• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

WinRAR

WinRAR ha publicado una actualización para corregir una vulnerabilidad de seguridad que afectaba al software desde hacía 19 años.

WinRAR es una de las herramientas de compresión y extracción de archivos más populares del mercado, por lo que es preocupante descubrir que ha sido afectado por una vulnerabilidad de seguridad durante los últimos 19 años. ¿Cuántos fallos de seguridad existen sin que las empresas de software, firmas de seguridad, investigadores y usuarios las conozcan? ¿Están siendo explotadas?

Caso curioso el que nos ocupa. Un investigador de la firma Check Point Research descubrió recientemente un fallo en WinRAR que permitía a un atacante extraer secretamente archivos maliciosos en la carpeta de inicio de Windows.

La vulnerabilidad está vinculada a un fallo en el antiguo formato de archivo ACE. El formato es muy antiguo y no se ha actualizado durante años. La única herramienta capaz de comprimir archivos en ese formato es WinACE y la última versión disponible es de 2007. Sin embargo, un atacante podría crear un archivo ACE y cambiar su nombre y extensión a RAR. Si un usuario lo extrae usando las opciones de extracción en el menú contextual de Windows, un archivo malicioso podría ser colocado en secreto en la carpeta de inicio, como ha demostrado en vídeo el investigador:

WinRAR afirma tener más de 500 millones de usuarios en todo el mundo, por lo que es muy probable que esta vulnerabilidad haya sido explotada en algún momento. El equipo detrás de WinRAR fue informado de la vulnerabilidad y respondió rápidamente eliminando por completo el soporte para los archivos ACE.

La solución se ha implementado en la versión 5.70 que aún se encuentra en un periodo de prueba beta. Puedes encontrarlo en la página de descargas de WinRAR.

por Juan Ranchal Thu, 21 Feb 2019 23:03:47 +0000

Afirma la creencia popular que no hay casi nada mejor que utilizar un gestor de contraseñas para que nuestras credenciales estén a salvo. Que usar programas como Lastpass, 1Password, Dashline o Keepass mantiene nuestras contraseñas seguras, prácticamente inalcanzables para los cibercriminales.

No tan rápido. Una reciente investigación llevada a cabo por la consultora ISE (Independent Security Evaluators) ha descubierto una vulnerabilidad común en todos estos programas, de modo que un potencial atacante podría desarrollar un malware capaz de hacerse bien con la llave maestra que da acceso a nuestra “caja fuerte” de contraseñas o bien extraer registros de forma individualizada.

Al parecer el problema que se ha encontrado, tiene que ver con la gestión de memoria que realizan este tipo de programas. Cada uno de los programas analizados copian las contraseñas almacenadas, en la memoria RAM del dispositivo, y aunque una vez utilizadas las borran casi inmediatamente, no siempre consiguen hacerlo con éxito. Así las cosas, un malware que tuviera privilegios de administrador, podría sin lugar a dudas recuperar esas contraseñas.

Y hasta aquí las malas noticias. En primer lugar, porque si nuestro equipo ha sido infectado por malware (por ejemplo spyware) probablemente los cibercriminales ya hayan obtenido algunas de nuestras contraseñas de cualquier otra forma, por ejemplo, registrando nuestras pulsaciones sobre el teclado.

Por otro lado, teniendo en cuenta que la vulnerabilidad almacena parte de nuestras contraseñas en la RAM, este teórico malware sólo sería efectivo en el momento en el que el software (Lastpass, 1Pssword, etc.) se esté utilizando y únicamente afectaría a las contraseñas que en ese momento estuviesen en memoria, no a las almacenadas en disco. Incluso si hubiese un método para extraer las segundas del disco, afirman desde esta consultora, “poner en marcha un ataque de fuerza bruta para descifrar la llave maestra, sería computacionalmente prohibitivo”

Dicho de otra forma, más que un intento de hacer cundir el pánico sobre la inseguridad de nuestros gestores de contraseñas, la investigación de ISE es un toque de atención para que los desarrolladores de esos programas tomen nota y corrijan lo antes posible esa vulnerabilidad.

