viernes, 29 de octubre de 2021

Hacker robaba la señal de la NFL, MLB, y NBA para plataforma de streaming pirata

El Departamento de Justicia de E.U. (DOJ) anunció que se presentaron cargos contra un individuo originario de Minnesota acusado de hackear cuentas de usuario en ligas deportivas como la MLB, NBA y NFL para transmitir contenido en una plataforma pirata de streaming. Joshue Streit, también conocido como “Josh Brody” o “inflx” era el principal administrador de HeHeStreams, plataforma activa entre 2017 y 2021.

Las autoridades aseguran que el acusado, de 30 años de edad, empleaba credenciales de inicio de sesión robadas para acceder a las cuentas de streaming de estas ligas deportivas, secuestrando la transmisión para enviarla a su propia plataforma. HeHeStreams ofrecía el contenido de todas estas plataformas a un precio muy inferior del establecido por el servicio legítimo.

Por si no fuese suficiente, el acusado habría tratado de extorsionar a los empleados de la MLB, exigiendo un pago de $150,000 USD a cambio de brindarles la información de todas las fallas de seguridad en sus servidores, mismas que el acusado explotó para acceder al contenido.

Aunque los documentos de la corte no detallan cómo iniciaron las sospechas contra el acusado, sí confirman que el Buró Federal de Investigaciones (FBI) colaboró para encontrar su identidad real, pues al inicio sólo se estaba buscando al operador de HeHeStreams. Las autoridades encontraron un rastro fundamental para llegar a Streit después de que usara el mismo nombre de usuario en el chat de la plataforma ilegal y en un foro de Reddit.

Gracias a la información obtenida de este foro, los investigadores encontraron que la cuenta de Reddit había sido registrada usando la misma dirección email que el acusado empleaba en su blog personal con temática de ciberseguridad, datos que eventualmente fueron vinculados con una cuenta de administrador en la plataforma ilegal y una dirección IP asociada al domicilio de Streit.

De ser hallado culpable de todos los cargos en su contra, el acusado enfrenta hasta 60 años en una prisión federal. Además, la MLB asegura que esta práctica le generó pérdidas por hasta $3 millones USD, afirmación que podrían realizar también las otras ligas deportivas involucradas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hacker robaba la señal de la NFL, MLB, y NBA para plataforma de streaming pirata apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Dos vulnerabilidades día cero en Google Chrome. Actualiza ahora

Por tercer mes consecutivo, Google emitió actualizaciones de seguridad para abordar dos vulnerabilidades día cero en Chrome, el navegador web más utilizado del mundo. Las dos fallas residen en la versión estable de Chrome (v95.0.4638.69) para computadoras con sistemas Windows, Linux y macOS. La guía para verificar las actualizaciones en el navegador está disponible en las plataformas oficiales de Google.

Identificadas como CVE-2021-38000 y CVE-2021-38003, ambas fallas fueron encontradas por los expertos de Google Threat Analysis Group, dedicados a la detección de actividad maliciosa y posibles campañas de hacking.

Mientras que la primera falla es descrita como un error de diseño debido a la inadecuada validación de entradas no confiables en Intents, la segunda es una falla de corrupción de memoria que existe debido a una implementación inadecuada de V8. Como algunos usuarios sabrán, los errores de seguridad en V8 permiten a los actores de amenazas crear exploits muy peligrosos, difíciles de mitigar con las medidas de seguridad existentes en la actualidad.

La actualización más reciente de Chrome incluye otros ocho parches para el navegador, la mayoría relacionados con fallas en la memoria del sistema. Google también abordó dos errores use-after-free, una falla de validación de datos en la sección “Nueva Pestaña” y un error de confusión de tipo en V8. 

Esta es la decimocuarta ocasión en el año que Google aborda una vulnerabilidad día cero en Chrome, un problema que parece haberse agravado desde mediados de 2021. A pesar de que existen exploits relacionados con estas fallas, Google no ha reconocido la explotación activa de las vulnerabilidades o la presencia de algún grupo de hacking detrás de estos exploits.

A pesar del inusualmente alto número de vulnerabilidades día cero en Chrome encontradas este año, Google espera estar trabajando adecuadamente para la detección oportuna y corrección de estos errores, aunque sin dudas mantener esta carrera contra los hackers maliciosos representa un riesgo para los cientos de millones de usuarios de Chrome.

Finalmente, los expertos de Google Project Zero mencionan que esta tendencia parece afectar a otros gigantes tecnológicos además de Google, incluyendo compañías como Microsoft y Apple, afectadas por toda clase de vulnerabilidades día cero durante los últimos meses.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Dos vulnerabilidades día cero en Google Chrome. Actualiza ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 28 de octubre de 2021

Adolescente robó $2 millones USD usando anuncios de Google y un sitio web de phishing. ¿Cómo lo hizo?

Un jovencito de 17 años originario de Lincolnshire, Inglaterra, creó un sitio web falso para recopilar los detalles de decenas de víctimas, lo que le permitió acumular ganancias de miles de dólares. Por si fuera poco, el menor invirtió este dinero en Bitcoin y otras criptomonedas, lo que incrementó sus ganancias hasta pasar los $2 millones USD.

El fiscal de la localidad Sam Skinner detalló a la corte que el niño creó un sitio web falso muy similar al de Love2Shop, una tienda dedicada a la venta de certificados de regalo. Posteriormente, el menor pagó publicidad en Google para su sitio web, atrayendo a cientos de usuarios buscando el sitio web legítimo de Love2Shop.

Las víctimas ingresaron sus direcciones de correo electrónico y los detalles de la cuenta de Love2Shop en el sitio falso antes de ser transferidas al sitio original. El niño usó los datos que reunió para convertir cupones por valor de unos $7,000USD en su propia cuenta Love2Shop. El menor eliminó su sitio web falso después de una semana, justo cuando Love2Shop detectó la actividad maliciosa.

La investigación policial posterior reveló que el niño tenía más de 12,000 números de tarjetas de crédito almacenados en su computadora, además de controlar 197 cuentas de PayPal.

Después de ser encontrado, el menor admitió cargos de lavado de dinero entre el 9 de abril y el 16 de abril del año pasado, y fraude por un total de 6,539 libras esterlinas por representación falsa entre las mismas fechas; al ser menor de edad, se dictó una orden prohibiendo la divulgación pública de su nombre.

El joven deberá cumplir con un programa de rehabilitación de un año, además de prestar 150 horas de trabajo no remunerado. Finalmente, la jueza Catarina Sjolin Knight, a cargo del caso, dictaminó que se benefició de sus crímenes por más de $2 millones USD, por lo que esa cantidad deberá ser confiscada de sus cuentas en línea: “Si fuera mayor de edad, iría a la cárcel”, concluyó Knight.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Adolescente robó $2 millones USD usando anuncios de Google y un sitio web de phishing. ¿Cómo lo hizo? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidades críticas en productos Cisco ASA y FTD permitirían el despliegue de ataques DoS; actualice ahora

La más reciente alerta de seguridad de Cisco señala el lanzamiento de múltiples parches para abordar vulnerabilidades en productos como Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) y Firepower Management Center (FMC). Según el reporte, la mayoría de estas fallas permitiría el despliegue de ataques de denegación de servicio (DoS).

