Boletín nº 82 Noticias Seguridad en Comunidad Movistar Empresas
Facebook vuelve a filtrar datos de 120 millones de usuarios Una nueva aplicación vuelve a poner a Facebook en el centro de las críticas respecto al mal uso de los datos de sus usuarios. Los que tienen un perfil hace una década podrán recordar el furor que fueron los tests de personalidad, en donde el usuario respondía unas preguntas y a cambio la plataforma te decía a qué jugador de fútbol te parecías o qué princesa de Disney eras. Esta última es la que llamó la atención de Inti De Cukelaire, un experto en seguridad informática que expuso como la aplicación NameTests.com filtró datos de sus usuarios durante años con la vista gorda de la red social. La plataforma acumulaba información de más de 120 millones de usuarios cada mes y, desde hace dos años, permitía que cualquiera pueda tener acceso a la información de los que iniciaron el test. Apenas se abría el test, la app era capaz de hacer un barrido de la información privada, se hubieran dados permisos o no. De nuevo, los usuarios de la app tendrán que volver a autorizar a la aplicación para poder seguir usándola, indicó la red social en una publicación. El experto en seguridad informática que descubrió la falla creó un video explicando cómo funcionaba el error. Hasta el momento no hay evidencia que permita asegurar si la información expuesta por Nametests fue utilizada por otros y cuantá gente ya lo había descubierto al error. Como si fuera poco Facebook ha revelado el pasado fin de semana que ha tenido asociaciones con 52 organizaciones con las que ha compartido datos, posiblemente sin el consentimiento de los usuarios. Fuente: www.businessinsider.es Los ataques de criptomonedas se disparan, hackers roban $761 millones en seis meses CipherTrace, firma de seguridad informática y pruebas de penetración, menciona que la suma de criptomoneda robada y utilizada en el lavado de dinero en la primera mitad de 2018 ya supera en tres veces la cantidad robada durante todo el 2017. La compañía presume haber encontrado que 761 millones de dólares han sido lavados desde inicios de 2018 a partir del robo de criptomoneda. La cifra representa un ascenso escandaloso en comparación con los 266 millones de dólares robados en todo el 2017. Expertos en pruebas de penetración del Instituto Internacional de Seguridad Informática mencionan que quienes realizan operaciones con criptomoneda se han vuelto víctimas predilectas de los hackers; dado que es prácticamente imposible proteger sus activos virtuales, es relativamente fácil que sean susceptibles de ataques. Fuente: noticiasseguridad.com Polar, monitor fitness finlandés, acusado de filtrar datos sobre el personal militar Polar, un gadget de monitoreo de ejercicios se une a una larga lista de dispositivos que presuntamente filtrarían información de sus usuarios por fallas de seguridad, afirma el Instituto Internacional de Seguridad Cibernética. Polar no sólo hace que sea relativamente fácil ver las sesiones de entrenamiento de personas específicas, sino que también puede mostrar todos los ejercicios que ha realizado una persona desde 2014. Los especialistas en seguridad informática ilustraron lo insegura que es la app al mostrar un mapa que muestra los ejercicios de los militares en una base militar en Malí, África Occidental. Agregaron que también es posible identificar individualmente a las personas en la interfaz de Polar, encontrando sus nombres completos y varios perfiles de redes sociales, así como localizar sus direcciones de casa. Los investigadores demostraron ser capaces también de encontrar en el sitio web de Polar registros de personas que se ejercitan en más de 20 sitios sensibles (como hogares o instalaciones militares), reuniendo una lista de casi 6 mil 500 usuarios únicos, que marcaban los lugares donde trabajan, viven y salen de vacaciones. Fuente: noticiasseguridad. Backswap: malware bancario que utiliza método ingenioso para vaciar cuentas A lo largo de los últimos años, los malware bancarios (también conocidos como “bankers”) han visto disminuida su popularidad entre los cibercriminales. Una de las razones para explicar esta realidad puede deberse a que tanto las compañías desarrolladoras de soluciones de seguridad, como los desarrolladores de navegadores, están continuamente ampliando el campo de acción de sus mecanismos de protección contra ataques de troyanos bancarios. Esto hizo que los fraudes mediante malware bancarios sean más difíciles de realizar, lo que trajo como resultado que los creadores de estos códigos maliciosos se enfocaran más en el desarrollo de otros tipos de malware más rentables y fáciles de desarrollar, como ransomware, mineros de criptomonedas o códigos maliciosos para robar criptomonedas. Sin embargo, recientemente descubrimos una nueva familia de malware bancario que utiliza una técnica innovadora para manipular el navegador: en lugar de usar métodos complejos de inyección de procesos para monitorear la actividad del navegador, el malware coloca hooks para interceptar eventos específicos del bucle de mensajes de Windows, de tal modo que pueda inspeccionar los valores de las ventanas en busca de actividades bancarias. Una vez que la actividad bancaria es detectada, el malware inyecta un JavaScript malicioso en el sitio web, ya sea a través de la consola JavaScipt del navegador o directamente en la barra de dirección. Todas estas operaciones son realizadas sin que el usuario se entere. Si bien se trata de un truco aparentemente sencillo. Fuente: welivesecurity. Algunos móviles de Samsung envían fotos privadas sin permiso por SMS Con la privacidad adquiriendo una importancia creciente parece que los usuarios empezamos a tomárnosla en serio. Permisos extraños, aplicaciones que comparten datos… Y errores en apps que terminan vulnerando nuestra privacidad. Uno de estos errores está afectando a los dueños de algunos móviles de Samsung: la aplicación de mensajes está enviando fotos privadas sin permiso. WhatsApp pierde al último defensor de su privacidad. El error está sumamente localizado ya que atañe a la aplicación stock de Samsung para los SMS. Dicha aplicación se actualizó hace muy poco, de ahí que sea ahora cuando se esté descubriendo su mal funcionamiento. Sin que el usuario intervenga, la app de Mensajes de Samsung estaría enviando la galería de fotos a los contactos más allegados. Actualización: Samsung ha emitido un comunicado descartando problemas en el hardware o software de sus dispositivos. Asegura que continuará investigando lo sucedido. Fuente: elandroidelibre. Los desarrolladores de apps para Gmail pueden leer tus mensajes Según un informe del Wall Street Journal del que se han hecho eco en The Verge, diversos desarrolladores de apps tienen acceso y pueden leer los correos electrónicos enviados y recibidos en Gmail. Hace ya un año que en Google no leen correos privados de Gmail, pero esta popular herramienta de correo electrónico de Google cuenta con una configuración de acceso que permite a empresas y desarrolladores de apps acceso a los emails, lo que les permite ver detalles privados de los mismos. Por ejemplo, las direcciones de los receptores de dichos correos, así como todo el mensaje. Eso sí, para poder acceder al correo, las apps necesitan contar con el consentimiento del usuario. Pero este permiso no aclara si al dar acceso, se permite que los humanos, además de las máquinas, puedan leer mensajes. Fuente: muycomputerpro NHS Digital revela erróneamente datos de 150,000 pacientes NHS Digital es el socio nacional de información y tecnología para el sistema de salud y asistencia social. Tiene la responsabilidad de estandarizar, recopilar y publicar datos e información de todo el sistema de salud y asistencia social en Inglaterra. Por lo tanto, es responsable de almacenar y difundir los datos del paciente NHS a aquellos calificados para recibirlo. El mismo día, NHS Digital lanzó su propia declaración . "Nos disculpamos sin reservas por este problema, que ha sido causado por un error de codificación de un proveedor del sistema GP (TPP) y significa que las preferencias de datos de algunas personas no se han respetado cuando tenemos datos diseminados. El error de codificación TPP significaba que no lo hicimos recibir estas preferencias y, por lo tanto, no hemos podido aplicarlas a nuestros datos ". El error de software se detectó el 28 de junio, tres años después del lanzamiento de SystmOne, cuando TPP cambió a un nuevo sistema. Ni Jackie Doyle-Price ni NHS Digital han dado cifras sobre cuántas veces se han compartido erróneamente estos datos externamente durante este período. Sin embargo, NHS Digital compila y publica un registro de organizaciones que reciben datos de pacientes. Fuente: www.securityweek.com Nueva característica de seguridad de Apple se puede eludir con un adaptador que la propia marca vende Apple lanzó un par de actualizaciones para su software, corrigiendo errores y reparando agujeros de seguridad en MacOS, watchOS, tvOS, Safari, iTunes para Windows, iCloud para Windows y de iOS para iPhone y para iPad. El parche de software para iOS, que actualiza a la versión 11.4.1, es particularmente interesante ya que incluye una nueva característica, el