 

por Rodolfo Thu, 21 Feb 2019 12:45:34 +0000

SHA-2 en Windows 7

Microsoft publicará en marzo un parche para soportar por defecto SHA-2 en Windows 7 y Windows Server 2008. Será de instalación obligatoria para los usuarios que quieran poder seguir recibiendo actualizaciones del sistema.

Como sabes, Microsoft finalizará el soporte técnico de Windows 7 el 14 de enero de 2020, pero para una parte de usuarios que no suelen utilizar las actualizaciones podría terminar antes si no instalan el parche obligatorio para el sistema.

El motivo es el conjunto de funciones de seguridad hash criptográficas SHA que utiliza Windows para probar la autenticidad. Actualmente soporta dos versiones, SHA-1 y SHA-2, pero el primero ya se ha confirmado altamente inseguro y desfasado desde hace años.

SHA-1 (Secure Hash Algorithm 1) fue diseñado por la NSA y publicada en 1995. Todavía sigue siendo usada a pesar de que no se recomienda, debido a que en 2005 los analistas en criptografía descubrieron fallos teóricos que podrían ser usados para provocar ataques de colisión, permitiendo a los atacantes reemplazar ficheros sin levantar ninguna sospecha.

SHA-1 fue declarado oficialmente obsoleto en otoño de 2015 cuando investigadores de distintas universidades publicaron el informe The SHAppening y a comienzos de 2017, Google anunció que había roto la función criptográfica del hash SHA-1 mediante un ataque de colisión, la obtención de un mismo resultado cifrado cuando se pasan dos valores distintos a cifrar.

Esto provocó que los analistas recomendasen cambiar SHA-1 por versiones más recientes, como SHA-2 y SHA-3. Proveedores de navegadores web como Mozilla, Microsoft y Google empezaron un proceso acelerado para reemplazar SHA-1 como función de hash en los certificados TLS/SSL. En otra información relacionada, GoogleMicrosoftApple y Mozilla, anunciaron una acción combinada para deshabilitar el soporte a TLS 1.0 y TLS 1.1 en Chrome, Edge, Safari y Firefox en 2020.

El anuncio de Microsoft pretende reforzar la seguridad implementando por defecto SHA-2 en varias etapas. Las actualizaciones independientes que incorporan el soporte de firma de código SHA-2 se lanzarán como actualizaciones de seguridad el 12 de marzo, mientras que a partir de julio será obligatorio haber instalado el parche si se quiere recibir nuevas actualizaciones de seguridad en Windows 7 SP1, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2.

Cualquier dispositivo sin soporte SHA-2 no tendrá actualizaciones de Windows a partir de julio de 2019, lo que deberá ser tenido en cuenta por administradores de sistemas y usuarios.

Más información | Microsoft

por Juan Ranchal Tue, 19 Feb 2019 23:02:41 +0000

Casi todos lo hemos hecho. En una cafetería, en un aeropuerto, en una feria. No nos resistimos. Ahí está, una Wi-Fi pública lista para usar, completamente gratuita. Y no sólo eso, sino que en un más fácil todavía, ni siquiera nos tenemos que registrar. Conectar y listo. No importa que los expertos en seguridad informática nos lo hayan desaconsejado una y otra vez. Necesitamos conectarnos.

Con suerte, no nos habrá pasado nada. Pero desde luego, esa no habrá sido la mejor idea que hayamos tenido ese día. Conectarse a una WiFi pública, sobre todo si no está securizada, puede suponer un gran riesgo de seguridad. Y es que muchos de los grandes robos de información de la historia no tienen su origen en un sofisticado ataque informático a la infraestructura IT de una empresa, sino en algo tan sencillo como “incentivar” a ese empleado a que conecte su equipo a esa WiFi que no debía. Estos son los principales riesgos a los que nos podemos enfrentar.

Ataques man in the middle

Los ataques “man in the middle” se encuentran entre los más populares cuando hablamos de WiFis públicas. En este caso un atacante crea una falsa red inalámbrica, de modo que cuando su víctima se conecta, actúa como “intermediario” de todo el tráfico de Red.

