Noticias de Seguridad a nivel mundial: boletín nº 134
Descubren cómo hacer hasta 153 veces más potentes los ataques DDoS Los ataques DDoS son cada vez más potentes. La culpa la encontramos en que cada vez hay más dispositivos conectados a Internet con credenciales de acceso inseguras, las cuales permiten a un atacante incluir ese dispositivo hackeado dentro de una botnet. Si a eso le sumas casi un millón de dispositivos, queda un ataque muy peligroso que puede tumbar casi cualquier web. WDS: el protocolo de descubrimiento inalámbrico que hará que los ataques DDoS sean más potentes. La clave del nuevo fallo que ha sido descubierto por investigadores se encuentra en una herramienta que está implementada incorrectamente en casi un millón de dispositivos conectados, tales como cámaras de seguridad u otros dispositivos del IoT. El protocolo afectado es WS-Discovery (WSD), utilizado por los dispositivos para conectarse entre sí. Esta función está incluida en Windows desde Windows Vista, y es uno de los métodos usados por el sistema operativo para encontrar automáticamente impresoras que estén conectadas en la misma red del ordenador. Continúa navegando en https://www.adslzone.net/ Liverpool FC pagará multa millonaria por hackeo y robo de datos de jugadores del Manchester City Según el periódico inglés The mirror, este fin de semana en la Premier League se acaba de revelar un secreto muy grande que tenía el Liverpool FC, los cuales habrían hackeado al Manchester City, para conocer los jugadores en los que estarían interesados. Los hechos tuvieron lugar en el año 2013 y Manchester se pudo percatar de este espionaje gracias a expertos en materia de ciberseguridad, los cuales pudieron rastrear que el Liverpool había consultado decenas de veces su base de datos en el Scout7 de OptaPro, este es un sistema de análisis y estadísticas de miles de jugadores alrededor del mundo. Al parecer todo se originó cuando el club del City se percató que Liverpool estaba tras los mismos jugadores que él. Ningún equipo se ha mencionado al respecto, ya que esto puede repercutir gravemente en la reputación del club. Aunque Pep Guardiola, actual DT del City habló sobre los secretos los cuales ya no existen en la actualidad y puso como ejemplo a los Gobiernos de Rusia y de Estados Unidos los cuales siempre se terminan enterando de todo.Continúa navegando en https://noticiasseguridad.com/. La policía de Londres sufre infección de ransomware. ¿Pagarán el rescate? Los incidentes de ciberseguridad siguen ocurriendo en organizaciones públicas. Especialistas en hacking ético reportan que David Creery, destacado funcionario de la ciudad de Woodstock, Reino Unido, ha confirmado que los sistemas públicos sufrieron una infección de una variante no identificada de malware que ha impedido el acceso a las redes de datos y servidor de correo electrónico. Las autoridades británicas ya se encuentran investigando las posibles causas del incidente. Sobre el malware, Creery declaró: “Este ataque parece ser un ransomware, no obstante, hasta el momento no hemos recibido una nota de rescate o algo similar”. Cabe recordar que el ransomware es una variante de malware que bloquea el acceso a los datos de la víctima hasta que los atacantes cobran un rescate. Para empeorar la situación, el Servicio de Policía de Woodstock detectó un ataque similar la madrugada del 24 de septiembre, aunque tampoco se ha confirmado que se trate de una infección de ransomware. El Servicio de Policía afirma que las operaciones no se han visto afectadas por este incidente. La ciudad también está trabajando con un grupo de especialistas en hacking ético, quienes han afirmado que hasta ahora no hay evidencia para demostrar que se haya extraído información confidencial ni de los sistemas públicos de Woodstock ni del cuerpo de policía local. Continúa navegando en https://noticiasseguridad.com/. Cambios en la política de privacidad de Google: Google Assistant y Home grabarán tus conversaciones y su equipo escuchará las grabaciones Google va a modificar las políticas respecto a las grabaciones de Google assistant, solo se van a poder escuchar audios si el usuario autoriza que así sea. En meses pasados gracias a expertos de ciberseguridad, sabemos que empresas como Google, Amazon y Facebook escuchaban y espiaban usuarios mediante bocinas y aplicaciones asistentes de voz. Dichas grabaciones supuestamente eran escuchadas por personas externas a las empresas, por lo que se suscitaron varios problemas al respecto. La primera declaración oficial de estas empresas como Facebook y Amazon fue que el análisis de las grabaciones se debía únicamente para la mejora de la tecnología de reconocimiento de voz y para mejorar el asistente, que se activaba en varias ocasiones por accidente. Gracias a declaraciones de un portavoz de Google, se sabe que la empresa quiere reafirmar sus prácticas de seguridad así como mejorar los protocolos de activación por parte del asistente de Google. Gracias a esto los usuarios estarán más involucrados en el proceso de confirmación sobre el uso de sus grabaciones. Estas prácticas se refieren a los permisos que los usuarios tendrán que aceptar para que sus grabaciones sean escuchadas, estando así más conscientes sobre su decisión en el proceso, ya que antes había muchos usuarios que desconocían totalmente si Google espiaba o utilizaba sus audios. El portavoz de Google también afirma que el porcentaje de grabaciones almacenadas se reducirá drásticamente, y que se eliminaran de sus bases de datos las grabaciones que ya tengan varios meses de antigüedad. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 126
Brecha de datos en Fieldwork expone información personal, números de tarjetas de pago y códigos de seguridad Los especialistas en servicios de ciberseguridad Noam Rotem y Ran Locar, de la firma de seguridad vpnMentor descubrieron recientemente una base de datos expuesta perteneciente a Fieldwork, una firma de software de gestión de operaciones para pequeñas y medianas empresas. Los expertos afirman que descubrieron una gran cantidad de datos expuestos almacenados en la base de datos. Entre la información comprometida se encontraban nombres completos, números de teléfono, dirección email, detalles de tarjetas de pago, entre otros datos de los clientes de Fieldwork. Lo más relevante del hallazgo es un enlace de inicio de sesión automático que permitía a cualquier usuario acceder al sistema backend de la compañía; los registros en el backend incluían detalles confidenciales de los clientes, así como múltiples datos sobre las actividades administrativas de la compañía. Continúa navegando en https://noticiasseguridad.com/. La UCO detiene al mayor ciber-estafador de España: ganaba 300.000 euros al mes La Unidad Central Operativa (UCO) de la Guardia Civil consigue otro éxito en su lucha contra la ciberdelincuencia al lograr la detención del mayor ciber-estafador en la historia de España, un joven español de 23 años -J.A.F- al que le constan más de 25 requisitorias judiciales de arresto. El investigado lograba ingresos de hasta 300.000 euros al mes con esta actividad delictiva, que podría venir desarrollando desde hace tres años. El Grupo de Delitos Telemáticos de la UCO ha arrestado a este hombre especializado en la creación de páginas falsas de internet en un céntrico hotel de Madrid en el curso de la bautizada como Operación Lupin, una de las más relevantes de las que ha llevado a cabo esta unidad desde su creación hace más de dos décadas. En el momento de la detención se le intervinieron medio centenar de teléfonos móviles y más de 100 tarjetas SIM prepago identificadas a nombre de terceros. Junto a J.A.F., los agentes han detenido a otros miembros de la organización: el informático que se encargaba de replicar las webs fraudulentas, la persona que se encargaba de captar a las mulas (los que abrían cuentas bancarias donde se hacían las transferencias de las estafas). El Juzgado de Primera Instancia e Instrucción 4 de Requena (Valencia), que instruye las diligencias, ha ordenado prisión provisional sin fianza para los tres. El líder de la organización, de 23 años, era uno de los delincuentes más buscados por la policía tras acumular 25 requisitorias judiciales. Continúa navegando en https://www.elindependiente.com/ Nuevo Ransomware infecta equipos Windows sin necesidad de