Noticias de Seguridad a nivel mundial: boletín nº 105
Google ha retirado bastantes apps de la Play Store por robar datos Google ha eliminado unas docenas de aplicaciones de Android que contenían código fuente malicioso. Las apps habían sido descargadas en millones de ocasiones por parte de usuarios de todo el mundo sin que Google se diera cuenta, hasta que una compañía de seguridad las ha podido encontrar con sus análisis externos. Fueron los expertos de ciberseguridad de Trend Micro los que descubrieron que aplicaciones como “Pro Camera Beauty”, “Cartoon Art Photo” o “Emoji Camera”, entre otras, estaban realizando operaciones sospechosas. Sobre el papel se trataban de apps de fotografía o edición de imágenes divertidas o que permitían hacer cosas curiosas, pero en realidad estaban subiendo las fotografías del usuario a los sus propios servidores sin decir nada, y mostrando anuncios a pantalla completa que buscaban confundir al usuario y enviarlo a sitios web con estafas. Trend Micro revela en su reciente investigación que la mayoría de las instalaciones fueron realizadas en Asia, especialmente en países como India o China, pero también se dieron casos en España. Más información en https://www.lavanguardia.com/ Vulnerabilidades en routers Cisco Small Business RV320 y RV325 Se han publicado dos vulnerabilidades que afectan a los routers Cisco Small Business RV320 y RV325, modelos enfocados a pequeñas empresas y oficinas. Estas son las vulnerabilidades. CVE-2019-1653: este identificador describe un fallo en la interfaz de administración basada en web debido a controles de acceso incorrectos para URL´s. Permitiría la obtención de información confidencial, sin necesidad de autentificación y manera remota, a través de dos vías diferentes. La primera de ellas se podría aprovechar para descargar la configuración del router -incluyendo nombre usuario y clave de acceso- a través de una petición a ‘/cgi-bin/config.exp’ La segunda, permitiría la recuperación de datos de diagnóstico mediante una petición a ‘/cgi-bin/export_debug_msg.exp’. Los datos obtenidos se encuentran encriptados con una clave conocida (e incrustada en el código), con lo cual es posible obtener también la información de configuración del dispositivo. CVE-2019-1652: otro fallo en la interfaz de administración, debido a la incorrecta validación de las entradas proporcionadas por el usuario al generar nuevos certificados X.509 directamente en el dispositivo. Esto podría permitir ejecutar comandos arbitrarios en el shell de Linux como root a un atacante remoto autenticado con privilegios administrativos. Más información en https://unaaldia.hispasec.com/ 8 Predicciones que marcarán Blockchain en 2019 Fujitsu ha presentado sus predicciones para el desarrollo de blockchain para este año 2019. La multinacional señala 8 tendencias fundamentales que marcarán su evolución y son: Las empresas incrementarán significativamente la adopción de Blockchain y la Tecnología Distributed Ledger. Diferentes Ledgers y sistemas existentes jugarán mejor juntos. IA comenzará a hacer que los “smart contracts” sean más inteligentes. Los reguladores y los gobiernos sufrirán cada vez más presión para adaptar el entorno regulatorio. La convergencia de los ledgers públicos y privados impulsará transformaciones empresariales más amplias. El Blockchain como servicio y almacenamiento distribuido ganará impulso. Conceptos de Identidad y Pruebas de Conocimiento Zero se convertirán en una parte vital de las aplicaciones Blockchain. La resiliencia y el endurecimiento de la tecnología blockchain y ledger están en el horizonte. Más información en https://www.revistacloudcomputing.com Vulnerabilidades críticas afectan protocolos 3G, 4G y el futuro 5G Especialistas en seguridad en redes reportan el hallazgo de una vulnerabilidad en el protocolo de comunicación 5G, próximo a implementarse. Al parecer esta vulnerabilidad es más severa que las descubiertas con anterioridad, pues afecta a los protocolos 3G y 4G además del próximo 5G. Acorde a expertos del Instituto Internacional de Seguridad Cibernética, la falla permite el monitoreo de comunicaciones a través del uso de receptores IMSI (intercepción de identidad de suscriptor móvil internacional) de última generación funcionales en todos los protocolos de telefonía. Third Generation Partnership Project (3GPP), entidad responsable de la estandarización de comunicaciones móviles a nivel mundial, diseñó y ordenó la implementación del protocolo Authentication and Key Agreement (AKA) para proteger a los usuarios de servicios de telefonía móvil, sin embargo, múltiples ataques en contra de este protocolo han sido realizados con éxito, algunas de estas fallas han sido corregidas o mitigadas en el protocolo AKA mejorado para 5G. Más información en https://noticiasseguridad.com/ Nuevo malware usa Google App Engine para generar archivos PDF maliciosos El grupo de hackers maliciosos Cobalt Strike está abusando de Google App Engine para distribuir malware incrustado en documentos PDF. Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una compleja campaña de ataques de malware en la que los hackers explotan Google App Engine, una plataforma de computación en la nube, para desplegar malware usando archivos PDF especialmente diseñados. Los principales objetivos de esta campaña son las instituciones de gobierno y financieras, en especial bancos con presencia a nivel mundial, según se menciona en la investigación. A partir de la evidencia recolectada hasta ahora, los investigadores creen que el grupo de hackers Cobalt Strike está detrás de estos ataques. A principios de 2019, múltiples organizaciones comenzaron a recibir correos electrónicos, los especialistas en seguridad en redes pudieron confirmar que estos archivos adjuntos estaban activando los sistemas de detección de las empresas.Los expertos recomiendan a los usuarios no descargar archivos adjuntos de fuentes desconocidas, sobre todo si se encuentran en correos electrónicos de procedencia dudosa. Se recomienda además mantener todos los sistemas actualizados. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 103