Modo USB restringido. Acorde a especialistas en borrado seguro de datos, esta funcionalidad está diseñada para desactivar el puerto Lightning de un iPhone o iPad, impidiendo que transfiera datos una hora después de que el dispositivo se bloqueó por última vez. Todavía puede cargar su dispositivo después de que se desactivó su puerto Lightning, pero debes introducir tu contraseña si deseas usar el puerto para transferir datos. En más detalles, la empresa comunicó que “con el iOS 11.4.1, si usa accesorios USB con su dispositivo iOS, o si lo conecta a una PC, deberá desbloquear su dispositivo para que sea reconocido. Su accesorio permanecerá conectado, incluso si su dispositivo se bloquea posteriormente. Si no desbloquea su dispositivo iOS, o no lo ha desbloqueado y conectado a un accesorio USB en la última hora, su dispositivo no se comunicará con el accesorio o la computadora, y en algunos casos, es posible que no cargue. Investigadores especialistas en borrado seguro de datos descubrieron que el temporizador de una hora puede reiniciarse simplemente conectando el iPhone a un accesorio USB sin características de seguridad. En palabras simples, cuando un agente obtiene un iPhone, deberá conectarlo de inmediato a un accesorio USB para evitar que el modo USB restringido bloquee el equipo después de una hora, lo que sólo funciona si el modo restringido aún no se ha activado. Fuente: noticiasseguridad.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 78 Noticias Seguridad en Comunidad Movistar Empresas
Malware para routers VPNFilter "bastante peor de lo pensado" La infección de VPNFilter por la que el mismísimo FBI pidió a los dueños de routers de ciertas marcas que se reiniciasen, en un intento por mitigar sus efectos, está mucho más extendido de lo que parecía al principio. Y sus efectos potenciales son graves. Si bien hace dos semanas se detectó este malware en más de 500.000 routers en 54 países, ahora un nuevo informe de Cisco Talos alerta de que la amenaza afecta a muchas más marcas y modelos de los que se pensaba al principio, y su potencial destructor es mayor: tiene la capacidad de robar datos e incluso inutilizar los dispositivos infectados. Cisco Talos publicó por primera vez información sobre VPNFilter a finales de mayo. Ya entonces, el FBI hizo un llamamiento mundial para reiniciar una lista de modelos de routers y consiguió decomisar un servidor de comando y control del malware, pero la botnet resultante parece seguir activa. Fuente: www.redeszone.net YooHoo ZeroDay y exploit, hora de desinstalar el Flash Player A diferencia de las vulnerabilidades críticas parcheadas en marzo y luego en abril, la reciente vulnerabilidad descubierta CVE-2018-5002 es una falla que está siendo explotada. Los atacantes han estado lanzando ataques usando hojas de cálculo de Microsoft Office Excel para descargar y ejecutar un exploit de Adobe Flash de forma remota en las computadoras de las víctimas, que principalmente eran del Medio Oriente (y dados los enlaces maliciosos utilizados, se presume que el ataque esté dirigido particularmente a Doha, Qatar). Varias compañías descubrieron y reportaron el ataque de forma independiente, pero los análisis más generosos los han efectuado Icebrg y Qihoo 360 Core Security, publicados a inicios de este mes. Adobe lanzó el 7 de junio una actualización de seguridad contra esta vulnerabilidad (APSB18-19), capaz de lograr un stack buffer overflow que puede ser aprovechado para ejecutar código. Esta falla crítica afecta a todas las versiones desde la 29.0.0.171 e inferiores y la versión 30.0.0.113 resuelve el problema. El update es para versiones de Windows, Mac y Linux e integra actualizaciones relacionadas, además, con las vulnerabilidades CVE-2018-4945, CVE-2018-5000 y CVE-2018-5001. Dado que se ha anunciado que el proyecto Flash Player será finalizado en 2020 y habrá que adaptarse a vivir sin él, qué mejor momento e incentivo para abandonarlo y desinstalarlo desde ya. El Adobe Flash Player siempre ha constituido una puerta de entrada para hackers maliciosos, lo cual ha quedado más que demostrado este último año. Fuente: Blog.nivel4.com Zip Slip, así es la nueva vulnerabilidad descubierta y que afecta a miles de proyectos La reutilización de código mediante librerías y dependencias es muy cómoda y permite a los desarrolladores tardar menos en programar sus plataformas centrando sus esfuerzos en otras características y dejando el desarrollo de ciertas funciones a los responsables de dichas librerías. Sin embargo, esto también puede suponer un problema cuando se encuentra una vulnerabilidad en una librería en concreto, poniendo automáticamente en peligro a todos los proyectos que se basan en esta, como acaba de ocurrir con Zip Slip. Expertos de seguridad dieron a conocer esta "nueva" vulnerabilidad que afecta a una gran cantidad de proyectos de software, vulnerabilidad que ha recibido el nombre Zip Slip. Este fallo de seguridad se encuentra en una gran cantidad de librerías utilizadas en muchos proyectos, algunos de gran envergadura, proyectos escritos en lenguajes de programación como JavaScript, Ruby, Java, .NET y Go y desarrollados por grandes compañías como Google, Oracle, IBM, Apache, Amazon, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch y JetBrains, entre otros. Técnicamente, la vulnerabilidad no es ninguna obra maestra, ni siquiera es nueva. Tiene gracia buscar "zip directory traversal" en Google y encontrarse un primer resultado de hace 7 años un repositorio de GitHub que permite generar un archivo para explotar esta vulnerabilidad. Se trata de la sobreescritura de archivos arbitrarios al descomprimir un archivo conteniendo nombres de archivo que escalan directorios. Fuente: www.redeszone.net. Otro ‘hackeo’ a las criptomonedas se salda con 40 millones de dólares robados Es otro más de los varios factores que hacen de las criptomonedas una inversión de riesgo elevado, los problemas de seguridad que se han saldado, en varias ocasiones ya, con robos millonarios. En Corea, el exchange Coinrail ha sufrido un importante ataque informático en el que se han robado altcoins por un valor de nada menos que 40 millones de dólares. Según Coinmarketcap, el volumen de intercambio para estas criptomonedas está entre los 90 más elevados. El volumen de operaciones con estas altcoins es reducido, pero el impacto de esos 40 millones de dólares ha sido incluso mayor, puesto que se ha producido una importante caída en el valor de otras cryptos. Han sido 19,5 millones de NPXS, otros 13,8 millones de Aston X, 5,8 millones de Dent y más de 1,1 millones de dólares robados de Tron. Pero además se han visto afectadas también otras cinco altcoins de forma directa con cantidades más modestas y, como decíamos, este robo ha impactado de manera indirecta incluso al Bitcoin. Fuente: www.adslzone.net. Así se desveló la filtración de los exámenes de selectividad en la UEx Los exámenes de selectividad de Extremadura eran «fácilmente accesibles y vulnerables». La declaración del portavoz de la Universidad de Extremadura, Agustín Vivas, confirma que la filtración de las pruebas fue un error de esta institución y no un hackeo ni una anomalía informática. Ese incidente obligará el próximo martes a más de 4.000 estudiantes extremeños a repetir algunos de los ejercicios. Vivas hizo esas afirmaciones en ABC, donde confirmó cómo se produjo la filtración. Los exámenes se subieron a una carpeta, que estaba oculta, pero que era pública, por lo que pudieron localizarlos y descargárselos. Hoy ya adelantó que esta era la principal hipótesis que manejaba la Universidad. Fuente: www.hoy.es. Gan Pampols: En ciberseguridad uno se defiende y, si es necesario, ataca El Jefe del Cuartel de Alta Disponibilidad Terrestre en Valencia, el teniente general Francisco José Gan Pampols, asegura que la tecnología "es un trampolín gigante, que nos proyecta a un futuro indescriptible, lleno de muchísimas oportunidades pero con grandísimos riesgos asociados", como la ciberseguridad, un entorno en el que "uno se defiende y, si es necesario, ataca". Durante los "Desayunos de la Agencia EFE en el Colegio de Abogados de Valencia" el también jefe del Cuartel General de Rápido Despliegue de la OTAN en Bétera, analiza la complejidad de determinar el origen de los ataques cibernéticos, ya que "si se puede atribuir de forma indudable el origen de un ataque de este tipo es porque lo ha hecho mal". "En este espacio, uno se defiende, y si es necesario, ataca", sentencia el alto mando militar, quien reconoce que ataques cibernéticos "hay diariamente" a infraestructuras críticas o elementos esenciales, si bien "los niveles de protección van creciendo en cuanto analizamos la importancia del sujeto que hace esos ataques". Preguntado por quién nos ataca, Gan Pampols asegura que hay que preguntarse "qui prodest" (quien se beneficia) porque, el ataque puede tener un móvil económico, para robar información crítica, por una fusión, un desarrollo tecnológico o un nuevo fármaco. "Pueden ser atajos o zancadillas para retrasar a alguien", apunta, si bien añade que "el poder no solo tiene un componente económico, es global, de tal forma que hay poder económico, político, blando, duro o híbrido".Fuente: www.lavanguardia.com. Steve Purser: "Un ciberataque al sistema eléctrico puede paralizar un país" El experto cree que se ha dado un gran paso para poner el foco sobre la ciberseguridad, pero todavía queda mucho por hacer. Las nuevas normativas de la Unión Europea (UE) han llenado todos los titulares de los periódicos en las últimas semanas. Sin embargo, todo el foco se ha centrado sobre el ya famoso Reglamento General de Protección de Datos (RGPD), aunque existen otras regulaciones de gran importancia, como la directiva relativa a las medidas de seguridad de las redes y sistemas de información de la UE -conocida como directiva NIS-, que debería acaparar más titulares.Esta legislación, que entró en vigor el 9 de agosto de 2016 y debería haber sido transpuesta en nuestro país antes del pasado 9 de mayo, se centra en proteger con medidas y protocolos de seguridad armonizados el conjunto de estructuras críticas -energía, banca, telecomunicaciones, transporte, salud, etc...