¿Hace cuánto tiempo que no apagas tu teléfono móvil? Es probable que muchos de los que están leyendo esto no recuerden la última vez que lo hicieron; yo mismo no lo recuerdo, vaya. Sin embargo, nada menos que una de las grandes agencias de inteligencia del mundo, la NSA estadounidense, cree que estás cometiendo un error.

La NSA (siglas en inglés de 'Agencia de Seguridad Nacional') ha hecho pública una recomendación que puede sorprender a muchos: que apaguemos y volvamos a encender el smartphone al menos una vez a la semana. Este simple acto puede ser crucial para proteger nuestros dispositivos de vulnerabilidades que los ciberdelincuentes podrían explotar en caso contrario.

En un documento que ofrece consejos y buenas prácticas para proteger los datos almacenados en nuestros teléfonos, la NSA sugiere tanto a los usuarios de Android como a los de iPhone que apaguen sus dispositivos al menos una vez a la semana. En concreto, el tiempo en que el dispositivo permanece encendido de forma consecutiva no debe superar las 168 horas.

Protección contra 'exploits de día cero'

Según la NSA, esta sencilla estrategia puede ayudar a defenderse contra los 'exploits de día cero', unas vulnerabilidades especialmente peligrosas: el término designa a aquellos que son desconocidas para los fabricantes del software o del dispositivo, pero ya han sido descubiertas por los delincuentes informáticos, por lo que ya puede estar siendo aprovechadas.

En Genbeta

La técnica más novedosa para hackear tu móvil mientras estás de viaje se llama 'juice jacking': así puedes protegerte

El término "día cero" significa que los desarrolladores no tienen ningún día de preaviso para crear una actualización de seguridad, lo que deja a los usuarios expuestos a posibles ataques. Así, reiniciar el dispositivo regularmente puede interrumpir un posible flujo de información hacia los delincuentes, en caso de que hayan conseguido explotar una falla aún no descubierta e instalada en el dispositivo.

Prevenir el spearphishing

El documento de la NSA también menciona que apagar y encender el dispositivo semanalmente ayuda a prevenir el 'spearphishing', una forma específica de phishing en la que los delincuentes apuntan a un individuo o a una organización en particular, engañándolos para que revelen información confidencial o instalen software malicioso en sus dispositivos.

Como en el caso anterior, reiniciar el teléfono interrumpe potencialmente cualquier intento de este tipo de ataque que pueda haber comenzado sin que el usuario lo haya notado.

Beneficios adicionales del reinicio semanal

Aunque estas prácticas no garantizan una seguridad infalible, son hábitos que pueden mitigar, al menos parcialmente, los riesgos que amenazan la seguridad informática. Los beneficios de reiniciar el teléfono son diversos: además de proteger contra el flujo de datos no deseado, el reinicio puede completar actualizaciones (posiblemente correctivas de problemas específicos), optimizar recursos y corregir errores temporales.

Imagen | Marcos Merino mediante IA

En Genbeta | Si caes en una estafa de phishing, esto es lo que dice la ley sobre si puedes o no reclamar el dinero robado al banco

Una de las alternativas más eficaces a la hora de fortificar nuestra seguridad en internet es el uso de VPNs, pudiendo enmascarar nuestra dirección IP y proteger nuestra información para que ni nuestro proveedor de Internet ni los sitios web que visitamos obtengan nuestros datos de navegación.

Sin embargo, a pesar de que es una medida efectiva, no es infalible. Y esto lo demuestra un peligroso exploit conocido como ‘TunnelVision’. Esta técnica permite a los ciberatacantes enrutar tráfico fuera de una conexión VPN cifrada. De esta manera, si alguien aprovechara esta técnica, podría espiar nuestro tráfico aunque estuviéramos conectados a una VPN aparentemente segura.

Una VPN ya no es el lugar seguro que todos confiábamos

Este problema ha sido descubierto por la empresa de ciberseguridad Leviathan Security. Al parecer, según explican en detalle, el ciberataque aprovecha la llamada ‘opción 121’ del protocolo DHCP que los routers utilizan para asignar las direcciones IP dinámicas en una red local.