Collection #1 una nueva brecha de datos que afecta a millones de correos electrónicos La OSI (oficina de seguridad de internautas), nos advierte de una nueva brecha que afecta a millones de cuentas de correo. Tal y como informa la OSI, se ha publicado una brecha de datos denominada Collection #1 con 773 millones de cuentas de correo. Esta filtración, a diferencia de otras, parece tratarse de una compilación de datos obtenidos a través de diversos sitios web y servicios. Es la mayor publicación de cuentas de correo y contraseñas detectada hasta la fecha que afecta a millones de personas en todo el mundo. La mayor parte de los usuarios se ven comprometidos debido a la reutilización de las contraseñas, suponiendo un riesgo elevado para la privacidad de los mismos. Se recomienda a todos los usuarios comprobar cada una de sus cuentas de correo en la plataforma Have I Been Pwned. En dicha web se puede verificar si la cuenta se ha visto afectada. Más información en https://comunidad.movistar.es/ Magecart infecta de nuevo cientos de webs de comercio electrónico Esta vez, el grupo Magecart ha comprometido 277 webs de comercio electrónico mediante la inserción de código JavaScript malicioso en una librería usada por la empresa de publicidad Adverline. Magecart. Normalmente el grupo Magecart cuando compromete un sitio web de comercio electrónico, inserta código malicioso después para capturar la información del pago realizado. Así es como en el pasado lograron acceder a la información bancaria de los clientes de las plataformas Ticketmaster, British Airways y Newegg. Sin embargo, investigadores de RiskQ y Trend Micro descubrieron cómo esta vez, en lugar de comprometer directamente webs de comercio electrónico, insertaron código JavaScript en una librería alojada en una compañía de publicidad francesa llamada Adverline. Lo que permitió interceptar la información de pago de todos los sitios web que usaban esta librería. Magecart-hacking-group. Más información en https://unaaldia.hispasec.com/ Descubren un fallo de seguridad en Fortnite que revela información personal y datos bancarios de sus jugadores Según ha comunicado la compañía de ciberseguridad Check Point , existen tres nuevas vulnerabilidades en el registro de cuentas del videojuego Fortnite que han dejado expuestos los datos personales y de tarjetas de crédito de los jugadores. A través de estas vulnerabilidades pueden hacerse con el control de las cuentas de usuarios de Fortnite, con la posibilidad de hacer compras de objetos del juego con la moneda virtual V-Buck. Este problema también afecta a la privacidad, pues los hackers podrían escuchar las conversaciones dentro de Fortnite accediendo al sonido grabado por el micrófono de los usuarios durante el juego, así como a la información personal almacenada en las cuentas. Fortnite se ha convertido en el gran fenómeno del mundo de los videojuegos en 2018. Estas nuevas vulnerabilidades podrían haber sido explotadas sin que el jugador introduzca ningún dato de acceso. Para ello, se aprovecha la infraestructura web de Epic Games y el sistema de autenticación basado en ‘tokens’. Los mecanismos de la web del videojuego, junto con los sistemas de acceso unificado Single Sign-On (SSO) como Facebook, Google y Xbox, han podido utilizarse para robar las credenciales de acceso del usuario y hacerse con la cuenta de la víctima si esta hace clic en un enlace de ‘phishing’. Más información en https://www.lavanguardia.com/ Hackean un banco usando Linkedin y Skype Los atacantes se aprovecharon de un empleado del banco para penetrar en su infraestructura informática. Redbanc, empresa encargada de administrar la red interbancaria de cajeros automáticos en Chile, sufrió un grave incidente de ciberseguridad llamado PowerRatankba, según reportan expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética, El ataque comenzó con un anuncio de LinkedIn en el que se ofrecía un empleo como programador, anuncio al que respondió un empleado de Redbanc. Los atacantes acordaron una supuesta entrevista laboral vía Skype con el empleado del banco, donde le solicitaron que descargara un archivo llamado ApplicationPDF.exe, mismo que infectó el equipo de cómputo de la víctima de la estafa. Los expertos en seguridad en redes creen que el malware fue ejecutado exitosamente, permitiendo a los atacantes explorar la red de la empresa en busca de vulnerabilidades. Más información en https://noticiasseguridad.com/. Reguladores imponen 50 millones de euros de multa para Google por privacidad de datos Las autoridades de Francia alegan que la empresa tecnológica actúa con graves faltas de transparencia. Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética informan que, de conformidad con el Reglamento General de Protección de Datos (GDPR), la Comisión Nacional de Informática y Libertades de Francia (CNIL) impuso una multa de 50 millones de euros a Google por “violaciones de transparencia y de manejo de información, pues la empresa no solicitó el consentimiento de los usuarios para procesar sus datos con fines de personalización de publicidad”. Esta medida fue tomada en consecuencia de las demandas presentadas por la organización no gubernamental None Of Your Business (NOYB), dedicada a la defensa de la privacidad de usuarios de tecnología; la ONG argumentó que “Google no cuenta con una base legal sólida para el procesamiento de los datos de sus usuarios con fines comerciales”. Expertos en seguridad en redes y privacidad comentan que, aunque Google publica toda la información que exige el GDPR, la empresa dificulta que los usuarios la encuentren, además la información es ambigua e incompleta, afirma la CNIL. “Información elemental, como propósitos del procesamiento de datos o plazos de almacenamiento de datos personales es intencionalmente difícil de reunir. Además, el informe menciona que, aunque Google afirma que solicita el consentimiento expreso de sus usuarios antes de procesar sus datos con fines comerciales, se encontró que esto no sucede de esta forma, pues los usuarios no son suficientemente informados durante este proceso, además de que la información que muestra Google puede ser ambigua o poco específica. Más información en https://noticiasseguridad.com/ Vulnerabilidades encontradas en Firmware de Chips Wifi Un especialista publicó recientemente los hallazgos de su investigación. Acorde a expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el firmware de los chips WiFi usados en diversos dispositivos presenta múltiples inconvenientes de seguridad. Según los