Identificada como CVE-2021-40116, la más severa de estas fallas fue descrita como un error de seguridad en las reglas Snort que podría ser explotada por actores de amenazas remotos no autenticados para conducir a la condición DoS del sistema afectado. La falla recibió un puntaje de 8.6/10 en la escala del Common Vulnerability Scoring System (CVSS).

Acorde a Cisco, la vulnerabilidad existe debido al manejo inadecuado de las acciones Block with Reset o Interactive Block with Reset; los actores de amenazas podrían enviar paquetes IP especialmente diseñados para desencadenar el error.

Para continuar, otra falla destacada en el reporte es CVE-2021-34783, descrita como una validación insuficiente de los mensajes SSL/TLS durante el descifrado basado en software. La falla recibió un puntaje CVSS de 8.6/10.

Otros problemas de alta gravedad que Cisco parcheó esta semana incluyen el manejo inadecuado de errores en el procesamiento de conexiones SSH en FTD y varios errores que afectan tanto a ASA como a FTD. Entre este grupo de fallas destacan el procesamiento inadecuado de paquetes SSL/TLS, validación de entrada incorrecta durante el análisis de solicitudes HTTPS, gestión inadecuada de recursos a altas velocidades de conexión y manejo incorrecto de ciertos segmentos TCP.

Cisco también corrigió más de una docena de vulnerabilidades de severidad media en ASA y FTD, incluyendo fallas que podrían conducir a condiciones de DoS, la evasión de ALG y otras medidas de seguridad, sobrescritura de datos con privilegios de root y ataques de scripts entre sitios (XSS).

Si bien la compañía señala que hasta el momento no se han detectado intentos de explotación activa, la recomendación para los usuarios de implementaciones afectadas es actualizar a la brevedad. Para aquellos que no puedan aplicar las actualizaciones completas, Cisco emitió una serie de recomendaciones que pueden servir como soluciones alternativas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidades críticas en productos Cisco ASA y FTD permitirían el despliegue de ataques DoS; actualice ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Emails de phishing con códigos QR adjuntos permitirían hackear miles de cuentas de Office 365

Especialistas en ciberseguridad de Abnormal Security reportan la detección de al menos 200 emails maliciosos como parte de una campaña de phishing contra usuarios de Microsoft 365. Al parecer, el objetivo primordial de los atacantes era interceptar credenciales de inicio de sesión.

Una característica inusual de esta campaña es el uso de códigos QR incrustados en el contenido del email, los cuales supuestamente redirigen al usuario objetivo a un correo de voz, lo que permite a los actores de amenazas adoptar otro enfoque y evitar que las víctimas tengan que descargar archivos adjuntos o hacer clic en URLs sospechosas. Esta técnica es conocida como quishing.

Este esquema fraudulento también involucró el uso de cuentas email comprometidas gracias a la explotación de una falla en Outlook. Por otra parte, los actores de amenazas alojaron las páginas de phishing a las que redirigen estos códigos QR en un servicio de encuestas empresariales.

El primer indicio de este ataque fue detectado en septiembre, cuando los hackers enviaron una primera versión del mensaje y utilizaron un enlace URL oculto detrás de una imagen que aparenta ser un archivo de audio. Aunque el método es ingenioso, la actividad maliciosa fue detectada y contenida de inmediato.

Después de notar que este ataque falló, los hackers comenzaron a reemplazar las imágenes con un código QR, una variante de ataque detectada por primera vez a mediados de 2021 por los investigadores de la agencia británica Better Business Bureau.

Como se menciona anteriormente, los operadores de esta campaña tomaron control de una cuenta legítima de Outlook para evadir los controles de seguridad, resultando en una ingeniosa campaña de ciberataque.

Los correos electrónicos en esta campaña pueden tener encabezados atractivos para el usuario objetivo, además de contener información como remitente, detalles de ubicación y dirección IP.

Aunque los mensajes y páginas de phishing están en inglés, los atacantes usan un reCAPTCHA en alemán en la parte inferior de su página de phishing. Acorde a los investigadores, cada página de phishing está conectada a varias direcciones IP, todas ubicadas en los Estados Unidos o Alemania y registradas en Amazon o Google.

Una vez en la página de phishing, los actores de amenazas tratarán de engañar a los usuarios para que ingresen sus credenciales de inicio de sesión, lo que llevaría al compromiso de la cuenta de Office 365 afectada. Es importante que recuerde que ninguna compañía o entidad gubernamental envía códigos QR vía email, por lo que si encuentra un mensaje similar en su bandeja de entrada puede tener por seguro que se trata de un intento de estafa.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Emails de phishing con códigos QR adjuntos permitirían hackear miles de cuentas de Office 365 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

¿Hitler, Mickey Mouse y Bob Esponja recibieron la vacuna COVID-19? Hackers generan certificados de vacunación válidos atacando el sistema de vacunación europeo

Agencias policiales en la Unión Europea están investigando el robo de una clave privada empleada por las autoridades sanitarias para la emisión y firma de certificados digitales de vacunación COVID-19, la cual ha sido distribuida en apps de mensajería privada y foros de hacking. Cabe recordar que este certificado de vacunación permite a los habitantes de la comunidad europea demostrar que han recibido al menos una dosis de la vacuna para la COVID-19 o bien presentado una prueba negativa y así transitar libremente por los países miembros.

Desde inicios de esta semana, decenas de usuarios de apps como Telegram reportaron haber visto la clave privada circulando en diversos canales y chats de grupo. Un actor de amenazas con acceso a esta clave privada podría falsificar estos certificados con facilidad, engañado por completo a las autoridades sanitarias en Europa. Además de la falsificación de certificados, algunos individuos han usado esta clave para emitir certificados de vacunación para personajes históricos y ficticios como Adolf Hitler, Mickey Mouse y Bob Esponja.

El especialista en seguridad conocido como reversebrain demostró que algunos usuarios han creado con éxito estos certificados falsos, mismos que son reconocidos como válidos por Verifica C19, una aplicación para iOS y Android que permite analizar un código QR para verificar la validez del certificado, también conocido como “Green Pass”.

Reportes adicionales también señalan que esta clave está disponible en foros de hacking ilegal en los que algunos usuarios discuten sobre la mejor forma de usar esta herramienta. El principal interés de los visitantes a estos foros es crear certificados de vacunación falsos para su venta potencial; algunos miembros ya ofrecen certificados falsos por hasta $300 USD.

Por el momento se ignora si la aplicación Verifica C19 será actualizada para detectar estos certificados fraudulentos.

