Noticias de Seguridad a nivel mundial: boletín nº 132
Fuga de información en Cloud Web Application Firewall de Imperva Incapsula Waf es el nombre por el que se conoce al servicio de WAF en Cloud de la empresa Imperva. Funciona como un CDN diseñado para mitigar ataques de denegación de servicio distribuidos y proteger ante otro tipo de amenazas. Chris Hylen, su CEO, ha anunciado que el pasado 20 de agosto, un tercero notificó a la compañía sobre la brecha, que exponía información sobre la base de datos de clientes de Incapsula hasta el 15 de septiembre de 2017. Esta información incluía direcciones de correo y contraseñas cifradas de un subconjunto de usuarios registrados antes del 15 de septiembre de 2017. Las claves de API y certificados SSL para este grupo de clientes quedaron expuestos. Todavía no se conocen los detalles sobre el incidente, si fue fruto de un ataque dirigido o el resultado de componentes mal configurados. La compañía ha iniciado una investigación para aclarar lo sucedido y ha notificado la brecha a las entidades reguladoras pertinentes. Continúa navegando en https://unaaldia.hispasec.com/. Cómo hacer ataque de mensajes sms falsos o bombardeo sms Un riesgo de ciberseguridad relevante es el envío de mensajes de texto falsos. Al registrarse en una aplicación, en ocasiones es necesario enviar su número de teléfono para obtener una contraseña de un sólo uso (OTP) para completar el registro en el servicio; acorde a especialistas en curso de hacking ético, un hacker podría usar una técnica de spam SMS para irritar o molestar a un objetivo. El bombardeo de SMS es una técnica para enviar mensajes falsos a cualquier número de teléfono móvil. Este ataque requiere de un script que contiene las API de SMS Gateway; utiliza API de SMS de diferentes puertas de enlace de SMS. Según expertos en hacking ético del IICS, los bombarderos SMS utilizan diferentes puertas de enlace. Los proveedores de puerta de enlace SMS brindan servicios de reenvío, enrutamiento y almacenamiento de mensajes entrantes. Para enviar mensajes utilizando la puerta de enlace SMS, conéctate con los centros SMSC. Continúa navegando en https://noticiasseguridad.com/. Planta nuclear ucraniana conectada a Internet para minar criptomonedas Las autoridades ucranianas están investigando una grave violación de seguridad en una planta de energía nuclear, después de que unos empleados conectaran parte de su red interna a Internet para el minado de criptomonedas. La investigación está siendo dirigida por el Servicio Secreto ucraniano (SBU) y es de máximo nivel al considerar el incidente como una violación de secretos de estado debido a la clasificación de las centrales nucleares como infraestructura crítica. Los investigadores también están examinando si los delincuentes podrían haber utilizado las plataformas de minería como pivote para ingresar a la red de la planta de energía nuclear y recuperar información de sus sistemas, como datos sobre las defensas y protecciones físicas de la planta. El incidente tuvo lugar en julio en una planta de energía nuclear cerca de la ciudad de Yuzhnoukrainsk. Agentes del SBU confiscaron computadoras y equipos específicamente construidos para la minería de criptomonedas, instalados en las oficinas administrativas de la planta. Los equipos estaban especialmente fabricados para esta actividad, con un chasis metálico que alojaban partes básicas de una computadora, además de fuentes de alimentación y sistemas de refrigeración adicionales para mantener en funcionamiento hasta seis tarjetas gráficas AMD Radeon RX 470, principales encargadas del proceso. Varios empleados han sido acusados por su participación en esta operación. Continúa navegando en https://www.muyseguridad.net/ Actualiza tus dispositivos cisco, el parche para corregir una vulnerabilidad crítica ya está disponible A pesar de ser una de las compañías de tecnología más importantes del mundo, Cisco no deja de ser vulnerable a algunas fallas de seguridad en sus diversos productos. En esta ocasión, especialistas en forense digital reportaron el hallazgo de una seria vulnerabilidad en los dispositivos de la compañía que ejecutan el sistema operativo IOS XE. Identificada como CVE-2019-12643, esta es una vulnerabilidad