Documento filtrado del FBI revela cómo es que la agencia puede acceder a datos de WhatsApp, WeChat, iMessage, Telegram, Line, Signal, Wickr y Facebook Messenger

Todos sabemos que las plataformas de redes sociales y servicios de mensajería instantánea son muy poco amistosos con la privacidad de sus usuarios, aunque no siempre tenemos claro en qué forma se produce esta invasión a nuestra información confidencial. No obstante, gracias al trabajo de Mallory Knodel y el Centro para la Democracia y Tecnología fue posible saber cómo es que estas compañías comparten detalles que no deberían.

Knodel compartió con Rolling Stone un documento del Buró Federal de Investigaciones (FBI) en el que la Agencia reconoce la facilidad con la que es posible recolectar datos desde fuentes como iMessage y WhatsApp, pues solo se requiere una orden judicial. Según este documento, las aplicaciones de Apple y Facebook son increíblemente permisivas en cuanto el acceso a la información de sus usuarios.

Si bien Facebook (o Meta) y Apple han enfocado sus campañas de marketing en la privacidad de sus servicios, cientos de periodistas, activistas y usuarios han señalado cómo es que las agencias policiales explotan las plataformas en línea para extraer información y colaborar con las tareas de vigilancia en decenas de países con gobiernos represores.

El informe del FBI, titulado como “Acceso Legal” y publicado a inicios de 2021 también recalca que estas apps realizan una gran labor manteniendo a los hackers a raya, aunque reconocen que los usuarios son completamente vulnerables a la actividad de agencias policiales, que pueden recurrir a diversas vías legales para la extracción de datos confidenciales almacenados por estas compañías.

Además de reconocer esta práctica, el documento incluye una guía detallada sobre el tipo de información a la que la agencia puede acceder a través de estas solicitudes legales, que abarcan las 9 aplicaciones de mensajería más importantes del mundo, incluyendo WhatsApp, WeChat, iMessage, Telegram, Line, Signal, Wickr y Facebook Messenger.

Este documento detalla cómo es que el FBI tiene a su disposición todo un equipo legal para obtener acceso a grandes cantidades de información en las apps de mensajería más populares, usadas por miles de millones de personas en todo el mundo, con lo que podemos pensar que nadie está a salvo de la vigilancia gubernamental.

Especialistas en ciberseguridad señalan que es demasiado inusual que las agencias policiales puedan acceder a tanta información, por lo que el tema debería preocupar a los usuarios, agencias gubernamentales y activistas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Documento filtrado del FBI revela cómo es que la agencia puede acceder a datos de WhatsApp, WeChat, iMessage, Telegram, Line, Signal, Wickr y Facebook Messenger apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad día cero en Zoom afecta a usuarios de Linux, Windows, Apple y Android

Los equipos de seguridad de Zoom anunciaron el lanzamiento de parches para dos vulnerabilidades que podrían afectar a los usuarios de Windows, iOS, macOS, Android y Linux. Reportadas por Google Project Zero, las fallas residen en el cliente Zoom para las principales plataformas y su explotación permitiría el despliegue de ataques de ejecución de código.

Identificada como CVE-2021-34423, la primera de las fallas es considerada de alta severidad y también podrían afectar otros componentes y kits de desarrollo de software (SDK). Acorde a Zoom: “esto permitiría a los actores de amenazas bloquear el servicio o la aplicación afectada, además de la ejecución de código arbitrario”.

La segunda vulnerabilidad, identificada como CVE-2021-34424, fue descrita como un error de corrupción de memoria que permitiría exponer el estado de la memoria de proceso en diversos procesos en múltiples productos y componentes: “La falla podría ser explotada para obtener información sobre áreas arbitrarias en la memoria del producto afectado”, señala el reporte.

Entre los productos afectados se encuentran:

• Zoom Client for Meetings para Android, iOS, Linux, macOS y Windows, versiones anteriores a 5.8.4
• Zoom Client for Meetings para Blackberry (iOS y Android) versiones anteriores a 5.8.1
• Zoom Client for Meetings para intune (iOS y Android), versiones anteriores a 5.8.4
• Zoom Client for Meetings para Chrome, versiones anteriores a 5.0.1
• Zoom Rooms para Conference Room (Android, AndroidBali, macOS, y Windows), versiones anteriores a 5.8.3
• Controladores para Zoom Rooms (iOS, Android y Windows) anteriores a v5.8.3
• Zoom VDI anteriores a v5.8.4
• Zoom Meeting SDK para Android, versiones anteriores a 5.7.6.1922
• Zoom Meeting SDK para iOS, versiones anteriores a 5.7.6.1082
• Zoom Meeting SDK para macOS, versiones anteriores a 5.7.6.1340
• Zoom Meeting SDK para Windows, versiones anteriores a 5.7.6.1081
• Zoom Video SDK (iOS, Android, macOS y Windows), anteriores a versiones 1.1.2
• Controlador Zoom On-Premise Meeting, versiones anteriores a 4.8.12.20211115
• Zoom On-Premise Meeting, versiones anteriores a 4.8.12.20211115
• Conector Zoom On-Premise Recording, versiones anteriores a 5.1.0.65.20211116

Zoom también implementó un nuevo mecanismo de actualización automática a la versión de escritorio del software para ayudar a los usuarios a encontrar y aplicar actualizaciones de seguridad de forma oportuna, evitando que las fallas conocidas sean explotadas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad día cero en Zoom afecta a usuarios de Linux, Windows, Apple y Android apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Red de Panasonic fue hackeada. Se filtran miles de registros sensibles

Hace unos días Panasonic confirmó un incidente de brecha de datos que resultó en el compromiso de un servidor de archivos que podría haber almacenado información confidencial. Al respecto, la firma japonesa sólo confirmó que el incidente había sido detectado el pasado 11 de noviembre, aunque rechazaron agregar más información debido a que la investigación seguía en curso.

Al respecto, el sitio web japonés NHK publicó un informe en el que aseguran que el servidor comprometido almacenaba información confidencial sobre socios empresariales, empleados y tecnología desarrollada por Panasonic. Si bien la compañía cerró el acceso no autorizado cuando se detectó el incidente, sus equipos de seguridad siguen tratando de determinar si la información expuesta se vio comprometida.

Panasonic ordenó una investigación a cargo de una firma de ciberseguridad externa, lo que permitiría determinar el alcance del incidente y saber exactamente qué registros pudieron verse comprometidos, por lo que más información podría aparecer eventualmente. Aunque Panasonic no lo ha confirmado, se menciona que actores desconocidos accedieron al servidor en múltiples ocasiones entre junio y noviembre; la compañía no desmintió el informe de NHK, por lo que se cree probable que las estimaciones de estos investigadores sean legítimas.  

Este incidente fue detectado justo un año después de que la división de Panasonic en India confirmaran que sus sistemas de información fueron comprometidos por actores de amenaza no identificados, los cuales lograron extraer información confidencial y trataron de extorsionar a la compañía a cambio de no revelar estos datos.