De esta forma el hacker puede interceptar direcciones web, nombres de usuario, contraseñas y toda la información que viaja entre el dispositivo que se conecta a Internet y la red Wi-Fi infectada. Y si esto es grave cuando nos conectamos con un dispositivo personal, la situación empeora si lo hacemos con un dispositivo corporativo.

Ni siquiera es un proceso complicado. Como explican desde ESET, para demostrar la vulnerabilidad de este tipo de conexiones, en 2010 un desarrollador de Firefox lanzó Firesheep, una extensión que permitía “secuestrar” sesiones HTTP (conexiones de red, sesiones de usuario, contraseñas, etc.) prácticamente pulsando un botón.

Servidores maliciosos

Otro ataque “clásico” cuando hablamos de WiFis públicas, es el uso de servidores maliciosos. En este caso, el atacante suele escoger una red WiFi pública (por ejemplo la de un restaurante) que no tenga contraseña y la clona con un nombre muy similar para utilizarla como señuelo.

A partir de aquí el hacker puede optar por ese ataque “man in the middle” que hemos visto antes o decidir por ejemplo, gracias a una herramienta open-source como FruityWifi (pensada originalmente para realizar auditoría de redes), alterar las direcciones IP de los servidores DNS de la víctima para que apunten a servidores maliciosos.

Router comprometido

Incluso si la red Wi-Fi pública es legal, existe la posibilidad de que el router al que se conecta haya sido infectado. ¿De qué forma? Por ejemplo, con un “despiste” tan habitual como que el dueño del mismo no haya cambiado la contraseña de fábrica.

Si esto ocurre el atacante puede acceder a todos los equipos que se conectan al dispositivo, utilizándolos para por ejemplo, engrosar las filas de un “ejército botnet”.

¿Te vas a conectar desde una WiFi pública? Extrema las preocupaciones

Si tenemos en cuenta todo lo anterior, es fácil llegar a la conclusión que conectarse a una red WiFi pública no es, precisamente, la mejor idea del mundo. Pese a todo, con un poco de sentido común y teniendo en cuenta los siguientes consejos, podemos hacerlo de forma ocasional, si realmente no tenemos otra alternativa. Estos son nuestros consejos para conectarte con seguridad.

  • Mantén tu solución de seguridad actualizada, así como tu sistema operativo.
  • No visites sitios que requieran introducir datos personales (como tu banca on-line o tu correo electrónico corporativo).
  • Apuesta por webs que utilicen el protocolo de seguridad HTTPS.
  • Evita que tu dispositivo se conecte de forma automática a una WiFi abierta.
  • Deshabilita cualquier proceso de sincronización de tu equipo
  • Siempre que puedas utiliza el doble factor de autenticación.
  • Tras la conexión, elimina los datos de la red memorizados por el equipo.

Por otro lado si vas a utilizar un equipo de tu empresa, asegúrate en la medida de lo posible que te ofrecen una conexión VPN, de modo que las redes públicas dejen de ser un problema.

por Rodolfo Tue, 19 Feb 2019 14:09:23 +0000

La guerra comercial que desde hace meses libran Estados Unidos y China, junto a la reactivación de las sanciones económicas impuestas a Irán, están avivando y de qué manera, una mucho más silenciosa guerra cibernética contra Estados Unidos.

Tanto la Agencia de Seguridad Americana (NSA) como la firma de ciberseguridad FireEye han explicado en los últimos días, que hace semanas que grupos de hackers de ambos países están atacando a instituciones, bancos y grandes empresas americanas con una virulencia que no tiene precedentes hasta la fecha.

Según informan hoy desde el New York Times, decenas de ataques podrían haber obtenido un éxito parcial, si bien no se han hecho públicos datos específicos. Otras fuentes recogidas por el rotativo estadounidense afirman  sin embargo, que entre las empresas afectadas se encuentran nombres como los de Boeing, General Electric o T-Mobile. En el caso de las infraestructuras públicas, parece ser que los atacantes han intensificado sus esfuerzos coincidiendo con el lockout, el cierre patronal de la administración americana durante las últimas semanas.