- de un país ante posibles ciberataques. "Ésta es una directiva extremamente importante", destaca Steve Purser, jefe de operaciones de la Agencia de Seguridad y Redes de la Unión Europea (Enisa). "Todos los países de la UE deben luchar por defender sus sistemas críticos, es decir, todas aquellas infraestructuras sin las cuales un país podría atravesar serias dificultades. Y es que, aunque quizá la gente no sea consciente de ello, ahora mismo un ciberataque al sistema eléctrico puede llegar a paralizar un país entero", añade. Fuente: www.expansion.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 77 Noticias Seguridad en Comunidad Movistar Empresas
FBI lanza una alerta internacional para routers cisco por ser fáciles de hackear El FBI está recomendando a las empresas y hogares, reiniciar lo antes posible los enrutadores; esto basado en un informe de Cisco de que 500,000 dispositivos infectados podrían ser destruidos con un solo comando. Expertos en seguridad informática comentaron que el malware denominado VPNFilter, fue desarrollado por el grupo de hackers rusos Sofacy. El FBI confirmo la información, ya que la semana pasada obtuvo una orden de captura de un dominio utilizado para controlar los enrutadores infectados. Cisco Talos Intelligence revelo en un informe que 500,000 enrutadores hechos por Linksys, MikroTik, Netgear y TP-Link habían sido infectados con VPNFilter. Este malware recoge el tráfico enviado a través de enrutadores infectados, como las credenciales del sitio web. Pero la capacidad más preocupante es que el malware autoriza a los actores maliciosos borrar una parte del firmware de un dispositivo infectado, dejándolo inservible. Fuente: noticiasseguridad. Pérdida de datos internos en distintas empresas De acuerdo con un aviso de seguridad de Coca-Cola, un ex-empleado de una subsidiaria de Coca-Cola ha sido encontrado en posesión de un disco duro que parecía haber sido sacado de la empresa con datos personales de 8.000 empleados. El incidente tuvo lugar en septiembre de 2017, sin embargo, los funcionarios encargados de hacer cumplir la ley solicitaron a Coca-Cola que no publicitara el asunto en ese momento debido a las investigaciones en curso. Ahora que las investigaciones han concluido, Coca-Cola ha confirmado que el disco duro contenía algunos documentos pertenecientes a sus trabajadores. Esta no es la primera vez que un interno ha dañado a la compañía para la que trabajaba. Fuente: https://www.hackread.com Todos los fondos de la aplicación de criptomonedas Taylor han sido robados en ciberataque El equipo de la startup Taylor despertó y descubrió que un actor malicioso había limpiado Taylor. El robo es una pesadilla para las startups y un problema constante en la industria de la criptomoneda, comentaron expertos en seguridad informática. Taylor es una startup que a través del diseño y lanzamiento de una aplicación comercial, quiere ser la conexión entre los intercambios de criptomonedas y la tecnología móvil. El equipo logro desarrollar el asistente de intercambio de criptomonedas inteligente Taylor, que presume ser una aplicación fácil de usar que lo ayudará a obtener beneficios todos los días. Pero no todo son buenas noticias, el proyecto ha sido arruinado por un ataque que ha drenado por completo el inicio de la tienda de criptomonedas. En una publicación de blog, el equipo de Taylor dijo que “todos nuestros fondos han sido robados, no solo el ETH (2,578.98 ETH) sino también los tokens TAY”. Esto es aproximadamente $ 1.5 millones de dólares. Fuente: noticiasseguridad.com Chrome y Firefox han estado filtrando los nombres de perfiles de Facebook desde 2016 Un grupo de investigadores de seguridad ha dado a conocer un fallo de seguridad que fue introducido en los principales navegadores web, Google Chrome y Firefox, en 2016 cuando se implementó una de las últimas características del estándar CSS, mix-blend-mode, una característica que puede ser fácilmente utilizada para filtrar la información de un perfil de Facebook, pixel a pixel, para insertarla en un iframe en una web de terceros. Si todo hubiera funcionado correctamente, las propias políticas del navegador hubieran impedido que piratas informáticos se aprovecharan de esta característica, sin embargo, esto no ha sido así. Los investigadores de seguridad que han descubierto este fallo han podido demostrar cómo es posible aprovecharse de esta característica del CSS para extraer todo tipo de información directamente de un perfil de Facebook. Para ello, se analiza pixel a pixel cada imagen o contenido multimedia dentro del perfil, así como se consiguen utilizar técnicas de reconocimiento de caracteres, OCR, para extraer texto, como el nombre o las publicaciones. Fuente: redeszone.net. Revelan que 2017 fue el "peor año" para la seguridad informática El año 2017 fue el peor para la seguridad informática, ya que la cantidad de reclamos por ciberataques y pérdida de datos superó los de los cuatro años anteriores, afirma un estudio del AIG, compañía estadounidense de finanzas y seguros, cuyos resultados publica Insurance Times. Según el reporte de AIG, publicado la semana pasada, el 26 % de los reclamos en 2017 estuvieron relacionados con los 'ransomware', virus que restringen el acceso al sistema del usuario hasta que se envíe un pago para quitar las restricciones. Mientras tanto, entre 2013 y 2016 se registró apenas un 16 % de ese tipo de denuncias. Entre otras causas de pérdidas de datos, los analistas destacaron los ataques de 'hackers' y otros fallos de seguridad como accesos no autorizados y fraude de suplantación de identidad. Entretanto, según afirman analistas, el error humano sigue siendo un factor crucial en la mayoría de los reclamos a pesar de que el número de notificaciones provocadas por negligencia de los usuarios se redujo un 7 % el año pasado. Fuente: actualidad.rt.com El sector de la aviación se prepara para una lluvia de ciberataques este verano Los ciberataques están a la orden del día. Practicamente todos los sectores andan con pies de plomo y buscando la mejor forma de protegerse ante el cibercrimen. Uno de los sectores que más amenazado se va a ver este verano es el de la aviación, a quien la Agencia Europea de Seguridad Aérea ha advertido que se avecina un verano 'caliente' con más de mil ciberataques mensuales a este sector. David Warburton, ingeniero senior de sistemas de F5 Networks afirma que con la llegada del verano la actividad en los aeropuertos crece exponencialmente. "Por desgracia, turistas y ciberdelincuentes se reparten el protagonismo a partes iguales. La Agencia Europea de Seguridad Aérea pronostica que los sistemas de aviación de este continente tendrán que hacer frente a más de mil ciberataques cada mes. Es un dato alarmante, pero no sorprendente. La tendencia a facilitar los trámites de los usuarios y la reducción de los presupuestos de TI son dos factores que se suman para reducir la seguridad efectiva de los sistemas y de los datos. En este punto, es necesario ser conscientes de que se debe priorizar la protección de las infraestructuras críticas, a menudo bastante antiguas”. Fuente: cso.computerworld.es Bancos holandeses afectados por ciberataque, todos los servicios desconectados Bancos holandeses ABN Amro y Rabobank afectados por ataques DDOS, el 27 de mayo, lo cual ha afectado a su sistema de banca en línea con servidores fuera de línea. Expertos en seguridad informática comentaron, que los actores maliciosos lanzaron ataques DDoS contra dos servidores de bancos y sobrecargaron el tráfico afectado a los sitios web. Un grupo de profesionales en seguridad informática explican, los ataques DDoS es cuando varios sistemas desbordan el ancho de banda o los recursos de un sistema específico, generalmente uno o más servidores web. Los ataques DDOS son a menudo el resultado de múltiples sistemas comprometidos, por ejemplo una botnet, que inundan el sistema de destino con tráfico. El primer ataque fue lanzado contra Rabobank y ABN Amro la semana pasada, lo que provoco que la banca en línea y móvil se desconectara, los pagos iDeal y los sitios web fueron inaccesibles. Fuente: noticiasseguridad.com Honeywell lanza su centro de Ciberseguridad Industrial Honeywell ha lanzado su primer centro de excelencia en Ciberseguridad Industrial COE en su sede de Medio Oriente en Dubai. El nuevo COE es un centro tecnológico pionero con un entorno fuera de proceso seguro para probar y demostrar las vulnerabilidades y amenazas de la red de control de procesos, capacitar a los clientes con simulaciones de ataques en tiempo real y proporcionar consultas avanzadas a los clientes. El COE demuestra aún más el compromiso de Honeywell de abordar las necesidades de ciberseguridad industrial de los clientes en la región del Medio Oriente aprovechando la experiencia, tecnología y soluciones comprobadas a nivel mundial. Esta inversión se realiza en apoyo de iniciativas del gobierno regional, como la Estrategia de seguridad cibernética de Dubai, con el objetivo de fortalecer las defensas de ciberseguridad en medio de una creciente transformación digital en todas las industrias. Fuente: www.infoplc.net Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 75 Noticias Seguridad en Comunidad Movistar Empresas
