Una investigación conjunta de la firma de seguridad Group-IB y la Organización de las Naciones Unidas (ONU) concluyó con la eliminación de 134 sitios web operados por un grupo cibercriminal identificado como DarkPath. Al parecer estos sitios web eran empleados como plataformas falsas de la Organización Mundial de la Salud (OMS).
“Este grupo de actores de amenazas creó una red de 134 sitios web fraudulentos para hacerse pasar por agencias internacionales como la OMS, aprovechando el día de la concientización sobre la salud para tratar de recolectar información confidencial a través de una supuesta encuesta”, señala el informe.
La estafa consistía en prometer a los usuarios un pago de 200 euros a cambio de completar una encuesta y compartir el enlace a cualquiera de estos sitios a sus contactos de WhatsApp. Sobra decir que los usuarios no recibían tal pago y que esta treta solo era usada para generar una campaña de spam de rápido crecimiento. Group-IB menciona que el esquema estaba dirigido a millones de usuarios en todo el mundo.
La compañía mencionó que, después de notificar a los equipos de seguridad de la ONU, comenzaron a buscar la mejor forma de eliminar esta red de spam que empleó servicios de registradores de nombres de dominio, proveedores de hosting y otras asociaciones.
Group-IB dijo que los 134 sitios de estafa fueron administrados por un conocido actor de amenazas identificado como DarkPath: “Después de nuestros esfuerzos de bloqueo, los estafadores dejaron de usar la marca de la OMS en toda su red”, menciona el reporte.
Aún así, a pesar del derribo centrado en la OMS, el grupo sigue activo. Group-IB dice que el actor de amenazas todavía opera alrededor de otros 500 sitios que se hacen pasar por otras marcas. La firma de seguridad estima el alcance de estos sitios en millones, con alrededor de 200 mil usuarios que llegan a los sitios fraudulentos cada día.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Funcionarios del Tribunal de Justicia de Rio Grande do Sul, Brasil, confirmaron que sus sistemas informáticos fueron afectados por un ataque de ransomware que cifró los archivos de los empleados y forzó el cierre de las redes de los tribunales. Al parecer, el ataque fue desplegado por los operadores del ransomware REvil.
Todo indica que el ataque habría comenzado el jueves por la mañana, cuando múltiples empleados descubrieron que algo les impedía acceder a sus documentos e imágenes, además de que una copia de la nota de rescate había aparecido en las pantallas de todas las máquinas afectadas.
Poco después de que comenzara el ataque, la cuenta oficial de Twitter del tribunal comenzó a advertir a los empleados que no iniciaran sesión en los sistemas de la red TJ localmente o de forma remota: “El TJRS informa que enfrenta inestabilidad en los sistemas informáticos. El equipo de seguridad de sistemas aconseja a los usuarios internos que no accedan a las computadoras y que inicien sesión en computadoras dentro de la red”, menciona la alerta de seguridad.
Por otra parte, un especialista en ciberseguridad brasileño compartió una captura de pantalla en la que algunos empleados intercambiaban sus opiniones respecto al ataque, además de mostrar su sorpresa al encontrar las notas de rescate enviadas por los hackers.
Un reporte separado menciona que los hackers de REvil exigieron un rescate de 5 millones de dólares a cambio de restablecer el acceso a los sistemas cifrados y no revelar la información comprometida.
Esta no es la primera vez que un ataque de ransomware compromete los sistemas judiciales de Brasil. En noviembre pasado, la Corte Superior de Justicia de Brasil fue atacada por los operadores del ransomware RansomEXX que comenzaron a cifrar dispositivos justo durante una sesión de la corte a través de una plataforma de videoconferencia. Al mismo tiempo, los sitios web de otras agencias del gobierno federal brasileño eran desconectados como una medida de seguridad ante el riesgo de un ataque extendido.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Expertos en ciberseguridad reportan que los operadores de una nueva variante de ransomware identificada como FiveHands lograron explotar una falla día cero en las soluciones VPN de SonicWall SMA 100 Series para comprometer las redes de distintas organizaciones en Estados Unidos y Europa. Según los reportes, los hackers abusaron de una falla identificada como CVE-2021-20016 para inyectar las cargas útiles del ransomware y completar la infección.
Antes de implementar las cargas útiles de ransomware, este grupo de hacking identificado como UNC2447 empleó implantes de CobaltStrike paga ganar persistencia en el sistema objetivo e instalar el backdoor SombRAT, detectado hace unos meses en la campaña de hacking identificada como CostaRicto.
El reporte menciona que esta variante de ransomware fue detectada por primera vez en escenarios reales a finales de 2020, llamando la atención de la comunidad de la ciberseguridad debido a sus similitudes con el ransomware HelloKitty, una reestructura del malware DeathRansom.
El ransomware HelloKitty fue detectado en múltiples ataques contra los sistemas del estudio de videojuegos CD Projekt Red, lo que permitió a los actores de amenazas acceder al código fuente de títulos como Cyberpunk 2077, The Witcher y Gwent, entre otros. Muchas otras compañías de todo el mundo han sido víctimas de esta variante de ransomware, incluyendo la compañía eléctrica brasileña CEMIG. No obstante, los reportes relacionados con infecciones de HelloKitty disminuyeron abruptamente a inicios de 2021, justo cuando comenzaron los reportes de FiveHands.
Posteriormente, los investigadores descubrieron que el sitio web en Tor de FiveHands emplea el favicon de HelloKitty.
Recientemente también se informó que el municipio de Whistler fue afectado por un grupo de hacking empleando un sitio web en Tor realmente similar, aunque aún no está claro si este incidente está vinculado con el ransomware FiveHands.
Sobre el grupo de hacking, los expertos mencionan que UNC2447 monetiza las intrusiones extorsionando a sus víctimas primero con el ransomware FiveHands y luego presionando a través de amenazas de atención de los medios y ofreciendo datos de las víctimas a la venta en foros de hacking. Por otra parte, UNC2447 se ha visto especialmente activo en Europa y Estados Unidos, mostrando sus avanzadas capacidades para evadir casi cualquier mecanismo de detección y minimizar la capacidad de los investigadores para obtener información a partir de un análisis forense.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El grupo de investigación Azure Defender for IoT reportó el hallazgo de al menos 25 fallas de seguridad impactando toda clase de dispositivos inteligentes y equipos de Internet de las Cosas (IoT) de aplicación industrial. Este conjunto de vulnerabilidades, identificado como “BadAlloc”, fue identificado por los expertos de Microsoft y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Acorde al reporte, las fallas existen en las funciones de asignación de memoria estándar que abarcan sistemas operativos en tiempo real (ROTS), kits de desarrollo de software (SDK) e implementaciones de biblioteca estándar C. Como su nombre indica, las funciones de asignación de memoria permiten a los programadores controlar cómo funcionan el firmware de un dispositivo y sus aplicaciones con la memoria física incorporada del dispositivo.