En total, los atacantes filtraron 4GB de datos, incluyendo registros financieros, credenciales de inicio de sesión y direcciones email. Aunque Panasonic India confirmó el incidente, la compañía nunca encontró evidencia de uso malicioso de estos registros, por lo que el casos e dio por cerrado.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Red de Panasonic fue hackeada. Se filtran miles de registros sensibles apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cibercriminales que ayudaron a hacer trampa para obtener certificaciones Cisco, EC-Council y CompTIA son arrestados. Descubren nuevo modus operandi

Las autoridades de India arrestaron a tres individuos acusados de participar en una operación fraudulenta con el fin de hacer trampa en la presentación de un examen para obtener certificaciones de Cisco, E-Council y CompTIA. Entre los arrestados se incluye un ingeniero que solía trabajar para Delhi.

Según el reporte, las certificaciones en línea están siendo ofrecidas por un gran número de empresas e incluyen la presentación de varios cursos que los aspirantes a algunos puestos de trabajo necesitan presentar para ser considerados para un empleo. La utilidad del examen en línea se había disparado después del estallido de COVID-19 y el cierre de los institutos educativos durante el aislamiento por coronavirus.

Estas certificaciones están siendo proporcionadas por varias organizaciones de renombre en varios campos, como certificaciones CISCO, certificaciones CompTIA y certificaciones EC-Council, que juegan un papel fundamental en la selección y colocación de un empelado en los sectores de la tecnología, telecomunicaciones y otros.

Las instituciones que realizan las pruebas en línea deben implementar varias medidas para salvaguardar la integridad general del proceso de selección, lo que involucra la legitimidad del examen. En estos procesos incluso se involucra el uso de inteligencia artificial para monitorear a los usuarios que presentan sus exámenes a distancia.

Tal como menciona India Today, los arrestados contactaban a usuarios que fueran a presentar estas pruebas para ofrecer esta ayuda ilegítima; a través de un servicio VoIP y con los datos de una cuenta bancaria, los usuarios arreglaban el trato. Los hackers solicitaban al usuario que descargara el software Iperius Remote, que les brindaba acceso remoto al equipo del usuario y así poder presentar el examen en su lugar. Después de múltiples casos de puntuaciones inusualmente altas, las autoridades comenzaron a investigar, incluso empleando señuelos para atraer a los hackers.

Al contar con la información suficiente, las autoridades determinaron que los exámenes estaban siendo manipulados empleando métodos de hacking, por lo que se ordenó la intervención de los cuerpos policiales en las localidades donde fue detectada esta conducta. Durante la investigación se detectó el número de teléfono, número de cuenta bancaria y dirección IP de un miembro de este grupo, lo que permitió a las autoridades indias identificar a otros sospechosos. Los primeros arrestos fueron llevados a cabo este 24 de noviembre.

Aún se ignora el método que emplearon los hackers para acceder a información privilegiada de los exámenes, aunque la intervención de un atacante interno podría ser la respuesta.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cibercriminales que ayudaron a hacer trampa para obtener certificaciones Cisco, EC-Council y CompTIA son arrestados. Descubren nuevo modus operandi apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

CronRAT; el troyano que se oculta en fechas inexistentes como el 31 de febrero

Especialistas en ciberseguridad reportan la detección de un nuevo troyano de acceso remoto (RAT) capaz de ocultarse en los servidores afectados con un método realmente inusual. Identificado como CronRAT, este desarrollo malicioso oculta sus procesos al programar su ejecución en 31 de febrero y otras fechas inexistentes usando una función de los sistemas Linux.

Identificado por la firma de seguridad Sansec, CronRAT es parte de una tendencia creciente en el malware Magecart centrado en servidores Linux. En pocas palabras, CronRAT permite el robo de datos Magecart del lado del servidor.

Los investigadores describen este malware como “un desarrollo sofisticado” y capaz de esquivar múltiples mecanismos de protección antivirus; Sansec incluso tuvo que reescribir su motor de detección de malware para identificar esta herramienta de hacking. Los expertos bautizaron a CronRAT en referencia a cron, la herramienta de Linux que permite programar trabajos en el sistema.

Según el reporte publicado por la compañía, la principal característica de CronRAT es ocultarse en el subsistema mencionado empleando una fecha inexistente, lo que no es identificado como una conducta inusual por los administradores del servidor ya que la mayoría de soluciones de seguridad no se toman el tiempo de escanear la función cron.

Una vez que se ha programado la tarea maliciosa, el malware lanza un sofisticado programa Bash que presenta autodestrucción, modulación de tiempo y un protocolo binario personalizado para comunicarse con un servidor de control externo.

El uso de herramientas de skimming como Magecart es un problema que no desaparecerá pronto, ya que las plataformas e-commerce siguen ganando popularidad gracias a su facilidad de uso, especialmente durante la pandemia. La popularidad de estos sitios web vuelve más fáciles los ataques; cifras recientes indican que más de 4,100 tiendas en línea en E.U. fueron atacadas con esta táctica durante el último mes antes del Black Friday.

Por si fuera poco, los expertos aseguran que esta clase de delitos incrementan considerablemente durante la época navideña, ya que es el momento del año en que los usuarios tienen más recursos a su disposición.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo CronRAT; el troyano que se oculta en fechas inexistentes como el 31 de febrero apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Administradores de 35 canales de Telegram detenidos por vender falsos certificados de vacunación COVID-19

Las autoridades italianas, en colaboración con especialistas en ciberseguridad, reportaron el desmantelamiento de un grupo cibercriminal dedicado a una estafa relacionada con la elaboración y venta de certificados falsos de vacunación COVID-19 a través de diversos canales de Telegram.

A través de un comunicado, la Oficina del Fiscal de Delitos Cibernéticos de Milán reveló que su colaboración con la firma de seguridad Group-IB permitió identificar a diversos individuos que administraban unos 35 canales de Telegram diferentes, donde supuestamente se vendían falsos certificados de vacunación con códigos QR.

Estos certificados, también conocidos como Green Pass, han sido implementados por los gobiernos de múltiples países con el fin de validar que el titular ha recibido el esquema completo de vacunación contra el coronavirus. Desde el verano pasado, Italia exige el uso del Green Pass como parte de sus políticas sanitarias, extensiva para turistas, estudiantes y trabajadores de instituciones públicas y privadas.

En su reporte, Group-IB señala que los operadores de esta estafa obtuvieron acceso a los certificados de algunos trabajadores de salud, lo que utilizaron para crear cientos de registros falsos y engañar a aquellos interesados en circular libremente por Europa sin tener que aplicarse realmente la vacuna. Los clientes de este grupo solo tenían que ingresar a un canal secreto en Telegram y enviar algunos datos personales para que los hackers pudieran elaborar el certificado falsificado.

El pago por este servicio debía completarse a través de múltiples métodos, incluyendo transferencias de Bitcoin y Ethereum e incluso a través de PayPal y tarjetas de regalo en Amazon. Cuando los usuarios enviaban su información personal y detalles de pago a los hackers, el grupo simplemente eliminaba el chat de Telegram y desaparecía sin dejar rastro.

Estos canales llegaron a atraer a más de 100,000 usuarios de Telegram y ofrecían este certificado falso por unos $130 USD. Por el momento se ignora cuántas personas resultaron estafadas y si es que algunos de los clientes en realidad recibieron este certificado falso, aunque las autoridades italianas siguen indagando en el caso. Group-IB publicó un informe extensivo sobre esta investigación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Administradores de 35 canales de Telegram detenidos por vender falsos certificados de vacunación COVID-19 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica en Apache HTTP explotada activamente; actualice ahora

Los responsables de Apache HTTP recomiendan a los usuarios mantener sus implementaciones actualizadas debido a la reciente detección de una vulnerabilidad explotada activamente. Identificada como CVE-2021-40438, la falla fue descrita como una falsificación de solicitudes del lado del servidor (SSRF) explotada en servidores web httpd con el módulo mod_proxy habilitado.

