Boletín semanal nº 39 Noticias Seguridad en Comunidad Movistar Empresas
* La asignatura pendiente del coche autónomo es la ciberseguridad La asignatura pendiente del coche autónomo es la ciberseguridad. Los vehículos se asemejan cada vez más a ordenadores con ruedas. Los más sencillos ya cuentan con un sinfín de dispositivos electrónicos y los autónomos son pura conectividad, lo que los convierte en presa fácil y golosa de los ciberdelincuentes. Todo dispositivo conectado es susceptible de ser atacado, y los coches autónomos no iban a ser una excepción. Sin embargo, parece que las compañías y fabricantes están enfocando más sus esfuerzos en diseñar modelos inteligentes capaces de moverse con la menor intervención humana que en protegerlos para resistir al malware. http://www.ticbeat.com/seguridad/la-asignatura-pendiente-del-coche-autonomo-es-la-ciberseguridad * SambaCry: Vulnerabilidad en Linux Ahora llega el turno de equipos Linux. Una vulnerabilidad descubierta recientemente en Samba, llamada SambaCry, hace que los equipos con Linux queden expuestos en Internet. De esta forma son vulnerables a un ataque de la misma intensidad que WannaCry. Investigadores ya han detectado malware que se está aprovechando de esta vulnerabilidad en los equipos Linux. En los casos detectados se ha visto que los equipos han sido infectados con software de minería de criptomonedas. No se sabe con exactitud el número de usuarios atacados, aunque los hackers ya han obtenido beneficios a través de estos ataques. https://www.profesionalreview.com/2017/06/11/equipos-linux-atacados-por-la-vulnerabilidad-sambacry/ * Fallo de verificación en Chrome permite grabar audio y vídeo Ran Bar-Zik, desarrollador web en AOL, ha descubierto y reportado un fallo de Google Chrome que permite a una página web grabar audio y vídeo sin que aparezca el correspondiente distintivo en la pestaña. A pesar de que incluso los sitios web maliciosos necesitan que el usuario les conceda permisos para poder acceder al micrófono y a la cámara, el bug hallado en Google Chrome abre la puerta a la creación de mecanismos para grabar audio y/o vídeo de forma malintencionada. Con el fin de saber qué página web está grabando audio o vídeo, Google Chrome muestra un distintivo con un círculo rojo en la pestaña correspondiente. Este círculo rojo es también un estándar utilizado para indicar que se está grabando, ya que lo podemos encontrar en muchas aplicaciones y dispositivos, incluido smartphones. https://www.bleepingcomputer.com/news/security/chrome-bug-allows-sites-to-record-audio-and-video-without-a-visual-indicator/ * Investigadores de seguridad consiguen portar uno de los exploits de WannaCry a Windows 10 WannaCry ya lleva un tiempo dando a medios de todo el mundo titulares sin parar. De su irrupción destacó lo rápido que logró extenderse por todas partes. Sin embargo, lo que más llamaba la atención era que hacía uso de dos exploits de la NSA, EternalBlue y DoublePulsar. Este hecho conectaba al ransomware directamente con Shadow Brokers. Ahora y según hemos podido saber gracias a Fossbytes, investigadores de seguridad de la empresa RiskSense han conseguido portar EternalBlue a Windows 10. La idea es que los hackers éticos puedan investigar cómo se comporta este malware en la última iteración del sistema operativo de Microsoft. https://www.genbeta.com/seguridad/investigadores-de-seguridad-consiguen-portar-uno-de-los-exploits-de-wannacry-a-windows-10 * Malware utiliza funciones ocultas de Intel Management Engine (ME) El equipo de seguridad de Microsoft ha descubierto una familia de malware [PDF] usada por un grupo de ciberespionaje llamado "Platinum", y que se aprovecha de una característica de los procesadores Intel para saltar las herramientas de seguridad y robar datos. Sí, de una característica, no de un fallo o de una vulnerabilidad, al menos no en el estricto sentido de la palabra. Esta familia de malware usa la función SOL (Serial-over-LAN) de la Tecnología de Gestión Activa de Intel (AMT) como una herramienta de transferencia de archivos. Y, gracias a la forma en la que esa tecnología funciona, es capaz de sobrepasar la interfaz de red del sistema local de forma que ninguna herramienta de seguridad instalado puedan detectarlo. https://www.bleepingcomputer.com/news/security/malware-uses-obscure-intel-cpu-feature-to-steal-data-and-avoid-firewalls/ * Google soluciona 101 vulnerabilidades en Android Google ha publicado el boletín de seguridad Android correspondiente al mes de junio en el que corrige un total de 101 vulnerabilidades, 28 de ellas calificadas como críticas. Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-06-01 ("2017-06-01 security patch level") se solucionan 21 vulnerabilidades, solo una de ellas se considera crítica y podrían permitir la ejecución remota de código al tratar archivos multimedia. Otras 14 de ellas son de gravedad alta y seis de importancia moderada. http://unaaldia.hispasec.com/2017/06/google-soluciona-101-vulnerabilidades.html * Impresoras utilizadas para identificación de documentos y personas Se habla de cómo las elecciones del año pasado en Estados Unidos sufrieron ciberataques por parte de la inteligencia militar rusa y ahora el FBI ha detenido a "Reality Leigh Winner" (25) por filtrar Secretos de Estado. Al parecer, esta persona hizo llegar a los medios datos que daban fuertes indicios de que Rusia intentó hackear las elecciones estadounidenses en las que Donald Trump fue elegido presidente. Para encontrarla la NSA ha estudiado (entre otras cosas) un rastro invisible que dejan las impresoras al imprimir documentos. El problema es que la mayoría de las nuevas impresoras imprimen casi de forma invisible unos puntos amarillos que rastrean exactamente cuándo y dónde se imprime cualquier documento: los "Tracking Dots". Esos puntos indican el número de serie y modelo de la impresora, además de la fecha y hora exacta de la impresión. Debido a que la NSA registra todos los trabajos de impresión, puede utilizar esto para hacer coincidir exactamente con quién imprimió el documento. http://blog.erratasec.com/2017/06/how-intercept-outed-reality-winner.html#.WUECFJLygQoBoletín semanal nº 27 Noticias Seguridad en Comunidad Movistar Empresas
* Alemania prohíbe la muñeca “CAYLA” por sus capacidades para el espionaje La Agencia Federal de Redes de Alemania ha prohibido en el país la muñeca “Cayla”, al considerar que el micrófono y la conexión de bluetooth integrados en el juguete lo convierten en un posible instrumento de espionaje no permitido por la ley. “Objetos que ocultan cámaras o micrófonos y que pueden transmitir datos de forma inadvertida amenazan la esfera privada de las personas”, manifestó en un comunicado el presidente de la Agencia, Jochen Homann. La entidad ha pedido a los comercios que retiren la muñeca, pero ha dejado claro que no actuará contra los padres aunque la ley alemana de telecomunicaciones prohíbe la posesión de ese tipo de dispositivos, además de su fabricación y distribución. http://nanduti.com.py/2017/02/17/alemania-prohibe-la-muneca-cayla-por-sus-capacidades-para-el-espionaje/ * Google anuncia el primer ataque de colisión a SHA1 La función de digesto criptográfica SHA1 (Secure Hash Algorithm 1) ya está oficialmente muerta. Google anunciará hoy el primer ataque de colisión exitoso. SHA1 es una función de digesto criptográfica usada para generar un resumen de datos digitales (hash), hash que, en teoría, deberían ser únicos para cada conjunto de datos digitales, y usado para firmar y autenticar la autenticidad e identidad de un archivo. La función SHA1 fue diseñada por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y su algoritmo fue publicado por primera vez en 1995. El algoritmo empezó a mostrar su edad en 2005 cuando criptoanalistas encontraron fallas teóricas que podrían ser usadas para quebrar SHA1 mediante ataques de colisión, un término utilizado para describir cuando un atacante determinado genera un archivo que tiene el mismo hash SHA1 que otro archivo legítimo. https://www.bleepingcomputer.com/news/security/google-announces-first-ever-sha1-collision-attack/ * USB Killer 3.0 ahora destruye móviles con USB C y Lightning, además de ordenadores Ya hemos hablado hablado en otras ocasiones de USB Killer. Este pendrive es capaz de destruir cualquier ordenador al que sea conectado a través del puerto USB. Después de una actualización que recibió a finales de 2015, ahora la nueva versión llega más completa que nunca y capaz de destrozar cualquier móvil, incluidos los iPhone. https://www.adslzone.net/2017/02/17/usb-killer-3-0-ahora-destruye-moviles-usb-c-lightning-ademas-ordenadores/ * Nueva técnica para identificar navegadores web y usuarios en línea Ahora, un equipo de investigadores ha desarrollado recientemente una nueva técnica de "huellas dactilares de navegadores". Dicen que es la primera técnica confiable para rastrear con precisión a los usuarios de varios navegadores, basándose en información de las extensiones, los complementos, zonas horarias e incluso en los bloqueadores de anuncios. Esto hace que el método sea particularmente útil para los anunciantes, lo que les permite seguir publicando anuncios dirigidos a usuarios en línea. http://blog.segu-info.com.ar/2017/02/nueva-tecnica-para-identificar.html * El Proyecto Linux soluciona fallo de seguridad de 11 años de antigüedad que da al atacante privilegios root El equipo de desarrollo de Linux ha corregido una falla de seguridad en el kernel de Linux que puede ser explotada para conseguir privilegios de ejecución de código nivel root, desde un proceso de bajo privilegio. La falla de seguridad descrita con el identificador