presente en el contenedor del servicio virtual REST API para Cisco IOS XE que de ser explotada permitiría a los actores de amenazas esquivar la autenticación en un dispositivo comprometido. Dadas sus características, la falla cuenta con un puntaje de 10/10 en la escala del Common Vulnerability Scoring System (CVSS). Acorde a los expertos en forense digital, la falla existe debido a una verificación inapropiada en un área de código que opera el servicio de autenticación REST API. Los productos más afectados por esta vulnerabilidad son los enrutadores de Cisco, principalmente ASR 1000 Series Aggregation Service Router, Cisco Cloud Services Router 1000V y Cisco Integrated Services Virtual Router. En su investigación, los expertos afirman que esta falla puede ser explotada por un atacante remoto no autenticado enviando solicitudes HTTP diseñadas especialmente al sistema comprometido. Esto resultará en la exposición de un identificador de tokens de usuarios autenticados. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 106
Una imagen PNG es suficiente para vulnerar un Android Como se informó la semana pasada, una falla crítica de seguridad permite que algunos móviles con determinadas versiones del sistema operativo Android 7.0 a 9.0 estén expuestos a infectarse, simplemente abriendo un archivo de imagen PNG. Google informó de las vulnerabilidades a través de sus boletines CVE-2019-1986, CVE-2019-1987, y CVE-2019-1988, y ya transmitió especialmente sobre esto a los fabricantes que usan esos sistemas operativos. Según explican en el boletín de febrero, basta con utilizar un archivo en formato .PNG para poder atacar un teléfono inteligente o una tableta. No se ha especificado el "diseño" de este tipo de archivos en formato PNG, para evitar que sea aprovechado el fallo de seguridad, pero con ellos se puede ejecutar código arbitrario con privilegios sobre el sistema. Los dispositivos que reciben actualizaciones directas de la compañía, que son los Pixel y Android One, tienen que haber recibido ya este parche de seguridad que soluciona el importante problema relacionado con las imágenes en formato PNG. Sin embargo, otros muchos dispositivos con las versiones afectadas no recibirán nunca la actualización que acaba de ser liberada por la compañía. Por eso, Google ha decidido omitir los detalles del problema de seguridad con la intención de evitar que los atacantes puedan aprovechar el fallo y atacar a los usuarios. Más información en https://www.zdnet.com/ Glovo hackeada: los clientes denuncian el cobro de pedidos que no han realizado Tras las polémicas en torno a los problemas con sus repartidores, ahora se enfrenta a la denuncia por parte de decenas de clientes que aseguran que Glovo ha sido hackeada. A lo largo del fin de semana los usuarios de la app notaron que el acceso a su perfil ha quedado bloqueado por un cambio de contraseña y al restaurarla se han dado cuenta que su email y cuentas bancarias muestran cargos producidos desde Egipto en la app, además de que su nombre de usuario ha cambiado, así como la localización y el idioma. El reporte de que la app de Glovo ha sido hackeada se ha producido en España, Perú, Argentina e Inglaterra. Hasta el momento, Glovo no ha ofrecido un comunicado oficial sobre esta brecha de seguridad que sus usuarios en varios países han informado, sin embargo al ponernos en contacto con la agencia de prensa de Glovo, nos han asegurado que los hackers no han tenido acceso a los datos de las tarjetas de sus clientes, ya que esa información se gestiona por medio de una plataforma externa. En cualquier caso, la recomendación general es que por el momento y hasta que esta situación se resuelva, debes actualizar los datos de tu cuenta en Glovo: asegura que tu número telefónico sea el correcto y cambia la contraseña utilizando un código seguro y que sea único para esta app. Más información en https://marketing4ecommerce.net/ Ciberdelincuentes vacían tus cuentas con los códigos de un solo uso La autentificación de doble factor es un método muy utilizado por las instituciones financieras de todo el mundo para mantener a salvo el dinero de sus clientes: ya sabes, esos 4 o 6 dígitos que recibes del banco y que tienes que introducir para aprobar una