reportes, algunas de estas fallas podrían ser explotadas para la ejecución remota de código arbitrario, todo sin necesidad de interacción por parte del usuario. Las fallas de seguridad fueron descubiertas en ThreadX, un sistema operativo en tiempo real (RTOS); según la página web de los desarrolladores, ThreadX cuenta con más de 6 mil millones de implementaciones, siendo uno de los programas más populares funcionando con chips WiFi. El firmware también opera en SoC Avastar 88W8897 (Wi-Fi + Bluetooth + NFC) de Marvell, presente en Sony PlayStation 4, en la tableta Microsoft Surface, Xbox One, Samsung Chromebook y algunos smartphones, reportan expertos en seguridad en redes. Inicialización de proceso de chips WiFi. Regularmente, un chip WiFi es inicializado por un controlador del fabricante encargado de cargar la imagen del firmware durante el proceso de inicio. Con el sistema en chip inalámbrico de Marvell (SoC), hay ciertos controladores que funcionan con el kernel de Linux que usa: ‘mwifiex’, ‘mlan’ y ‘mlinux’. Ambas funciones tienen capacidades de depuración, lo que permite leer y escribir desde y hacia la memoria del módulo WiFi. Controlar la asignación de bloques de memoria. Una de las vulnerabilidades descubiertas en el firmware es un desbordamiento de bloques que podría activarse cuando el chip está buscando redes disponibles, un proceso que comienza cada cinco minutos, incluso si el dispositivo ya está conectado a una red WiFi. “Un atacante podría realizar una ejecución remota de código en un Samsung Chromebook, por ejemplo, incluso sin necesidad de que el usuario realice interacción alguna”, afirma Denis Selianin, especialista en seguridad en redes y dispositivos WiFi.Más información en: https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 94
Vulnerabilidades múltiples parcheadas en controladores ASRock Los investigadores de seguridad de SecureAuth Labs han descubierto múltiples vulnerabilidades en los controladores de bajo nivel instalados por las utilidades de ASRock. Establecida en 2002, ASRock es la tercera marca de placas base más grande del mundo. Con sede en Taipei, Taiwán, la empresa tiene sucursales en Europa y los Estados Unidos. El fabricante ofrece una serie de utilidades que brindan a los usuarios control sobre ciertas configuraciones y funciones. SecureAuth descubrió una serie de fallas de seguridad en AsrDrv101.sys y AsrDrv102.sys controladores de bajo nivel que ASRock RGBLED y otras utilidades de marca ASRock instalan. Al explotar estas vulnerabilidades, un atacante local puede elevar los privilegios en el sistema. Más información en https://www.securityweek.com. GrandCrab En un comunicado de prensa publicado por Europol en el día de hoy, el organismo anuncia que las víctimas del ransomware GandCrab pueden recuperar sus archivos sin necesidad de pagar a los cibercriminales por un rescate, gracias al reciente lanzamiento de un nuevo descifrador gratuito publicado en el sitio nomoreransom.org. Esta herramienta fue desarrollada por la Policía de Rumania, Europol y BitDefender y permite recuperar datos de varias versiones de GandCrab, como son la versión 1 (extensión GDCB), versión 4 (extensión KRAB) y la versión 5 (extensión que utiliza 10 caracteres de manera aleatoria). Más información en https://www.welivesecurity.com/ Microsoft crea Sandbox para Windows Defender Microsoft anunció el viernes que Windows Defender, la aplicación antivirus que se incluye con los sistemas operativos de la compañía, ahora puede ejecutarse en una caja de arena, y el gigante de la tecnología afirma que es el primer producto de su tipo en tener esta capacidad. Microsoft ha admitido que tanto sus propios empleados como los investigadores externos han identificado vulnerabilidades en Windows Defender , y dado que es un programa que se ejecuta con altos privilegios, puede ser un objetivo atractivo para los actores maliciosos. Al permitir que Windows Defender se ejecute en un entorno aislado, Microsoft pretende aumentar la resistencia de la aplicación a los ataques, especialmente en la última versión de Windows 10, que incluye protecciones significativas y en la cual la escalada de privilegios de un entorno limitado debería ser mucho más difícil. Más información en https://www.securityweek.com/ FireEye: el laboratorio de investigación ruso ayudó al desarrollo de Malware industrial TRITON La firma de ciberseguridad FireEye afirma haber descubierto pruebas que demuestran la participación de un instituto de investigación de propiedad rusa en el desarrollo del malware TRITON que provocó el cierre inesperado de algunos sistemas industriales el año pasado, incluida una planta petroquímica en Arabia Saudita. TRITON, también conocido como Trisis, es una pieza de software malicioso ICS diseñado para atacar los controladores del Sistema de Instrumentación de Seguridad (SIS) de Triconex fabricados por Schneider Electric, que a menudo se usan en instalaciones de petróleo y gas. El Sistema de seguridad instrumentado de Triconex es un sistema de control autónomo que controla de forma independiente el rendimiento de los sistemas críticos y realiza acciones inmediatas automáticamente si se detecta un estado peligroso. Más información en https://thehackernews.com/ Hackers atacan Cathay Pacific Datos de millones de pasajeros se encuentran comprometidos. Expertos en forense digital del Instituto Internacional de Seguridad Cibernética reportan que una de las principales aerolíneas de Asia acaba de descubrir que ha sido víctima de una violación de seguridad a causa de la cual la información personal de más de 9 millones de usuarios pudo haber sido robada. Cathay Pacific anunció este miércoles por la noche que una amplia gama de datos, incluidos los nombres de los pasajeros, las fechas de nacimiento, los números de teléfono, las direcciones de correo electrónico y los números de pasaportes, fueron expuestos después de que sus sistemas de información fuera hackeados a principios de este año. “Lamentamos cualquier inquietud que este incidente de seguridad pudiera causar a nuestros pasajeros”, dijo Rupert Hogg, CEO de la aerolínea, en un comunicado. La empresa con sede en Hong Kong está en el proceso de contactar a todas las personas afectadas por el robo de datos, agregó. Los hackers que atacaron a Cathay Pacific obtuvieron acceso a 27 números