• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Phishing Mercadona

El phishing sigue siendo una de las principales amenazas de ciberseguridad para usuarios y empresas. Presente desde hace años como una lacra del correo electrónico, el uso masivo de las redes sociales y la mensajería instantánea ha abierto otros grandes medios de distribución de este malware. Y no debemos caer en la trampa que plantean este tipo de ataques.

Las fuerzas de seguridad españolas han alertado de dos grandes campaña de phishing al arrancar 2019. Como de costumbre, los cibercriminales conocidos como phishers se hacen pasar por empresas de confianza enviando una supuesta comunicación oficial. Las últimas conocidas utilizan el cebo de BBVA o Mercadona.

Se trata de otra más de las incontables estafas que se propagan por redes sociales, apps de mensajería o correos electrónicos. En España y en todo el mundo. En el caso de Mercadona ofreciendo un “bono de compra de 100 euros” de la empresa de alimentación para celebrar su 50 aniversario.

amenaza del phising

Todo es falso, ni Mercadona celebra aniversario ni regala bonos de compra, pero como tiene más de cinco millones de clientes en toda España y su cuota de mercado supera el 25% la cadena es fuente repetida para ataques de phishing.

Los ciberdelicuentes incluyen un enlace en el falso bono que solicita contraseñas y cuentas bancarias, su verdadero objetivo. Incomprensiblemente, todavía seguimos cayendo en estos burdos timos que utilizan un tipo bien conocido de ingeniería social con ataques de suplantación de identidad o phishing, palabra inglesa que alude a que los usuarios “muerdan el anzuelo”.

Las campañas que utilizan BBVA o PayPal tienen el mismo objetivo, pero con otro enfoque, solicitando accesos por motivos de seguridad u otros con enlaces falsos que buscan desplumar al personal tras hacerse con sus cuentas y contraseñas.

Los cibercriminales se apoyan la mayoría de las veces en la suplantación de servicios populares para llevar a cabo estos ataques ya que ello les da mayores posibilidades de hacerse con datos comprometedores como vimos hace poco con Netflix.

Cómo combatir la amenaza del phishing

El phishing es cada vez más sofisticado y difícil de detectar. De hecho, hay casos que solo podrán ser detectados por los usuarios más atentos, ya que las imitaciones empiezan a estar realmente conseguidas. Sin embargo, la gran mayoría son detectables prestando la necesaria atención con unos consejos generales como:

  • Utiliza el sentido común con esas promociones que “regalan” cualquier cosa. Desconfía siempre.
  • No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • Ninguna empresa nos va a solicitar nuestros datos por correo electrónico.
  • Especialmente las compañías financieras. Nunca te pedirán datos importantes.
  • Desconfía de cualquier correo que te redireccione a otras páginas web.
  • Entra siempre por una URL oficial protegida y segura con HTTPS. Asegúrate que tenga el certificado correspondiente.
  • Cuidado especial con las URLs acortadas, suele ser un mecanismo que utilizan los estafadores para enmascarar los links maliciosos.
  • Si recibes un mensaje de tu banco y tienes dudas busca asistencia a través de su página web, oficina física o páginas oficiales.
  • Sospecha de las redacciones con faltas gramaticales, son producto de las traducciones automáticas y son todas falsas.
  • Nunca compartas tus contraseñas con nadie a través de ningún medio de Internet.
  • No descargues ningún archivo adjunto de este tipo de mensajes, incluso de conocidos. Es probable que incluya un troyano bancario.
  • Si usas una app móvil, descarga siempre de sitios oficiales.
  • Valora el uso de extensiones para tu navegador como Password Alert.
  • Aumenta tu seguridad en general: contraseñas fuertes; software actualizado; navegación por sitios web de confianza….

En definitiva, prudencia y sentido común porque la amenaza del phishing es patente y los ataques de suplantación de identidad son cada vez más sofisticados. Y rentables. No se lo pongamos en bandeja.

por Juan Ranchal Sun, 20 Jan 2019 23:02:53 +0000

fuga de datos

El investigador de seguridad y fundador del sitio web de infracciones Have I Been Pwned, ha revelado una base de datos que incluye 773 millones de cuentas de correo electrónico y 21 millones de contraseñas únicas robadas, que a buen seguro se han estado utilizando en ataques informáticos automatizados de relleno de credenciales.

Es la segunda mayor fuga de datos de la historia después de la de Yahoo! con casi 3.000 millones de cuentas afectadas, aunque hay que concretar que se trata de una compilación de otras bases de datos más pequeñas ya filtradas, según explica Troy Hunt.

Denominada como ‘Colection #1’ por su descubridor, la compilación estaba formada por un conjunto de 12.000 archivos con un tamaño total de 87 Gbytes y casi 2.700 mil millones de registros, sumando 1.160 millones de combinaciones únicas entre las direcciones de correo y las contraseñas, lo que significa que la lista cubre a las mismas personas varias veces, pero en muchos casos con contraseñas diferentes.

La base de datos fue encontrada en el servicio de almacenamiento de archivos MEGA y aunque ya ha sido borrada sigue distribuyéndose en las redes de intercambio de archivos. El único ‘consuelo’ es que la filtración es limitada no habiéndose filtrado información confidencial como datos de tarjetas de crédito o similares.

Puedes comprobar si estás afectado por éste u otros casos de fuga de datos en el sitio web Have I Been Pwned. Tanto si estás afectado como si no, la filtración es un recordatorio de la necesidad de guardar a buen recaudo nuestros datos y seguir las reglas elementales para la creación de contraseñas:

  • No usar palabras típicas o números comunes
  • Combinar mayúsculas y minúsculas
  • Combinar números con letras
  • Añadir caracteres especiales
  • Alargar el término con el mayor número de dígitos
  • No utilizar la misma contraseña en todos los sitios
  • Especialmente, usar contraseñas específicas para banca y sitios de compra on-line
  • Mantener la contraseña a salvo de cualquier tercero
  • Valorar el uso de gestores de contraseñas
  • Reforzar el uso de contraseñas con otros sistemas, doble autenticación o sistemas biométricos
por Juan Ranchal Thu, 17 Jan 2019 23:02:32 +0000

Pwn2Own 2019

Pwn2Own 2019, próxima edición del concurso de hacking que se celebra anualmente en la conferencia de seguridad CanSecWest, ofrecerá los mayores premios de su historia incluido un flamente Tesla Model 3 para quien sea capaz de hackearlo.