transacción. Normalmente, los bancos envían contraseñas de un solo uso a través de mensajes de texto. Por desgracia, los SMS son uno de los métodos más débiles de implantación de la 2FA, ya que pueden ser interceptados y eso es lo que acaba de suceder en el Reino Unido. Los cibercriminales pueden acceder a tus mensajes de distintas formas y una de las más extravagantes es explotando un error en el SS7, un protocolo utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas. A la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen acceder, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas. El procedimiento es el siguiente: primero, los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca online y solicitan una transferencia. Actualmente, la mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7: interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono. Los bancos aceptan la transferencia como legítima, ya que la transacción se ha autorizado dos veces: con tu contraseña y con el código de un solo uso. Por tanto, el dinero acaba en manos de los delincuentes. Más información en https://latam.kaspersky.com/ Alemania prohíbe que WhatsApp e Instagram compartan datos con Facebook sin consentimiento Facebook vuelve a encontrarse con un nuevo obstáculo interpuesto por las autoridades alemanas y en este caso el obstáculo afecta a la línea de flotación de su negocio de recopilación de datos. La Oficina Federal Antimonopolio de Alemania ha anunciado la prohibición a la red social de recopilar datos a través de terceros, lo que significa que, por ejemplo, no podrá recopilar los datos generados mediante el botón de «Me gusta», los llamados «likes», una práctica que tacha de «abusiva» e «injusta para la competencia». Las autoridades de la competencia alemanas basan su decisión en el hecho de que Facebook desempeña una posición dominante en el mercado y en la valoración de que está abusando de ella. Facebook ha comunicado que tiene previsto recurrir la decisión ante la Justicia y se juega mucho en ese recurso, porque el caso podría sentar un precedente europeo, vinculando por primera vez en la jurisprudencia la protección de datos con la defensa de la competencia. Más información en https://www.abc.es/tecnologia/redes/ Rusia se desconectará del internet mundial Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el gobierno de Rusia estaría considerando la posibilidad de desconectarse de Internet a nivel global por un breve periodo de tiempo, todo como parte de una prueba de ciberseguridad. Esto implica que los datos enviados y recibidos entre individuos y organizaciones rusas permanecerán en las redes de ese país, en lugar de ser enrutados de forma trasnacional. Una ley que está por ser aprobada podría ser el motivo principal por el que el gobierno ruso contempla esta opción, reportan los expertos en seguridad en redes. En esta ley se establece que se deberán realizar todas las modificaciones técnicas necesarias para operar de forma independiente. Para implementar el proyecto denominado Programa de Economía Digital, se requiere que los proveedores de servicios de Internet en Rusia se aseguren de poder operar en caso de que un ataque extranjero aísle las redes rusas. Países miembros de la Organización del Tratado del Atlántico Norte (OTAN) acusan continuamente al gobierno ruso de promover actividades de ciberguerra, por lo que ya han amagado con imponer sanciones por este proyecto. Se espera que la prueba se realice a comienzos del mes de abril, aunque se desconoce la fecha exacta. Más información en https://noticiasseguridad.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!La importancia de la seguridad en el móvil