Según el reporte, la vulnerabilidad puede ser explotada por actores de amenazas empleando una solicitud especialmente diseñada para forzar el reenvío de solicitudes a un servidor arbitrario y fuera del control de las víctimas. La falla fue detectada por los equipos de seguridad de Apache HTTP durante la investigación de otro error de seguridad, lo que permitió identificar que esta falla reside en todas las versiones anteriores a 2.4.48.

“Mediante el envío de una solicitud especialmente diseñada, es posible forzar al módulo mod_proxy para enrutar las conexiones de un servidor de origen establecido por los hackers, lo que permite la extracción de información confidencial o el acceso a servidores internos”, señala el reporte de los administradores.

Hasta el momento se han identificado alrededor de 500,000 servidores usando versiones vulnerables de httpd, aunque Apache menciona que servicios como Amazon Web Services (AWS), Microsoft Azure y Google Cloud cuentan con mecanismos de seguridad adicionales, por lo que solo los usuarios administrando solo servidores httpd podrían verse afectados.

Múltiples exploits de prueba de concepto (PoC) ya han sido publicados, además ya se han registrado algunos casos de explotación activa. Un reporte de Cisco señala la detección de cinco vulnerabilidades en Apache HTTP que afectan a algunos de sus productos, incluyendo Prime Collaboration Provisioning, Security Manager, Expressway y TelePresence Video Communication Server.

Por otra parte, la compañía también señala que su equipo de respuesta a incidentes de seguridad de productos fue notificado sobre múltiples intentos de explotación relacionados con CVE-2021-40438. La autoridad de ciberseguridad en Alemania también ha reportado casos de explotación activa, por lo que es un hecho confirmado que al menos un grupo de hacking está detrás de los ataques de CVE-2021-40438.

Las actualizaciones ya están disponibles, por lo que se invita a los usuarios de implementaciones afectadas a actualizar a v2.4.49, versión corregida de Apache HTTP.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en Apache HTTP explotada activamente; actualice ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Así fue arrestada banda de 1,000 estafadores que operaba desde diferentes países y robó millones de dólares a miles de personas

Una operación coordinada por Interpol llevó al arresto de 1,000 individuos presuntamente involucrados en múltiples operaciones cibercriminales, incluyendo fraude bancario, estafas románticas, lavado de dinero y plataformas de apuestas ilegales. La llamada Operación HAEICHI-II tuvo lugar entre junio y septiembre de este año y contó con la colaboración de las autoridades de más de 20 países en África, Asia y Europa.

Además de los arrestos, las autoridades lograron incautar casi $30 millones USD y congelar más de 2,500 cuentas bancarias operadas por esa red criminal. Acorde a Interpol, los hackers estaban desplegando al menos 10 nuevos modos de operación cibercriminal, lo que demuestra su gran sofisticación y avanzadas capacidades.

Una de las operaciones que resultó más prolífica para los cibercriminales fue una campaña de compromiso de email empresarial en la que engañaron al personal de una compañía textil con sede en Colombia; haciéndose pasar por miembros de una firma legal, los hackers exigieron un pago de $16 millones USD, que fueron cubiertos en dos transferencias diferentes.

Además de las variantes de ataque antes mencionadas, los hackers incursionaron en el phishing, aprovechando temas populares como “El Juego del Calamar”, la serie de Netflix del momento. Mediante el desarrollo de supuestos juegos para móviles relacionados con la serie, los hackers crearon apps troyanizadas para acceder a miles de smartphones afectados.

Una vez instaladas en los dispositivos comprometidos, estas apps maliciosas iniciaban comunicaciones con un servidor controlado por los atacantes para suscribir a los usuarios afectados a servicios SMS Premium sin su consentimiento, generando ganancias sustanciales considerando el número de usuarios infectados.

La Operación HAEICHI-II es la continuación de HAEICHI-I, uno de los más importantes esfuerzos coordinados por Interpol para el combate a la actividad cibercriminal. La primera de estas operaciones tuvo lugar entre septiembre de 2020 y marzo de 2021, involucrando a más de 40 agentes desplegados a lo largo de toda Asia, quienes trabajaron para lograr unos 500 arrestos.

HAEICHI-I permitió incautar más de $80 millones USD y congelar más de 1,500 cuentas pertenecientes a diversos grupos de estafadores, además de sentar el precedente para el despliegue de la segunda versión de esta operación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).  

El cargo Así fue arrestada banda de 1,000 estafadores que operaba desde diferentes países y robó millones de dólares a miles de personas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¿Qué son los ataques de cero clics y cómo prevenirlos?

Uno de los riesgos de ciberseguridad más serios actualmente son los ataques de cero clics. En términos generales, esta táctica cibercriminal permite a los actores de amenazas infiltrarse en dispositivos y sistemas sin requerir que el usuario afectado realice acciones adicionales, por lo que son variantes de hacking sumamente eficaces y difíciles de detectar.

Los atacantes suelen recurrir a la explotación de peligrosas vulnerabilidades sin corregir para lograr un compromiso con cero clics, lo cual puede ser realizado a través de campañas de spam, uso de apps de mensajería y sitios web de dudosa reputación. Para empeorar las cosas, en dark web existe todo un mercado negro de exploits de cero clics, que se venden al mejor postor con la finalidad de obtener grandes ganancias.

Si bien un exploit de cero clics puede resultar costoso, los hackers no dudan en pagar altas cantidades por estas herramientas debido a que no requieren el despliegue de ataques de ingeniería social, simplificando el proceso de hacking al máximo posible y sin necesidad de interactuar con el usuario objetivo, que podría tener conocimientos suficientes para detectar un archivo adjunto malicioso.

Como se menciona anteriormente, un ataque de cero clics usualmente abusará de plataformas de mensajería y llamadas de voz, como WhatsApp, ya que estos servicios admiten contenido desde fuentes desconocidas. Los actores de amenazas pueden usar datos especialmente diseñados para enviarlos a los usuarios usando medios como redes WiFi, Bluetooth, GSM y LTE, lo que desencadenará la explotación de una vulnerabilidad de hardware o software.

Alcance y potencial de un ataque de cero clics

Los ataques de cero clic son altamente sofisticados, por lo que están a cargo de hackers avanzados y con amplios recursos económicos y tecnológicos a su disposición. Un ataque exitoso permitiría a los hackers realizar tareas insólitas, como copiar toda la bandeja de entrada de un usuario y extraer información confidencial sin indicios de actividad maliciosa.