Es lo más noticiable aunque no es la recompensa de mayor valor de este concurso que ha evolucionado en la última década desde premios de unos pocos miles de dólares por explotación a millones de dólares en efectivo. El concurso es mucho más que un registro anual sobre el estado de los navegadores y la seguridad del sistema operativo. También es una guía para los investigadores a medida que agregamos nuevas categorías y aumentamos los premios en efectivo”, destacan desde el concurso. 

Este año la gran novedad es la categoría de “automoción” con la adición del Model 3 de Tesla, el vehículo más vendido de su clase en Estados Unidos para el que se ofrecerá seis puntos de investigación con premios que van desde 30.000 a 300.000 dólares dependiendo de una variedad de factores incluido el exploit utilizado.

Pwn2Own 2019

Pwn2Own 2019 – Virtualización

Los automóviles no son lo único que ofrecerán grandes recompensas este año. Microsoft regresa como socio en esta edición y encabeza la categoría de virtualización con un premio de 250.000 dólares para quien consiga una escalada de privilegios en el cliente Hyper-V.

VMware también regresa como patrocinador al concurdo y este año ofrecerá VMware ESXi junto a VMware Workstation como objetivo con premios de 150.000 y 70,000 dólares, respectivamente. Oracle VirtualBox completa esta categoría con un premio de 35,000 dólares.

Categoría importante esta de la virtualización, un recurso tecnológico muy valioso cada vez más importante en computación crítica, aplicaciones profesionales y también a nivel del cliente. Las últimas dos ediciones del concurso las soluciones han sido hackeadas.

Pwn2Own 2019

Pwn2Own 2019 – Navegadores

Una categoría tradicional en el concurso que sigue siendo una de las más interesantes porque es usada a diario por cualquier tipo de usuario y da acceso a Internet, sus servicios… y también el malware que lo acompaña, mucho y de alto impacto.

Con el reciente anuncio de que Microsoft se está moviendo a un motor basado en Chromium, los exploits en Google Chrome ganan en importancia y en recompensas con premios de 80.000 dólares. La misma cantidad hay asignada para exploits de Edge. Firefox tiene asignado la mitad.

También ofrecerán premios por una explotación específica para Edge con una aplicación de Windows Defender (WDAG) y otro si escapan de la máquina virtual y ejecutan el código en el sistema operativo host.

Pwn2Own 2019

Las aplicaciones empresariales también regresan con objetivos como Adobe Reader y varios componentes de Office, incluido Outlook, con un premio de 100.000 dólares. En servidores, una explotación exitosa del Microsoft Windows RDP tendrá uno delos mayores premios con 150.000 dólares.

Como en otras ediciones, también se coronará al ‘Maestro de Pwn’ para la persona o equipo que acumule más puntos. Pwn2Own 2019 se celebrará del 20 al 22 de marzo en Vancouver y lo seguiremos como se merece, el principal concurso de hacking anual y un evento muy importante para la industria y consumidores al encontrar vulnerabilidades de manera controlada antes que sean explotadas por los ciberdelincuentes.

por Juan Ranchal Tue, 15 Jan 2019 23:02:13 +0000

VPN

VPN es una tecnología de red que permite extender de forma segura una red local sobre una red pública como Internet. Entre las ventajas de las redes privadas virtuales podemos citar el bajo coste y la facilidad de uso; la integridad, confidencialidad y seguridad de datos, y la facilidad para establecer comunicaciones entres usuarios o equipos distantes.

Estas redes privadas virtuales son muy útiles para varias aplicaciones, como conectar distintas sucursales de una empresa; realizar accesos de soporte técnico; para un profesional que requiera conectar de forma segura y remota con una computadora de su oficina desde cualquier lugar geográfico o un usuario que necesite acceder a su equipo doméstico remotamente, utilizando la infraestructura de Internet.

Entre las ventajas de una VPN pueden citarse el bajo coste y la facilidad de uso; la integridad, confidencialidad y seguridad de datos, y la facilidad para establecer comunicaciones entres usuarios o equipos distantes.

Aunque existen varias arquitecturas de redes privadas virtuales (acceso remoto; punto a punto; tunneling y over LAN) actualmente la más usada es la primera, con usuarios o proveedores conectándose a la empresa desde sitios remotos utilizando Internet como vínculo de acceso, logrando un nivel de acceso similar al que ofrece la red local de una empresa u hogar.

Cómo crear y usar una VPN en Windows 10

Microsoft ha facilitado la creación, configuración y utilización de las VPN en su último sistema operativo Windows 10. Para realizar estas una conexiones, sea propiedad de la empresa donde trabajamos o de una conexión personalizada propia, necesitaremos conocer previamente:

  • La dirección IP del servidor VPN – Proveedor de servicios VPN
  • El nombre de la conexión y los datos de la cuenta de VPN (nombre de usuario y contraseña)
  • Cualquier configuración técnica que puedas necesitar para establecer con éxito una conexión segura

Conociendo estos datos, conectar una VPN en Windows 10 es sencillo siguiendo estos pasos:

  • Inicia sesión en Windows 10 con una cuenta de administrador
  • Accede a la herramienta de Configuración del sistema – Red e Internet

VPN1

  • Agrega una conexión VPN:

VPN1_2

  • Introduce la información necesaria para la creación de la VPN. Proveedor (Windows integrado en el ejemplo) nombre de la conexión (VPN en Windows 10 en el ejemplo), servidor o dirección IP, tipo de VPN (PPTP es la más utilizada ) y el tipo de inicio de sesión, generalmente con nombre de usuario y contraseña.

