¿Tienes protegida la navegación web de tu empresa?
A diario se descubren miles de sitios web nuevos no seguros, muchos de los cuales son sitios web legítimos que se han puesto en peligro. Estos sitios web no seguros suponen una grave amenaza para tu empresa ya que son sitios web legítimos que han sido han pirateados con el objeto de: Incluir software malicioso: Cuando el usuario navega se instala este software malicioso en los dispositivos de los usuarios para robar información privada, robar su identidad o atacar otros ordenadores. Cuando los usuarios visitan estos sitios, el software que intenta hacerse con el control de su ordenador se descarga sin que lo sepan. Realizar una suplantación de identidad (phishing): Fingen ser legítimos e intentan engañar a los usuarios para que escriban su nombre de usuario y su contraseña o compartan otra información privada. Ejemplo de esto son los conocidos como Maladvertising, que se trata de un malware disfrazado de publicidad y cuyo crecimiento previsto para 2017 probablemente favorecerá que el número de ataques que utilizan esta técnica se incremente considerablemente. Prácticamente la totalidad de las grandes empresas han adoptado protocolos HTTPs para cifrar la información y que ésta no pueda ser utilizada por los atacantes. Sin embargo, en los últimos años los cibercriminales han descubierto en estos protocolos una forma muy eficaz para maquillar sus acciones y hacer que se perciban como seguras. En el 2016, el tráfico HTTPs cifrado que encubría malware y otras actividades maliciosas se multiplicó por cinco. En el siguiente enlace podrás encontrar la información de sitios webs no seguros identificados por Google: Sitios Web no seguros siendo cada vez mayor el número de sitios web identificados como no seguros. Desde Telefónica, ponemos a tu disposición un portfolio de productos para proteger la Navegación Web de tu empresa permitiéndote hacer un uso más seguro y eficiente de la misma. Te permitirá estar protegido de Malware (Virus, Troyanos, Adware, Spyware …) y Phishing, así como establecer perfiles de Navegación web donde se limite o bloquee el acceso a determinadas categorías de páginas web o contenidos que desees, optimizándose y protegiéndose el uso de la navegación en tu empresa. Para más información sobre nuestros productos no dudes en ponerte en contacto con nosotros!Boletín semanal nº 29 Noticias Seguridad en Comunidad Movistar Empresas
* Error humano ocasionó fallo 15000 webs de la nube de Amazon El informe de Amazon apuntaba que servidores S3 experimentaban “altas tasas de error”, y ello ocasionaba que servicios tan populares y demandados como Netflix, Spotify o Pinterest presentarán fallas como descargas muy lentas o en algunos casos, interrupción de servicio. Hoy la empresa que da servicio a más de 15,000 sitios alrededor del mundo explicó la causa: un programador de la compañía escribió un comando erróneo. Según explicó AWS a través de su página web, dicho empleado tenía la misión de depurar un problema ligado al sistema de facturación de Amazon Simple Storage Service (S3), ya que presentaba un funcionamiento lento. Para ello, debía eliminar un reducido número de servidores de un subsistema que utilizaba la facturación S3. http://www.netmedia.mx/analisis/error-humano-ocasiono-falla-en-nube-de-amazon/ * Nuevo ransomware criptográfico afecta a macOS El ransomware criptográfico se ha vuelto inmensamente popular entre los cibercriminales y, si bien generalmente apunta a sistemas Windows de escritorio, también hemos visto máquinas con Linux o macOS que fueron comprometidas por esta amenaza en 2016. Por ejemplo, KillDisk afectó a Linux y KeRanger atacó a OS X. http://www.welivesecurity.com/la-es/2017/02/22/nuevo-ransomware-criptografico-afecta-macos/ * 0patch te permite solucionar la vulnerabilidad de gdi32.dll hasta que lo haga Microsoft Google Project Zero es un grupo de expertos de seguridad de Google que se encargan de buscar fallos y vulnerabilidades en los sistemas operativos y programas más utilizados para comunicárselos a las compañías y hacer que estas puedan solucionarlos. Sin embargo, este grupo solo ofrece a las desarrolladoras 90 días para solucionar los fallos detectados y, de no hacerlo, estos se harán público, poniendo en evidencia a la compañía y, peor aún, en peligro a los usuarios. https://www.redeszone.net/2017/03/04/0patch-solucionar-vulnerabilidad-gdi32/ * Se filtran 1.370 millones de emails de uno de los mayores propagadores de spam del mundo Una de estas empresas es River City Media (RCM), uno de los propagadores de spam más grandes del mundo, a pesar de que ellos se denominan como una empresa de marketing. Esta empresa manejaba hasta hace unos meses una base de datos de al menos 1.370 millones de direcciones de email, junto con otra información. ¿Cómo se ha podido saber esto? Gracias a Chris Vickery, que descubrió, probablemente en Mongo DB, la base de datos de RCM sin ningún tipo de contraseña, por lo que pudo acceder al repositorio de lo que será la caída de uno de los grandes imperios del spam en Internet. https://www.adslzone.net/2017/03/06/se-filtran-1-370-millones-emails-uno-los-mayores-propagadores-spam-del-mundo/ * Kit de Phishing avanzado: robos de calidad al alcance de todos Descubrimiento de los investigadores de Proofpoint, y la denominación no estaba para nada lejos de la realidad. Estamos frente a una herramienta para administrar campañas de Phishing realmente sofisticadas, la cual analizaremos desde dos puntos de vista diferentes. En primer lugar, veremos a qué se enfrenta una persona cuando