero en esta ocasión para los servicios de Google. Ya sabemos que esta compañía cuenta con diferentes plataformas que son muy utilizadas en el día a día de los internautas. Eso sí, hay que tener en cuenta que de momento se trata de una versión inicial y no cubre todos estos servicios. De momento actúa en las búsquedas de Google, Google Hangouts y Google Docs. Como podemos ver no actúa en otros muy usados como Gmail o incluso Google Plus. Eso sí, en un futuro podría evitar también el seguimiento en estos servicios. Ya sabemos que el gigante de las búsquedas utiliza métodos para rastrear a los usuarios a través de sus servicios. Pero al final todo dependerá también del software que utilice el internauta. Existen herramientas, como es el caso de Privacy Badger, que puede evitar esto. Más información en https://www.ghacks.net/ Esto es lo que vale tu cuenta de Facebook tras el ataque de la semana pasada La semana pasada, Facebook, y otras plataformas similares, se vieron afectadas por un grave fallo de seguridad descubierto por piratas informáticos que permitió a estos piratas robar los datos de más de 50 millones de usuarios mediante los tokens de acceso. A diferencia de lo que ocurre cuando la vulnerabilidad la descubren investigadores de seguridad, esta vez los datos han caído en manos de piratas informáticos, por lo que, desde hace varios días, se están vendiendo en la Deep Web al mejor postor, poniendo, una vez más, precio a nuestra privacidad. Tal como muestra el medio Independent, los piratas informáticos tras el hackeo de Facebook ya están haciendo negocio con las cuentas de los 50 millones de usuarios robadas. En la Deep Web ya están a la venta los tokens de las cuentas que permitirían acceder a las cuentas de otras personas, tokens que se pueden comprar por poco más de 3 dólares, aunque hay algunas cuentas más relevantes que tienen un precio algo superior, en torno a los 12 dólares. Para comprarlas debemos pagar utilizando criptomonedas semi-anónimas, como Bitcoin o Bitcoin Cash. Venta tokens Facebook Deep Web. Si estas cuentas se vendieran individualmente, los piratas informáticos podrían hacerse fácilmente con una cantidad de dinero entre 150 millones y 600 millones de dólares, según el precio de los tokens de las cuentas. De todas formas, es probable que ya estén a la venta “packs” de tokens más baratos que rebajarían el valor final del robo. Más información en https://www.redeszone.net/ Actualización de Windows 10 October 2018 Update La actualización Windows 10 October 2018 Update está teniendo algunos efectos inesperados tras aplicarse. Algunos usuarios indican que esta versión ha borrado sus archivos personales durante el proceso de instalación, algo que puede ser muy grave. Nosotros ya te hemos presentado Windows 10 October 2018 Update a fondo, también conocida como versión 1809. Aporta nuevas funciones interesantes, pero parece que también trae fallos, a juzgar por el número de personas que afirman en redes sociales que la actualización ha borrado sus archivos. Surface Pro 6, Laptop 2 y Studio 2, los nuevos PCs de Microsoft. El problema surge cuando actualizamos Windows 10 desde la versión que tengamos en ese momento, no en las instalaciones limpias. Es decir, que los archivos con los que trabajamos estarán en el disco duro, y tras terminar la instalación de la October 2018 Update, todo se puede haber borrado. Windows 10 October 2018 Update ha borrado los archivos de algunos usuarios. Más información en https://www.elgrupoinformatico.com/ FASTCash: el nuevo ataque utilizado para sacar dinero de los cajeros automáticos El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes 'Hidden Cobra' está comprometiendo servidores bancarios. El conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas. ¿Cómo funciona el ataque? Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta. Sin embargo, los ciberdelincuentes consiguieron comprometer estos servidores para que interceptaran la solicitud de transacción y diera una respuesta afirmativa falsa pero legítima, sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros para que escupan la cantidad solicitada sin siquiera notificar al banco. "Según la estimación de un socio de confianza, los componentes de 'Hidden Cobra' han robado decenas de millones de dólares", explican en el informe. Más información en https://unaaldia.hispasec.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 92
Fallo de seguridad en WhatsApp permite comprometer tu cuenta con solo responder una videollamada Investigadores de seguridad de Google Project Zero encuentra una vulnerabilidad en WhatsApp que permitiría comprometer tu cuenta con solo responder a una videollamada de WhatsApp. La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un 'memory heap overflow' que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado. La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas. WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible. Más información en https://unaaldia.hispasec.com Tres de cada cuatro empleados representan un riesgo de seguridad Según el informe anual sobre el estado de la privacidad y la seguridad de una firma de ciberseguridad y forense digital, el 75% de los empleados encuestados presenta un riesgo moderado o grave para la seguridad de datos de su organización, mientras que el 85% de los trabajadores de áreas financieras muestran cierta falta de información sobre seguridad de datos y privacidad. Tom Pendergast especialista en forense digital a cargo de la investigación, menciona que fueron encuestados más de mil empleados de compañías en Estados Unidos para cuantificar el