Para lograr penetrar en un tunel VPN, los ciberatacantes crean un servidor DHCP que modifica las tablas de enrutamiento. De esta manera, todo el tráfico VPN se podría enviar al lugar que los atacantes quieran. Según admiten desde la firma de seguridad, el problema ya había sido detectado desde 2015, pero nunca se había tomado demasiado en cuenta hasta que hoy día, en un contexto en el que las VPNs se han popularizado considerablemente, lo han destacado especialmente.

Haz clic en la imagen para ir a la publicación

Según afirman desde Leviathan, este exploit lleva activo desde 2002, aunque no se han conocido casos en los que haya aprovechado esta vulnerabilidad. La compañía ha advertido de ello a un buen número de servicios que ofrecen VPN, así como las organizaciones CISA y EFF. Esta vulnerabilidad, identificada como CVE-2024-3661, se ha puesto a prueba a través de una demostración de cómo se puede llevar a cabo este ataque.

Desde Leviathan aseguran que el problema se presenta solamente cuando la red es controlada por el atacante, es decir, que la víctima esté conectada a la misma red local que el atacante. Esto podría darse si nos conectamos a una red pública, como la de un aeropuerto, local, etc. Además, el usuario tendría que entrar al servidor DHCP creado por el atacante, solo así se podría enrutar todo el tráfico interno de un tunel VPN.

En Genbeta

Microsoft Edge me ha enamorado con su VPN gratis y opciones con las que Chrome ni sueña

Windows, macOS, Linux y iOS están afectados, mientras que Android se salva esta vez. La razón es que la opción ‘121’ que mencionábamos antes, no está disponible en este sistema operativo, por lo que los ciberatacantes no pueden aprovechar este exploit para vulnerar este sistema operativo.

En teoría, este exploit afectaría a aquellos servicios VPN utilizados para anonimizar nuestro tráfico o saltarse las barreras geográficas. Aquellas VPNs utilizadas para acceder a máquinas remotas a través de LAN no deberían estar afectadas, según se menciona en el medio Ars Technica.

Ya hay algunos proveedores que han respondido a esta incidencia. Desde ExpressVPN aseguran que este exploit tiene un impacto mínimo, al igual que han insistido desde otros servicios como Windscribe o Mullvad. Lo más recomendable es que, aunque tengas una VPN activada en una red pública, minimiza lo máximo posible el uso de estas redes hasta que se de con una solución.

Imagen de portada | Glenn Carstens-Peters

En Genbeta | A diferencia de Chrome, Microsoft Edge y Opera tienen VPN gratis. Este es el mejor uso que le puedes dar a cada uno

Si utilizas Google Chrome como tu navegador por defecto, debes asegurarte de que está actualizado a la última versión, ya que se ha vuelto a encontrar otro fallo que pone en riesgo la privacidad de sus usuarios.

La firma ha publicado recientemente una entrada en su blog oficial donde advierten de todos los cambios que ofrece la última versión estable de Google Chrome. En su texto también alertan de que esta nueva versión ha solucionado importantes fallos de seguridad, por lo que es esencial que los usuarios actualicen a esta versión cuanto antes.

Google Chrome se actualiza para solucionar un fallo de seguridad importante

Tal y como afirman desde Google, la última versión estable de Google Chrome ofrece hasta 10 correcciones de seguridad. Una de las más importantes soluciona un exploit que se podía aprovechar para instalar spyware sin que la víctima se diese cuenta.

Google Chrome suele ser un objetivo muy jugoso para cibercriminales, ya que se trata del navegador web más utilizado en todo el mundo. Una de sus vulnerabilidades, identificada como CVE-2023-5217, la causa un desbordamiento del buffer en el heap (montículo de datos) a la hora de utilizar el códec VP8 mediante la librería de código abierto libvpx. Normalmente el heap  contiene código que es ejecutado directamente por los sistemas operativos y aplicaciones para priorizar la ejecución de procesos.