es víctima de un Phishing lanzado con esta herramienta. En segundo lugar, veremos la herramienta en sí, desde el punto de vista del delincuente. Que esta herramienta pueda estar a disposición de cualquier delincuente que desee utilizarla, es peor aún. Si a esto se suma que la herramienta sea de fácil uso, brinde resultados de calidad y apunte a una capa que el software y hardware de seguridad no protegen, quizá el lector sienta un impulso de cerrar la pestaña en que abrió este post y seguir tranquilo con su día sin sumar una nueva preocupación a su vida. http://blog.smartfense.com/2017/02/como-roban-la-informacion-de-tus-usuarios.html * Exploit RCE para Apache Struts (CVE-2017-5638) o cómo miles de servidores en Internet están en peligro Unos de los feeds chinos que seguimos habitualmente hizo saltar por los aires nuestra actividad llevando casi toda nuestra atención a un PoC/exploit para la vulnerabilidad CVE-2017-5638 que permite RCE (ejecución remota de comandos) en las últimas versiones de Apache Struts. El script que os mostramos a continuación, liberado por Nike Zheng (célebre y habitual hostigador de Struts), primero en páginas como Freebuf o Bobao, se aprovecha de un fallo en la función de upload del parser de Jakarta y muestra cómo modificar la cabecera Content-Header para inyectar comandos de sistema operativo cuando se llama a un action. Si lo ejecutáis contra una aplicación vulnerable el resultado será la ejecución remota de comandos con el usuario que ejecuta el servidor. Cualquier búsqueda en Google con un dork 'filetype:action' arroja unos 35 millones de resultados, de los cuales un alto porcentaje es vulnerable, el volumen y la criticidad de los servicios afectados es simplemente dramático. http://www.hackplayers.com/2017/03/exploit-rce-para-apache-struts-cve-2017-5638.html * NSMessenger: RAT totalmente Fileless a través de DNS y PowerShell Mientras que las nuevas formas de ciberdelincuencia van en aumento, las actividades tradicionales parecen estar cambiando hacia técnicas más avanzadas que implican la explotación de herramientas y protocolos estándar del sistema operativo que no siempre son monitoreados. El último ejemplo de este tipo de ataque es DNSMessenger, un nuevo troyano de acceso remoto (RAT) que utiliza consultas DNS para ejecutar comandos maliciosos de PowerShell en computadoras comprometidas, técnica que hace que el RAT sea difícil de detectar en cualquier sistema tradicional. El troyano llamó la atención del grupo de investigación Talos de Cisco. Un investigador de seguridad destacó un tweet que codificaba texto en un Script de PowerShell que tenía la cadena "SourceFireSux". SourceFire es uno de los productos de seguridad corporativos de Cisco. http://blog.segu-info.com.ar/2017/03/dnsmessenger-rat-totalmente-fileless.htmlBoletín semanal nº 34 Noticias Seguridad en Comunidad Movistar Empresas
* El perímetro de seguridad ha desaparecido, el phishing está triunfando y el ransomware está desenfrenado Los usuarios hacen cosas sin tener en cuenta la importancia de la seguridad, los administradores de TI también, y los criminales son cada vez más inteligentes. Las respuestas se limitan a lo elemental y a la adopción de nuevas tecnologías como la inteligencia artificial y el aislamiento. Algo anda totalmente mal con la ciberseguridad. Han sido dos décadas de inversión en hardware, software y servicios de seguridad, ¿y qué tienen que mostrar las empresas y los gobiernos? lo que hemos visto sido una continua sucesión de brechas de seguridad. https://diarioti.com/el-perimetro-de-seguridad-ha-desaparecido-el-phishing-esta-triunfando-y-el-ransomware-es-desenfrenado-una-perspectiva-realista-sobre-ciberseguridad/104011 * El 30% del malware es `0-day´, indetectable por antivirus tradicionales La firma de seguridad capturó 18,7 millones de variantes de malware en el cuarto trimestre de 2016. Algunos de los clientes contaban con un antivirus tradicional basado en firmas y con el nuevo servicio de prevención de malware APT Blocker de la compañía. El antivirus tradicional capturó 8.956.040 variantes de malware, mientras que el nuevo sistema basado en el comportamiento capturó además otras 3.863.078 variantes de software malicioso que los antivirus legacy no detectaron. APT Blocker ejecuta aplicaciones potencialmente peligrosas en una sandbox en la nube y realiza análisis de comportamiento para detectar el malware. http://cso.computerworld.es/cibercrimen/el-30-del-malware-es-0day-indetectable-por-antivirus-tradicionales * Nueva versión de iOS para evitar grave vulnerabilidad en el chip WiFi Apple publicó un conjunto de actualizaciones para múltiples productos, incluyendo la nueva versión iOS 10.3 para sus dispositivos móviles (iPad, iPhone, iPod...). Ahora publica la versión 10.3.1 destinada a solucionar una grave vulnerabilidad en el chip WiFi. http://unaaldia.hispasec.com/2017/04/nueva-version-de-ios-para-evitar-grave.html * Hallan 40 vulnerabilidades zero-day en los televisores Samsung con Tizen El investigador en seguridad Amihai Neiderman ha descubierto que Tizen, el sistema operativo de Samsung incluido en sus televisores inteligentes, relojes inteligentes y en algunos de sus smartphones de bajo coste, contiene al menos 40 vulnerabilidades zero-day que dejan totalmente comprometida su seguridad y en consecuencia la confiabilidad que pueda depositar el usuario. http://muyseguridad.net/2017/04/05/40-zero-day-televisores-samsung-tizen/ * El Touch ID no es tan seguro como parece según unos investigadores de Nueva York En las simulaciones llevadas a cabo, los investigadores