Existen muchas razones por las cuales temer a un ataque de estas características, aunque a continuación se enlistan solo algunas de ellas:

• Los ataques de cero clics no requieren que la víctima haga clic en enlaces maliciosos, descarguen archivos adjuntos o visiten sitios web fraudulentos, además de que todo sucede en segundo plano
• Los atacantes no necesitan preparar una carnada para atraer a las víctimas potenciales, volviendo más eficientes los ataques
• Esta variante de ataque permite instalar herramientas de seguimiento específicas o software espía en los dispositivos de la víctima
• Los ataques de cero clics pueden evadir casi cualquier software de seguridad, ya sea herramientas de detección de malware, firewalls u otros
• Esta variante no deja prácticamente ningún rastro de actividad maliciosa

Evite un ataque de cero clics

Como podrá ver, este es un verdadero riesgo de seguridad, que además limita las opciones de los usuarios afectados por más conocimientos y herramientas de seguridad a su disposición. Para prevenir estos ataques, lo mejor es adoptar un enfoque preventivo, manteniendo nuestras herramientas de software siempre actualizadas para evitar que los actores de amenazas puedan explotar vulnerabilidades en estos sistemas sin que siquiera podamos darnos cuenta.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¿Qué son los ataques de cero clics y cómo prevenirlos? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Búsqueda de videojuegos gratuitos en YouTube muestra enlaces a troyanos. Tenga cuidado al buscar juegos

Durante la temporada navideña incrementan los riegos de ciberataque para múltiples objetivos, incluyendo la comunidad gamer. Expertos en ciberseguridad reportan que esto se debe a que varios desarrolladores deciden lanzar sus cartas fuertes durante los últimos meses del año. Los entusiastas de los videojuegos están esperando el lanzamiento de títulos anticipados, como Forza Horizon 5, Skyrim y Battlefield 2042, lo que los actores de amenazas tratarán de explotar para su propio beneficio.

Acorde a un reporte de Malwarebytes, durante las últimas 24 horas comenzaron a aparecer videos en YouTube como resultado de algunas búsquedas relacionadas con videojuegos, incluyendo Skyrim, PUBG, Cyberpunk, COD, GTAV y muchos otros.

Los resultados de estas búsquedas tienen algo en común: todas llevan al usuario a videos que anuncian supuestas claves de Stream gratuitas. Aunque estos videos son publicados por diversos canales en YouTube, al hacer clic en los enlaces incluidos en la descripción se redirige al usuario al mismo sitio web de descargas.

Una vez en este sitio web, los usuarios encontrarán un archivo identificado como SteamKeyGeneration.rar, de menos de 5MB. Además, los canales de YouTube que contienen estos enlaces también incluyen instrucciones para descargar este archivo y ejecutarlo en el sistema del usuario.

El archivo descargado está protegido con contraseña, la cual está en la descripción del video respectivo. Una vez que el archivo se ejecuta en el sistema afectado, se completará la infección.

El malware fue identificado como Trojan.Malpack, un concepto genérico para referirse a los archivos empaquetados de forma sospechosa. Si bien la carga útil puede tratarse de cualquier variante de malware, indudablemente esta es una táctica maliciosa. Una campaña similar fue identificada en 2018, cuando diversos usuarios de Fortnite fueron engañados por un grupo de hacking para instalar Trojan.Malpack en sus propios sistemas. En esa ocasión, los hackers lograron robar la información de miles de personas.

YouTube enfrenta con frecuencia a campañas similares con temáticas variadas, como soluciones VPN gratuitas, inversión en criptomonedas, guías prácticas y otros temas. Los videos con enlaces bitly envían a las víctimas a sitios de descarga como Mega. Los enlaces no abreviados redirigen a taplink para empujar a Racoon Stealer. Las máquinas objetivo se escanean en busca de detalles de tarjetas, contraseñas, billeteras de criptomonedas y otras formas de datos, que son enviadas a los actores de amenazas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Búsqueda de videojuegos gratuitos en YouTube muestra enlaces a troyanos. Tenga cuidado al buscar juegos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Un hombre es arrestado por hackear el sitio web del supermercado Wegmans y ordenar comestibles por valor de $10,000 USD

Un reporte del Departamento de Justicia de E.U. (DOJ) revela que un residente de la ciudad de Nueva York ha sido acusado de hackear al menos 59 cuentas de clientes de Wegmans Food Market, realizando pedidos no autorizados por hasta $10,000 USD. Maurice Sheftall, de 23 años, fue arrestado al comprobarse que fue él quien estuvo a cargo de los accesos no autorizados a las cuentas comprometidas.

Según el DOJ, el acusado trató de hackear 74 cuentas, teniendo éxito en al menos 59 casos. Por estos actos, Sheftall enfrenta hasta 20 años en prisión y una multa de hasta $250,000 USD. Después de pagar una fianza, se acordó que el acusado lleve su proceso legal en libertad, aunque deberá comparecer continuamente ante las autoridades locales.

Al parecer, la investigación comenzó cuando decenas de usuarios del sitio web reportaran la detección de múltiples cargos no reconocidos. Después de comprobar la actividad inusual, Wegmans solicitó la asistencia del Buró Federal de Investigaciones (FBI), cuyos agentes rastrearon al acusado.

Al respecto, un representante de la compañía mencionó: “Nos tomamos muy en serio situaciones como esta y hemos analizado minuciosamente los datos para asegurarnos de que toda la información afectada esté protegida. La investigación sigue en curso, por lo que no podemos brindar más detalles”.

Aún se desconoce qué método de hacking utilizó el acusado, además de que se ignora si actuó solo o contó con la colaboración de algún cómplice interno o ajeno a la compañía. Más información podría conocerse al terminar el juicio en su contra.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Un hombre es arrestado por hackear el sitio web del supermercado Wegmans y ordenar comestibles por valor de $10,000 USD apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Nueva investigación: millones de smartphones Huawei están infectados con malware

Especialistas de la firma de seguridad Dr Web reportan la detección de múltiples aplicaciones infectadas con malware en AppGallery, la tienda de aplicaciones oficial de Huawei. Las apps están infectadas con Android.Cynos.7.origin, una variante del conocido troyano Cynos, y han sido instaladas más de 9 millones de veces.

Cabe recordar que Huawei lanzó AppGallery después de que la administración de Donald Trump prohibiera a esta y otras compañías tecnológicas chinas en E.U. acceder a tecnología de E.U., lo que incluye al sistema operativo Android. Debido a esta decisión, todos los smartphones Huawei funcionan con su propio sistema operativo y solo pueden acceder a las aplicaciones disponibles en su propia tienda de aplicaciones.

Según los expertos, al ser instaladas las aplicaciones comprometidas exigen múltiples permisos, incluyendo la capacidad de realizar y administrar llamadas telefónicas. Si el usuario otorga estos permisos, las apps comienzan a recopilar datos del sistema y enviarlos a un servidor controlado por los atacantes, incluyendo número telefónico, detalles de ubicación, operador móvil y otros registros.

Sobre las apps comprometidas, los investigadores señalan que estas incluyen emuladores y juegos para móviles de diversos géneros, algunos incluso dirigidos a niños y adolescentes, lo que incrementa el riesgo de acceso a información sensible. Las aplicaciones también se dirigieron a una variedad de nacionalidades al detectar la configuración de idioma y localización, afectando principalmente a usuarios en China y Rusia.

Los investigadores concluyeron su reporte enlistando algunos indicadores de compromiso, que incluyen menor duración de la batería, aparición de íconos desconocidos, ralentización del sistema y aparición de publicidad invasiva.

