Ransomware: La información de las empresas en jaque
Es muy probable que ya hayas oído o incluso sufrido los efectos del cada vez más frecuente Ransomware. A continuación te mostramos algunos valiosos consejos para mantener tus equipos informáticos a salvo del Ransomware: Prudencia: es la mejor recomendación a la hora de evitar este dañino malware. Concretamente: Evita abrir correos o pinchar en los enlaces de remitentes desconocidos. Por ejemplo: si no estás esperando recibir ningún envío, sospecha de un mensaje supuestamente procedente de Correos. Desconfía también cuando te envíen una factura electrónica de un proveedor (Endesa, Iberdrola) con el que ni siquiera tengas contratados servicios. Revisa el contenido de cualquier mensaje mínimamente sospechoso. Generalmente contienen pistas que ayudan a detectar la suplantación y evitar que accedas al enlace: errores ortográficos, fotos de mala calidad, diseños anticuados, traducciones pobres, URLs sospechosas. Evita navegar por páginas de contenido dudoso. Y en esta categoría destacan, por peligrosidad, las páginas de pornografía, portales de descargas gratuitas en Internet, portales piratas de streaming, descarga de software gratuito, juegos online. El simple hecho de navegar por estas páginas constituye un riesgo importante. Utiliza un buen antivirus, prográmalo para que se actualice varias veces al día. Preferiblemente cada 2 horas o menos. Ten en cuenta que el Ransomware suele ser un ataque de Zero-day, es decir, se dirige sobre todo a equipos con el antivirus no actualizado. Haz copias de seguridad frecuentemente. Y ten mucho cuidado, te recomendamos que no hagas las copias en una unidad de red o disco duro externo conectados permanentemente. Si te infectas con un Ransomware, lo más probable es que no solo cifre los ficheros de tu equipo sino también los de unidades de red y discos duros externos conectados, con lo que perderías también las copias de seguridad. Para ello, existen soluciones de almacenamiento en la nube. Aquí tienes un interesante artículo que describe con mucho detalle cómo funciona este peligroso y lucrativo negocio, también conocido como el secuestro de datos de nuestro disco duro. Si necesitas más información, no dudes en ponerte en contacto con nosotros y te ayudaremos!Noticias de Seguridad a nivel mundial: boletín nº 112
Simbad: el phishing se cuela en los simuladores de Google Play Gmail, de Google, es uno de los principales servicios que usan este método de inicio de sesión, 206 aplicaciones y más de 150 millones de descargas. Este es el alcance de SimBad, una nueva campaña de adware que según investigadores de Mobile Threat de CheckPoint está haciendo estragos en la Google Play Store. Como ha explicado la compañía de seguridad, la mayoría de las aplicaciones afectadas son simuladores de juego (de ahí SimBad) y en su configuración más "sencilla" muestra en el terminal del usuario infectado innumerables anuncios (adware) fuera de la aplicación, que ralentizan y llegan a volver inutilizable cualquier teléfono móvil. No es este el único problema. Una vez instaladas, puede resultar complicado eliminar las aplicaciones afectadas del terminal. Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicaciones. Más información en https://www.muyseguridad.net/. Hackers están comprometiendo cuentas de Office 365 y G Suite usando protocolo Imap Acorde a especialistas en ciberseguridad, en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética, los hackers maliciosos están mostrando especial interés en el abuso de protocolos legítimos para incrementar la frecuencia y efectividad de los ataques de fuerza bruta. La conducta abusiva se ha enfocado principalmente en el protocolo IMAP (Protocolo de Acceso a Mensajes de Internet), que se encarga de pasar por alto la autenticación multi factor y las opciones de bloqueo para inicios de sesión sin éxito. Según el hacker ético, esta nueva campaña de ataques de fuerza bruta plantea un enfoque diferente para desplegar el ataque que utiliza la combinación de los nombres de usuario y contraseña. Gracias a un análisis realizado a una muestra de más de 100 mil inicios de sesión no autorizados en distintas plataformas, los investigadores llegaron a conclusiones como: El 70% de los usuarios han sido atacados por hackers maliciosos al menos una vez. Al menos el 40% de los usuarios tienen una de sus cuentas en línea comprometida. 15 de cada 10 mil cuentas de usuario activas han sido comprometidas con éxito. El principal objetivo de los hackers es desplegar campañas de phishing interno para generar persistencia en los sistemas de la organización atacada. El phishing interno es mucho más difícil de detectar que el externo, mencionó el experto en hacking ético. Los hackers tratarán de conseguir acceso de inicio de sesión a las cuentas en la nube de las víctimas, además dependerán de la campaña de phishing interno para propagar la infección de los sistemas. Más información en https://noticiasseguridad.com/seguridad-informatica/. Descubierta una vulnerabilidad en LTE que permite espiar llamadas Malas noticias para los usuarios de redes LTE. Tal y como publican varios medios, un grupo de investigadores de Corea del Sur, acaba de hacer público un informe en el que se identifican nada menos que 36 nuevas vulnerabilidades, en uno de los protocolos de comunicaciones inalámbricas más utilizados del mundo. Entre las reportadas, destacan algunas que permiten “manipular” antenas móviles, traduciéndose en la posibilidad de bloquear llamadas entrantes en un dispositivo, desconectar a usuarios de una red determinada, mandar SMS con malware a los usuarios que se conecten a la antena, e incluso, escuchar conversaciones privadas. No es esta la primera vez sin embargo, que un grupo de investigadores descubre vulnerabilidades de este calado en el protocolo de comunicaciones LTE. Como indican en ZDNET, se han reportado problemas similares en 2015, 2016, 2017 y 2018. ¿Por qué no se han subsanado? Básicamente por que aunque es cierto que algunas se han parcheado, la mayor parte de los esfuerzos se han centrado en el desarrollo y puesta en marcha del nuevo protocolo 5G, que nace de cero para entre otras muchas cosas, acabar con los problemas de seguridad (sin mucho éxito de momento). Para descubrir los