Publicidad

RSS Seguridad

Seguridad: La seguridad de LastPass nuevamente en entredicho, esta vez es su sistema de verificación en dos pasos.Un spyware disfrazado de...

La seguridad de LastPass nuevamente en entredicho, esta vez es su sistema de verificación en dos pasos

11 Comentarios
La seguridad de LastPass nuevamente en entredicho, esta vez es su sistema de verificación en dos pasos

LastPass continua siendo parte de los titulares y nuevamente es por malas razones. El servicio de gestión de contraseñas no es precisamente el mejor ejemplo de confianza. De fallos críticos de seguridad en sus extensiones para Chrome y Firefox, a terribles bugs que permiten robar todas las contraseñas de un usuario en un click, hasta haber sido hackeados filtrandose información personal de sus usuarios. Todo esto en menos de dos años.

El más reciente fallo de seguridad que se les ha descubierto, es un problema bastante grave con la forma en la que implementan el proceso de verificación en dos pasos. Un atacante podría deshabilitar la autenticación en dos factores si ya tiene la contraseña, básicamente, los dos factores no existían realmente.

Leer más »

Un spyware disfrazado de "actualización del sistema" pasó tres años en la Play Store siendo instalado por millones

10 Comentarios
Un spyware disfrazado de "actualización del sistema" pasó tres años en la Play Store siendo instalado por millones

Quienes tienen un móvil Android probablemente alguna vez hayan leído o escuchado el consejo de evitar instalar aplicaciones que no provengan de la tienda oficial de Gooogle. Siendo el sistema operativo más usado del mundo es de esperarse que sea uno de los principales objetivos del malware, y una de las formas más sencillas de evitar ser víctima de estos, es limitar lo que instalamos a fuentes confiables.

Y sin embargo, aunque Google ha tomado varias medidas para mejorar la seguridad de su Play Store, no será la primera vez ni la última en la que aplicaciones fraudulentas se cuelen en la plataforma. Pero no deja de ser algo sorprendente y alarmante cuando ocurre un caso como este.

Leer más »
Publicidad

Hackear una red IoT para minar bitcoins no es rentable ni tiene sentido

11 Comentarios
Hackear una red IoT para minar bitcoins no es rentable ni tiene sentido

El último informe de ciberamenazas de McAfee, del que se han hecho eco medios internacionales como Newsweek, revela que existe una variante de Mirai que incluye un bitcoin miner que ya habría infecado a 2,5 millones de dispositivos dedicados al Internet of Things.

En su blog, el investigador de seguridad Robert Graham dice que los números no salen. Si hay una variante Mirai que está infectando a dispositivos del IoT para minar bitcoins, ¿realmente sería rentable? ¿Cuánto ganarían los crackers usando un bitcoin miner en estas máquinas?

Leer más »

аррӏе.com y apple.com lucen iguales pero no lo son, y ni Chrome ni Firefox notan la diferencia

30 Comentarios
аррӏе.com y apple.com lucen iguales pero no lo son, y ni Chrome ni Firefox notan la diferencia

A finales de 2016 les hablábamos del caso del imitador de Google.com, un sitio que gracias al uso de caracteres Unicode utilizaba una letra muy parecida a la "G" mayúscula para hacer pasar su dominio por el del gigante de las búsquedas. ɢoogle.com parece muy normal, pero no lo es.

Esto es conocido como un ataque homográfico, una forma maliciosa de engañar al usuario aprovechándose del hecho de algunos caracteres lucen muy parecidos. Pero esta vez una nueva variación de este tipo de amenaza ha sido descubierta, una que es imposible de detectar porque los caracteres lucen exactamente iguales, y a la que navegadores como Chrome, Firefox y Opera son vulnerables.

Leer más »

Los Shadow Brokers ahora han publicado herramientas para hackear Windows y sistemas bancarios

2 Comentarios
Los Shadow Brokers ahora han publicado herramientas para hackear Windows y sistemas bancarios

Desde mediados del 2016 el nombre de un grupo de hackers ha estado sonando en la comunidad informática más que nunca. Se trata de "Shadow Brokers", quienes afirmaron ser los primeros en haber accedido a los archivos de la famosa NSA y de haber extraído múltiples herramientas de espionaje usadas por la agencia gubernamental norteamericana.