CVE-2017-6074, fue descubierta por el pasante de Google Andrey Konovalov utilizando syzkaller, una herramienta de auditoría de seguridad desarrollada por Google. Afecta todos los kernel liberados en los últimos 11 años. De acuerdo a Konovalov, la falla de seguridad afecta a todos los kernel Linux, desde la versión 2.6.14, liberada en octubre de 2005, si bien solo la probó y confirmó en versiones desde la 2.6.18 publicada en septiembre de 2006. El pasante de Google dice que el problema fue introducido en el kernel cuando el equipo de Linux añadió soporte para el Protocolo de Control de Congestión de Datagramas (DCCP) en la versión 2.6.14. https://www.bleepingcomputer.com/news/security/linux-project-patches-11-year-old-security-flaw-that-gives-attackers-root-access/ * La plataforma Change.org se llena de descargas piratas Google mantiene el equipo de seguridad Project Zero que se dedica a analizar aplicaciones y programas en busca de vulnerabilidades. Hace una semana, el investigador de Project Zero, Tavis Ormandy alertó a Cloudflare de un problema que habría afectado a los datos de empresas como Uber, OKCupid, Fitbit, 1Password, entre muchas otras. Concretamente, se refiere a datos sobre las sesiones que estas compañías almacenan en sus servidores y se utilizan para validar a los usuarios ante estas aplicaciones. En un comunicado público, que debería ser tomado como ejemplo de transparencia, ha sido la propia Cloudflare la que ha reconocido el problema y ha brindado todos los detalles técnicos. http://blog.segu-info.com.ar/2017/02/cloudbleed-algunas-ensenanzas-de-lo-que.htmlBoletín nº 41 Noticias Seguridad en Comunidad Movistar Empresas
* Chema Alonso: ¿Cómo ves el virus Petya? ¿Es igual que WannaCry? Petya es un ransomware que ya existía antes, igual que WannaCry. Ambos utilizan una vulnerabilidad de Windows para viralizar mucho más el ransomware. En el caso de WannaCry, se trataba de una vulnerabilidad que hacía que los equipos que no estuviesen parcheados quedasen afectados. En este caso la vulnerabilidad de Microsoft era muy reciente y muchas compañías no habían finalizado todavía los procesos de Quality Assurance o Aseguramiento de la Calidad de los equipos, por eso tuvo un gran impacto. Ahora, como hay más equipos actualizados para protegerse de esta vulnerabilidad desde el ciberataque de WannaCry, el ámbito de posibles equipos afectados por Petya es menor. Es mucho más agresivo el ciberataque Petya que WannaCry. Si el ataque de Petya se hubiera producido hace un mes, habría sido más agresivo que WannaCry, ya que en este caso el ransomware cifra todo el disco duro del equipo, la tabla de particiones entera, por lo que recuperarlo es más complicado. WannaCry no encriptaba todo el disco duro, era más sencillo recuperar archivos. http://www.vozpopuli.com/altavoz/tecnologia/Chema-Alonso-entrevista-cuarta-plataforma-aura_0_1039997622.html * Wormhole: Envía archivos a otros usuarios de forma segura en Linux con esta utilidad Enviar archivos entre equipos siempre ha sido una necesidad. Servicios FTP, almacenamiento en la nube, o incluso servicios VPN han servido para satisfacer estas necesidades de los usuarios. Sin embargo, existen otras muchas alternativas que seguro desconoces, Wormhole es una de ellas. Se trata de una aplicación gratuita que está disponible tanto para equipos con distribución Linux como sistema operativo macOS. Si no estás conforme con el uso que hacen de tus archivos en los servicios de almacenamiento en la nube, ésta es sin lugar a dudas una de las mejores opciones, dejando de lado la utilización de dispositivos NAS. Su uso cada vez está más extendido y son muchos los usuarios domésticos y profesionales que optan por la utilización para el almacenamiento y la compartición de información. ¿Es una solución realmente segura? La respuesta es sí. Wormhole hace uso de PAKE (del inglés Password-Authenticated Key Exchange) utilizada para cifrar la información que se envía entre los extremos. https://www.redeszone.net/2017/07/03/wormhole-envia-archivos-otros-usuarios-forma-segura-linux-esta-utilidad/ * Bithumb, uno de los sitios más importantes para el intercambio de Bitcoin, ha sido hackeado Bithumb actualmente opera con un volumen de operaciones de 13.000 bitcoin diariamente, lo que representa el 10% del comercio mundial de bitcoin. Pero por otro lado, su volumen de operaciones bajo ether, la criptomoneda de la plataforma Ethereum, hace que sea la más importante del mundo con el 44% de las operaciones a nivel mundial. Durante el pasado ataque, los hackers se hicieron con la información personal de 31.800 usuarios, lo que resultó en la pérdida de miles de millones de won de las cuentas de muchos de estos clientes. Tal solo un usuario afirma haber perdido en bitcoin, lo equivalente a diez millones de won, una cantidad que desapareció