VPN1_3

  • Opcionalmente, puedes acceder a la configuración avanzada para administrar otras configuraciones relacionadas con la VPN, como la configuración del proxy, detección automática o entrada manual.
  • Una vez creada, solo nos resta acceder a las conexiones disponibles en el equipo y ahí veremos la VPN recién creada a la que podemos acceder como hacemos con una red Wi-Fi:

VPN1_4

Como vemos, es sencillo crear y utilizar estas conexiones virtuales punto a punto que permiten extensiones seguras de la red local sobre una red pública como Internet.

por Juan Ranchal Sun, 13 Jan 2019 23:02:58 +0000

Google DNS

El gigante de Internet ha anunciado una importante actualización para Google DNS, el servicio público de servidores de nombres de dominio que a partir de ahora incluirá el protocolo DNS sobre TLS para mejorar la seguridad y privacidad para el tráfico DNS entre los usuarios y sus resolutores. 

DNS es un importante protocolo de Internet utilizado por computadoras, servicios o cualquier recurso conectado a redes. Tiene varios usos, pero el principal es el de resolver la IP de la página web o servicio que utilicemos, asignando nombres a direcciones IP. Un ejemplo práctico es la dirección IP del portal web principal de Google (216.58.210.163). La mayoría de la gente llega a este equipo especificando www.google.com y no la dirección IP. Las ventajas son obvias, además de ser más fácil de recordar, el nombre es más fiable ya que la dirección numérica podría cambiar.

Los servidores DNS son los equipos dedicados a manejar este protocolo. Actúan como medio de intercomunicación entre el usuario y las páginas web que vayamos visitando y cuentan con bases de datos enormes en las que están registradas las relaciones entre dominios y sus respectivas direcciones IP. Google ofrece un servicio público para ello (8.8.8.8 y 8.8.4.4) que se ha convertido en el más usado del mercado en sus ocho años de servicio.

Casi todas las actividades en Internet comienzan con una consulta de DNS y dado que las consultas se envían en texto a través de UDP o TCP sin cifrado, la información puede revelar los sitios web que visita un individuo y es vulnerable a los ataques de suplantación de identidad.

Para solucionar este problema, Google DNS soportará el protocolo DNS sobre TLS, lo que significa que las consultas y respuestas de DNS se comunicarán a través de conexiones TCP cifradas con TLS, (la misma tecnología que protege las conexiones web HTTPS) mejorando la seguridad y privacidad.

Google no es el primero en ofrecer DNS sobre TLS. El año pasado, Cloudflare, la reconocida compañía de seguridad también lanzó su nuevo “1.1.1.1”, que admite tanto DNS sobre TLS como DNS-sobre-HTTPS para garantizar la máxima privacidad.

La función ya está disponible para dispositivos que ejecuten la última versión del sistema operativo móvil Android 9 Pie. Simplemente sitúa “dns.google” como el servidor DNS privado en la configuración de redes del terminal. Suponemos la función se ampliará a otros sistemas.

Más información | AnuncioDocumentación

por Juan Ranchal Thu, 10 Jan 2019 23:02:03 +0000

hackeo a políticos alemanes

Un estudiante alemán de 20 años ha sido detenido por el hackeo a políticos alemanes, periodistas y celebridades del mes de diciembre, uno de los peores sucesos de este tipo sucedidos en el país.

El joven ha admitido el robo de datos y su publicación en Internet. Según la fiscalía alemana, “dice que actuó solo al obtener ilegalmente información y publicarla”. Hasta el momento no hay indicios de que otras personas o grupos hayan estado involucrados, aunque se está analizando un portátil, almacenamiento externo y otro equipamiento informático requisado.

El joven dijo “estar molesto por las declaraciones públicas hechas por políticos, periodistas y personalidades públicas” para explicar el robo de datos. Aunque la información adquirida ilegalmente pertenecía a legisladores de todos los partidos del Parlamento alemán con excepción del ultraderechista Alternativa para Alemania, no se ha encontrado “prueba concreta alguna de una motivación política particular”, comentan las autoridades.

Sin antecedentes penales y sin especiales conocimientos en computación o ciberseguridad, no se ha detallado como el acusado pudo robar datos personales de 1.000 personas públicas, incluida la canciller Angela Merkel y políticos de todos los partidos excepto el mencionado de ultraderecha.

Conocido en Twitter como “G0d”, publicó en el sitio de microblogging datos personales y financieros, números de teléfono, chats privados y cartas, algunos datos de tarjetas de crédito, direcciones y copias de los documentos de identidad de las víctimas. De ser hallado culpable podría ser condenado a tres años de cárcel.

En una de las violaciones de datos más grandes de la historia del país, especialmente por la relevancia de las personas afectadas, todavía se está en proceso de eliminar los datos expuestos en Internet. Aunque la investigación no se ha cerrado, no hay indicios de que se haya divulgado información que se considere políticamente explosiva o que incremente los riesgos de seguridad.

La ministra de Justicia, la socialdemócrata Katarina Barley, calificó el robo de datos como un “ataque a nuestra democracia y sus instituciones”. Al tiempo, el impopular ministro de Interior, Horst Seehofer, ha sido criticado por la tardanza en avisar a las personas afectadas en un caso que ha levantado una gran polvareda en Alemania.

por Juan Ranchal Wed, 09 Jan 2019 09:34:16 +0000

USB Type-C mejorará la seguridad

USB Type-C mejorará la seguridad con un programa de autenticación de cableado, cargadores y accesorios que trabajen sobre la versión más avanzada del puerto de interconexión de periféricos.

Estrenado en 2016, el avance de USB Type-C ha sido imparable en todo tipo de dispositivos electrónicos y se espera se convierta en el gran estándar y único, una vez que vayan llegando al mercado nuevos equipos. Sus ventajas son amplias y conocidas, desde su conector reversible funcionando en cualquier posición, la carga de energía escalable, un enorme aumento de rendimiento y la posibilidad de soportar otros protocolos moviendo datos desde soportes nativos Thunderbolt 3, DisplayPort 1.2 o HDMI 2.

Una de las características presentadas en el lanzamiento del nuevo puerto, pero que faltaba por implementar, era el USB Type-C Authentication, cuyo lanzamiento anunció la semana pasada la organización promotora del estándar USB Implementers Forum. 