En Genbeta

La última novedad de Google Chrome en materia de privacidad inutilizará Utiq, la 'supercookie' de las operadoras españolas

Esta vulnerabilidad ha sido categorizada de ‘alta severidad’ y sus efectos podían causar que el navegador se bloquease y permitiera a los hackers ejecutar código arbitrario y modificar el comportamiento de cualquier sistema de seguridad involucrado.

El exploit fue hallado por el investigador en seguridad Clément Lecigne, quien informó al grupo de análisis sobre amenazas de Google (TAG). La compañía confirmó que este exploit fue utilizado para diversos ciberataques, sin desvelar más información sobre los ataques que aprovecharon este fallo de seguridad.

"El acceso a los detalles y enlaces de los fallos puede mantenerse restringido hasta que la mayoría de los usuarios actualicen a una solución," advertían desde el equipo de seguridad de Google. "También mantendremos restricciones si el fallo existe en una biblioteca de terceros de la que dependen otros proyectos de forma similar y que aún no lo hayan corregido".

La actualización lleva a Google Chrome a la versión 117.0.5938.132, y ya está disponible para usuarios de Windows, Mac y Linux. De esta forma, si usas Google Chrome, asegúrate que te encuentras en esta versión o en una superior. Para ello puedes hacerlo desde el menú de los tres puntos y presionando sobre Ayuda > Información de Google Chrome.

En Genbeta | Así puedes evitar que Google Chrome monitorice tu historial de navegación para personalizar los anuncios en todas las web

Hace unos días, los investigadores David Buchanan y Simon Aarons detectaron un importante agujero en la seguridad de los teléfonos Pixel de Google. Y es que descubrieron que a través de ingeniería inversa era muy sencillo recuperar parcialmente la información original de una imagen a partir de una foto editada, suponiendo un grave problema de seguridad para el usuario.

Bautizado como "acropalypse", este importante fallo de seguridad parece que no solamente afectaría a los teléfonos Pixel de Google, sino que también es posible recuperar una imagen original desde su versión editada a través de la herramienta de recortes de Windows 11 y la app de 'Recorte y anotación' de Windows 10. De esta manera, abre la veda a que cualquier imagen subida a Internet que haya sido recortada o editada con estas herramientas en alguna zona para no comprometer información personal, como la de una tarjeta de crédito, pueda ser potencialmente vulnerada.

Recuperar la imagen original desde una foto editada es posible

Para ilustrar este fallo de seguridad, los investigadores han creado una utilidad en la que es posible restaurar una imagen a su estado original subiendo la foto editada y seleccionando desde qué modelo de Google Pixel ha sido editada. Sin embargo, el ingeniero de software Chris Blume ha anunciado que este fallo de seguridad también afecta a la herramienta de recortes de Windows 10 y 11.

Y es que cuando abrimos un archivo desde la herramienta de recortes de Windows y sobrescribimos el archivo existente, la herramienta deja intacta la información que no ha sido utilizada, pudiendo recuperarse parcialmente. Hay que dejar claro que esto ocurre con la herramienta de recorte de Windows 11, aunque en Windows 10 también ocurre si hacemos uso de la herramienta de 'Recorte y anotación'.

Ambas imágenes pesan lo mismo pese a haber una gran diferencia en sus dimensiones.

Para hacer la prueba, tan solo tienes que hacer una captura de pantalla a través de esta herramienta, guardarla en el equipo y crear una copia de seguridad de la misma. Después, prueba a recortar la imagen original con dicha herramienta y cuando hayas acabado guarda el PNG editado en el archivo original. Una vez hecho esto, prueba a comparar el tamaño de la imagen recortada con la copia de seguridad que hiciste antes y te darás cuenta de que tienen el mismo tamaño pese a que la imagen editada esté recortada.

Fin de línea de la imagen original marcado por la partícula 'IEND'.

Esto también lo podemos ver de mejor forma si utilizamos un editor hexadecimal como 010 Editor y abrimos tanto la foto recortada como la copia de seguridad de la imagen original. En esta última, la partícula 'IEND' marca el final de línea y ya no existe más información, mientras que si abrimos la imagen recortada, veremos que tras el primer 'IEND' existe todavía más información sin truncar.