Al recibir el reporte, Huawei decidió eliminar casi 200 aplicaciones potencialmente comprometidas, además de que se anunciaron nuevas medidas de seguridad para la inclusión de nuevo software en AppGallery en el futuro. Por el momento se desconoce si la compañía tomó alguna medida contra los desarrolladores de estas aplicaciones.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Nueva investigación: millones de smartphones Huawei están infectados con malware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Smartphones con chips MediaTek permiten a los hackers espiar a los usuarios. Nuevas vulnerabilidades descubiertas

En su más reciente investigación, los expertos de Check Point detallan el hallazgo de múltiples fallas de seguridad en el firmware de un procesador de audio instalado en millones de smartphones cuya explotación permitiría espiar a los usuarios afectados. Acorde a los investigadores, casi 40% de los teléfonos en todo el mundo podrían verse expuestos a esta falla, que fue corregida el mes pasado.

La vulnerabilidad reside en los controladores de audio de los chips desarrollados por MediaTek, presentes en cientos de millones de dispositivos de gama media y baja. El sistema de chips de MediaTek cuenta con múltiples funciones, incluyendo este procesador de señal digital, encargado del manejo de audio y que cuenta con su propio código de operación y registros especiales.

Durante su investigación, Check Point pudo aplicar ingeniería inversa al firmware de este sistema de chips, descubriendo que se trataba de un entorno FreeRTOS adaptado con código para procesar audio e intercambiar mensajes con la pila del sistema operativo Android. Esta solución inicia múltiples tareas individuales, como la administración de llamadas telefónicas y uso del micrófono. Las pruebas fueron realizadas en un Xiaomi Redmi Note 9 5G con Android 11.

Usando una app maliciosa, es posible realizar explotar fallas de seguridad en las bibliotecas del sistema y en el código del controlador de audio para realizar un ataque de escalada de privilegios y enviar mensajes directamente al firmware vulnerable. La codificación insegura del firmware permite sobrescribir su memoria y tomar control de la ejecución, mencionan los expertos.

Los hackers pueden reprogramar el administrador de audio para que actúe como un error de escucha encubierto, extrayendo flujos de audio sin procesar del micrófono y ejecutando programas en segundo plano. Slava Makkaveev, investigador de Check Point, menciona: “MediaTek es el fabricante de chips para smartphones más grande del mundo, por lo que creímos posible que podría ser usado con fines maliciosos. Si no se abordan estas fallas, un actor de amenazas podría escuchar las conversaciones de los usuarios de Android”.

MediaTek ya está al tanto de estas fallas, aunque emitió un comunicado en el que descartan la explotación activa de estos ataques. Las fallas ya han sido abordadas, en colaboración con los fabricantes de smartphones que usan esta tecnología.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Smartphones con chips MediaTek permiten a los hackers espiar a los usuarios. Nuevas vulnerabilidades descubiertas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Las 6 mejores herramientas utilizadas por los hackers para robar credenciales de caché de Windows. 5 alternativas a Mimikatz

Aunque algunos usuarios aún lo ignoran, es un hecho conocido que los sistemas Windows almacenan información sobre inicios de sesión de los usuarios de forma local para los casos en que el servidor de inicio de sesión no esté disponible. Acorde a especialistas en seguridad en redes, esta función es conocida como credencial caché de dominio (también conocida como MSCACHE o MSCASH).

Para generar hashes se utiliza el algoritmo MSCACHE, que se almacenan localmente en el registro del sistema operativo Windows (por defecto, los últimos 10 hashes). Hay dos versiones de MSCASH/MSCACHE (o DCC):

• MSCACHEV1 o DCC1 utilizados antes de Windows Vista y Server 2003
• MSCACHEV2 o DCC2 usados después de Windows Vista y Server 2003

En esta ocasión, especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán un método para extraer cuentas del caché de dominio, además de algunas formas de extraer contraseñas con hashing mediante la explotación de un usuario de dominio.

Metasploit

Metasploit es una herramienta que permite a los pentesters recuperar los hashes de MSCACHE almacenados en un sistema Windows. El módulo correspondiente recupera los hashes de dominio que se almacenaron en caché como resultado de una configuración de directiva de grupo. Acorde a los expertos en seguridad en redes, los sistemas Windows almacenan de forma predeterminada la información sobre las últimas 10 autorizaciones exitosas:

use post/windows/gather/cachedump
set session 2
exploit 

Según los resultados de la elaboración del módulo, los hashes de contraseña se descargan de DCC2/MSCACHE, como se muestra en la siguiente captura de pantalla:

Impacket

Esta información también puede ser recuperada usando Python y bibliotecas impacket. Recuerde que antes de usar esta técnica, deberá guardar el sistema y las ramas de registro de seguridad de forma local, para lo cual deberá emplear los siguientes comandos:

reg save hklm\system c:\system
reg save hklm\security c:\secuirty 

A continuación, copie los archivos resultantes en la ubicación de impacket. En este ejemplo, la copia se produce en un sistema con Kali Linux. Luego, para extraer los hash DCC2/MSCACHE, use el siguiente comando:

python secretsdump.py -security -system system LOCAL

El resultado de la ejecución de este script se muestra en la siguiente captura de pantalla:

Mimikatz

Los investigadores de seguridad en redes mencionan que Mimikatz es una de las mejores utilidades de pentesting y extracción de cuentas en Windows. Para extraer los hashes de DCC2/MSCACHEv2, debe instalar Mimikatz en el sistema comprometido y ejecutar el siguiente comando:

privilege::debug
token::elevate
lsadump::cache

El resultado de ejecutar los comandos anteriores se muestra a continuación:

PowerShell Empire

Los expertos mencionan que PowerShell Empire tiene un módulo para extraer los hashes de MSCACHEV2 del registro de una máquina comprometida. Para usar PowerShell Empire en su sistema local, puede descargar y ejecutar los comandos en el sistema objetivo para usar el módulo posterior y luego ingresar un nuevo comando:

usemodule credentails/mimikatz/cache
set agent <agent_id>
execute

Los resultados del trabajo del módulo sobre la descarga de hashes MSCACHEv2 se muestran en la siguiente captura de pantalla:

Koadic

Al igual que con Powershell Empire, puede usar la utilidad Koadic para extraer hashes DCC2 usando el siguiente módulo:

use mimikatz_dotnet2js
set MIMICMD lsadump::cache

Los resultados se muestran en la siguiente captura de pantalla:

Scripts de Python

Al igual que en el ejemplo de impacket, puede utilizar el script mscache.py para recuperar los hashes de MSCACHEV2. Descargue el script de GitHub y, durante el inicio, especifique las rutas a los archivos cargados como parámetros:

python mscache.py --security /root/Desktop/security –system /root/Desktop/system

El resultado de la ejecución de este script se muestra a continuación:

Descifrado de hashes recibidos

Según mencionan los expertos en seguridad en redes, estos hashes no se utilizan durante los ataques de pase de hash, por lo que se requerirá una herramienta adicional para el descifrado, como John the Ripper:

john --format=mscasch2 --wordlist=/usr/share/wordlists/rockyou.txt mhash

Como resultado, obtenemos la contraseña de texto sin cifrar para el hash especificado. Trate de no confundirse entre DCC2 y MSCACHEV2/MSCASH. Estos hashes son idénticos y se pueden extraer utilizando las técnicas anteriores.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Las 6 mejores herramientas utilizadas por los hackers para robar credenciales de caché de Windows. 5 alternativas a Mimikatz apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Los mejores métodos para mantener tu información personal y tu computadora seguras

La vida ha cambiado mucho respecto a hace unas décadas. Gran culpa de ello está en los teléfonos inteligentes y computadoras, que, a día de hoy, son absolutamente esenciales en nuestro día a día. Y es que usamos dispositivos de tecnología punta a todas horas. Da igual si es para trabajar desde casa o para charlar con amigos, se han convertido en algo indispensable. Debido a esta dependencia, a veces nos vemos expuestos y es normal que temamos por nuestra seguridad. Por ello, es muy importante mantener el contenido de tu computadora y otros dispositivos a buen recaudo. Y de eso trata este artículo. 