problemas de lo que ya parece ser un protocolo más que vulnerable, los investigadores utilizaron el “fuzzing“, una técnica que consiste en inyectar una gran cantidad de datos aleatorios en una aplicación y analizar el output que produce para tratar de identificar anomalías que, en realidad, podrían ser bugs. Más información en https://www.muyseguridad.net/. Glitchpos, el malware que roba números de tarjetas de crédito de puntos de venta Especialistas en ciberseguridad en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva variante de malware diseñada para interceptar números de tarjetas de pago; el malware ha estado circulando por algunos foros de hackers maliciosos. El malware, conocido como GlitchPOS, está disponible para su compra en algunos foros de hacking alojados en dark web. Este software malicioso fue detectado por primera vez en febrero y el número de hackers que lo han comprado o usado aún es desconocido. Acorde a los investigadores, este malware cuenta con un diseño funcional y es muy fácil de utilizar; “no se requieren conocimientos avanzados de hacking para ejecutar GlitchPOS”. Los atacantes han estado desplegando el malware a través de un email malicioso, disfrazándolo como un videojuego muy simple. El malware está protegido por un packer desarrollado en VisualBasic, mismo que descifra una biblioteca (la carga útil del malware) cifrada con el packer UPX. “Cuando se descifra la carga útil, se ejecuta GlitchPOS, que captura la memoria del sistema de punto de venta”. Más información en https://noticiasseguridad.com/ Ransomware piewdiepie: archivos encriptados hasta que el youtuber alcance los 100 millones de suscriptores Los suscriptores al canal de YouTube de PewDiePie han decidido tomar medidas drásticas para que el famoso creador de contenido se consolide como el usuario con más suscriptores de la plataforma de vídeos, mencionan expertos de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética. Según se ha reportado, algún usuario desconocido desarrolló una variante de ransomware que cifra los archivos de las víctimas y sólo serán descifrados cuando el creador de contenido alcance los 100 millones de suscriptores. Acorde a los instructores de la escuela de hackers éticos la herramienta en cuestión, conocida como PewCrypt, es un ransomware basado en Java que ha cifrado miles de archivos. Aunque esta no es la peor parte; en diciembre pasado fue descubierta una nueva variante de ransomware relacionado con esta campaña, sólo que en esta ocasión el software maligno bloquea los archivos y no cuenta con un modo de recuperación, por lo que las víctimas pierden su información para siempre. Conocido como el ransomware PewDiePie, esta es una versión modificada y mal escrita del popular ransomware ShellLocker, reportan los expertos de la escuela de hackers éticos. El ransomware PewDiePie nunca almacena las claves de cifrado de las víctimas, por lo que los archivos comprometidos permanecerán bloqueados para siempre. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 114
Google revela que hay 200 millones de móviles Android con malware instalado Google ha publicado el informe de seguridad de Android de 2018, el cual nos muestra una imagen de la seguridad en el sistema operativo durante el pasado año y cuáles han sido los principales vectores de infección. Además, nos muestra que se detectó que casi 200 millones de dispositivos con su sistema operativo fueron infectados con malware. Google ha cumplido recientemente 10 años, en los cuales ha tenido bastantes fallos y problemas de seguridad que Google ha ido subsanando con el paso de los años. Cada año publica un informe para ver cómo ha avanzado la seguridad en el sistema operativo, y este año, a pesar de haber mejorado, sigue arrojando cifras que asustan. Así, un 0,04% de las descargas totales de la Google Play fueron clasificadas como Potentially Harmful Apps, o PHA, frente a la cifra del 0,02% en 2017. Esto supone al menos duplicar la cifra de apps peligrosas, ya que se realizaron más descargas en 2018 que en 2017. Este cambio tiene “truco”, ya que Google ha aumentado el tipo de apps y las categorías que considera como peligrosas. Sin embargo, gracias a Google Play Protect, su propio escáner antimalware, la instalación de aplicaciones peligrosas a través de fuentes ajenas a la Play Store ha caído significativamente. Sobre las apps bloqueadas de la Play Store no han desvelado cifras, pero en 2017 fueron de 700.000. Este año han preferido destacar que han prevenido la instalación de 1.600 millones de aplicaciones peligrosas que provenían de fuentes externas. Continúa navegando en https://www.adslzone.net/. Facebook expone más de 540 millones de usuarios Facebook ha eliminado 540 millones de datos de sus usuarios, almacenados en servidores públicos de Amazon por la plataforma digital mexicana Cultura Colectiva, que contenían 146 gigabytes de información. Recientemente se ha publicado por la empresa de ciberseguridad UpGuard un estudio que denunciaba la publicación de dos colecciones de datos de usuarios de Facebook obtenidas a través de aplicaciones de terceros. En la mayor de las colecciones, Cultura Colectiva había utilizado los servidores de Amazon en la nube para almacenar públicamente 540 millones de datos que detallaban comentarios, gustos, reacciones, nombres de cuentas e ID de Facebook. El medio mexicano ha declarado en un comunicado oficial que los datos que usan «incluyen 540 millones de interacciones como likes, comentarios y reacciones», aunque afirma que «entre ellos no se incluía información privada o confidencial, como correos electrónicos y contraseñas». Continúa navegando en https://www.abc.es/. Rusia falsifica su GPS regional para ocultar bases militares Acorde a los autores de ‘Cómo ser un hacker profesional‘, un análisis masivo de datos de posicionamiento global descubrió una conducta sospechosa en territorio ruso. Los expertos señalan el descubrimiento de una falsificación generalizada del sistema de navegación global por satélite durante los más recientes tres años. La investigación, realizada por una organización sin fines de lucro, descubrió que al menos 9800 casos de falsificación ocurrieron en las zonas sensibles para Rusia y Crimea; los especialistas también demostraron que la falsificación