Luego de intentar vender varios de los supuestos exploits de la NSA, ahora han liberado en GitHub una serie de herramientas utilizadas para comprometer Windows, junto a esto también han incluido documentos explicando cómo atacar los sistemas bancarios de SWIFT usados para transferir dinero de forma internacional.

Leer más »

Internet de las Cosas, el internet de los "hackers"

5 Comentarios
Internet de las Cosas, el internet de los "hackers"

Eran las doce de la noche en Dallas cuando empezaron a sonar las 156 sirenas de emergencia despertando a los vecinos y saturando las líneas telefónicas de emergencia. Más de 4.400 llamadas. Son sirenas que se emplean para alertar de condiciones climáticas de riesgo. Pero los alertados vecinos creyeron estar ante ser un aviso de bomba u otra emergencia similar.

Afortunadamente no pasó nada: las sirenas fueron "hackeadas". Los operarios tuvieron que comprobar antes de qué se trataba y luego, ante la imposibilidad de detenerlas, apagar todo el sistema dos horas más tarde.

“Estamos hablando con todos los expertos de sirenas disponibles”, dijo Rocky Vaz, el director de la Oficina de Gestión de Emergencias de la ciudad, según recoge el New York Times. “Es un caso muy extraño”.

Esta vez han sido sirenas las que han vuelto a poner en entredicho la seguridad del Internet de las Cosas. En las ciudades “inteligentes” podría ser algo más peligroso. Y se accedería de la misma forma: un sistema local que dirige todos los dispositivos conectados o tomando el control de cada uno de ellos debido a que son aparatos que poseen los mismos credenciales de acceso.

El año pasado fueron las cámaras del fabricante chino Xiongmai Technology, que contaban con un sistema operativo sin actualizar (y por lo tanto vulnerable) y unos credenciales de acceso establecidos desde fabrica, ya que no se obligó al usuario a cambiarlo tras la primera instalación y uso. El resultado fue un ataque masivo de denegación de servicio usando a las cámaras como ejercito. Compañías como Netflix, Amazon o Twitter se quedaron sin servicio.

Así es como actúa BrickerBot, un programa que emplea diccionarios de credenciales para ganar el acceso, mediante fuerza bruta, de numerosos dispositivos que son empleados como “soldados” en ataques masivos. Si el consumidor no cambia el usuario y contraseña, su dispositivo podrá ser comprometido con facilidad. Un nombre de usuario y contraseña fáciles de acertar y el puerto Telnet abierto son una puerta abierta a cualquiera. Y lo están aprovechando

Un usuario y contraseña fáciles de acertar y el puerto Telnet abierto son una puerta abierta a cualquiera. Y lo están aprovechando

Comprar una cámara IP, un termostato o cualquier otro producto del estilo es comprar, a su vez, un potencial agujero de seguridad mucho más difícil de explotar que un smartphone o un ordenador. No hay actualizaciones y el usuario no percibe amenazas. Nunca está alerta, ya que no es un dispositivo que usa constantemente.

Y no solo estamos en peligro a través de dispositivos conectados de bajo costo procedentes de china. Ya existen ataques sobre televisores inteligentes que usan las señales de radio para insertar código malicioso y tomar el control del dispositivo, que cuenta a veces con micrófono, sin tener acceso directo a ellos.

“En cuanto el hacker toma el control de la TV, él puede atacar al usuario de muchas formas diferentes”, dijo Rafael Scheel, el consultor de seguridad que demostró el concepto de ataque a ArsTechnica. “El televisor puede ser usado para acceder a otros dispositivos de la red local o espiar a través de la cámara y micrófono que tiene incorporado”.