Datos de 3,1 millones de usuarios de Facebook expuestos por aplicación de terceros Después de toda la tormenta generada por el escándalo de Cambridge Analytica, una investigación llevada a cabo por New Scientist muestra que una aplicación desarrollada en la Universidad de Cambridge ha terminado por exponer los datos privados de 3,1 millones de usuarios. La aplicación, que era vendida como un test psicológico, se llamaba myPersonality y estuvo enviando datos personales como la edad, el sexo, la localización, el estado de las actualizaciones y otros resultados a investigadores de otras universidades y de distintas compañías, entre las que se encuentran Google, Microsoft, Yahoo y la propia Facebook, que accedían a lo recopilado mediante un sitio web compartido. Lo peor fue que unos estudiantes, después de subir código a GitHub (cosa normal en los entornos universitarios), acabaron filtrando, posiblemente sin querer, el usuario y la contraseña para acceder al sitio web compartido, por lo que dicha credencial se podía obtener con tan solo realizar una búsqueda en Internet. El escándalo de Cambridge Analytica ha obligado a Facebook a reforzar sus políticas en torno a la privacidad. Fuente: muyseguridad.net. Malware que mina criptomonedas CSIRT-CV ha elaborado un informe sobre el estado del arte del malware destinado a minar criptomoneda, tan en auge en los últimos meses. CSIRT-CV en colaboración con el laboratorio de malware de S2Grupo ha elaborado un informe que contiene un estado del arte de las distintas variantes de amenazas orientadas al minado de criptomoneda más comunes. En concreto se detallan el tipo de equipos objetivo más comunes de cada una, así como sus principales vías y técnicas de infección. A partir de todos los datos recopilados se puede remarcar el considerable incremento de nuevas amenazas orientadas al minado de criptomoneda, y de entre ellas el hecho de que la mayoría se basan en código reutilizado de repositorios públicos que puede ser utilizado de forma legítima. Otro detalle remarcable es que se está explotando todo tipo de dispositivos desde equipos de usuario, servidores, smartphones y dispositivos IoT. Fuente: www.csirtcv.gva.es Wicked-Mirai: nueva variante más agresiva Expertos de la empresa Fortinet identificaron a esta nueva variante de la famosa botnet Mirai a la que denominaron Wicked-Mirai. Esta nueva variante incluye al menos 3 nuevos exploit en comparación a la versión original. Usualmente los módulos que están dentro del bot Mirai son 3: Attack, Killer, y Scanner. En el análisis que realizó Fortiguard, esta nueva variante "Wicked" se centró en el mecanismo de distribución del malware. La versión original de Mirai utilizaba intentos de fuerza bruta para ganar acceso a los dispositivos IoT, pero la versión nueva viene con algunos exploit ya conocidos para realizar los ataques. Wicked utiliza los puertos 8080, 8443 80 y 81 para intentar realizar la detección de los dispositivos. Si la conexión es exitosa este intentará utilizar el exploit y descargar la carga útil. Fuente: www.seguridadyfirewall Extensiones maliciosas de Chrome infectan a más de 100.000 usuarios Ciberdelincuentes desconocidos infectaron más de 100.000 PCs mediante siete extensiones maliciosas para el navegador web Chrome, que estaban alojadas en la tienda oficial de Google. Hace tiempo que las extensiones maliciosas (y otro tipo de apps) superaron la seguridad de la tienda de aplicaciones de Google y lamentablemente se repiten este tipo de noticias a pesar de los esfuerzos del gigante de Internet. Abarcar todo su ecosistema de forma minuciosa es una tarea difícil, por lo que a veces hackers y cibercriminales consiguen colar software malintencionado tanto en la Play Store como en la Chrome Store. En enero, ICEBRG detectó cuatro extensiones maliciosas en la Chrome Store que llegaron a infectar alrededor de medio millón de computadoras, incluyendo estaciones de trabajo pertenecientes a organizaciones importantes. El mes pasado, Google decidió eliminar las extensiones de criptominado de la Chrome Web Store por los problemas derivados de esta actividad. La historia se repite, según el anuncio de la firma Radware, que habla de 100.000 máquinas infectadas por descargas de siete extensiones maliciosas de Chrome vinculadas al criptominado desde la tienda oficial. Con ello, los ciberdelincuentes habrían obtenido datos de inicio de sesión y otros confidenciales de los usuarios. Una buena parte de ellas se propagaron a través de enlaces falsos enviados a la red social Facebook. Fuente: www.muyseguridad.net Brain Food: Botnet para spam en PHP encontrado en 5.000 servidores Han conseguido comprometer 5.000 servidores con un script malicioso en PHP que ha sumado ordenadores para llevar a cabo campañas de spam a escala, las cuales van redirigiendo a los usuarios hacia páginas web sobre presuntas píldoras para potenciar dietas y mejorar la inteligencia. Fuente: www.bleepingcomputer.com Speculative Store Buffer Bypass: vulnerabilidad en Red Hat y KVM Speculative Store Bypass es una vulnerabilidad de seguridad descubierta recientemente por varios investigadores de seguridad de Google y Microsoft y bautizada por Spectre-NG y parece ser una cuarta variante del error de hardware de Spectre divulgado públicamente a principios de este año en microprocesadores modernos, y luego descubierto para afectar miles de millones de dispositivos. Los investigadores de Google y Microsoft descubrieron el error de forma independiente. Los errores se funcionan de manera similar a los errores Meltdown y Spectre, una razón por la cual se clasificaron como "variante 3a" y "variante 4" en lugar de vulnerabilidades separadas por completo. AMD, ARM, Intel, Microsoft, y Red Hat han publicado avisos de seguridad en el momento de la redacción, con explicaciones de cómo funcionan los errores, junto con los consejos de mitigación. Fuente: access.redhat.com Identifican APT Crouching Yeti, conocido por sus ataques a compañías industriales Kaspersky Lab ha descubierto la infraestructura utilizada por el conocido grupo APT de habla rusa Crouching Yeti, también conocido como Energetic Bear. Numerosos servidores en diferentes países se han visto afectados desde 2016, a veces solo con el fin de obtener acceso a otros recursos. Otros muchos, incluidos aquellos que alojan sitios web rusos, se utilizaron para ataques "watering hole". Crouching Yeti es un grupo de habla rusa de amenazas persistentes avanzadas (APT) al que Kaspersky Lab lleva siguiendo desde 2010. Es muy conocido por dirigirse contra industrias de todo el mundo, con un interés prioritario por las instalaciones de energía, con el objetivo de robar datos valiosos de los sistemas. Una de las técnicas que el grupo utiliza es la de los ataques "watering hole" (los atacantes inyectan en una web un enlace que redirige a los visitantes a un servidor malicioso). Fuente: diarioti.com Ciberdelincuetes roban 15 millones en México A finales de Abril, diversos bancos mexicanos registraron que estaban sufriendo fallas en sus sistemas de pagos y transferencias interbancarios. En este caso, el SPEI (Sistema de Pagos Electrónicos Interbancarios), que es administrado por el Banco de México(Banxico) por ser la institución financiera central del país, fue lo que presentó problemas. El sistema SPEI de México es una red doméstica similar al sistema de mensajería global SWIFT que mueve miles de millones de dólares diariamente. El 27 de abril las transferencias electrónicas de los bancos se volvieron lentas. Siendo viernes y fin de mes, varios mexicanos esperaban el pago de sus salarios por lo que algunos usuarios comenzaron a denunciar las irregularidades. Aunque se cree que fue un intento de ciberataque o una vulnerabilidad en el SPEI lo que causó que miles de trabajadores no recibieran sus pagos, Banxico rechazó la posibilidad. En su lugar acusó a los bancos afectados de ser los responsables del problema, y les ordenó trabajar en un protocolo de contingencia que provocaría retrasos en los movimientos realizados. Este protocolo de contingencia pone las transacciones en manos humanas, por lo que aunque han sido capaces de realizar algunos pagos y de retornar dinero a las cuentas originales de aquellos movimientos que no se completaron, toma una considerable cantidad de tiempo el realizar todo esto. Fuente: www.fayerwayer.com Software malicioso de minería realiza medio millón de ataques en tres días La instalación de un software de minería desde la web, a espaldas de los usuarios, es una tendencia muy en boga. Pero esta semana tomó un giro más agresivo, con un malware denominado WinstarNssmMiner, del cual se han detectado 500.000 ataques en tres días y habría dejado hasta 30.000 dólares en ganancias para los delincuentes en la criptomoneda monero. Fuente: www.criptonoticias.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 71 Noticias Seguridad en Comunidad Movistar Empresas