Información de la imagen recortada. Tras la partícula 'IEND' existe todavía información sin truncar que no se utiliza.

Esta información puede ser parcialmente restaurada a través del script que diseñaron los propios investigadores para estudiar el caso. El medio Bleeping Computer ha tenido acceso al script y en su artículo se puede comprobar cómo han podido restaurar parcialmente la información de la captura de pantalla recortada.

Información parcialmente recuperada a partir del recorte de una captura de pantalla. Imagen: Bleeping Computer.

Como se puede comprobar en el ejemplo, no toda la imagen ha sido restaurada y hay quienes pueden creer que esto no supone ningún riesgo de privacidad. Sin embargo, imagina que has tomado una captura de pantalla que cuenta con información sensible, como un documento confidencial, o una foto de un desnudo que recortas para ocultar las partes que no deseas compartir. Un exploit similar al descubierto por dichos investigadores puede desvelar gran parte de esa información, suponiendo un grave problema de privacidad.

En Genbeta

Qué es el screen hacking o hackeo de pantalla y cómo puedes proteger tus dispositivos

Para deshacerse de esta información sin truncar, podemos abrir el archivo con cualquier editor de imágenes y guardar la foto en un archivo completamente distinto. De esta manera, si comprobamos el contenido del archivo en el editor hexadecimal veremos que después del elemento 'IEND' ya no dispone de más información, y por tanto, no se podrá volver a recuperar la información original.

Aunque el script únicamente funciona con archivos PNG, Buchanan afirma que sería posible modificarlo para que admitiese imágenes en formato JPG, ya que de hecho la herramienta de recorte de Windows 11 también deja información sin truncar con imágenes en JPG.

Desde Microsoft afirman que ya están al tanto de los informes y que se encuentran investigando el problema. La compañía asegura que "tomarán toda acción necesaria" para ayudar a proteger a sus usuarios.

En Genbeta | Esta impresionante inteligencia artificial permite restaurar fotografías dañadas: adiós arañazos, hola color

Cientos de miles de sitios web están sufriendo ciberataques en los últimos días gracias a un exploit que permite explotar una vulnerabilidad 'zero day', según ha detectado el equipo de 'threat intelligence' (inteligencia de amenazas) de la compañía Wordfence, un proveedor de soluciones de ciberseguridad para sitios web basados en WordPress, el CMS o gestor de contenidos web más usado de Internet (con más de 30 millones de sitios en activo).

El pasado día 8 de septiembre de 2022, descubrieron que varios de los intentos de intrusión frenados por su cortafuegos para sitios WordPress buscaban explotar una vulnerabilidad que afectaba a un complemento premium de dicho CMS, WPGateway, que permite a los administradores simplificar algunas tareas de gestión del sitio, centralizando en un mismo panel la administración de temas, complementos y copias de seguridad.

Concretamente, su cortafuegos había frenado 4,6 millones de intentos de intrusión en aproximadamente 280.000 sitios web sólo a lo largo de los 30 días previos.

La vulnerabilidad en cuestión permite que los atacantes, pese a carecer de datos de acceso, agregar un usuario malicioso con privilegios de administrador al sitio web, lo que les permite tomar el control total del sitio web. Dicho administrador recibe siempre el nombre de 'rangex', por lo que si tienes instalado WPGateway, deberías asegurarte de no tener un usuario recientemente añadido con dicho nombre.

En Genbeta

Cómo convertir tu sitio web WordPress en una red de blogs

¿Cómo solucionarlo?

Pero el problema no desaparece sólo con suprimir al citado usuario malicioso, pues puede volver a ser creado utilizando la misma técnica. Ram Gall, analista de Wordfence, nos insta, directamente, a eliminar el plugin "hasta que haya un parche disponible", lo cual aún no sabemos cuándo ocurrirá.

Wordfence, por su parte, ha anunciado que desde el día 8 ha incorporado a sus productos premium una regla de firewall que bloquea dicho exploit (si eres usuario de sus productos gratuitos, deberás esperar hasta el día 8 de octubre para tener acceso a esta actualización).

