• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Los hackers se están apoyando en droppers para evitar las barreras de la Play Store

Uno de los puntos a tener en cuenta cuando tratamos el cómo minimizar la amenaza que supone el ransomware contra Android fue el hecho de que la Play Store no es invencible, a pesar de los grandes esfuerzos que realiza Google para impedir que se cuele malware ahí.

Con el paso del tiempo se están detectando mayores esfuerzos por parte los hackers con el fin de saltarse los filtros incluidos por Google en la Play Store. Sin embargo, la técnica más empleada no es ningún misterio, sino que más bien está muy extendida cuando se trata de aplicaciones para el escritorio que generalmente afectan a Windows.

Obviamente, introducir un malware directamente en la Play Store es casi sinónimo de acabar detectado por Google, así que hackers y ciberciminales se apoyan sobre todo en los droppers, que son programas con código malicioso en su interior creados con el fin de no ser detectados por las soluciones antimalware (dropper de una etapa), aunque también pueden actuar como descargadores (dropper de dos etapas) con el mismo propósito.

Mientras que en el escritorio los droppers no se muestran especialmente efectivos en la actualidad, en la movilidad los de dos etapas están consiguiendo bastante impacto. Esto es debido a que la inmensa mayoría de los dispositivos móviles no utilizan ningún tipo de antimalware, lo que allana bastante el proceso de infección mediante un dropper de dos etapas. Uno de los ejemplos más sonados de utilización de este tipo de malware fue BankBot, que se dedicó a falsificar la interfaz de las aplicaciones de 420 bancos. Aunque no se trata de un tipo de malware especialmente extendido, según IBM, cada una de las aplicaciones puede obtener más de 1.000 muestras de los servidores de mando y control del delincuente.

Por lo que se puede ver en el párrafo anterior, los droppers pueden terminar suministrando una gran variedad de cargas maliciosas, haciendo que se hable en los tiempos actuales del concepto “Descargador como un Servicio” (DaaS/downloader-as-a-service). Además, en torno a esto hay incluso un mercado, por lo que no es raro a unos actores maliciosos empleando cargas que han comprado a otros.

El hecho de que los droppers se hayan convertido en un frente difícil de combatir es el motivo de por qué Google ha decidido crear y poner en funcionamiento Play Protect, que se encarga de escanear continuamente las aplicaciones instaladas localmente para hallar comportamientos maliciosos que no fueron detectados a través de los filtros que ha implementado en la Play Store.

Fuente: BleepingComputer

por Eduardo Medina Fri, 20 Jul 2018 16:11:41 +0000

Microsoft ha detenido ciberataques contra candidatos al Congreso de Estados Unidos

Microsoft ha identificado y detenido en lo que llevamos de 2018 diversos intentos de lanzar ciberataques contra tres candidatos al Congreso de Estados Unidos que se apoyaban en la utilización de versiones falsas sitios web de la compañía.

Los tres candidatos, debido a que podrían alcanzar posiciones de cierto poder, se convirtieron en objetivos tentadores para llevar a cabo campañas de espionaje y ataques contra ellos, algo a lo que se suma la proximidad de las elecciones al congreso. Eso fue lo que declaró Tom Burt, vicepresidente corporativo de Microsoft para la confianza y seguridad del cliente, en el Aspen Security Forum celebrado en Colorado el día de ayer.

Tomando las explicaciones dadas hasta aquí, es obvio que estamos ante unos intentos de ataques mediante phishing contra los candidatos. Con la ayuda del gobierno, Microsoft ha eliminado los dominios de Internet que falsificaban su imagen corporativa y sus servicios para evitar el éxito de los ataques, que ha sido básicamente la misma táctica empleada contra la Convención del Partido Demócrata celebrada en la ciudad de Philadelphia en 2016.