interacción del usuario Especialistas en hacking ético de la firma de ciberseguridad Kaspersky reportan el hallazgo de una nueva variante de ransomware mucho más peligrosa que el malware de cifrado usado convencionalmente por los actores de amenazas. Este nuevo malware, conocido como Sodin, explota una falla día cero en el sistema operativo Windows identificada como CVE-2018-8453; en otras palabras, el usuario objetivo ni siquiera tiene que estar expuesto a una campaña de phishing para que los hackers obtengan acceso al sistema comprometido (el phishing es el principal vector de ataque para infectar un sistema con ransomware). Según reportan los especialistas en hacking ético, los actores de amenazas sólo deben encontrar un servidor vulnerable y ejecutar un comando que descarga el archivo malicioso llamado “radm.exe”. Este archivo almacena el ransomware de forma local y después lo ejecuta. Los investigadores de la firma de ciberseguridad añadieron que el ransomware Sodin también emplea una técnica conocida como “Heaven’s Gate”, que permite a los hackers ejecutar código de 64 bits desde un proceso de ejecución de 32 bits. “Esta es una conducta poco convencional en los ataques de ransomware, dificulta la detección y el análisis del software malicioso”, mencionaron los expertos. Continúa navegando en https://noticiasseguridad.com/. Los piratas informáticos están envenenando la red del servidor de claves PGP SKS Los contribuyentes al protocolo PGP GnuPG afirman que los actores de amenazas están "envenenando" sus certificados, lo que significa que los atacantes envían spam a su certificado con una gran cantidad de firmas. La intención es hacer que sea imposible para el software PGP verificar su autenticidad. Dos contribuyentes destacados a El proyecto PGP, los desarrolladores Robert ".rjh"Hansen y Daniel Kahn"dkg”Gillmor, confirmó que fueron atacados por piratas informáticos que enviaban correos electrónicos falsos a sus identidades criptográficas públicas. "En la última semana de junio de 2019, actores desconocidos desplegaron un certificado de spamming ataque contra dos contribuyentes de alto perfil en la comunidad OpenPGP (Robert J. Hansen y Daniel Kahn Gillmor, mejor conocido en la comunidad como" rjh "y" dkg "). ”Hansen escribió en un blog. "Este ataque explotó un defecto en el protocolo OpenPGP para" envenenar "rjh y dkg'sCertificados OpenPGP. Cualquier persona que intente importar un certificado envenenado en una instalación vulnerable de OpenPGP probablemente romperá su instalación en formas difíciles de depurar. Los certificados envenenados ya están en la red del servidor de claves SKS ". Continúa navegando en https://securityaffairs.co/. Ataques DDos contra compañías de videojuegos como Playstation Xbox... Esta semana, Austin Thompson, un joven de 23 años de edad originario de Utah, E.U., fue condenado a dos años y tres meses de prisión tras haber sido acusado de desplegar una serie de ataques de denegación de servicio (DDoS) contra los servidores de videojuegos en línea de Sony, Electronic Arts, Microsoft, Nintendo, entre otros, reportan expertos en forense digital. Thompson, también conocido con el alias de “DeepTrolling”, fue el primero de muchos hackers que lanzaron múltiples ciberataques contra las plataformas de videojuegos en el día de Navidad. Estos ataques no parecían tener un objetivo definido; “lo hicimos sólo por arruinarle el día a algunas personas”, mencionó Thompson en anteriores oportunidades. El primer ataque DDoS de DerpTrolling ocurrió en 2013 y fue realizado exitosamente debido a las pocas medidas de ciberseguridad con las que contaban en aquel entonces las compañías atacadas, mencionan los expertos en forense digital. Posteriormente, Thompson se adjudicó el ataque a través de Twitter, afirmando que más servicios en línea serían comprometidos en el futuro y que también recibiría solicitudes para atacar a otros usuarios y servicios. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 123
Whatsapp podría permitir que los mensajes sean rastreables, los gobiernos podrían identificar el origen de un mensaje Acorde a especialistas en protección de datos personales, las autoridades de India han solicitado al popular servicio de mensajería WhatsApp que tome registros digitales de los mensajes enviados a través de la plataforma sin violar el cifrado, pues de esta manera los mensajes serían rastreables, lo que facilitaría algunas labores de inteligencia del gobierno. El gobierno de India considera que WhatsApp debe tener la capacidad de identificar el origen de un mensaje en específico, el número de personas que lo han recibido y el número de veces que ha sido reenviado, todo sin necesidad de acceder al contenido del mensaje. Para el gobierno de India el rastreo de un mensaje de esta plataforma se ha vuelto prioridad después de que una serie de noticias falsas sobre secuestros de niños provocara múltiples linchamientos en diferentes territorios. “Nuestra intención no es leer los mensajes de los usuarios, sólo pretendemos rastrear el origen de los mensajes reenviados a múltiples usuarios que generan esta clase de confusiones”, mencionó un funcionario del gobierno. India es uno de los mercados principales para WhatsApp, con más de 300 millones de usuarios activos registrados. Continúa navegando en https://noticiasseguridad.com/seguridad-informatica. 8.4TB en metadatos de correos electrónicos expuestos en brecha de seguridad Una base de datos perteneciente a la Shanghai Jiao Tong University ha sufrido una brecha de seguridad exponiendo 8.4TB en metadatos de correos electrónicos por no implementar las reglas básicas de autenticación. Publicado por el blog de ciberseguridad, Rainbowtabl.es el descubridor Justin Paine cuenta que tras una búsqueda con Shodan encontró esta base de datos ElasticSearch sin ningún tipo de autenticación. La base de datos contenía metadatos de una enorme cantidad de correos electrónicos, que eventualmente confirmó, tanto el servidor y los correos electrónicos pertenecían a una universidad ubicada en China. La base de datos contenía 9.5 mil millones de hileras de datos, y se encontraba activa en el momento del descubrimiento, ya que aumentó de 7TB del 23 de mayo a 8.4TB sólo un día después. «Basándome en los metadatos, pude localizar todos los correos electrónicos enviados o recibidos por una persona específica», dijo Paine» Estos datos también incluyen la dirección IP y el agente de usuario de la persona que revisa su correo electrónico. Como tal, podría localizar todas las direcciones IP utilizadas y el tipo de dispositivo de una persona específica».Continúa navegando en https://safeshadow.com/seguridad-informatica/. Chile: se filtró información de más de 40 mil tarjetas de crédito y débito La Comisión para el Mercado Financiero (CMF) emitió un comunicado informando que Redbanc reportó en la casilla de incidentes operacionales la filtración de 41.953 tarjetas de crédito y débito emitidas por un total de 13 instituciones (bancarias y no bancarias) de Chile y que las mismas bloquearon las tarjetas como mecanismo de prevención y se comunicaron con los clientes afectados por el incidente. Por su parte, la prestadora de servicios de procesamiento de transacciones Redbanc, publicó un comunicado en el que confirma el incidente y afirma también que a partir de la información robada y previo a la implementación de las medidas de contención, se identificaron 82 operaciones fraudulentas. La empresa resaltó en el comunicado que el hecho se trata de un delito que está en proceso de investigación por el OS9 de Carabineros de Chile. Según publicó Pulso, Redbanc investiga a uno de sus proveedores por el robo de la información. Asimismo, la Asociación de Bancos e Instituciones Financieras (ABIF) aseguró que luego de haber sido informados de la filtración, los bancos activaron sus protocolos de seguridad a tiempo, bloqueando las tarjetas afectadas y comenzando con el proceso de emisión de nuevas tarjetas para sus clientes, explicó el medio. Continúa navegando en https://www.welivesecurity.com. Sus dispositivos IoT, como cámaras, lavadoras, almacenamiento Nas, y demás, se verán afectados por este nuevo malware Hace un par de años la botnet Mirai puso en aprietos a miles de administradores de sistemas antes de ser desmantelada; no obstante, expertos en seguridad en páginas web afirman