de tarjetas de crédito, pero sin los respectivos códigos de seguridad de las tarjetas, además de otros 403 números de tarjetas de crédito vencidas, según reportes de expertos en forense digital. La aerolínea reporta que “aún no existe ninguna evidencia de que se hayan utilizado mal los datos personales de los clientes”, agregando que las contraseñas de las tarjetas comprometidas no fueron puestas en riesgo en ningún momento. Cathay Pacific reporta que descubrió indicios de “actividad sospechosa” en su red en marzo pasado y que tomó medidas inmediatas para contener el evento e investigó con la ayuda de una firma de ciberseguridad. Más información en http://noticiasseguridad.com/ Se cae el sistema informático del hospital La Paz: "Todo lo hacemos en papel y nos lo vamos pasando" El sistema informático del hospital La Paz se ha restablecido sobre las nueve de la noche de este lunes después de siete horas caído. El fallo, que se registró sobre las dos y media de la tarde, ha ocasionado problemas en el funcionamiento habitual de las urgencias y también de las plantas, según el sindicato MATS. La caída del sistema HCIS ha afectado a muchos niveles: desde la impresión de las pegatinas para identificar a los pacientes hasta el acceso al historial médico de cada uno. Tampoco ha sido posible que el personal sanitario volcara peticiones de analíticas, resultado de tensiones u otras pruebas de los pacientes. De manera que, una vez solucionado el problema, toda esa información generada durante horas tendrá que ser trasladada del papel al sistema. Desde la Consejería de Sanidad aseguran a eldiario.es que el servicio se ha restablecido sobre las nueve de la noche de este lunes, después de alargar todos los tiempos del hospital público. "Todo lo estamos haciendo en papel y nos lo vamos pasando porque va muy lento, funciona a ratos y luego vuelve a caerse. Y la saturación se multiplica", explicaba Guillén del Barrio, delegado del sindicato MATS en el centro hospitalario en plena caída del sistema. Más información en https://www.eldiario.es/madrid/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 86 Noticias Seguridad en Comunidad Movistar Empresas
Google rastrea a los usuarios de Android y iPhone incluso cuando se desactiva el "Historial de ubicaciones" Google está en todas partes, incluso si le dices que no lo haga. Cada vez que un servicio como Google Maps quiere usar su ubicación, Google pide autorización para permitir el acceso a tu ubicación si deseas usarla para navegar, pero una nueva investigación muestra que la compañía sí lo sigue. Una investigación de Associated Press reveló que muchos servicios de Google en dispositivos con Android y iPhone almacenan registros de sus datos de ubicación incluso cuando ha detenido el "Historial de Ubicaciones" en sus dispositivos móviles. La desactivación del "Historial de Ubicaciones" en la configuración de privacidad de las aplicaciones de Google debe evitar que Google realice un seguimiento de cada uno de tus movimientos, como indica su propia página de asistencia: "Puedes desactivar el Historial de Ubicaciones en cualquier momento. Con el Historial de Ubicaciones desactivado, los lugares a los que vas ya no están almacenados ". Sin embargo, AP descubrió que, incluso con el Historial de Ubicaciones desactivado, algunas aplicaciones de Google almacenan automáticamente "datos de ubicación sellados con el tiempo" en los usuarios sin consultarlos, lo que puede inducir a error. "Por ejemplo, Google almacena una instantánea de dónde estás cuando simplemente abres la aplicación Mapas. Las actualizaciones automáticas del clima diario en teléfonos Android indican aproximadamente dónde estás", explica AP. Y algunas búsquedas que no tienen nada que ver con la ubicación, como galletas con chispas de chocolate "o" kits de ciencia para niños ", indican su latitud y longitud precisas con precisión del pie cuadrado y las guardan en su cuenta de Google". Fuente: https://thehackernews.com. Parches de Apache Tomcat Vulnerabilidades de seguridad importantes La falla más crítica (CVE-2018-8037) de Apache Tomcat es una vulnerabilidad de divulgación de información causada por un error en el rastreo de cierres de conexión que puede llevar a la reutilización de sesiones de usuario en una nueva conexión. La falla afecta a las versiones de Tomcat 9.0.0.M9 a 9.0.9 y 8.5.5 a 8.5.31, y se ha corregido en Tomcat 9.0.10 y 8.5.32. Vulnerabilidad de Apache Tomcat - Denegación de Servicio (DoS) Otra vulnerabilidad importante, rastreado como CVE-2018-1336, en Apache Tomcat reside en el decodificador UTF-8 que puede conducir a una condición de denegación de servicio (DoS). "Un manejo incorrecto del desbordamiento en el descodificador UTF-8 con caracteres suplementarios puede conducir a un bucle infinito en el descodificador que causa una denegación de servicio. La vulnerabilidad afecta a las versiones 7.0.x, 8.0.x, 8.5.x y 9.0.x de Tomcat, y se ha abordado en las versiones 9.0.7, 8.5.32, 8.0.52 y 7.0.90 de Tomcat. Fuente: https://thehackernews.com Reporte de riesgos globales 2018 Los equipos multifuncionales y las impresoras casi nunca aparecen en la primera línea de riesgo cuando se habla de seguridad informática. Sin embargo, hackers y ciberdelicuentes pueden vulnerar la protección de estos dispositivos y acceder a información confidencial de las organizaciones, así como, a documentos sensibles y correos electrónicos. "Las principales amenazas tienen que ver con alterar y adulterar información de documentos, obteniendo archivos que son originales, pero no genuinos. La digitalización tiene el riesgo que la versión digital sea editada una vez realizado el proceso, y no sea una copia fiel del documento original. A esto se suma el peligro de mantener distintas versiones de un documento por no mantener la información almacenada en un punto común". Según el Global Risk Report 2018 del World Economic Forum, los ataques cibernéticos han aumentado hasta posicionarse en el tercer lugar de riesgos globales por probabilidad percibida, un incremento que también se traduce en costos: el célebre rasomware WannaCry, que infectó 300 mil computadores en 2017, y los virus Petya y NotPetya, causaron grandes pérdidas corporativas que alcanzaron los US$300 millones, de acuerdo al mismo informe. Fuente: http://www.cioal.com Vulnerabilidad en Bluetooth