Un ejecutivo de Facebook ha contado en el mismo evento que en abril su compañía eliminó cientos de páginas que estaban controladas por una agencia de investigación con sede San Petersburgo (Rusia), la cual fue señalada por el Consejero Especial Robert Mueller por una campaña a través de los medios sociales para interferir en el proceso de Elecciones Presidenciales celebradas en Estados Unidos en 2016. Monika Bickert, jefa de política de productos y antiterrorismo de Facebook, comentó que las cuentas detrás de aquella campaña esparcían publicidad en ruso en países donde dicho idioma tiene presencia.

Microsoft ha detectado que los dominios de los sitio web falsos estaban registrados por una Amenaza Persistente Avanzada que ha actuado bajo los nombres de Fancy Bear y APT 28, que es de origen ruso. A estas alturas no es raro ver estados vinculados al cibercrimen, cosa que ya hemos visto en varias ocasiones cuando se ha tratado de Corea del Norte, que está detrás del grupo hacker Lazarus y se dedica entre otras cosas a robar dinero.

Fuente: ItProToday y The Hacker News

por Eduardo Medina Fri, 20 Jul 2018 14:15:38 +0000

El GDPR podría estar ayudando a los estafadores por los cambios introducidos en WHOIS

El GDPR es una de las legislaciones más ambiciosas que se hayan creado en torno a la privacidad en la red, sin embargo, su complejidad ha terminado haciendo que muchos concluyan que al final puede terminar siendo una ayuda para los cibercriminales, cuando uno de sus principales objetivos es ofrecer transparencia y exigir mejores medidas para protegerse del cibercrimen. Algo paradójico.

Según una nueva investigación llevada cabo por DomainTools, empresa especializada en ciberseguridad y en investigación de DNS, ha revelado que más del 50% de los profesionales del sector de la seguridad informática piensan que los cambios introducidos en WHOIS harán de Internet un lugar más seguro para los estafadores. Durante la conferencia Infosecurity Europe celebrada en Londres, DomainTools ha publicado los datos de una encuesta realizada a 326 profesionales abarcando el impacto del GDPR sobre importantes funciones de la ciberseguridad, incluyendo la defensa de redes, la caza de amenazas y la evaluación de riesgos.

Desde que el GDPR entró en vigor, ciertos datos de la Información Personal Identificable (PII) que fueron eliminados de los registros de WHOIS, dificultando así la tarea a los profesionales de seguridad que dependen de esos datos para mantener seguros a los usuarios en línea. De los encuestados, el 86% respondió que sabía que el GDPR había afectado a WHOIS y el 58% dijo que la eliminación de dichos datos ayudaría a hacer de Internet un lugar más seguro para los estafadores.

La eliminación de ciertos datos de la PII en WHOIS está haciendo que sea más difícil, no solo para los profesionales de la seguridad, sino también los usuarios finales, el discernir qué organización o personas están detrás de un sitio web. Los cibercriminales tienen aquí una oportunidad para aprovecharse de los usuarios menos precavidos y hacerles caer en estafas.

Fuente: ItPortalPro

por Eduardo Medina Thu, 19 Jul 2018 17:27:38 +0000

Descubiertas miles de credenciales de Mega filtradas en la red

Miles de credenciales de cuentas de Mega, el servicio de almacenamiento en la nube creado por Kim Dotcom y que tiene su sede en Nueva Zelanda, han sido publicados de forma online según informan desde el medio ZDNet.

Se trata de un fichero de texto que contiene 15.500 nombres de usuario, contraseñas y nombres de los ficheros, lo que muestra que se ha accedido a las cuentas de forma ilegítima para obtener lo que había almacenado en ellas. Patrick Wardle, investigador jefe y cofundador de Digita Security, encontró el fichero en el mes de junio, después de que hubiese sido subido al sitio web de análisis de malware VirusTotal meses antes por un usuario presuntamente de origen vietnamita.

Después de recibir una copia del fichero con los datos de los usuarios de Mega, desde ZDNet se pusieron en contacto con algunos de ellos para verificar su autenticidad, cosa que se confirmó con los nombres de usuario, las contraseñas y en buena medida la lista de ficheros almacenados. Los listados que hay en el fichero abarcan una franja muy amplia de tiempo, desde el mismo debut de Mega en 2013 hasta enero del presente año.