Vulnerabilidad en Outlook permite robar contraseñas en la previzualización de mensajes Microsoft Outlook es uno de los clientes de correo electrónico más populares de la actualidad, y el hecho de que esté incorporado junto al resto de herramientas de Office, da la posibilidad a los usuarios de acceder de forma más rápida a la información de sus correos. El experto Will Dormann del Carnegie Mellon SEI ha revelado detalles sobre una vulnerabilidad importante en Microsoft Outlook, que al ser aprovechada de forma correcta, podría permitir hacerse con datos sensibles del sistema operativo, como las contraseñas. El error de seguridad, con el nombre CVE-2018-0950, fue descubierto y notificado a la compañía de Redmond hace más de un año. Solo basta con convencer a los usuarios de abrir la "vista previa" de un mensaje RTF que incluya un enlace malicioso. La vulnerabilidad reside en la forma en que Microsoft Outlook procesa contenido OLE alojado remotamente cuando se visualiza un mensaje de correo electrónico RTF (Formato de texto enriquecido) e inicia automáticamente las conexiones SMB. Así, un atacante podría incluir un objeto OLE en el correo electrónico y se cargará mediante un servidor SMB bajo el control del atacante. Al ejecutar esta acción, el delincuente puede obtener el usuario y la contraseña del usuario lo que le da acceso temporal al equipo. Todo esto ocurre con solo abrir la vista previa del correo. Fuente: thehackernews.com El 26% de las empresas han sufrido robos de datos en la nube McAfee ha mostrado en la conferencia RSA que se celebra en San Francisco los resultados de su tercer informe anual, que recoge los resultados de una encuesta global realizada a 1.400 profesionales de tecnología durante el cuatro trimestre de 2017 y muestra datos interesantes sobre la adopción de las tecnologías de computación en la nube por parte de las empresas. La seguridad en la nube es, sin duda, una de las principales preocupaciones de las empresas que guardan sus datos en servicios de nube pública. Es lo que se desprende del tercer informe anual de McAfee sobre seguridad en la nube, que acaba de presentarse y del que se han hecho eco en Venture Beat. Raj Samani, científico jefe McAfee. Los resultados de la encuesta arrojan que el 97% de las empresas utilizan servicios en la nube, ya sean privados, públicos o híbridos. El 83% respondió que almacena datos sensibles en la nube, pero solo el 69% confía en una nube pública para mantener seguros sus datos. Fuente: www.muyseguridad.net Malware peligroso alojado en Download.com ha robado bitcoin durante años Hoy en día, cuando le pregunta a un experto en seguridad sobre algunos consejos básicos para mantenerse seguro en la web, una de las cosas más importantes que probablemente te dirá es que descargue software solo de fuentes legítimas. Encontramos tres aplicaciones troyanizadas alojadas en download.cnet.com, que es uno de los sitios de alojamiento de software más populares en el mundo, como muestra su rango Alexa (163). El usuario Crawsh de / r / monero subreddit fue una de las víctimas con esa historia, pero afortunadamente para él, su historia tuvo un final feliz. Su dirección de billetera pegada fue interceptada en un portapapeles por un malware y reemplazada por la dirección de bitcoin codificada del atacante. Afortunadamente para Crawsh, la dirección reemplazada solo es válida para bitcoins y parches. La dirección de Monero la dejó inválida y la aplicación de destino la detectó antes de que se enviara su Monero a ninguna parte. Crawsh finalmente escribió una publicación con detalles sobre su caso en / r / monero subreddit, donde fue notada por nuestro investigador de malware, quien luego comenzó la investigación para ayudar y arrojar algo de luz sobre el caso y rápidamente encontró información muy interesante. Fuente: blog.eset.ie Rusia bloquea Telegram por no entregar las claves de su cifrado Creada por dos conocidos hermanos rusos, la aplicación de mensajería Telegram (200 millones de usuarios) nunca ha tenido buena aceptación entre las autoridades de su país, que después de mucho tiempo de fricciones han terminado cumpliendo la amenaza de bloquear el servicio en todo el territorio. La razón: no haber entregado las claves de cifrado, según se les exigía por parte de un tribunal. Así, y "con efecto inmediato", las operadoras rusas están llamadas a bloquear toda comunicación realizada por Telegram a través de sus redes. Un bloqueo que tiene la posibilidad de revertirse, de acceder los responsables de la aplicación a acatar la orden del tribunal. Pero no parece probable que algo así vaya a suceder. El CEO de Telegram, Pavel Durov, ya ha respondido vía Twitter que "en Telegram tenemos el lujo de no preocuparnos por las fuentes de ingresos o las ventas de anuncios. La privacidad no está en venta y los derechos humanos no deberían verse comprometidos por temor o avaricia". Fuente: www.muyseguridad.net ¿Vevo hackeado? Desaparecen canciones con millones de visitas Un grupo de delincuentes ha borrado el vídeo musical de la canción 'Despacito' con la que el artista Luis Fonsi había superado recientemente todo un hito: superar las 5.000 millones de visualizaciones. El vídeo ha reaparecido poco después. En la BBC reportan que además de estos, otra docena de artistas como Selena Gomez, Drake y Taylor Swift también se vieron afectados. El supuesto responsable le hizo mención a YouTube en su cuenta de Twitter diciendo que "era solo por diversión" que no lo juzgaran y que los quería... Vídeos modificados o borrados, varios videoclips han sido modificados para mostrar que han sido hackeados en su título, algo que de hecho ocurrió inicialmente con el videoclip de 'Despacito'. Fuente: www.xataka.com Crecen los ataques a documentos Word sin macros y el malware zero-day aumenta un 167% La inteligencia de amenazas de los appliances Firebox ha detectado que los ataques de malware han aumentado un 33% y que los ciberdelincuentes utilizan cada vez más los documentos de Microsoft Office para enviar sus ejecutables maliciosos. Así lo señala el informe Internet Security Report del cuarto trimestre de 2017 elaborado por WatchGuard Technologies. "Después de un año completo de recopilación y análisis de los datos a través de Firebox Feed podemos asegurar que los ciberdelincuentes continúan aprovechando ataques sofisticados y evasivos, así como esquemas ingeniosos de entrega de malware para robar datos valiosos", explica el director de tecnología de WatchGuard Technologies, Corey Nachreiner. Alentamos a las empresas de todos los tamaños a mitigar proactivamente estas amenazas con servicios de seguridad en capas, protección avanzada contra el malware y educación y capacitación a los empleados sobre las mejores prácticas de seguridad". Fuente:diarioti.com EvilURL v2.0: un generador de dominios unicode para ataques homográficos IDN Los ataques homográficos en nombres de dominio internacionalizados (IDN) son aquellos en los que se registran nombres de dominio maliciosos que en apariencia son idénticos o muy similares a los que intentan suplantar. Se consiguen gracias a las similitudes de algunos caracteres de diferentes idiomas. Por ejemplo, los caracteres a, с, е, о, р, х, у son idénticos en la tabla UNICODE U+0430 (estándar de codificación para el español, inglés, etc.) y U+0061 (caracteres círilicos). El resultado a la hora de comparar dominios fraudulentos con los originales es inapreciable a la vista, lo cuál es un auténtico regalo para la industria del phishing. En este tipo de ataque si vieron la vulnerabilidad, al manejar Unicode y que permitía ataques de Phishing utilizando Punycode o en los dominios con puṇtos debajo de las letras, también utilizados para Phishing.Mediante la herramienta EvilURL, escrita en Python por UndeadSec, es posible generar fácilmente dominios maliciosos unicode para realizar ataques homográficos IDN y también detectarlos. Fuente: www.hackplyers Roban dos millones de euros a un gurú de las criptomonedas durante un directo en Youtube Durante dicho directo, un formato que el experto suele utilizar para promocionar su marca personal, uno de los espectadores le avisó de que alguien había retirado todas sus divisas del monedero virtual. "Ian, sabes que alguien ha transferido todos los tokens [monedas] de tu cuenta", le advirtieron. "Espero que de se trate de un movimiento controlado", indicó el espectador. Fuente: www.elmundo.es Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
¿Qué son las criptomonedas? ¿Por qué su rápido auge?