Los investigadores mencionan que las fallas BadAlloc se presentan debido a que las implementaciones de asignación de memoria escritas para los dispositivos IoT y el software integrado no han incorporado una validación de entrada adecuada: “Sin este mecanismo de protección, un atacante podría explotar la función de asignación de memoria para realizar un desbordamiento de pila que podría derivar en la ejecución de código malicioso en una implementación comprometida.” Además, los ataques pueden ser desplegados de forma remota si los dispositivos vulnerables están expuestos en Internet.
En el informe la compañía confirmó que se encontraron problemas con la validación de entrada en los siguientes productos:
Amazon FreeRTOS, v10.4.1
Apache Nuttx OS, v9.1.0
ARM CMSIS-RTOS2, versiones anteriores a 2.1.3
ARM Mbed OS, v6.3.0
ARM mbed-uallaoc, v1.3.0
Software Cesanta Mongoose OS, v2.17.0
eCosCentric eCosPro RTOS, v2.0.1 a v4.5.3
SDK de dispositivos Google Cloud IoT, v1.0.2
Linux Zephyr RTOS, versiones anteriores a 2.4.0
Media Tek LinkIt SDK, versiones anteriores a 4.6.1
Micrium OS, v5.10.1 y anteriores
Micrium uCOS II/uCOS III v1.39.0 y anteriores
NXP MCUXpresso SDK, v2.8.2 y anteriores
NXP MQX, v5.1 y anteriores
Redhat newlib, anteriores a v4.0.0
RIOT OS, v2020.01.1
Samsung Tizen RT RTOS, anteriores a v3.0.GBB
TencentOS-tiny, v3.1.0
Texas Instruments CC32XX, anteriores a v4.40.00.07
Texas Instruments SimpleLink MSP432E4XX
Texas Instruments SimpleLink-CC13XX, anteriores a v4.40.00
Texas Instruments SimpleLink-CC26XX, anteriores a v4.40.00
Texas Instruments SimpleLink-CC32XX, anteriores a v4.10.03
Uclibc-NG, anteriores a v1.0.36
Windriver VxWorks, anterior a v7.0
Por otra parte, CISA señala que solo 15 de las 25 implementaciones afectadas publicaron actualizaciones de seguridad para corregir estas fallas, aunque se espera que las restantes sean corregidas durante los próximos meses.
Mientras las actualizaciones están disponibles, CISA y Microsoft recomiendan a las organizaciones afectadas reducir la exposición de los dispositivos vulnerables, además de implementar mecanismos de monitoreo en busca de posibles anomalías y segmentar las redes internas para contener un potencial caso de explotación.
Hasta el momento no se han detectado casos de explotación activa de alguna de estas fallas, aunque los administradores no deben descuidarse ni por un segundo. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
La publicidad en redes sociales podría estar por cambiar para siempre. Un reporte reciente asegura que Facebook al fin aprobó que sus plataformas emitan anuncios dirigidos a niños y adolescentes que pudieran estar interesados en apuestas, alcohol y tabaquismo. Esta investigación fue realizada por la organización sin fines de lucro Reset Australia, que creó una página de Facebook para explorar todas las opciones de publicidad de la plataforma.
Los investigadores pudieron crear anuncios altamente dirigidos basados en las herramientas para la elaboración de perfiles de usuarios de Facebook, que está a disposición de cualquier administrador de página por unos 5 dólares. Aún así, Facebook afirma que cada anuncio es revisado antes y después de su publicación: “Mantener a los jóvenes seguros en Facebook e Instagram es vital para nosotros”, mencionó un portavoz.
Si bien el representante de Facebook afirma que la plataforma cuenta con sistemas de monitoreo automatizado y moderadores humanos para prevenir la publicación de anuncios perjudiciales, a la comunidad de la ciberseguridad le siguen quedando muchas dudas sobre la capacidad de Facebook para monitorear cada anuncio publicado en la página.
Facebook prohíbe a los administradores de páginas anunciar alcohol y otros productos inapropiados a menores de 18 años, pero los investigadores idearon un método para publicar toda clase de anuncios inusuales, incluyendo:
Una receta de cóctel que habría llegado hasta a 50 mil perfiles de niños potencialmente interesados en temas como el alcohol
un cigarrillo electrónico que habría llegado hasta a mil usuarios menores de edad posiblemente interesados en el tabaco y los vaporizadores
En total, la plataforma Ads Manager de Facebook ofrece acceso a unos 740 mil adolescentes australianos.
La organización no gubernamental también identificó a otros 14 mil perfiles de estos interesados en juegos otros temas, incluyendo:
Juegos de apuestas
Pérdida extrema de peso
Comidas rápidas
Citas en línea
Por otra parte, el texto aprobado en los anuncios incluye frases relacionadas con:
Mención explícita de premios a los interesados en los juegos de azar
Preguntas a los interesados en la pérdida de peso extrema
Al respecto, el director de Reset Australia Chris Cooper mencionó: “Facebook parece estar usando los datos de los adolescentes del mismo modo que usa la información de los adultos.” Cooper cree que esto debería abrir el debate respecto a cómo Facebook se beneficia de la recolección de información de sus usuarios, pues parece obvio que la plataforma no cuenta con mecanismos de protección de información adecuados.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Los equipos de seguridad de la popular agencia de crédito al consumidor Experian anunciaron la corrección de una debilidad en un sitio web asociado que habría permitido a cualquier usuario no autorizado realizar búsquedas crediticias relacionadas con millones de ciudadanos estadounidenses. A pesar de que la falla ya ha sido resuelta, el investigador que realizó el primer reporte menciona que este mismo escenario podría replicarse en muchos otros sitios web que trabajan con Experian.
Bill Demirkapi, investigador de seguridad independiente y estudiante en Rochester Institute of Technology, dijo que descubrió esta filtración mientras buscaba servicios de préstamos para estudiantes universitarios.
El estudiante menciona que encontró un sitio web en el que se le ofrecía verificar su elegibilidad para un préstamo con solo ingresar su nombre, dirección y fecha de nacimiento: “Al verificar el código de este sitio web, pude ver que se invocaba una API de Experian”, mencionó Demirkapi. Por obvias razones, este no es un proceso que debería estar disponible para cualquier sitio web de préstamos: “Experian debe exigir información no pública para esta clase de consultas, pues los atacantes podrían usar esta condición como una vulnerabilidad”, agrega el experto.
Demirkapi descubrió que se podía acceder a la API de Experian directamente sin ningún tipo de autenticación, y que ingresar solo ceros en el campo de “fecha de nacimiento” permitía obtener el puntaje crediticio de casi cualquier usuario, incluso creando una herramienta de línea de comandos para realizar una búsqueda automatizada.