al instante. https://m.xataka.com/seguridad/bithumb-uno-de-los-sitios-mas-importantes-para-el-intercambio-de-bitcoin-ha-sido-hackeado * Linux no se salva, la CIA también tiene un método para robar datos aunque usemos ese sistema Linux, el sistema preferido de los amantes de la privacidad y seguridad. Es precisamente por eso por lo que los usuarios más celosos de su privacidad y seguridad suelen usar otros sistemas, como Linux. También es por eso que, si sientes que puedes ser perseguido por gobiernos y agencias, puede que te interese aprender Linux; sin embargo, todo esto no implica que sea imposible romper su seguridad. OutlawCountry es una herramienta que permite interceptar todo el tráfico de datos que sale de un ordenador con Linux; este tráfico pasa por servidores de la CIA, que analizan y capturan la información que interesa al agente que está dirigiendo la operación. OutlawCountry, el malware para Linux de la CIA. Este malware consiste en un módulo para el kernel (núcleo) de la versión 2.6 de Linux; una vez instalado, el programa crea una nueva tabla de Netfilter, el framework de Linux dedicado a la gestión y manipulación de paquetes de red, con el que puede crear nuevas reglas para la gestión de red del sistema. http://omicrono.elespanol.com/2017/06/malware-para-linux-de-la-cia/ * Sistema de detección de tráfico malicioso Maltrail es un sistema de detección de tráfico malicioso, que utiliza listas públicas (listas negras) que contienen pistas maliciosas y generalmente sospechosas, junto con pistas estáticas compiladas a partir de varios informes AV y listas personalizadas definidas por el usuario, donde puede ser cualquier cosa, desde el nombre de dominio. http://www.gurudelainformatica.es/2017/06/sistema-de-deteccion-de-trafico.html * Crackean RSA 1024-bit en GnuPG por un error en LibgCrypt Un equipo de investigadores de la Universidad Técnica de Eindhoven, de la Universidad de Illinois, de la Universidad de Pennsylvania, de la Universidad de Maryland y de la Universidad de Adelaide han descubierto una vulnerabilidad crítica en una biblioteca criptográfica de GnuPG, lo cual les permitió romper completamente RSA-1024 y extraer con éxito la Clave Privada para descifrar datos. http://www.bbc.com/news/technology-40406542 * Disponible el kernel Linux 4.12 Se trata de uno de los mayores lanzamientos historicamente, y que solo la versión 4.9 llegó a tener más cambios, pero el 4.12 es simplemente muy grande. Nuevo soporte de hardware y nuevas características de seguridad. https://www.genbeta.com/linux/disponible-el-kernel-linux-4-12-linus-torvalds-lo-califica-como-uno-de-los-mayores-lanzamientos-de-su-historiaNoticias de Seguridad a nivel mundial: boletín nº 122
Vulnerabilidad en Linux permite hackear un sistema con sólo abrir un archivo en Vim El experto en seguridad de páginas web Armin Razmjou ha reportado el hallazgo de una vulnerabilidad de ejecución de comandos remotos en Vim y Neovim, considerada como una falla de alta severidad. Las herramientas comprometidas son las más potentes y utilizadas para editar textos con líneas de comandos y que se encuentran preinstaladas en la mayoría de los sistemas operativos basados en Linux. En los sistemas Linux, el editor Vim permite a los usuarios crear, ver o editar cualquier archivo, incluidos texto, scripts de programación y documentos, si así lo desean. La vulnerabilidad fue detectada en Vim, no obstante, debido a que Neovim es sólo una versión extendida de Vim con algunas mejoras de plugins, esta vulnerabilidad también reside en ella. En su reporte, el especialista en seguridad de páginas web menciona que la vulnerabilidad reside en la forma en la que Vim maneja una característica llamada “modelines”, que está habilitada de forma predeterminada para encontrar y aplicar automáticamente un conjunto de preferencias personalizadas establecidas por el creador de un archivo. El experto menciona que, aunque el editor sólo permite un subconjunto de operaciones en “modelines” por seguridad, además de usar el entorno sandbox como protección, es posible usar el comando “:source!” para omitir el sandbox. Por lo tanto, al abrir un archivo de Vim o Neovim especialmente diseñado y con apariencia inofensiva, un actor de amenazas podría ejecutar comandos arbitrarios en el sistema Linux comprometido y tomar control del equipo. Continúa navegando en https://noticiasseguridad.com/. Facebook, Google y Apple están vendiendo información de sus usuarios a terceros Se ha reportado un nuevo incidente relacionado con las grandes compañías tecnológicas y la privacidad de sus usuarios. Acorde a expertos en seguridad en páginas web, Apple enfrenta una demanda colectiva por la divulgación ilegal e intencional de la información de los usuarios de iTunes con terceros. Los demandantes aseguran que Apple ha estado compartiendo