Agencias de ciberseguridad en diversos países de la Unión Europea ya han reconocido la filtración de esta clave privada y anunciaron el lanzamiento de una investigación: “Estamos al tanto de las presuntas manipulaciones fraudulentas del código QR del Certificado COVID-19 de la Unión Europea. Estamos siguiendo de cerca los reportes sobre este incidente y condenamos enérgicamente este acto malintencionado, el cual representa una intrusión en un área sensible y estratégica”, señala un reporte conjunto.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¿Hitler, Mickey Mouse y Bob Esponja recibieron la vacuna COVID-19? Hackers generan certificados de vacunación válidos atacando el sistema de vacunación europeo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 27 de octubre de 2021

CVE-2018-9100 y CVE-2018-9099: Vulnerabilidades en los cajeros automáticos de Diebold Nixdorf permiten retirar efectivo fácilmente mediante un ataque de caja negra. Los bancos deben actualizar de inmediato

Una reciente investigación publicada por Positive Technologies señala el hallazgo de dos vulnerabilidades en los cajeros automáticos modelo Wincor de la línea Cineo, subsidiaria del reconocido fabricante Diebold Nixdorf. Según el reporte, la explotación exitosa de las vulnerabilidades permitiría a los atacantes hacer que la máquina arroje efectivo de forma arbitraria usando solo un comando.

Los investigadores demostraron que las protecciones contra ataques de caja negra incorporadas en estos cajeros automáticos pueden ser evadidas con solo reemplazar el firmware del controlador del dispensador de efectivo. Como algunos usuarios recordarán, estos mecanismos de seguridad consisten en aplicar cifrado de extremo a extremo en el tráfico del controlador.

Al parecer, el ataque puede ser completado exitosamente en cuestión de minutos si los actores de amenazas tienen acceso al puerto USB de la máquina comprometida. El ataque descrito por los expertos y llevado a cabo en un entorno seguro se divide en tres etapas distintas:

  • Conexión de un dispositivo de terceros a un cajero automático
  • Carga de una versión de firmware obsoleta y vulnerable
  • Explotación de vulnerabilidades conocidas para acceder al contenido de la máquina

Las vulnerabilidades, identificadas como CVE-2018-9100 y CVE-2018-9099, residen en los cajeros automáticos Wincor Cineo con dispensadores de efectivo RM3/CRS y CMD v5, respectivamente. Las organizaciones que cuentan con estas máquinas deberán abordar las fallas aplicando las actualizaciones de firmware correspondientes, o bien solicitando al fabricante que la máquina sea reemplazada con una versión más reciente.

Ambas fallas fueron descubiertas y presentadas a Diebold Nixdorf hace más de tres años y por fin han sido solucionadas, por lo que los investigadores decidieron compartir sus hallazgos con la comunidad de la ciberseguridad. Esta investigación también se presentará en la conferencia de seguridad Hardwear.io, a celebrarse en Países Bajos dentro de unos días.

Esta no es la primera vez que los investigadores de Positive Technologies encuentran fallas críticas en cajeros automáticos. En 2018, un equipo de expertos colaboró con el fabricante NCR para eliminar una falla similar en sus cajeros automáticos, misma que fue corregida antes de que pudiera ser explotada en escenarios reales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo CVE-2018-9100 y CVE-2018-9099: Vulnerabilidades en los cajeros automáticos de Diebold Nixdorf permiten retirar efectivo fácilmente mediante un ataque de caja negra. Los bancos deben actualizar de inmediato apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 26 de octubre de 2021

HORA DE TRABAJAR PARA LOS SYSADMINS: Adobe arregla 90 VULNERABILIDADES en 19 de sus productos

Esta semana, Adobe anunció el lanzamiento de un enorme conjunto de parches de seguridad para abordar más de 90 vulnerabilidades cuya explotación podría poner en riesgo a usuarios de sistemas Windows, Linux y macOS. Las fallas fueron encontradas en toda clase de productos de la compañía, incluyendo las populares herramientas de diseño Photoshop, InDesign, Illustrator y Adobe Premiere.

Además de anunciar el lanzamiento de los parches de seguridad, el gigante del software emitió alertas sobre las fallas más severas en sus productos. Según estos reportes, las fallas críticas se distribuyen de la forma que se muestra a continuación:

  • 11 vulnerabilidades en Adobe After Effects
  • 10 vulnerabilidades en Adobe Animate
  • 9 vulnerabilidades en Adobe Audition
  • 9 vulnerabilidades en Adobe Bridge
  • 9 vulnerabilidades en Adobe Prelude
  • 8 vulnerabilidades en Adobe Character Animation
  • 7 vulnerabilidades en Adobe Premiere Elements
  • 6 vulnerabilidades en Adobe Media Encoder
  • 6 vulnerabilidades en Adobe Premiere Pro
  • 5 vulnerabilidades en Adobe Illustrator
  • 3 vulnerabilidades en Adobe InDesign
  • 3 vulnerabilidades en Adobe Photoshop
  • 1 vulnerabilidad en Adobe Lightroom Classic

Al parecer, la mayoría de estas fallas fueron descritas como errores críticos de ejecución de código arbitrario, mientras que cinco fallas de filtración de memoria también fueron consideradas de alta severidad. Cabe recordar que los problemas que reciben calificación de alta severidad según el Common Vulnerability Scoring System (CVSS) son considerados como críticos por los equipos de seguridad de Adobe.

Según cifras de la compañía, más del 90% de los profesionales del diseño y la creación de contenido usan al menos uno de los productos de Adobe Creative Cloud, los cuales acumulan casi 500 millones de descargas en todo el mundo. Es por ello que una campaña de explotación activa podría tener un alcance descomunal.

La buena noticia es que hasta el momento no se ha detectado evidencia de explotación activa de estas fallas, no obstante, Adobe recomienda a los usuarios de implementaciones afectadas aplicar las actualizaciones necesarias a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo HORA DE TRABAJAR PARA LOS SYSADMINS: Adobe arregla 90 VULNERABILIDADES en 19 de sus productos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Anuncios de Google en sitios web que no son de AMP tardan unos segundos más en cargar de forma intencional. Nueva demanda contra Google

En diciembre de 2020 varios estados de E.U. presentaron una demanda en contra de Google por incurrir en presuntas prácticas anticompetitivas en el campo de la publicidad digital. Uno de los principales argumentos de los estados demandantes era que el gigante tecnológico limitó deliberadamente los anuncios no publicados en Accelerated Mobile Pages (AMP) y ahora, casi un año después, se han revelado algunos detalles sobre las prácticas desleales de la compañía.

El proyecto AMP, lanzado en 2015, tenía por objetivo acelerar la velocidad de carga de los sitios web en su versión para dispositivos móviles. Las páginas AMP en realidad son una segunda versión de un sitio web convencional que emplea componentes AMP y JavaScript restringido, generalmente ofrecido a través de Google y sus propias redes de distribución de contenido.

Si bien AMP fue por mucho tiempo un proyecto de código abierto, se manejaba con la política de Dictador Benévolo de Por Vida (BDFL), a cargo de Google Malte Ubl. Esto cambió en 2018, año en que Ubl anunció que un Comité Directivo Técnico tomaría el control de APM; este Comité estaría integrado por nueve miembros, de los cuales 4 pertenecen al organigrama de Google, incluyendo al director de operaciones Joey Rozier.