Por supuesto Rusia tampoco ha querido perderse la fiesta y tras alcanzar su éxito sin precedentes gracias a su influencia sobre las últimas elecciones americanas a base de fake news, ha intensificado sus esfuerzos en el ataque a centrales nucleares, plantas eléctricas y otras infraestructuras críticas.

Vuelta a empezar tras cinco años de “deshielo”

Lo cierto es que esta situación no es completamente nueva para Estados Unidos, ni realmente ha sorprendido a su departamento de seguridad. Una vez que la nueva Administración ha borrado por completo todos los esfuerzos pacificadores de la “doctrina Obama”, las cibertrincheras han vuelto a situarse en el mismo lugar en el que estaban hace cinco años.

Y es que aunque los ciberataques desde China o Irán a posiciones americanas nunca habían desaparecido por completo, lo cierto es que la política internacional desarrollada por el Gobierno de Barack Obama, había calmado (y mucho) los ánimos.

En este sentido, la política de “entendimiento mutuo” con el gigante asiático y el acuerdo nuclear alcanzado con Irán, habían conseguido reducir la magnitud del ciberconflicto a esas “escaramuzas” que entran dentro del orden del día de la seguridad informática.

Todo esto sin embargo forma ya parte del pasado. Como indican los analistas americanos, lo que hace unos años eran grupos más o menos grupos de hackers que contaban con el visto bueno del Partido Comunista, ahora se ha convertido en un ciber-ejército profesional dirigido directamente desde el Ministerio de Defensa del país asiático. Y lo que antes eran ataques más o menos directos a objetivos previsibles y declarados, se han sofisticado, utilizando como “puerta de entrada” a los principales proveedores de servicios y dispositivos hardware que dan acceso a la Red.

por Rodolfo Mon, 18 Feb 2019 14:34:30 +0000

privacidad

Los usuarios de Internet están perdiendo la confianza en las empresas que tienen los datos como punto central de su modelo de negocio por las cuestiones de privacidad, según revela una encuesta de RSA Security.

RSA encuestó a 6.300 usuarios adultos de Europa y Norteamérica descubriendo una creciente desconexión de los consumidores de las empresas de datos. Las razones son conocidas. Los datos son el ‘oro puro’ en la era de la movilidad y la conexión total en la que nos encontramos, pero su gestión se está realizando sin la debida transparencia y seguridad, y en algunos casos invadiendo gravemente el derecho a la privacidad.

La encuesta confirma que la privacidad cotiza al alza y que la actitud de los consumidores hacia el uso de los datos personales está cambiando. Los resultados no son buenos y deben ser una alerta para las empresas de datos que proveen servicios (la mayoría gratuitos) en los que confiamos todos los días para interactuar en redes sociales, noticias y búsqueda de información.

Entre las conclusiones del estudio destacan:

  • El 83% de los consumidores cree que los anuncios personalizados son moralmente incorrectos.
  • El 76% cree que la personalización para crear fuentes de noticias personalizadas no es ética.
  • Menos de la mitad (solo el 48%) de los consumidores encuestados cree que no hay formas éticas en que las empresas puedan usar sus datos.
  • Un 42% exige que se proteja su ubicación, frente al 29% que lo pedía en 2017.
  • Una mayoría (57%) culpa directamente a las empresas de las violaciones de datos que se producen semana a semana, incluso aunque hayan sido producidas por piratas informáticos.

Empresas como Apple han sido muy duras con lo que define como “la economía en la sombra de las empresas de datos”. y ha pedido a los reguladores un cambio radical en la industria de la tecnología y cómo las empresas manejan los datos en línea.

En esa línea, el vicepresidente internacional de RSA aconseja a las empresas la adopción de medidas que garanticen la confianza del consumidor: 

“Con un número cada vez mayor de violaciones de datos de alto perfil, preguntas sobre el uso ético de los datos y los errores de privacidad, los consumidores quieren saber cada vez más cómo se recopilan, administran y comparten sus datos”.