fueron capaces de desarrollar un conjunto de "MasterPrints" artificiales que podrían coincidir con impresiones reales similares a las utilizadas por los dispositivos hasta en un 65% del tiempo. Los investigadores no probaron estos datos con dispositivos reales, por lo que otros expertos han indicado que en condiciones reales la tasa de acierto sería menor. Sin embargo, las conclusiones plantean un escenario lleno de preguntas sobre la eficacia de la seguridad de huellas digitales en este tipo de dispositivos. http://www.seguridadapple.com/2017/04/el-touch-id-no-es-tan-seguro-como.html * La asombrosa historia de los reclusos que construyeron dos ordenadores dentro de una prisión Tan asombroso como increíble que incluso daría para guión de película o al menos serie de televisión. Y es que se acaba de descubrir que dentro de la Institución Correccional de Marion, en Ohio, una prisión de baja seguridad con capacidad para 2.500 reclusos, un par de presos construyó dos ordenadores con todo y conexión a internet, lo que les permitió seguir delinquiendo aún tras las rejas. https://www.xataka.com/seguridad/la-asombrosa-historia-de-los-reclusos-que-construyeron-dos-ordenadores-dentro-de-una-prision * MouseJack o cómo comprometer un ordenador "secuestrando" un ratón inalámbrico Hoy vamos a ver una de esas vulnerabilidades que llaman la atención por su originalidad y cuya repercusión incluso deriva en la creación de una página web con su nombre: http://www.mousejack.com/. Se trata de MouseJack descubierta hace más o menos un año por el equipo de Bastille y es una clase de vulnerabilidades que afecta a la gran mayoría de los teclados y ratones inalámbricos, no Bluetooth. Estos periféricos están 'conectados' al ordenador usando un transceptor de radio, comúnmente un pequeño dongle USB. Dado que la conexión es inalámbrica y los movimientos del ratón y las pulsaciones de teclas se envían por aire, es posible comprometer el PC de una víctima mediante la transmisión de señales de radio especialmente diseñadas utilizando un dispositivo que cuesta tan sólo unos 15€ aproximadamente. http://www.hackplayers.com/2017/04/mousejack-o-como-comprometer-un-raton-wifi.html * Nuevos exploits para todas las versiones de Windows publicados por #ShadowBrokers El grupo ShadowBrokers lanzó un nuevo conjunto de herramientas de hacking para Windows que presuntamente fueron robadas a la NSA y funcionan contra casi todas las versiones de Windows, desde Windows 2000 y XP hasta Windows 7 y 8, y sus variantes para servidor Windows Server 2000, 2003, 2008, 2008 R2 y 2012 (excepto Windows 10 y Windows Server 2016). Estos exploits podrían dar a casi cualquier persona con conocimientos técnicos la capacidad de ingresar a millones servidores Windows. "De las tres explotaciones restantes: EnglishmanDentist, EsteemAudit y ExplodingCan, ninguna se reproduce en las plataformas soportadas, lo que significa que los clientes que ejecutan Windows 7 y versiones más recientes de Windows o Exchange 2010 y versiones más recientes de Exchange no están en riesgo" dijo Microsoft. http://blog.segu-info.com.ar/2017/04/nuevos-exploits-para-todas-las.html * Monero, la alternativa a Bitcoin que se ha convertido en la divisa de los criminales Se trata de la criptodivisa que más creció en 2016, aunque lo hizo gracias a su popularidad en la internet oscura. A pesar de existir desde el año 2014, ha sido ahora cuando el uso de Monero en los mercados ilegales de armas y drogas de la 'deep web' han hecho despegar a esta moneda virtual, tristemente convertida en la divisa favorita de los delincuentes a causa de su total anonimato. “A pesar de que Bitcoin se empezase a usar en la ‘deep web’, porque no es necesario dar tu nombre y apellidos para tener un monedero de bitcoines, lo cierto es que no fue diseñada para eso. Sin embargo, Monero sí”, explica Alberto Gómez Toribio, director de tecnología de la ‘startup’ especializada en criptodivisas Clluc. En concreto, la principal diferencia entre una moneda y otra es que la creada en 2014 hace que las transacciones sean totalmente opacas: no hay forma alguna de conocer cuánto dinero se mueve o en qué dirección lo hace. http://www.eldiario.es/hojaderouter/internet/monero-criptomoneda-mercado_negro-criminalidad_0_610688987.htmlAtaque de Phishing: Falsificación del Login de Gmail
Os informamos de una campaña de phishing detectada con objeto de robar las credenciales de acceso a Gmail. Estaba tan bien pensada que incluso conociendo las medidas habituales para evitar este tipo de ataques, es bastante probable picar y acabar entregando nuestras claves a ciberdelincuentes que las utilizarán para atacar, a su vez, a nuestros contactos habituales. En este caso concreto, el falso formulario está muy logrado y es muy sencillo conseguir engañar a las víctimas y obtener sus credenciales. A continuación, los ciberdelincuentes comienzan a revisar y seleccionar mensajes de las bandejas de entrada y salida del correo para ejecutar otros ataques a otros destinatarios y remitentes de tu lista de contactos. Además de que el aspecto está muy conseguido, también la URL muestra total confianza, lo que da más credibilidad al ataque de phishing. En el artículo citado más abajo se explica cómo evitar ser víctima de este tipo de ataques. Además tienes toda la información relativa a este tema. ¡Cuidado con la lograda falsificación del login de Gmail!Boletín nº 65 Noticias Seguridad en Comunidad Movistar Empresas