Los demandantes argumentan que los empleados del servidor de anuncios de Google sostienen reuniones con los responsables de AMP para elaborar estrategias complejas sobre el uso de este proyecto, impidiendo la licitación de encabezados. Estas licitaciones permiten a los editores ofrecer espacio publicitario a múltiples plataformas de anuncios en lugar de atenerse a las disposiciones de Google.

AMP habría limitado la compatibilidad de las licitaciones de encabezado a solo unos cuantos servicios de anuncios, dirigiendo las licitaciones consideradas rivales a través del servidor de anuncios de Google con el fin de poder ver sus licitaciones y negociar el acceso a información privilegiada.

Además, la demanda señala que Google incrementa el tiempo de carga de los anuncios que o son de AMP por apenas un segundo, lo que le brinda a AMP una ventaja competitiva ya que limitar los anuncios que no son de AMP ralentiza las pujas de encabezado, generando así un impacto gradual en las licitaciones de encabezado consideradas demasiado lentas.

Finalmente, los demandantes sugieren que Google habría incrementado la legitimidad de AMP clasificando arbitrariamente estas páginas por encima de páginas que no son de AMP, que aparecían muy abajo en la lista de resultados de búsqueda. En consecuencia, los administradores de sitios web que no usaban AMP veían disminuido el tráfico a sus plataformas, mismo que era redirigido por Google a editores que usaban AMP, lo que habría reducido los ingresos de los editores afectados hasta en 40%.

La demanda sigue siendo analizada, por lo que aún no es posible decir con certeza si Google perderá estos casos judiciales y cuáles podrían ser las consecuencias de tal decisión.

Desde su lanzamiento inicial AMP ha estado envuelto en polémica. En 2018, el desarrollador Jeremy Keith renunció a su cargo en el comité de asesoría de AMP, argumentando que le era imposible seguir prestando sus ideas a un supuesto proyecto de código abierto que en realidad nunca dejó de ser parte de Google. Otra queja frecuente de los usuarios es que la especificación AMP requiere un enlace a JavaScript alojado en Google, lo que muchos desarrolladores no ven con buenos ojos.

La compañía ha tratado de mitigar las críticas y prejuicios contra AMP; en 2020, Google anunció que se eliminaría el requisito de AMP para elegibilidad en Top Stories, aunque el cambio no fue implementado sino hasta abril de 2021. En ese momento, la compañía anunció que el carrusel de Top Stories incluiría todo el contenido destacado, sin importar si se empleaba el formato AMP o no, y solo considerando si el contenido cumplía con las políticas del motor de búsqueda.

Google ha removido algunas políticas controversiales relacionadas con AMP, aunque esto no significa que se haya dejado de impulsar su uso. Especialistas en ciberseguridad señalan la presencia de un claro conflicto de interés inherente a la forma en que se administra el proyecto AMP, por lo que un verdadero cambio en la forma de implementar este sistema requeriría replantear toda su estructura, lo cual parece que Google no tiene intención de hacer por el momento.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Anuncios de Google en sitios web que no son de AMP tardan unos segundos más en cargar de forma intencional. Nueva demanda contra Google apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 25 de octubre de 2021

¿Estafadores o representantes del gobierno? La nueva estafa más común en Latinoamérica

Según estudios recientes, el tipo de fraude electrónico que más afecta a los países de América Latina es la estafa telefónica, principalmente aquellas variantes en las que los cibercriminales se hacen pasar por funcionarios gubernamentales o representantes de compañías.

El reporte, elaborado por la Comisión Federal de Comercio de E.U. (FTC) en colaboración con gobiernos locales y firmas de seguridad, señala que los problemas más frecuentes se relacionan con la supuesta compra de autos, solicitudes de préstamos, problemas crediticios, compras no autorizadas y otras tretas usadas por los hackers para engañar a los usuarios y extraer su información confidencial.

Por si fuera poco, a la lista de fraudes más comunes recientemente se incluyó la venta de autos robados o con fines maliciosos; en estos ataques, los usuarios reciben una propuesta para adquirir un vehículo a buen costo. Una vez que se encuentran con los supuestos vendedores, los usuarios afectados son sometidos con violencia y su dinero es robado durante la supuesta cita para la venta.  

Lo peor de este asunto es que prácticamente cualquier persona puede ser víctima de este fraude, desde personas pensionadas, amas de casa, gente buscando empleo e incluso inversionistas tratando de comenzar su propio negocio, ya que la información de todas estas personas puede ser extraída de las bases de datos de un banco con relativa facilidad para los hackers.

Otro factor que influye es la forma en que el estafador busca obtener ganancias, ya que en ocasiones puede rastrearse una transferencia bancaria o depósito en efectivo, mientras que las negociaciones en persona son prácticamente imposibles de rastrear, por lo que las víctimas de estas variantes de fraude tienen muy pocas posibilidades de siquiera identificar al defraudador.

Los especialistas también señalan la importancia de denunciar estos ataques, ya que solo de esta forma será posible a las autoridades llevar un monitoreo real de esta práctica y aprender más detalles sobre el modo de operación de los estafadores.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¿Estafadores o representantes del gobierno? La nueva estafa más común en Latinoamérica apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Investigador recibe $2 millones USD por encontrar una vulnerabilidad en el sistema blockchain Polygon

A través de su programa de recompensas, la firma de tecnología blockchain Polygon pagó $2 millones USD al hacker ético Gerhard Wagner, quien reportó una vulnerabilidad de “doble gasto” cuya explotación habría permitido a los hackers maliciosos extraer el doble de una cantidad de criptomoneda a retirar decenas de veces. En otras palabras, un usuario malicioso con apenas $4,500 USD en criptomoneda podría haber retirado más de $1 millón USD explotando el ataque.

Descrito por sus desarrolladores como un protocolo para la construcción de redes blockchain compatibles con Ethereum, Polygon ofrece un canal de transacciones bidireccionales basado en lo que se conoce como red Plasma para la autenticación y procesamiento de transacciones de criptomoneda. La falla reside en DepostiManagerProxy, un contrato de Plasma.

Según reportes técnicos, explotar la falla habría sido posible debido a que el ataque se aprovecha del hecho que, cuando un usuario deposita fondos en la infraestructura blockchain, estos se bloquean en una primera etapa y son dejados a disposición de la red Plasma. Posteriormente, un agregador agrupa las transacciones de Plasma en bloques y envía puntos de control a la primera etapa, confirmando el correcto procesamiento de las transacciones en las cadenas secundarias.

Cuando un usuario decide retirar sus fondos de la primera etapa, los tokens deben “quemarse” en la cadena Plasma. El usuario presenta el recibo de la transacción de quemado al puente Plasma como prueba de que los tokens se quemaron y, después de siete días, los fondos se pueden retirar. Una falla en la red podría haber permitido que un atacante quemara una sola transacción hasta 233 veces, liberando hasta $850 millones USD en activos virtuales.