Además, la compañía se ha reservado detalles sobre el funcionamiento del exploit para dar tiempo a que los desarrolladores del plugin desarrollen su producto antes de que otros ciberdelincuentes desarrollen sus propias alternativas y se unan a los ataques.

Vía | The Hacker News

A comienzos de este año, Twitter descubrió un fallo de seguridad en su plataforma que permitía a un atacante averiguar información personal de las cuentas. Según comentan en su blog, la persona que aprovechase esta vulnerabilidad podía averiguar el nombre de la cuenta asociada a un e-mail o número de teléfono en particular.

El fallo fue solucionado y Twitter no encontró evidencia alguna de que ninguna cuenta hubiera sido comprometida. Sin embargo, recientemente se ha descubierto que un hacker consiguió una base de datos con información personal de unas 5,4 millones de personas a través de este fallo de seguridad. El ciberdelincuente se encontraba vendiendo esta información en un foro por 30.000 dólares.

Un fallo de seguridad que ha persistido durante meses en Twitter

Si bien esta vulnerabilidad estaba presente desde junio de 2021 tras una actualización en el código de la plataforma, Twitter no pudo parchearla hasta que supo de ella en enero de este año, a través de su programa de recompensas por hallar bugs. En su momento, la compañía advirtió de que no encontraron pruebas de que ninguna cuenta hubiera sido comprometida. Lo que nos lleva al comunicado de la compañía publicado hace unos días, en el que han hallado evidencias sobre una posible filtración de información de unas 5,4 millones de cuentas.

En Genbeta

Los gobiernos usan Twitter cada vez más para obtener información de los usuarios y eliminar contenido: las cifras son de récord

Este exploit hacía vulnerables incluso a las cuentas candado. Si bien desde Twitter han asegurado que los usuarios no tienen que hacer nada por el momento, sí han confirmado que tienen pensado notificar a aquellas cuentas que han sido vulneradas. No obstante, según afirma la compañía, aún no pueden confirmar todas y cada una de las cuentas que han sido afectadas.

Twitter advierte también que, cualquiera que esté preocupado por su cuenta candado, debería activar la autenticación de doble factor, así como adherir una cuenta de e-mail y número de teléfono que no sea públicamente conocido a la cuenta con la que no quiera asociarse.

Vía | The Verge

En el primer día del evento Pwn2Own Vancouver 2022, los participantes consiguieron explotar con éxito 16 fallos de día cero para hackear varios productos, entre ellos el sistema operativo Windows 11 de Microsoft y la plataforma de comunicación Teams. Los organizadores del evento llegaron a repartir 800.000 dólares entre quienes consiguieron realizar estos descubrimientos.

Este año se celebra el 15º aniversario del concurso. Esta edición reúne a 17 concursantes que intentan explotar 21 objetivos en múltiples categorías. Y una de las firmas de software con más errores descubiertos ha sido el gigante de Redmond. Durante el concurso, los investigadores de seguridad han tenido que analizar navegadores web, software de virtualización, escalada local de privilegios, servidores, comunicaciones empresariales y automóviles.

Una vez demostradas y reveladas las vulnerabilidades de seguridad durante Pwn2Own, los proveedores de software y hardware tienen 90 días para desarrollar y publicar correcciones de seguridad para todos los fallos notificados.

Los errores de Teams

El primero en caer fue Microsoft Teams en la categoría de comunicaciones empresariales: se pudo explotar un fallo de configuración inadecuado. Otro de los equipos participantes descubrió además una cadena de exploits de cero clicks de 2 fallos (inyección y escritura arbitraria de archivos).

En una tercera ocasión, otro de los participantes eexplotó una cadena de 3 bugs de inyección, desconfiguración y escape de sandbox dentro de Teams.

Cada uno de ellos ganó 150.000 dólares por demostrar con éxito sus fallos de día cero o zzero-day en Microsoft Teams.

Problemas en otros programas de software

STAR Labs, un grupo que destacó en el evento, ganó 40.000 dólares adicionales tras elevar los privilegios en un sistema que ejecutaba Windows 11 utilizando una debilidad de Use-After-Free y otros 40.000 dólares adicionales al lograr una escalada de privilegios en Oracle Virtualbox.