Según una de las últimas filtraciones de documentos clasificados por WikiLeaks, la CIA estuvo trabajando en los televisores inteligentes de Samsung, logrando al menos, capturar audio con el micrófono y guardar la escucha en un fichero dentro de su memoria. Esto con dispositivos de gama alta que son actualizados frecuentemente y que proceden del mayor fabricante de electrónica de consumo del mundo. ¿Qué pasará entonces con el sinfín de dispositivos que nos ofrece el Internet de las cosas?

Responsabilidad compartida

El Internet de las Cosas no necesita de la interacción humana. Los sensores recopilan, envían, analizan y responden a los datos, lo que ofrece a las compañías de tecnología y telecomunicaciones nuevas formas de ofrecer valor. Con estas oportunidades llega también las posibilidad de que esa información sea comprometida. Además, no es que la toma y comunicación de datos se multiplique, sino que suele ser información todavía más importante y privada. El riego es mayor.

Esta nueva red que abarca a todos los sensores es un ecosistema compartido entre el sector privado y lo público. Aun así, no existe una clara estrategia en cuanto a seguridad o un estándar dentro de la industria. Esta responsabilidad compartida puede suponer un peligro enorme, ya que cualquier punto infectado puede obtener datos o el control de una parte de la red de sensores. Los estándares llegarán. Pero no se sabe cuándo y el mercado del Internet de las Cosas sigue creciendo. Las grandes compañías y agentes de la regulación de los diferentes países han de trabajar en el desarrollo e implementación de protocolos de seguridad más estrictos. Será de suma importancia cuando se implanten las redes 5G y la trata de datos se multiplique en volumen, velocidad y responsabilidad para con las personas.

De momento los fabricantes están todavía más centrados en cómo vender el Internet de las Cosas y demostrar su utilidad al usuario final que de crear una red segura formada por dispositivos que se actualicen frecuentemente y que obliguen al usuario a establecer contraseñas seguras diferentes de las de fabrica. Es difícil proteger los dispositivos. Imposible si no existe una regulación severa y una estrategia de seguridad clara. Antes de ciudades inteligentes, dispositivos conectados seguros.

Leer más »
Publicidad

Las herramientas de la CIA que filtró WikiLeaks, vinculadas a ataques en 16 países

1 Comentario
Las herramientas de la CIA que filtró WikiLeaks, vinculadas a ataques en 16 países

Si recordáis, hace unas semanas publicábamos la existencia de Vault 7, el portal en el que WikiLeaks ha filtrado casi 9.000 documentos clasificados sobre espionaje electrónico de la CIA. A finales del pasado mes filtraron el código fuente de Marble, el framework que usaban para ocultar sus hackeos.

Hoy de nuevo conocemos una revelación sorprendente gracias a ZDNet: investigadores de seguridad han confirmado que las herramientas de hacking filtradas por WikiLeaks se han usado en ataques contra al menos 16 países. Al parecer, Symantec ha sido la responsable de encontrar la conexión.

Leer más »

Un zero day permite instalar malware desde Microsoft Word, aunque será corregido esta semana

7 Comentarios
Un zero day permite instalar malware desde Microsoft Word, aunque será corregido esta semana

Según han podido descubrir los investigadores de la firma McAffee, hay un nuevo bug zero-day de Microsoft Office que, al contrario que otros más conocidos e históricos que tienen que ver con macros, se aprovecha de un documento RTF con extension .doc.

Según explican los propios investigadores, gracias a este bug se puede instalar malware desde Microsoft Word. Para ello, una vez abierto el archivo malicioso el exploit se conecta a un servidor remoto, descarga un archivo que contiene código de aplicación HTML y que se guarda en el PC como un archivo .hta, que es ejecutable.

Leer más »

WikiLeaks filtra el código fuente de Marble, la herramienta de la CIA para ocultar sus hackeos

2 Comentarios
WikiLeaks filtra el código fuente de Marble, la herramienta de la CIA para ocultar sus hackeos

Continúan las filtraciones de WikiLeaks sobre la CIA, publicadas en su portal Vault7. En el marco de todas las filtraciones, hoy se han publicado 676 archivos que contienen el código fuente de Marble, el framework para ocultar los hackeos de la agencia estadounidense, acompañado de interesantes revelaciones.