¿Por qué es tan importante la seguridad en Internet? 

La razón principal por la que es importante que mantengas tu ordenador seguro es por el hecho de que contiene mucha información importante sobre ti en él. Usamos internet casi para todo: trabajo, comunicación familiar, juegos. De hecho, ahora hasta se apuesta en línea gracias a sitios como https://es.royalvegascasino.com/. En cualquier caso, significa que hay muchos casos en los que subimos información sensible a los sitios web que utilizamos. Por ello, si hay un problema con tu computadora, la información puede caer en manos no gratas, es decir, a disposición de personas que no te gustaría que tuviesen acceso a esa información.  Entonces, ¿cuáles son las mejores formas de mantener segura tu computadora?  

¿Necesitas de verdad estar conectado todo el tiempo? 

Pregúntate si realmente necesitas estar conectado en todo momento a internet. Por supuesto, mucha gente responderá sin pensar que sí. La mayoría de personas esperan mensajes de sus amigos, compañeros de trabajo, actualizaciones en redes sociales, etcétera. Dicho esto, si no eres de este tipo de usuarios y puedes pasar tiempo sin estar conectado, deberías pensar en desactivar internet cuando no lo necesites. Y es que los hackeos se producen, lógicamente, cuando el usuario está conectado a la red de redes. Por tanto, si solo te conectas de forma esporádica, será más difícil que te conviertas en víctima. 

Que sí, que para algunos esta solución resulta inviable. Y es que cada vez necesitamos más y más internet. En caso de que dependas tanto de estar en línea, asegúrate de que estás usando una conexión sólida y segura en todo momento. 

Asegúrate de que tu rúter tiene un buen cortafuegos 

Cuando buscas navegar con seguridad, una de las mejores opciones que existen para ello es la de disponer de un rúter con un buen cortafuegos. Se trata de un hardware que actúa a modo de filtro, como una barrera. Deja pasar lo bueno y bloquea lo malo. Hay una gran gama de proveedores de internet que ofrecen un rúter gratis si contratas sus servicios. Es tentador, pero, antes de hacerlo, asegúrate de que el rúter que regalan dispone de un gran cortafuegos. 

Asegúrate de que tu dispositivo dispone de un cortafuegos decente 

Muchas computadoras de hoy en día tienen un cortafuegos incorporado, pero es algo que deberías comprobar al comprarlo. Los sistemas operativos de los dispositivos Windows y Mac disponen de uno de serie que suele ser de buena calidad. Otro tipo de computadoras portátiles también los ofrecen de serie, pero hay que asegurarse de que son realmente buenos. Comprueba las especificaciones del dispositivo y busca las opiniones existentes sobre su cortafuegos. De esta forma, sabrás no solo si es fácil de usar, sino el nivel de seguridad que brinda.

El cargo Los mejores métodos para mantener tu información personal y tu computadora seguras apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

CVE-2021-41379: Vulnerabilidad día cero sin corregir en Windows 11, Windows 10 y Windows Server 2022

Especialistas en ciberseguridad reportan la publicación de un exploit para una vulnerabilidad día cero en sistemas Windows 10, Windows 11 y Windows Server. Descrita como una escalada de privilegios locales, la falla puede ser explotada para abrir el símbolo del sistema con privilegios SYSTEM desde una cuenta con privilegios mínimos.

La explotación exitosa de la vulnerabilidad permitiría a los actores de amenazas obtener altos privilegios en los sistemas afectados de forma relativamente fácil, lo que eventualmente les permitiría desplazarse a través de la red comprometida. Según el reporte, la falla reside en todas las versiones de los sistemas afectados.

Identificada como CVE-2021-41379, la falla fue abordada por Microsoft en su más reciente parche de seguridad después de que el investigador Abdelhamid Naceri presentara un reporte sobre este error. El mismo Naceri reportó posteriormente un método para evadir la corrección implementada por Microsoft, lo que lleva a un escenario de escalada de privilegios aún más peligroso.

Hace unos días, Naceri publicó una nueva versión de su exploit de prueba de concepto (PoC), mencionando que la vulnerabilidad no fue corregida correctamente, creando un nuevo riesgo de ataque: “He decidido revelar esta variante de PoC, ya que es más poderosa que el exploit original”.

El investigador también explica que, si bien es posible configurar políticas de grupo para restringir el acceso a operaciones de instalación MSI para los usuarios sin privilegios, el exploit puede evadir esta política y lograr el compromiso del sistema. Un grupo de expertos probó el exploit de Naceri, logrando el compromiso del sistema en cuestión de minutos.

Naceri argumenta que divulgó esta nueva versión del exploit después de la frustración generada por el programa de recompensas de Microsoft: “Las recompensas de Microsoft han sido muy malas desde abril de 2020; la comunidad no tomaría esta clase de decisiones si Microsoft se tomara en serio sus recompensas”. El investigador concluyó mencionando que, de haber podido ganar hasta $10,000 USD, recibió un pago de solo $1,000 USD.

Microsoft no se ha pronunciado sobre estos reportes, aunque la comunidad de la ciberseguridad prevé que la compañía lance los parches completos en sus próximas actualizaciones. Naceri también recomienda a los administradores no corregir esta falla parcheando el binario, pues esto podría romper el instalador.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo CVE-2021-41379: Vulnerabilidad día cero sin corregir en Windows 11, Windows 10 y Windows Server 2022 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica en firewalls Cisco ASA y Cisco FTD permite desactivar firewalls y VPN. Actualice de inmediato

Especialistas en ciberseguridad de Positive Technologies reportan la detección de tres vulnerabilidades críticas en los firewalls Adaptative Security Appliance (ASA) y Firepower Threat Defense (FTD), desarrollados por Cisco y cuya explotación permitiría a los actores de amenazas desplegar ataques de denegación de servicio (DoS), entre otros escenarios de riesgo. Según el reporte, las fallas recibieron puntuaciones de 8.6/10 según el Common Vulnerability Scoring System (CVSS), por lo que se recomienda a los usuarios de implementaciones vulnerables actualizar a la brevedad.

Las fallas fueron identificadas como CVE-2021-1573, CVE-2021-34704 y CVE-2021-40118, y sus reportes fueron atribuidos a diversos expertos, incluyendo a los equipos de seguridad de Cisco.

Como algunos usuarios recordarán, Cisco es una empresa líder del mercado de firewall empresarial y otras soluciones de seguridad. Acorde a cifras de la propia empresa, actualmente más de 1 millón de dispositivos Cisco operan en firmas grandes, medianas y pequeñas de todo el mundo.

Nikita Abramov, investigador de Positive Technologies, menciona: “si un hacker logra interrumpir el funcionamiento de las soluciones afectadas, las organizaciones afectadas se quedarían sin firewall acceso remoto vía VPN. Además, la ausencia de firewall reducirá considerablemente las defensas contra amenazas de seguridad”.