No hay duda de que la tecnología móvil está produciendo un gran impacto tanto en lo personal como en la vida profesional, pero ¿estamos vigilamos la seguridad en el móvil?. Además, dicha movilidad está ayudando a generar nuevas fuentes de productividad empresarial. No obstante, en lo que se refiere a seguridad, las empresas todavía no se han puesto manos a la obra para securizar este canal conectado directamente con sus sistemas de empresa (como el correo, sistemas de archivos, navegación Web). Unido al crecimiento explosivo de la tecnología móvil han crecido también las iniciativas cibercriminales que trabajan dedicando más tiempo en identificar brechas de seguridad y nuevos caminos para acceder a la información o sistemas de las empresas. Se están atacando desde diferentes vectores a dispositivos, datos, aplicaciones y usuarios con la intención de ganar acceso a las empresas. Ante este panorama de amenazas, las empresas deben tener un plan para securizar su entorno móvil. Un estudio de IBM realizado a las empresas preguntando acerca de las posibles brechas de seguridad que podrían estar teniendo en sus tecnologías móviles, han confirmado estadísticas muy interesantes: - Sobre el 63% de las empresas encuestadas han reflejado no ser conscientes de la cantidad de amenazas a los que estaban expuestos - Además, el 58% dijeron que dichas amenazas de seguridad pueden impedir el desarrollo de las estrategias móviles de sus empresas. - El 23% de las empresas refieren haber identificado malware en dispositivos móviles y otro 23% haber sufrido pérdida de información debido a la pérdida o robo de dispositivos móviles durante 2015. - Debido a estos incidentes, el 42% de las empresas habían planeado invertir más dinero en tecnologías de gestión de dispositivos (MDM) y un 45% incrementar el gasto en la adquisición de herramientas de detección de virus y malware. Hacer más de lo mismo como hasta ahora ya no es una buena estrategia. Las empresas requieren ampliar sus miras y abordar el tema de la seguridad desde nuevas vías, máxime cuando se quiere integrar la tecnología móvil en la estrategia. Si necesitas ayuda sobre cómo securizar las tecnologías móviles integradas en procesos de tu empresa, en Telefónica disponemos de servicios como la Navegación Segura, MDM y Antivirus que te ayudarán eficazmente a mitigar los agujeros de seguridad que tu empresa puede estar dejando al descubierto en tu estrategia móvil. Si necesitas más información sobre dichos servicios, puede consultar más detalles en nuestra web de servicios de Seguridad a Empresas.
McAfee Multi Access: asegura tus datos y la privacidad de tu Negocio
Seguramente has oído hablar o incluso sufrido los efectos del cada vez más frecuente y conocido Malware. El último en atacar, a nivel mundial fue el WannaCrypt, que ha puesto de manifiesto la vulnerabilidad de cientos de empresas. ¿Qué es Malware? El Malware (del inglés “malicious software”), es el término más frecuente para referirse a las amenazas informáticas. Tiene como objetivo infiltrarse en un dispositivo o sistema de información o dañarlo. Tipos de Malware Virus: altera el correcto funcionamiento de un dispositivo infectándolo a través de un código maligno. Requiere de la intervención del usuario para ser ejecutado. Los virus suelen viajar dentro de archivos ejecutables y generalmente lo hacen con los nombres de otras aplicaciones, para engañar al usuario y tratar de que ejecute el programa. Troyano: a diferencia de un virus, que normalmente es destructivo, un troyano intenta pasar inadvertido al acceder a tu dispositivo y ejecutar acciones ocultas. Los troyanos también suelen llegar a las aplicaciones de tu negocio en forma de ejecutables con nombres de archivos o aplicaciones familiares. En cuanto los ejecutas, comienzan a trabajar a tus espaldas sin que ni tú ni tus empleados os percatéis. Gusano: este tipo de malware, a diferencia de los anteriores, no necesita de la intervención del usuario para infectar un dispositivo. Sin embargo, tiene la capacidad de replicarse a sí mismo y propagarse por las redes a las que está conectado un dispositivo, al acceder a las listas de contactos de ese equipo y enviarles copias para infectarlos también. El hecho de que no altere el correcto funcionamiento del dispositivo, hace que su detección sea más difícil. Spyware: estos programas se instalan por sí solos en los equipos y también trabajan a escondidas, sin que en la organización os deis cuenta. Su principal objetivo es el de obtener datos sobre el usuario u organización propietarias de la información sin autorización. Estos programas monitorizan y recopilan datos de las aplicaciones instaladas, del contenido del disco duro, de datos de las redes y de repositorios a los que accede el equipo y de la actividad en Internet. Asimismo, en