Un grupo de investigadores probó esta herramienta y pudo demostrar que es realmente funcional, ayudando a encontrar las puntuaciones de crédito y factores de riesgo para los usuarios analizados.
Demirkapi se negó a compartir con Experian el nombre del prestamista o el sitio web donde se expuso la API, argumentando que podría haber muchos más sitios exponiendo esta información: “Si permitimos que sepan el nombre de este sitio web, Experian podría limitarse a simplemente bloquear solicitudes específicas, lo que realmente no soluciona nada.”
Aún así, poco después de recibir el informe de Demirkapi los equipos de seguridad de Experian descubrieron el origen de la filtración: “Hemos confirmado que solo una instancia se ve impactada por este incidente, además de que ya ha sido corregida.”
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Cisco anunció el lanzamiento de algunos parches de seguridad para abordar múltiples vulnerabilidades en Firepower Threat Defense (FTD), una solución para el monitoreo y prevención de intrusiones. Acorde al reporte, la explotación exitosa de la vulnerabilidad permitiría a los actores de amenazas realizar ataques de denegación de servicios (DoS) o ejecutar comandos arbitrarios en los sistemas afectados.
La falla más severa, identificada como CVE-2021-1448, fue descrita como una falla de inyección de comandos que requiere de acceso local y autenticación pero permitiría obtener acceso root al sistema operativo subyacente. La falla recibió un puntaje de 7.8/10 según el Common Vulnerability Scoring System (CVSS).
El reporte señala que esta falla existe debido a que los argumentos en los comandos ingresados por el usuario no están validados correctamente, impactando a los dispositivos Firepower de las series 4100 y 9300. Por el momento no existen soluciones alternativas funcionales.
Otra de las fallas reportadas (CVE-2021-1402) fue descrita como una validación incorrecta en el controlador de mensajes SSL/TSL basado en el software de FTD. La vulnerabilidad podría ser explotada para desencadenar una condición DoS y recibió un puntaje de 8.6/10 en la escala CVSS: “Un actor de amenazas remoto podría explotar la falla enviando mensajes SSL/TSL especialmente diseñados, aunque esta acción no activa el error por sí misma”, señala el reporte de Cisco.
Entre los dispositivos afectados se encuentran algunas implementaciones de seguridad industrial (ISA) de la serie 3000, dispositivos de seguridad adaptativa ASA 5512-X/ASA 5515-X/ASA 5525-X/ASA 5545-X/ASA 5555-X, Firepower Series 1000/2100 y Firepower Threat Defense Productos virtuales (FTDv).
El lanzamiento de los parches también aborda 4 fallas DoS en Cisco Adaptative Security Appliance (ASA) que podrían ser explotadas de forma remota. Si bien la compañía menciona que no se han detectado intentos de explotación en escenarios reales, se invita a los usuarios de implementaciones afectadas a instalar las actualizaciones a la brevedad y así mitigar completamente el riesgo de explotación.
Los parches también abordan múltiples problemas de gravedad media, incluidos cuatro en el software FTD (dos también en el software ASA de impacto), cinco en Firepower Management Center (FMC) y uno en Firepower Device Manager (FDM).
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El mundo de los deportes electrónicos tiene elementos que, evidentemente, lo distancian de las competiciones deportivas tradicionales como el fútbol o el baloncesto. El hecho de que las distintas partidas se realicen a través de un ordenador o de una videoconsola hace que sean más las cuestiones técnicas a tener en cuenta, especialmente en esos torneos que, quizás, no reciben tanta atención mediática pero que tienen la misma importancia a la hora de clasificarse para campeonatos superiores.
Como ocurre en cualquier otra cuestión informática, los jugadores de eSports también son vulnerables a todo tipo de ataques que pueden hacer que tanto sus partidas individuales, como aquellas que ocurren en torneos, puedan estar en peligro. Los usuarios que ven las partidas, a veces, también. Es por eso que cada vez se presta más atención para que los jugadores estén atentos a las recomendaciones de los expertos, con el fin de no verse expuestos a ataques de este tipo.
Una de las formas que tienen los hackers para atacar a los jugadores es mediante malware, es decir, bloquear los archivos de los distintos juegos. La víctima puede perder el acceso a datos importantes de sus partidas, e incluso puede caer en pérdidas económicas si trata de recuperarlos (a veces se piden rescates por esos datos). Por otra parte, existen los ‘keyloggers’, que registran los movimientos del teclado y del ratón y consiguen bloquear determinadas cuentas. Eso puede significar perder rangos o elementos desbloqueados en las partidas.
Otra manera de hackear a un jugador de eSports es mediante un ataque de Denegación de Servicio Distribuido (DDos). Esto puede llegar a interrumpir los movimientos de un host en Internet, y eso podría demorar la reacción de los servidores cuando se están ejecutando movimientos en un juego. Por ejemplo, se realizaría una acción y el juego estaría reaccionando con lentitud. Eso, evidentemente, puede afectar gravemente a los jugadores profesionales. Servidores muy importantes como los de Sony o Microsoft han llegado a ser atacados de esta forma, por lo que hay que tomar las medidas adecuadas para evitarlo.
Evidentemente, los jugadores son de los más expuestos a estos ataques, pero los aficionados también tienen que tomar medidas para evitar ataques en las diferentes formas de ocio que integran el mundo de los eSports. Uno de los aspectos que se relaciona cada vez más con los eSports son las casas de apuestas, que han puesto su atención en este tipo de deportes y cada vez son más las que ofrecen este tipo de cuotas entre sus servicios. Los usuarios, eso sí, tienen que tener cuidado a la hora de apostar en una página u otra, puesto que caer en una estafa puede suponer perder tanto información como dinero. Hoy en día existen comparadores de casas de apuestas que determinan, por ejemplo, que páginas como Bet365 son seguras o que Starvegas es confiable, algo de mucha utilidad para los usuarios interesados en hacer apuestas en los eventos deportivos ya sea físicos u online. Una vez los seguidores comprueben que sus partidas están entre la oferta, pueden jugar de una forma segura y sin preocupaciones.
Así mismo, y relacionado con la pérdida de dinero, cada vez son más los videojuegos que cuentan con microtransacciones para que los jugadores adquieran elementos extras para los juegos. Tal y como se ha explicado con anterioridad, el malware puede acceder a los datos de los diferentes usuarios, y en este caso se podrían conseguir los datos de las diferentes tarjetas bancarias o robar información vital del usuario. Por esa misma razón, hay que estar atento a los diferentes servidores a los que se accedan, a las distintas conexiones que se utilizan o a las actualizaciones tanto de los antivirus como de los propios sistemas utilizados.
Aunque resultaría difícil para la gran mayoría de las personas elaborar una definición concreta del concepto “deepfake”, es un hecho que muchos hemos escuchado en más de una ocasión sobre esta tecnología e incluso conocemos sus posibles implicaciones maliciosas. Como se ha mencionado antes, su principal uso es la creación de material pornográfico falso, incluyendo los rostros de celebridades o incluso de antiguas parejas sentimentales de algún usuario en busca de venganza, lo que no quiere decir que no tenga otras aplicaciones reales.