Otra propuesta interesante para minimizar las preocupaciones de privacidad es la creación de un ‘centro de intercambio de datos’, donde todas las empresas que manejen datos de usuario tendrían que registrarse. Los consumidores tendrían acceso a conocer los datos recopilados, almacenados comprados y vendidos y  la capacidad de eliminarlos, a su petición, libremente.

por Juan Ranchal Sun, 17 Feb 2019 23:02:19 +0000

Como vimos hace unos días en “Very Attacked Persons: la seguridad informática que se centra en personas”, el phishing representa el grueso de la “actividad laboral” de la mayoría de los grupos de cibercriminales.

Por este motivo, en MuySeguridad hemos elaborado un artículo especial en el que analizamos los principales tipos de phishing a los que te puedes enfrentar, ya seas un usuario individual, ya seas una empresa. Aprender a distinguirlos y reconocer las características intrínsecas de cada uno de ellos es vital para protegerse y ofrecer la mejor respuesta.

Phishing tradicional

También conocido como Deceptive Phishing, el phishing tradicional es una técnica de ataque por la cual el cibercriminal suplanta la identidad de una marca con el objetivo de ganarse la confianza de su víctima para sonsacarle información personal (por ej: contraseñas de su cuentas bancarias).

En este tipo de ataque, la víctima recibe habitualmente un correo electrónico que aparentemente proviene de una marca o empresa en la que confía: su entidad bancaria, una administración pública, una compañía en la que tiene activa una cuenta (Paypal, Apple, Amazon, Correos, etc.).

En dicho correo se le sugiere que pulse en un enlace tal vez para actualizar sus datos, cambiar su contraseña, etc. que en realidad apunta a una URL que clonando la original, y bajo cualquier excusa solicita al usuario que introduzca información personal sensible que posteriormente, es capturada por el atacante.

Malware-Based Phishing

En este tipo de ataque, la víctima recibe un mail que de nuevo suplanta la identidad de una marca pero que además, incluye como documento adjunto un archivo que es malicioso y que una vez abierto, infecta el dispositivo de la víctima.

Una forma habitual de malware-based phishing es por ejemplo hacerse pasar por una compañía se servicios que nos informa que nos remite por correo nuestra última factura, en forma de documento PDF. Una variante de este tipo de ataque anima al usuario a pulsar un enlace que apunta a ese archivo que se descarga en nuestro equipo y una vez abierto, lo infecta.

Spear Phishing

Mientras que en los dos casos anteriores hablamos de un tipo de ataque indiscriminado (normalmente incluye miles o millones de envíos), en el caso del Spear Phishing hablamos de un tipo de ataque personalizado. El cibercriminal pone en este sentido, su punto de mira en una persona concreta, apuntando normalmente a puestos clave de la compañía interesa.

Suele informarse en este sentido de su nombre, el puesto que ocupa en la compañía, su presencia en redes sociales, etc. El objetivo habitual en este tipo de ataque no viene tanto motivado por el móvil económico, sino como acceder a cierto tipo de información confidencial de la compañía. Junto al e-mail, se han detectado este tipo de ataques en todo tipo de redes sociales.

Vishing

Vishing responde a la contracción de los términos Voice y Phishing. Más sofisticado que el phishing tradicional, en el Vishing implica el uso del teléfono. En este tipo de “campañas” se convence a la víctima a llamar a un número determinado, que simula por ejemplo, ser el call center de una empresa de confianza.

Otra opción es que sea el propio hacker el que realice las llamadas, haciéndose pasar por un comercial o un profesional del departamento de atención al cliente de esta empresa. En los últimos tiempos este tipo de ataques se han trasladado también a altavoces inteligentes, con el intento de posicionar skills en dispositivos como Amazon Echo.

Smishing

Si en el Vishing se hace uso de la voz, en el Smishing el ingrediente principal son los mensajes SMS. Haciéndose pasar por una empresa de confianza el atacante informa a sus víctimas que han ganado un premio, la participación en un sorteo o el anuncio de una promoción exclusiva que no pueden dejar pasar.