La característica está destinada a mejorar la seguridad virtual y física. La primera contra el malware que utiliza el puerto USB como medio de ataque, permitiendo a los fabricantes su implementación para que los puertos solo trabajen con dispositivos como pendrives, certificados. USB-IF ha seleccionado a la compañía de seguridad DigiCert para administrar los servicios de PKI y de autoridad de certificación para el programa. 

El nuevo protocolo también refuerza la seguridad física, evitando el riesgo de temperatura y/o voltaje de algunos cargadores o cableados baratos que en el pasado han “frito” literalmente las baterías o los mismos dispositivos.

Autenticación para cableado USB Type-C

El programa de autenticación para cableado USB Type-C no es de obligado cumplimiento, sino que se trata de una capa de seguridad agregada opcional que podrán implementar los fabricantes que lo deseen y usarlo los usuarios que así lo estimen. Entre las características incluidas podemos señalar:

  • Un protocolo estándar para la autenticación de cargadores, dispositivos, cables y fuentes de alimentación USB Type-C certificados. 
  • Soporte para la autenticación a través de un bus de datos USB o canales de comunicación de entrega de alimentación USB. 
  • Seguridad de 128 bits para todos los métodos criptográficos utilizados. 
  • La especificación cumple los métodos de cifrado aceptados internacionalmente para el formato de certificados, firma digital, hash y generación de números aleatorios. 

El uso de este programa requiere nuevos cableados y cargadores y la certificación correspondiente por los fabricantes en el conector de los equipos. Es opcional, como decíamos, aunque suponemos terminará siendo “obligatorio” en ámbitos profesionales y corporativos.

por Juan Ranchal Sun, 06 Jan 2019 23:02:47 +0000

Secuestro de Chromecast

Miles de Chromecast fueron secuestrados por dos hackers conocidos como Giraffe y J3ws3r, para alertar a los usuarios de la posibilidad de recibir ataques hijacking aprovechando vulnerabilidades de seguridad del dispositivo y los enrutadores a los que se conecta.

El bug, denominado CastHack, explota vulnerabilidades en el conjunto de protocolos de comunicación UPnP, que permiten a periféricos en red, como computadoras personales, impresoras, streamers, pasarelas de Internet, puntos de acceso Wi-Fi o dispositivos móviles, descubrir de manera transparente la presencia de otros dispositivos en la red y establecer servicios de red de comunicación, compartición de datos y entretenimiento. 

Los hackers secuestraron los streamers de Google y le obligaron a mostrar un aviso emergente en el smart tv conectado, advirtiendo al usuario que su enrutador estaba mal configurado y con ello expuestos a ataques aprovechando las vulnerabilidades en los protocolos de Universal Plug and Play.

Secuestro de Chromecast

“Hemos recibido informes de usuarios que han tenido un video no autorizado reproducido en sus televisores a través de un dispositivo Chromecast… Esto no es un problema específico de Chromecast, sino que es el resultado de la configuración del enrutador que hace que los dispositivos inteligentes, incluidos los streamers sean accesibles públicamente”, ha explicado un portavoz de Google a TechCrunch.

Por un lado, eso es cierto, porque el mismo tipo de vulnerabilidad fue utilizada para secuestrar impresoras. Sin embargo, la explicación de Google no aborda el problema subyacente: se puede engañar al Chromecast para que un atacante no autenticado pueda secuestrar un flujo de medios y mostrar en el televisor del hogar el contenido que quiera. Además, la firma de consultoría de seguridad Bishop Fox, ya descubrió un secuestro de Chromecast en 2014, poco después del lanzamiento del streamer. 

Los hackers han comentado que deshabilitar el UPnP debería solucionar el problema, pero esto ha sido discutido por algunos expertos.

por Juan Ranchal Thu, 03 Jan 2019 23:02:19 +0000

recompensa de vulnerabilidades

La Comisión Europea financiará un programa de recompensa de vulnerabilidades para varios proyectos de código abierto utilizados en instituciones y administraciones de los estados miembros de la Unión Europea.

En total, la Comisión pagará por encontrar errores en 15 proyectos Open Source. Desde enero las aplicaciones incluidas son 7-zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, Filezilla, FLUX TL, la GNU C Library (glibc), KeePass, Notepad++, PuTTY, PHP Symfony, VLC Media Player y WSO2. A partir de marzo se unirá otra, midPoint.

El programa se extenderá hasta el verano de 2019 para algunas de las aplicaciones, mientras que otras como Drupal estarán activas hasta octubre de 2020. Las recompensas van desde 17.000 a 90.000 euros.

La iniciativa forma parte de la tercera edición del proyecto de Auditoría de Software de Fuente Abierta y Libre (FOSSA), cuyo objetivo es garantizar la integridad y confiabilidad de aplicaciones en Internet y otras infraestructuras.

Los orígenes del Proyecto FOSSA se remontan a 2014 cuando se descubrió una vulnerabilidad de seguridad en la biblioteca de cifrado Open SSL, explica una de sus promotoras y parlamentaria de la UE, Julia Reda:

“El fallo en OpenSSL hizo que mucha gente se diera cuenta de lo importante que es el software libre y de código abierto para la integridad y confiabilidad de Internet y otras infraestructurasAl igual que muchas otras organizaciones, instituciones como el Parlamento Europeo, el Consejo y la Comisión emplean Software Libre para administrar sus sitios web y muchas otras cosas. Pero Internet no solo es crucial para nuestra economía y nuestra administración. Es la infraestructura que recorre nuestras vidas cotidianas. Es el medio que utilizamos para recuperar información y ser políticamente activos”, comenta Reda para explicar el inicio de FOSSA.

Todas las aplicaciones incluidas en el programa de recompensas incluidas en la tercera edición de FOSSA son utilizadas por las instituciones de la UE. “La cantidad de la recompensa dependerá de la gravedad del problema descubierto y la importancia relativa del software”.