Además de la pornografía, esta tecnología también se utiliza en política, creando noticias falsas o intencionalmente engañosas, como un popular clip de video en el que Barak Obama se refiere al entonces presidente Donald Trump como “un completo idiota.” Poco después se demostró que el video fue creado a partir de múltiples imágenes de Obama y un discurso del actor y director Jordan Peele, con lo que quedó claro que su uso podría tener serias implicaciones para la protección de datos.
El deepfake incluso ha sido usado por la comunidad artística. Ejemplo de ello fue la exposición en honor del 115 aniversario del natalicio de Salvador Dalí, en la que los curadores proyectaron un prototipo del artista impulsado por inteligencia artificial que incluso era capaz de interactuar con los asistentes.
Esta tecnología podrá parecer de lo más compleja, aunque ya existen algunos intentos por ponerla al alcance de cualquier usuario. En esta ocasión, especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo crear una imagen deepfake a partir de una simple foto o video del rostro que desea emular.
Este proceso requiere de la animación de imágenes, lo cual es posible mediante redes neuronales que hacen que la imagen se mueva sobre una secuencia de video previamente seleccionada por el usuario. Cabe mencionar que el contenido de este artículo fue elaborado con fines específicamente académicos, por lo que en el uso de estos conocimientos debe prevalecer el principio de protección de datos. IICS no es responsable por el mal uso que pudiera darse a esta información.
¿Cómo funciona este proceso?
Expertos en protección de datos mencionan que el deepfake se basa en redes neuronales generativas adversarias (GAN), algoritmos de aprendizaje automático responsables de crear nuevo contenido a partir de un conjunto determinado y limitado de información, por ejemplo, analizando miles de fotografías de una persona para crear nuevas imágenes en las que se conserven todos los rasgos físicos de la persona en cuestión.
En este caso, se detalla el modelo presentado en First Order Motion Model for Image Animation, un enfoque que reemplazará las formas en las que se trabajaba anteriormente, dependientes de reemplazar objetos en un video con otras imágenes.
Usando este modelo, la red neuronal ayuda a reconstruir un video, donde el sujeto original es reemplazado por otro objeto en la imagen original. Durante la prueba, el programa intenta predecir cómo se moverá el objeto en la imagen original basándose en el video agregado, por lo que en la práctica se rastrea hasta el movimiento más pequeño presentado en el video, desde giros de la cabeza hasta el movimiento de las comisuras de los labios.
Creación de un video deepfake
Todo comienza realizando pruebas en una gran cantidad de muestras de video, mencionan los expertos en protección de datos. Para iniciar la reconstrucción del video, el modelo extrae múltiples fotogramas para analizar los patrones de movimiento contenido para después aprender a codificar el movimiento como una mezcla de múltiples variables.
Durante la prueba, el modelo reconstruye la secuencia de video agregando un objeto de la imagen original a cada fotograma del video y, por lo tanto, se crea una animación.
El marco se implementa mediante el uso de un módulo de estimación de movimiento y un módulo de generación de imágenes.
El propósito del módulo de evaluación del movimiento es comprender exactamente cómo se desplazan los diferentes cuadros del video, mencionan los expertos en protección de datos. En otras palabras, se intenta rastrear cada movimiento y codificarlo para mover puntos clave. Como resultado se obtiene un denso campo de movimiento trabajando en conjunto con una máscara oclusal que determina qué partes del objeto deben ser reemplazadas por la imagen original.
En el archivo GIF empleado como ejemplo a continuación, la espalda de la mujer no está animada.
Finalmente, los datos obtenidos por el módulo de estimación de movimiento se envían al módulo de generación de imágenes junto con la imagen original y el archivo de video seleccionado. El generador de imágenes crea cuadros de video en movimiento con el objeto de imagen original reemplazado. Los marcos se unen para crear un nuevo video más tarde.
Cómo crear un deepfake
Puede encontrar fácilmente el código fuente de una herramienta deepfake en GitHub, clonarlo en su propia máquina y ejecutar todo allí, sin embargo, hay una forma más fácil que le permite obtener el video terminado en solo 5 minutos.
A continuación, cree una copia del archivo ipynb en su unidad de Google
Ejecute el primer proceso para descargar todos los recursos necesarios y configurar los parámetros del modelo
Ahora podrá probar el algoritmo usando un conjunto predeterminado de fotos y videos. Solo selecciones una imagen de origen y el video en el que desee proyectar la imagen. Acorde a los expertos en protección de datos, después de un par de minutos el material deepfake estará listo
Para crear su propio video, especifique la ruta a la imagen original y al video en movimiento en la tercera celda. Puede descargarlos directamente a la carpeta con el modelo, que se puede abrir haciendo clic en el icono de la carpeta del menú a la izquierda. Es importante que su video esté en formato mp4
Como resultado, combinando el video con Ivangai y la foto de Elon Musk, logramos obtener el siguiente deepfake:
Para conocer más sobre riesgos de seguridad informática, malware, protección de datos, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Como muchos usuarios de iPhone ya habrán notado, la actualización de iOS 14.5 incluye una función para el desbloqueo usando el Apple Watch. La función fue incluida con la finalidad de desbloquear el smartphone con reconocimiento facial incluso aunque el usuario lleve puesto un cubrebocas, aunque muchos ya se preguntan si esta función no representa un riesgo de seguridad.
Recientemente un investigador detalló cómo su hija pudo desbloquear fácilmente su smartphone, mencionando primero que anteriormente usaba un dispositivo Samsung Galaxy de Android, aunque trató de encontrar en el iPhone 12 Pro Max un dispositivo con mejores características de seguridad.
La más reciente versión del sistema permite desbloquear el dispositivo incluso si el usuario usa un cubrebocas, lo que requiere vincular un Apple Watch al iPhone y mantenerlo en una ubicación cercana al dispositivo. El problema es que el dispositivo permite que haya una distancia demasiado amplia entre el Apple Watch y el iPhone.
Jack Moore, especialista en ciberseguridad de ESET, menciona cómo se familiarizó con este nuevo dispositivo: “Después de configurar iOS 14.5, le pedí a mi hija de ocho años que probara la seguridad del sistema. Se puso un cubrebocas y de inmediato accedió al teléfono mientras estaba junto a ella; me notificaron en mi reloj que el teléfono estaba desbloqueado y tenía la opción de bloquearlo, aunque esto podría ser eludido con relativa facilidad por los actores de amenazas”, menciona Moore.