permite infección y robo de datos Se ha reportado una nueva vulnerabilidad que afecta a la tecnología de conectividad Bluetooth. Etiquetado como CVE-2018-5383, el problema de seguridad tiene relación con el cifrado criptográfico de este estándar en algunas implementaciones, y permite a un atacante aprovechar la proximidad física para interceptar comunicaciones entre dos dispositivos sin autenticación. Es un fallo a nivel de firmware, y afecta a compañías como Apple, Qualcomm, Intel y Broadcom entre otras. Bluetooth hacking tools. Fuente: https://thehackernews.com. Un nuevo método descubierto para romper WPA / WPA2 PSK habilitado contraseñas de red WiFi Se descubrió que el nuevo método de ataque pone en peligro las redes WiFi habilitadas para WPA / WPA2 que permiten a los atacantes obtener hash de clave precompartida que solía descifrar las contraseñas utilizadas por las víctimas seleccionadas. Este Método se descubre durante el ataque contra el estándar de seguridad WPA3 lanzado recientemente, que es extremadamente difícil de descifrar ya que usa la autenticación simultánea de iguales (SAE), un protocolo de establecimiento de clave moderno. Nuevo estándar de seguridad WP3 lanzado por Wi-Fi Alliance que proporciona seguridad Wi-Fi de próxima generación con nuevas capacidades para mejorar redes personales y empresariales y el nuevo estándar de seguridad WP3 que es un sucesor de WPA2. El investigador considera que este ataque pone en peligro la contraseña de WPA / WPA2 sin realizar la toma de contacto EAPOL en cuatro direcciones. Según Steube, que es el desarrollador de la herramienta de descifrado de contraseñas Hashcat, el nuevo ataque se realiza en el RSN IE (Elemento de información de red de seguridad robusta) de un único marco EAPOL. Además, este ataque funciona contra todo tipo de redes 802.11i / p / q / r con funciones de roaming habilitadas y no está claro cuántos proveedores y cuántos enrutadores funcionará esta técnica. Fuente: https://gbhackers.com. Cuando tu impresora es más lista de lo que parece: Ejecución remota en HP HP ha publicado un boletín informando de una vulnerabilidad que permite ejecución remota de código en múltiples modelos de impresoras de tinta. La puntuación base CVSS no deja lugar a dudas: un 9.8 sobre 10. Para que nos entendamos, esta vulnerabilidad equivale a dejarse la puerta de casa abierta con las joyas en la mesa del salón. A pesar de que los vectores CVSS muchas veces no permiten describir la complejidad de una vulnerabilidad, un valor extremo es un mensaje claro. Y afectando a múltiples dispositivos, es una pequeña catástrofe. En este caso, es posible que el reporte por parte del investigador externo se haya realizado de forma privada, ya que no aparece vínculo alguno al reporte técnico original. Estos reportes suelen ser más técnicos, y te permiten entender la parte importante de la vulnerabilidad, ya que los reportes oficiales suelen ser bastante escuetos y parecen escritos por cumplir. Por tanto, en este caso no podemos ofrecer un análisis técnico de los hechos y nos limitaremos a comentar el boletín oficial y comentar algunos hechos relacionados. La vulnerabilidad es lo más clásico: se manda a imprimir un archivo especialmente diseñado que desborda memoria en la impresora y permite ejecutar código arbitrario.Fuente: https://unaaldia.hispasec.com Código fuente de Snapchat filtrado en GitHub El código fuente de la app de la red social Snapchat ha aparecido recientemente online después de que un atacante lo filtrara y lo subiera a GitHub. Una cuenta de GitHub con el nombre de Khaled Alshehri y el usuario i5xx, que decÍa ser de Pakistan, creo un repositorio de GitHub llamado Source-Snapchat con una descripción llamada "Código fuente de Snapchat", publicando el código fuente de lo que se supone que era la aplicación de iOS de Snapchat. Este código podrÍa exponer potencialmente información confidencial de la compañia, como el diseño integro de la aplicación, como funciona la misma y que futuras actualizaciones están planeadas para la misma. La empresa que fundo Snapchat, Snap Inc, respondió a esto rellenando una solicitud de infracción de copyright (DMCA), para que GitHub restringiera el acceso al repositorio. Fuente:https://thehackernews.com. 400 industrias afectadas por Phishing y herramientas de control remoto Una ola de mensajes ha atacado a empresas de las industrias de petróleo y gas, de la energía, de la metalurgia, de la construcción y de la logística. Una ola de correos electrónicos de spear phishing ha dejado cientos de víctimas entre el sector industrial. Así lo desvela la compañía de seguridad Kaspersky Lab, que es quien ha detectado los ataques, pensados para generar ganancias a los cibercriminales. Estos delincuentes enviaban emails con adjuntos maliciosos con la intención de robar datos confidenciales y dinero. En concreto, los correos se disfrazaban como mensajes de compras y contabilidad atendiendo al perfil de las compañías atacadas y la propia identidad del destinatario. Y es que incluso se ponían en contacto con las víctimas indicando su nombre. "Esto sugiere que los ataques fueron cuidadosamente preparados y que los delincuentes se tomaron el tiempo para desarrollar una carta individual para cada usuario", comentan desde Kaspersky Lab. Si el empleado caía en la trampa y acababa pinchando en el archivo recibido, desencadenaba la instalación de software modificado para favorecer la conexión de los delincuentes con el dispositivo. Quienes enviaban los emails podían examinar documentos, cambiar requisitos en facturas, cargar malware adicional como spyware… Su actividad afectó a 400 organizaciones industriales como mínimo. La mayoría de ellas fueron empresas rusas. "Conforme a nuestra experiencia, es probable que esto se deba a que su nivel de preparación para la ciberseguridad no es tan alto en comparación con otros sectores, como es el caso de los servicios financieros. Eso convierte a las empresas industriales en un blanco lucrativo para los ciberdelincuentes, no solo en Rusia, sino en todo el mundo", comenta Vyacheslav Kopeytsev, experto en seguridad de Kaspersky Lab. Entre esas empresas se encuentran las del petróleo y el gas, la energía, la metalurgia, la construcción y la logística. Fuente: https://www.silicon.es. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. También te puede interesar conocer las características que ofrece la solución Antivirus McAfee Multi Access de Movistar que te ayudará a proteger a tu empresa. ¡Hasta la próxima semana!Boletín nº 84 Noticias Seguridad en Comunidad Movistar Empresas