Los programas de recompensas de errores son usados desde hace años por todas las grandes tecnológicas y suelen dar buenos resultados para mejorar la seguridad de software. Más información | Julia Reda

por Juan Ranchal Tue, 01 Jan 2019 23:02:41 +0000

incidentes de ciberseguridad de 2018

A pocas horas del cierre del año terminamos con los 10 peores incidentes de ciberseguridad de 2018. Una selección ya clásica en nuestro blog de seguridad informática donde -de paso- aprovechamos para desear a todos nuestros lectores salud y prosperidad para 2019.

El resumen de incidentes de 2018 confirma la introducción del malware en todo tipo de plataformas que hemos visto durante los últimos años. También siguen al alza los ciberataques de todo tipo contra servicios comerciales que provocan una enorme fuga de datos empresariales y personales y con ello, una invasión brutal a la privacidad de los usuarios.

Las violaciones se producen por ello y también por las prácticas indeseables de algunas compañías en la búsqueda de un mayor beneficio económico sin la debida transparencia y controles. Los datos son oro en la era de Internet y recuperar la confianza del consumidor en la capacidad de los proveedores de productos y servicios para proteger sus datos será clave para 2019.

Te dejamos con algunos de estos incidentes. Solo es una selección porque el año ha dado para mucho lamentablemente, confirmando lo muchísimo que nos queda por avanzar en materia de ciberseguridad.

Spectre y Meltdown

2018 comenzó con un bombazo que hizo temblar el mundo de la computación. Un artículo publicado en The Register adelantó una serie de vulnerabilidades críticas en procesadores Intel y métodos de ataque de canal lateral que permitían saltarse el ASLR, un mecanismo de protección incluido en los sistemas operativos basado en la aleatorización de ubicaciones de la memoria RAM.

10 peores incidentes de ciberseguridad de 2018

Poco después se conoció que Spectre y Meltdown afectaban a la misma arquitectura de los procesadores y se extendía también en alguna de sus variantes a otros proveedores como AMD y ARM. Las vulnerabilidades afectaban a la seguridad (y al rendimiento) de centenares de millones de dispositivos electrónicos de varios proveedores de chips y sistemas operativos. Y no solo ordenadores personales. Si Meltdown afectaba únicamente a procesadores Intel, Spectre afecta también a AMD y ARM, por lo que varios medios extienden la problemática a móviles inteligentes, consolas de videojuegos y otros dispositivos.

El CERT (Computer Emergency Response Team), el centro de respuesta a incidentes de seguridad en tecnologías de la información y referente absoluto en ciberseguridad, confirmó la situación crítica y emitió unas declaraciones que hicieron saltar las alarmas en todo el planeta: “Debido al hecho de que la vulnerabilidad existe en la arquitectura de la CPU en lugar de el software, los parches no pueden abordarla plenamente en todos los casos. Para eliminar la vulnerabilidad por completo, será necesario reemplazar la CPU afectada“. 

El mismo CERT confirmó la noticia original de The Register y habló de una pérdida de rendimiento de hasta el 30%, lo que sería una auténtica barbaridad y obligaría a reemplazar el procesador en algunos casos de uso. Finalmente no ha sido para tanto. La pérdida de rendimiento existe, aunque varía bastante según la versión del sistema operativo y la plataforma hardware que utilicemos. Solucionar esta vulnerabilidad vía software (al menos para Meltdown) implicaría necesariamente separar los procesos del usuario de la memoria del kernel y con ello variar el funcionamiento del procesador, que en el caso de Intel (y también los de otros fabricantes compatibles) gana rendimiento precisamente con un tipo de técnicas de elevación de privilegios que en las últimas horas ha sido duramente criticadas por el creador de Linux, Linus Torvalds.

Las noticias sobre Spectre y Meltdown se han acumulado a lo largo del año así como sus múltiples parches en el firmware de los procesadores, sistemas operativos y aplicaciones. Los ataques potenciales se han mitigado aunque su solución completa es simplemente imposible como se adelantó. Investigadores del MIT (Instituto de Tecnología de Massachusetts) han desarrollado una forma de particionar y aislar los cachés de memoria con “dominios de protección” y evitar la explotación de la “ejecución especulativa” y este mismo mes, Intel ha anunciado la nueva arquitectura de procesadores Sunny Cove, la primera que llegará al mercado completamente libre de estas vulnerabilidades.

El año horrible de Facebook

La primera red social por número de usuarios nunca ha destacado en sus aspecto de seguridad y privacidad, pero lo de este año ha supuesto ‘un antes y un después’ como empresa y 2018 cerrará como el año en el que se ha conocido los más graves incumplimientos de Facebook de su deber de proteger los datos de los usuarios, su intimidad y privacidad.

10 peores incidentes de ciberseguridad de 2018

El escándalo de Cambridge Analytica (incluyendo extorsiones al más puro estilo mafioso con sobornos, espías y prostitutas), por el que la consultora tuvo acceso no autorizado a datos e información privada de hasta 87 millones de usuarios, fue seguido de un hackeo más reciente que se convirtió en el error de seguridad más grave de la historia de la compañía, comprometiendo la información personal de 30 millones de usuarios.

Otro de los casos sonados afectó gravemente a la privacidad cuando la red social convirtió la seguridad en negocio  vendiendo los números de teléfono 2FA proporcionados por los usuarios con el objetivo de mejorar la seguridad en el acceso a servicios de Internet, para enviar anuncios publicitarios personalizados.

Este mismo mes un fallo de seguridad comprometió la privacidad de 6,8 millones de usuarios, al revelar fotografías privadas que no habían sido compartidas públicamente en la red social. El fallo de software afectó a millones de usuarios que usaron el inicio de sesión de Facebook para conceder permisos a aplicaciones de terceros y acceder a las fotos. Facebook habló de 1.500 aplicaciones y 876 desarrolladores los afectados por un caso que se produjo durante doce días entre el 13 y el 25 de septiembre.

Y para terminar el año llegó otro caso bien gordo que, de confirmarse, debería obligar a los reguladores de todo el mundo a tomar medidas urgentes y definitivas contra la firma de Mark Zuckerberg.  The New York Times aseguró que Facebook entregó datos y mensajes a Amazon, Microsoft, Netflix y hasta 150 grandes empresas más, sin conocimiento ni consentimiento de sus usuarios,

La información de NYT es gravísima y describe acuerdos secretos con otras tecnológicas para permitirles accesos intrusivos a los datos personales de los usuarios, incluso a sus mensajes privados. Para ello, Facebook se saltó sus propias normas de privacidad y reglas de transparencia, según se recoge en los documentos internos de la propia compañía citados por The New York Times.