El investigador siguió realizando pruebas con ayuda de su pareja, quien también empleaba un cubrebocas: “Fuimos a extremos opuestos de la casa y el iPhone se desbloqueó de igual forma, sin importar que mi pareja no se parece en nada a mí, incluso con el protector facial puesto”. Moore menciona que esta nueva función no se basa en Face ID para reconocer al usuario que trata de desbloquear el dispositivo: “Incluso cuando se habilita esta función el dispositivo menciona que se desbloqueará cuando se detecte cualquier rostro con cubrebocas si el iPhone detecta que el Apple Watch vinculado está cerca”, agrega el experto.
Algo que vale la pena señalar es que si se usa el botón de bloqueo del iPhone en el Apple Watch, se desactiva la función de desbloqueo hasta que el usuario ingrese su contraseña. Esto evitaría que alguien pueda tener acceso inmediato al dispositivo, aunque no se debe ignorar el agujero de seguridad creado por esta nueva función.
Moore cree que el uso de esta función es poco recomendable, al menos hasta que Apple implemente un mecanismo de seguridad más adecuado: “Puede que esta no sea una idea tan mala, aunque su implementación por ahora es demasiado permisiva y valdría la pena que Apple haga algunas modificaciones.”
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad de divulgación de información en el kernel de Linux, cuya explotación exitosa permitiría extraer información confidencial de la memoria del sistema comprometido. Identificada como CVE-2020-28588, la falla reside en la funcionalidad /proc/pid/syscall de dispositivos ARM de 32 bits que ejecutan Linux y existe debido a una conversión incorrecta de valores numéricos al leer el archivo. La falla fue descubierta por el equipo de Cisco Talos.
Un actor de amenazas puede generar 24 bytes de memoria de pila no inicializada empleando unos cuantos comandos, lo que podría evitar la aleatorización del diseño del espacio de direcciones en el kernel (KASLR), una técnica anti explotación que implanta varios objetos aleatorios para evitar patrones predecibles que un actor de amenazas podría adivinar.
Según el reporte, un ataque sería prácticamente imposible de detectar en una red de forma remota, además de que los ataques exitosos podrían abusar de esta filtración de información para explotar con éxito algunas vulnerabilidades no corregidas en sistemas Linux.
Proc es un pseudo-sistema de archivos especial en sistemas operativos similares a Unix que se utiliza para acceder dinámicamente a los datos del proceso que se encuentran en el kernel. Un atacante podría explotar la falla leyendo /proc/<pid>/syscall: “Podemos ver la salida en cualquier sistema Linux dado cuyo kernel se configuró con CONFIG_HAVE_ARCH_TRACEHOOK“, menciona el reporte.
El archivo expone el número de llamada al sistema y los registros de argumentos de la llamada al sistema que el proceso está ejecutando actualmente, seguidos de los valores del puntero de la pila y los registros del contador del programa: “Se exponen los valores de los seis registros de argumentos, aunque la mayoría de las llamadas al sistema utilizan menos registros”, agregan los expertos de Cisco.
Los investigadores descubrieron por primera vez el problema en un dispositivo Azure Sphere v20.10, un dispositivo ARM de 32 bits que ejecuta un kernel de Linux actualizado.
Aunque las fallas en el kernel de Linux son poco usuales, llegan a presentarse eventualmente. A finales de 2020, un reporte de Intel y Google advertía a la comunidad de la ciberseguridad sobre la detección de la falla BleedingTooth en Bluez, la pila de protocolos Bluetooth para dispositivos de Internet de las Cosas (IoT) basados en Linux.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Buenas noticias para cualquiera que haya usado el navegador Safari desde un iPhone entre 2011 y 2012, ya que podrán ser elegibles para recibir una compensación de unos 1100 dólares por parte de Google, esto como parte de una investigación por una supuesta recolección ilegal de datos.
Según los reportes, es posible que se hayan recopilado datos confidenciales de millones de usuarios de iPhone, incluyendo información de salud, raza, etnia, sexualidad y finanzas. El representante de la defensa Richard Lloyd dice que los datos se recopilaron del gigante tecnológico, incluso si los usuarios habían optado por la configuración de privacidad “no rastrear”.
Lloyd, exdirector de Which?, lanzó el caso en 2018 y ahora la Suprema Corte deberá escuchar la apelación de Google. Si la empresa de tecnología falla podría terminar desembolsando hasta 4 mil 400 millones de dólares. El caso fue desestimado en 2018 por un juez del Tribunal Superior, que consideró difícil calcular cuántas personas se vieron afectadas. Pero eso fue anulado en 2019 por tres jueces del Tribunal de Apelación.
Hablando cuando se anuló el fallo, Lloyd dijo: “El juicio de hoy envía un mensaje muy claro a Google y otras grandes empresas de tecnología: no están por encima de la ley”. Google puede ser responsabilizado en este país por el uso indebido de los datos personales de las personas y los grupos de consumidores pueden juntos pedir a los tribunales una reparación cuando las empresas se benefician ilegalmente de violaciones “repetidas y generalizadas” de nuestros derechos de protección de datos. “Llevaremos esta lucha contra Google hasta el final”.
Lloyd ha estado liderando un grupo de campaña llamado Google You Owe Us que espera ganar al menos mil millones de libras esterlinas para compensar a los 4.4 millones de usuarios de iPhone en el Reino Unido que habrían sido afectados por esta práctica. El grupo afirma que Google pasó por alto la configuración de privacidad entre agosto de 2011 y febrero de 2012, y posteriormente utilizó los datos recopilados para dividir a las personas en categorías de publicidad.
Google argumenta que la ‘acción representativa’ del Sr. Lloyd no era adecuada para el caso. Sus abogados también sostuvieron que no hay indicios de que la ‘solución alternativa de Safari’ haya dado lugar a que se divulgue información a terceros. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Un grupo de hackers de ransomware ha publicado un comunicado en el que se amenaza con exponer archivos confidenciales del Departamento de Policía Metropolitana del distrito de Columbia, Washington D.C., a menos que las autoridades policiales autoricen el pago de un cuantioso rescate.
Los actores de amenazas agregaron algunas capturas de pantalla de los archivos y servidores internos del departamento de policía, recursos que fueron afectados con la variante de ransomware Babuk Locker. Al respecto, el portavoz de la agencia policial Sean Hickman reconoció la intrusión a estos sistemas: “Estamos al tanto de un acceso no autorizado a nuestros servidores.”
Expertos en ciberseguridad con acceso a esta información reportan que los hackers habrían obtenido acceso a informes de investigación, expedientes personales de algunos oficiales de policía, informes sobre pandillas locales, además de cientos de fotografías y documentación interna.
Los expertos de Babuk afirman que la filtración incluye más de 250 GB de información extraída de los servidores de la policía, además de señalar que se otorgó a la agencia un plazo de 3 días para realizar el pago del rescate. En caso de que la policía se niegue a negociar, los hackers amenazan con exponer los expedientes de los agentes e incluso compartirlos con grupos criminales locales.