que los desarrolladores de malware siguen usando su código fuente como base para nuevas variantes de la botnet para explotar dispositivos de Internet de las Cosas (IoT). Nuevas versiones de la botnet aparecen con una frecuencia amenazadora, lanzando ataques masivos contra dispositivos inteligentes de todo el mundo, ya sea explotando vulnerabilidades conocidas o burlando las medidas básicas de seguridad de estos dispositivos. Una de las más recientes versiones de botnet Mirai ha sido identificada como Echobot. Especialistas en seguridad en páginas web de la firma de seguridad Palo Alto Networks reportaron por primera vez la actividad de esta botnet a principios del mes de junio; durante los últimos días, los reportes sobre la actividad de este malware se han multiplicado. Echobot no presenta cambios profundos en el código fuente original de Mirai, sino que sigue la tendencia de sólo agregar algunos módulos nuevos. Los expertos en seguridad en páginas web mencionaron que, al momento de su detección, Echobot contaba con exploits para 18 vulnerabilidades distintas; en el último reporte se detectaron 26 exploits diferentes.Continúa navegando en https://noticiasseguridad.com/ Un ataque de ransomware paraliza la producción de ASCO Industries ASCO Industries, compañía belga dedicada a la fabricación de componentes para aviones tanto civiles como militares, fue víctima de un ataque de ransomware el 7 de junio que le obligó a paralizar la producción en todo el mundo. Con todos los sistemas de TI incapacitados, entre 1.000 de 1.400 empleados fueron enviados a casa, según publica ZDNet. ASCO Industries fabrica partes de aviones para Airbus, Boeing, Bombardier Aerospace, Lockheed Martin y el nuevo avión de combate F-35. La compañía tiene plantas en Bélgica, Alemania, Canadá y Estados Unidos, además de oficinas en Brasil y Francia. Aunque la infección se produjo en la planta de producción de Bélgica, las plantas en el resto de ubicaciones se cerraron como precaución para evitar que el ransomware se propague por toda la red. Una semana después, todas las plantas continúan cerradas y se ha abierto una investigación por expertos externos para determinar el daño real causado. "Hemos informado de este ciberataque a todas las autoridades competentes en esta área y hemos traído expertos externos para resolver el problema", ha comentado la directora de recursos humanos, Vicky Welvaert, para VRT. Continúa navegando en https://www.itdigitalsecurity.es. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 119
Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto Los datos personales y financieros de 4,5 millones de visitantes de la Alhambra y casi 1.000 agencias de viaje han quedado al descubierto por un fallo en la web oficial de reservas de entradas. Números de cuentas corrientes, contraseñas, nombres y apellidos, teléfono móvil, 'e-mail', dirección postal… Son los datos privados de visitantes y agencias de viaje que han estado totalmente desprotegidos durante dos años en la web oficial de compra de entradas de la Alhambra, gestionada por un organismo adscrito a la Consejería de Cultura de la Junta de Andalucía. En total, más de 4,5 millones de visitantes, muchos turistas, y casi un millar de agencias de viajes han tenido sus datos expuestos en la que ya es una de las mayores brechas de seguridad en España de los últimos años. Si usted ha usado recientemente la web tickets.alhambra-patronato.es del Patronato de la Alhambra y Generalife, la página oficial adscrita a la Junta de Andalucía que gestiona el 100% de la reserva y venta de entradas al monumento, todos los datos enviados han quedado expuestos. El fallo, detectado por el grupo de 'hackers' La9, vinculado a Anonymous, afectaba a la página desde mediados de 2017. Continúa navegando en https://www.elconfidencial.com/tecnologia. Datos pertenecientes a influencers y celebridades de Instagram expuestos en línea La noticia se informó por primera vez en el sitio web de TechCrunch, una base de datos se dejó desprotegida en un depósito de AWS, cualquiera pudo acceder a ella sin autenticación. Instagram. La base de datos no protegida fue descubierta por el investigador de seguridad Anurag Sen que informó de inmediato su descubrimiento a TechCrunch en un esfuerzo por encontrar al propietario. "Una base de datos masiva que contiene información de contacto de millones de personas influyentes en Instagram, celebridades y cuentas de marca se ha encontrado en línea". En el momento de escribir este artículo, la base de datos tenía más de 49 millones de registros, pero estaba creciendo por hora. La base de datos contenía datos públicos extraídos de las cuentas de Instagram de influencer, incluida su biografía, foto de perfil, número de seguidores, si están verificados, su ubicación por ciudad y país, información de contacto privado, dirección de correo electrónico y número de teléfono de la Propietario de la cuenta de Instagram. Cada registro en la base de datos también contenía un campo que calculaba el valor de cada cuenta. La lista de personas influyentes en el archivo incluye destacados blogueros de alimentos, celebridades y otras personas influyentes en las redes sociales. Continúa navegando en https://securityaffairs.co/. Examinando WhatsApp en sus investigaciones forenses WhatApp hoy en día es una aplicación de mensajería tan popular con hasta 1.500 millones de usuarios activos mensuales en más de 180 países que la usan diariamente. En el top de los 5 principales países, Brasil y México se ubicaron en el 4º y 5º lugar representando en conjunto el 38% del total de usuarios activos. En América Latina, el uso de WhatsApp facilita la comunicación diaria y ha llegado a ser incluso más común que los mensajes de texto. Como resultado, WhatsApp ha creado un gran desafío para las investigaciones forenses debido a la creciente cantidad de datos producidos y la creación de nuevos modus operandi por parte de los delincuentes que utilizan la plataforma para: Fuga de datos sensibles. Compartir contenidos de abuso infantil. Apoyar las extorsiones. Realizar otros delitos cibernéticos que aún no son conocidos o tipificados por los tribunales de la región. Continúa navegando en https://www.magnetforensics.com/resources/. El ransomware «RobbinHood» tumba las redes gubernamentales de Baltimore Un ataque de ransomware mediante el conocido "RobbinHood" ha tumbado las redes gubernamentales de la ciudad de Baltimore. Es un nuevo recordatorio de la peligrosidad de este tipo de malware, especialmente en redes empresariales. RobbinHood es un ransomware que se dirige específicamente a las empresas, no se distribuye a través de spam, sino a través de otros métodos, que podrían incluir servicios de escritorio remoto previamente hackeados u otros troyanos que brindan acceso a los atacantes. Desde que apareció, no ha sido fácil encontrar muestras del ransomware RobbinHood. MalwareHunterTeam fue capaz de encontrar muestras para hacer ingeniería reversa y aprender sobre él. El malware detiene 181 servicios de Windows asociados con antivirus, bases de datos, servidores de correo y otros programas que podrían mantener los archivos abiertos y evitar su cifrado. Lo hace emitiendo el comando "sc.exe stop". Continúa navegando en https://www.muycomputerpro.com/. Comprometen más de 29 botnets de IoT con credenciales débiles Un hacker con nick 'Subby' se hizo con más de 29 botnets de IoT en las últimas semanas haciendo fuerza bruta sobre los paneles de backend de sus servidores C2, debido a que éstos usaban credenciales débiles. "Ahora, esta teoría ha sido llevada a la práctica por un threat actor llamado Subby, que ha hecho fuerza bruta al menos contra 29 IoT C2s y los ha comprometido utilizando credenciales extremadamente triviales", escribió Ankit Anubhav, investigador de seguridad de NewSky Security. "Según lo compartido por el threat actor, se puede ver que las credenciales utilizadas son bastante débiles". Subby le dijo a Anubhav que algunos de los C2 asociados con las redes de bots de IoT estaban usando credenciales muy comunes, incluyendo "root: root", "admin: admin" y "oof: oof". Continúa navegando en https://www.hackplayers.com/. Ciberataques contra hospitales aumentan 1000% Durante un reciente evento de ciberseguridad en California, E.U., especialistas ofrecieron una conferencia en la que hablaron de las consecuencias que puede generar un ataque cibernético contra los sistemas de un hospital o dispositivos médicos conectados a una red; durante la conferencia, los expertos afirmaron que los ciberataques contra centros hospitalarios incrementaron alrededor de 1200% el último año. Una de las principales interrogantes al pensar en una situación de esta clase es: ¿pueden los doctores salvar a un paciente si el equipo médico ha sido hackeado? “Tratamos de generar conciencia sobre estos riesgos”, mencionan los especialistas en temas de hacking y ciberseguridad Jeff Tully y Christian Dameff, encargados de brindar la conferencia. “La mayoría de los centros hospitalarios ni siquiera cuenta con los recursos tecnológicos y personal capacitado para detectar un incidente de ciberataque“, agregaron los expertos. Un ejemplo claro de estas debilidades de seguridad es el brote de ransomware WannaCry, surgido en 2017. En aquel entonces, este malware fue capaz de colapsar la infraestructura informática de 16 hospitales en Reino Unido; el gobierno de países como Estados Unidos señaló abiertamente a Corea del Norte como responsable de los ataques, alegando motivaciones políticas y financieras. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 114