los datos de los usuarios de iTunes sin su consentimiento expreso; esta información podría incluir datos como nombre de usuario, edad, detalles de ubicación e historial de preferencias musicales en la plataforma. La demanda fue presentada por tres ciudadanos estadounidenses. En la demanda se afirma que Apple vende un conjunto de datos pertenecientes a mil personas por unos 130 dólares. “Una compañía podría solicitar una lista con la información de todas las mujeres solteras, mayores de 70 años, con estudios universitarios e ingresos mínimos de 80 mil dólares anuales que escuchan música country en iTunes, por ejemplo”, se menciona en la demanda. Esta práctica podría generar consecuencias desagradables para los usuarios de iTunes, como campañas de marketing demasiado invasivas, afirman los expertos en seguridad en páginas web. Además, la intervención de terceros podría complicar aún más la situación, pues estos terceros podrían volver a vender la información a otras compañías para generar más ganancias. Continúa navegando en https://noticiasseguridad.com/ Hackers roban grabaciones de Radiohead, exigen 150 mil dólares de rescate Acorde a especialistas en servicios de seguridad informática, el grupo musical Radiohead fue víctima de un grupo de hackers que de algún modo logró sustraer un conjunto de sesiones archivadas de la banda en días recientes, amenazando con publicarlas si no recibían un rescate de 150 mil dólares. No obstante, en lugar de tratar de negociar con los actores de amenazas, la banda decidió lanzar el material inédito vía Bandcamp, una plataforma para músicos donde los artistas pueden publicar su trabajo y establecer sus propios precios. “Fuimos hackeados hace algunos días; una persona o grupo no identificado robó algunas grabaciones de finales de los 90’s y, según nos han informado, exige un rescate de 150 mil dólares para no publicarlo. En lugar de iniciar un proceso tedioso, o sólo ignorar a los ladrones, decidimos publicar estas 18 horas de grabaciones en Bandcamp”, menciona un post en el Facebook oficial de la banda. Radiohead fijó un precio mínimo de 18 libras a cambio de las 18 horas de grabación que datan del año 1997, cuando fue lanzado su álbum “OK Computer”. Acorde a especialistas en servicios de seguridad informática, el material estará disponible en Bandcamp por dos semanas; a través de un comunicado, la banda afirmó que los ingresos generados por la venta de este material serán destinados a una ONG dedicada a combatir el cambio climático. Continúa navegando en https://noticiasseguridad.com/ Zombieload: nuevos bugs que permiten extraer información de procesadores Intel Varios investigadores de distintas universidades han encontrado una nueva clase de vulnerabilidades en los procesadores de Intel que pueden usarse para robar información confidencial directamente del procesador. Los errores recuerdan a otros de canal lateral como Meltdown, Spectre o Foreshadow, que explotaron una vulnerabilidad en la ejecución especulativa, una parte importante de cómo funcionan los procesadores modernos. La ejecución especulativa es una técnica de optimización que Intel agregó a sus CPU para mejorar la velocidad de procesamiento de datos y el rendimiento. El ataque ha sido bautizado como "ZombieLoad" porque toma su nombre de "carga zombie", una cantidad de datos que el procesador no puede entender o procesar adecuadamente, lo que obliga al procesador a pedir ayuda al microcódigo del procesador para evitar un bloqueo. Las aplicaciones generalmente solo pueden ver sus propios datos, pero este error permite que los datos se filtren a través de esos límites. Los investigadores dijeron que ZombieLoad filtrará cualquier dato actualmente cargado por el núcleo del procesador. Intel dijo que los parches al microcódigo ayudarán a borrar los buffers del procesador, evitando que se lean los datos. Continúa navegando en https://www.hackplayers.com/ Millones de usuarios afectados por brecha de datos en Truecaller Expertos del curso de seguridad web del IICS reportan una brecha de datos en Truecaller, el popular servicio para evitar el spam telefónico. Los datos personales de millones de usuarios del servicio, en su mayoría residentes de India, se encuentran expuestos en foros de hackers en dark web, un sector de Internet donde los cibercriminales pueden poner a la venta productos y servicios ilícitos. Acorde a múltiples miembros de la comunidad de la ciberseguridad, los datos personales de los usuarios de Truecaller, incluyendo nombres completos, direcciones email, entre otros, han sido detectados en diversos foros de hacking en dark web. Los criminales ofrecen la información de los usuarios de Truecaller en India a cambio de alrededor de 2 mil euros; por otra parte, la información de los usuarios a nivel global es ofrecida a cambio de cerca de 25 mil euros. Los expertos del curso de seguridad web que reportaron inicialmente el incidente, también encontraron evidencia para confirmar que los hackers han estado haciendo copias no autorizadas de la información comprometida, además de que, entre los datos expuestos, es posible encontrar información de residencia y proveedor de servicio de telefonía móvil de los usuarios. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 90 Noticias Seguridad en Comunidad Movistar Empresas