Una criptomoneda, criptodivisa o altcoin es un medio digital de intercambio, protegido por un proceso de cifrado. A diferencia de las divisas tradicionales, estas monedas virtuales están fuera del control de instituciones financieras y gobiernos. En su validez como medio de pago, su escasez y gran demanda reside su valor. En la práctica, las criptodivisas son consideradas por los inversores como las materias primas. Al igual que sucede con éstas, el valor de una criptomoneda no depende sólo del comportamiento de una economía concreta. Además las variaciones en los tipos de interés y el aumento en las reservas monetarias tampoco tienen un efecto directo en su valor. La primera criptomoneda que empezó a operar fue el bitcoin en 2009. Posteriormente han aparecido muchas otras con diferentes características y protocolos como Litecoin, Ripple o Etherum. Cotización (USD) de las 5 primeras Criptomonedas a 19/03/18: Litecoin (LTC) lanzada en 2011, se sustenta, al igual que Bitcoin, en la red P2P, y también está dotada de un protocolo criptográfico de “código abierto” (modelo de desarrollo de software basado en la colaboración). Ripple (XRP) se lanzó en 2012 y a diferencia de otras criptodivisas, sí está vinculada a la banca y además está controlada por solo una empresa, Ripple, con sede en San Francisco. En nuestro país el Banco de Santander es usuario de esta plataforma. Ehereum (ETH) es otra plataforma de “código abierto” descentralizada y basada en el “modelo blockchain ” (“cadena de bloques”), que permite suscribir contratos P2P. Cuenta con una ficha de criptomoneda, llamada “ether”. Se lanzó en julio de 2015 y después de una bifurcación de la “blockchain” en julio de 2016, hay dos líneas de Ethereum activas: Ethereum y Ethereum Clásico. ¿Qué es la minería de criptomonedas? En el universo de las criptomonedas el dinero no se crea, sino que se descubre. El blockchain es una contabilidad digital, que registra de forma cronológica y pública las transacciones efectuadas en criptodivisas. Los “mineros”, al verificar las transacciones y transcribirlas a la cadena de bloques, resuelven complejos problemas matemáticos, por lo que obtienen recompensas en cantidades fijas de criptomonedas. Bitcoin comenzó con una recompensa de 50 BTC por bloque. En estos momentos, la recompensa es de 12,5 BTC y se prevé que caiga aproximadamente a la mitad. La red Ethereum empezó recompensando con 5 ETH, recompensa que se sitúa ahora en 3 ETH. La minería es una de las formas de emitir nuevas unidades de estas divisas. ¿Qué otras formas hay de adquirir criptomonedas? La forma más sencilla de obtener criptomonedas es en una casa de cambio: En itstamp, que no tiene sede en Europa, se pueden intercambiar euros y dólares por bitcoins y Ripples. La casa de cambio estadounidense GDAX.com ofrece el intercambio de euros y dólares por bitcoins, ethers y litecoins. Kraken, con sede en San Francisco, ofrece el intercambio de dólares y euros con 11 criptomonedas. Además es el líder por volumen de negociación en euros. Xapo cuya cara visible es el argentino Wences Casarer, ha desarrollado un nuevo estándar de seguridad (Bóveda), sin cargo para los usuarios. Todas las anteriores operan también como monedero online. Otras casas de cambio se dedican sólo al intercambio de criptomonedas. A día de hoy siguen operando aquellas que, gracias a su eficiencia, han sobrevivido a los numerosos robos y fraudes cometidos por Hackers.Boletín nº 67 Noticias Seguridad en Comunidad Movistar Empresas
Any.Run, la herramienta interactiva de análisis de malware, abierta a todos de forma gratuita Esta semana la herramienta interactiva de análisis de programas maliciosos Any.Run ha anunciado que su versión gratuita de la comunidad está disponible y abierta a cualquiera. Quien lo desee puede registrarse en el servicio y emplear su cuenta para analizar interactivamente y sin coste, en un entorno aislado y seguro para su equipo, diferentes tipos de malware. Lo que hace especial a esta utilidad de análisis es que su funcionamiento es completamente interactivo. Esto permite la carga de un fichero potencialmente malicioso y la manipulación del mismo en tiempo real mientras la herramienta lleva a cabo su examen. En otros entornos aislados de pruebas hay que cargar el archivo y esperar a que el servicio proporcione el análisis, sin permitirse ningún tipo de interacción. Esta característica, su principal atractivo, permite un testeo más visual y revelador de todo aquel malware que requiere la interacción del usuario. Como por ejemplo, el que demanda el avance a través de varias ventanas en una instalación o juega con el usuario lanzándole ventanas con diferentes mensajes y opciones. Además de permitir el análisis en profundidad de objetos maliciosos no identificados, también facilita la investigación de otros tipos de ataque. Fuente: www.genbeta.com. Un niño bloquea el iPhone de su madre para los próximos 47 años Ocurrió en Shangái, China, el pasado mes de enero. Como si quisiera lograr un récord Guiness y entrar en la historia de las hazañas más imposibles, un niño ha conseguido algo totalmente inaudito: bloquear el iPhone de su madre para los próximos 47 años. Si normalmente se acostumbra a decir a los padres que mantengan los aparatos electrónicos fuera del alcance de los niños, esta noticia confirma la gran verdad de estas palabras. Y si no, que se lo pregunten a la madre que encargó a su hijo que cuidara de su smartphone. Al parecer el pequeño había introducido tantas veces el código de desbloqueo que el periodo de inhabilitación era inasumible. Según ha contado la protagonista a Kankanews.com, ella solía dejar el móvil al niño para ver vídeos educacionales pero cuando volvió un día a casa encontró escrito en la pantalla: “inhabilitado para los próximos 25 millones de minutos”. El rotativo chino se puso en contacto con un técnico de Apple para intentar dar con una solución a esta problemática. Los profesionales le plantearon dos opciones a la dueña del teléfono móvil: esperar 47 años o directamente resetear el dispositivo con la consiguiente pérdida de información del dispositivo. Fuente: www.lavanguardia.com. Aumento de ataques al sector salud, extracción de criptomonedas El aumento en el valor de Bitcoin llevó a los hackers a centrarse en el secuestro de criptomonedas a través de una variedad de métodos, incluidas las aplicaciones maliciosas de Android. Durante el cuarto trimestre de 2017, los profesionales de seguridad de la información vieron en promedio ocho nuevas muestras de amenazas por segundo y el uso creciente de ataques de malware sin archivos aprovechando Microsoft PowerShell. “El cuarto trimestre se definió como: malware sin archivos, extracción de criptomonedas y esteganografía. Incluso las tácticas probadas y verídicas, como las campañas de ransomware, se aprovecharon más allá de sus medios habituales para crear humo y espejos que distraigan a los defensores de los ataques reales“, dijo Raj Samani, experto en seguridad de la información de McAfee. “La colaboración y el intercambio de información liberalizada para mejorar las defensas de ataque siguen siendo críticamente importantes a medida que los defensores trabajan para combatir la escalada de la guerra cibernética asimétrica”. Fuente: noticiasseguridad.com. El ataque de MOSQUITO permite que las computadoras con espacios de aire intercambien datos de forma encubierta El equipo de investigadores de seguridad que el mes pasado demostró cómo los atacantes podrían robar datos de computadoras con protección contra el aire dentro de una jaula de Faraday, están de regreso con su nueva investigación que muestra cómo dos o más PCs ubicados en la misma habitación pueden encubrirse e intercambiar datos a través de ondas ultrasónicas. Se cree que los ordenadores con espacio de aire son la configuración más segura en la que los sistemas permanecen aislados de Internet y las redes locales, lo que requiere acceso físico para acceder a los datos a través de una unidad flash USB u otros medios extraíbles. Conocida como MOSQUITO, la nueva técnica, descubierta por un equipo de investigadores de la Universidad Ben Gurion de Israel, funciona invirtiendo los altavoces pasivos o auriculares conectados en micrófonos mediante la explotación de una función específica de chip de audio. Hace dos años, el mismo equipo de investigadores demostró cómo los atacantes podían escuchar de forma encubierta conversaciones privadas en su habitación simplemente invirtiendo sus auriculares conectados a la computadora infectada en un micrófono, como un dispositivo de detección de errores, usando malware. Fuente: thehackernew.scom. Los Hackers APT infectan Routers para implantar secretamente Malware para espiar Los investigadores de seguridad de Kaspersky han identificado un grupo de hacking APT sofisticado que ha estado operando desde por lo menos 2012 sin que hayan sido descubiertos por sus complejas e inteligentes técnicas de hacking. El grupo hacking utiliza una pieza de malware avanzado, denominado Honda para infectar cientos de miles de víctimas en el Oriente Medio y África por piratería en sus routers. Según indica un informe publicado por Kaspersky Labs, el grupo explota