Detectada campaña de phishing que suplanta a Movistar Se ha detectado una campaña tipo phishing, a través de correo electrónico, que suplanta a la web de correo Movistar. Desde el equipo de seguridad de Telefónica se ha reportado su retirada. Mediante técnicas de ingeniería social, el email intenta confundir al usuario para que pulse en el enlace y redirigirle a una página web maliciosa que suplanta a la de Movistar, con el objetivo de capturar las credenciales del usuario (dirección de correo electrónico y contraseña). Fuente: comunidad.movistar.es RedDrop, un nuevo spyware para Android que graba todo lo que dices delante de tu smartphone Una firma de seguridad británica daba a conocer RedDrop, un nuevo software espía para Android capaz de grabar todo lo que se dice delante de nuestro smartphone y subirlo a distintos servidores de almacenamiento, principalmente Google Drive y Dropbox. Grabar las conversaciones no es la única finalidad de este malware. Además de esto, también se encarga de suscribir a las víctimas a servicios SMS Premium y a robar otro tipo de archivos almacenados dentro del dispositivo, como fotos, vídeos e incluso los contactos de la agenda, sin que el usuario pueda ser consciente de ello. Fuente : redeszone.net El Incibe alerta de un fallo de seguridad en uTorrent que infecta ordenadores El Instituto Nacional de Ciberseguridad (INCIBE) ha descubierto un fallo de seguridad en las versiones de escritorio Windows y web del software de descargas uTorrent que permite a los atacantes descargar y ejecutar código remoto para infectar o tomar el control de un ordenador. Únicamente es necesario que el usuario acceda a cualquier página web que los cibercriminales hayan diseñado para verse afectado por esta vulnerabilidad, ha informado este jueves el INCIBE en un comunicado. Se trata de un problema de "DNS rebinding", que permite transformar el equipo atacante en un "proxy" de red. Esto significa que todas las conexiones pasaran en primer lugar por el atacante, pudiendo este ver y manipular todos los datos que recibe y ofreciendo la posibilidad de realizar descargas de software malicioso, ejecutar código remoto y revisar el historial de navegación. Fuente: 20minutos.es Apple traslada datos de iCloud y claves de cifrado para usuarios chinos a China Apple finalmente acordó abrir un nuevo centro de datos chino el próximo mes para cumplir con la última ley de protección de datos controvertida del país. Apple ahora moverá las claves criptográficas de sus usuarios chinos de iCloud en centros de datos administrados por una empresa estatal llamada Cloud Big Data Industrial Development Co, a pesar de las preocupaciones de los activistas de derechos humanos. En 2017, China aprobó una Ley de seguridad cibernética que requiere que los "operadores de infraestructura de información crítica" almacenen los datos de los usuarios chinos dentro de las fronteras del país, lo que probablemente forzó a Apple a asociarse con el nuevo centro de datos chino. Esta es la primera vez que Apple va a almacenar las claves de cifrado necesarias para desbloquear las cuentas de iCloud de sus usuarios fuera de los Estados Unidos. Fuente: Thehackernews.com Cellebrite crea un método para desbloquear cualquier iOS y otros modelos Después de que Apple rechazó ayudar a acceder a los datos de desbloqueo del iPhone 5c, se dijo que el FBI pagó un millón de dólares a una empresa privada para hacerlo. Ahora, parece que la agencia federal ya no tendrá que luchar contra Apple porque la empresa israelí Cellebrite afirma que ha creado un método capaz de desbloquear cualquier iPhone en el mercado, incluyendo el último iPhone X. Desde el año 1999, Cellebrite proporciona herramientas digitales forenses y software para teléfonos móviles a sus clientes, que también incluye el gobierno de los Estados Unidos. Uno de sus productos principales es el Universal Forensic Extraction Device (UFED) que está diseñado para ayudar a los investigadores a extraer todas las contraseñas de teléfonos móviles. Fuente: blog.seg-info.com.ar Los piratas informáticos pueden añadir una firma digital al malware, aunque les sale demasiado caro En los últimos meses hemos podido ver cómo una gran cantidad de malware ha empezado a incluir firmas digitales legítimas, así como certificados SSL empresariales en páginas web maliciosas, con el fin de poder engañar incluso a las medidas de seguridad más avanzadas para pasar desapercibidas y poder poner en peligro la seguridad de los usuarios. Fuente: redeszone.net El falso software ionCube llega a cientos de sitios Cientos de sitios web han sido infectados con malware que se hace pasar por legítimos archivos codificados como ionCube, advierte SiteLock. Los archivos maliciosos se descubrieron inicialmente en los directorios centrales de un sitio de WordPress, presentando patrones de nombres generalmente asociados con el malware, a saber, "diff98.php" y "wrgcduzk.php". Debido a que los archivos ofuscados aparecen como si hubieran sido codificados con ionCube, los investigadores llamaron a la amenaza ionCube malware. ionCube es una antigua y poderosa tecnología de ofuscación de PHP que se puede utilizar para codificar archivos PHP basados en texto para ocultar la propiedad intelectual. Debido a los costos de licencia, ionCube generalmente no se usa con fines maliciosos. Fuente: securityweek.com Así te hackean la tostadora para minar criptomonedas Las criptomonedas han protagonizado una de las revoluciones económicas con más atención de los últimos años. Desde los que las defienden a ultranza hasta a aquellos que las califican una y otra vez de peligrosa burbuja, todos tienen razones de peso para defender su opinión. Lo que es incuestionable es que una de sus características, el anonimato del dueño de las divisas digitales, las hace también muy codiciadas para aquellos que están al margen de la ley. El atractivo que han encontrado en ellas los inversores lo han hallado también los piratas informáticos, que han desarrollado sistemas para minar criptomonedas, pues es así como se crean. Sin embargo, dado que muchas de ellas son finitas, se hace cada vez más necesario una mayor potencia energética para completar el proceso. Para conseguirlo, los hackers están valiéndose de los dispositivos conectados, nacidos al amparo del Internet de las Cosas, con algunos tan diversos como una webcam, una tostadora o un termostato. El sistema que utilizan es similar al de los famosos ataques de denegación de servicio, o Ddos. Fuente: elindependiente.