En Genbeta

Google detectó en 2021 más errores de día cero que nunca: "como industria no estamos haciendo que estos exploits sean difíciles"

Otro de los participantes demostró con éxito dos errores (contaminación de prototipos y validación de entrada inadecuada) para hackear Mozilla Firefox y una escritura fuera de banda en Apple Safari. Ubuntu Desktop, el sistema de infoentretenimiento del Tesla Model 3 (con Sandbox Escape) y Ethernet de diagnóstico (con Root Persistence), fueron otros programas con exploits de día cero.

Vía| Bleeping Computer

La difusión el pasado jueves de una vulnerabilidad 'zero day' que afecta potencialmente a millones de usuarios de cientos de populares servicios online (de Minecraft a iCloud, pasando por Steam, Cloudflare, etcétera) ha obligado administradores de todo el mundo a realizar actualizaciones urgentes para cerrarles las puertas a los cibercriminales.

La vulnerabilidad, conocida como 'CVE-2021-44228' o 'Log4Shell', fue descubierta por Chen Zhaojun (ingeniero de software de Alibaba), y afecta a Apache Log4j, una biblioteca open source desarrollada por la Apache Foundation que facilita a aplicaciones del ecosistema Java mantener un registro de actividades realizadas en tiempo de ejecución.

Por ahora, la vulnerabilidad se ha usado sobre todo para difundir malware de criptominado, pero dado que permite la ejecución remota de código en varias de las aplicaciones web más populares, sus efectos si éstas no la parchean inmediatamente pueden ser mucho más graves.

De hecho, se le ha asignado un 10/10 en el CVSS (Common Vulnerability Scoring System), un estándar de medición de la gravedad de vulnerabilidades, y en estos días se ha detectado actividad sospechosa (mayoritariamente procedente de la red Tor) escaneando masivamente la presencia de esta vulnerabilidad en servidores web.

🚨⚠️New #0-day vulnerability tracked under "Log4Shell" and CVE-2021-44228 discovered in Apache Log4j 🌶️‼️ We are observing attacks in our honeypot infrastructure coming from the TOR network. Find Mitigation instructions here: https://t.co/tUKJSn8RPF pic.twitter.com/WkAn911rZX

— Deutsche Telekom CERT (@DTCERT) December 10, 2021

Por fortuna, el parche ya existe: de hecho, se lanzó poco más de 24 horas después de tener conocimiento de la existencia de Log4Shell. Ahora, basta con actualizar a la versión 2.15.0 de Log4J para solventar el agujero de seguridad.

En Genbeta

Esto es lo que motiva a los programadores (y traductores, diseñadores...) a colaborar en proyectos de código abierto

Demasiado bien lo han hecho los desarrolladores de Log4J…

Pero si estás pensando en atribuir esta rápida respuesta al hecho de que la Apache Foundation cuente con una amplia plantilla de desarrolladores en nómina, espera a conocer antes un dato: los responsables de evitar pérdidas millonarias a algunas de las mayores empresas tecnológicas del mundo han sido únicamente tres desarrolladores voluntarios, que trabajan en el proyecto Log4J "en su tiempo libre".

Volkan Yazici es uno de esos tres desarrolladores, y ha tenido que defenderse en Twitter de unos ataques a todas luces injustos si tenemos en cuenta las circunstancias del proyecto:

"Los mantenedores de Log4j hemos estado trabajando sin dormir en las medidas de mitigación; parches, documentos, CVE, respuestas a consultas, etc. Sin embargo, nada impide que la gente nos esté atacando, por un trabajo por el que no nos pagan, por una función [del código] que no a todos nos gusta, pero que necesitamos conservar debido a problemas de compatibilidad con versiones anteriores".

Ralph Goers, creador y mantenedor de Log4J en el tiempo libre que le deja su otro trabajo a jornada completa.