Google revela que hay 200 millones de móviles Android con malware instalado Google ha publicado el informe de seguridad de Android de 2018, el cual nos muestra una imagen de la seguridad en el sistema operativo durante el pasado año y cuáles han sido los principales vectores de infección. Además, nos muestra que se detectó que casi 200 millones de dispositivos con su sistema operativo fueron infectados con malware. Google ha cumplido recientemente 10 años, en los cuales ha tenido bastantes fallos y problemas de seguridad que Google ha ido subsanando con el paso de los años. Cada año publica un informe para ver cómo ha avanzado la seguridad en el sistema operativo, y este año, a pesar de haber mejorado, sigue arrojando cifras que asustan. Así, un 0,04% de las descargas totales de la Google Play fueron clasificadas como Potentially Harmful Apps, o PHA, frente a la cifra del 0,02% en 2017. Esto supone al menos duplicar la cifra de apps peligrosas, ya que se realizaron más descargas en 2018 que en 2017. Este cambio tiene “truco”, ya que Google ha aumentado el tipo de apps y las categorías que considera como peligrosas. Sin embargo, gracias a Google Play Protect, su propio escáner antimalware, la instalación de aplicaciones peligrosas a través de fuentes ajenas a la Play Store ha caído significativamente. Sobre las apps bloqueadas de la Play Store no han desvelado cifras, pero en 2017 fueron de 700.000. Este año han preferido destacar que han prevenido la instalación de 1.600 millones de aplicaciones peligrosas que provenían de fuentes externas. Continúa navegando en https://www.adslzone.net/. Facebook expone más de 540 millones de usuarios Facebook ha eliminado 540 millones de datos de sus usuarios, almacenados en servidores públicos de Amazon por la plataforma digital mexicana Cultura Colectiva, que contenían 146 gigabytes de información. Recientemente se ha publicado por la empresa de ciberseguridad UpGuard un estudio que denunciaba la publicación de dos colecciones de datos de usuarios de Facebook obtenidas a través de aplicaciones de terceros. En la mayor de las colecciones, Cultura Colectiva había utilizado los servidores de Amazon en la nube para almacenar públicamente 540 millones de datos que detallaban comentarios, gustos, reacciones, nombres de cuentas e ID de Facebook. El medio mexicano ha declarado en un comunicado oficial que los datos que usan «incluyen 540 millones de interacciones como likes, comentarios y reacciones», aunque afirma que «entre ellos no se incluía información privada o confidencial, como correos electrónicos y contraseñas». Continúa navegando en https://www.abc.es/. Rusia falsifica su GPS regional para ocultar bases militares Acorde a los autores de ‘Cómo ser un hacker profesional‘, un análisis masivo de datos de posicionamiento global descubrió una conducta sospechosa en territorio ruso. Los expertos señalan el descubrimiento de una falsificación generalizada del sistema de navegación global por satélite durante los más recientes tres años. La investigación, realizada por una organización sin fines de lucro, descubrió que al menos 9800 casos de falsificación ocurrieron en las zonas sensibles para Rusia y Crimea; los especialistas también demostraron que la falsificación ocurría regularmente cerca de una base militar rusa en Siria. Acorde a los autores de ‘Cómo ser un hacker profesional’, estos hallazgos señalan lo arriesgado que puede ser confiar en los datos de posicionamiento global, pues en ocasiones dependemos demasiado de ellos y, como ya se ha visto, esta tecnología puede ser comprometida, interrumpida o secuestrada con diversos fines. Esta investigación hace notar lo vulnerables que son los sistemas de navegación por satélite. Durante al menos diez años, diversos medios especializados y los autores de ‘Cómo ser un hacker profesional’ han dado seguimiento a los problemas de seguridad presentes en los sistemas de navegación. Continúa navegando en https://noticiasseguridad.com/. Segundo robo de datos en Toyota en un mes Acorde a especialistas del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS), la empresa automotriz japonesa Toyota ha sufrido su segundo robo de datos de las últimas cuatro semanas. Aunque, tal como reportaron los expertos del curso de ethical hacking, el primer incidente sucedió en las instalaciones de Toyota Australia, el más reciente robo de datos ha sido informado directamente desde las oficinas principales de Toyota en Japón. La compañía publicó un comunicado mencionando que los hackers consiguieron comprometer sus sistemas informáticos y posteriormente accedieron a las bases de datos de distintas subsidiarias. Entre las subsidiarias comprometidas se encuentran: Toyota Tokyo Sales Holdings, Tokyo Motor, Tokyo Toyopet, Toyota Tokyo Corolla, entre otras. Según el comunicado, los hackers accedieron a información relacionada con las ventas de hasta 3 millones de clientes de la compañía. Toyota afirma que ya se ha emprendido una investigación para determinar si los actores de amenazas filtraron algo de la información comprometida. Según reportan los expertos del curso de ethical hacking, la información financiera de los clientes de Toyota no se almacena en los servidores comprometidos, esto había sido informado por la compañía desde el último incidente de seguridad. Continúa navegando en https://noticiasseguridad.com. Departamento de policía sufre infección de Ransomware Acorde a especialistas de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética, la Federación de Policía de Inglaterra y Gales (PFEW) ha puesto todos sus esfuerzos en contener un ataque de ransomware que infectó los sistemas de esta organización (es una especie de sindicato de empleados de la policía). La Federación de Policía de Inglaterra y Gales (PFEW) ha puesto todos sus esfuerzos en contener un ataque de ransomware que infectó los sistemas de esta organización. A través de su cuenta de Twitter, PFEW declaró que detectó la infección en sus sistemas el pasado 9 de marzo. “Colaboramos en conjunto con una escuela de hackers éticos para contener el brote y evitar su propagación”. PFEW informó a la Oficina del Comisionado de Información en Reino Unido después de descubrir la infección. Después de las primeras investigaciones, la PFEW declaró que este incidente no se trata de un ataque especialmente dirigido contra la organización. Además, agregan que no hay evidencia de robo de datos, por lo que creen que lo más probable es que se trate de un ataque de ransomware convencional. “Aunque aún no podemos descartar la posibilidad, no hay indicios de robo de datos. Continuaremos implementando medidas de seguridad adicionales y notificando a cualquier persona potencialmente afectada por este incidente”. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 112