El portavoz del departamento de policía agregó que aún se está investigando el incidente para determinar el impacto real, labor para la que ya cuentan con apoyo de una unidad especializada del Buró Federal de Investigaciones (FBI).
Sobre Babuk, los expertos mencionan que es una de las variantes de ransomware más comunes en la actualidad. Aunque recién fue detectada en enero de 2021, esta variante de malware ya ha sido detectada en ataques contra compañías como Phone House y los sistemas de los Houston Rockets, equipo de la NBA.
Junto con variantes como Darkside o RansomExx, Babuk se caracteriza por la capacidad para cifrar archivos almacenados en discos duros virtuales compartidos, una de las tendencias más peligrosas ene l mundo del ransomware. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Un reporte de seguridad menciona que el sistema de reservación Radixx Res, subsidiaria de Sabre Corporation, se ha visto comprometido por un ciberataque empleando una peligrosa variante de malware. Si bien el reporte señala que los sistemas de Sabre no se vieron afectados por este incidente, el ataque ha inutilizado los sistemas de reserva de 20 aerolíneas, impactando a miles de clientes.
Los expertos señalan que entre las aerolíneas afectadas se encuentran Peach Aviation, ZIPAIR, Air Belgium, Sky Airlines, Air Transat, Vietravel, Aero K Airlines, Salam Air, FlySafair, Air India Express y Wingo.
Como se menciona anteriormente, la disrupción de estos sistemas ha afectado a muchísimos pasajeros, impidiendo que puedan comprar boletos para vuelos, cambiar asientos e incluso cancelar o confirmar reservaciones hechas a través de los sitios web de las aerolíneas afectadas.
Hasta el momento la compañía propietaria del sistema afectado no ha revelado qué clase de malware emplearon los actores de amenazas detrás de este incidente, aunque algunos miembros de la comunidad de la ciberseguridad creen que es altamente probable que se trate de un ataque de ransomware.
Como recordará, el ransomware es un tipo de software malicioso capaz de bloquear los archivos y sistemas infectados, exigiendo a las víctimas un rescate a cambio de restaurar el acceso a los sistemas afectados. Estos rescates deben ser cubiertos en criptomoneda debido al anonimato y facilidad para concretar la transacción.
Esta hipótesis podría ser confirmada en los próximos días si es que se trata de un ataque operado por grupos de ransomware como servicio (RaaS), ya que estos ataques también suelen involucrar el robo y filtración de información confidencial como una forma de forzar el pago del rescate. Durante los próximos días los investigadores que trabajan con Radixx Res estarán monitoreando los más populares foros de hacking en dark web en busca de cualquier indicio del ataque.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Un sitio web especializado reveló que un grupo de hackers publicó una base de datos con más de 3 millones 200 mil contraseñas. La base de datos, disponible en un popular foro de hacking, incluye credenciales de inicio de sesión para múltiples plataformas en línea pertenecientes a usuarios en México, Estados Unidos, Reino Unido, Rusia y Brasil.
En el caso de Estados Unidos, los datos expuestos se relacionan con toda clase de agencias gubernamentales, incluyendo los departamento de Estado, Seguridad Nacional, de Asuntos de Veteranos, Servicio de Impuestos Internos e incluso de la NASA.
Especialistas en ciberseguridad mencionan que la información extraída de las agencias gubernamentales fue obtenida a través del descifrado de hashing o bien mediante campañas de phishing, espionaje a funcionarios e ingeniería social.
Por otra parte, un reporte de CyberNews menciona que esta base de datos comenzó a circular por múltiples foros de hacking a finales de enero. Un rasgo llamativo es que la filtración incluye los scripts “query.sh” y “sorter.sh”, que permite consultar correos electrónicos y dividirlos en clasificaciones.
Además, los hackers organizaron los datos en orden alfabético, como se muestra en las capturas de pantalla. Sin embargo, aún no ha sido posible identificar el origen de cada una de las filtraciones individuales que componen esta base de datos. Un vistazo rápido también revela nombres de usuario y contraseñas para servicios como Netflix, Gmail, Yahoo, Hotmail, entre otros.
Además de información gubernamental, hay más de 200 millones de cuentas de Gmail y 450 millones de direcciones de correo electrónico de Yahoo. Cabe señalar que Netflix y Gmail no han reportado una brecha de datos desde hace meses, por lo que parece que aún faltan aspectos por conocer de esta historia.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Hace apenas unos días un hacker identificado como Pompompurin anunció la filtración de una base de datos con más de 250 millones de registros confidenciales pertenecientes a ciudadanos estadounidenses. Esta base de datos fue filtrada en un foro de hacking y está compuesta de 263 GB de registros personales, incluyendo más de mil archivos CSV, cada uno con unos 200 mil listados.
La comunidad de la ciberseguridad no tiene claro de dónde procede esta información, aunque aparentemente la filtración se origina de un servidor Apache SOLR abierto alojado en Amazon Web Services (AWS). Expertos también mencionan que los datos están disponibles en tres direcciones IP diferentes a las que los hackers accedieron antes de ser eliminadas. Por otra parte, la plataforma Hackread.com confirmó que la filtración incluye información que podría ser de gran interés para muchos grupos cibercriminales.
Los primeros informes indican que la base de datos incluye detalles como:
Nombres completos
Números telefónicos
Fechas de nacimiento
Direcciones email
Estado civil
Género
Domicilio
Valor de la casa o monto de alquiler
Año de construcción de la casa
Códigos ZIP
Capacidad crediticia
Geolocalización
Afiliación política
Número de vehículos en propiedad
Detalles de salario e ingresos
Número de hijos y de mascotas en una casa
Aunque la filtración está repleta de información confidencial, una buena noticia es que no hay evidencia de contraseñas expuestas.
Ya ha pasado más de una semana desde la filtración y la base de datos sigue circulando por múltiples foros de hacking de habla rusa alojados en dark web y grupos de Telegram. Pasó muy poco tiempo para que el incidente tomara tintes políticos, sobre todo considerando el ataque de cadena de suministro que afectó a SolarWinds hace unos meses.
Este no es el primer incidente en el que se filtra la información de millones de ciudadanos estadounidenses. A mediados de 2017, una compañía de marketing que trabajaba para el Comité Nacional Republicano filtró por error alrededor de 200 millones de registros individuales. Apenas unos meses después, una compañía de análisis de datos expuso alrededor de 123 millones de registros personales debido a una configuración incorrecta de AWS.