A partir de aquí a la víctima se le puede pedir que pulse en un enlace determinado, que llame a un número de teléfono concreto o que responda al mensaje. Además de por SMS este tipo de ataques se han popularizado en las principales plataformas de mensajería instantánea, como WhatsApp, Facebook Messenger o Telegram.

SEO Phishing

En este tipo de ataque, los cibercriminales consiguen posicionar una página maliciosa, que clona a la original, en una mejor posición dentro del algoritmo de los principales buscadores.

De este modo, cuando se realiza una búsqueda, la original queda por debajo de la infectada en el ranking de motores de búsqueda como Google o Bing. Difícil de conseguir para grandes empresas, este tipo de ataques tienen más éxito cuando de lo que se trata es de suplantar la identidad de empresas menos conocidas para el público en general y suele dirigirse a nichos muy concretos.

Suplantación del CEO o el CEO impostor

Uno de los ataques de phishing que más popular se ha vuelto en los últimos tiempos. En este caso, el atacante se hace pasar por el CEO de una compañía, muchas veces suplantando su dirección de correo electrónico.

A continuación escribe un mail a perfiles específicos de la empresa solicitando que se le remita bien un tipo de información muy concreta, bien que realice una transferencia económica a una cuenta determinada.

Pharming

Más sofisticada que las anteriores, en el Pharming los cibercriminales accedes a los archivos host de una empresa o al sistema de nombres de dominio de la misma.  Como resultado, las solicitudes de URL devuelven una dirección falsa y las comunicaciones se dirigen a un sitio web falso. Los usuarios introducen sus credenciales o información confidencial en el mismo, sin saber que está controlado por los cibercriminales.

por Rodolfo Fri, 15 Feb 2019 11:41:25 +0000

Entornos multicloud: un desafío para la seguridad

El cloud se ha convertido en uno de los activos IT más importante para las empresas. Un espacio en el que las compañías cada vez intercambian más información confidencial y datos de negocio. Tanto es así que según el “Informe sobre Adopción y Riesgos en la Nube” elaborado por McAfee,  el intercambio de este tipo de datos en entornos cloud aumenta un 53% cada año y  las infraestructuras en la nube ya contienen un 21% de datos confidenciales.

Hasta aquí nada especialmente interesante. Pero la cosa cambia si introducimos en la ecuación preguntas sobre la securización de esos datos, la responsabilidad que tienen las plataformas o qué papel deben jugar las empresas en unas infraestructuras que en la mayoría de los casos, no controlan de forma directa. Pues bien, aquí los expertos de McAfee llaman la atención sobre lo que denominan el “Modelo de Responsabilidad Compartida de los entornos cloud” o dicho de otra forma: en realidad, las organizaciones son más responsables de la seguridad de su nube
de lo que creen.

Lo que explican desde la compañía americana es que los proveedores de entornos cloud (Microsoft, Google, Amazon, Salesforce, etc.) son únicamente responsables de la seguridad de su infraestructura, pero no tanto de cómo se utiliza. Es este sentido indican que muchas empresas tienden a ignorar que que el proveedor de servicios cloud únicamente se hace responsable de la seguridad del hardware y software de la propia nube, mientras que el cliente es responsable de la seguridad de sus recursos en cloud. Confían en este sentido que como los proveedores de servicios en la nube ofrecen infraestructuras profesionales, la seguridad está integrada por defecto, cuando esto no tiene por qué ser así. Encriptar datos, emplear software anti-malware y configurar los controles de acceso recaen en el tejado del usuario.

“No hay que olvidar que la nube es también una red. Y, al igual que las redes, los centros de datos son susceptibles de recibir amenazas. La infraestructura en la nube tiene sus propias vulnerabilidades: si un servidor está comprometido, el malware potencialmente puede migrar a otros servidores vulnerables en el mismo entorno,” explica Ángel Ortiz, Director Regional de McAfee en España. “Este camino lateral se conoce como el tráfico ‘este-oeste’ de la red y es mucho más prominente en entornos virtualizados. Además, existen retos únicos de gestión en la nube, como orquestar controles de seguridad en un entorno dinámico que se transforma constantemente o automatizar los procesos”. ¿De qué forma pueden las empresas proteger sus activos en la nube? Desde la compañía de ciberseguridad, proponen las siguientes medidas.