Simbad: el phishing se cuela en los simuladores de Google Play Gmail, de Google, es uno de los principales servicios que usan este método de inicio de sesión, 206 aplicaciones y más de 150 millones de descargas. Este es el alcance de SimBad, una nueva campaña de adware que según investigadores de Mobile Threat de CheckPoint está haciendo estragos en la Google Play Store. Como ha explicado la compañía de seguridad, la mayoría de las aplicaciones afectadas son simuladores de juego (de ahí SimBad) y en su configuración más "sencilla" muestra en el terminal del usuario infectado innumerables anuncios (adware) fuera de la aplicación, que ralentizan y llegan a volver inutilizable cualquier teléfono móvil. No es este el único problema. Una vez instaladas, puede resultar complicado eliminar las aplicaciones afectadas del terminal. Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicaciones. Más información en https://www.muyseguridad.net/. Hackers están comprometiendo cuentas de Office 365 y G Suite usando protocolo Imap Acorde a especialistas en ciberseguridad, en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética, los hackers maliciosos están mostrando especial interés en el abuso de protocolos legítimos para incrementar la frecuencia y efectividad de los ataques de fuerza bruta. La conducta abusiva se ha enfocado principalmente en el protocolo IMAP (Protocolo de Acceso a Mensajes de Internet), que se encarga de pasar por alto la autenticación multi factor y las opciones de bloqueo para inicios de sesión sin éxito. Según el hacker ético, esta nueva campaña de ataques de fuerza bruta plantea un enfoque diferente para desplegar el ataque que utiliza la combinación de los nombres de usuario y contraseña. Gracias a un análisis realizado a una muestra de más de 100 mil inicios de sesión no autorizados en distintas plataformas, los investigadores llegaron a conclusiones como: El 70% de los usuarios han sido atacados por hackers maliciosos al menos una vez. Al menos el 40% de los usuarios tienen una de sus cuentas en línea comprometida. 15 de cada 10 mil cuentas de usuario activas han sido comprometidas con éxito. El principal objetivo de los hackers es desplegar campañas de phishing interno para generar persistencia en los sistemas de la organización atacada. El phishing interno es mucho más difícil de detectar que el externo, mencionó el experto en hacking ético. Los hackers tratarán de conseguir acceso de inicio de sesión a las cuentas en la nube de las víctimas, además dependerán de la campaña de phishing interno para propagar la infección de los sistemas. Más información en https://noticiasseguridad.com/seguridad-informatica/. Descubierta una vulnerabilidad en LTE que permite espiar llamadas Malas noticias para los usuarios de redes LTE. Tal y como publican varios medios, un grupo de investigadores de Corea del Sur, acaba de hacer público un informe en el que se identifican nada menos que 36 nuevas vulnerabilidades, en uno de los protocolos de comunicaciones inalámbricas más utilizados del mundo. Entre las reportadas, destacan algunas que permiten “manipular” antenas móviles, traduciéndose en la posibilidad de bloquear llamadas entrantes en un dispositivo, desconectar a usuarios de una red determinada, mandar SMS con malware a los usuarios que se conecten a la antena, e incluso, escuchar conversaciones privadas. No es esta la primera vez sin embargo, que un grupo de investigadores descubre vulnerabilidades de este calado en el protocolo de comunicaciones LTE. Como indican en ZDNET, se han reportado problemas similares en 2015, 2016, 2017 y 2018. ¿Por qué no se han subsanado? Básicamente por que aunque es cierto que algunas se han parcheado, la mayor parte de los esfuerzos se han centrado en el desarrollo y puesta en marcha del nuevo protocolo 5G, que nace de cero para entre otras muchas cosas, acabar con los problemas de seguridad (sin mucho éxito de momento). Para descubrir los problemas de lo que ya parece ser un protocolo más que vulnerable, los investigadores utilizaron el “fuzzing“, una técnica que consiste en inyectar una gran cantidad de datos aleatorios en una aplicación y analizar el output que produce para tratar de identificar anomalías que, en realidad, podrían ser bugs. Más información en https://www.muyseguridad.net/. Glitchpos, el malware que roba números de tarjetas de crédito de puntos de venta Especialistas en ciberseguridad en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva variante de malware diseñada para interceptar números de tarjetas de pago; el malware ha estado circulando por algunos foros de hackers maliciosos. El malware, conocido como GlitchPOS, está disponible para su compra en algunos foros de hacking alojados en dark web. Este software malicioso fue detectado por primera vez en febrero y el número de hackers que lo han comprado o usado aún es desconocido. Acorde a los investigadores, este malware cuenta con un diseño funcional y es muy fácil de utilizar; “no se requieren conocimientos avanzados de hacking para ejecutar GlitchPOS”. Los atacantes han estado desplegando el malware a través de un email malicioso, disfrazándolo como un videojuego muy simple. El malware está protegido por un packer desarrollado en VisualBasic, mismo que descifra una biblioteca (la carga útil del malware) cifrada con el packer UPX. “Cuando se descifra la carga útil, se ejecuta GlitchPOS, que captura la memoria del sistema de punto de venta”. Más información en https://noticiasseguridad.com/ Ransomware piewdiepie: archivos encriptados hasta que el youtuber alcance los 100 millones de suscriptores Los suscriptores al canal de YouTube de PewDiePie han decidido tomar medidas drásticas para que el famoso creador de contenido se consolide como el usuario con más suscriptores de la plataforma de vídeos, mencionan expertos de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética. Según se ha reportado, algún usuario desconocido desarrolló una variante de ransomware que cifra los archivos de las víctimas y sólo serán descifrados cuando el creador de contenido alcance los 100 millones de suscriptores. Acorde a los instructores de la escuela de hackers éticos la herramienta en cuestión, conocida como PewCrypt, es un ransomware basado en Java que ha cifrado miles de archivos. Aunque esta no es la peor parte; en diciembre pasado fue descubierta una nueva variante de ransomware relacionado con esta campaña, sólo que en esta ocasión el software maligno bloquea los archivos y no cuenta con un modo de recuperación, por lo que las víctimas pierden su información para siempre. Conocido como el ransomware PewDiePie, esta es una versión modificada y mal escrita del popular ransomware ShellLocker, reportan los expertos de la escuela de hackers éticos. El ransomware PewDiePie nunca almacena las claves de cifrado de las víctimas, por lo que los archivos comprometidos permanecerán bloqueados para siempre. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 104
Un fallo de WhatsApp permite ver los mensajes borrados WhatsApp incorporó, meses atrás, la posibilidad de eliminar mensajes enviados. Sin embargo, es posible que un error en la aplicación pueda resucitar estos mensajes no deseados y cause estragos a algunos de los usuarios. Se trata, según Metro, de la copia de seguridad que realiza WhatsApp, todas las noches, a las dos de la madrugada, para mantener un registro de los chats. Un error en el sistema de la copia de seguridad podría hacer ‘resucitar’ los mensajes eliminados. Por lo que si recibes un aviso de WhatsApp que te dice que el mensaje que te acaban de enviar ha sido eliminado y te pica la curiosidad, solo debes restaurar la copia de seguridad. Los mensajes perdidos volverán a la vida. Para realizar este truco, solo deberás desinstalar la ‘app’ y volverla a instalar, y se restaurarán los chats desde la copia de seguridad. Más información en https://www.lavanguardia.com/tecnologia. ¿Cuánto les cuesta el cibercrimen a las empresas? El cibercrimen podría costarles 5,2 billones de dólares a las compañías en los próximos cinco años según un informe de Accenture. Las compañías podrían incurrir en 5,2 billones de dólares de costes adicionales y pérdidas de ingresos, a nivel global y en los próximos cinco años, como consecuencia de ciberataques, según un nuevo estudio de Accenture. Esto se debe a que la dependencia de modelos de negocio complejos, basados en Internet, sobrepasa la capacidad de las compañías de introducir medidas de protección adecuadas para resguardar sus principales activos. El informe, Securing the Digital Economy: Reinventig the Internet for Trust, se ha realizado a través de una