Tras confirmarse que los datos de acceso y en un buen porcentaje las listas de ficheros eran ciertos, desde ZDNet decidieron enviar los datos a Troy Hunt, encargado del sitio de notificación de brechas de seguridad Have I Been Pwned. Se descubrió que los nombres de usuario y las contraseñas habían sido obtenidos de otras brechas anteriores, cosa que se confirmó en el 98% de las credenciales presentes. Por otro lado, Hunt ha comentado que aproximadamente el 87% de las credenciales coincidían con otras presentes en una colección de brechas de seguridad publicada en febrero de este año.

Con estos indicios se puede descartar que, al menos en un principio, el servicio de almacenamiento en la nube Mega haya sido hackeado directamente, sino que todo sería responsabilidad de unos usuarios que no protegieron correctamente sus cuentas. Esta hipótesis se solidifica si se tiene en cuenta que 5 de las personas con las que consiguió contactar ZDNet reconocieron usar o haber usado la misma contraseña en diferentes servicios.

De momento no se sabe quién ha recopilado los datos de los usuarios de Mega, basándose aparentemente en otros materiales publicados previamente. El mencionado servicio utiliza cifrado de extremo a extremo, por lo que en teoría no se pueden ver los ficheros subidos a menos que se acceda con las credenciales del usuario, aunque el hecho de que no soporte autenticación en dos factores termina allanando bastante la posibilidad de realizar accesos no autorizados.

Mega registra la IP con la que se ha accedido a su servicio, por lo que usuarios de Europa del Este, Rusia y Sudáfrica han reportado accesos sospechosos a sus cuentas en los últimos meses. Una de las cuentas que aparecen en el fichero almacenaba material relacionado con abusos a niños. Ante este hecho, Stephen Hall, Presidente de Mega, ha anunciado el cierre de la cuenta y la notificación a las autoridades para que procedan a investigar sobre este delito, sin embargo, ha recalcado que pillar a pedófilos y pederastas no es sencillo debido a que el cifrado les impide ver qué suben sus propios usuarios.

Sobre el impacto que ha tenido este incidente, es importante tener en cuenta que Mega tiene unos 115 millones de cuentas registradas. Recordando que la cantidad de cuentas afectadas fue de 15.500, nos sale un porcentaje demasiado bajo como para considerarlo algo grave, y viendo los indicios que hay, todo apunta a que la culpa la tienen los mismos usuarios, aunque no se puede descartar que aparezcan nuevos detalles en el futuro.

En MuySeguridad aprovechamos la ocasión para recordar y recomendar el uso de un gestor de contraseñas en caso de utilizar una gran cantidad de cuentas en Internet, ya que la repetición de las contraseñas puede terminar provocando cosas como esta. Para máxima precaución, recomendamos a todos los usuarios de Mega cambiar la contraseña cuanto antes.

por Eduardo Medina Wed, 18 Jul 2018 16:00:57 +0000

Microsoft inicia un nuevo programa de recompensas que abarca sus servicios de identidad

Microsoft anunció ayer el lanzamiento de un nuevo programa de recompensas por hallar fallos de software y problemas de seguridad en sus servicios de identificación.

La seguridad depende hoy de la colaboración entre entidades, más si tenemos en cuenta que los datos de identificación se utilizan entre dominios y suelen ser clave para poder acceder a servicios e interaccionar a través de Internet a muchos niveles. Microsoft ha dicho que está invirtiendo mucho en la “creación, implementación y mejora de las especificaciones relacionadas con la identidad” para impulsar “una autenticación fuerte, acceso seguro, sesiones, API de seguridad y otras tareas que involucran a infraestructuras críticas.

Debido a los nuevos frentes abiertos por este campo, el gigante de Redmond ha tomado la decisión de iniciar un programa de recompensas independiente. Llamado Microsoft Identity Bounty Program, abarca las soluciones de identificación de Microsoft Account y Azure Active Directory, así como algunas implementaciones de las especificaciones de OpenID. Las recompensas van de los 500 hasta los 100.000 dólares dependiendo de la gravedad del fallo o vulnerabilidad, que tendrá que ser reportado de forma privada a la compañía.