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana! ÁngelesBoletín nº 51 Noticias Seguridad en Comunidad Movistar Empresas
* La Generalitat deja al descubierto datos personales de todos los catalanes con derecho a voto Expone a fraude a cinco millones de personas al difundir en Internet los últimos 5 dígitos del DNI y la letra, la fecha de nacimiento, el código postal y el colegio donde votar. En su huida hacia adelante para organizar el referéndum suspendido por el Tribunal Constitucional, el Gobierno de Cataluña ha dejado al alcance de cualquiera con conocimientos de cifrado de datos todo el censo de esa comunidad autónoma. Los datos de más de cinco millones de ciudadanos mayores de 18 años que, por sí mismos o cruzados con otras bases de datos, pueden ser instrumentos para cometer fraudes y que han estado deambulando por el ciberespacio durante las últimas semanas. https://elpais.com/tecnologia/2017/10/05/actualidad/1507196018_140173.html * Amazon sufre hackeo a su plataforma con software parásito para minar bitcoins Los servidores de la nube de Amazon, uno de los portales de ventas en línea más grande del mundo, fueron hackeados por no estar protegidos con contraseña y han estado siendo usados por los hackers para minar monedas digitales. De acuerdo a un reporte RedLock Cloud Security Intelligence (CSI), un grupo de inteligencia y seguridad de la nube, publicó en su más reciente reporte que los servidores de Amazon Web Services fueron comprometidos por hackers que lograron acceder al sistema. Sin embargo, fuera de lo usual, los hackers black hat no buscaban robar información o secuestrarla, solo necesitaban acceder a la energía de los computadores para minar bitcoin. https://criptonoticias.com/seguridad/amazon-sufre-hackeo-plataforma-software-parasito-minar-bitcoin/#axzz4v6FM5Frs * Disqus hackeado, cambia tu contraseña El popular sistema de comentarios Disqus ha sido víctima de una violación masiva de seguridad. La compañía, que ofrece un plugin de comentarios para sitios web y blogs, ha admitido que sufrió el ciberataque hace 5 años, concretamente en julio de 2012, y los delincuentes robaron más de 17,5 millones de datos de usuarios. La compañía dijo que la información expuesta se remonta a 2007. Los datos robados incluyen direcciones de correo electrónico, nombres de usuario, fechas de inscripción y fechas de inicio de sesión, en texto plano. También se robaron las contraseñas de alrededor de un tercio de los usuarios afectados. https://www.infosecurity-magazine.com/news/disqus-breach-exposed-175m-emails/ * Kovter: campaña de Malvertisting a través de falsas actualizaciones de navegadores web Un grupo de malvertisting, a quienes los investigadores de Proofpoint, han bautizado KovCoreG, está empleando falsas actualizaciones de Flash y los navegadores web más conocidos para instalar el malware Kovter. Los atacantes han usado anuncios maliciosos sobre PornHub para redirigir a los usuarios hacia sitios falsos que anunciaba una actualización urgente del navegador web o Flash. Para que todo fuera más convincente, el mensaje variaba si se usaba Google Chrome, Mozilla Firefox, Internet Explorer o Microsoft Edge. En el caso de los dos primeros se notificada a los usuarios sobre una actualización de la aplicación, mientras que para los dos últimos se avisaba de una nueva versión de Flash, debido a que esos navegadores son puestos al día a través de Windows Update. https://www.bleepingcomputer.com/news/security/malvertising-group-spreading-kovter-malware-via-fake-browser-updates/ * One plus, no me robes mis datos La recopilación de datos sobre cómo alguien utiliza una pieza de hardware o software es importante si las empresas y los desarrolladores están tratando de averiguar qué funciona y qué no, como qué tipo de problemas los usuarios podrían estar ejecutando, si las cosas como la batería se ha optimizado y funcionando correctamente, y así sucesivamente. OnePlus ha recopilado datos de análisis de sus usuarios, como números IMEI, direcciones MAC, nombres de redes móviles , prefijos IMSI y números de serie, sólo por nombrar algunos. http://www.ubergizmo.com/2017/10/oneplus-collecting-user-data/ * Un botnet DDoS de 2015 aumenta su actividad en las últimas semanas Un botnet DDoS descubierto por primera vez en 2015 ha aumentado la actividad durante el verano y es responsable de más de 900 ataques DDoS durante los últimos cuatro meses, el mayor de los cuales alcanzó 45 Gbps. Se le conoce como Flusihoc. https://www.redeszone.net/2017/10/05/botnet-ddos-2015-aumenta-actividad-las-ultimas-semanas/ * Informe Semestral de Cyberseguridad de CISCO Durante casi una década, Cisco ha publicado reportes sobre ciberseguridad diseñados para mantener informado al mercado y a las empresas sobre la evolución de las amenazas, ataques y vulnerabilidades en sus entornos, para ayudarles a definir estrategias de ciberseguridad más sólidas y alineadas a sus objetivos de negocio. 