ocurría regularmente cerca de una base militar rusa en Siria. Acorde a los autores de ‘Cómo ser un hacker profesional’, estos hallazgos señalan lo arriesgado que puede ser confiar en los datos de posicionamiento global, pues en ocasiones dependemos demasiado de ellos y, como ya se ha visto, esta tecnología puede ser comprometida, interrumpida o secuestrada con diversos fines. Esta investigación hace notar lo vulnerables que son los sistemas de navegación por satélite. Durante al menos diez años, diversos medios especializados y los autores de ‘Cómo ser un hacker profesional’ han dado seguimiento a los problemas de seguridad presentes en los sistemas de navegación. Continúa navegando en https://noticiasseguridad.com/. Segundo robo de datos en Toyota en un mes Acorde a especialistas del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS), la empresa automotriz japonesa Toyota ha sufrido su segundo robo de datos de las últimas cuatro semanas. Aunque, tal como reportaron los expertos del curso de ethical hacking, el primer incidente sucedió en las instalaciones de Toyota Australia, el más reciente robo de datos ha sido informado directamente desde las oficinas principales de Toyota en Japón. La compañía publicó un comunicado mencionando que los hackers consiguieron comprometer sus sistemas informáticos y posteriormente accedieron a las bases de datos de distintas subsidiarias. Entre las subsidiarias comprometidas se encuentran: Toyota Tokyo Sales Holdings, Tokyo Motor, Tokyo Toyopet, Toyota Tokyo Corolla, entre otras. Según el comunicado, los hackers accedieron a información relacionada con las ventas de hasta 3 millones de clientes de la compañía. Toyota afirma que ya se ha emprendido una investigación para determinar si los actores de amenazas filtraron algo de la información comprometida. Según reportan los expertos del curso de ethical hacking, la información financiera de los clientes de Toyota no se almacena en los servidores comprometidos, esto había sido informado por la compañía desde el último incidente de seguridad. Continúa navegando en https://noticiasseguridad.com. Departamento de policía sufre infección de Ransomware Acorde a especialistas de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética, la Federación de Policía de Inglaterra y Gales (PFEW) ha puesto todos sus esfuerzos en contener un ataque de ransomware que infectó los sistemas de esta organización (es una especie de sindicato de empleados de la policía). La Federación de Policía de Inglaterra y Gales (PFEW) ha puesto todos sus esfuerzos en contener un ataque de ransomware que infectó los sistemas de esta organización. A través de su cuenta de Twitter, PFEW declaró que detectó la infección en sus sistemas el pasado 9 de marzo. “Colaboramos en conjunto con una escuela de hackers éticos para contener el brote y evitar su propagación”. PFEW informó a la Oficina del Comisionado de Información en Reino Unido después de descubrir la infección. Después de las primeras investigaciones, la PFEW declaró que este incidente no se trata de un ataque especialmente dirigido contra la organización. Además, agregan que no hay evidencia de robo de datos, por lo que creen que lo más probable es que se trate de un ataque de ransomware convencional. “Aunque aún no podemos descartar la posibilidad, no hay indicios de robo de datos. Continuaremos implementando medidas de seguridad adicionales y notificando a cualquier persona potencialmente afectada por este incidente”. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 104
Un fallo de WhatsApp permite ver los mensajes borrados WhatsApp incorporó, meses atrás, la posibilidad de eliminar mensajes enviados. Sin embargo, es posible que un error en la aplicación pueda resucitar estos mensajes no deseados y cause estragos a algunos de los usuarios. Se trata, según Metro, de la copia de seguridad que realiza WhatsApp, todas las noches, a las dos de la madrugada, para mantener un registro de los chats. Un error en el sistema de la copia de seguridad podría hacer ‘resucitar’ los mensajes eliminados. Por lo que si recibes un aviso de WhatsApp que te dice que el mensaje que te acaban de enviar ha sido eliminado y te pica la curiosidad, solo debes restaurar la copia de seguridad. Los mensajes perdidos volverán a la vida. Para realizar este truco, solo deberás desinstalar la ‘app’ y volverla a instalar, y se restaurarán los chats desde la copia de seguridad. Más información en https://www.lavanguardia.com/tecnologia. ¿Cuánto les cuesta el cibercrimen a las empresas? El cibercrimen podría costarles 5,2 billones de dólares a las compañías en los próximos cinco años según un informe de Accenture. Las compañías podrían incurrir en 5,2 billones de dólares de costes adicionales y pérdidas de ingresos, a nivel global y en los próximos cinco años, como consecuencia de ciberataques, según un nuevo estudio de Accenture. Esto se debe a que la dependencia de modelos de negocio complejos, basados en Internet, sobrepasa la capacidad de las compañías de introducir medidas de protección adecuadas para resguardar sus principales activos. El informe, Securing the Digital Economy: Reinventig the Internet for Trust, se ha realizado a través de una encuesta a más de 1.700 CEO y altos ejecutivos de todo el mundo, en la que se exploran las complejidades de los desafíos de Internet a los que se enfrentan las empresas y se esbozan los pasos que los directivos deben dar para evolucionar su rol en cuestiones de tecnología, arquitectura de negocio y gobierno. El estudio resalta que el cibercrimen plantea una serie de retos que pueden amenazar las operaciones, la innovación y el crecimiento de las compañías, así como la expansión de nuevos productos y servicios.Más información en http://www.computing.es/seguridad/ Se detecta una familia de Ransomware, Anatova McAfee ha publicado una noticia en la que anuncia una nueva familia de Ransomware detectada, la cual han bautizado con el nombre de Anatova. La detección de esta familia se realizó a través de redes P2P privadas, y se cree que Anatova puede ser un peligro serio para la red en general debido a la extensión modular con la que se ha creado el malware y al auto cifrado del que dispone sus recursos a través de estas redes. El método de entrada que utiliza