Para participar en el programa de recompensas se tendrá que reportar presentaciones de alta calidad que reflejen la investigación llevada a cabo y que ha derivado en el descubrimiento del fallo o vulnerabilidad, además de compartir el conocimiento y la experiencia con los desarrolladores e ingenieros de Microsoft para que estos últimos pueda reproducir, entender y solucionar el problema en la mayor brevedad posible.

Los que estén interesados en participar en este programa de recompensas tienen que leer atentamente los criterios impuestos por la compañía y los dominios y aplicaciones que abarca. Las recompensas, según el tipo de fallo o vulnerabilidad descubierto, son las siguientes:

Recompensas del Microsoft Identity Bounty Program, programa impulsado por Microsoft

No es la primera vez que Microsoft impulsa un programa de recompensa por separado, ya que en anteriores ocasiones puso en marcha otros que abarcan las vulnerabilidades de ejecución especulativa y fallos en sus productos de software tanto para usuarios finales (clientes) como servidores.

Fuente: The Hacker News

por Eduardo Medina Wed, 18 Jul 2018 11:57:46 +0000

Solo el 20% de las empresas cumplen correctamente con el GDPR

Las fuertes sanciones previstas en el GDPR no han servido para que las compañías se preparasen para poder cumplirla correctamente. De hecho, casi dos meses después de su entrada en vigor, nos encontramos que menos de la mitad de las empresas están preparadas.

Según los datos que se pueden extraer de una encuesta llevada a cabo por Dimensional Research, solo el 20% de las empresas cumplen actualmente con el GDPR, mientras que el 53% todavía se encuentra en proceso de implementación y el 27% todavía no han iniciado los procesos necesarios para implmenetarlo.

Excluyendo a Reino Unido, que en estos momentos se encuentra inmerso en el proceso de su salida de la Unión Europea, actualmente el 27% de las empresas ubicadas en el ente comunitario dicen cumplir con el nuevo Reglamento, cuya aplicación es directa sin necesidad de que los países adecuen sus legislaciones a él. Al ser el GDPR un reglamento que pretende ser aplicados a nivel mundial, las organizaciones de países terceros también se están viendo forzadas a hacer cambios para no violarla, así que nos encontramos con el 21% de las empresas del Reino Unido y el 12% de las ubicadas en Estados Unidos que la cumplen. Para finales de 2018 se espera un nivel de cumplimiento del 74%, un porcentaje que se espera llegue al 93% para finales del 2019.

La entrada en vigor del GDPR ha supuesto un impulso para acelerar su cumplimiento por parte de las empresas, ya que en agosto de 2017 solo el 38% de las ubicadas en Estados Unidos y el 37% del Reino Unido habían iniciados los procesos requeridos. En estos momentos esos porcentajes están en el 66% y el 73% respectivamente.

Sin embargo, esto no quiere decir que el camino sea de color de rosas, ya que los costes para cumplir el GDPR están siendo bastante elevados. Nos encontramos con que el 27% de las empresas han gastado más de medios millón de dólares estadounidenses para alcanzar el objetivo mencionado, un 31% planea gastar más de medio millón de dólares entre junio y diciembre de 2018 y el 18% en Estados Unidos han gastado más de un millón de dólares frente al 8% de Reino Unido y la futura Unión Europea de los 27 (si no se adhieren más países en los próximos años).

Las dificultades que representa cumplir con el GDPR contrastan con lo bien recibido que está siendo, ya que desde el 65% de las empresas han respondido que el nuevo reglamento ha tenido un impacto positivo en su negocio, frente al 15% que dice que su aplicación ha terminado siendo negativa. La preocupación de quedar bien ante los clientes fue la principal prioridad, acaparando el 57%, frente al 39% de empresas que temían más a las multas y sanciones.

El GDPR está orientado sobre todo a proteger algo muy específico, la privacidad. Por eso el 87% de las compañías respondieron que este aspecto resulta más importante desde la entrada en vigor del Reglamento, mientras que un 80% prevé incrementar el gasto en tecnología y herramientas para cumplirlo.

Fuente: HelpNetSecurity

por Eduardo Medina Tue, 17 Jul 2018 15:30:42 +0000

¿Todavía usas Stylish? Cambia a Stylus cuanto antes si te preocupa tu privacidad

A principios de mes nuestros compañeros de MuyLinux se hicieron eco del escándalo que surgió en torno a Stylish, una conocida extensión para navegadores web que permite cambiar el apariencia de las páginas web empleando CSS.

El problema en torno a Stylish vino a partir de un cambios de manos. Antes estaba mantenida por una única persona que decidió descontinuar su desarrollo y desde enero de 2017 está bajo el paraguas e SimilarWeb, una empresa dedicada a análiticas web y al rastreo de la actividad en la red, usando métodos que para algunos son más que cuestionables.

SimilarWeb ha intentado aprovecharse del hecho de que Stylish contaba con 2 millones de usuarios introduciendo un cambio que le permitía rastrear toda la actividad en línea de los usuarios con fines comerciales. La introducción de esta característica generó mucha polémica, ya que estaba muy alejada de los propósitos originales de la extensión, que era la de permitir cambiar el aspectos de las páginas web.

Entre los datos rastreados, están todas las URL mostradas a través del navegador, incluidos los campos GET en caso de tenerlos, así que podría registrar hasta el token correspondiente a un cambio de contraseña, por ejemplo. Los resultados de las búsquedas también quedaban registrados, por lo que se puede obtener una información muy precisa de los intereses de los usuarios. Toda esa actividad de rastreo estaba amparada por una política de datos que ocupaba 3.000 palabras, demasiadas para leerlas y más delante de un monitor, que cansa mucho más la vista.

El problema de Stylish no es la actividad de rastreo en sí, cosa que se hace desde muchos frentes, sino cómo lo hace, abarcando datos del usuarios de forma bastante indiscriminada y comprometiendo la privacidad hasta límites que no son aceptables. Ante esta situación, Mozilla decidió tomar cartas en el asunto y eliminar Stylish de su tienda de extensiones, movimiento que luego fue imitado por Google en Chrome Web Store y Opera.

Lo peor es que a día de hoy Stylish sigue contando con casi la misma cantidad de usuarios que antes de destaparse el escándalo, y posiblemente muchos de ellos todavía no se hayan enterado de lo que están haciendo, muy posiblemente contra su voluntad. Como alternativa, nuestros compañeros de MuyLinux han recomendado Sytlus, que es software libre, no rastrea y está disponible para Firefox, Chrome y Opera.

Fuente: Naked Security

por Eduardo Medina Tue, 17 Jul 2018 10:29:42 +0000

Los fallos reportados en productos de Microsoft se incrementado un 121%

Zero Day Initiative (ZDI) ha publicado un informe sobre la primera mitad de 2018 en el que muestra que ha pagado 1 millón de dólares a los investigadores que han descubierto vulnerabilidades en los productos de algunas de las multinacionales más conocidas de la computación.

Entrando en números, durante los primeros seis meses de 2018 hubo 600 avisos de seguridad, superando claramente los 451 del mismo periodo del año pasado. Si tenemos en cuenta que 2017 fue considerado como el año que tuvo más ocupados a los investigadores según ZDI, el 2018 va camino de superarlo de forma clara, lo que deja en evidencia la cada vez mayor preocupación y demanda que genera la ciberseguridad. Sin embargo, dentro del negativismo hay un dato positivo, y es que el número de avisos zero-day disminuyó un 42%. Por otro lado, se puede destacar las siguientes tendencias del informe:

  • El número de fallos reportados hallados en los productos de Microsoft se ha incrementado en un 121% si se comparan los datos de la primera mitad de 2018 y el mismo periodo de 2017. Muchos de estos afectando a los navegadores propios de la compañía, Edge e Internet Explorer, además del motor de JavaScript ChakraCore, que se han visto afectados sobre todo por fallos de usar después de liberar memoria. Teniendo en cuenta que Microsoft ha publicado un 8% más de parches que durante la primera mitad de 2017, ZDI cree que la multinacional está reaccionando ante este aumento en la cantidad de casos reportados, aunque en estos momentos todavía haya 39 fallos que esperan ser parcheados.
  • Apple, por su parte, ha registrado un descenso del 28,5 por ciento, un dato que puede ser engañoso al no tener en cuenta las dimensiones del Pwn2Own en 2017. Eliminando los fallos que fueron adquiridos durante el Pwn2Own el año pasado y el actual, se obtiene como resultado un incremento del 36%. En consecuencia, según ZDI, en la actualidad alrededor del 30% de los fallos de Apple siguen esperando un parche que los corrija.
  • El número de fallos detectados en SCADA ha representado el 30% de todos los informados a ZDI. Muchas personas desconocen que los productos de SCADA están siendo incluidos como controles en dispositivos IoT, yendo más allá de las infraestructuras y la fabricación. Advantech publicó 132 avisos, siendo esto un aumento del 22%, mientras que Delta Industrial y Omron publicaron 26 y 22 avisos respectivamente.
  • Adobe ha escapado prácticamente igual comparando los primeros semestres de 2017 y 2018, con solo dos fallos más reportados. Comparando con el número total de avisos, los que afectaban a productos de Adobe representó el 16% del total en la primera mitad de 2018, frente al 20% del mismo periodo de 2017.
  • El software de virtualización, el número de informes de fallos hallados ahí ha aumentado un 275 por ciento con respecto al primer semestre del año pasado. Tomando los fallos hallados en la conocida solución VirtualBox en el Pwn2Own y los reportes de ZDI sobre VMware, todo parece indicar que el segmento de la ciberseguridad solo está empezando a dar sus primeros pasos en este segmento.

El aumento en la cantidad de fallos reportados no es más que otra muestra de una tendencia que va al alza desde hace tiempo, y que posiblemente se haya visto intensificada en los últimos tiempos a raíz de los múltiples fallos de seguridad hallados en los procesadores modernos de todos los fabricantes.

Por otro lado, todo parece indicar que ha habido sectores en los que la seguridad no ha sido tenida en cuenta con el rigor necesario, algo que podría explicar el gran aumento en la cantidad de reportes de fallos hallados en productos que hasta hace poco raras veces acaparaban el protagonismo de la actualidad sobre ciberseguridad, como los ya mencionados procesadores y la virtualización.

Fuente: CSO Online

por Eduardo Medina Mon, 16 Jul 2018 15:30:42 +0000

Un fallo de seguridad en Movistar permite filtrar los datos de millones de clientes

FACUA-Consumidores en Acción, la conocida ONG española dedicada a la defensa de los derechos de los consumidores y usuarios, ha denunciado con una publicación en su sitio web oficial la existencia de un agujero de seguridad en la web de Movistar a través del cual se habrían expuesto los datos de millones de clientes.

FACUA-Consumidores en Acción ha detectado una posible brecha de datos cuyo origen está en un agujero de seguridad hallado en el sitio web de Movistar. Entre lo sustraído estarían nombres de los clientes, direcciones postales, direcciones de email, los números de teléfonos fijos y móviles asociados al cliente y un desglose de las llamadas. De confirmarse esto, los actores malintencionados podrían haber obtenido datos no solo ir contra los clientes afectados, sino también posiblemente contra sus contactos.

Debido a este descubrimiento, FACUA ha tomado la decisión de presentar una denuncia contra Telefónica de España y Telefónica Móviles ante la Agencia Española de Protección de Datos, pidiéndole la apertura de un expediente sancionador. Recordamos que esta agencia pública es la misma que multó a Facebook con 1,2 millones de euros por violar la LOPD en septiembre de 2017. La ONG comunicó la existencia del fallo de seguridad a Movistar durante la tarde de ayer (domingo 15 de julio de 2018). Como medida de contingencia, la multinacional decidió eliminar ciertas funcionalidades de la web de Movistar con el fin de evitar que se siguiesen exponiendo los datos, por lo que desde esta mañana no se puede acceder a las facturas emitidas desde agosto de 2017. Movistar se encuentra ahora notificando a todos los clientes perjudicados con el fin de cumplir con el GDPR, el Reglamento de la Unión Europea que prevé fuertes sanciones contra las empresas que lo incumplan.

Lo peor de todo es que el agujero de seguridad está lejos de ser algo que requiera de tener profundos conocimientos de hacking para explotarlo. Según FACUA, los requisitos habrían sido el tener una línea en Movistar y acceder a la sección de facturación en la web de la operadora mediante el DNI y la contraseña. Luego el hacker o actor malintencionado pide el visionado de cualquier factura, que mostraba una URL con un código alfanumérico del recibo que si se modificaba a mano permitía visualizar las facturas de otros clientes.

Veremos hasta dónde llega este incidente de seguridad, pero de confirmarse lo expuesto y denunciado por FACUA, estamos ante un fallo que en los tiempos actuales podría considerarse como digno de “principiantes”.

por Eduardo Medina Mon, 16 Jul 2018 10:50:08 +0000

Un hacker poco habilidoso consigue hacerse con documentos del ejército de Estados Unidos

Inskit Group, que es parte de la empresa de investigación en seguridad Recorded Future, ha encontrado un vendedor que dice tener información “muy sensible” sobre el dron militar estadounidense MQ-9. Dicha información se está vendiendo en la dark web por el precio de 150 dólares (sí, hablamos de unidades).

El precio resulta realmente sorprendente si tenemos en cuenta que los documentos de procedencia militar suelen ser bastante caros en la dark web, ya que revelan planes y proyectos que muchas veces son secretos o se intentan gestionar con la mayor discreción posible. Sin embargo, parece que Insikt Group ha podido constatar la validez de lo que ha descubierto tras establecer contacto, además de saber cómo obtuvo el hacker dichos documentos.

El hacker ha contado a los analistas que explotó un fallo de seguridad conocido en el protocolo FTP en los routers de Netgear. Para hallar los routers en uso vulnerables utilizaron el buscador Shodan, descubrieron que algunos contenían un fallo que fue descubierto hace dos años. El atacante consiguió acceso a la computar de un capitán del 432d Aircraft Maintenance Squadron Reaper AMU OIC, situado en una base en el estado de Nevada. La situación termina siendo un tanto irónica si tenemos en cuenta que la persona afectada había completado recientemente el Cyber Awareness Challenge (Desafío de Concienciación Cibernética), pero parece que falló a la hora de proteger adecuadamente la contraseña del FTP al haber dejado la establecida por defecto.

El hacker consiguió a través de este router comprometido robar información sensible, incluyendo libros de cursos de mantenimiento de Reaper y la lista con los aviadores asignados al Reape AMU. Si bien no se trata de una información clasificada, sí podrían dar una ventaja a un adversario a la hora de combatir contra un dron. A lo mencionado hasta aquí también se suman documentos militares aparentemente robados a algún empleado del Pentágono o el ejército estadounidense.

Entre la documentación que Inskit Group ha podido obtener, se encuentran más de una docena de manuales de entrenamiento que describen tácticas improvisadas para desactivar dispositivos explosivos, un manual de operaciones del tanque M1 ABRAMS, un manual de entrenamiento y supervivencia de tripulantes y tácticas de pelotón de tanques.

Otro aspecto a tener en cuenta es que, según Inskit Group, el hacker tras esta hazaña no es especialmente habilidoso, por lo que el hecho de que haya descubierto vulnerabilidades en los sistemas de ciberdefensas del Ejército de Estados Unidos para luego filtrar documentos deja en evidencia la calidad de dichas barreras. De haber sido otro hacker o un grupo de hackers más habilidoso, las consecuencias podrían haber sido mucho peores.

Fuente: The Inquirer

por Eduardo Medina Fri, 13 Jul 2018 16:14:14 +0000