El experto agrega que los actores de amenazas no necesitan altos privilegios en el sistema vulnerable o acceso especial para explotar este error, ya que basta con formar una simple solicitud en la que una de las partes será de un tamaño diferente al esperado por el dispositivo objetivo. Un análisis más detallado de la solicitud provocará un desbordamiento del búfer y el sistema se apagará, forzando un reinicio.

Cisco publicó un informe detallado para abordar las fallas encontradas, por lo que se recomienda a los administradores apegarse a estas recomendaciones de seguridad, que incluyen actualizaciones oficiales. Por el momento no se conocen soluciones alternativas a estas fallas, por lo que lo mejor será actualizar a la brevedad.

La compañía agrega que hasta el momento no se han detectado intentos de explotación activa de estas fallas o la existencia de una variante de malware asociada al ataque.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en firewalls Cisco ASA y Cisco FTD permite desactivar firewalls y VPN. Actualice de inmediato apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

GoDaddy es hackeada otra vez; fuga de datos confidenciales de los clientes

A través de una alerta de seguridad, GoDaddy confirmó que hasta 1.2 millones de sus clientes se verían expuestos a múltiples escenarios maliciosos debido al acceso no autorizado a un entorno de hosting administrado a través de la plataforma WordPress de la compañía. La actividad maliciosa fue detectada el 17 de noviembre, aunque el acceso no autorizado habría iniciado en septiembre pasado.

El reporte, firmado por el director de TI Demetrius Comes, señala que GoDaddy identificó la actividad sospechosa en el mencionado entorno de hosting, por lo que de inmediato se puso en contacto con la una firma de ciberseguridad y se alertó a las autoridades correspondientes.

GoDaddy reconoce que los actores de amenazas podrían haber accedido a múltiples detalles de los clientes, incluyendo:

• Registros de más de 1 millón de clientes de WordPress, lo que implica un riesgo de phishing
• Contraseñas de administrador de WordPress establecidas en el momento del aprovisionamiento
• Claves SSL privadas

La compañía también reveló una infracción el año pasado, en mayo, cuando alertó a algunos de sus clientes que una parte no autorizada usó las credenciales de su cuenta de alojamiento web en octubre para conectarse a su cuenta de alojamiento a través de SSH.

Los equipos de seguridad de GoDaddy descubrieron ese incidente después de detectar un archivo SSH alterado en el entorno de alojamiento de GoDaddy y actividad sospechosa en un subconjunto de los servidores de la compañía.

Esta no es la primera vez que ocurre un incidente similar. En 2019, un grupo cibercriminal logró usar cientos de cuentas de GoDaddy comprometidas para crear 15,000 subdominios, intentando hacerse pasar por sitios web populares y redirigir a las víctimas potenciales a páginas de spam que promocionaban productos fraudulentos. A principios de 2019, se descubrió que GoDaddy inyectaba JavaScript en los sitios de los clientes de E.U.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo GoDaddy es hackeada otra vez; fuga de datos confidenciales de los clientes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Expertos en ciberseguridad hackean el portal de pago del ransomware Conti para filtrar claves de cifrado

Durante el fin de semana se confirmó que una compañía de ciberseguridad logró acceder a la dirección IP real de uno de los servidores controlados por los operadores del ransomware Conti, lo que les permitió acceder a una consola del sistema afectado y permanecer ocultos por casi un mes. Al parecer, el servidor expuesto es donde reside la plataforma de pagos de este grupo de hacking, la cual deben visitar las víctimas para pagar los rescates.

En su informe de más de 50 páginas, la firma suiza Prodaft reveló algunos detalles del incidente: “Nuestro equipo detectó una vulnerabilidad en los servidores utilizados por Conti, aprovechando este error para descubrir las direcciones IP reales del servicio oculto que aloja el sitio web de recuperación del grupo”. El servidor fue identificado como 217.12.204.135, dirección IP asociada a la firma de hosting web ITL LLC.

Los investigadores también mencionan que, mientras persistieron en los servidores comprometidos, lograron monitorear el tráfico en la red buscando otras direcciones IP asociadas a este servicio. Aunque la mayoría de conexiones pertenecían a algunas víctimas de Conti, los expertos también encontraron más servicios de los atacantes, la mala noticia es que estos eran solo los nodos de salida Tor usados por Conti, por lo que no fue posible encontrar ás información.

Esto no quiere decir que los expertos no hayan encontrado más información, ya que Prodaft también logró recolectar detalles sobre el sistema operativo del servidor y su archivo hrpasswd, el cual contiene una versión hashing de las contraseñas del servidor.

Los operadores de Conti ya están al tanto del incidente, por lo que desconectaron su portal de pagos de forma momentánea. Esto afectó a las víctimas más recientes de Conti, que no han podido negociar con los hackers por el momento.

So, while both the clearweb and Tor domains of the leak site of the Conti ransomware gang is online and working, both their clearweb and Tor domains for the payment site (which is obviously more important than the leak) is down, possible from some hours ago already…
👀
🤔 pic.twitter.com/hmzR463tFP

— MalwareHunterTeam (@malwrhunterteam) November 18, 2021

Al respecto, los investigadores de MalwareHunterTeam creen que este periodo de inactividad es realmente inusual en un grupo de hacking como Conti, que por lo general mantiene una infraestructura estable y con hackers profesionales. Para el viernes por la noche, el sitio web de pagos de Conti ya estaba de nuevo en línea.

Prodaft concluyó que todos sus hallazgos fueron compartidos con las fuerzas del orden para el despliegue de eventuales acciones legales contra el grupo Conti y sus afiliados. No obstante, estos hallazgos generalmente se mantienen privados tanto como sea posible con el fin de dar tiempo a las fuerzas del orden público para tomar medidas contra los grupos cibercriminales, operaciones que generalmente toman meses.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Expertos en ciberseguridad hackean el portal de pago del ransomware Conti para filtrar claves de cifrado apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cadena de restaurantes California Pizza Kitchen es hackeada; datos confidenciales filtrados

California Pizza Kitchen (CPK), una popular cadena de restaurantes en E.U., reveló que una brecha de datos llevó a la exposición de los registros confidenciales de más de 100,000 empleados antiguos y actuales, incluyendo nombres completos y números de seguridad social. La compañía argumenta que la brecha de datos se produjo debido al compromiso de un sistema externo.

En la notificación que la compañía envió a las autoridades se menciona que este incidente externo habría ocurrido a mediados de septiembre y afectó a un total de 103,767 individuos. Cabe recordar que California Pizza Kitchen fue fundada en Beverly Hills y tiene más de 250 sucursales en gran parte de E.U.

En su reporte, la compañía señala haber detectado actividad inusual en sus sistemas, por lo que procedieron a tomar las medidas de seguridad necesarias a fin de contener un potencial ataque y posteriormente iniciar una investigación, en colaboración con una firma especializada: “Nuestro entorno fue asegurado y se inició una investigación para determinar la naturaleza y el alcance de este incidente”, agrega la compañía.

Un par de semanas después, la firma de ciberseguridad contratada para investigar el incidente confirmó el acceso no autorizado a la información personal de los usuarios. La compañía comenzó a notificar directamente a todas las personas afectadas hace unos días, asegurando que hasta el momento no hay indicios de uso malicioso de la información comprometida.