estado de privacidad y conciencia de seguridad en 2018. Este año, el número de personas consideradas como un riesgo para la seguridad de sus organizaciones incrementó de manera considerable respecto al último informe elaborado por la firma el año pasado. “En general, los resultados muestran una tendencia poco satisfactoria, pues los encuestados obtuvieron peores resultados en todos los ámbitos en comparación con el año anterior”, dice Pendergast. “Aún así, me sorprendería que en cinco años no hubiera una mejora significativa. Hay una creciente conciencia cultural y empresarial sobre la necesidad de cubrir la privacidad de la información”, menciona el experto. Más información en http://noticiasseguridad.com/ Vulnerabilidad conocida en Mikrotik WinBox, más crítica de lo esperado Este nuevo ataque desarrollado por Tenable Research, podría permitir a usuarios maliciosos hacerse con el control de los routers Mikrotik para desplegar malware en la red, minar criptomonedas, o evitar las restricciones configuradas en estos dispositivos. La vulnerabilidad (CVE-2018-14847), publicada en Abril de este mismo año, fue calificada con severidad media. Sin embargo, investigadores de Tenable Research han liberado una nueva prueba de concepto basada en dicha vulnerabildad, utilizando una nueva técnica que permite evadir la autenticación de RouterOS y permitir la ejecución remota de código arbitrario. Este fallo usa WinBox (pequeña utilidad gráfica para administrar RouterOS) como vector de ataque, aunque la vulnerabilidad es en sí misma de RouterOS. Más información en https://unaaldia.hispasec.com/ FitMetrix deja al descubierto millones de datos de clientes, a los que han accedido cibercriminales Quién realiza software para controlar el rendimiento de los clientes que vayan al gimnasio, y que es customizable para exponer la marca del mismo, ha expuesto millones de registros de clientes, porque estaban manteniendo unos servidores en la nube completamente expuestos a todo el mundo. Para colmo, los cibercriminales accedieron a estos registros antes de que el acceso público a estos fuese cerrado, intentando cifrar los contenidos de la base de datos con un ransomware, el cual solo dejo la nota de rescate, debido a que el script fallo. El equipo de seguridad Hacken se topó con una base de datos abierta mientras buscaban en Shodan buckets de Elasticsearch que fueran accesibles. Elasticsearch es una base de datos que almacena, recoge, y maneja datos semiestructurados u orientados a documentos. Eso, como cualquier otra base de datos de tipo no-SQL como MongoDB, es un objetivo popular para los cibercriminales, de acuerdo con Hacken. Cuando Diachenko encontró la base de datos el día 5 de este mes, no se necesitaba ninguna contraseña para ver los datos. La información incluía una auditoria diaria de la plataforma FitMetrix, almacenada desde el 15 de Julio hasta el 19 de septiembre, incluyendo información del perfil del cliente. Hacken encontró que esta información del perfil incluía información personal como el nombre, genero, correo electrónico, fecha de nacimiento, contacto de emergencia y el parentesco de este, su apodo, talla de zapatos, altura y peso, ID de Facebook, teléfono móvil, teléfono de casa y nivel de actividad. En otras palabras, todo lo necesario para realizar ataques de ingeniería social convincentes. Más información https://threatpost.com/ Equipos HP colapsan después de instalar actualizaciones de Windows 10 Aparentemente, las actualizaciones de Windows no han funcionado adecuadamente con Microsoft durante las últimas semanas. En la actualización de principios de Octubre se presentó el error de borrado de archivos, ahora, especialistas en forense digital reportan que múltiples estaciones de trabajo y las computadoras portátiles de la empresa HP están experimentando colapsos después de instalar las más recientes actualizaciones de Windows 10, mostrándose un error WDF_VIOLATION en pantalla azul. Acorde a numerosos reportes de especialistas en forense digital, este “crash” ha sido causado por el archivo C:\Windows\System32\drivers\HpqKbFiltr.sys que se instala junto con la actualización acumulativa recientemente lanzada para Windows 10 Versión 1803 (KB4462919). Más información en http://noticiasseguridad.com/ Hackers utilizan Googlebot en ataques de malware de minado Cibercriminales abusan de los servidores de Googlebot para entregar cargas maliciosas en nueva campaña. El año pasado, una campaña de malware utilizó Google Adwords y Google Sites para propagar malware. Posteriormente, otra reveló cómo los hackers explotaban los resultados de búsqueda de Google para distribuir el troyano bancario Zeus Panda. Ahora, expertos en forense digital han identificado un comportamiento inusual en los servidores de Googlebot, donde se originan solicitudes maliciosas. Esto conlleva serias consecuencias porque muchos proveedores confían en Googlebot hasta tal punto que les permiten influir en sus decisiones de seguridad organizacional. La vulnerabilidad de ejecución remota de código (CVE-2018-11776) identificada en Apache Struts 2 en agosto de este año entregó JavaPayload a través de la URL; los expertos en forense digital notaron que la campaña conocida como CroniX explotaba esta falla para distribuir malware de minado de criptomoneda. El mismo agente malicioso estaba siendo utilizado para explotar el servicio de Googlebot. Los investigadores señalaron que algunas de las solicitudes ofensivas generadas en la campaña CroniX en realidad se originaron en los servidores de Google. Más información en http://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