No asumir quién protege el entorno cloud

La nube es compleja por naturaleza y ese hecho puede hacer pasar por alto puntos ciegos. Es importante determinar quién se responsabiliza de todos los elementos de la nube, pues asumir la propiedad sin consultar con el proveedor puede dejar vulnerable a una organización en caso de sufrir un ataque.

Trabajar con el proveedor de servicios cloud para construir la estrategia de seguridad desde la base

Como marca el Modelo de Responsabilidad Compartida, la seguridad es una tarea conjunta entre el proveedor y el cliente. En vez de implementar medidas de seguridad una vez descubierta una vulnerabilidad, es importante aliarse con el proveedor para prevenir ataques desde el principio.

Contar con un equipo de seguridad flexible que piense transversalmente en la nube

Los nuevos métodos para desarrollar aplicaciones en la nube hacen que el Modelo de Responsabilidad Compartida que ha funcionado hasta ahora se vuelva menos claro. Por eso, los profesionales de ciberseguridad necesitan estar preparados para proteger la nube de sus organizaciones, asumiendo que su proveedor únicamente se hace cargo de los requisitos de seguridad mínimos.

Emplear plataformas de seguridad integrales que protejan tanto el endpoint como la nube

Algunas soluciones de ciberseguridad proporcionan protección de datos y amenazas en Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) y Platform-as-a-Service (PaaS), y permiten a las compañías adoptar servicios en la nube al tiempo que protegen la infraestructura y los datos confidenciales, deteniendo las amenazas más avanzadas.

por Rodolfo Thu, 14 Feb 2019 11:34:27 +0000

cuentas robadas

Un paquete de 617 millones de cuentas robadas ha aparecido a la venta en un mercado clandestino de la Dark Web por un valor de 20.000 dólares en Bitcoin. Unos días después, el vendedor ha puesto en circulación un segundo paquete con 127 millones de cuentas, que vende por un valor en Bitcoin de 14.500 dólares.

No es la primera vez que se vende en la Internet Oscura este tipo de datos, pero ésta es relevante por el número de cuentas y los distintos servicios involucrados: Dubsmash (162 millones), MyFitnessPal (151 millones), MyHeritage (92 millones), ShareThis (41 millones), HauteLook (28 millones), Animoto (25 millones), EyeEm (22 millones), 8fit (20 millones), Whitepages ( 18 millones), Fotolog (16 millones), 500px (15 millones), Armor Games (11 millones), BookMate (8 millones), CoffeeMeetsBagel (6 millones), Artsy (1 millón) y DataCamp (700,000).

La base de datos incluye nombres de usuario, contraseñas, direcciones de correo, ubicación, tokens de autenticación de redes sociales y otros datos personales. Según The Register, que ha tenido acceso al listado, las cuentas parecen legítimas, aunque no quieren decir que estén en uso.

Al menos no deberían, porque en muchos de los casos se trata de una compilación de cuentas robadas (seguramente sumando otras bases de datos más pequeñas) recopiladas de diferentes ataques informáticos a lo largo de los últimos años y se supone que las cuentas han sido reseteadas. No todas, porque algunos de los servicios citados podrían ser ciberataques no revelados y esas cuentas sí estarían actualmente en uso.

Por lo que comentan, no hay información de tarjetas de crédito y servicios de pago. Además, una parte de contraseñas están encriptadas y deben ser descifradas antes de poder usarlas. Algo que no será complicado en las que se procesaran usando algoritmos obsoletos como MD5.

Contactado por The Register, el vendedor dice tener a la venta otras bases de datos más pequeñas con destino principal a los que se dedican a envío de spam, malware y ataques ataques informáticos automatizados de relleno de credenciales. El caso sale a la luz un mes después de revelarse la segunda mayor fuga de datos de la historia con 773 millones de cuentas de correo.