Solo 20% de las empresas cumplen correctamente con el GDPR Las fuertes sanciones previstas en el GDPR no han servido para que las compañías se preparasen para poder cumplirla correctamente. De hecho, casi dos meses después de su entrada en vigor, nos encontramos que menos de la mitad de las empresas están preparadas. Según los datos que se pueden extraer de una encuesta llevada a cabo por Dimensional Research, solo el 20% de las empresas cumplen actualmente con el GDPR, mientras que el 53% todavía se encuentra en proceso de implementación y el 27% todavía no han iniciado los procesos necesarios para implementarlo. Excluyendo a Reino Unido, que en estos momentos se encuentra inmerso en el proceso de su salida de la Unión Europea, actualmente el 27% de las empresas ubicadas en el ente comunitario dicen cumplir con el nuevo Reglamento, cuya aplicación es directa sin necesidad de que los países adecuen sus legislaciones a él. Al ser el GDPR un reglamento que pretende ser aplicados a nivel mundial, las organizaciones de países terceros también se están viendo forzadas a hacer cambios para no violarla, así que nos encontramos con el 21% de las empresas del Reino Unido y el 12% de las ubicadas en Estados Unidos que la cumplen. Para finales de 2018 se espera un nivel de cumplimiento del 74%, un porcentaje que se espera llegue al 93% para finales del 2019. La entrada en vigor del GDPR ha supuesto un impulso para acelerar su cumplimiento por parte de las empresas, ya que en agosto de 2017 solo el 38% de las ubicadas en Estados Unidos y el 37% del Reino Unido habían iniciados los procesos requeridos. En estos momentos esos porcentajes están en el 66% y el 73% respectivamente. . Fuente: https://www.helpnetsecurity.com. SIM Hijacking: roban tu número de teléfono para suplantar tu identidad Robar datos a través de la tarjeta SIM parece imposible, pero lo cierto es que hay un método para poder conseguir esto. Y todo se basa en tu tarjeta SIM. Pero el método SIM Hijacking consiste en obtener los datos suficientes de la víctima, como su número de la seguridad social o sus correos personales, y pedir un recambio de tarjeta SIM con la excusa de haber perdido la primera. Como imaginaréis, un teleoperador no puede verificar de forma totalmente eficaz si la persona al otro lado del teléfono es la propietaria original. Si un delincuente consigue superar esa barrera de seguridad entonces no tendrá problema alguno en hacerse pasar por esa persona y por ende conseguir la SIM. Una vez superado esto y consiguiendo la SIM, la pesadilla comienza. Cuando pides una SIM secundaria, para prever problemas se desactiva la SIM primaria. Es decir, la víctima no puede hacer absolutamente nada. Tu banco, todas tus cuentas de los servicios clásicos de Internet y, sobre todo, sus intimidades. Cuentas como las de Netflix, Instagram o la de un banco tienen el número asociado. Y si consigues dicho número basta con usar la recuperación de contraseña para acceder a todos los datos de la víctima y hacer lo que quieras con ellos. Fuente: https://elandroidelibre.elespanol.com. Perspectivas sobre pérdida y robo: Applepay y Google Wallet ApplePay y Google Wallet son servicios de pago móvil que pretenden hacer más cómoda la experiencia de compra de sus usuarios, al tiempo de proteger su información de pago con las más altas medidas de seguridad. Especialistas en cursos de protección de datos personales mencionan que tanto ApplePay como Google Wallet prestan mucha atención a la seguridad. ApplePay y Google Wallet se ocupan de la seguridad en todos los niveles dentro del ciclo de vida de pago sin comprometer la comodidad para los consumidores. Este artículo tratará de identificar algunas diferencias en su estrategia de seguridad en casos donde un dispositivo sea robado. Piensa en este escenario: has perdido tu teléfono Android equipado con Google Wallet o un iPhone equipado con ApplePay con múltiples cuentas de pago almacenadas en la memoria del dispositivo. A diferencia de la billetera física, Google Wallet está protegido por un PIN que sólo conoce el usuario. En ApplePay, la información está protegida mediante Touch ID, que sólo puede usar el propietario del dispositivo. Un ladrón sin conocimientos sobre tecnología no podía superar siquiera este primer nivel de seguridad. Ninguna tarjeta almacenada en la billetera electrónica podrá ser usada. Fuente: http://noticiasseguridad.com. Unión Europea multa a Google por incumplimiento contra leyes antimonopolio El gigante tecnológico enfrenta la multa más cara de su historia. La Comisión Europea anunció hoy una multa contra Google de 4.3 mil millones de euros (5.04 mil millones de dólares) por incumplir políticas antimonopolio con Android, informan especialistas en seguridad informática y cursos de protección de datos personales. Según la Unión Europea, Google rompió la regulación antimonopolio con respecto a la comercialización del sistema operativo Android de tres formas: Google exigió a los fabricantes de teléfonos preinstalar su aplicación de búsqueda y la aplicación del navegador (Chrome), como condición para otorgar licencias a la PlayStore. Google realizó pagos a ciertos fabricantes de teléfonos y operadores de redes móviles con la condición de preinstalar la aplicación Google Search exclusivamente en sus dispositivos. Google evitó la preinstalación de aplicaciones de Google para fabricantes que vendieran dispositivos móviles que ejecutaran alternativas al uso de Android (llamados “Android forks”). Expertos en cursos de protección de datos personales estiman que Google lleva realizando estas prácticas por al menos los últimos 10 años. Fuente: http://noticiasseguridad.com. Ataque informático a Labcorp impacta procesos de prueba Cada vez más ataques contra el sector salud. Especialistas en cursos de protección de datos personales investigan un ataque informático en la red TI de la firma de pruebas de laboratorio médico LabCorp, el ataque forzó a la empresa a cerrar temporalmente sus sistemas, lo que impactó temporalmente sus procesos de prueba y el acceso de los clientes a los