Hasta el momento no se han identificado campañas maliciosas asociadas a esta filtración, aunque los expertos recomiendan a los usuarios mantenerse al tanto de cualquier potencial intento de ataque. Estos ataques pueden presentarse en forma de mensajes SMS, correos electrónicos no solicitados e incluso visitas de supuestos vendedores o agentes del gobierno. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Un informe de seguridad publicado recientemente asegura que miles de alarmas inteligentes ABUS Secvest podrían verse expuestas a la explotación de una falla que permitiría a los actores de amenazas inhabilitar los sistemas de seguridad de forma remota, exponiendo toda clase de entornos domésticos, comerciales e incluso industriales. Si bien los desarrolladores de ABUS parchearon este error a inicios de 2021, los expertos estiman que más del 90% de los usuarios sigue sin implementar las actualizaciones.
El reporte fue presentado en octubre de 2020 por los expertos de la firma de seguridad EYE, quienes mencionan que el número de sistemas expuestos pasaría de los 11 mil según sus primeros escaneos. Ahora, el investigador Niels Teuskin mencionó que menos de mil de dispositivos ABUS conectados a Internet ya están ejecutando la más reciente versión de firmware, por lo que existen alrededor de 10 mil implementaciones expuestas a la variante de ataque antes mencionada.
El experto agrega que la mayoría de los dispositivos expuestos se encuentran en Alemania, aunque algunos pocos más pueden encontrarse en Austria y Suiza, países donde también se habla alemán.
Sobre la vulnerabilidad, Teusink menciona que esta reside en la interfaz de administración web de la alarma inteligente, la cual puede ser usada a través del navegador web o de una app móvil y permite controlar los dispositivos Secvest: “Si bien las solicitudes HTTPS para inhabilitar el sistema de seguridad requieren de autenticación, muchas de las otras funciones en estos dispositivos están completamente desprotegidas”, agrega el experto.
Teusink menciona que los actores de amenazas no autenticados pueden enviar solicitudes especialmente diseñadas a una alarma inteligente para desactivar sus funciones. Además, al agregar algunas secuencias de comandos, el proceso podría automatizarse para comprometer miles de dispositivos vulnerables.
El reporte de EYE agrega que los actores de amenazas podrían extraer información confidencial empleando este ataque, incluyendo el nombre del dispositivo, dirección IP y ubicación aproximada, entre otros datos, lo que podría ser relevante para ataques posteriores. Por si fuera poco, los expertos mencionan que es posible desactivar la señal de las cámaras de seguridad ABUS, evitando que se registre evidencia de posible actividad maliciosa.
Como podemos ver, los riesgos de seguridad asociados a la explotación de esta falla son considerables, por lo que los expertos trataron de encontrar una explicación de lo poco extendidas que están las actualizaciones para este problema. Teusink menciona que la aplicación de los parches en muchos casos requiere permisos de instalador, por lo que no pueden ser instaladas por algunos usuarios. Hasta el momento ABUS no ha emitido ningún comunicado al respecto.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Este domingo por la noche tuvo lugar la nueva edición de la entrega de premios de la Academia, lo que muchos actores de amenazas trataron de aprovechar para robar información confidencial de los usuarios desprevenidos en busca de un sitio web pirata para ver algunas de las películas nominadas a los premios.
Acorde a un reporte de la firma de seguridad Kaspersky, los usuarios visitaban sitios web en los que, si bien podían encontrar fragmentos de las películas nominadas, posteriormente aparecía una ventana de registro para acceder al material completo: “En esta página de registro se le pedía a las potenciales víctimas ingresar la información de sus tarjetas bancarias; después de realizar esta operación, la película dejaba de reproducirse por completo.”
Los expertos mencionan que esta variante de ataque también es empleada para esparcir malware, ya que afirman haber encontrado alrededor de 80 archivos maliciosos asociados con los nombres de las películas nominadas en algunas categorías de los premios, incluyendo “Mejor Película”. Según el reporte, el 70% de estos ataques está vinculado a tres películas: “Judas and the Black Messiah, Promising Young Woman y Trial of the Chicago 7.
Al respecto, el experto en ciberseguridad Anton Ivanov menciona: “Los actores de amenazas siempre estarán en busca de monetizar el interés de los usuarios en múltiples fuentes de entretenimiento. En este ejemplo, podemos ver que grandes eventos como la entrega del Oscar son usados para llegar a un número más grande de usuarios, difundiendo páginas de phishing y correo electrónico malicioso.” Por otra parte, los expertos creen que las plataformas de streaming han contribuido a la disminución de estos ataques, aunque no dejan de ser un verdadero riesgo de seguridad.
Cabe mencionar que la piratería en la industria cinematográfica no es el único medio por el cual los actores de amenazas despliegan infecciones o fraudes, ya que esta práctica también se extiende a grandes eventos deportivos como los Juegos Olímpicos o mundiales de fútbol, además de días festivos como el Día de San Valentín o Navidad.
Los expertos de Kaspersky mencionan que lo mejor para mantenernos protegidos contra esta variante de hacking es tratar de evitar el uso de sitios web de piratería, ya que además de violar la legislación en materia de propiedad intelectual, pueden poner en riesgo sus dispositivos y sistemas informáticos. Sobre los sitios web de phishing, los usuarios deben recordar que, bajo ninguna circunstancia, es recomendable ingresar su información confidencial a esta clase de plataformas, ya que es prácticamente un hecho que sus datos serán extraídos y usados con fines maliciosos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Un suceso sin precedentes ocurrió hace unas horas cuando, por error, miles de usuarios recibieron un correo electrónico de Twitter solicitando a los usuarios la confirmación de sus cuentas, dando la impresión de ser un ataque masivo de phishing. Este incidente, que inició alrededor de las 10:00 PM del jueves, impactó a cuentas individuales y empresariales por igual.
La línea de asunto de estos mensajes solo mencionaba la frase “Confirme su cuenta de Twitter”, e incluían un botón para completar la acción. Si bien estos mensajes parecían legítimos, la comunidad de la ciberseguridad pronto comenzó a cuestionar su procedencia e intenciones, ya que a todas luces este parecía un simple pero efectivo ataque de phishing.
Durante los minutos siguientes al envío de este mensaje, los usuarios comenzaron a publicar sus dudas en Twitter y otras plataformas de redes sociales.
Para tranquilidad de los usuarios afectados, este no era un nuevo intento de la comunidad cibercriminal por engañar a miles de personas, sino que simplemente se trató de un error de Twitter. Esta información fue confirmada por la cuenta oficial de soporte de la red social: “Es posible que algunos de ustedes hayan recibido recientemente un correo electrónico para “confirmar su cuenta de Twitter”. Estos mensajes fueron enviados por error y lamentamos que haya sucedido”, señala el reporte de Twitter.
Some of you may have recently received an email to “confirm your Twitter account” that you weren’t expecting. These were sent by mistake and we’re sorry it happened.
If you received one of these emails, you don't need to confirm your account and you can disregard the message.