Reguladores de medio mundo tienen a Facebook en su punto de mira con múltiples investigaciones, mientras que la compañía ha perdido miles de millones en bolsa. Mark Zuckerberg promete grandes cambios y mejoras. Veremos.

Enorme robo de datos en Marriott

La cadena de hoteles Marriott informó de una de las mayores violaciones de seguridad de la historia, con robo de datos personales y financieros de 500 millones de clientes. La brecha de seguridad se remonta -nada menos- que a 2014 y se habría originado en la cadena de hoteles Starwood adquirida por Marriott en 2016. La brecha no fue detectada ni en el proceso de fusión ni en los años siguientes.

Marriott

Marriott dice que no tuvo conocimiento del acceso no autorizado a la base de datos de reservas hasta el 19 de noviembre de 2018. La base de datos robada acumuló más de 4 años de información e incluyó una información personal y financiera amplísima, “una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, pasaporte, información de la cuenta, fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación”

Para empeorar las cosas, Marriott dice que probablemente también se robaron los números de las tarjetas de crédito. Aunque los números estaban cifradas con el estándar AES-128, Marriott dice que no puede descartar que los piratas informáticos también robaron las claves para descifrar la información de los números de las tarjetas.

The Washington Post dijo que no estaba claro si los piratas informáticos eran “delincuentes que recopilan datos por robo de identidad o espías que recopilan información sobre viajeros de todo el mundo, incluidos posiblemente diplomáticos, empresarios o funcionarios de inteligencia mientras se desplazan por todo el mundo”.

Ransomware es la principal ciberamenaza

El Ransomware mantiene la supremacía como la principal ciberamenaza de malware en la mayoría de los estados miembros de la Unión Europea, según el informe de Europol, Internet Organised Crime Threat Assessment (IOCTA) correspondiente a 2018.

Ransomware

El informe, “tiene como objetivo informar a los responsables de la toma de decisiones a nivel estratégico, político y táctico en la lucha contra la ciberdelincuencia, con el objetivo de dirigir el enfoque operativo para la aplicación de la ley en la UE”, dice el informe de Europol, el órgano encargado de coordinar, apoyar y facilitar las operaciones de los cuerpos policiales europeos a nivel de la Unión.

Al igual que con otros tipos de malware, los ciberataques por Ransomware son cada vez más numerosos, sofisticados, peligrosos y masivos, como mostró WanaCryptor, un ataque bien planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial, poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países.

Si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware tal y como vimos con el ransomware NotPetya.

Recordemos que un Ransomware típico infecta un ordenador personal o dispositivo móvil, bloquea el funcionamiento y/o acceso a una parte o a todo el equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos. Por ello, si el mejor de los consejos en ciberseguridad es la prevención, en el caso del Ransomware es imprescindible para frenarlo siguiendo este tipo de consejos.

Cierra Google+

El gigante de Internet adelantará cuatro meses el cierre de la red social Google+ después que un nuevo bug comprometiera la información de más de 52 millones de usuarios.

Cierra Google+

Hace un par de meses se anunció una vulnerabilidad en Google+ que expuso los datos personales de hasta 500.000 usuarios entre el año 2015 y marzo de 2018, cuando la compañía la parcheó. El error fue descubierto por Google como parte de una revisión interna llamada Project Strobe y afectaba a una API llamada “People” a la que tuvieron acceso hasta 438 desarrolladores de aplicaciones en Google+.

El error permitió a esas aplicaciones acceso a la información privada en el perfil de usuario de Google+. Ello incluyó detalles como direcciones de correo electrónico, género, edad, imágenes, estados de relaciones, lugares vividos y ocupaciones.  Hasta 438 aplicaciones en Google+ tuvieron acceso a esta API “People”, aunque la compañía dijo que “no tenían pruebas que los desarrolladores fueran conscientes de la vulnerabilidad”.

Según un informe publicado por el Wall Street Journal, la compañía no reveló la vulnerabilidad cuando la reparó en marzo ante los “daños reputacionales” y porque “no quería que los legisladores la sometieran a un examen normativo”. El CEO de Google, Sundar Pichai, fue informado sobre la decisión de no revelar la vulnerabilidad después que un comité interno hubiera decidido el plan, explica WJS. 

Ya en diciembre, Google descubrió un nuevo ‘bug’ que esta vez afectó a una gran cantidad de clientesEl fallo permitió que las aplicaciones que usaban la API vieran la información completa del perfil de los usuarios, incluso si ese perfil estaba configurado como privado. Google solucionó el bug en una semana y aseguró que los datos expuestos “no incluían información sensible” como contraseñas o datos financieros. Sin embargo, para “asegurar la protección de nuestros usuarios”, Google ha decidido cerrar la red social para consumidores en abril de 2019, cuatro meses antes de lo previsto.

Fallo en OpenSSH

Los investigadores en seguridad de Qualys descubrieron en agosto una vulnerabilidad que llevaba presente 19 años en OpenSSH, la implementación más conocida del protocolo SSH y cuyos responsables son los desarrolladores del sistema operativo OpenBSD (aunque también es muy utilizado en LinuxMac y más recientemente ha llegado a Windows).

Descubren un fallo en OpenSSH que llevaba presente 19 años

Entrando en detalles, se trata de un fallo en la enumeración del nombre de usuario (CVE-2018-15473) que permite a un atacante remoto adivinar nombres de usuario registrados en un servidor OpenSSH (un cliente accede al sistema del servidor con los privilegios determinados por la última parte). El escenario de ataque se basa en que un actor malicioso intenta autenticarse en un endpoint de OpenSSH a través de una solicitud de autenticación mal formada, que puede estar compuesta de un paquete truncado.