Otro de sus compañeros es Ralph Goers, creador de la versión inicial de Log4J y que actualmente mantiene actualizada la librería en el tiempo que le deja libre su empleo como "desarrollador de software a tiempo completo". Esto lo cuenta en su página de GitHub Sponsors, un servicio que muchos desarrolladores de proyectos de código abierto utilizan para conseguir patrocinadores.

En el momento en que se hizo pública la vulnerabilidad, Goers contaba únicamente con 3 patrocinadores, una cifra que la repercusión del caso ha logrado incrementar hasta los 47 en el momento de escribir estas líneas:

Sin embargo, en estos días, muchos usuarios se han mostrado escandalizados en las redes al saber de la precaria situación de un proyecto tan crítico (y agradecidos con sus responsables por su desinteresada y fundamental labor):

"El proyecto Apache Log4j está siendo mantenido por tres personas que ofrecen voluntariamente su tiempo libre. Por favor, no sea un idiota con ellos, porque compañías multimillonarias están usando su herramienta sin siquiera molestarse en donarles 1.000 dólares" (Catalin Cimpanu).

"¿¡Nadie paga a los mantenedores de Log4j2 !? Hay una página entera en la Guía del Comité de Gestión de Proyectos de la Apache Foundation sobre las responsabilidades de los desarrolladores… ¿Y NADIE LES ESTÁ PAGANDO? […] ¿Qué estamos haciendo, gente? […] El open source necesita madurar muchísimo" (Filippo Sottile).

"Medio Internet es vulnerable porque estamos confiando en un proyecto open source de un tío que tiene dos trabajos, uno de ellos no remunerado. Por supuesto que [el proyecto] tiene problemas, ¿cómo no los iba a tener? Lo está haciendo lo mejor que puede. ¿Por qué somos tan reticentes a pagar el tiempo de los desarrolladores de dependencias críticas?" (Ada Worcester).

Este fin de semana se celebró la tercera edición de la TianfuCup, una competición en la que equipos de hackers han conseguido atacar exitosamente a herramientas o sistemas operativos tan conocidos como Windows 10, Firefox, Chrome o iOS 14.

Tuvo lugar en Chengdu, capital de la provincia de Sichuan en el suroeste de China. En total participaron quince equipos, compuestos por hackers del país, que tenían tres intentos (de cinco minutos cada uno) para hackear el objetivo seleccionado y utilizando un exploit original.

TFC 2020 has come to the end, all these excellent offensive researchers and their burning 0days makes #TFC 2020 a success! Thank you all for participating and following!🥳🥳🥳 pic.twitter.com/MwJLc5M0B4

— TianfuCup (@TianfuCup) November 8, 2020

Todos los exploits se reportan a los responsables del software

El equipo ganador del evento fue 'Qihoo 360', que consiguió embolsarse 744.500 dólares del total de 1,21 millones de dólares que se ofrecían en esta hackathon. La segunda posición la ocupó 'AntFinancial Lightyear Security Lab' y 'Pang' el tercer puesto.

Como dato curioso, Qihoo 360 repite podio, ya que en la pasada edición de la TianfuCup también consiguió alzarse como equipo ganador.

En Genbeta

Este es el plan del Gobierno para monitorizar, investigar y combatir las campañas de "desinformación" desde Seguridad Nacional

En la TianfuCup 2020 consiguieron hackear con éxito la siguiente lista de software:

• Chrome
• Safari
• Firefox
• iOS 14 corriendo en un iPhone 11 Pro
• Android corriendo en un Samsung Galaxy S20
• Windows 10 v2004
• Adobe PDF Reader
• Firmware de routers TP-Link y ASUS
• VMWare EXSi
• Adobe PDF Reader

Tal y como explican en ZDnet, "por cada ataque exitoso, los investigadores recibieron recompensas monetarias que variaban según el objetivo que habían elegido y del tipo de vulnerabilidad".

Por ejemplo, en el caso de iOS 14 / iPhone 11 Pro, podemos ver que se ofrecían 180.000 dólares al equipo que consiguiese hackear este objetivo (que, en este caso, se lo llevó @CodeColorist):

Confirmed! $180,000 awarded! It's the highest bonus on a single target of #TFC 2020. 👏 @CodeColorist https://t.co/56c4eEm895

— TianfuCup (@TianfuCup) November 8, 2020

Un dato interesante es que cada uno de los exploits exitosos fueron reportados a los responsables del software hackeado, para que así puedan parchear dichas vulnerabilidades en futuras actualizaciones.