encuesta a más de 1.700 CEO y altos ejecutivos de todo el mundo, en la que se exploran las complejidades de los desafíos de Internet a los que se enfrentan las empresas y se esbozan los pasos que los directivos deben dar para evolucionar su rol en cuestiones de tecnología, arquitectura de negocio y gobierno. El estudio resalta que el cibercrimen plantea una serie de retos que pueden amenazar las operaciones, la innovación y el crecimiento de las compañías, así como la expansión de nuevos productos y servicios.Más información en http://www.computing.es/seguridad/ Se detecta una familia de Ransomware, Anatova McAfee ha publicado una noticia en la que anuncia una nueva familia de Ransomware detectada, la cual han bautizado con el nombre de Anatova. La detección de esta familia se realizó a través de redes P2P privadas, y se cree que Anatova puede ser un peligro serio para la red en general debido a la extensión modular con la que se ha creado el malware y al auto cifrado del que dispone sus recursos a través de estas redes. El método de entrada que utiliza Anatova normalmente es el engaño de la víctima a través de un camuflado de su icono con uno de juegos o aplicaciones conocidas en estas redes P2P, lo que lo hace más amigable para las víctimas.El objetivo es el cifrado de todos los documentos de la máquina infectada para después pedir un rescate en criptomonedas, que asciende a 700$. Más información en https://unaaldia.hispasec.com. Vulnerabilidad en FaceTime permite espiar a usuarios de Apple Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de una vulnerabilidad sin parchear en FaceTime, la aplicación de Apple para realizar llamadas de audio y vídeo. Según los reportes, este error permitiría que el receptor de una llamada sea visto o escuchado desde antes de contestar la llamada. Este incidente se ha vuelto viral en Twitter y otras redes sociales, donde los usuarios han mostrado su malestar con esta falla de seguridad, pues cualquier dispositivo Apple podría convertirse en una máquina de espionaje sin que la víctima pueda darse cuenta. Esta falla, que algunos consideran más una falla de diseño que una vulnerabilidad, reside en la función Group FaceTime, lanzada recientemente por Apple. El proceso para reproducir el error es el siguiente: Inicie una videollamada de FaceTime con cualquier contacto Mientras se marca al contacto, deslice hacia arriba desde la parte inferior de la pantalla de su iPhone y seleccione “Agregar persona” En “Agregar persona”, agregue su propio número Esto iniciará una llamada grupal de FaceTime entre usted y la persona a la que llamó, con lo que podrá escuchar al receptor de la llamada, incluso si la persona aún no acepta la llamada Los especialistas en seguridad en redes también mencionaron que si la persona que recibe la llamada presiona el botón de volumen o encendido (para silenciar o rechazar la llamada) la cámara del iPhone podría encenderse. Más información en https://noticiasseguridad.com/. Robo de datos afecta a usuarios de tarjetas Discover Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan un incidente de seguridad en los sistemas de las tarjetas Discover, gracias al que usuarios maliciosos habrían accedido a una cantidad indefinida de detalles de identificación de los clientes, como números de cuenta, fechas de vencimiento, e incluso códigos de seguridad de las tarjetas. Incluso cuando esta clase de incidentes de seguridad son comunes entre las instituciones financieras, esta es la segunda ocasión en menos de un año en que Discover Financial Services notifica un robo de datos relacionado con las tarjetas de sus clientes a las autoridades de California. Con base en los comentarios de Discover, especialistas en seguridad en redes creen que los atacantes habrían obtenido la información comprometiendo los servicios de terceros con acceso a los datos de pago de los clientes de Discover, o bien los datos podrían haber estado a la venta en algún foro de dark web gracias al uso de malware de robo de datos o a skimmers de tarjetas instalados en puntos de venta o cajeros automáticos. Más información en https://noticiasseguridad.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 98
Día Internacional de la Seguridad de la Información Hoy 30 de noviembre, es el día Internacional de la Seguridad de la Información, conocido también como Computer Security Day. El objetivo de esta iniciativa es concienciar de la importancia de proteger la información a través de una serie de medidas de seguridad en los sistemas y entornos en los que se opera. Desde incibe, nos animan a tener la máxima precaución con la información que se maneja diariamente en todos los entornos que nos rodean. Más información en https://www.incibe.es/protege-tu-empresa. Error de seguridad en Instagram expone contraseñas de los usuarios Una falla de seguridad en “Download Your Data”, la herramienta de Instagram recientemente lanzada, podría haber expuesto las contraseñas de algunos usuarios, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. La herramienta, lanzada por Instagram justo antes de que entrara en vigencia la GDPR, regulación de protección de datos de la Unión Europea, está diseñada para permitir a los usuarios ver y descargar los datos personales que la plataforma de redes sociales ha recopilado sobre ellos. Un portavoz de la compañía declaró para medios especializados en ciberseguridad y forense digital que el incidente solamente afectó a ‘un pequeño número’ de usuarios de Instagram. “El número de personas afectadas no es lo más relevante, este incidente genera serias dudas sobre la forma en que Instagram administra la información de sus usuarios”. Más información en http://noticiasseguridad.com/ Una muy simple campaña de Phishing en Spotify Los atacantes configuraron una página idéntica a la de inicio de sesión de Spotify legítima, que sólo es diferente en la URL, algo que casi ningún usuario verifica. Los atacantes engañaron a las víctimas para hacer clic en un botón verde con las palabras “CONFIRMAR CUENTA”. Los mensajes se presentan informando sobre una supuesta restricción en las cuentas de los usuarios, solicitando que hagan clic en el botón para reactivar su cuenta. Después de hacer clic en este botón, el usuario era redirigido al sitio web engañoso antes mencionado. Acorde a los especialistas en forense digital, esta campaña está elaborada de manera muy poco compleja, y un usuario lo suficientemente atento a los detalles podría detectarla sin mayor inconveniente. Más información en http://noticiasseguridad.com Siemens advierte sobre Linux, fallas de GNU en la plataforma del controlador Hace un año, Siemens anunció la expansión de su cartera de controladores SIMATIC S7-1500 con una nueva plataforma multifuncional que permite a las plantas ejecutar múltiples aplicaciones en un controlador mediante la combinación de control y capacidades de PC en un solo dispositivo. Los usuarios pueden ejecutar aplicaciones de C ++ en tiempo real, pero la plataforma también permite que las aplicaciones de lenguaje de alto nivel específicas del cliente se puedan utilizar fácilmente. Siemens dice que publica actualizaciones regularmente para garantizar que los dispositivos estén seguros. Según Siemens , algunos de los componentes de Linux y GNU utilizados por su plataforma multifuncional CPU 1518 (F) -4 PN / DP contienen 21 agujeros de seguridad que fueron parcheados en los últimos meses. Específicamente, las vulnerabilidades afectan el kernel de Linux, la biblioteca de análisis XML libxml2, OpenSSH y las herramientas de GNU Binutils para crear, modificar y analizar archivos binarios. Obtenga más información sobre las vulnerabilidades de ICS en la Conferencia sobre seguridad cibernética de ICS de SecurityWeek. Las 17 vulnerabilidades de GNU Binutils mencionadas en el aviso de Siemens son, según la compañía, relevantes durante el tiempo de construcción. Estas son algunas de las más de dos docenas de vulnerabilidades de Binutils reveladas recientemente. Más información en https://www.securityweek.com/ Estados Unidos acusa a dos hackers iraníes por ataques de SamSam Ransomware El Departamento de Justicia anunció los cargos del miércoles contra dos ciudadanos iraníes por su participación en la creación y el despliegue del notorio ransomware SamSam. Los presuntos piratas informáticos, Faramarz Shahi