El investigador cree que la falla existió debido a que la red Plasma se construye a base de un código de terceros, pues esto dificulta la comprensión del código utilizado. Además, Wagner agregó que está bien usar bloques de construcción existentes cuando escribe contratos inteligentes, pero es necesario comprender todas las implicaciones de hacerlo.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).  

El cargo Investigador recibe $2 millones USD por encontrar una vulnerabilidad en el sistema blockchain Polygon apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Así hackearon dos veces a un reportero del New York Times usando Pegasus

Acorde a un reporte de Citizen Lab, entre julio de 2020 y junio de 2021 el dispositivo iPhone de Ben Hubbard, reconocido periodista del New York Times fue infectado dos veces con Pegasus, el poderoso spyware desarrollado por la firma israelí NSO Group. Estos ataques fueron documentados en una investigación sobre Mohammed bin Salman, príncipe saudí que se encontraba entre los principales clientes de la firma de software.

El reporte señala que los ataques ocurrieron después de que Hubbard señalara a NSO Group como responsable de un ataque en su contra, ordenado por un actor al interior de Arabia Saudita: “Si bien las infecciones han sido atribuidas al spyware Pegasus, este reporte no intenta señalar a un actor específico detrás de estos ataques. No obstante, creemos que el operador responsable de este ataque también orquestó el hackeo de un activista saudí en 2021”, mencionan los investigadores.

Aunque los investigadores también encontraron algunas herramientas forenses al analizar el dispositivo de Hubbard, por el momento no está claro si estos rastros de actividad pertenecen a la misma campaña que la infección de Pegasus. Por otra parte, Citizen Lab menciona que los ataques fueron posibles gracias a los exploits para iPhone KISMET y FORCEDENTRY.

Los expertos también informaron que los registros telefónicos de Hubbard muestran la presencia de la infección por Pegasus, misma que tuvo lugar el 12 de julio de 2020. El compromiso inicial se introdujo en el teléfono de Hubbard en algún momento después del 29 de enero de 2020 y antes del 14 de diciembre de 2020.

Además, el archivo DataUsage.sqlite de Ben Hubbard mostró que el nombre de proceso bh estaba activo el 13 de julio de 2020  exactamente a las16:46:01, hora local. Este proceso está asociado con infecciones de software espía de Pegasus y en especial con el uso del exploit de cero clics para iMessage KISMET.

Como se menciona al inicio, la investigación no atribuyó las infecciones a un actor de amenazas e específico, mientras que un representante de NSO Group negó cualquier participación en los ataques.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así hackearon dos veces a un reportero del New York Times usando Pegasus apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Facebook demanda a hacker que robaba información de sus usuarios para venderla en foros ilegales

Hace unos días Facebook presentó una demanda contra Alexandrovich Solonchenko, un ciudadano ucraniano acusado de emplear herramientas de hacking para recolectar la información de más de 170 millones de usuarios en la plataforma para venderla en foros cibercriminales en dark web. Al parecer, el acusado vendía estos datos en el foro de hacking RaidForums, donde era identificado con los alias de “Solomame” y “barak_obama”.

El gigante de las redes sociales argumenta que Solonchenko, quien se desempeñaba como programador freelance, hizo un uso indebido de la función Contact Importer de Facebook Messenger con el fin de extraer millones de IDs de usuario y números telefónicos vinculados a la plataforma social.

Esta función permite a los usuarios cargar sus contactos a la aplicación desde su smartphone e incluía una funcionalidad para comparar los contactos de Facebook con los del dispositivo con el fin de identificar a amigos asociados con los números de teléfono almacenados por los usuarios.

Entre 2018 y 2019 el acusado habría abusado de esta función para extraer los registros de alrededor de 178 millones de usuarios, en una campaña de raspado de información empleando solicitudes automatizadas aparentemente emitidas desde dispositivos Android; para esto, Solonchenko empleó poderosas herramientas de emulación del sistema Android que parecían dispositivos legítimos. Después de detectar esta actividad inusual, Facebook comenzó a tomar medidas para evitar el raspado de información.

Aunque la información recolectada por el hacker se considera de acceso público, Facebook considera que el acusado violó sus términos de servicio al vender estos registros en dark web. Solonchenko también es señalado como responsable de la venta de la información de un importante banco en Ucrania y una firma financiera con sede en Francia.

Facebook busca la emisión de una orden judicial que impida al acusado acceder a cualquiera de sus plataformas y evitar que la información comprometida siga circulando en foros de hacking, aunque aún está por saberse si el caso llegará a los tribunales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Facebook demanda a hacker que robaba información de sus usuarios para venderla en foros ilegales apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 22 de octubre de 2021

Si ves un celular tirado en la calle no lo recojas, es una estafa. Pueden vaciar tus cuentas

Los cibercriminales están siempre en busca de nuevas formas de engañar a sus víctimas y no dudarían un segundo en ponerlas a prueba, incluso a costa de invertir grandes cantidades de dinero. Muestra de ello es una nueva variante de extorsión que consiste en dejar tirado en la calle un smartphone de gama alta y simplemente esperar a que alguien muerda el anzuelo.

Los atacantes suelen dejar estos dispositivos cerca de parques, centros comerciales, bancos y otros lugares a los que la gente entra con su auto. Empleando la localización GPS del dispositivo, los atacantes siguen a la persona que encuentra el teléfono y, una vez que la encuentran, se hacen pasar por agentes de seguridad y tratarán de llevar al usuario a una estación de policía, donde aseguran está el propietario legítimo del dispositivo.

En su discurso, los supuestos agentes aseguran que se ha impuesto una denuncia por el robo del smartphone y exigen al usuario alrededor de $160 mil pesos mexicanos a cambio de no continuar con el proceso legal.  

Hasta el momento solo se han detectado estos intentos de extorsión en algunas localidades del Estado de México, aunque las autoridades no descartan que este ataque pueda replicarse en otras partes de México o incluso en otros países. Encontrar un smartphone en la calle puede resultar atractivo, pero como vemos lo mejor será dejar pasar la oportunidad de obtener un teléfono gratis y tratar de alertar a otras personas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Si ves un celular tirado en la calle no lo recojas, es una estafa. Pueden vaciar tus cuentas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Nunca compres algo en estás 45 tiendas online. Te van a clonar tu tarjeta de crédito

El Servicio Nacional del Consumidor de España ha denunciado a 45 tiendas virtuales por potenciales prácticas fraudulentas después de recibir decena de quejas ciudadanas. Los denunciantes afirman que estas tiendas enviaban pedidos incompletos o a precios distintos a los establecidos previamente, además de que no emitían tickets a los consumidores.

Un punto en común que tienen todas las plataformas reportadas es que después de que los reclamos fueron presentados ya no pudieron ser encontradas. Además, algunos usuarios trataron de presentar sus reclamos a Meditators Express, la empresa de envíos, luego de no encontrar las tiendas disponibles, aunque esta compañía dejó muy claro que ellos solamente operaron los envíos y no tienen relación alguna con estas tiendas.