1-.Principales obstáculos para implementar estrategias de seguridad y defensa. 2-.Liderazgo poco involucrado a las decisiones de seguridad. 3-.Los desafíos más relevantes. 4-.Las amenazas son mayores que la capacidad de monitorearlas. 5-.Nadie está a salvo. 6-.Business Email Compromise (BEC) mayor amenaza que el ransomware. 7-.El Spyware va en aumento. 8-.IoT, una puerta de entrada para los ataques. https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/cisco-reporte-semestral-2017-espanol.pdf * Grave ciberataque ruso a EEUU: roban documentos altamente secretos a la NSA La tensión entre Estados Unidos y Rusia vive, en el último año, uno de los peores momentos desde el fin de la Guerra Fría, y parece que puede ir a peor. Hoy se ha conocido que hackers rusos habrían atacado a la NSA (Agencia Nacional de Seguridad) estadounidense robándoles algunos documentos altamente sensibles y secretos sobre la ciberseguridad del país. Según publica el The Wall Street Journal, la violación, considerada la más grave de los últimos años, podría haber abierto una brecha en la ciberseguridad del país y permitido a los 'hackers' de Moscú adentrarse mucho más fácilmente en las redes estadounidenses. La información va más allá y apunta a que los piratas, que trabajaban para el gobierno de Putin, se habrían hecho con documentos que explican toda la estrategia de seguridad de la NSA. Todo apunta a que un nuevo 'ransomware' llamado Petya está extendiéndose de forma rápida y virulenta por países como España, Ucrania, India, Rusia y UK. https://www.elconfidencial.com/tecnologia/2017-10-06/nsa-hacker-ciberataque-kapersky-rusia_1456528/ * Phishing nigeriano apuntan ataques a compañías industriales Los atacantes responsables de una reciente oleada de ataques de phishing y de interceptación de pagos contra empresas industriales, también están robando los proyectos y planes operativos de sus víctimas, así como los diagramas de las redes eléctricas y de información, según un informe emitido por el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS CERT, por sus siglas en inglés) de Kaspersky Lab. Los ataques de Business Email Compromise (BEC, por sus siglas en inglés), a menudo vinculados con Nigeria, tratan de secuestrar cuentas empresariales legítimas que los atacantes pueden controlar para interceptar o redirigir transacciones financieras. En octubre de 2016, los investigadores de Kaspersky Lab notaron un aumento significativo en el número de intentos de infección de malware dirigidos a clientes industriales. http://www.ciberespacio.com.ve/2017/06/hardware/estafadores-de-correos-phishing-nigerianos-apuntan-ataques-a-companias-industriales/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.Noticias de Seguridad a nivel mundial: boletín nº 106
Una imagen PNG es suficiente para vulnerar un Android Como se informó la semana pasada, una falla crítica de seguridad permite que algunos móviles con determinadas versiones del sistema operativo Android 7.0 a 9.0 estén expuestos a infectarse, simplemente abriendo un archivo de imagen PNG. Google informó de las vulnerabilidades a través de sus boletines CVE-2019-1986, CVE-2019-1987, y CVE-2019-1988, y ya transmitió especialmente sobre esto a los fabricantes que usan esos sistemas operativos. Según explican en el boletín de febrero, basta con utilizar un archivo en formato .PNG para poder atacar un teléfono inteligente o una tableta. No se ha especificado el "diseño" de este tipo de archivos en formato PNG, para evitar que sea aprovechado el fallo de seguridad, pero con ellos se puede ejecutar código arbitrario con privilegios sobre el sistema. Los dispositivos que reciben actualizaciones directas de la compañía, que son los Pixel y Android One, tienen que haber recibido ya este parche de seguridad que soluciona el importante problema relacionado con las imágenes en formato PNG. Sin embargo, otros muchos dispositivos con las versiones afectadas no recibirán nunca la actualización que acaba de ser liberada por la compañía. Por eso, Google ha decidido omitir los detalles del problema de seguridad con la intención de evitar que los atacantes puedan aprovechar el fallo y atacar a los usuarios. Más información en https://www.zdnet.com/ Glovo hackeada: los clientes denuncian el cobro de pedidos que no han realizado Tras las polémicas en torno a los problemas con sus repartidores, ahora se enfrenta a la denuncia por parte de decenas de clientes que aseguran que Glovo ha sido hackeada. A lo largo del fin de semana los usuarios de la app notaron que el acceso a su perfil ha quedado bloqueado por un cambio de contraseña y al restaurarla se han dado cuenta que su email y cuentas bancarias muestran cargos producidos desde Egipto en la app, además de que su nombre de usuario ha cambiado, así como la localización y el idioma. El reporte de que la app de Glovo ha sido hackeada se ha producido en España, Perú, Argentina e Inglaterra. Hasta el momento, Glovo no ha ofrecido un comunicado oficial sobre esta brecha de seguridad que sus usuarios en varios países han informado, sin embargo al ponernos en contacto con la agencia de prensa de Glovo, nos han asegurado que los hackers no han tenido acceso a los datos de las tarjetas de sus clientes, ya que esa información se gestiona por medio de una plataforma externa. En cualquier caso, la recomendación general es que por el momento y hasta que esta situación se resuelva, debes actualizar los datos de tu cuenta en Glovo: asegura que tu número telefónico sea el correcto y cambia la contraseña utilizando un código seguro y que sea único para esta app. Más información en https://marketing4ecommerce.net/ Ciberdelincuentes vacían tus cuentas con los códigos de un solo uso La autentificación de doble factor es un método muy utilizado por las instituciones financieras de todo el mundo para mantener a salvo el dinero de sus clientes: ya sabes, esos 4 o 6 dígitos que recibes del banco y que tienes que introducir para aprobar una transacción. Normalmente, los bancos envían contraseñas de un solo uso a través de mensajes de texto. Por desgracia, los SMS son uno de los métodos más débiles de implantación de la 2FA, ya que pueden ser interceptados y eso es lo que acaba de suceder en el Reino Unido. Los cibercriminales pueden acceder a tus mensajes de distintas formas y una de las más extravagantes es explotando un error en el SS7, un protocolo utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas. A la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen acceder, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas. El procedimiento es el siguiente: primero, los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca online y solicitan una transferencia. Actualmente, la mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7: interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono. Los bancos aceptan la transferencia como legítima, ya que la transacción se ha autorizado dos veces: con tu contraseña y con el código de un solo uso. Por tanto, el dinero acaba en manos de los delincuentes. Más información en https://latam.kaspersky.com/ Alemania prohíbe que WhatsApp e Instagram compartan datos con Facebook sin consentimiento Facebook vuelve a encontrarse con un nuevo obstáculo interpuesto por las autoridades alemanas y en este caso el obstáculo afecta a la línea de flotación de su negocio de recopilación de datos. La Oficina Federal Antimonopolio de Alemania ha anunciado la prohibición a la red social de recopilar datos a través de terceros, lo que significa que, por ejemplo, no podrá recopilar los datos generados mediante el botón de «Me gusta», los llamados «likes», una práctica que tacha de «abusiva» e «injusta para la competencia». Las autoridades de la competencia alemanas basan su decisión en el hecho de que Facebook desempeña una posición dominante en el mercado y en la valoración de que está abusando de ella. Facebook ha comunicado que tiene previsto recurrir la decisión ante la Justicia y se juega mucho en ese recurso, porque el caso podría sentar un precedente europeo, vinculando por primera vez en la jurisprudencia la protección de datos con la defensa de la competencia. Más información en https://www.abc.es/tecnologia/redes/ Rusia se desconectará del internet mundial Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el gobierno de Rusia estaría considerando la posibilidad de desconectarse de Internet a nivel global por un breve periodo de tiempo, todo como parte de una prueba de ciberseguridad. Esto implica que los datos enviados y recibidos entre individuos y organizaciones rusas permanecerán en las redes de ese país, en lugar de ser enrutados de forma trasnacional. Una ley que está por ser aprobada podría ser el motivo principal por el que el gobierno ruso contempla esta opción, reportan los expertos en seguridad en redes. En esta ley se establece que se deberán realizar todas las modificaciones técnicas necesarias para operar de forma independiente. Para implementar el proyecto denominado Programa de Economía Digital, se requiere que los proveedores de servicios de Internet en Rusia se aseguren de poder operar en caso de que un ataque extranjero aísle las redes rusas. Países miembros de la Organización del Tratado del Atlántico Norte (OTAN) acusan continuamente al gobierno ruso de promover actividades de ciberguerra, por lo que ya han amagado con imponer sanciones por este proyecto. Se espera que la prueba se realice a comienzos del mes de abril, aunque se desconoce la fecha exacta. Más información en https://noticiasseguridad.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 112
Simbad: el phishing se cuela en los simuladores de Google Play Gmail, de Google, es uno de los principales servicios que usan este método de inicio de sesión, 206 aplicaciones y más de 150 millones de descargas. Este es el alcance de SimBad, una nueva campaña de adware que según investigadores de Mobile Threat de CheckPoint está haciendo estragos en la Google Play Store. Como ha explicado la compañía de seguridad, la mayoría de las aplicaciones afectadas son simuladores de juego (de ahí SimBad) y en su configuración más "sencilla" muestra en el terminal del usuario infectado innumerables anuncios (adware) fuera de la aplicación, que ralentizan y llegan a volver inutilizable cualquier teléfono móvil. No es este el único problema. Una vez instaladas, puede resultar complicado eliminar las aplicaciones afectadas del terminal. Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicaciones. Más información en https://www.muyseguridad.net/. Hackers están comprometiendo cuentas de Office 365 y G Suite usando protocolo Imap Acorde a especialistas en ciberseguridad, en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética, los hackers maliciosos están mostrando especial interés en el abuso de protocolos legítimos para incrementar la frecuencia y efectividad de los ataques de fuerza bruta. La conducta abusiva se ha enfocado principalmente en el protocolo IMAP (Protocolo de Acceso a Mensajes de Internet), que se encarga de pasar por alto la autenticación multi factor y las opciones de bloqueo para inicios de sesión sin éxito. Según el hacker ético, esta nueva campaña de ataques de fuerza bruta plantea un enfoque diferente para desplegar el ataque que utiliza la combinación de los nombres de usuario y contraseña. Gracias a un análisis realizado a una muestra de más de 100 mil inicios de sesión no autorizados en distintas plataformas, los investigadores llegaron a conclusiones como: El 70% de los usuarios han sido atacados por hackers maliciosos al menos una vez. Al menos el 40% de los usuarios tienen una de sus cuentas en línea comprometida. 15 de cada 10 mil cuentas de usuario activas han sido comprometidas con éxito. El principal objetivo de los hackers es desplegar campañas de phishing interno para generar persistencia en los sistemas de la organización atacada. El phishing interno es mucho más difícil de detectar que el externo, mencionó el experto en hacking ético. Los hackers tratarán de conseguir acceso de inicio de sesión a las cuentas en la nube de las víctimas, además dependerán de la campaña de phishing interno para propagar la infección de los sistemas. Más información en https://noticiasseguridad.com/seguridad-informatica/. Descubierta una vulnerabilidad en LTE que permite espiar llamadas Malas noticias para los usuarios de redes LTE. Tal y como publican varios medios, un grupo de investigadores de Corea del Sur, acaba de hacer público un informe en el que se identifican nada menos que 36 nuevas vulnerabilidades, en uno de los protocolos de comunicaciones inalámbricas más utilizados del mundo. Entre las reportadas, destacan algunas que permiten “manipular” antenas móviles, traduciéndose en la posibilidad de bloquear llamadas entrantes en un dispositivo, desconectar a usuarios de una red determinada, mandar SMS con malware a los usuarios que se conecten a la antena, e incluso, escuchar conversaciones privadas. No es esta la primera vez sin embargo, que un grupo de investigadores descubre vulnerabilidades de este calado en el protocolo de comunicaciones LTE. Como indican en ZDNET, se han reportado problemas similares en 2015, 2016, 2017 y 2018. ¿Por qué no se han subsanado? Básicamente por que aunque es cierto que algunas se han parcheado, la mayor parte de los esfuerzos se han centrado en el desarrollo y puesta en marcha del nuevo protocolo 5G, que nace de cero para entre otras muchas cosas, acabar con los problemas de seguridad (sin mucho éxito de momento). Para descubrir los problemas de lo que ya parece ser un protocolo más que vulnerable, los investigadores utilizaron el “fuzzing“, una técnica que consiste en inyectar una gran cantidad de datos aleatorios en una aplicación y analizar el output que produce para tratar de identificar anomalías que, en realidad, podrían ser bugs. Más información en https://www.muyseguridad.net/. Glitchpos, el malware que roba números de tarjetas de crédito de puntos de venta Especialistas en ciberseguridad en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva variante de malware diseñada para interceptar números de tarjetas de pago; el malware ha estado circulando por algunos foros de hackers maliciosos. El malware, conocido como GlitchPOS, está disponible para su compra en algunos foros de hacking alojados en dark web. Este software malicioso fue detectado por primera vez en febrero y el número de hackers que lo han comprado o usado aún es desconocido. Acorde a los investigadores, este malware cuenta con un diseño funcional y es muy fácil de utilizar; “no se requieren conocimientos avanzados de hacking para ejecutar GlitchPOS”. Los atacantes han estado desplegando el malware a través de un email malicioso, disfrazándolo como un videojuego muy simple. El malware está protegido por un packer desarrollado en VisualBasic, mismo que descifra una biblioteca (la carga útil del malware) cifrada con el packer UPX. “Cuando se descifra la carga útil, se ejecuta GlitchPOS, que captura la memoria del sistema de punto de venta”. Más información en https://noticiasseguridad.com/ Ransomware piewdiepie: archivos encriptados hasta que el youtuber alcance los 100 millones de suscriptores Los suscriptores al canal de YouTube de PewDiePie han decidido tomar medidas drásticas para que el famoso creador de contenido se consolide como el usuario con más suscriptores de la plataforma de vídeos, mencionan expertos de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética. Según se ha reportado, algún usuario desconocido desarrolló una variante de ransomware que cifra los archivos de las víctimas y sólo serán descifrados cuando el creador de contenido alcance los 100 millones de suscriptores. Acorde a los instructores de la escuela de hackers éticos la herramienta en cuestión, conocida como PewCrypt, es un ransomware basado en Java que ha cifrado miles de archivos. Aunque esta no es la peor parte; en diciembre pasado fue descubierta una nueva variante de ransomware relacionado con esta campaña, sólo que en esta ocasión el software maligno bloquea los archivos y no cuenta con un modo de recuperación, por lo que las víctimas pierden su información para siempre. Conocido como el ransomware PewDiePie, esta es una versión modificada y mal escrita del popular ransomware ShellLocker, reportan los expertos de la escuela de hackers éticos. El ransomware PewDiePie nunca almacena las claves de cifrado de las víctimas, por lo que los archivos comprometidos permanecerán bloqueados para siempre. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