resultados de laboratorio. En un comunicado la empresa afirmó haber “desconectado de inmediato ciertos sistemas como parte de su estrategia para contener el ataque, lo que afectó temporalmente el procesamiento de pruebas clínicas y el acceso de los clientes a las mismas durante el fin de semana. LabCorp ya trabaja para restaurar la funcionalidad completa del sistema lo más rápido posible, las operaciones de prueba se reanudaron sustancialmente y se anticipa que los sistemas y funciones adicionales sean restauradas durante los próximos días”. Acorde a los especialistas en cursos de protección de datos personales encargados del análisis, algunos clientes de LabCorp Diagnostics podrían experimentar breves retrasos en la entrega de sus resultados de laboratorio mientras la compañía restaura por completo sus funciones. El hackeo en LabCorp es una muestra de la oleada de ataques informáticos contra una gran entidad de empresas del sector de la salud. De hecho, los ataques al sector salud, desde ransomware hasta el robo de bases de datos, se presentan cada vez con mayor frecuencia. En algunos ataques de ransomware contra este sector, los hackers recurren primero a las copias de seguridad y comprometen el acceso a estas copias a los proveedores, lo que lleva a los especialistas en seguridad informática a pensar en que estos ataques ponen en un riesgo cada vez mayor la estabilidad de la infraestructura de estas empresas, y por ende la de los pacientes. Según estimaciones del FBI, el sector hospitalario ha perdido este año alrededor de 2.3 millones de dólares en ataques de ransomware. Fuente: http://noticiasseguridad.com. Cisco elimina 25 parches para vulnerabilidades inalámbricas Cisco ha informado a los usuarios de su servicio Policy Suite que ha descubierto diferentes vulnerabilidades, que permitirían a los hackers acceder de forma remota a diferentes funciones de sus soluciones, según reportan especialistas en cursos de protección de datos personales del Instituto Internacional de Seguridad Cibernética. Policy Suite un marco para la construcción de reglas que pueden utilizarse para aplicar la lógica empresarial contra puntos de aplicación de políticas, tales como enrutadores de red y gateways de datos por paquetes. Es utilizado principalmente por organizaciones que operan con sistemas inalámbricos y vía móvil. Acorde a reportes de expertos en cursos de protección de datos personales la vulnerabilidad se debe a la falta de autenticación, lo que significa que un atacante podría obtener acceso y realizar cambios en los repositorios existentes y crear otros nuevos. Además, una vulnerabilidad en especial podría permitir que un atacante remoto inicie sesión en un sistema afectado utilizando la cuenta raíz, que tiene credenciales de usuario predeterminadas. Un exploit podría permitir al hacker iniciar sesión en el sistema afectado y ejecutar comandos arbitrarios como el usuario raíz. Cisco también ha lanzado parches para su SD-WAN, con siete avisos de alta calificación, y su subsistema VPN. Para la solución SD-WAN, existe una vulnerabilidad de sobrescritura de archivos y una de denegación de servicio. Fuente: http://noticiasseguridad.com Hackers roban 1 millón de dólares por enrutador sin actualizar Un grupo de hackers robó al menos 920 mil dólares del PIR Bank de Rusia después de haber intervenido exitosamente un enrutador de Cisco desactualizado e incompatible en una sucursal bancaria, utilizándolo como un método de acceso a la red local del banco, reportan expertos en cursos de protección de datos personales del Instituto Internacional de Seguridad Cibernética. Reportes de seguridad afirman que el equipo comprometido se trataba de un enrutador Cisco 800 Series, con iOS 12.4, que dejó de recibir soporte desde el 2016. El robo salió a la luz después de que el diario político y financiero ruso Kommersant informara el 6 de julio que el PIR Bank perdió al menos 58 millones de rublos (920 mil dólares) y posiblemente mucho más, después de que hackers transfirieran dinero desde la cuenta del Banco de Rusia, que es el banco central del país. Fuente: http://noticiasseguridad.com. Oracle parchea más de 200 vulnerabilidades explotables remotamente Oracle lanzó un conjunto de parches de julio de 2018 para abordar un total de 334 vulnerabilidades de seguridad, la mayor cantidad de fallas resueltas con una actualización crítica de parches (CPU) hasta la fecha. Más de 200 de los errores pueden ser explotables remotamente sin autenticación. Este mes, se parchearon 23 productos, incluidos E-Business Suite, Financial Services Applications, Fusion Middleware, Hospitality Applications, Java SE, MySQL, PeopleSoft Products, Retail Applications, Siebel CRM y Sun Systems Products Suite. Según el aviso de Oracle, Más de 50 de los errores abordados este mes tuvieron un puntaje básico de CVSS 3.0 de 9.8. En general, 61 errores de seguridad tenían un puntaje CVSS de 9.0 o superior. Se aplicaron parches a un total de 203 vulnerabilidades en aplicaciones críticas para el negocio, de las cuales aproximadamente el 65% podrían explotarse remotamente sin necesidad de ingresar credenciales, señala ERPScan, una compañía especializada en asegurar aplicaciones Oracle y SAP. Fuente: https://www.securityweek.com. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Descubre cómo protegerte del 94% de las vulnerabilidades de Windows
Windows es, con diferencia, el sistema operativo más utilizado en todo el mundo, sea a nivel personal o a nivel empresarial. La mayoría de empresas utilizan esta plataforma y el ecosistema de aplicaciones desarrolladas bajo este sistema operativo como herramienta para desarrollar su negocio. Pero al ser el sistema operativo más utilizado lleva aparejada una consecuencia importante en términos de seguridad: es también el sistema operativo más atacado con diferencia por encima de otras elecciones como Linux o Mac OS. La existencia de múltiples vulnerabilidades obliga a su fabricante, Microsoft, a sacar continuas actualizaciones con el fin de taponarlas, pero el ritmo de adopción de dichas actualizaciones no es el deseable. Esto deja abiertas numerosas puertas traseras que son aprovechadas con fines maliciosos para un amplio abanico de posibles ataques. Parece increíble, sin embargo, hay una medida extremadamente eficaz para evitar la explotación de la mayoría de vulnerabilidades de este sistema operativo, y además esta medida está a disposición de cualquier empresa; si quieres saber más información sobre este tema, continúa leyendo para saber cómo protegerte del 94% de las vulnerabilidades de Windows. Si necesitas más información, no dudes en ponerte en contacto con nosotros y te ayudaremos!Boletín semanal nº 6 Noticias Seguridad