Marble forma parte de la librería principal de malware de la CIA. A través de esta herramienta se puede redirigir los pasos de los investigadores de seguridad forenses para que a la hora de atribuir virus, troyanos y ataques informáticos sus pasos no se dirijan a la agencia de inteligencia. Según WikiLeaks, el framework se estuvo usando hasta 2016.

Desde Wikileaks aseguran que gracias a esta última revelación se podrá identificar miles de ataques y virus de la CIA, por los que se les podrá pedir responsabilidades.

Otro aspecto importante a tener en cuenta con respecto a Marble y su desarrollo son los enormes recursos de la CIA para convertirlo en una herramienta muy efectiva. Si la agencia hubiese decidido seguir con su desarrollo, cuesta imaginar a dónde hubiesen podido llegar.

Lo que sabemos de Marble

En el artículo publicado por la web dirigida por Julian Assange, se puede leer que Marble permite ocultar fragmentos de texto que permitirían identificar al autor del malware. Según el medio, la técnica utilizada es el equivalente digital de la herramienta que permite disfrazar el inglés en armas producidas por EE.UU. que se dan a insurgentes y rebeldes.

La herramienta está "diseñada para permitir una ofuscación flexible y fácil de usar", ya que los "algoritmos de ocultación de strings" en ocasiones apuntan a un desarrollador específico, según se recoge. También se ha revelado que el código fuente contiene ejemplos de pruebas en chino, ruso, coreano, árabe y farsi.

El potencial de Marble ha sido definido en estos términos por WikiLeaks:

La herramienta permite jugar a un doble juego de atribución forense, por ejemplo pretendiendo que el lenguaje de quien programó el malware no era inglés, sino chino, pero después mostrando intentos de ocultar el chino, llevando a los investigadores forenses a una conclusión con base, pero errónea. También existen otras posibilidades, como por ejemplo ocultar mensajes de error falsos.

En el código también incluye un "desofuscador", que permite a la CIA revertir la ocultación de texto:

Combinada con las técnicas de ofuscación reveladas, un patrón o firma emerge pudiendo asistir a investigadores forenses a atribuir anteriores ataques informáticos a la CIA.

Según se menciona en medios como Russia Today, en filtraciones anteriores se hablaba de que la CIA ya tenía la posibilidad de enmascarar su rastro.

¿Qué diferencia esta filtración del resto?

Oficinas1 72

Esta noticia es demasiado importante como para quedarse única y exclusivamente con lo que nos dice WikiLeaks. Es por eso que nos hemos puesto en contacto con Josep Albors, Jefe de Conciencia e Investigación de ESET, para que nos diera una visión más especializada sobre el tema.

Para Albors, la filtración es muy importante porque "demuestra que detrás de la autoría de algunos ciberataques atribuidos a otros actores, podría estar realmente la CIA". Según el experto, esto supondría "tener que replantearse la autoría de muchos de los ataques atribuidos durante los últimos años a otras potencias como Rusia o China".

En cuanto a cómo definir el potencial de la herramienta, para Josep Albors es muy destacable que este programa ha sido desarrollado "por una de las agencias de inteligencia más poderosas del planeta y con acceso a muchos recursos", que desvelará "técnicas interesantes" y que incluso puede dar pie a que los ciberdelincuentes las usen en sus creaciones.

En esta misma línea, el investigador apunta que el verdadero potencial de Marble "es el apoyo que una herramienta de este tipo recibe de la primera potencia mundial a través de su agencia central de inteligencia, lo que le permite ir adaptándola para que sus agentes puedan utilizarla año tras año sin perder efectividad".

Con respecto a si se deben pedir responsabilidades o no a la CIA si se demuestra que ha intervenido en ataques que nunca se le atribuyeron, nos contaba lo siguiente:

Técnicamente, si se demuestra la veracidad de estas filtraciones, se le podrían pedir explicaciones a la CIA sobre la autoría de algunas de las amenazas utilizadas en casos de espionaje o sabotaje durante los últimos años. Otra cosa es que desde la CIA se quiera reconocer su autoría, algo que dudo mucho que haga.