desconocidas vulnerabilidades en routers de un proveedor de hardware de red letona Mikrotik como su vector de infección de la primera etapa para plantar secretamente su spyware en computadoras de las víctimas. Aunque no está claro cómo el grupo logró comprometer los routers, en un primer momento, Kaspersky apuntó a WikiLeaks Vault 7 CIA Leaks, que reveló el exploit ChimayRed, ahora disponible en GitHub, para comprometer los enrutadores Mikrotik. Una vez que el router está comprometido, los atacantes sustituyen uno de sus archivos DDL (bibliotecas de vínculos dinámicos) por uno malicioso del sistema de archivos que se carga directamente en la memoria de la computadora de la víctima cuando el usuario ejecuta el software Winbox cargador. Fuente: thehackernews.com. Gozi Trojan usa Dark Cloud Botnet en nueva ola de ataques Gozi IFSB, un troyano bancario que ha estado rondando por Internet durante varios años, ha vuelto con nuevos objetivos, nuevas características y una nueva botnet para su distribución. Los cambios, detallados por Talos Intelligence el martes, sirven para que el troyano sea una amenaza más peligrosa para un grupo selecto de víctimas. Gozi IFSB ha comenzado a utilizar el botnet Dark Cloud en campañas recientes, un desarrollo que muestra que los atacantes se están moviendo a infraestructuras que están asociadas con actividades criminales y maliciosas generalizadas. Dark Cloud, que utiliza computadoras personales comprometidas como hosts para sitios web que cambian de dirección cada pocos minutos, se basa principalmente en Europa del Este y Rusia. La campaña más reciente usa mensajes de correo electrónico individualmente dirigidos con archivos maliciosos de Microsoft Word como el mecanismo de entrega de la carga de malware. Fuente: www.darkreading.com Ahora tus datos personales en la Dark Web van acompañados de tu selfie En la Dark Web se pueden comprar muchas cosas ilegales, como droga, identidades robadas, armas, herramientas de hackeo, y un largo etcétera. Ahora, algunas de las identidades robadas en la Dark Web están empezando a venir acompañadas de datos personales todavía más peligrosos, como selfies. Datos personales, por 70 dólares se puede suplantar a una persona. Eso es lo que ha descubierto la empresa de seguridad israelí Sixgill. En uno de los miles de volcados de datos en un foro ruso de la Dark Web encontraron uno que destacaba frente a los otros porque incluía fotografías de las personas a las que pertenecía cada identidad. Fuente: www.adslzone.net. Descubren 200 millones de cuentas en la Dark Web Especialistas en seguridad de Hacked-DB descubrieron datos que contienen las credenciales de inicio de sesión de millones de usuarios en la Dark Web. En total, descubrieron 3.000 bases de datos que contienen 200 millones de cuentas de usuario únicas que incluyen direcciones de correo electrónico, información personal, cuentas financieras, direcciones IP únicas, identificadores de cuenta únicos y otra información confidencial vinculada a organizaciones e individuos alrededor del mundo. La filtración incluye bases de datos desde 2011 hasta hoy en 2018, y la información incluye cuentas personales con contraseñas sin formato o hash que pueden revertirse fácilmente a la contraseña misma. La mayoría de estas bases de datos no se detectaron antes de esta fuga y el tamaño total de los archivos filtrados es de 9 GB. Fuente: www.cybersecurityintelligence.com Amazon, google y playstation sufrieron ataques DDos La vulnerabilidad en Memcached Servers ha estado expuesta a las masas desde que su código de prueba de concepto (PoC) fue publicado recientemente en línea. Esa exposición ahora permitiría a los script kiddies realizar ataques DDoS a gran escala como si el reciente ataque masivo DDoS contra Github y el mayor ataque de 1.7Tbps del mundo sobre una firma estadounidense no fueran suficientes. Según una lista proporcionada por una empresa de seguridad de la información, las siguientes empresas y sitios web han sido golpeados por ataques DDoS a través de servidores Memcached mal configurados. Fuente: noticiasseguridad.com. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 65 Noticias Seguridad en Comunidad Movistar Empresas
Detectada campaña de phishing que suplanta a Movistar Se ha detectado una campaña tipo phishing, a través de correo electrónico, que suplanta a la web de correo Movistar. Desde el equipo de seguridad de Telefónica se ha reportado su retirada. Mediante técnicas de ingeniería social, el email intenta confundir al usuario para que pulse en el enlace y redirigirle a una página web maliciosa que suplanta a la de Movistar, con el objetivo de capturar las credenciales del usuario (dirección de correo electrónico y contraseña). Fuente: comunidad.movistar.es RedDrop, un nuevo spyware para Android que graba todo lo que dices delante de tu smartphone Una firma de seguridad británica daba a conocer RedDrop, un nuevo software espía para Android capaz de grabar todo lo que se dice delante de nuestro smartphone y subirlo a distintos servidores de almacenamiento, principalmente Google Drive y Dropbox. Grabar las conversaciones no es la única finalidad de este malware. Además de esto, también se encarga de suscribir a las víctimas a servicios SMS Premium y a robar otro tipo de archivos almacenados dentro del dispositivo, como fotos, vídeos e incluso los contactos de la agenda, sin que el usuario pueda ser consciente de ello. Fuente : redeszone.net El Incibe alerta de un fallo de seguridad en uTorrent que infecta ordenadores El Instituto Nacional de Ciberseguridad (INCIBE) ha descubierto un fallo de seguridad en las versiones de escritorio Windows y web del software de descargas uTorrent que permite a los atacantes descargar y ejecutar código remoto para infectar o tomar el control de un ordenador. Únicamente es necesario que el usuario acceda a cualquier página web que los cibercriminales hayan diseñado para verse afectado por esta vulnerabilidad, ha informado este jueves el INCIBE en un comunicado. Se trata de un problema de "DNS rebinding", que permite transformar el equipo atacante en un "proxy" de red. Esto significa que todas las conexiones pasaran en primer lugar por el atacante, pudiendo este ver y manipular todos los datos que recibe y ofreciendo la posibilidad de realizar descargas de software malicioso, ejecutar código remoto y revisar el historial de navegación. Fuente: 20minutos.es Apple traslada datos de iCloud y claves de cifrado para usuarios chinos a China Apple finalmente acordó abrir un nuevo centro de datos chino el próximo mes para cumplir con la última ley de protección de datos controvertida del país. Apple ahora moverá las claves criptográficas de sus usuarios chinos de iCloud en centros de datos administrados por una empresa estatal llamada Cloud Big Data Industrial Development Co, a pesar de las preocupaciones de los activistas de derechos humanos. En 2017, China aprobó una Ley de seguridad cibernética que requiere que los "operadores de infraestructura de información crítica" almacenen los datos de los usuarios chinos dentro de las fronteras del país, lo que probablemente forzó a Apple a asociarse con el nuevo centro de datos chino. Esta es la primera vez que Apple va a almacenar las claves de cifrado necesarias para desbloquear las cuentas de iCloud de sus usuarios fuera de los Estados Unidos. Fuente: Thehackernews.com Cellebrite crea un método para desbloquear cualquier iOS y otros modelos Después de que Apple rechazó ayudar a acceder a los datos de desbloqueo del iPhone 5c, se dijo que el FBI pagó un millón de dólares a una empresa privada para hacerlo. Ahora, parece que la agencia federal ya no tendrá que luchar contra Apple porque la empresa israelí Cellebrite afirma que ha creado un método capaz de desbloquear cualquier iPhone en el mercado, incluyendo el último iPhone X. Desde el año 1999, Cellebrite proporciona herramientas digitales forenses y software para teléfonos móviles a sus clientes, que también incluye el gobierno de los Estados Unidos. Uno de sus productos principales es el Universal Forensic Extraction Device (UFED) que está diseñado para ayudar a los investigadores a extraer todas las contraseñas de teléfonos móviles. Fuente: blog.seg-info.com.ar Los piratas informáticos pueden añadir una firma digital al malware, aunque les sale demasiado caro En los últimos meses hemos podido ver cómo una gran cantidad de malware ha empezado a incluir firmas digitales legítimas, así como certificados SSL empresariales en páginas web maliciosas, con el fin de poder engañar incluso a las medidas de seguridad más avanzadas para pasar desapercibidas y poder poner en peligro la seguridad de los usuarios. Fuente: redeszone.net El falso software ionCube llega a cientos de sitios Cientos de sitios web han sido infectados con malware que se hace pasar por legítimos archivos codificados como ionCube, advierte SiteLock. Los archivos maliciosos se descubrieron inicialmente en los directorios centrales de un sitio de WordPress, presentando patrones de nombres generalmente asociados con el malware, a saber, "diff98.php" y "wrgcduzk.php". Debido a que los archivos ofuscados aparecen como si hubieran sido codificados