Los hackers que se dedican a encontrar vulnerabilidades en aplicaciones y servicios populares ahora tienen más incentivo que nunca para vender sus hallazgos a empresas como Zerodium en lugar de las tecnológicas responsables del producto vulnerable.

Esta compañía se dedica a comprar y vender exploits y zero days, y para 2019 han decidido elevar significativamente sus recompensas, pagando hasta 2 millones de dólares por un jailbreak remoto de iOS y hasta 1 millón por hackear WhastApp o iMessage.

Zerodium es una startup que compra herramientas de hacking y las vende a gobiernos alrededor del mundo. Son empresas como estas a las que las autoridades tienen que pagar un buen dinero si quieren herramientas para interceptar las comunicaciones de criminales o terroristas.

Announcement: We are increasing our bounties for almost every product.
We're now paying $2,000,000 for remote iOS jailbreaks, $1,000,000 for WhatsApp/iMessage/SMS/MMS RCEs, and $500,000 for Chrome RCEs.
More information at: https://t.co/0NBRnq4I4y pic.twitter.com/vXDyxC3Q4v

— Zerodium (@Zerodium) 7 de enero de 2019

Terceros pagan mucho más que Google, Facebook, Microsoft y Apple por encontrar bugs en sus servicios

Aunque los fabricantes de dispositivos y proveedores de servicios tienen programas de recompensas a través de los cuales pagan buenas sumas de dinero a los hackers que reportan sus hallazgos, los números de Zerodium sin duda son más atractivos.

Por ejemplo, el mismo programa de recompensas de Microsoft llega a pagar hasta 250.000 dólares a quien encuentre vulnerabilidades graves de código de ejecución remota en Hyper-V. Es su mayor recompensa listada, una cifra que fue aumentada justo el año pasado.

Pero Zerodium llega a pagar hasta un millón de dólares por exploits de ejecución remota de código en Windows, han doblado la recompensa que ofrecían anteriormente de 500.000 dólares. Con semejante diferencia, no es difícil imaginar que un hacker prefiera vender a Zerodium que a Microsoft.

Apple tiene un programa de recompensas que lanzó en 2016, pero su máximo pago es de 200.000 dólares, algo que algunos expertos consideran insuficiente. Por su parte, Facebook, que tiene uno de los programas de recompensas más antiguos y maduros y ha pagado más de 7.5 millones de dólares desde que existe, pero apenas ha llegado a pagar un máximo de 50.000 dólares por recompensa. Bastante lejos del millón que ofrecen en Zerodium por un exploit en WhatsApp.

Google ofrece desde 100 a 31.337 dólares en su programa de recompensas por vulnerabilidades descubiertas que está en funcionamiento desde 2010. En contraste, Zerodium paga hasta 500.000 dólares por escalada de privilegios locales o ejecución de código remoto en Chrome o Android.

La empresa incluso ofrece pagar las recompensas en Bitcoin o Monero y en apenas una semana tras la revisión y aceptación de la oferta. Los investigadores de seguridad que se especialicen en vulnerabilidades de alto riesgo tienen mucho más incentivo monetario para vender a empresas como esta.

Y, la razón por la que WhatsApp y iMessage están tan alto en la pirámide de recompensas, es, cómo explicó el fundador de Zerodium a Motherboard, que muchas veces las apps de mensajería en general tienden a ser el único canal de comunicación que usan los objetivos, y como el cifrado hace difícil para sus clientes del gobierno el interceptar esas comunicaciones, tener la habilidad de comprometer esas apps directamente sin comprometer todo el dispositivo es mucho más estratégico y efectivo.

De hecho, dependiendo de que tan urgente sea la necesidad de hackear a alguien, los gobiernos pueden llegan a pagar hasta 4 millones de dólares por uno de estos exploits.