ocasiones llegan a instalar otras aplicaciones. Ramsoware. Secuestra los datos de un ordenador, previamente cifrado, y pide un rescate a cambio de su liberación. Los piratas informáticos te darán la clave de descifrado de tus datos al pagar el rescate, normalmente vía paypal o en criptomonedas. La mayoría de expertos en seguridad informática aconsejan no pagar nunca el rescate que se te pide. El método más fácil para luchar contra este tipo ataques es tener siempre copias de seguridad actualizadas de tus bases de datos y formatear los equipos afectados recuperando los datos después con estas copias. Se trata de una de las amenazas más frecuentes y al alza en los últimos años por lo que debes extremar precauciones, sobre todo a la hora de abrir correos y mensajes de remitentes desconocidos y al instalar o ejecutar nada de lo que contengan estos mensajes. ¿Por qué el Antivirus McAfee Multi Access? El mejor antivirus del mercado. Gestión y protección de hasta cinco dispositivos desde un único centro de seguridad situado en la nube. Análisis y copia de seguridad. Analiza tus equipos para mejorar su seguridad y su rendimiento. Realiza una copia de seguridad en remoto de todos tus contactos. Desde cualquier lugar. Acceso a los datos de forma segura desde cualquier lugar, ayudándote al cumplimiento del RGPD. Encuentra tu teléfono. Localización, rastreo y control remoto de tu smartphone, en caso de robo o pérdida. Más información en la web de Telefónica Empresas.Noticias de Seguridad a nivel mundial: boletín nº 108
¿Hay alguien espiándolo? revise sus navegadores móviles La privacidad es fundamental para cualquier usuario de tecnología actualmente, en especial si el usuario recurre al uso de un navegador convencional. Existen múltiples métodos para proteger su identidad en Internet, aunque también hay diversas formas en las que un navegador tratará de recolectar toda la información posible del usuario. Cada sitio web visitado por un usuario recolecta múltiples detalles, además, hay muchas URL que muestran cuán propenso es su navegador a filtrar información. Expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética comentan que los métodos que se mostrarán a continuación pueden ser usados en la recopilación de información, o fase de reconocimiento. Las pruebas realizadas a continuación se realizaron usando un proxy en India, para que el usuario pueda probar sus navegadores con o sin proxy. Hay muchos métodos para mostrar lo vulnerable que puede ser un navegador. Existen, por ejemplo, muchos ataques de scripts entre sitios (XSS) usados para robar credenciales de usuario desde los navegadores, incluso campañas de ingeniería social para recolectar información sobre el objetivo. A continuación, veremos un sitio web que puede ayudar a encontrar qué información están filtrando los navegadores a los hackers. Más información en https://noticiasseguridad.com/ Corredores y empresas de bolsa de valores son atacados con nuevo malware Una empresa de tecnología detectó una infección con un troyano para extraer información. Expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética confirman la aparición de un nuevo troyano infectando las redes de múltiples comercios minoristas. En esta nueva campaña, los hackers ya han conseguido robar grandes cantidades de datos confidenciales para ponerlos a la venta en foros de Dark Web. La compañía especializada en el desarrollo de tecnología para pequeños comercios Panda Trading Systems afirma haber detectado el troyano hace algunas semanas. Más información en https://noticiasseguridad.com/ Google reconoce haber escondido un micrófono sin permiso en un dispositivo Nes Polémica en torno a la privacidad de la gama Nest de Google: la compañía ha reconocido que Nest Guard tiene un micrófono oculto, pero no lo había indicado en las especificaciones supuestamente “por error”: Hace unos días, Nest anunció en su página web que los dispositivos Nest Secure recibirían una actualización que permitía controlarlos con la voz usando el Asistente virtual de Google. ¿Cómo es posible, si los dispositivos Nest Secure no tienen micrófono para recibir las órdenes de voz? El problema es que Nest Guard tiene un micrófono oculto, pero no lo indica en las