Luego, el servidor OpenSSH vulnerable puede reaccionar de dos maneras diferentes. En caso de que el nombre de usuario en la autenticación mal formada no exista, el servidor responderá con el típico error de fallo en la autenticación, sin embargo, en caso de estar ya registrado simplemente se cerrará la conexión sin dar ninguna respuesta. Este comportamiento de OpenSSH permite adivinar los nombres de usuario válidos para acceder de forma remota a un sistema, abriendo así la puerta a ataques de fuerza bruta para adivinar la contraseña.

El fallo fue parcheado en las versiones estables, pero una gran cantidad de dispositivos se vieron expuestos a un posible ataque masivo porque OpenSSH es una de las tecnologías más utilizadas del mundo cuando se trata de acceso remoto y se usa en millones de dispositivos grandes y pequeños, desde servidores a dispositivos IoT.

GitHub sufre el mayor ataque DDoS jamás registrado

GitHub, uno de los grandes servicios de alojamiento mundial para control de versiones, desarrollo e intercambio de software, sufrió en marzo el mayor ataque DDoS jamás registrado: 1,35 terabits por segundo.

DDos contra GitHub

Como sabes, los ataques distribuidos de denegación de servicio (DDoS) sobrecargan los recursos computacionales del sistema atacado hasta dejarlo inaccesible. Saturación mediante grandes flujos de información desde varios puntos hasta dejar los servidores fuera de servicio.

El ataque DDoS a GitHub tuvo un nivel desconocido de 1,35 Tbps (126,9 millones de paquetes por segundo), casi el doble de la media de los mayores ataques registrados hasta entonces como el que tumbó Krebs on Security a 620 Gbps, el realizado al proveedor de hosting francés OVH que alcanzó casi los 800 Gbps o el mayor registrado hasta ahora contra el proveedor Dyn a 1,2 Tbps.

El enorme volumen de datos sobrepasó las computadoras de GitHub, lo que provocó que dejaran de responder y se desconectaran. En ese momento, GitHub recurrió al servicio especializado de mitigación de ataques DDos de Akamai para filtrar el tráfico malicioso, finalizando el efecto del ataque en pocos minutos. Hubo un segundo ataque que alcanzó un máximo de 400 Gbps, pero fue absorbido sin que el sitio cayera.

Otro punto a destacar del ataque DDos contra GitHub es que no utilizó botnets como era habitual hasta ahora, si no utilizando los servidores memcached. Alrededor de 100.000 de ellos, propiedad de empresas y otras instituciones, están actualmente expuestos sin protección de autenticación, lo que significa que están al alcance de los atacantes.

GitHub confirmó que la confidencialidad o integridad de los datos de los usuarios del sitios nunca estuvo en riesgo.

Vulnerabilidad en Drupal

También dio que hablar una vulnerabilidad crítica en Drupal, uno de los CMS más conocidos del mercado, segundo más usado tras Word Press y con nicho especial en comercio electrónico.

Atacantes están explotando activamente la grave vulnerabilidad hallada en Drupal

Se trató de una vulnerabilidad de ejecución de código en remoto localizada en múltiples subistemas de Drupal. Los agujeros de seguridad abrían la puerta a que el sitio web quedara totalmente comprometido, y para explotarlos no se requería de credenciales de acceso ni de ningún privilegio, por lo que cualquier visitante anónimo que tuviera los conocimientos necesarios podía hacerse con el control total del sitio web, pudiendo hasta borrar y manipular datos que no fueran públicos (pertenecientes a la base de datos o al back office).

Drupal parcheó el software, pero no pudo evitar que atacantes explotaran activamente la vulnerabilidad parcheada en Drupal, que recibió el nombre informal de Drupalgeddon2 con código CVE- 2018-7600. Para tomar el control completo del sitio web, incluyendo el servidor que lo está haciendo funcionar, solo había que acceder a la URL de un sitio web vulnerable e inyectarle el código del exploit, que está disponible de forma pública para quien quiera utilizarlo.

La vulnerabilidad fue explotada para múltiples propósitos, entre los que se puede mencionar la instalación de cargas maliciosas como mineros maliciosos y software para provocar denegaciones de servicio. Las cargas maliciosas se propagaron a modo de gusano, por lo que los sitios web infectados se dedicaron a buscar otros que no lo estuvieran y fueran vulnerables.

Motores de búsqueda alternativos desafían a Google

En la batalla de las búsquedas y publicidad en línea, Google es un gigante comparado con todas las demás grandes tecnológicas. Y no digamos con las pequeñas empresas europeas. Sin embargo, la reacción popular sobre la recopilación masiva de datos personales, no siempre realizada con la necesaria transparencia, ofrece nuevas esperanzas a una serie de motores de búsqueda poco conocidos que enarbolan la bandera de protección de la privacidad del usuario.

Motores de búsqueda europeos

DuckDuckGo es un ejemplo. “el motor de búsqueda que no te rastrea”, acaba de alcanzar 30 millones de búsquedas diarias. Muy lejos del líder, Google, pero llama la atención que en una época en la que parece que casi todos los principales servicios de Internet buscan vender los datos personales, un motor de búsqueda pro-privacidad esté experimentando un crecimiento masivo. Además, es interesante observar que el nuevo registro de búsqueda diaria de DuckDuckGo se produjo días después de que se conociera la violación de datos en Google+ y su ocultación por el gigante de Internet. Sucedió lo mismo cuando Google cambió su política de privacidad en 2012 y cuando se conocieron las actividades de vigilancia masiva de la NSA por Edward Snowden.

A lo que está consiguiendo DuckDuckGo es a lo que aspiran sitios como Mojeek de Gran Bretaña, Qwant de Francia, Unbubble en Alemania o la suiza Swisscows. Todos tienen algo en común, no rastrean los datos de los usuarios, ni filtran los resultados ni muestran anuncios según “comportamiento”. Estos sitios están creciendo en medio de la implementación de las nuevas regulaciones de privacidad europeas (GDPR) y los numerosos escándalos de tráfico de datos y violación de derechos que han despertado la conciencia pública sobre las montañas de información personal que algunas empresas recopilan y venden a los anunciantes.