Anatova normalmente es el engaño de la víctima a través de un camuflado de su icono con uno de juegos o aplicaciones conocidas en estas redes P2P, lo que lo hace más amigable para las víctimas.El objetivo es el cifrado de todos los documentos de la máquina infectada para después pedir un rescate en criptomonedas, que asciende a 700$. Más información en https://unaaldia.hispasec.com. Vulnerabilidad en FaceTime permite espiar a usuarios de Apple Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de una vulnerabilidad sin parchear en FaceTime, la aplicación de Apple para realizar llamadas de audio y vídeo. Según los reportes, este error permitiría que el receptor de una llamada sea visto o escuchado desde antes de contestar la llamada. Este incidente se ha vuelto viral en Twitter y otras redes sociales, donde los usuarios han mostrado su malestar con esta falla de seguridad, pues cualquier dispositivo Apple podría convertirse en una máquina de espionaje sin que la víctima pueda darse cuenta. Esta falla, que algunos consideran más una falla de diseño que una vulnerabilidad, reside en la función Group FaceTime, lanzada recientemente por Apple. El proceso para reproducir el error es el siguiente: Inicie una videollamada de FaceTime con cualquier contacto Mientras se marca al contacto, deslice hacia arriba desde la parte inferior de la pantalla de su iPhone y seleccione “Agregar persona” En “Agregar persona”, agregue su propio número Esto iniciará una llamada grupal de FaceTime entre usted y la persona a la que llamó, con lo que podrá escuchar al receptor de la llamada, incluso si la persona aún no acepta la llamada Los especialistas en seguridad en redes también mencionaron que si la persona que recibe la llamada presiona el botón de volumen o encendido (para silenciar o rechazar la llamada) la cámara del iPhone podría encenderse. Más información en https://noticiasseguridad.com/. Robo de datos afecta a usuarios de tarjetas Discover Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan un incidente de seguridad en los sistemas de las tarjetas Discover, gracias al que usuarios maliciosos habrían accedido a una cantidad indefinida de detalles de identificación de los clientes, como números de cuenta, fechas de vencimiento, e incluso códigos de seguridad de las tarjetas. Incluso cuando esta clase de incidentes de seguridad son comunes entre las instituciones financieras, esta es la segunda ocasión en menos de un año en que Discover Financial Services notifica un robo de datos relacionado con las tarjetas de sus clientes a las autoridades de California. Con base en los comentarios de Discover, especialistas en seguridad en redes creen que los atacantes habrían obtenido la información comprometiendo los servicios de terceros con acceso a los datos de pago de los clientes de Discover, o bien los datos podrían haber estado a la venta en algún foro de dark web gracias al uso de malware de robo de datos o a skimmers de tarjetas instalados en puntos de venta o cajeros automáticos. Más información en https://noticiasseguridad.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Los tipos de malware más peligrosos para una pyme
En los últimos años, las pymes y los autónomos se han convertido en el blanco principal de los ciberdelincuentes, de hecho en España, el 91% de ellos han sufrido algún tipo de ataque informático, por lo que es muy importante la concienciación sobre los malware más peligrosos que existen hoy en día y sus posibles consecuencias. A continuación, te presentamos una infografía con los tipos de Malware más peligrosos: ¿Por qué son peligrosos estos tipos de malware? -Scam: Te engaña con promociones de viajes o lotería y te piden dinero para acceder al “premio”. - Gusano: Infecta los ordenadores ralentizando la red e incluso bloqueando el acceso a las comunicaciones. - Phishing: Crea una URL falsa para obtener tus datos y suplantar tu identidad para, entre otros, robar en tus cuentas bancarias. - Backdoor: Abre una puerta trasera y toma el control del sistema afectado. - BOT: Es un programa que, una vez dentro de tu equipo, es capaz de controlarlo de manera remota. - Ransomware: Bloquea el PC, te quita el control, cifra tus archivos y te pide rescate económico para liberarlos. - Spyware: Recoge nombres, cuentas de acceso, claves y, en general, cualquier dato de tu organización. - Keylogger: Recoge, guarda y envía todas las pulsaciones realizadas por el usuario. - Exploit: Aprovecha un fallo de seguridad o una vulnerabilidad en los protocolos de comunicaciones para entrar en tus equipos. - Troyano: Instala varias aplicaciones para que los hackers controlen tu equipo, tus archivos y roben tu información confidencial. Además de la concienciación sobre los peligros que acabamos de mencionar, también es necesaria la implantación de medidas de seguridad específicas que ayuden a disminuir las posibles consecuencias negativas. A continuación te mostramos varias soluciones de seguridad que pueden ayudarte a mantener protegida tu empresa ante un posible ciberataque. Si necesitas más información, no dudes en ponerte en contacto con nosotros y te ayudaremos!Noticias de Seguridad a nivel mundial: boletín nº 119
Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto Los datos personales y financieros de 4,5 millones de visitantes de la Alhambra y casi 1.000 agencias de viaje han quedado al descubierto por un fallo en la web oficial de reservas de entradas. Números de cuentas corrientes, contraseñas, nombres y apellidos, teléfono móvil, 'e-mail', dirección postal… Son los datos privados de visitantes y agencias de viaje que han estado totalmente desprotegidos durante dos años en la web oficial de compra de entradas de la Alhambra, gestionada por un organismo adscrito a la Consejería de Cultura de la Junta de Andalucía. En total, más de 4,5 millones de visitantes, muchos turistas, y casi un millar de agencias de viajes han tenido sus datos expuestos en la que ya es una de las mayores brechas de seguridad en España de los últimos años. Si usted ha usado recientemente la web tickets.alhambra-patronato.es del Patronato de la Alhambra y Generalife, la página oficial adscrita a la Junta de Andalucía que gestiona el 100% de la reserva y venta de entradas al monumento, todos los datos enviados han