Savandi, de 34 años, y Mohammad Mehdi Shah, de 27, han sido acusados de varios cargos de piratería informática y cargos de fraude, reveló la acusación hoy en la corte de Nueva Jersey. El dúo usó SamSam ransomware para extorsionar más de $ 6 millones en pagos de rescate desde 2015, y también causó más de $ 30 millones en daños a más de 200 víctimas, incluidos hospitales, municipios e instituciones públicas. Según la acusación, Savandi y Mansouri han sido acusados de un total de seis cargos, incluido un cargo de conspiración para cometer fraude electrónico, un cargo de conspiración para cometer fraude y actividades relacionadas con computadoras, dos cargos de daño intencional a un computadora protegida, y dos cargos de transmitir una demanda en relación con dañar una computadora protegida. Más información en https://thehackernews.com/ FlawedAmmyy, el malware más peligroso del momento FlawedAmmy, es el troyano que acaba de entrar en la lista del malware más importante. Los investigadores de seguridad de Check Point han mostrado las 10 amenazas de malware más importantes que han detectado. Aquí han recopilado informes sobre ransomware, mineros ocultos, troyanos y malware muy diverso. Entre todos ellos, en esa lista top 10, se encuentra FlawedAmmyy. Lo más destacado del asunto es que por primera vez en la historia, un troyano de acceso remoto se ha colado en la lista de las 10 amenazas de seguridad más importantes. No se trata de una amenaza reciente, ya que lleva existiendo desde principios de este año. Ofrece al ciberdelincuente un acceso completo al equipo de la víctima. Está basado en un software de acceso remoto legítimo, por lo que permite al atacante obtener una puerta trasera en el sistema y poder robar archivos, credenciales, etc. Incluso podría realizar capturas de pantalla o grabar vídeos. Más información en https://regeneracion.mx/ Los ciberataques más famosos de la historia Los ciberataques no dejan de crecer en los últimos años. La seguridad del mundo digital necesita nuevos dispositivos, servicios e innovación. Aprovechando el Día Internacional de la Seguridad de la Información, te traemos los ataques más sonados de la historia. Estos son algunos de ellos: PlayStation Network (2011), Sony Pictures Entertainment (2014), Epsilon (2011), Heartbleed (2012-2014). Más información en https://blogthinkbig.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 97
Hackeo en Amazon días antes del Black Friday La millonaria empresa desconoce las causas de la situación. Amazon ha sufrido un incidente de seguridad en sus sistemas de administración de datos, acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, se desconoce si la compañía ya ha notificado a las autoridades la situación, además se desconocen las causas del incidente o cualquier detalle técnico relacionado. Múltiples usuarios del sitio de ventas por Internet han reportado que el sitio ha divulgado inadvertidamente sus nombres y dirección de correo electrónico debido a un error técnico. El aviso de seguridad de Amazon, que al final incluía un enlace HTTP a su sitio web, menciona: “Hola: Nos comunicamos con usted para informarle que nuestro sitio web reveló inadvertidamente su nombre y dirección email debido a un error técnico. El problema ha sido solucionado. Esto no es el resultado de ninguna acción del usuario, y no es necesario que cambie su contraseña ni realice ninguna otra acción. Atentamente: Servicio al Cliente de Amazon.” Más información en http://noticiasseguridad.com/ Importante empresa en malasia es víctima de ataque de Ransomware Han demandado un rescate de 6.45 millones de dólares. Media Prima Berhad, la compañía de medios más importante de Malasia, ha sido atacada por una campaña de ransomware en la que los atacantes exigen a la empresa realizar un pago de 6.45 millones de dólares a cambio de las claves de encriptación, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. Fuentes anónimas de la empresa informaron a diversas plataformas de medios que el ataque se desarrolló durante cuatro días y que los operadores del ransomware exigieron que la compañía pagara mil Bitcoin en rescate, el equivalente 6.45 millones de dólares. “Los sistemas informáticos de Media Prima han sido completamente comprometidos e infectados con ransomware en los últimos cuatro días”, dijo la fuente. “Los atacantes exigieron un pago en Bitcoin a cambio de las claves para recuperar la información de la empresa”. Más información en http://noticiasseguridad.com/ iPhone X, S9 y Mi6 hackeados en Pwn2Own 2018 En la competencia de hacking móvil Pwn2Own 2018 celebrada en Tokio del 13 al 14 de noviembre, los hackers demostraron una vez más que incluso los teléfonos inteligentes totalmente parcheados, que ejecutan la última versión del software de los fabricantes, pueden ser hackeados. Tres de los principales teléfonos inteligentes emblemáticos, iPhone X, Samsung Galaxy S9 y Xiaomi Mi6, se encontraban entre los dispositivos que fueron hackeados con éxito en el concurso anual hacking móvil organizado por Zero Day Initiative (ZDI) de Trend Micro, lo que le dio a los hackers un total de U$S325.000. recompensa. Equipos de piratas informáticos participaron de diferentes países o representaron a diferentes compañías de seguridad cibernética que revelaron un total de 18 vulnerabilidades de día cero en dispositivos móviles creadas por Apple, Samsung y Xiaomi, así como también vulnerabilidades diseñadas que les permitieron controlar completamente los dispositivos específicos. Apple iPhone X con iOS 12.1 - ¡Hacked! Un equipo de dos investigadores, Richard Zhu y Amat Cama, que se llamaron a sí mismos Fluoroacetate, descubrieron y lograron explotar un par de vulnerabilidades en un iPhone X de Apple completamente parcheado a través de WiFi. Más información en https://www.muyseguridad.net/ El gobierno alemán emite recomendaciones sobre la seguridad de los Enrutadores Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, la BSI, oficina de seguridad informática en Alemania, mencionó que quería un “nivel de seguridad manejable” y definió las características de seguridad que creía que deberían estar “disponibles por diseño y por defecto” en los enrutadores. El gobierno alemán busca proteger a los enrutadores de ataques vía Internet mediante la adopción de medidas como: La configuración remota debe estar desactivada de forma predeterminada, y sólo se puede acceder a ella a través de una conexión cifrada y autenticada por el servidor. Actualizaciones de firmware controladas por el usuario, con opción para actualizaciones automáticas. Más información en http://noticiasseguridad.com/ Escalada de privilegios con WooCommerce en WordPress Un conjunto de vulnerabilidades en WordPress y WooCommerce permiten una escalada de privilegios que podría afectar a los más de 4 millones de usuarios de este plugin de WordPress. WooCommerce es un complemento de comercio electrónico muy popular para WordPress, instalado por alrededor de 4 millones de usuarios y desarrollado por Automattic. La vulnerabilidad está relacionada con el método en el que interactúa el plugin WooCommerce con WordPress, permitiendo a un atacante con acceso a una cuenta de administrador de la tienda (Shop Manager) hacerse con el control del sitio web completo. La primera alerta se dio a finales de octubre en las notas de la última versión de WooCommerce, informando de que las versiones 3.4.5 y anteriores permitían a un administrador de la tienda malintencionado realizar una escalada de privilegios y hacerse con el control del sitio web. Esta semana, la compañía de seguridad de RIPS-Tech publicó los resultados de la investigación realizada por Simon Scannell en la que se descubrió el modo en el que dichos administradores de WooCommerce podían aprovechar la vulnerabilidad del plugin para controlar el sitio WordPress completo. Más información en https://unaaldia.hispasec.com/ Violación de seguridad en Statcounter Los hackers comprometieron esta herramienta para secuestrar transacciones de Bitcoin en la plataforma Gate.io. Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan una violación de seguridad en StatCounter, una de las plataformas de análisis web más grandes de Internet. Durante el ataque, los hackers inyectaron códigos maliciosos en el script de seguimiento del sitio principal de la compañía. Según Matthieu Faou, investigador en ciberseguridad, malware y forense digital, los códigos maliciosos utilizados en el ataque son capaces de secuestrar las transacciones de Bitcoin realizadas a través de la interfaz web de la plataforma de intercambio de criptomonedas Gate.io. “Contactamos a los operadores de StatCounter pero aún no han respondido”, mencionó Faou en un aviso de seguridad. “El archivo JavaScript en http://www.statcounter[.]com/counter/counter.js aún se encuentra comprometido”. El investigador menciona que el código malicioso fue agregado por primera vez a este script de StatCounter en algún momento del fin de semana pasado, específicamente el sábado 3 de noviembre. El código aún está activo, como lo demuestra el investigador a través de capturas de pantalla realizadas en el sitio. Más información en http://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 90 Noticias Seguridad en Comunidad Movistar Empresas