Aquellos usuarios que hayan recibido este mensaje pueden simplemente ignorarlo y seguir con sus actividades rutinarias sin preocuparse por la seguridad de sus plataformas en línea. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Los operadores del ransomwareREvil dieron a conocer que cuentan con información relacionada con algunos de los próximos lanzamientos de Apple, e incluso amenazan con revelarla si sus exigencias económicas no son cumplidas. Acorde a reportes posteriores, esta información fue obtenida después de un ciberataque contra Quanta, una compañía fabricante de hardware que se ha consolidado como uno de los principales socios comerciales de Apple. La firma taiwanesa es responsable del ensamblado de dispositivos como Apple Watch, Macbook Air y ThinkPad.
Expertos en ciberseguridad mencionan que los hackers lograron comprometer los servidores de Quanta, robar los archivos confidenciales y exigir un rescate a la compañía afectada. No obstante, Quanta se habría negado a negociar con los hackers, por lo que REvil comenzó a filtrar pequeñas muestras de la información comprometida.
La filtración incluía múltiples esquemas de dispositivos Apple que serían anunciados próximamente. Por si no fuera suficiente, los atacantes filtraron estos archivos apenas unas horas antes del evento Apple Spring Loaded, en el cual se anunciarían algunos de estos lanzamientos.
Los operadores del ransomware están exigiendo 50 millones de dólares antes del 1 de mayo a cambio de devolver esta información a Apple; en caso de que el pago no sea realizado, los hackers aseguran que filtrarán toda la información confidencial bajo su control. Sobre esta amenaza, los expertos en ciberseguridad mencionan que, en incidentes anteriores, los operadores de REvil han demostrado cumplir con sus amenazas, por lo que creen que la información de Apple no será la excepción.
Los expertos agregan que REvil, al igual que otras plataformas de ransomware como servicio (RaaS), está creciendo de forma considerable. Hace unos meses, un individuo que aseguraba ser uno de los principales operadores del grupo mencionó que su proyección de ganancias para 2020 había rebasado los 100 millones de dólares. En ese momento, el supuesto hacker también afirmó que se avecinaba “un gran ataque”, posiblemente vinculado a una compañía desarrolladora de videojuegos. Hasta el momento la compañía sigue sin pronunciarse al respecto.
Por otra parte, los expertos creen que incluso si Apple no paga el rescate, esta operación podría resultar realmente beneficiosa para los hackers: “Puede que los atacantes no busquen un gran rescate, sino que tratan de abusar del papel de Quanta como socio comercial de muchas de las más importantes compañías tecnológicas del mundo, que podrían ser objetivos eventuales”, menciona el investigador Oliver Tavakoli.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Muchas de las cifras sobre ciberataques recolectadas durante todo el 2020 ya han sido superadas en menos de cuatro meses de 2021, destacando las brechas de datos masivas de compañías como Facebook y LinkedIn, aunque cualquier compañía puede verse bajo este escenario indeseable.
El grupo de hackers operadores del ransomware Babuk logró comprometer exitosamente los sistemas de la compañía telefónica Phone House, exponiendo gran cantidad de información confidencial.
Como recordará, el ransomware es una variante de malware que permite a los actores de amenazas bloquear el acceso a los sistemas informáticos infectados, obligando a las víctimas a pagar cuantiosos rescates a cambio de restablecer los sistemas a la normalidad. Los operadores de Babuk afirmaron haber descargado al menos 10 bases de datos de los servidores Oracle de la compañía comprometida, incluyendo detalles confidenciales como:
Nombres completos
Fechas de nacimiento
Tipo de cuenta bancaria
Números telefónicos
Direcciones email
Domicilios
Nacionalidad
Género
Según los primeros reportes, los hackers exigían un rescate millonario para revelar toda esta información en la red. Al parecer, la información comprometida está compuesta por alrededor de 5 millones 225 mil registros únicos, que contienen datos confidenciales de los clientes de Phone House en forma de contratos o recibos. Debido a que la compañía se negó a pagar el rescate, los hackers cumplieron su amenaza y publicaron la información en diversos foros de dark web.
Los hackers de Babuk publicaron algunas muestras de la información comprometida para demostrar la veracidad del incidente. Los interesados incluso pueden encontrar múltiples archivos de Excel equivalentes a 5 GB de información confidencial.
A los usuarios interesados en saber si sus datos se han visto comprometidos, los expertos en ciberseguridad recomiendan ingresar a la plataforma Have I Been Pwned, que contiene la información más actualizada respecto a las más recientes filtraciones de seguridad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Especialistas en ciberseguridad reportan que un grupo de hacking está abusando de las funciones de Telegram para incrustar código malicioso dentro de un troyano de acceso remoto (RAT) identificado como ToxicEye. Acorde al reporte, los dispositivos infectados con ToxicEye pueden ser controlados a través de cuentas de Telegram operadas por los hackers.
Los expertos mencionan que este troyano puede tomar control de los sistemas de archivos, instalar malware de cifrado y extraer información confidencial de las computadoras de las víctimas. Los expertos de Check Point afirman haber rastreado al menos 130 intentos de ataque relacionados con ToxicEye durante los últimos 3 meses; estos ataques emplean la plataforma de mensajería para comunicarse con su propio servidor C&C y extraer datos confidenciales.
Idan Sharabi, miembro del equipo de Check Point a cargo de esta investigación, cree que los actores de amenazas escogieron Telegram para esta campaña maliciosa debido a la creciente popularidad de la plataforma, que ya cuenta con alrededor de 500 millones de usuarios activos en el mundo: “Creemos que los hackers están aprovechando el hecho de que Telegram es empleado de forma prácticamente generalizada, lo que facilita esquivar las principales restricciones de seguridad.”
Sobre el incremento en la popularidad de Telegram, los expertos señalan que esto se debe principalmente a los polémicos cambios en las políticas de WhatsApp, las cuales generaron gran preocupación entre los millones de usuarios de este servicio, quienes trataron de encontrar en Telegram una plataforma más amigable con su privacidad.
Desde la implementación de estos cambios, los expertos aseguran haber encontrado decenas de muestras de malware para usuarios de Telegram listas para comprometer millones de dispositivos móviles.
Sobre el troyano, los expertos señalan que un ataque comienza cuando los hackers crean cuentas en la plataforma, además de un bot que permite interactuar automáticamente con otros usuarios. Posteriormente los actores de amenazas agrupan el token del bot con el troyano o con cualquier otra variante de malware de su elección, propagando la infección a través de campañas de spam y de emails de phishing.
Una vez que el usuario objetivo abre el archivo adjunto malicioso, su dispositivo se conecta a Telegram y queda completamente expuesto a ataques remotos mediante el bot de los hackers. Si este escenario se completa con éxito los hackers pueden realizar toda clase de ataques posteriores. Este es un riesgo activo, aunque por fortuna su identificación es muy fácil. Acorde a los expertos, basta con identificar un archivo nombrado rat.exe en la ubicación C:\Users\ToxicEye\rat[.]exe para determinar si su sistema ha sido infectado.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).