quedado expuestos. El fallo, detectado por el grupo de 'hackers' La9, vinculado a Anonymous, afectaba a la página desde mediados de 2017. Continúa navegando en https://www.elconfidencial.com/tecnologia. Datos pertenecientes a influencers y celebridades de Instagram expuestos en línea La noticia se informó por primera vez en el sitio web de TechCrunch, una base de datos se dejó desprotegida en un depósito de AWS, cualquiera pudo acceder a ella sin autenticación. Instagram. La base de datos no protegida fue descubierta por el investigador de seguridad Anurag Sen que informó de inmediato su descubrimiento a TechCrunch en un esfuerzo por encontrar al propietario. "Una base de datos masiva que contiene información de contacto de millones de personas influyentes en Instagram, celebridades y cuentas de marca se ha encontrado en línea". En el momento de escribir este artículo, la base de datos tenía más de 49 millones de registros, pero estaba creciendo por hora. La base de datos contenía datos públicos extraídos de las cuentas de Instagram de influencer, incluida su biografía, foto de perfil, número de seguidores, si están verificados, su ubicación por ciudad y país, información de contacto privado, dirección de correo electrónico y número de teléfono de la Propietario de la cuenta de Instagram. Cada registro en la base de datos también contenía un campo que calculaba el valor de cada cuenta. La lista de personas influyentes en el archivo incluye destacados blogueros de alimentos, celebridades y otras personas influyentes en las redes sociales. Continúa navegando en https://securityaffairs.co/. Examinando WhatsApp en sus investigaciones forenses WhatApp hoy en día es una aplicación de mensajería tan popular con hasta 1.500 millones de usuarios activos mensuales en más de 180 países que la usan diariamente. En el top de los 5 principales países, Brasil y México se ubicaron en el 4º y 5º lugar representando en conjunto el 38% del total de usuarios activos. En América Latina, el uso de WhatsApp facilita la comunicación diaria y ha llegado a ser incluso más común que los mensajes de texto. Como resultado, WhatsApp ha creado un gran desafío para las investigaciones forenses debido a la creciente cantidad de datos producidos y la creación de nuevos modus operandi por parte de los delincuentes que utilizan la plataforma para: Fuga de datos sensibles. Compartir contenidos de abuso infantil. Apoyar las extorsiones. Realizar otros delitos cibernéticos que aún no son conocidos o tipificados por los tribunales de la región. Continúa navegando en https://www.magnetforensics.com/resources/. El ransomware «RobbinHood» tumba las redes gubernamentales de Baltimore Un ataque de ransomware mediante el conocido "RobbinHood" ha tumbado las redes gubernamentales de la ciudad de Baltimore. Es un nuevo recordatorio de la peligrosidad de este tipo de malware, especialmente en redes empresariales. RobbinHood es un ransomware que se dirige específicamente a las empresas, no se distribuye a través de spam, sino a través de otros métodos, que podrían incluir servicios de escritorio remoto previamente hackeados u otros troyanos que brindan acceso a los atacantes. Desde que apareció, no ha sido fácil encontrar muestras del ransomware RobbinHood. MalwareHunterTeam fue capaz de encontrar muestras para hacer ingeniería reversa y aprender sobre él. El malware detiene 181 servicios de Windows asociados con antivirus, bases de datos, servidores de correo y otros programas que podrían mantener los archivos abiertos y evitar su cifrado. Lo hace emitiendo el comando "sc.exe stop". Continúa navegando en https://www.muycomputerpro.com/. Comprometen más de 29 botnets de IoT con credenciales débiles Un hacker con nick 'Subby' se hizo con más de 29 botnets de IoT en las últimas semanas haciendo fuerza bruta sobre los paneles de backend de sus servidores C2, debido a que éstos usaban credenciales débiles. "Ahora, esta teoría ha sido llevada a la práctica por un threat actor llamado Subby, que ha hecho fuerza bruta al menos contra 29 IoT C2s y los ha comprometido utilizando credenciales extremadamente triviales", escribió Ankit Anubhav, investigador de seguridad de NewSky Security. "Según lo compartido por el threat actor, se puede ver que las credenciales utilizadas son bastante débiles". Subby le dijo a Anubhav que algunos de los C2 asociados con las redes de bots de IoT estaban usando credenciales muy comunes, incluyendo "root: root", "admin: admin" y "oof: oof". Continúa navegando en https://www.hackplayers.com/. Ciberataques contra hospitales aumentan 1000% Durante un reciente evento de ciberseguridad en California, E.U., especialistas ofrecieron una conferencia en la que hablaron de las consecuencias que puede generar un ataque cibernético contra los sistemas de un hospital o dispositivos médicos conectados a una red; durante la conferencia, los expertos afirmaron que los ciberataques contra centros hospitalarios incrementaron alrededor de 1200% el último año. Una de las principales interrogantes al pensar en una situación de esta clase es: ¿pueden los doctores salvar a un paciente si el equipo médico ha sido hackeado? “Tratamos de generar conciencia sobre estos riesgos”, mencionan los especialistas en temas de hacking y ciberseguridad Jeff Tully y Christian Dameff, encargados de brindar la conferencia. “La mayoría de los centros hospitalarios ni siquiera cuenta con los recursos tecnológicos y personal capacitado para detectar un incidente de ciberataque“, agregaron los expertos. Un ejemplo claro de estas debilidades de seguridad es el brote de ransomware WannaCry, surgido en 2017. En aquel entonces, este malware fue capaz de colapsar la infraestructura informática de 16 hospitales en Reino Unido; el gobierno de países como Estados Unidos señaló abiertamente a Corea del Norte como responsable de los ataques, alegando motivaciones políticas y financieras. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 123
Whatsapp podría permitir que los mensajes sean rastreables, los gobiernos podrían identificar el origen de un mensaje Acorde a especialistas en protección de datos personales, las autoridades de India han solicitado al popular servicio de mensajería WhatsApp que tome registros digitales de los mensajes enviados a través de la plataforma sin violar el cifrado, pues de esta manera los mensajes serían rastreables, lo que facilitaría algunas labores de inteligencia del gobierno. El gobierno de India considera que WhatsApp debe tener la capacidad de identificar el origen de un mensaje en específico, el número de personas que lo han recibido y el número de veces que ha sido reenviado, todo sin necesidad de acceder al contenido del mensaje. Para el gobierno de India el rastreo de un mensaje de esta plataforma se ha vuelto prioridad después de que una serie de noticias falsas sobre secuestros de niños provocara múltiples linchamientos en diferentes territorios. “Nuestra intención no es leer los mensajes de los usuarios, sólo pretendemos rastrear el origen de los mensajes reenviados a múltiples usuarios que generan esta clase de confusiones”, mencionó un funcionario del gobierno. India es uno de los mercados principales para WhatsApp, con más de 300 millones de usuarios activos registrados. Continúa navegando en https://noticiasseguridad.com/seguridad-informatica. 8.4TB en metadatos de correos electrónicos expuestos en brecha de seguridad Una base de datos perteneciente a la Shanghai Jiao Tong University ha sufrido una brecha de seguridad exponiendo 8.4TB en metadatos de correos electrónicos por no implementar las reglas básicas de autenticación. Publicado por el blog de ciberseguridad, Rainbowtabl.es el descubridor Justin Paine cuenta que tras una búsqueda con Shodan encontró esta base de datos ElasticSearch sin ningún tipo de autenticación. La base de datos contenía metadatos de una enorme cantidad de correos electrónicos, que eventualmente confirmó, tanto el servidor y los correos electrónicos pertenecían a una universidad ubicada en China. La base de datos contenía 9.5 mil millones de hileras de datos, y se encontraba activa en el momento del descubrimiento, ya que aumentó de 7TB del 23 de mayo a 8.4TB sólo un día después. «Basándome en los metadatos, pude localizar todos los correos electrónicos enviados o recibidos por una persona específica», dijo Paine» Estos datos también incluyen la dirección IP y el agente de usuario de la persona que revisa su correo electrónico. Como tal, podría localizar todas las direcciones IP utilizadas y el tipo de dispositivo de una persona específica».Continúa navegando en https://safeshadow.com/seguridad-informatica/. Chile: se filtró información de más de 40 mil tarjetas de crédito y débito La Comisión para el Mercado Financiero (CMF) emitió un comunicado informando que Redbanc reportó en la casilla de incidentes operacionales la filtración de 41.953 tarjetas de crédito y débito emitidas por un total de 13 instituciones (bancarias y no bancarias) de Chile y que las mismas bloquearon las tarjetas como mecanismo de prevención y se comunicaron con los clientes afectados por el incidente. Por su parte, la prestadora de servicios de procesamiento de transacciones Redbanc, publicó un comunicado en el que confirma el incidente y afirma también que a partir de la información robada y previo a la implementación de las medidas de contención, se identificaron 82 operaciones fraudulentas. La empresa resaltó en el comunicado que el hecho se trata de un delito que está en proceso de investigación por el OS9 de Carabineros de Chile. Según publicó Pulso, Redbanc investiga a uno de sus proveedores por el robo de la información. Asimismo, la Asociación de Bancos e Instituciones Financieras (ABIF) aseguró que luego de haber sido informados de la filtración, los bancos activaron sus protocolos de seguridad a tiempo, bloqueando las tarjetas afectadas y comenzando con el proceso de emisión de nuevas tarjetas para sus clientes, explicó el medio. Continúa navegando en https://www.welivesecurity.com. Sus dispositivos IoT, como cámaras, lavadoras, almacenamiento Nas, y demás, se verán afectados por este nuevo malware Hace un par de años la botnet Mirai puso en aprietos a miles de administradores de sistemas antes de ser desmantelada; no obstante, expertos en seguridad en páginas web afirman que los desarrolladores de malware siguen usando su código fuente como base para nuevas variantes de la botnet para explotar dispositivos de Internet de las Cosas (IoT). Nuevas versiones de la botnet aparecen con una frecuencia amenazadora, lanzando ataques masivos contra dispositivos inteligentes de todo el mundo, ya sea explotando vulnerabilidades conocidas o burlando las medidas básicas de seguridad de estos dispositivos. Una de las más recientes versiones de botnet Mirai ha sido identificada como Echobot. Especialistas en seguridad en páginas web de la firma de seguridad Palo Alto Networks reportaron por primera vez la actividad de esta botnet a principios del mes de junio; durante los últimos días, los reportes sobre la actividad de este malware se han multiplicado. Echobot no presenta cambios profundos en el código fuente original de Mirai, sino que sigue la tendencia de sólo agregar algunos módulos nuevos. Los expertos en seguridad en páginas web mencionaron que, al momento de su detección, Echobot contaba con exploits para 18 vulnerabilidades distintas; en el último reporte se detectaron 26 exploits diferentes.Continúa navegando en https://noticiasseguridad.com/ Un ataque de ransomware paraliza la producción de ASCO Industries ASCO Industries, compañía belga dedicada a la fabricación de componentes para aviones tanto civiles como militares, fue víctima de un ataque de ransomware el 7 de junio que le obligó a paralizar la producción en todo el mundo. Con todos los sistemas de TI incapacitados, entre 1.000 de 1.400 empleados fueron enviados a casa, según publica ZDNet. ASCO Industries fabrica partes de aviones para Airbus, Boeing, Bombardier Aerospace, Lockheed Martin y el nuevo avión de combate F-35. La compañía tiene plantas en Bélgica, Alemania, Canadá y Estados Unidos, además de oficinas en Brasil y Francia. Aunque la infección se produjo en la planta de producción de Bélgica, las plantas en el resto de ubicaciones se cerraron como precaución para evitar que el ransomware se propague por toda la red. Una semana después, todas las plantas continúan cerradas y se ha abierto una investigación por expertos externos para determinar el daño real causado. "Hemos informado de este ciberataque a todas las autoridades competentes en esta área y hemos traído expertos externos para resolver el problema", ha comentado la directora de recursos humanos, Vicky Welvaert, para VRT. Continúa navegando en https://www.itdigitalsecurity.es. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 134
Descubren cómo hacer hasta 153 veces más potentes los ataques DDoS Los ataques DDoS son cada vez más potentes. La culpa la encontramos en que cada vez hay más dispositivos conectados a Internet con credenciales de acceso inseguras, las cuales permiten a un atacante incluir ese dispositivo hackeado dentro de una botnet. Si a eso le sumas casi un millón de dispositivos, queda un ataque muy peligroso que puede tumbar casi cualquier web. WDS: el protocolo de descubrimiento inalámbrico que hará que los ataques DDoS sean más potentes. La clave del nuevo fallo que ha sido descubierto por investigadores se encuentra en una herramienta que está implementada incorrectamente en casi un millón de dispositivos conectados, tales como cámaras de seguridad u otros dispositivos del IoT. El protocolo afectado es WS-Discovery (WSD), utilizado por los dispositivos para conectarse entre sí. Esta función está incluida en Windows desde Windows Vista, y es uno de los métodos usados por el sistema operativo para encontrar automáticamente impresoras que estén conectadas en la misma red del ordenador. Continúa navegando en https://www.adslzone.net/ Liverpool FC pagará multa millonaria por hackeo y robo de datos de jugadores del Manchester City Según el periódico inglés The mirror, este fin de semana en la Premier League se acaba de revelar un secreto muy grande que tenía el Liverpool FC, los cuales habrían hackeado al Manchester City, para conocer los jugadores en los que estarían interesados. Los hechos tuvieron lugar en el año 2013 y Manchester se pudo percatar de este espionaje gracias a expertos en materia de ciberseguridad, los cuales pudieron rastrear que el Liverpool había consultado decenas de veces su base de datos en el Scout7 de OptaPro, este es un sistema de análisis y estadísticas de miles de jugadores alrededor del mundo. Al parecer todo se originó cuando el club del City se percató que Liverpool estaba tras los mismos jugadores que él. Ningún equipo se ha mencionado al respecto, ya que esto puede repercutir gravemente en la reputación del club. Aunque Pep Guardiola, actual DT del City habló sobre los secretos los cuales ya no existen en la actualidad y puso como ejemplo a los Gobiernos de Rusia y de Estados Unidos los cuales siempre se terminan enterando de todo.Continúa navegando en https://noticiasseguridad.com/. La policía de Londres sufre infección de ransomware. ¿Pagarán el rescate? Los incidentes de ciberseguridad siguen ocurriendo en organizaciones públicas. Especialistas en hacking ético reportan que David Creery, destacado funcionario de la ciudad de Woodstock, Reino Unido, ha confirmado que los sistemas públicos sufrieron una infección de una variante no identificada de malware que ha impedido el acceso a las redes de datos y servidor de correo electrónico. Las autoridades británicas ya se encuentran investigando las posibles causas del incidente. Sobre el malware, Creery declaró: “Este ataque parece ser un ransomware, no obstante, hasta el momento no hemos recibido una nota de rescate o algo similar”. Cabe recordar que el ransomware es una variante de malware que bloquea el acceso a los datos de la víctima hasta que los atacantes cobran un rescate. Para empeorar la situación, el Servicio de Policía de Woodstock detectó un ataque similar la madrugada del 24 de septiembre, aunque tampoco se ha confirmado que se trate de una infección de ransomware. El Servicio de Policía afirma que las operaciones no se han visto afectadas por este incidente. La ciudad también está trabajando con un grupo de especialistas en hacking ético, quienes han afirmado que hasta ahora no hay evidencia para demostrar que se haya extraído información confidencial ni de los sistemas públicos de Woodstock ni del cuerpo de policía local. Continúa navegando en https://noticiasseguridad.com/. Cambios en la política de privacidad de Google: Google Assistant y Home grabarán tus conversaciones y su equipo escuchará las grabaciones Google va a modificar las políticas respecto a las grabaciones de Google assistant, solo se van a poder escuchar audios si el usuario autoriza que así sea. En meses pasados gracias a expertos de ciberseguridad, sabemos que empresas como Google, Amazon y Facebook escuchaban y espiaban usuarios mediante bocinas y aplicaciones asistentes de voz. Dichas grabaciones supuestamente eran escuchadas por personas externas a las empresas, por lo que se suscitaron varios problemas al respecto. La primera declaración oficial de estas empresas como Facebook y Amazon fue que el análisis de las grabaciones se debía únicamente para la mejora de la tecnología de reconocimiento de voz y para mejorar el asistente, que se activaba en varias ocasiones por accidente. Gracias a declaraciones de un portavoz de Google, se sabe que la empresa quiere reafirmar sus prácticas de seguridad así como mejorar los protocolos de activación por parte del asistente de Google. Gracias a esto los usuarios estarán más involucrados en el proceso de confirmación sobre el uso de sus grabaciones. Estas prácticas se refieren a los permisos que los usuarios tendrán que aceptar para que sus grabaciones sean escuchadas, estando así más conscientes sobre su decisión en el proceso, ya que antes había muchos usuarios que desconocían totalmente si Google espiaba o utilizaba sus audios. El portavoz de Google también afirma que el porcentaje de grabaciones almacenadas se reducirá drásticamente, y que se eliminaran de sus bases de datos las grabaciones que ya tengan varios meses de antigüedad. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 126
Brecha de datos en Fieldwork expone información personal, números de tarjetas de pago y códigos de seguridad Los especialistas en servicios de ciberseguridad Noam Rotem y Ran Locar, de la firma de seguridad vpnMentor descubrieron recientemente una base de datos expuesta perteneciente a Fieldwork, una firma de software de gestión de operaciones para pequeñas y medianas empresas. Los expertos afirman que descubrieron una gran cantidad de datos expuestos almacenados en la base de datos. Entre la información comprometida se encontraban nombres completos, números de teléfono, dirección email, detalles de tarjetas de pago, entre otros datos de los clientes de Fieldwork. Lo más relevante del hallazgo es un enlace de inicio de sesión automático que permitía a cualquier usuario acceder al sistema backend de la compañía; los registros en el backend incluían detalles confidenciales de los clientes, así como múltiples datos sobre las actividades administrativas de la compañía. Continúa navegando en https://noticiasseguridad.com/. La UCO detiene al mayor ciber-estafador de España: ganaba 300.000 euros al mes La Unidad Central Operativa (UCO) de la Guardia Civil consigue otro éxito en su lucha contra la ciberdelincuencia al lograr la detención del mayor ciber-estafador en la historia de España, un joven español de 23 años -J.A.F- al que le constan más de 25 requisitorias judiciales de arresto. El investigado lograba ingresos de hasta 300.000 euros al mes con esta actividad delictiva, que podría venir desarrollando desde hace tres años. El Grupo de Delitos Telemáticos de la UCO ha arrestado a este hombre especializado en la creación de páginas falsas de internet en un céntrico hotel de Madrid en el curso de la bautizada como Operación Lupin, una de las más relevantes de las que ha llevado a cabo esta unidad desde su creación hace más de dos décadas. En el momento de la detención se le intervinieron medio centenar de teléfonos móviles y más de 100 tarjetas SIM prepago identificadas a nombre de terceros. Junto a J.A.F., los agentes han detenido a otros miembros de la organización: el informático que se encargaba de replicar las webs fraudulentas, la persona que se encargaba de captar a las mulas (los que abrían cuentas bancarias donde se hacían las transferencias de las estafas). El Juzgado de Primera Instancia e Instrucción 4 de Requena (Valencia), que instruye las diligencias, ha ordenado prisión provisional sin fianza para los tres. El líder de la organización, de 23 años, era uno de los delincuentes más buscados por la policía tras acumular 25 requisitorias judiciales. Continúa navegando en https://www.elindependiente.com/ Nuevo Ransomware infecta equipos Windows sin necesidad de interacción del usuario Especialistas en hacking ético de la firma de ciberseguridad Kaspersky reportan el hallazgo de una nueva variante de ransomware mucho más peligrosa que el malware de cifrado usado convencionalmente por los actores de amenazas. Este nuevo malware, conocido como Sodin, explota una falla día cero en el sistema operativo Windows identificada como CVE-2018-8453; en otras palabras, el usuario objetivo ni siquiera tiene que estar expuesto a una campaña de phishing para que los hackers obtengan acceso al sistema comprometido (el phishing es el principal vector de ataque para infectar un sistema con ransomware). Según reportan los especialistas en hacking ético, los actores de amenazas sólo deben encontrar un servidor vulnerable y ejecutar un comando que descarga el archivo malicioso llamado “radm.exe”. Este archivo almacena el ransomware de forma local y después lo ejecuta. Los investigadores de la firma de ciberseguridad añadieron que el ransomware Sodin también emplea una técnica conocida como “Heaven’s Gate”, que permite a los hackers ejecutar código de 64 bits desde un proceso de ejecución de 32 bits. “Esta es una conducta poco convencional en los ataques de ransomware, dificulta la detección y el análisis del software malicioso”, mencionaron los expertos. Continúa navegando en https://noticiasseguridad.com/. Los piratas informáticos están envenenando la red del servidor de claves PGP SKS Los contribuyentes al protocolo PGP GnuPG afirman que los actores de amenazas están "envenenando" sus certificados, lo que significa que los atacantes envían spam a su certificado con una gran cantidad de firmas. La intención es hacer que sea imposible para el software PGP verificar su autenticidad. Dos contribuyentes destacados a El proyecto PGP, los desarrolladores Robert ".rjh"Hansen y Daniel Kahn"dkg”Gillmor, confirmó que fueron atacados por piratas informáticos que enviaban correos electrónicos falsos a sus identidades criptográficas públicas. "En la última semana de junio de 2019, actores desconocidos desplegaron un certificado de spamming ataque contra dos contribuyentes de alto perfil en la comunidad OpenPGP (Robert J. Hansen y Daniel Kahn Gillmor, mejor conocido en la comunidad como" rjh "y" dkg "). ”Hansen escribió en un blog. "Este ataque explotó un defecto en el protocolo OpenPGP para" envenenar "rjh y dkg'sCertificados OpenPGP. Cualquier persona que intente importar un certificado envenenado en una instalación vulnerable de OpenPGP probablemente romperá su instalación en formas difíciles de depurar. Los certificados envenenados ya están en la red del servidor de claves SKS ". Continúa navegando en https://securityaffairs.co/. Ataques DDos contra compañías de videojuegos como Playstation Xbox... Esta semana, Austin Thompson, un joven de 23 años de edad originario de Utah, E.U., fue condenado a dos años y tres meses de prisión tras haber sido acusado de desplegar una serie de ataques de denegación de servicio (DDoS) contra los servidores de videojuegos en línea de Sony, Electronic Arts, Microsoft, Nintendo, entre otros, reportan expertos en forense digital. Thompson, también conocido con el alias de “DeepTrolling”, fue el primero de muchos hackers que lanzaron múltiples ciberataques contra las plataformas de videojuegos en el día de Navidad. Estos ataques no parecían tener un objetivo definido; “lo hicimos sólo por arruinarle el día a algunas personas”, mencionó Thompson en anteriores oportunidades. El primer ataque DDoS de DerpTrolling ocurrió en 2013 y fue realizado exitosamente debido a las pocas medidas de ciberseguridad con las que contaban en aquel entonces las compañías atacadas, mencionan los expertos en forense digital. Posteriormente, Thompson se adjudicó el ataque a través de Twitter, afirmando que más servicios en línea serían comprometidos en el futuro y que también recibiría solicitudes para atacar a otros usuarios y servicios. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