Según las autoridades, la mayoría de estas tiendas fueron creadas durante los más recientes meses e incluso comparten muchas características de diseño y los mismos errores gramaticales. Hasta el momento se están investigando 25 tiendas, aunque el número podría crecer en los próximos días.

Esta agencia tiene plenas competencias para abordar el trabajo de empresas que incumplen la Ley del Consumidor, pero no cuando se refiere a supuestas empresas que son creadas con la finalidad de defraudar a los consumidores, como parece ser el caso. Es por ello que la investigación ha sido turnada al Ministerio Público local.

A continuación se presenta un listado de las plataformas de e-commerce sospechosas de fraude electrónico:

  • www.chilefa.com
  • linuanken.com
  • www.eatyba.com
  • www.hennessily.com
  • www.freedom-h.com
  • www.aproximadoaa.com
  • www.lovelylive.top.com
  • es.ankorstore.com
  • www.zafullbr.com
  • www.smileony.com
  • www.sbgbstkc.com
  • www.pattern-shops.com
  • www.nianxinbaiwan.com
  • www.niacid.com
  • www.marliens.com
  • www.linliya.com
  • www.Liftlegging.com
  • www.jibaidou.com
  • www.helolita.com
  • www.hanynova.com
  • www.goodprice-k.com
  • www.feitonobr.com
  • www.esbestbuy.com
  • www.charmmy-s.com
  • www.cocobuss.com
  • www.clubbshop.com
  • www.clshopnow.com
  • www.cibakey.com
  • www.chilewee.com
  • www.chfuna.com
  • www.chaney.com
  • www.bibididig.com
  • www.bestdiscout.com
  • www.A-Esbestbuy.com
  • www.hipbelle.com
  • www.chicaslife.com
  • www.yoplex.com
  • www.Lizafullbry.com
  • www.Laddylivey.com
  • www.amgoopa.com
  • www.axemaxq.com
  • www.clubbshoper.com
  • www.headoutlet.online
  • www.woochile.com
  • www.cqbeon.com

Por seguridad, se recomienda a los usuarios que hayan hecho compras en estas plataformas monitorear sus cuentas bancarias, además de restablecer todas sus contraseñas y mantenerse al tanto de cualquier correo electrónico o mensaje de texto no solicitado.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Nunca compres algo en estás 45 tiendas online. Te van a clonar tu tarjeta de crédito apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Truth Social, la red social de Donald Trump, es hackeada durante sus primeros días de prueba

Desde que las grandes compañías de redes sociales decidieron banear sus cuentas en línea, el equipo del ex presidente de E.U. Donald Trump confirmó que iniciarían sus esfuerzos por crear y mantener una red social propia para sus simpatizantes; conocido como Truth Social, el sitio web iniciaría sus pruebas durante esta semana. A pesar de ser uno de los hombres más ricos del planeta, Trump estaba a punto de darse cuenta de las dificultades que representa mantener una plataforma de esta clase.

Según reportes recientes, un grupo de bromistas encontró lo que parecía ser una versión de prueba de la plataforma, creando una cuenta identificada como “donaldjtrump” y publicando una foto de un cerdo defecando en el perfil comprometido. Después del incidente, Truth Social ha permanecido desconectado.

El sitio web había sido presentado este miércoles, a través de la nueva compañía de medios del ex presidente Trump Media & Tech Group; los desarrolladores aseguraban que esta plataforma rivalizaría con las compañías big tech y brindaría total libertad de expresión a sus usuarios, aunque parecen haber olvidado la ciberseguridad. Al parecer, el acceso a la cuenta mencionada fue posible debido a una página de registro abierta, lo que permitió crear el perfil y publicar las imágenes mencionadas.

Después de la detección de esta actividad, los operadores de Truth Social restringieron la creación de nuevas cuentas y desconectaron el sitio. Se han solicitado declaraciones de la compañía, aunque Trump Media &Tech Grouo no ha respondido.

Cabe recordar que, en enero de este año, Twitter expulsó definitivamente a Donald Trump de la plataforma luego del incidente de violencia en el Capitolio de E.U., por lo que Trump lleva meses tratando de volver a hacer ruido desde las redes sociales.

Sobre Truth Social, expertos en ciberseguridad reportan que esta es una copia casi exacta de Twitter; los usuarios pueden publicar “verdades” del mismo modo que se publica un tweet e incluso hay una función idéntica al retweet, además de secciones de noticias y mensajería directa. La aplicación ejecuta una versión casi sin modificar de Mastodon, un software de código abierto que cualquier desarrollador puede utilizar para la creación de plataformas de redes sociales.

Eugen Rochko, fundador de Mastodon, recientemente mencionó que el sitio de Trump viola las reglas de licencia de Mastodon, que requieren que los desarrolladores compartan cualquier modificación y enlace al código fuente original. Rochko dijo que se ha puesto en contacto con el asesor legal de la empresa para tomar una determinación aunque no se ha concretado nada.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Truth Social, la red social de Donald Trump, es hackeada durante sus primeros días de prueba apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 21 de octubre de 2021

Dos vulnerabilidades críticas afectan millones de servidores FreeRDP. Actualice antes de que alguien instale un backdoor en su sistema

Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades severas en el popular lenguaje de programación FreeRDP. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas comprometer seriamente los sistemas afectados.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2021-41159: Un error de límite al procesar conexiones /gt:rpc permitiría a los actores de amenazas enviar al cliente datos especialmente diseñados desde un servidor remoto, lo que llevaría a la ejecución de código arbitrario en el sistema objetivo.

Esta es una falla de alta severidad y recibió un puntaje CVSS de 7.710, ya que su explotación exitosa pondría en riesgo todo el sistema afectado.

CVE-2021-41160: Un error de límite al procesar conexiones con GDI o SurfaceCommands permitiría a un servidor remoto enviar datos especialmente diseñados al cliente, activar una escritura fuera de límites y ejecutar código arbitrario.

La falla recibió un puntaje CVSS de 7.7/10 y su explotación exitosa permitiría a los actores de amenazas tomar control total del sistema comprometido.

Según el reporte, estas fallas residen en las siguientes versiones de FreeRDP: 2.0.0, 2.0.0 rc0, 2.0.0 rc1, 2.0.0 rc2, 2.0.0 rc3, 2.0.0 rc4, 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.3.0, 2.3.1, 2.3.2 y 2.4.0.

A pesar de que ambas fallas pueden ser explotadas por atacantes remotos no autenticados a través de Internet, hasta el momento no se han detectado intentos de explotación activa o la presencia de una variante de malware asociada al ataque. Por otra parte, los parches de seguridad ya están compatibles, por lo que se recomienda a los usuarios de versiones expuestas actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Dos vulnerabilidades críticas afectan millones de servidores FreeRDP. Actualice antes de que alguien instale un backdoor en su sistema apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

A pesar de que creen contar con buenas medidas de ciberseguridad, la mayoría de empresas en Latinoamérica carecen de concientización de seguridad informática

En pleno 2021, la ciberseguridad sigue siendo un tema prácticamente desconocido para miles de organizaciones públicas y privadas. Una reciente investigación señala que, si bien la gran mayoría de las compañías de TI en América Latina creen que sus prácticas y políticas de ciberseguridad son buenas, lo más probable es que carezcan incluso de las medidas de seguridad básicas.