GhostDNS: unos hackers han cambiado las DNS de 100.000 routers La empresa Netlab ha detallado que hay más de 100.000 routers afectados (un 87,8% en Brasil), habiendo más de 70 routers o versiones de firmware afectados. Las principales webs falsas a la que redirigían los atacantes eran páginas de bancos del país, e incluso Netflix. Este ataque estaba compuesto de cuatro módulos diferentes: DNSChanger, Web Amin, Phishing Web y Rogue DNS. DNSChanger, el primero de ellos, es el responsable de recopilar la información y llevar a cabo el ataque a través de tres submódulos en routers conectados a redes públicas o privadas. En total, es capaz de ejecutar más de 100 ataques a más de 70 routers. Uno de ellos realizaba 69 ataques a 47 routers o firmwares distintos, habiendo conseguido infectar 62.000 routers. El segundo, llamado Web Admin, contiene la página de login del Web Admin System. El tercero, el Rogue DNS, contiene la información de las webs que el malware suplanta y que el usuario termina viendo en su navegador. El cuarto y último, Phishing Web, se complementa con el tercero, y resuelve las páginas web falsas correspondientes al sitio que se quiere suplantar. ¡Mucho cuidado! Descubren que el 83% de los routers que tenemos en casa no son seguros. Revisa que tienes la última versión del firmare instalada, y que los DNS de tu router son los correctos. Más información en https://www.adslzone.net. TORII: nueva botnet IoT, aún sin objetivos claros Cada vez existen más dispositivos conectados a Internet, dispositivos de todo tipo que forman lo que conocemos como "Internet de las Cosas", o IoT. Desde cámaras de vigilancia hasta micro-servidores y electrodomésticos, cada vez son más los dispositivos conectados a la red, dispositivos que, por desgracia, no destacan precisamente por su seguridad, hecho que no han tardado los piratas informáticos en aprovechar para tomar el control de estos dispositivos y crear peligrosas botnets, como Mirai o la nueva botnet recién descubierta: Torii. Tal como se ha podido comprobar, el grupo de delincuentes informáticos ha creado binarios para una gran de arquitecturas diferentes, como MIPS, ARM, x86, x64, PowerPC y SuperH, adaptando los binarios a cada tipo de arquitectura para reducir la probabilidad de ser detectada y, además, poder implementar medidas de persistencia especiales para cada tipo de dispositivo. ¿Cómo funciona la botnet Torii?. Esta botnet busca nuevos dispositivos para infectar a través del puerto 23 Telnet, pero a diferencia de otras, el ataque llega directamente desde la red Tor. Más información en https://www.bleepingcomputer.com/. Puerto de San Diego golpeado por Ransomware La Oficina Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional (DHS) fueron convocados por el Puerto de San Diego en California después de que algunos de los sistemas de TI de la organización se infectaron con un ransomware. El Puerto de San Diego emitió su primera declaración sobre el incidente de ciberseguridad, que calificó de "grave", el 26 de septiembre, un día después de que comenzó a recibir informes de interrupciones en los sistemas de TI. El Puerto de Barcelona también informó haber sido golpeado por un ciberataque este mes, pero no está claro si los incidentes están relacionados. El puerto español no ha compartido ninguna información sobre el tipo de ataque, pero también afirmó que el incidente solo afectó a los sistemas internos, sin impacto en las operaciones terrestres o costeras. El Puerto de Barcelona dice que ha "iniciado las acciones legales apropiadas en represalia a este grave ataque".Más información en https://www.securityweek.com/. Exponen datos de 50 millones de usuarios de Facebook Un ataque a Facebook que se descubrió esta semana expuso información sobre casi 50 millones de usuarios de la red social, anunció la compañía el viernes. Los atacantes, que no fueron identificados, explotaron una característica que les permite a los usuarios ver su página de Facebook de la misma forma que lo haría otra persona (función "View As"). Facebook dice que ya ha solucionado el problema y ha informado a la policía. Según el New York Times, la compañía ha encontrado el agujero esta semana, y ya ha informado de ello a las autoridades estadounidenses. Los atacantes han explotado una vulnerabilidad en el código que les ha permitido hacerse con el control de las cuentas de los usuarios. Los atacantes se aprovecharon de un error en el código de la app y accedieron a la información privada de los usuarios. Este viernes por la mañana, más de 90 millones de personas fueron obligadas a salir de sus cuentas por la propia red social como medida de seguridad. Facebook no tiene pistas de la nacionalidad de los atacantes ni de dónde han podido provenir el hackeo. También reconocen que aún no saben la magnitud total del ataque, así que con el paso de las horas podrían ser más de 50 millones de cuentas comprometidas. Más información en https://newsroom.fb.com Cuidado con este nuevo malware; puede resistir un formateo e incluso un cambio de disco duro Formatear un ordenador, o restablecer los valores de fábrica de un dispositivo, suele ser la mejor forma de eliminar un malware que, por alguna razón, ha infectado nuestro sistema. Sin embargo, los piratas informáticos buscan constantemente nuevas formas de persistencia que les permitan, además de ser prácticamente indetectables, mantener un equipo o dispositivo infectado incluso después de formatear. Así nacieron los rootkits, y una de las últimas amenazas de este tipo, recién descubierta, es LoJax, un rootkit UEFI. Un rootkit UEFI es un tipo de malware que, en lugar de infectar el sistema operativo, infecta la UEFI (antigua BIOS) de los ordenadores. De esta manera, el malware pasa totalmente desapercibido en el sistema operativo (ya que los antivirus no suelen analizar la UEFI de los equipos) y, además, son capaces de resistir a un formateo del ordenador y a un cambio de disco duro. Recientemente, investigadores de seguridad han encontrado un nuevo rootkit UEFI, llamado LoJax, que está infectando ordenadores y sistemas por todo el mundo. Este nuevo rootkit ha sido desarrollado por el grupo de piratas informáticos APT28, uno de los grupos de piratas más peligrosos, responsable ya de varios ataques a grandes empresas. Más información https://www.redeszone.net/2 Vulnerabilidad de escalamiento de privilegios en Linux de más de 10 años Con relativa frecuencia se encuentran vulnerabilidades de escalamiento de privilegios en Linux. Estas permiten a un atacante con privilegios limitados el poder llegar hasta a manipular partes esenciales del sistema operativo o algún servicio en ejecución. Lo descrito en el párrafo anterior es lo descubierto por unos investigadores de Qualys, que han publicado los detalles de dos pruebas de concepto (1 y 2) mostrando una vulnerabilidad en el kernel Linux que abre la puerta a que un usuario sin privilegios consiga acceso a nivel de superusuario (root) en el sistema operativo. Llamada "Mutagen Astronomy", afecta a versiones del kernel Linux publicadas entre julio de 2007 y junio de 2017. Esto hace que las distribuciones más afectadas sean aquellas que ofrecen un soporte largo en el tiempo, como RHEL, CentOS, y Debian 8 Jessie , ya que otras muchas orientadas al escritorio suelen cambiar el componente que nos ocupa con más frecuencia. Más información https://thehackernews.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