Si bien la cadena de restaurantes no compartió detalles técnicos sobre el ataque ni lo atribuyó a un grupo de hacking en específico, concluyó su mensaje mencionando que se están evaluando sus políticas de seguridad actuales con el fin de determinar cuáles son los mejores pasos a tomar y mejorar su entorno de seguridad, evitando incidentes similares en el futuro.

También se menciona que la firma de seguridad que colaboró en la investigación recomendó a California Pizza Kitchen implementar programas de concientización para los usuarios como un primer filtro de seguridad, aunque se ignora si la compañía planea crear un programa de concientización de ciberseguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cadena de restaurantes California Pizza Kitchen es hackeada; datos confidenciales filtrados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Aparece torrent de 20 TB que contiene todos los NFT disponibles en Internet. El mayor robo de NFT de la historia

Malas noticias para los propietarios de arte digital. Este fin de semana, el usuario australiano Geoffrey Huntley puso en línea un sitio web en el que asegura se encuentran almacenados y listos para su descarga más de 20TB en torrents con todo el valor de tokens no fungibles (NFT) de blockchain. La aparición de The NFT Bay, nombrado así en referencia a la popular plataforma The Pirate Bay, ha generado múltiples dudas entre los entusiastas de estos tokens, además de abonar a la discusión sobre la propiedad de archivos supuestamente únicos.

Acorde a un reporte publicado por The Verge, al ingresar al sitio web, réplica casi exacta de la plataforma real de The Pirate Bay, los visitantes podrán encontrar un archivo para descargar identificado como “preview.jpg”, que incluye múltiples imágenes de la colección NFT conocida como Bored Ape, además de múltiples archivos ZIP que supuestamente contienen todos los NFT que menciona Huntley, tomados de las plataformas blockchain Ethereum y Solana.

A partir de este incidente volvió a aparecer un tema de discusión popular en esta comunidad: aquellas personas que no tienen gran estima por los NFTs creen que esta es la muestra más clara de que estos archivos realmente no tienen valor alguno, mientras que los entusiastas restan importancia a estas filtraciones, argumentando que hay más factores que una simple imagen para demostrar la propiedad legítima de un NFT.

Mientras ambas posturas exponen sus argumentos, Huntley menciona que hizo esto para recordar a la comunidad que estos archivos usualmente no se almacenan en blockchain, sino que simplemente se vinculan a una versión almacenada en un servidor web potencialmente vulnerable. A través de una sesión de preguntas y respuestas en Reddit, Huntley asegura que esta es una simple burla del concepto NFT: “La gente quiere reclamar la propiedad de algo en Internet, donde cualquiera puede piratear lo que sea”, concluye.

💀OMG WHO RIGHT CLICKED ALL OF THE #NFTs?☠️
🛳🏴‍☠️ https://t.co/o0YRK78AkL 🏴‍☠️🛳
👀 pic.twitter.com/g74TFqzX0n

— 🏴‍☠️ thenftbay.org 👋🇵🇹 (@GeoffreyHuntley) November 18, 2021

Sobre la afirmación de Huntley, los investigadores aún no tienen los medios para afirmar que los torrents disponibles en The NFT Bay en realidad contienen todos los NFT que existen en las mencionadas blockchain, además el hecho de que sean más de 200TB sin duda dificulta la investigación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Aparece torrent de 20 TB que contiene todos los NFT disponibles en Internet. El mayor robo de NFT de la historia apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

LAS OPCIONES DE LOS NEGOCIOS ONLINE PARA GARANTIZAR LA SEGURIDAD DEL USUARIO

Toda aplicación o página web que contenga información privada, orientada a un perfil de usuario o datos concretos, requiere de una autenticación. Aunque es un proceso que en alguna ocasión genera un poco de desesperación por la pérdida de tiempo que genera, es más que necesario para mantener nuestros datos e informaciones seguros. El modelo más clásico de verificación es la relación usuario-contraseña, pero no solamente se limita a esto. Hay otros métodos que comentaremos a continuación y que cada vez son más habituales en nuestro día a día.

Empezamos por el más conocido: el identificador y la contraseña. Es el más popular por su simpleza. Desde los primeros días de internet que está en práctica, y su seguridad se basa únicamente en la complejidad de la contraseña que elija la persona en cuestión. Actualmente, y con el objetivo de evitar amenazas exteriores, las páginas piden una combinación de letras, números, mayúsculas y símbolos. También recomiendan que se cambien constantemente y que no se repitan en exceso.

Un paso más es el método conocido como One-Time Password, contraseña de un solo uso. Se trata básicamente de que el sistema proporciona bajo la petición de la persona identificada una contraseña única que tendrá una duración limitada y que solamente podrá ser utilizada en una ocasión. Este ejemplo lo podemos ver en trámites burocráticos como el pago de impuestos o la solicitud de ayudas estatales.

Otros casos relacionados con la verificación del usuario los podemos encontrar en el sector del entretenimiento online. Por ejemplo, la sala de poker online PokerStars permite el uso de token y pin de seguridad RSA, un dispositivo físico que muestra un código que se actualiza cada 60 segundos y es necesario para iniciar la sesión. Al mismo tiempo, el conocido mercado de aplicaciones Google Play usa la autenticación biométrica o, lo que es lo mismo, la huella dactilar para confirmar operaciones.

En algunos espacios físicos que requieren de verificación para entrar, como pueden ser zonas concretas del aeropuerto o edificios públicos, se pueden ver tarjetas de definición sin contacto. Se trata de una tarjeta con un número de identificación. Sin la necesidad de sacarla de la cartera, el sistema informático reconocerá la proximidad del usuario y la puerta se abrirá automáticamente sin tener que introducir un número de usuario o una contraseña.

Multi-factores, la combinación de dos métodos

Estos métodos de autenticación se pueden agrupar en tres grupos diferentes. Primero, el código que conoce el usuario: la contraseña pensada por él. Segundo, el código que puede poseer físicamente, como los tokens. Y tercero, aquel código que posee el usuario por el simple hecho de ser ella la persona identificada como, por ejemplo, el método biométrico. No es nada extraño ver cómo algunas páginas web o aplicaciones requieren de la combinación de dos métodos de autenticación, hecho que se conoce como multi-factores.

Lo más habitual hoy en día, en caso de que se realice una operación compleja, es un sistema de autenticación que pida dos factores y que pueda ser la combinación de alguno de los tres grupos nombrados anteriormente. Por otro lado, también es posible encontrar un sistema de autenticación simple, que solamente requiera un paso de verificación, y mucho más inusual es encontrar sistemas con más de tres sistemas de verificación.

La combinación de diferentes métodos no es una tarea sencilla, pues reclama la predisposición del usuario y la combinación de varios elementos como aquellos tokens que debe tener en su haber la persona que quiere ser identificada. Por ese motivo, el sistema más habitual debido a su simpleza y comodidad es el de identificador y One-Time Password. El usuario introduce el identificador y contraseña que conoce y automáticamente se le envía vía SMS o correo electrónico un código temporal y de un solo uso.

Los expertos en seguridad aseguran que la combinación de dos métodos de autenticación es suficiente para garantizar los datos y las informaciones de un sitio web. La combinación de ellos hace que las amenazas exteriores, que hace unos años campaban a sus anchas por la red, tengan muchas más dificultades para vulnerar nuestra privacidad.

El cargo LAS OPCIONES DE LOS NEGOCIOS ONLINE PARA GARANTIZAR LA SEGURIDAD DEL USUARIO apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente