• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Descubren una botnet compuesta por 500.000 routers hackeados

Los routers son algo a lo que la mayoría no presta mucha atención cuando se trata de cuidar la ciberseguridad, y esta es una circunstancia de la que se aprovechan los cibercrminales. Los inverstigadores de Cisco han descubierto una gigantesca botnet construida con más de 500.000 routers ubicados en 54 países que han sido infectados con el malware VPNFilter.

Los investigadores de Cisco creen que esto podría responder a una camapaña patrocinada por un estado, ya que la botnet creada está preparada para lanzar poderosos ciberataques. Por otro lado VPNFilter comparte mucho código con BlackEnergy, un malware que ha sido utilizado para llevar a cabo extensos ciberataques en Ucrania, por lo que se sospecha que podría tener vínculos con el Gobierno de Rusia, cosa que no mencionan los investigadores. Sin embargo, en Daily Beast informan que agentes del FBI han tomado mediante orden judicial el control del servidor clave de una botnet presuntamente perteneciente al gobierno ruso, la cual se compone de unos 500.000 routers hackeados.

Entre las marcas de routers afectadas por VPNFilter se encuentran TP-Link, NETGEAR, Linksys y MicroTik. El malware contiene código para robar credenciales de acceso a sitios web, inutiliza el router infectado y puede dejar sin acceso a Internet a cientos de miles de personas (algo factible viendo la cantidad dispositivos afectados) de todo el mundo.

VPNFilter es un malware de plataforma modular en múltiples etapas. En su etapa inicial lo que hace es persistir a través de un reinicio, algo que lo diferencia de la mayoría de los programas maliciosos contra el Internet de las Cosas, que generalmente no sobreviven al reinicio del dispositivo. El objetivo es obtener un punto de apoyo persistente y habilitar el despliegue de la segunda etapa. Para ello, en la primera etapa se utilizan múltiples mecanismos de mando y control para descubrir la dirección IP del servidor de implementación de la segunda etapa, haciendo que este malware sea extremadamente robusto y capaz de lidiar con cambios impredecibles en la estructura de mando y control.

La segunda etapa, que no persiste a un reinicio, posee la capacidad que se espera de una plataforma de recolección de inteligencia, como recolección de ficheros, ejecución de órdenes, filtración de datos y gestión del dispositivo. Sin embargo, algunas versiones de la segunda etapa también poseen capacidades autodestructivas para sobreescribir en una parte crítica del firmware del router y luego reiniciarlo para dejarlo inutilizable. Los investigadores creen que los atacantes podrían llevar a cabo con éxito el proceso de neutralización del dispositivo en la mayoría de los modelos afectados.

También hay múltiples módulos de la tercera etapa que sirven como complementos para el malware de la segunda etapa para proporcionar a esta última funcionalidades adicionales. Uno de los módulos es un rastreador de paquetes sniffer que se dedica a recolectar el tráfico que pasa a través del dispositivos, incluyendo el robo de credenciales de los sitios web a los que acceden los usuarios y la supervisión de los protocolos Modbus SCADA. El otro módulo es uno de comunicación que permite a la segunda etapa comunicarse a través de la red Tor. Los investigadores creen que hay otros módulos, pero que estos todavía no han sido descubiertos.

Para propagar VPNFilter, se cree que los atacantes han podido abusar de la falta de una autenticación fuerte para acceder a los routers, dejando las credenciales por defecto del fabricante. Cisco descarta de momento la explotación activa de vulnerabilidades.

Fuente: FossBytes

por Eduardo Medina Thu, 24 May 2018 15:00:12 +0000

Facebook ya no pide el número de teléfono para la autenticación en dos pasos

Facebook actualizó el martes las opciones de su sistema de autenticación en dos pasos, haciendo que ya no se necesite un número de teléfono para acceder a la plataforma liderada por la conocida red social.

Scott Dickens, gerente de producto en Facebook, ha sido quien ha anunciado los cambios realizados en una entrada en el blog corporativo, reconociendo que “las aplicaciones de autenticación de terceros como Google Authenticator y Duo Security” son más fáciles de utilizar. Dichas aplicaciones ofrecen más seguridad que los números de teléfono debido a que los mensajes SMS son más fáciles de secuestrar.

Es importante mencionar que la compañía dirigida por Mark Zuckerberg ha ofrecido desde hace tiempo claves de seguridad como Yubikey como opción de autenticación en múltiples pasos. Por otro lado, varias compañías, entre ellas Google, llevan tiempo intentando eliminar el SMS como uno de los elementos utilizados en la autenticación en dos pasos, debido a que son considerados un método inseguro.

Sin embargo, no solo el hecho de que los SMS sean considerados poco seguros ha podido empujar a Facebook a tomar esta decisión, ya que en los últimos meses ha registrado una incidencia reportada por un usuario que se quejó de que la red social estaba enviando spam al número de teléfono que utilizaba para la autenticación en dos factores. Aquello derivó de un bug en la plataforma que forzó a Alex Stamos, jefe de seguridad, a pedir disculpas públicamente.

Aunque la autenticación en dos factores (o pasos) es algo muy recomendado por parte de expertos en ciberseguridad, la realidad es que pocos la emplean. Google ha reconocido que en la actualidad menos del 10% de sus usuarios la utilizan.

Fuente: Cyberscoop

por Eduardo Medina Thu, 24 May 2018 09:25:46 +0000

Crean una botnet para spam con un script PHP malicioso encontrado en 5.000 servidores

Han conseguido comprometer 5.000 servidores con un script malicioso en PHP (el lenguaje a nivel de servidor web más utilizado del mundo) que ha sumado ordenadores para llevar a cabo campañas de spam a escala, las cuales van redirigiendo a los usuarios hacia páginas web sobre presuntas píldoras para potenciar dietas y mejorar la inteligencia.

La misión del script es mantener hackeados los servidores en los que es introducido para mantenerlos bajo el control del grupo de cibercriminales tras las potentes campañas de spam, que consisten en redirigir a los usuarios finales hacia las web creadas y controladas por los primeros. Las campañas de spam han sido impulsadas mediante una botnet llamada “Brain Food”, detectada en marzo de 2017, aunque las operaciones no fueron analizadas hasta la semana pasada por el investigador Andew Conway, de Proofpoint.

El investigador dice que los operadores de la botnet comprometen los sitios web y dejan ahí el script PHP malicioso para ejecutar código bajo demanda, aunque su principal función es la de actuar como punto de redireccionamiento para llevar a cabo la campaña de spam. Los administradores de Brain Food operan mediante el envío de email de spam a las víctimas que contiene enlaces hacia los scripts PHP maliciosos implantados en varios sitios hackeados. En caso de que una víctima pique y haga clic sobre el enlace, esta es redirigida a otra web sobre presuntas píldoras para potenciar dietas o la inteligencia, las cuales la mayoría de las veces son presentadas bajo marcas falsas.

Los scripts de PHP pueden recibir y aplicar nuevas direcciones de redireccionamiento suministradas por los operadores. Además, también recolectaban información sobre las campañas de spam llevadas a cabo. El script malicioso fue descubierto en unos 5.000 servidores, la mayoría de estos pertenecientes a la red de GoDaddy, con más de 2.400 activos durante la última semana. Es importante tener en cuenta que, al menos aparentemente, los cibercriminales no están explotando vulnerabilidades de CMS concretos, ya que se ha detectado una gran variedad de gestores de contenidos entre los sitios web afectados.

El código del script es polimórfico y está ofuscado con múltiples capas de cifrado base64. También incluye protección contra la indexación automática por parte de Google, respondiendo al rastreador del buscador con un código 404, que indica que la página web no ha sido encontrada. Al estar construida con una tecnología que trabaja a nivel del servidor, el script no resulta peligroso para los usuarios finales, que solo tienen que preocuparse de las campañas de spam, pero sí lo es para los sitios web afectados, ya que permite a los atacantes utilizar una capacidad de tipo backdoor para ejecutar código arbitrario sobre los servidores.

Fuente: BleepingComputer

por Eduardo Medina Wed, 23 May 2018 15:40:36 +0000

Investigadores chinos descubren 14 vulnerabilidades en vehículos de BMW

El hecho de que haya computadoras implementadas cada vez en más dispositivos hace que sea necesario extender las medidas en torno a la ciberseguridad. Aunque no acapare mucha atención en los medios, una de las cosas que más preocupan son los vehículos, sobre todo porque las vulnerabilidades halladas en su software y hardware podrían permitir su control remoto por parte de hackers, algo cuyas probabilidades aumentarían en caso de no recibir actualizaciones de software.

Investigadores de Tencent Keen Security Lab, radicado en China, han descubierto 14 vulnerabilidades en vehículos de la conocida marca alemana BMW tras la realización de una auditoría que empezó en enero de 2017 y acabó en febrero de 2018. Después de los hallazgos, el equipo de investigadores decidió reportárselas directamente a BWM, que terminó reconociendo públicamente su existencia. Algunas de las vulnerabilidades llevan presentes desde 2012.

El fabricante alemán ya ha empezado a desplegar algunos de los parches para los vehículos vulnerables y los investigadores han publicado un informe de 26 páginas en el que describen sus descubrimientos, aunque no han expuesto ciertos aspectos técnicos importantes para así evitar los abusos por parte de los hackers. Para garantizar que ningún vehículo corra peligro y dar margen a BMW para terminar su trabajo, han anunciado que todos los detalles serán mostrados durante los primeros meses de 2019.

Los investigadores se han centrado en tres componentes críticos de los vehículos de BMW: El sistema de entretenimiento, la Unidad de Control Telemático y el Módulo Central de Pasarela. Las 14 vulnerabilidades descubiertas se reparten de la siguiente manera entre las tres áreas mencionadas:

  • 8 impactaron en el sistema de entretenimiento conectado a Internet, encargado de reproducir música y otros contenidos multimedia.
  • 4 impactaron en la Unidad de Control Telemático, que ofrece servicios como el de telefonía, asistencia en caso de accidente y la posibilidad de bloquear y desbloquear las puertas de forma remota.
  • 2 impactaron en el Módulo Central de Pasarela, que ha sido diseñado para recibir mensajes de diagnostico de la Unidad de Control Telemático y del sistema de entretenimiento para transferirlos a otras Unidades de Control Electrónico en diferentes CAN Bus.

Se ha podido saber que su explotación puede permitir a un atacante enviar mensajes de diagnóstico arbitrarios a la Unidad de Control del Motor, encargado de controlar las funciones eléctricas, y al CAN Bus, que se puede considerar como la médula espinal, abriendo así la puerta a la posibilidad de poder controlar, hasta cierto punto, las operaciones en el vehículo afectado.

No todas las vulnerabilidades pueden ser explotadas de forma remota, ya que cuatro de estas requieren de acceso físico al USB o al puerto de Diágnosticos a Bordo (ODB), mientras que otras cuatro requieren un acceso físico directo o indirecto. Sin embargo, no se puede decir lo mismo de las seis restantes, que sí pueden ser explotadas de forma remota, ya sea mediante el Bluetooth o la conexión de Internet móvil, incluso mientras se está conduciendo. Entre los modelos afectados nos encontramos a los BMW i Series, BMW X Series, BMW 3 Series, BMW 5 Series y BMW 7 Series.

Como reconocimiento, el fabricante de vehículos alemán ha convertido a los investigadores de Tencent Keen Security Lab en los primeros ganadores del Premio de Investigación de Digitalización e IT de BMW Group, describiendo su trabajo como “de lejos, la prueba más completa y compleja jamás realizada por un tercero en vehículos de BMW Group.”

Fuente: The Hacker News

por Eduardo Medina Wed, 23 May 2018 09:54:56 +0000

Microsoft anuncia el bloqueo de los contenidos Flash en Office 365

Microsoft ha anunciado planes para bloquear los controles de contenidos de Flash, Silverlight y Shockwave en Office 365, la versión de la suite ofimática que se distribuye mediante planes de arrendamiento.

Es importante dejar claro que estamos ante un bloqueo total y no una inhabilitación que se pueda revertir a través de las opciones. Los usuarios de Office 365 no podrán a partir de enero de 2019 reproducir contenidos en Flash, Silverlight y Shockwave introducidos en los documentos, siendo este un cambio que seguirá los siguientes pasos:

  • Los controles serán bloqueados en el canal mensual de Office 365 a partir de junio de 2018.
  • Los controles serán bloqueados en el canal SAT a partir de septiembre de 2018.
  • Los controles serán bloqueados en el canal semianual a partir de enero de 2019.

Sin embargo, es importante tener en cuenta ciertas condiciones. Primera, que esto solo afecta los elementos incrustados a través “Insertar objeto”, que es a fin de cuentas la característica bloqueada, pero no aquellos insertados mediante “Insertar vídeo online”. Segunda, esto afectará solo a los usuarios de Office 365, pero no a los de las versiones 2010, 2013 y 2016 de la suite ofimática de Microsoft. Aun así, parece que se podrán seguir habilitando mediante una modificación en el registro de Windows.

En el caso de Flash se suma otra circunstancia, su fecha de fin de ciclo, prevista para 2020. El hecho de que los encargados de la tecnología de Adobe decidieran abandonar el mercado de la movilidad ha dado a HTML5 el impulso que necesitaba para consolidarse como sustituto, sobre todo cuando se trata de reproducir contenidos multimedia. En su día Flash fue “un mal necesario” para dotar a la web de capacidades multimedia, pero en la actualidad se está viendo sepultado ante el empuje de un estándar abierto que no depende de la voluntad de ninguna compañía para su expansión.

Por otro lado, se suma su cuestionable trayectoria en términos de seguridad, llegándose a descubrir más 300 vulnerabilidades en un solo año y habiendo sido durante mucho tiempo un objetivo prioritario de hackers y ciberdelincuentes.

Fuente: BleepingComputer

por Eduardo Medina Tue, 22 May 2018 14:42:20 +0000

Intel confirma la existencia de nuevas variantes de Spectre y Meltdown

Cuando Meltdown y Spectre fueron expuestos de forma pública a todo el mundo, se descubrieron unos problemas que están trayendo mucha cola y que se intentan mitigar no solo desde el firmware para los propios procesadores, sino también desde aplicaciones y drivers para evitar los ataques en lo máximo posible.

Además de evitar formas de explotar las tres vulnerabilidades (las dos de Spectre y la de Meltdown) expuestas al público en enero, con el paso de los meses hemos visto cómo se descubrieron más problemas de seguridad tanto en los productos de Intel como los de AMD, dando a entender que los procesadores han podido estar mal diseñados en términos de seguridad desde hace años.

Retomando el caso de las ocho vulnerabilidades adicionales halladas en las CPU de Intel, la compañía con sede en Santa Clara ha confirmado que entre ellas está la variante 4 (CVE-2018-3639) de Spectre (la variante 3 es Meltdown), descubierta por investigadores en seguridad de Google y Microsoft. Este nuevo fallo, que ha recibido el nombre de Speculative Store Bypass, es similar a las otras vulnerabilidades de Spectre al basarse en la ejecución especulativa utilizada por las CPU modernas, pudiendo mediante esa vía exponer datos sensibles a través de un ataque de canal lateral.

Al igual que las otras variantes de Spectre, no solo Intel se ve afectada, cosa que avisamos que podría ocurrir en el artículo anterior. De echo, se ha confirmado entre otras marcas a AMD, ARM, Power 8, Power 9 y System z. Esto quiere decir que servidores, computadoras personales y dispositivos móviles están afectados por la cuarta variante descubriera. El hecho de que Intel publique los datos ahora puede responder a dos cosas: a su compromiso de mayor transparencia y al hecho de que posiblemente sea una de las vulnerabilidades que pronto publicaría Project Zero de Google, que casi siempre es implacable con los tiempos que otorga. El proceso de parcheo tendrá que abarcar diversos frentes, desde las aplicaciones para usuario finales (como un navegador web) hasta la BIOS de las placas base.

Por otro lado, se ha descubierto otra variante de Meltdown etiquetada como Variante 3A (Variant 3A) bajo el apodo de Rogue System Register Read. Permite a los atacantes con acceso local utilizar análisis de canal lateral para leer datos sensibles y otros parámetros del sistema. Recordamos que Meltdown ha afectado a pocos procesadores que no son de Intel, destacando aquí los dispositivos iOS, aunque está por ver si los productos móviles de Apple están también afectados por la Variatne 3A.

El parcheo de Speculative Store Bypass tendrá un impacto en el rendimiento según ha informado Intel en su comunicado oficial, que podría ir entre el 2 y el 8 por ciento. A esto hay sumar la pérdida ya provocada por la solución contra Meltdown. Muchas empresa posiblemente vean cómo sus sistemas pierden rendimiento, y viendo la actual situación, posiblemente muchos esperen al lanzamiento de procesadores que estén asegurados contra Meltdown y Spectre para renovar sus equipos informáticos.

Sobre otros fabricantes, ARM ha dicho que la variante 4 de Spectre solo impacta a un pequeño número de núcleos Cortex-A y que será mitigada con una actualización de firmware, mientras que AMD ha publicado un documento diciendo a sus usuarios que dejen la corrección inhabilitada debido a lo difícil que resulta realizar el ataque Speculative Store Bypass de forma exitosa, algo a lo que se suma el anuncio de la colaboración con Microsoft y los distribuidores de Linux para la creación de parches.

Fuente: The Hacker News y The Next Web

por Eduardo Medina Tue, 22 May 2018 10:18:46 +0000

Protege los datos de tu dispositivo iOS siguiendo estos 7 consejos

El caso de San Bernardino ha sido una fuente, al menos de cara a algunos perfiles de usuario, de buena publicidad para Apple, ya que la compañía ha podido dar una imagen de proteger fuertemente la privacidad. Aprovechando la ocasión, también hizo hincapié en que “los usuarios no son el producto” cuando se destapó el escándalo de Cambridge Analytica, que dejó la imagen de Facebook bastante tocada.

Sin embargo, la buena imagen que tiene Apple a nivel de privacidad puede terminar haciendo que sus usuarios se confíen. Una buena privacidad no solo la ofrece el producto o servicio en sí, sino que esta tiene que ser reforzada por buenas prácticas por parte del usuario final. En MuySeguridad nos hacemos eco de las recomendaciones de Malwarebytes sobre cómo proteger los dispositivos iOS (con especial mención a los iPhones).

Utilizar una una frase de contraseña larga

La mayoría de los usuarios de iOS utilizan un PIN de 4 dígitos, aunque posiblemente sería mejor utilizar uno de 6 para reforzar la protección de los datos. Además de esto, se puede establecer un bloqueo definitivo si se falla un número de intentos, algo que puede venir muy bien en casos de robo o de intentos de acceso indebido.

El problema de utilizar un PIN de 4 dígitos es que solo hay 10.000 combinacionales posibles, por lo que en 10 intentos un atacante tendría un 0,1% de posibilidades de acertar. Aunque no es un porcentaje elevado, se trata de una probabilidad relativamente alta para este tipo situaciones, así que sería mejor utilizar un PIN de 6 dígitos para bajarlo. Pero aquí no solo hay que tener en cuenta la configuración del sistema operativo, ya que a lo largo del tiempo han aparecido dispositivos capaces de averiguar pines saltándose los límites de intentos, debido a que se han aprovechado de vulnerabilidades de hardware o software, como el dispositivo GrayKey.

Por eso es muy recomendable no usar el PIN y utilizar en su lugar una contraseña compuesta por una frase larga y alfanumérica. Además de letras y números, también sería recomendable utilizar caracteres especiales para dar más fuerza a la contraseña. En iOS, la contraseña se establece mediante Ajustes > Touch ID y código. Como alternativa, se puede utilizar Touch ID y Face ID para reconocimiento biométrico, pero estos son cuestionados por muchos debido a que Face ID muestra carencias y la huella digital puede ser replicada de la forma más sencilla posible al estar en el dispositivo tocado por el usaurio.

Reforzar la cuenta de Apple ID con una autenticación en dos factores

La autenticación en dos factores es algo que en MuySeguridad recomendamos encarecidamente para reforzar, al menos, las principales cuentas que manejan los usuarios e incluso los propios gestores de contraseñas, herramientas cuya utilización sería muy recomendable en caso de utilizar una gran cantidad de cuentas a lo largo y ancho de Internet, algo muy común en estos tiempos a pesar de que muchos sitios web soportan el acceso mediante otros servicios como Facebook y Google.

La cuenta de Apple ID está vinculada a cada dispositivo de Apple que utilice el mismo usuario, por lo que reforzar su seguridad con la autenticación en dos factores resulta crítico para evitar, en lo máximo posible, problemas derivados de acceso no autorizados a los datos.

Mantener actualizado todo el software

No tener al día el software es un gran riesgo para el usuario. En su momento se descubrió que WannaCry se aprovechó de una vulnerabilidad en el protocolo SMB que estaba parcheada en Windows, pero muchos mantenedores de sistemas no aplicaron el parche con diligencia, permitiendo así que la campaña tras el malware tuviera mucho éxito.

Tener actualizados tanto las aplicaciones como el sistema operativo resulta critico para obtener la máxima protección, debido a que las vulnerabilidades no parcheadas son algo que los atacantes aprovechan con frecuencia. Sin embargo, ni eso otorga la invencibilidad, ya que por ejemplo GrayKey explota vulnerabilidades y problemas de seguridad aún desconocidos. Obviamente, Apple combate para averiguar los orígenes de las cosas que permiten la ejecución de GrayKey, pero mientras tanto los usuarios seguirán desprotegidos contra esta herramienta.

A esto hay que sumar que cada vez que Apple parchea una vulnerabilidad publica información en sus notas de lanzamiento, proporcionando así información a los atacantes para que puedan ir contra sistemas sin actualizar.

Utilizar un servicio de VPN en las Wi-Fi públicas

Las Wi-Fi públicas son todo un peligro para los usuarios. El hecho de que las transmisiones no estén cifradas y utilicen canales no confiables se convierte en toda una tentación para los hackers, que suelen estar pendientes para poder hacerse con datos comprometedores, mejor si les pueden reportar ingresos de forma directa, como la autentiación para acceder a las cuentas bancarias.

Es mejor tirar de la tarifa plana de datos antes que conectarse a una Wi-Fi pública, pero en caso de que eso no pueda ser posible, lo recomendable es utilizar un servicio de VPN que se encargue de cifrar los datos transmitidos y así evitar que caigan en menos de los ciberdelincuentes.

Sin embargo, no cualquier servicio de VPN vale, ya que muchos en realidad no son confiables, y en caso de ser gratuito, el usuario tiene muchas opciones de ser el verdadero producto, por lo que su privacidad puede terminar comprometida igualmente. Además de elegir un buen servicio de VPN, es importante asegurarse de que su compatibilidad con iOS es buena.

Parece que WPA3 ofrecerá una solución para reforzar la seguridad de las Wi-Fi públicas, pero mientras esta versión del protocolo no esté extendida, lo recomendable es tomar precauciones en el orden que hemos expuesto: primero tirar de la tarifa plana de datos y si no se puede, usar un servicio de VPN confiable.

Usar cifrado adicional

Utilizar un gestor de contraseñas puede ser una buena idea para reforzar la seguridad de las contraseñas. Además de la protección ofrecida por el dispositivo o la cuenta de iCloud, también hay que contar con la caja fuerte del gestor de contraseñas, por lo que se añade una barrera más a la hora de proteger las credenciales del usuario.

En nuestro especial sobre qué es un gestor de contraseñas se pueden ver las soluciones más populares en ese segmento, aunque aquí es importante también tener en cuenta la compatibilidad con iOS. Por otro lado, la aplicación Notas permite crear notas cifradas que pueden ser protegidas con contraseñas, recomendándose usar una contraseña distinta por cada nota. Otra cosa recomendable sería utilizar cifrado en los respaldos de los dispositivos alojados en iTunes con una contraseña única.

Comprobar periódicamente los ajustes de privacidad

En los dispositivos móviles las aplicaciones piden una gran cantidad de permisos para poder acceder a los datos a alojados, al micrófono, la localización y las cámaras. Sería recomendable de vez en cuando supervisar la sección de Privacidad en los Ajustes de iOS para ver si se le ha concedido a alguna aplicación un permiso que en realidad no necesita, como por ejemplo revocar a una aplicación de red social el acceso a las fotos almacenadas.

Estar atento a las estafas

Como ya dijimos al principio, que el iPhone tenga buena reputación en materia de privacidad no vuelve invencible de por sí, y si el usuario no tiene cuidado con los lugares en los que se mete, igualmente puede llevarse un buen disgusto.

Una cosa de la que hay que estar pendientes son las estafas, que pueden llegar mediante llamadas o mensajes de remitentes desconocidos. Obviamente, en esas situaciones sobra decir que lo mejor es cortar la comunicación cuanto antes y no enviar ningún tipo de mensaje o dato, más si son sensibles. También es importante estar atentos a los enlaces que llegan a través de los mensajes. En caso de que el emisor no sea una persona de confianza, lo mejor es no hacer clic sobre él, ya que podría ser una estafa que podría llevar al robo de datos, sobre todo dirigiendo al usuario a sitios web de phishing.

Una buena práctica aquí sería, en lugar de pulsar sobre los enlaces, abrir el navegador web que se esté usando iOS, escribir la URL del sitio web y luego navegar hasta donde se ha indicado en el mensaje recibido.

La seguridad es algo que siempre depende del usuario

Aunque haya muchas herramientas que ayudan en aspectos como la privacidad y la seguridad, las buenas prácticas por parte del usuario siguen siendo una parte fundamental para garantizar la confidencialidad de los datos.

iOS podrá ofrecer un buen marco para proteger la privacidad, pero si el usuario es descuidado de poco servirá eso, cosa que ya se vio en el caso de las cuentas de iCloud de los famosos que fueron comprometidas en 2014.

por Eduardo Medina Mon, 21 May 2018 15:25:13 +0000

Google elimina el lema Don't Be Evil de su código de conducta

La trayectoria de Google es considerada por muchos usuarios cada vez más oscura. El gigante de Mountain View ha decidido eliminar su conocido Don’t Be Evil de su código de conducta, un lema no oficial que su momento fue utilizado sobre todo para definir el comportamiento de la compañía con respecto a sus propios usuarios. Este movimiento se ha convertido en otro paso más de una posible caída “al lado oscuro” por parte de Google.

Sin embargo, la eliminación del Don’t Be Evil es solo otro paso de los muchos que ha dado el gigante de Mountain View hacia una dirección que para muchos es poco ética. Por ejemplo, cuando adquirió DoubleClick en 2007, Sergey Brin, cofundador de Google, dijo que la privacidad era “la prioridad número uno cuando se contemplara nuevos tipos de productos relacionados con la publicidad”. Esto quería decir que la base de datos masiva de registros de DoubleClick se mantenía separada por defectos de nombres y otra información personal, pero esto cambió en verano de 2016, cuando Google eliminó de forma silenciosa dicha política, quitando así la barrera que separaba ambas cosas y diciendo que los hábitos de navegación pueden combinarse con lo que la compañía obtenía de Gmail y otros servicios. Como defensa esgrimió que aquello fue una actualización para ajustarse a la revolución de los smartphones.

La mayoría de los servicios de Google son ofrecidos de forma gratuita, y de alguna forma la compañía tiene que generar ingresos. Para ello se apoya, como no podía ser de otra forma, en el despliegue de publicidad, y las campañas de publicidad son más efectivas si se adaptan a los gustos e intereses del usuario, por lo que ahí la recopilación de datos juega un papel esencial. Aquí se suma un tratamiento de los datos que no siempre es todo lo transparente que debería y la presunta connivencia con agencias gubernamentales. Por otro lado, está Project Maven, un programa militar de inteligencia artificial y aprendizaje automático impulsado por el Departamento de Defensa de Estados Unidos que ha provocado una auténtica rebelión en Google, con 4.000 empleados exigiendo la retirada de la compañía de ese tipo de proyectos.

Por lo que se puede ver, el Don’t Be Evil de Google hace tiempo que está, cuanto menos, distorsionado, y aquí no hemos entrado en el abuso de posición dominante de la compañía en el mercado de los buscadores, que domina de forma casi total desde hace más de una década. Viendo las actuales políticas y ciertos proyectos de la empresa, es obvio que a día de hoy el lema por el que se dio a conocer no se sostiene del todo.

Fuentes: AllGov y MuyComputer

por Eduardo Medina Mon, 21 May 2018 10:02:29 +0000

Dos vulnerabilidades zero-day permiten atacar Windows mediante Adobe Reader

Además de Flash, otro producto de Adobe que generalmente se encuentra instalado en los ordenadores es Adobe Reader, el conocido lector de documentos. Hace poco los investigadores de ESET descubrieron dos vulnerabilidades zero-day, una en la mencionada aplicación y otra en el sistema operativo Windows, que combinadas puede terminar siendo un arma peligrosa en manos de los atacantes.

La vulnerabilidad que afecta a Adobe Reader (CVE-2018-4990) es una ejecución de código en remoto, mientras que la de Windows (CVE-2018-8120) es una escalada de privilegios que se ejecuta en el espacio del kernel. Esto abre la puerta a ejecutar código arbitrario con altos privilegios sobre un sistema vulnerable, sin que se requiera de un elevado nivel del interacción por parte del usuario. Las Ameanzas Persistentes Avanzadas suelen apoyarse bastante en este tipo de combinaciones para llevar a cabo campañas que llegan a tener un gran impacto.

Para explotarlas solo se necesita de un fichero PDF malicioso con JavaScript embebido, aunque este también tiene que saltarse un mecanismo de aislamiento (sandbox) incorporado en Adobe Reader llamado Protected Mode. Esta medida de protección dificulta la explotación de vulnerabilidad en la propia aplicación, y la forma más efectiva de saltársela es apoyándose en otro fallo de seguridad localizando en el sistema operativo que está ejecutando Adobe Reader.

Nada más abrir el PDF malicioso, el JavaScript que contiene entra en ejecución para manipular el objeto Button1, que contiene una imagen JPEG2000 específicamente diseñada para explotar las dos vulnerabilidades. Los atacantes han implementado técnicas de pulverización para corromper las estructuras internas de datos y así poder leer y escribir en el acceso a la memoria. Luego los atacantes localizan la dirección de memoria en la que se encuentra en plugin Escrip.api, que es el motor de JavaScript propio de Adobe Reader. El JavaScript malicioso establece una cadena de instrucciones de ensamblaje que podría llevar a la ejecución código de shell nativo.

La vulnerabilidad de Windows es utilizada para romper el aislamiento de Adobe Reader. Concretamente, se encuentra en la función NtUserSetImeInfoEx de win32k, que es un componte del kernel de Windows. Lo que hay que hacer para llevar a cabo el ataque es que la subrutina SetImeInfoEx de NtUserSetImeInfoEx no valide ningún puntero de datos, permitiendo así punteros de desreferencia NULL. Por lo tanto mapeando una página NULL y estableciendo un puntero a offset 0x2C, un atacante puede apoyarse en la vulnerabilidad para escribir en una dirección de memoria arbitraria en el espacio del kernel. Sin embargo, es importante tener en cuenta que desde Windows 8 los usuarios no pueden mapear una página NULL.