* Crean un malware capaz de robar datos con un ventilador de PC Un grupo de investigadores de la Universidad Ben Gurion de Israel asegura haber creado un nuevo tipo de malware, capaz de robar datos personales de un ordenador aislado, es decir, que no disponga de conexión a Internet, de una cámara o hardware de audio, utilizando para ello únicamente los sonidos generados por el procesador y los ventiladores del mismo. http://muyseguridad.net/2016/06/29/malware-ventilador-pc/ * Medjack 2: APT orientadas a salud y medicina Medjack (Medical Device Hijack) es la nomenclatura que se ha asignado a un tipo determinado de ataque contra un hospital, más concretamente contra los dispositivos médicos. El propósito de Medjack era introducirse en las redes de los hospitales y crear puertas traseras en ellas. Una vez infectaban los dispositivos con malware, trataban de moverse lateralmente para robar información sensible. Medjack 2 es la segunda edición de este ataque, con similar propósito pero con una novedad: los atacantes añaden una capa de camuflaje con respecto a Medjack para poder burlar las medidas de seguridad. http://www.outlookseries.com/A0977/Security/3499_MEDJACK_2_Attacks_Hospital_Devices.htm https://www.deepdotweb.com/2016/06/26/655000-healthcare-records-patients-being-sold/ * Vulnerabilidades en certificados gratuitos de StartEncrypt Thijs Alkemade (@xnyhps), un investigador de seguridad de la empresa holandesa CompuTest, ha descubierto múltiples defectos de diseño e implementación de StartEncrypt, una herramienta creada en junio pasado por la empresa israelí StartCom para emitir certificados SSL gratis. Esta oferta es la competencia de Let's Encrypt. Los usuarios que desean implementar certificados libres de StartSSL aprovechando esta oferta de StartEncrypt, sólo tienen que descargar un cliente de Linux y desplegarlo en los servidores. Este cliente realiza un proceso de validación de dominio, emite e instala un certificado SSL de "Validación Extendida" (EV) para el dominio que ha encontrado en el servidor. http://news.softpedia.com/news/flaws-in-free-ssl-tool-allowed-attackers-to-get-ssl-certificates-for-any-domain-505977.shtml * El cibercrimen se duplica en España * Anuncio chino infecta 85 millones de usuarios de Android para obtener más clics Una campaña de malware basado en Android se ha encontrado para controlar un máximo de 85 millones de dispositivos Android en todo el mundo y está haciendo su banda un estimado de $ 300.000 por mes en ingresos por publicidad fraudulenta. Una compañía de publicidad china llamada Yingmob se encarga de distribuir el malware en una escala masiva y parece ser la misma firma detrás Yispecter IOS software malicioso , la compañía de seguridad cibernética Check Point reveló. http://thehackernews.com/2016/07/android-malware-china.html * Vulnerabilidades en el sito web de BMW permiten robar sesiones Recientemente, el investigador de seguridad Benjamin Kunz Mejri de Vulnerability-Lab ha revelado una serie de vulnerabilidades 0-Day que residen en el dominio del sitio web oficial de BMW y en el portal de ConnectedDrive. Las vulnerabilidades permanecen sin parchear y totalmente abiertas a cualquier atacante. VIN es un código único para identificar modelos de vehículos individuales conectados al servicio. La primera es una vulnerabilidad en el manejo de sesión de VIN (Vehicle Identification Number) que reside en la aplicación oficial de BMW ConnectedDrive. Este es un sistema de información y entretenimiento que ofrece una amplia gama de servicios inteligentes y aplicaciones que proporcionan información y entretenimiento durante el viaje, así como permite recibir-leer-responder correos electrónicos, administrar dispositivos conectados, ayuda a regular el sistema de calefacción, las luces y la alarma y permite obtener información del tráfico en vivo. http://thehackernews.com/2016/07/bmw-hacking-smart-car.html * Google lanza 100 actualizaciones para Android Google lanzó un gran lote de parches para Android. En total son más de 100 correcciones a componentes del sistema operativo y ciertos controladores específicos de distintos fabricantes. El componente "Mediaserver" de Android, que maneja el procesamiento de secuencias de vídeo y audio, ha sido fuente de muchas vulnerabilidades en el pasado y fue componente con mayor cantidad de actualizaciones de seguridad. Es responsable del 16 vulnerabilidades de Android, incluyendo 7 defectos críticos que pueden permitir a un atacante ejecutar código con privilegios elevados. http://www.csoonline.com/article/3092238/security/google-fixes-over-100-flaws-in-android-many-in-chipset-drivers.html * Facebook Messenger añade cifrado de extremo a extremo (opcional) para conversaciones secretas Facebook ha comenzado el despliegue de cifrado de extremo a extremo para su aplicación Messenger, haciendo así las conversaciones de sus usuarios completamente privada. La función de cifrado de extremo a extremo, llamado " Conversaciones secretas ", permitirá a los usuarios de Messenger para enviar y recibir mensajes de una manera que nadie, ni siquiera el FBI con una orden de piratas informáticos, y ni siquiera el mismo Facebook, puede interceptarlos. http://thehackernews.com/2016/07/facebook-messenger-secret-conversation.html * Los hackers pueden robar tu clave de cajero automático de su SmartWatch o pulsera de ejercicios Un estudio reciente de la Universidad de Binghamton también sugiere su SmartWatch o rastreador de fitness no es tan seguro como usted piensa - y que podría ser utilizado para robar su código PIN de la atmósfera. El riesgo radica en los sensores de movimiento utilizados por estos dispositivos portátiles. Los sensores también recoger información sobre sus movimientos de la mano, entre otros datos, por lo que es posible que "los atacantes se reproducen las trayectorias" de la mano y "recuperan las entradas de clave secreta.“ http://thehackernews.com/2016/07/hacking-smartwatch-atm.html