La sospecha generalizada en Europa sobre el dominio de Google en las búsquedas en Internet también ha ayudado a hacer del continente un lugar de desove para una búsqueda segura. Europa es particularmente sensible a los problemas de privacidad. Todavía no son populares, pero no hay duda que los motores de búsqueda europeos están desafiando a Google con la bandera de la privacidad, un derecho fundamental que el gigante de Internet tendrá que garantizar si quiere mantener su situación de privilegio.

Telemetría de Microsoft Office y Windows 10

Investigadores del regulador oficial holandés, han publicado un informe donde identificaron una “recopilación de datos personales a gran escala y encubierta” en las suites ofimáticas de Microsoft, Office 2016 y Office 365 de ProPlus. 

telemetría de Microsoft Office

Microsoft recopila datos con fines ‘funcionales y de seguridad’ en todas sus soluciones de software. Sin embargo, el informe aseguran que ocho apartados descubiertos en la telemetría de Microsoft Office y Window 10 Enterprise incumplirían el nuevo reglamento de protección de datos de la UEGDPR, y la propia privacidad de los usuarios.

Privacy Company, compañía que realizó la investigación en nombre del gobierno holandés, asegura que Microsoft realiza “procesamiento de datos a gran escala y en secreto”, encontrando recopilación de datos privados como asuntos de correo electrónico y frases completas recopiladas por las herramientas de traducción y corrector ortográfico de Microsoft. El informe también dice que la telemetría de Microsoft Office envió datos de usuarios holandeses a servidores de EE. UU., lo que deja abierta la posibilidad que las autoridades de ese país aprovechen los datos.

El gobierno holandés dice estar extremadamente preocupado de que Microsoft hubiera recopilado sus propios datos, incluidos los de 300.000 empleados gubernamentales que usan productos del gigante del software. El regulador de datos holandés dijo que si Microsoft no avanzaba en su procesamiento de datos, consideraría medidas de cumplimiento. O multas que el GDPR establece en el 4% de los ingresos. 

Es curioso observar que los investigadores descubrieron que la recolección de datos de telemetría de Microsoft Office (hasta 25.000 tipos de datos de eventos de Office a los que pueden acceder al menos 30 equipos de ingeniería) es mucho más amplia que la efectuada en Windows 10, otro software polémico en sus aspectos de privacidad y que Microsoft ha tenido que mejorar en las últimas actualizaciones.

Violación masiva de datos en Quora

Los ciberataques a grandes compañías se sucedieron a lo largo del año y otro caso afectó a 100 millones de usuarios de la red social Quora, uno de esos grandes éxitos silenciosos de Internet tras convertirse en uno de las mayores fuentes de información en la Web junto a Wikipedia. Como todos los grandes servicios está en el punto de mira de los piratas informáticos y como otros antes, su seguridad ha sido vulnerada.

violación masiva de datos en Quora

Quora ha informado que tuvo conocimiento de un acceso no autorizado el 30 de noviembre. Puso en marcha una investigación interna, contrató a una “firma forense y de seguridad digital líder” y notificó a los usuarios que fueron afectados. No ha entrado en más detalles, pero apunta a robo de datos de terceros comprometiendo información personal de:

  • Información de la cuenta: Nombres, direcciones de correo electrónico, contraseñas cifradas (con hash).
  • Datos importados de redes sociales vinculadas como Facebook y Twitter en los usuarios que lo hubieran autorizado.
  • Contenido y acciones públicas, como preguntas, respuestas, comentarios y votaciones.
  • Contenidos y acciones no públicas, incluyendo solicitudes de respuesta, votaciones y mensajes. 

El número de usuarios potencialmente afectados es de 100 millones, la mitad del total de la red social. Quora dice estar “tomando las medidas adecuadas para evitar este tipo de incidentes en el futuro”. Y está muy bien, pero parece que las grandes compañías tendrían que invertir más en seguridad para prevenir antes de que sucedan estas violaciones masivas que buscan el oro puro de nuestra era: datos.

GDPR

No podemos terminar este resumen sin citar el GDPR. No es un incidente de ciberseguridad sino todo lo contrario ya que se trata del Reglamento General de Protección de Datos, una nueva normativa de la Unión Europea, que desde el 25 de mayo es de obligada aplicación en todos los estados miembros, afectando a todo tipo de empresas, grandes o pequeñas, organizaciones de cualquier índole o instituciones gubernamentales públicas de todos los niveles de administración.

Te explicamos qué es el GDPR, el nuevo reglamento de protección de datos de la UE

Desde los años 90 existen normas nacionales de privacidad de la información basadas en varias directivas europeas de protección de datos y de privacidad en las comunicaciones electrónicas. Una legislación creada en tiempos donde no existía una red global como Internet, ni la multitud de servicios y usuarios conectados, ni los grandes centros basados en la nube que manejan una cantidad de datos incuantificables.

Los avances tecnológicos, Internet y la era de la conectividad, junto al incumplimiento general de reglas legales y éticas en manejo de datos personales, han dejado todas las normativas simplemente obsoletas y de ahí la necesidad de esta regulación cuyo objetivo principal es dotar de un mayor control de sus datos personales a los ciudadanos de la UE y también beneficiar a las empresas al ofrecer un entorno más transparente para operar, simplificando el entorno regulador de los negocios internacionales y unificando la regulación dentro de la UE.

La nueva normativa afecta a todas las empresas e instituciones que manejen y utilicen datos de cualquier persona física de la Unión Europea. El reglamento de protección de datos amplía el ámbito de su aplicación a empresas no europeas que tengan su residencia en cualquier parte del mundo, siempre que procesen datos de residentes de la UE. Es decir, la norma afecta por igual a una pequeña empresa española que a un gigante como Facebook o Google en cuanto al tratamiento de datos de personas físicas de la UE.

GDPR es una de las normas más restrictivas de su ámbito y contempla elevadas sanciones por infracciones que pueden alcanzar los 20 millones de euros o el 4% del volumen de ingresos anuales de una empresa.

Aprovechamos el último artículo del año para desear a todos nuestros lectores salud y prosperidad para 2019.

por Juan Ranchal Sun, 30 Dec 2018 23:03:14 +0000