La lista de productos afectados es la siguiente:

  • Acrobat DC (versión 2018.011.20038 y anteriores)
  • Acrobat Reader DC (versión 2018.011.20038 y anteriores)
  • Acrobat 2017 (versión 011.30079 y anteriores)
  • Acrobat Reader DC 2017 (versión 2017.011.30079 y anteriores)
  • Acrobat DC (Classic 2015) (versión 2015.006.30417 y anteriores)
  • Acrobat Reader DC (Classic 2015) versión (2015.006.30417 y anteriores)
  • Windows 7 para 32-bit Service Pack 1
  • Windows 7 para x64 Systems Service Pack 1
  • Windows Server 2008 para 32-bit Service Pack 2
  • Windows Server 2008 para sistemas basados en Itanium Service Pack 2
  • Windows Server 2008 para x64 Service Pack 2
  • Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
por Eduardo Medina Fri, 18 May 2018 15:00:39 +0000

Falsas aplicaciones de Fortnite para Android intentan generar ingresos con mineros y publicidad

Fortnite es el videojuego de moda. La creación de Epic Games ha conseguido una gran notoriedad en consolas y PC. Después se anunció su salto a móviles, aunque de momento solo está disponible para iOS, por lo que los usuarios de Android tienen la miel en los labios y eso es lo que están aprovechando algunos actores maliciosos.

Spyware dentro en falsas aplicaciones de Fortnite

Según los investigadores de Zscaler, personas malintencionadas están distribuyendo falsas aplicaciones de Fortnite aprovechando la gran popularidad del juego, una situación muy parecida a la ocurrida hace tiempo con Super Mario Run y Pokémon Go. En una entrada en su blog oficial, los investigadores avisan de que “los usuarios de tendrían que ser conscientes de que los autores de malware están buscando explotar el deseo de jugar Fortnite en Android. Pedimos a los usuarios descargar juegos solo de fuentes legitimadas y autorizadas, como la Play Store.”

Falsa aplicación de Fortnite para Android

Una de las falsificaciones de Fortnite encontradas es en realidad un spyware que se dedica a recolectar registros de llamadas entrantes, saliente y perdidas, además de los contactos que hay registrados en el dispositivo Android. Además, el mismo malware es capaz de realizar llamadas. Una de las acciones que realiza es la de pedir acceso a los servicios de accesibilidad para poder realizar ciertas operaciones sin interacción del usuario, que son las siguientes:

  • Acceder a la cámara y tomar fotografías.
  • Limpiar los datos del dispositivo.
  • Acceder a las cuentas habilitadas.
  • Leer las teclas pulsadas en el teclado táctil.
  • Acceder al explorador de ficheros.
  • Grabar audio.

Uno de los posibles motivos de por qué tiene la capacidad de borrar ficheros podría ser porque el spyware crea una carpeta llamada “files” (ficheros) dentro del subdirectorio de instalación. Ahí es donde almacena todo lo que va recopilando del dispositivo. De momento no se ha encontrado ningún mecanismo que comunique con un servidor de mando y control, lo que da a entender que se trata de un software en desarrollo.

Mineros maliciosos distribuidos con una falsa aplicación de Fortnite

En un incidente separado, los mismos investigadores de Zscaler también han descubierto otra falsa aplicación de Fortnite que es en realidad un minero malicioso. Como suele ser habitual en estos casos, la criptodisiva minada es Monero mediante la biblioteca de JavaScript Coinhive. Tras ser instalada y entrar en ejecución, el usuario podrá notar una disminución en el rendimiento derivado del consumo de CPU y GPU provocado por el minero.

Por otro lado, se ha detectado en la Play Store de Google una aplicación que dice ayudar a los jugadores de Frotnite a ganar V-Bucks (la divisa oficial del juego) de forma gratuita, sin embargo, esta es en realidad una estafa. Lo que hace en realidad es engañar al usuario en todo momento, pidiendo 5 estrellas para su valoración y mostrando hasta comentarios procedentes de la Play Store, que muy posiblemente hayan sido publicados por los propios actores maliciosos. Tras completar todos los pasos requeridos, el usuario verá que no recibe los V-Bucks solicitados, pero sí haga generado ingresos al desarrollador de la aplicación mediante anuncios indeseados.

Los distintos malware están vinculados a falsos dominios que hacen referencia a un instalador APK de una falsa versión de Fortnite. En caso de instalarla, el usuario no verá el juego, sino el despliegue de publicidad y peticiones de instalación de aplicaciones no deseadas que generan ingresos a los actores maliciosos.

¿Ves algo relacionado con Fortnite instalado en tu smartphone Android? En caso afirmativo, posiblemente estés infectado por un malware. Como remedio se puede ir a la sección Accesibilidad e inhabilitar el acceso a la aplicación maliciosa, además de desinstalarla. Como alternativa se puede restablecer los parámetros de fábrica del dispositivos para así eliminar todo rastro de malware.

Dominio del APK de la aplicación falsa de Fortnite para Android

por Eduardo Medina Fri, 18 May 2018 09:37:05 +0000