con ionCube, los investigadores llamaron a la amenaza ionCube malware. ionCube es una antigua y poderosa tecnología de ofuscación de PHP que se puede utilizar para codificar archivos PHP basados en texto para ocultar la propiedad intelectual. Debido a los costos de licencia, ionCube generalmente no se usa con fines maliciosos. Fuente: securityweek.com Así te hackean la tostadora para minar criptomonedas Las criptomonedas han protagonizado una de las revoluciones económicas con más atención de los últimos años. Desde los que las defienden a ultranza hasta a aquellos que las califican una y otra vez de peligrosa burbuja, todos tienen razones de peso para defender su opinión. Lo que es incuestionable es que una de sus características, el anonimato del dueño de las divisas digitales, las hace también muy codiciadas para aquellos que están al margen de la ley. El atractivo que han encontrado en ellas los inversores lo han hallado también los piratas informáticos, que han desarrollado sistemas para minar criptomonedas, pues es así como se crean. Sin embargo, dado que muchas de ellas son finitas, se hace cada vez más necesario una mayor potencia energética para completar el proceso. Para conseguirlo, los hackers están valiéndose de los dispositivos conectados, nacidos al amparo del Internet de las Cosas, con algunos tan diversos como una webcam, una tostadora o un termostato. El sistema que utilizan es similar al de los famosos ataques de denegación de servicio, o Ddos. Fuente: elindependiente.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana! ÁngelesBoletín nº 60 Noticias Seguridad en Comunidad Movistar Empresas
* Ransomware SamSam ataca organismos públicos y hospitales Expertos en seguridad informan que un número importante de instituciones (sobre todo estadounidenses) se han visto afectadas por este ransomware, bautizando con el nombre SamSam. De nuevo, los ciberdelincuentes centran sus esfuerzos en entidades públicas. Parece que el negocio de los usuarios particulares ha quedado olvidado, o al menos en un segundo plano. Para estos parece que ha quedado reservado el minado de criptomonedas, algo menos “dañino” y que el final produce más beneficios. Volviendo con la amenaza que nos ocupa, parece que algunos hospitales habrían pagado incluso el rescate solicitado por recuperar el acceso a los datos afectados, incluso disponiendo de una copia de seguridad que permitiría recuperar una cantidad importante de la información afectada. Expertos en seguridad ya hablan de una campaña del ransomware SamSam activa y que se prolongará durante las próximas semanas. Encontrarás toda la información en este artículo. * Spyware Skygofree Llamado así por los expertos de Kaspersky Lab, el spyware se ha utilizado desde el 2014 para atacar Smartphones, robar chats de WhatsApp, grabar conversaciones y espiar los mensajes de texto de las víctimas, así como también llamadas telefónicas, audios, eventos de agenda y ubicación geográfica de dispositivos . El malware generalmente se propaga a través de sitios web comprometidos que imitan a los operadores móviles más conocidos, incluidas las empresas británicas Three y Vodafone. Si bien el código interno del malware ha cambiado a lo largo de los años, los investigadores dicen que se puede utilizar para dar a los hackers control remoto total del dispositivo infectado.Tienes toda la información en este artículo. * Una nueva variante de Satori Botnet ataca a plataformas de Ethereum ENISA ha publicado dos nuevos informes, los cuales recogen las herramientas y metodologías para apoyar la cooperación entre los equipos de respuesta ante incidentes de seguridad informática (CSIRT nacionales o gubernamentales) y las autoridades policiales, por un lado; y los aspectos legales y organizativos para mejorar la cooperación entre ambas instituciones, por otro. Estos documentos abordan los aspectos técnicos, legales y organizativos de la cooperación entre los CSIRT y las autoridades policiales, con recomendaciones para ayudarlos a cooperar más estrechamente en la lucha contra el ciberdelito. Según los datos recopilados en ellos, se confirma que los CSIRT y las autoridades policiales a menudo intercambian información durante la gestión de la investigación de incidentes, tanto formal como informalmente, y que la confianza es el factor clave de éxito en esa cooperación. Más información aquí. * Skyfall y Solace, los dos primeros ataques informáticos basados en Meltdown y Spectre Vulnerabilidades, registradas como CVE-2017-5175, CVE-2017-5753 y CVE-2017-5754, suponen un grave riesgo para la seguridad de los sistemas, sin embargo, son vulnerabilidades teóricas ya que, aunque demostradas, no se habían conseguido explotar, hasta ahora. Siguiendo a Spectre con nombres de películas de James Bond, hace algunas horas ha aparecido una nueva página web en la que se habla de Skyfall y Solace, dos nuevos ataques informáticos, de los que aún no se ha revelado información por motivos de seguridad, que se explotan a través de las vulnerabilidades de los procesadores de Intel, AMD y ARM. Como podemos ver en dicha página web, la información sobre estos ataques informáticos está bajo embargo, por lo que, de momento, no se sabe nada al respecto. Si quieres acceder a la noticia completa pulsa en este enlace. * Se descubre en Rusia un fraude masivo que implicaba a los surtidores de gasolina Las fuerzas de la ley de Rusia han detectado un fraude masivo que consistía en una alteración de lo que se pagaba en las gasolineras. El asunto ha implicado a decenas de empleados que instalaron programas maliciosos en los surtidores para que introdujeran en los vehículos menos combustible del que luego pagaba los clientes. En la estafa masiva, los empleados desviaron el coste entre un 3 y un 7 por ciento. El Servicio Federal de Seguridad (SFS) de Rusia encontró los programas maliciosos a partir de una serie de clientes que se quejaron de haber perdido combustible sin que hubiese una razón técnica detrás (insinuando un robo). En los casos más extremos se detectó un peso un 7% inferior al teóricamente repostado. El SFS ha reconocido que los programas maliciosos introducidos en los surtidores eran difíciles de detectar, aunque a partir de los clientes que denunciaron la posible estafa empezaron a tirar del hilo hasta llegar a su creador: el hacker Denis Zayev. Las autoridades también han comentado que los surtidores fraudulentos estaban muy extendidos en la zona sur del país. Má información aquí. * Microsoft suspende los parches de Meltdown y Spectre porque dejan de arrancar Desde el pasado 4 de enero, un hilo dentro del foro oficial de Microsoft se ha ido llenando de quejas de usuarios con equipos con procesadores AMD. Tras instalar las actualizaciones de seguridad contra las vulnerabilidades Meltdown y Spectre, sus ordenadores no arrancaban. Al encenderse se cuelgan y muestran el logo de Windows sin pasar de esa pantalla, apareciendo más tarde el error 0x800f0845. Entre los usuarios ha reinado el desconcierto estos días, al no saber si podían estar sufriendo incompatibilidades similares a las provocadas por algunos antivirus, llegando a mostrar pantallazos azules, hasta que Microsoft se ha pronunciado en una nota aclaratoria. Más información aquí. * El malware Fruitfly ha espiado a usuarios de Mac durante 13 años Las autoridades estadounidenses han presentado cargos sobre un hombre de 28 años oriundo de Ohio, acusado de haber creado e instalado spyware en miles de computadoras durante 13 años. Phillip R. Durachinsky, de North Royalton (Ohio), está acusado de haber utilizado malware de Mac, conocido como Fruitfly, para controlar de forma remota las computadoras de sus víctimas, cargar y acceder a archivos, tomar capturas de pantalla, cargar las pulsaciones en el teclado, y espiar a través de cámaras web. Más info en este enlace. * Not Mining: Buscador de webs que minan criptomonedas Con el auge actual de las criptomonedas ha llegado un nuevo problema para todos los que navegamos la web: el uso no autorizado de nuestros recursos para minar las divisas digitales. Hemos visto una enorme cantidad de amenazas y métodos diferentes: ya sean páginas web, malware, extensiones, incluso redes WiFi públicas. Varias soluciones han aparecido mientras tanto, extensiones como NoCoin ofrecen una barrera protectora, algo que navegadores como Opera ya están implementando por defecto. Pero es una iniciativa creada por dos españoles la que busca abordar el problema de otra manera, ofreciendo su propio buscador de webs que minan criptomonedas: NotMining. NotMINING está en sus etapas iniciales de vida. Es un proyecto de José C. García Gamero, y Adam K. Martín, dos estudiantes españoles de administración de sistemas informáticos en red. Además de la web con el buscador, cuentan con una extensión para Chrome y un complemento para Firefox. La diferencia entre algo como NoCoin o la función del navegador Opera, es que NotMining busca directamente el código en la web analizada, sin listas negras de dominio, con lo cual afirman que la posibilidad de que haya un falso positivo o un falso negativo es menor. Accede a la información completa aquí. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