Especialistas en concientización de seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que 41% de las firmas encuestadas carecen de una política de contraseña segura, mientras que solo el 55% de las compañías han implementado un uso regular de la autenticación multifactor.

Otro punto débil que destaca en este informe es la susceptibilidad de estas organizaciones a sufrir ataques de ransomware; según las cifras recolectadas, más del 70% de estas firmas ya han sido objetivo de alguna variante de malware de cifrado, mientras que este riesgo incrementó casi 10 veces entre 2020 y 2021, mencionan los expertos en concientización de seguridad informática.

Por otra parte, es la propia industria de la ciberseguridad y tecnologías de la información la que muestra su pesimismo en el panorama del ransomware a corto plazo, pues prácticamente todas las firmas analizadas creen que esta amenaza seguirá creciendo al menos durante los próximos meses.

Otro indicador de lo severos que son los ataques de ransomware es el costo promedio de cada proceso de recuperación, llegando a un máximo histórico de $1.8 millones USD durante el último año. Aún así, las empresas prefieren invertir en otras áreas antes que dedicar recursos a la concientización de seguridad informática entre sus empleados.

Pasando a otros riesgos de seguridad, las firmas encuestadas clasificaron los emails de phishing y la descarga de archivos adjuntos maliciosos como un vector de riesgo crítico, seguido del uso de credenciales de usuario débiles y la filtración de información confidencial., aunque la constante es el poco peso que ocupa la ciberseguridad en el presupuesto de estas organizaciones.

Para los expertos en concientización de seguridad informática, la mejor protección siempre será la prevención; el uso de credenciales de usuario seguras, mantenimiento adecuado de sistemas informáticos y la capacitación a todo el personal son las mejores formas de evitar infecciones de malware, robo de datos y otros problemas de seguridad informática.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo A pesar de que creen contar con buenas medidas de ciberseguridad, la mayoría de empresas en Latinoamérica carecen de concientización de seguridad informática apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Ataque de ransomware interrumpe todos los sistemas de una prestigiosa universidad

A inicios de esta semana, directivos de la Universidad Autónoma de Barcelona, en España, confirmaron que sus sistemas informáticos fueron objetivo de un ciberataque que interrumpió las operaciones de todo el campus, incluyendo servicios email, bases de datos y su servicio de campus virtual. Al parecer, las fallas provocadas fueron generales y las operaciones no han sido retomadas con normalidad, además de que algunas facultades siguen sin poder utilizar los recursos tecnológicos del campus.

Poco después, medios de comunicación en España confirmaron que el incidente estaba relacionado con un ataque de ransomware, una de las principales amenazas de ciberseguridad en la actualidad. Como medida de seguridad, la Universidad determinó que nadie podía conectarse a sus redes, ni siquiera desde un dispositivo seguro. Por el momento se desconoce la identidad del grupo detrás del ataque y el monto del rescate exigido.

Esta medida de desconexión fue especialmente compleja debido a que múltiples áreas del campus están impartiendo clases o trabajando de forma remota, por lo que la desconexión implica un cese temporal de actividades. Otras áreas tuvieron que recurrir al papel y lápiz para el desempeño de sus actividades ante la imposibilidad de usar equipos de cómputo.

Los estudiantes están desconcertados pues, después de haber esperado más de un año para volver a clases por la pandemia, lo primero que encuentran es un ciberataque; un estudiante incluso afirma que este ataque eliminó un archivo que contenía su trabajo de todo el año, aunque pudo recuperarlo con un respaldo. Por otra parte, los profesores e investigadores han tenido que llevar otra vez el trabajo a casa e incluso usar sus propios dispositivos, números telefónicos y cuentas email personales para poder seguir llevando a cabo sus actividades hasta que el problema sea resuelto.

Si bien es una situación desagradable, los directivos de la Universidad confían en que podrán restablecer los sistemas comprometidos por sus propios medios, aunque esta situación podría alargarse por un par de meses. Los equipos de seguridad en la universidad ya tienen disponible una herramienta para detectar exactamente qué  equipos han sido afectados, incluyendo computadoras de escritorio, laptops e incluso algunas tabletas electrónicas: “Hasta que todo vuelva a la normalidad, volveremos a la pizarra y tiza”, concluye un alumno afectado.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ataque de ransomware interrumpe todos los sistemas de una prestigiosa universidad apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Ejército cibernético de China utiliza nuevo protocolo de Internet para liderar la guerra cibernética

Un reciente anuncio del gobierno de China ha generado gran preocupación entre la comunidad de la ciberseguridad. Las autoridades chinas aseguran que se ha convertido en líderes mundiales en la actualización de su infraestructura cableada para la transición a tecnología IPv6, lo que muchos expertos creen que podría facilitar el despliegue de ataques auspiciados por el gobierno del gigante asiático.

Reportes del Ministerio de Industria y Tecnología de la Información señalan que China es el país con más direcciones aplicadas para IPv6 del mundo. Como algunos usuarios recordarán, estos protocolos de comunicación en línea se usan para identificar y ubicar dispositivos y redes, además de enrutar el tráfico a través de Internet, siendo IPv6 la más reciente iteración de esta tecnología.

Desde el anonimato, un analista de ciberseguridad asegura que esto incrementará de forma desmedida los ciberataques registrados fuera de China: “El bloqueo de direcciones IP vinculadas a actividad maliciosa es una de los principales métodos de seguridad; IPv6 permitiría a los actores de amenazas patrocinados por China pueden cambiar fácilmente sus direcciones IP”, mencionó el experto para Washington Times.  

Aunque esta tecnología sigue en desarrollo, es cuestión de tiempo para que PVv6 reemplace completamente a IPv4, la actual implementación de protocolo de comunicación en Internet: “Los desarrolladores siguen encontrando vulnerabilidades que cualquier grupo de actores de amenazas, algo que el gobierno chino no durará en utilizar”, asegura el investigador.

Además, el investigador asegura que la nueva infraestructura IPv6 impulsará los sistemas de vigilancia contra los ciudadanos chinos, por lo que el monitoreo sistemático de cualquier persona, especialmente minorías, será mucho más fácil para las autoridades.

A la fecha, China sigue siendo considerada como uno de los países con sistemas de vigilancia más complejos en el mundo, capaz de realizar espionaje doméstico casi en tiempo real. Otros países del mundo no han dudado en expresar su preocupación sobre esta práctica, considerada como una violación severa a los derechos humanos de los ciudadanos.