especificaciones. Un portavoz de Google ha asegurado que el dispositivo Nest Guard, una especie de teclado de seguridad que sirve de alarma y pertenece a la plataforma Nest Secure, sí contiene un micrófono, pero no lo indicaron en las especificaciones “por un error“. Su intención nunca fue ocultar el micrófono, y ha pedido disculpas por ello. Más información en https://www.ticbeat.com/ Nueva variante de ataque contra redes 4g y 5g Un equipo de investigadores dio a conocer una serie de vulnerabilidades en redes de telefonía móvil que impactan los protocolos 4G y 5G LTE. En su investigación, titulada “Violaciones de privacidad contra los protocolos de telefonía celular 4G y 5G”, los expertos afirman que las nuevas variantes de ataque podrían permitir acceso remoto a las telecomunicaciones evadiendo las medidas de seguridad implementadas en estos protocolos, con lo que de nueva cuenta posible el uso de dispositivos IMSI (como el conocido StingRay) para la intercepción de señales de telefonía móvil. Variantes de ataques: Ataque Torpedo Este ataque explota el protocolo de búsqueda en telefonía móvil, permitiendo a los usuarios maliciosos rastrear la ubicación del dispositivo de la víctima. Ataques de cracking de IMSI y PIERCER Además de lo mencionado anteriormente, el ataque TORPEDO parece habilitar otras dos variantes de ataques, llamados IMSI cracking y PIERCER. El ataque de exposición de información por red CORE (PIERCING) existe debido a un error de diseño y permite a los atacantes vincular el IMSI de la víctima con su número de teléfono. Más información en https://noticiasseguridad.com/ Manipulación de WhatsApp en Android El siguiente material de la h-c0n 2019 que publicamos es el de la charla de Pablo Espada Bueno, perito judicial e ingeniero informático, que también se acercó desde Cáceres a Madrid para presentarnos "Manipulación de WhatsApp en Android". En esa charla, además de repasar los conceptos básicos de Whatsapp desde un punto de vista forense (algo que ya se ha hecho en charlas como la de Manu Guerra en Cybercamp 2017), explicó cómo utilizando un segundo teléfono (este sí que estará "rooteado") se pueden manipular los mensajes de Whatsapp sin necesidad de manipular el teléfono original, lo que hace que dicha manipulación resulte indetectable para cualquier perito. La técnica se basa en el uso de copias de seguridad locales cifradas, que pueden ser descifradas en otro teléfono siempre que se pueda acceder a las llamadas o a los SMS utilizados como 2FA. Aprovechando esto, se extrajo la BBDD de Whatsapp en abierto en el teléfono auxiliar, pudiendo manipular los mensajes y devolviéndolos luego al teléfono original, de nuevo a través de una copia de seguridad. Como dice Pablo esta técnica no es nada especial, ni requiere unos conocimientos exhaustivos para realizarla, pero no hemos encontrado que haya sido mostrada en ningún artículo técnico, por lo que elevó aún más el interés de la charla. Más información en https://www.hackplayers.com/ Investigadores extraen contraseña maestra en texto claro de 1Password (y otros gestores) Los usuarios regulares de Internet hacen malabarismos con sus cuentas en diversas plataformas y sitios web, a menudo usando la misma contraseña débil para todos ellos. Los usuarios con conocimientos tecnológicos emplean distintas contraseñas fuertes para diferentes cuentas. Aquellos que son verdaderamente conscientes usan un administrador de contraseñas. Pero ¿es eso realmente algo tan inteligente? ISE, una firma de consultoría de seguridad independiente con sede en Baltimore, Maryland, decidió probar esta idea investigando cinco administradores de contraseñas populares para ver si podían hacerles entregar sus secretos. Si bien no es fácil, aparentemente se puede hacer. Denominan a estas como "estados" (bloqueados, desbloqueados, en ejecución) y, dependiendo de cada estado en el que se encuentre la aplicación, se deben imponer ciertas garantías. Desafortunadamente, cada aplicación que ISE probó contenía vulnerabilidades que filtraban contraseñas, y el equipo incluso recuperó la contraseña maestra de una instancia bloqueada de 1Password v4. Más información en https://blog.segu-info.com.ar. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