Puedes comprobar si estás afectado por éste u otros casos de cuentas robadas en el sitio web Have I Been Pwned. Tanto si estás afectado como si no, este caso es un recordatorio de la necesidad de guardar a buen recaudo nuestros datos y seguir las reglas elementales para la creación de contraseñas.

  • No usar palabras típicas o números comunes
  • Combinar mayúsculas y minúsculas
  • Combinar números con letras
  • Añadir caracteres especiales
  • Alargar el término con el mayor número de dígitos
  • No utilizar la misma contraseña en todos los sitios
  • Especialmente, usar contraseñas específicas para banca y sitios de compra on-line
  • Mantener la contraseña a salvo de cualquier tercero
  • Valorar el uso de gestores de contraseñas
  • Reforzar el uso de contraseñas con otros sistemas, doble autenticación o sistemas biométricos

Por supuesto, también es necesario que los grandes servicios aseguren la seguridad de los datos de los clientes.

ACTUALIZACIÓN:

El vendedor ha puesto en circulación un segundo paquete con 127 millones de cuentas, que vende por un valor en Bitcoin de 14.500 dólares. Las cuentas afectan a:

  • Houzz — 57 millones de cuentas
  • YouNow — 40 millones de cuentas
  • Ixigo — 18 millones de cuentas
  • Stronghold Kingdoms — 5 millones de cuentas
  • Roll20.net — 4 millones de cuentas
  • Ge.tt — 1,83 millones de cuentas
  • Petflow and Vbulletin forum — 1,5 millones de cuentas
  • Coinmama (Cryptocurrency Exchange) — 420.000 cuentas
por Juan Ranchal Wed, 13 Feb 2019 23:02:19 +0000

Las aplicaciones preinstaladas en Android son una gran fuente de riesgo para los usuarios

No es ningún secreto. La fragmentación de Android se ha convertido en un problema de seguridad. El último organismo en dar la voz de alarma ha sido el Criptológico Nacional (CCN)que ha asegurado en este sentido, que los smartphones y los dispositivos móviles se encontrarán entre los principales objetivos de las ciberamenazas durante este año 2019.

En su “Informe Anual 2018: Dispositivos y comunicaciones móviles” ha señalado que la adopción de las últimas versiones de estos sistemas operativos como “crucial desde el punto de vista de seguridad”, tanto por el uso de las últimas capacidades de protección de Google y Apple como por las actualizaciones de seguridad frente a vulnerabilidades conocidas.

A pesar de ello,  según los datos recogidos en el informe, las versiones antiguas de Android siguen dominando el panorama global: Android 7 (28,2%), 8 (21,5%), 6 (21,3%) y 5 (17,9%). En el otro extremo el caso de Apple, cuyo sistema operativo móvil, iOS, está presente en su última versión en el 78% de los dispositivos.

Así, el CCN destaca la fragmentación en Android como uno de los problemas de este sistema operativo, y cita un estudio de Security Research Labs,  en el que se recoge que los fabricantes de dispositivos móviles para esta plataforma fallan a la hora de proporcionar actualizaciones para sus dispositivos y usuarios, cómo estas se retrasan durante meses, o incluso cómo engañan al usuario intentado ocultar que realmente no se ha llevado a cabo la actualización por parte del fabricante, aunque el terminal indica que está completamente actualizado.

Con estos datos, en sus predicciones de seguridad de cara a 2019, el CCN destaca que “Android sigue siendo el objetivo principal”. El informe destaca la preeminencia del malware sofisticado en 2018, frente a las incremento de las medidas de seguridad en las últimas versiones de Android.

Además, entre las amenazas detectadas durante el pasado año 2018, el CCN cita las vulnerabilidades encontradas en gestores de contraseñas (como Keeper, Dashlane, LastPass, 1Password y Google Smart Lock). Sistemas  que según advierten, pueden ser víctimas de ataques de phishing.

En el caso de iOS, se hacen necesarias técnicas complejas como la concatenación de múltiples exploits para vulnerabilidades de día cero servidores falsos vinculado a soluciones MDM de gestión de dispositivos móviles o ingeniería social.

por Rodolfo Wed, 13 Feb 2019 10:29:54 +0000