GhostDNS: unos hackers han cambiado las DNS de 100.000 routers La empresa Netlab ha detallado que hay más de 100.000 routers afectados (un 87,8% en Brasil), habiendo más de 70 routers o versiones de firmware afectados. Las principales webs falsas a la que redirigían los atacantes eran páginas de bancos del país, e incluso Netflix. Este ataque estaba compuesto de cuatro módulos diferentes: DNSChanger, Web Amin, Phishing Web y Rogue DNS. DNSChanger, el primero de ellos, es el responsable de recopilar la información y llevar a cabo el ataque a través de tres submódulos en routers conectados a redes públicas o privadas. En total, es capaz de ejecutar más de 100 ataques a más de 70 routers. Uno de ellos realizaba 69 ataques a 47 routers o firmwares distintos, habiendo conseguido infectar 62.000 routers. El segundo, llamado Web Admin, contiene la página de login del Web Admin System. El tercero, el Rogue DNS, contiene la información de las webs que el malware suplanta y que el usuario termina viendo en su navegador. El cuarto y último, Phishing Web, se complementa con el tercero, y resuelve las páginas web falsas correspondientes al sitio que se quiere suplantar. ¡Mucho cuidado! Descubren que el 83% de los routers que tenemos en casa no son seguros. Revisa que tienes la última versión del firmare instalada, y que los DNS de tu router son los correctos. Más información en https://www.adslzone.net. TORII: nueva botnet IoT, aún sin objetivos claros Cada vez existen más dispositivos conectados a Internet, dispositivos de todo tipo que forman lo que conocemos como "Internet de las Cosas", o IoT. Desde cámaras de vigilancia hasta micro-servidores y electrodomésticos, cada vez son más los dispositivos conectados a la red, dispositivos que, por desgracia, no destacan precisamente por su seguridad, hecho que no han tardado los piratas informáticos en aprovechar para tomar el control de estos dispositivos y crear peligrosas botnets, como Mirai o la nueva botnet recién descubierta: Torii. Tal como se ha podido comprobar, el grupo de delincuentes informáticos ha creado binarios para una gran de arquitecturas diferentes, como MIPS, ARM, x86, x64, PowerPC y SuperH, adaptando los binarios a cada tipo de arquitectura para reducir la probabilidad de ser detectada y, además, poder implementar medidas de persistencia especiales para cada tipo de dispositivo. ¿Cómo funciona la botnet Torii?. Esta botnet busca nuevos dispositivos para infectar a través del puerto 23 Telnet, pero a diferencia de otras, el ataque llega directamente desde la red Tor. Más información en https://www.bleepingcomputer.com/. Puerto de San Diego golpeado por Ransomware La Oficina Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional (DHS) fueron convocados por el Puerto de San Diego en California después de que algunos de los sistemas de TI de la organización se infectaron con un ransomware. El Puerto de San Diego emitió su primera declaración sobre el incidente de ciberseguridad, que calificó de "grave", el 26 de septiembre, un día después de que comenzó a recibir informes de interrupciones en los sistemas de TI. El Puerto de Barcelona también informó haber sido golpeado por un ciberataque este mes, pero no está claro si los incidentes están relacionados. El puerto español no ha compartido ninguna información sobre el tipo de ataque, pero también afirmó que el incidente solo afectó a los sistemas internos, sin impacto en las operaciones terrestres o costeras. El Puerto de Barcelona dice que ha "iniciado las acciones legales apropiadas en represalia a este grave ataque".Más información en https://www.securityweek.com/. Exponen datos de 50 millones de usuarios de Facebook Un ataque a Facebook que se descubrió esta semana expuso información sobre casi 50 millones de usuarios de la red social, anunció la compañía el viernes. Los atacantes, que no fueron identificados, explotaron una característica que les permite a los usuarios ver su página de Facebook de la misma forma que lo haría otra persona (función "View As"). Facebook dice que ya ha solucionado el problema y ha informado a la policía. Según el New York Times, la compañía ha encontrado el agujero esta semana, y ya ha informado de ello a las autoridades estadounidenses. Los atacantes han explotado una vulnerabilidad en el código que les ha permitido hacerse con el control de las cuentas de los usuarios. Los atacantes se aprovecharon de un error en el código de la app y accedieron a la información privada de los usuarios. Este viernes por la mañana, más de 90 millones de personas fueron obligadas a salir de sus cuentas por la propia red social como medida de seguridad. Facebook no tiene pistas de la nacionalidad de los atacantes ni de dónde han podido provenir el hackeo. También reconocen que aún no saben la magnitud total del ataque, así que con el paso de las horas podrían ser más de 50 millones de cuentas comprometidas. Más información en https://newsroom.fb.com Cuidado con este nuevo malware; puede resistir un formateo e incluso un cambio de disco duro Formatear un ordenador, o restablecer los valores de fábrica de un dispositivo, suele ser la mejor forma de eliminar un malware que, por alguna razón, ha infectado nuestro sistema. Sin embargo, los piratas informáticos buscan constantemente nuevas formas de persistencia que les permitan, además de ser prácticamente indetectables, mantener un equipo o dispositivo infectado incluso después de formatear. Así nacieron los rootkits, y una de las últimas amenazas de este tipo, recién descubierta, es LoJax, un rootkit UEFI. Un rootkit UEFI es un tipo de malware que, en lugar de infectar el sistema operativo, infecta la UEFI (antigua BIOS) de los ordenadores. De esta manera, el malware pasa totalmente desapercibido en el sistema operativo (ya que los antivirus no suelen analizar la UEFI de los equipos) y, además, son capaces de resistir a un formateo del ordenador y a un cambio de disco duro. Recientemente, investigadores de seguridad han encontrado un nuevo rootkit UEFI, llamado LoJax, que está infectando ordenadores y sistemas por todo el mundo. Este nuevo rootkit ha sido desarrollado por el grupo de piratas informáticos APT28, uno de los grupos de piratas más peligrosos, responsable ya de varios ataques a grandes empresas. Más información https://www.redeszone.net/2 Vulnerabilidad de escalamiento de privilegios en Linux de más de 10 años Con relativa frecuencia se encuentran vulnerabilidades de escalamiento de privilegios en Linux. Estas permiten a un atacante con privilegios limitados el poder llegar hasta a manipular partes esenciales del sistema operativo o algún servicio en ejecución. Lo descrito en el párrafo anterior es lo descubierto por unos investigadores de Qualys, que han publicado los detalles de dos pruebas de concepto (1 y 2) mostrando una vulnerabilidad en el kernel Linux que abre la puerta a que un usuario sin privilegios consiga acceso a nivel de superusuario (root) en el sistema operativo. Llamada "Mutagen Astronomy", afecta a versiones del kernel Linux publicadas entre julio de 2007 y junio de 2017. Esto hace que las distribuciones más afectadas sean aquellas que ofrecen un soporte largo en el tiempo, como RHEL, CentOS, y Debian 8 Jessie , ya que otras muchas orientadas al escritorio suelen cambiar el componente que nos ocupa con más frecuencia. Más información https://thehackernews.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 98
Día Internacional de la Seguridad de la Información Hoy 30 de noviembre, es el día Internacional de la Seguridad de la Información, conocido también como Computer Security Day. El objetivo de esta iniciativa es concienciar de la importancia de proteger la información a través de una serie de medidas de seguridad en los sistemas y entornos en los que se opera. Desde incibe, nos animan a tener la máxima precaución con la información que se maneja diariamente en todos los entornos que nos rodean. Más información en https://www.incibe.es/protege-tu-empresa. Error de seguridad en Instagram expone contraseñas de los usuarios Una falla de seguridad en “Download Your Data”, la herramienta de Instagram recientemente lanzada, podría haber expuesto las contraseñas de algunos usuarios, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. La herramienta, lanzada por Instagram justo antes de que entrara en vigencia la GDPR, regulación de protección de datos de la Unión Europea, está diseñada para permitir a los usuarios ver y descargar los datos personales que la plataforma de redes sociales ha recopilado sobre ellos. Un portavoz de la compañía declaró para medios especializados en ciberseguridad y forense digital que el incidente solamente afectó a ‘un pequeño número’ de usuarios de Instagram. “El número de personas afectadas no es lo más relevante, este incidente genera serias dudas sobre la forma en que Instagram administra la información de sus usuarios”. Más información en http://noticiasseguridad.com/ Una muy simple campaña de Phishing en Spotify Los atacantes configuraron una página idéntica a la de inicio de sesión de Spotify legítima, que sólo es diferente en la URL, algo que casi ningún usuario verifica. Los atacantes engañaron a las víctimas para hacer clic en un botón verde con las palabras “CONFIRMAR CUENTA”. Los mensajes se presentan informando sobre una supuesta restricción en las cuentas de los usuarios, solicitando que hagan clic en el botón para reactivar su cuenta. Después de hacer clic en este botón, el usuario era redirigido al sitio web engañoso antes mencionado. Acorde a los especialistas en forense digital, esta campaña está elaborada de manera muy poco compleja, y un usuario lo suficientemente atento a los detalles podría detectarla sin mayor inconveniente. Más información en http://noticiasseguridad.com Siemens advierte sobre Linux, fallas de GNU en la plataforma del controlador Hace un año, Siemens anunció la expansión de su cartera de controladores SIMATIC S7-1500 con una nueva plataforma multifuncional que permite a las plantas ejecutar múltiples aplicaciones en un controlador mediante la combinación de control y capacidades de PC en un solo dispositivo. Los usuarios pueden ejecutar aplicaciones de C ++ en tiempo real, pero la plataforma también permite que las aplicaciones de lenguaje de alto nivel específicas del cliente se puedan utilizar fácilmente. Siemens dice que publica actualizaciones regularmente para garantizar que los dispositivos estén seguros. Según Siemens , algunos de los componentes de Linux y GNU utilizados por su plataforma multifuncional CPU 1518 (F) -4 PN / DP contienen 21 agujeros de seguridad que fueron parcheados en los últimos meses. Específicamente, las vulnerabilidades afectan el kernel de Linux, la biblioteca de análisis XML libxml2, OpenSSH y las herramientas de GNU Binutils para crear, modificar y analizar archivos binarios. Obtenga más información sobre las vulnerabilidades de ICS en la Conferencia sobre seguridad cibernética de ICS de SecurityWeek. Las 17 vulnerabilidades de GNU Binutils mencionadas en el aviso de Siemens son, según la compañía, relevantes durante el tiempo de construcción. Estas son algunas de las más de dos docenas de vulnerabilidades de Binutils reveladas recientemente. Más información en https://www.securityweek.com/ Estados Unidos acusa a dos hackers iraníes por ataques de SamSam Ransomware El Departamento de Justicia anunció los cargos del miércoles contra dos ciudadanos iraníes por su participación en la creación y el despliegue del notorio ransomware SamSam. Los presuntos piratas informáticos, Faramarz Shahi Savandi, de 34 años, y Mohammad Mehdi Shah, de 27, han sido acusados de varios cargos de piratería informática y cargos de fraude, reveló la acusación hoy en la corte de Nueva Jersey. El dúo usó SamSam ransomware para extorsionar más de $ 6 millones en pagos de rescate desde 2015, y también causó más de $ 30 millones en daños a más de 200 víctimas, incluidos hospitales, municipios e instituciones públicas. Según la acusación, Savandi y Mansouri han sido acusados de un total de seis cargos, incluido un cargo de conspiración para cometer fraude electrónico, un cargo de conspiración para cometer fraude y actividades relacionadas con computadoras, dos cargos de daño intencional a un computadora protegida, y dos cargos de transmitir una demanda en relación con dañar una computadora protegida. Más información en https://thehackernews.com/ FlawedAmmyy, el malware más peligroso del momento FlawedAmmy, es el troyano que acaba de entrar en la lista del malware más importante. Los investigadores de seguridad de Check Point han mostrado las 10 amenazas de malware más importantes que han detectado. Aquí han recopilado informes sobre ransomware, mineros ocultos, troyanos y malware muy diverso. Entre todos ellos, en esa lista top 10, se encuentra FlawedAmmyy. Lo más destacado del asunto es que por primera vez en la historia, un troyano de acceso remoto se ha colado en la lista de las 10 amenazas de seguridad más importantes. No se trata de una amenaza reciente, ya que lleva existiendo desde principios de este año. Ofrece al ciberdelincuente un acceso completo al equipo de la víctima. Está basado en un software de acceso remoto legítimo, por lo que permite al atacante obtener una puerta trasera en el sistema y poder robar archivos, credenciales, etc. Incluso podría realizar capturas de pantalla o grabar vídeos. Más información en https://regeneracion.mx/ Los ciberataques más famosos de la historia Los ciberataques no dejan de crecer en los últimos años. La seguridad del mundo digital necesita nuevos dispositivos, servicios e innovación. Aprovechando el Día Internacional de la Seguridad de la Información, te traemos los ataques más sonados de la historia. Estos son algunos de ellos: PlayStation Network (2011), Sony Pictures Entertainment (2014), Epsilon (2011), Heartbleed (2012-2014). Más información en https://blogthinkbig.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