Hay que tener en cuenta que, como agencia de inteligencia que es, se podría considerar hasta normal que contase con ciertos tipos de herramientas para poder conseguir la información que necesita para proteger los intereses de su país. Otra cosa es esperar que las empresas de ciberseguridad miren hacia otro lado con sus amenazas, algo que, por supuesto, no se hace y que les obliga a intentar que su malware pase desapercibido o, al menos, no levantar sospechas de que lo han hecho ellos.

Por último, hemos preguntado qué tiene de especial Marble que lo haga destacar por encima de las muchas técnicas de ofuscación que pueden usar otros grupos de crackers. Dado que el código fuente ha sido liberado hace pocas horas, Josep Albors nos comenta que "revisándolo por encima" ha tenido la ocasión de encontrar "funciones de ofuscación similares a las usadas por algunos desarrolladores de malware".

De nuevo, el investigador ha hecho hincapié en que no se trata tanto de las técnicas utilizadas, sino "los recursos a los que la CIA tiene acceso para ir adaptando sus amenazas conforme estas dejen de ser efectivas o sean detectadas".

Vía | WikiLeaks
En Xataka | La mayor filtración de Wikileaks sobre la CIA: casi 9.000 documentos sobre espionaje con smart TVs, smartphones y otros

Leer más »

Liberado el código de Nuclear Bot, un troyano bancario que ahora cualquiera puede usar

8 Comentarios
Liberado el código de Nuclear Bot, un troyano bancario que ahora cualquiera puede usar

Nuclear Bot es un troyano bancario que salió a la venta en la Dark Web el pasado mes de diciembre por 2.500 dólares. Su creador ha filtrado su código fuente, lo que puede conllevar dos cosas según investigadores de IBM, para recuperar la credibilidad que el personaje perdió en la comunidad cracker.

Entre las capacidades de este troyano encontramos el robo e inyección de datos a distintas páginas web que afectan a Firefox, Chrome e Internet Explorer. El malware también puede abrir un proxy local o un servicio de escritorio remoto. Estas características suelen ser comunes en los troyanos bancarios.

Lo que hace peligroso a este malware es precisamente que su código haya sido filtrado, ya que ahora cualquiera puede usarlo para construir su propia versión de Nuclear Bot. Según los investigadores, es muy probable que veamos más ataques por parte de ciberdelincuentes poco entrenados en los próximos meses:

El código fuente disponible públicamente crea más malware. Este a menudo se incorpora en proyectos ya existentes. [...] Nuclear Bot pasará por un proceso similar al de otros programas de su especie que se encuentran en Internet, especialmente ya que su código fuente no ha sido copiado de otro malware filtrado, al menos según su desarrollador.

¿Por qué se filtró el código de Nuclear Bot?

Los investigadores de IBM que han estado vigilando a Nuclear Bot dicen que Gosya, el creador del malware, rompió varias de las reglas no escritas de los crackers cuando puso su troyano a la venta. Esto resultó en una pérdida de credibilidad entre sus colegas y que se le tildase de timador.

Una de las cosas que IBM señala como falta es que el tal Gosya no compartió versiones de prueba del software a los administradores del foro al que lo subió. Según se recoge, incluso llegó a usar aliases distintos cuando anunciaba su troyano en distintos foros de la Dark Web.

Los investigadores ven en la filtración del código un intento de congraciarse de nuevo con la comunidad cracker, a la par que un intento de recuperar su credibilidad. No es la primera vez que aparece el código de un malware bancario en Internet, pero en muchas ocasiones se trataba de una filtración no intencionada.

Ya vaticinamos hace unos meses que 2017 iba a ser un año movido para la seguridad informática, y por ahora no paramos de recibir confirmaciones de que así será. Nuclear Bot es sólo el último en llegar, pero no será el último de la lista ni mucho menos.

Vía | IBM
En Genbeta | Qué significa que Google acuse a Symantec de crear miles de certificados de seguridad inválidos en la web

Leer más »
Publicidad
Inicio