Finalmente, vale la pena mencionar que desde el inicio de la administración de Donald Trump las tensiones políticas entre China y Estados Unidos llegaron a un nivel insospechado, con el presidente tomando medidas drásticas como la expulsión de algunas compañías tecnológicas de territorio americano y otros países aliados.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ejército cibernético de China utiliza nuevo protocolo de Internet para liderar la guerra cibernética apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 20 de octubre de 2021

Ransomware BlackMatter, la próxima amenaza para empresas en Latinoamérica según el FBI. ¿Cómo protegerse de un ataque?

En un aviso conjunto, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el Buró Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional de E.U. (NSA) recomendaron a organizaciones públicas y privadas incrementar sus medidas de seguridad ante la aparición de una operación maliciosa utilizando el peligroso ransomware DarkSide.

Esta fue una de las operaciones de ransomware como servicio (RaaS) más peligrosas hasta su repentina desaparición en julio de 2021, aunque ahora parece haberse reagrupado bajo el nuevo nombre BlackMatter, empleando una muestra de ransomware idéntica a la anterior.

Según los reportes, BlackMatter comenzó a operar poco antes de la desaparición de DarkSide, apuntando principalmente contra compañías en la industria alimenticia en E.U., aunque también se detectó un ataque de BlackMatter en Japón, específicamente contra la compañía tecnológica Olympus.

Los investigadores lograron analizar una muestra del ransomware en un entorno sandbox, descubriendo que esta variante de malware usa credenciales de administrador o usuario integradas previamente comprometidas y recursos como NtQuerySystemInformation y EnumServicesStatusExW para enumerar los procesos y servicios en ejecución del sistema objetivo.

El ransomware BlackMatter también utiliza las credenciales incrustadas y el protocolo SMB para el cifrado remoto de todos los contenidos compartidos descubiertos, incluidos ADMIN $, C $, SYSVOL y NETLOGON.

Las agencias enlistaron un conjunto de consejos para mitigar potenciales ataques, además de detallar las características más importantes de esta campaña maliciosa: “Las mitigaciones basadas en red, como el límite de acceso a recursos y la implementación de segmentaciones de seguridad y el monitoreo transversal pueden evitar que los actores de amenazas obtengan persistencia en los sistemas afectados”, señala el reporte.

En el reporte también se recomienda eliminar el acceso innecesario a los recursos compartidos administrativos, especialmente ADMIN $ y C $, además de usar un firewall basado en host para permitir solo las conexiones a los recursos compartidos administrativos a través de SMB desde un conjunto limitado de máquinas de administrador.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ransomware BlackMatter, la próxima amenaza para empresas en Latinoamérica según el FBI. ¿Cómo protegerse de un ataque? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Así es como este ex jugador de la NFL robó la identidad y el dinero de cientos de personas en Florida

El Departamento de Justicia de E.U. (DOJ) anunció que Kenbrell Armod Thompkins, residente de Florida y ex jugador de la National Football League (NFL) se ha declarado culpable de un cargo de robo de identidad para cometer fraude de desempleo relacionado con el estímulo económico por coronavirus implementado por el gobierno de E.U.

Contratado como agente libre no reclutado por los New England Patriots en 2013, Thompkins también pasó por equipos como los Oakland Raiders y New York Jets. El ex jugador, ahora de 33 años, llevaba varias temporadas alejado del football profesional.

El acusado reconoció que, entre enero y septiembre de 2020, logró acceder a los números de seguridad social de cientos de residentes en Florida con el fin de obtener múltiples tarjetas de débito con el mencionado estímulo económico, logrando retirar alrededor de $300,000 USD de estas tarjetas. Thompkins espera una condena de hasta 12 años en una prisión federal.

Cabe recordar que, a inicios de 2020, el Congreso aprobó una legislación conocida como COVID Aid, Relief, and Economic Security (CARES) Act, a fin de ayudar a aquellas personas y empresas en dificultades económicas a sobrevivir a la pandemia.

A pesar de que miles de personas en realidad necesitaban de este apoyo, a los cibercriminales no les importó usar este programa para su propio beneficio, por lo que en 2021 se creó el Grupo de Trabajo para el Control de Fraude COVID-19, que contaba con la participación de departamentos de policía en todo E.U. para la prevención y combate a estos delitos.

La creación de este grupo incrementó los esfuerzos de las agencias de investigación para llevar a los perpetradores de estos delitos ante la ley, identificando recursos y técnicas para descubrir actores fraudulentos y sus esquemas, además de compartir esta información con agencias en todo E.U.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así es como este ex jugador de la NFL robó la identidad y el dinero de cientos de personas en Florida apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidad crítica en Slack permite recopilar registros confidenciales de los usuarios

Especialistas en ciberseguridad reportan la detección de una falla de seguridad en la función de intercambio de archivos en Slack cuya explotación permitiría a los actores de amenazas identificar la identidad de usuarios fuera de esta plataforma. Si bien se ha demostrado la existencia del error, Slack parece no tener intención de abordarlo, dejando la responsabilidad de prevenir un ataque a los usuarios.

La falla, descrita como una fuga entre sitios (XSLeak), permitiría a un actor de amenazas evadir la política del mismo origen, una medida de seguridad que evita que las pestañas y marcos de diferentes dominios accedan a datos en otras pestañas de navegador.

Condiciones similares fueron encontradas hace un par de años en las funciones de intercambio de imágenes en Facebook, Twitter y otras plataformas. Cuando los usuarios cargan una imagen, el servicio de host crea una URL única para ese recurso al que solo pueden acceder las partes dentro del hilo. Los actores de amenazas pueden abusar de este mecanismo para crear una URL única para un usuario objetivo y luego redirigir a los navegadores a otro sitio web solicitando la misma URL.

Al parecer, la falla en XSLeak depende de que los hackers tengan una cuenta de usuario en el mismo espacio de trabajo de Slack que el usuario objetivo para poder enviarle mensajes directos. Cuando se carga un archivo en un canal de mensajería directa, Slack crea una URL a la que solo pueden acceder los miembros de la conversación, por lo que otros usuarios que hagan clic en esta URL serían redirigidos a la página principal de Slack.

Slack usa la directiva “SameSite = lax” para proteger su cookie de sesión, lo que significa que solo está disponible para solicitudes de dominios bajo condiciones específicas. En el reporte se demuestra que con un código JavaScript simple, un actor de amenazas puede crear una página web que elude la protección de SameSite y obtener así la URL.

Cabe mencionar que el error no siempre es explotable, ya que no funciona en la aplicación de escritorio y para móviles, por lo que solo puede ser usado en el sitio web de Slack para navegadores basados en Chromium. Debido a sus características, Slack decidió no lanzar actualizaciones para abordar este error, argumentando que la función afectada solo es usada por los miembros de entornos de trabajo seguros, por lo que la intrusión de un usuario no autorizado se considera improbable.

Finalmente, la plataforma emitió un comunicado dejando claro que son los usuarios quienes deberán cuidarse la espalda: “La mejor manera de prevenir ataques entre miembros de un espacio de trabajo es asegurarse de que todos en su espacio de trabajo sean miembros o socios de confianza”.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en Slack permite recopilar registros confidenciales de los usuarios apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente