4 de octubre de 2018

CIBERATAQUE. Como fue el robo de información de China a Apple y a Amazon

China habría logrado infiltarse en Amazon, Apple y agencias de EEUU gracias a un chip diminuto. Gracias a alterar la cadena de producción de un suministrador de placas base, habría robado valiosos secretos comerciales y redes gubernamentales
Digno de una película de espías.
Así ha sido la última estrategia de China para infiltrarse en una treintena de compañías de tecnología más importantes del mundo como Amazon o Apple así como en varias agencias gubernamentales de EEUU.
Según ha revelado Bloomberg en exclusiva, investigadores norteamericanos han descubierto la inclusión de un diminuto microchip -más pequeño que un grano de arroz- integrado en las placas base de los servidores de la compañía norteamericana Super Micro Computer (Supremicro), una de las principales empresas distribuidoras de placas base para servidores a nivel mundial y que sirve su tecnología tanto a compañías tecnológicas como a agencias de EEUU.
Los chips habrían sido colocados por una unidad del Ejército Popular de Liberación de China, que logró infiltrarse en una serie de subcontratas chinas de la cadena de suministro de Supermicro.
La inclusión de estos chips, que no vienen en el diseño original de la placa, habría permitido a los hackers abrir una puerta trasera en el equipo que tenga dicho componente alterado montado permitiendo acceder así a valiosos secretos comerciales y redes gubernamentales.
Al conocerse la noticia tanto Amazon como Apple han negado que sus sistemas hayan contenido chips maliciosos insertados por la inteligencia china, mientras que el Gobierno chino también ha rechazado las acusaciones de organizar ciberataques contra compañías occidentales. Un representante de Supermicro por su parte ha comentado que no tienen conocimiento de ninguna investigación relacionada con este tema "ni ninguna agencia gubernamental nos ha contactado al respecto".
Según recoge la propia Bloomberg, Amazon explica que "no hemos encontrado pruebas que respalden las afirmaciones de chips maliciosos o modificaciones de hardware", mientras que Apple asevera que "nunca ha encontrado chips maliciosos, 'manipulaciones de hardware' o vulnerabilidades plantadas a propósito en ningún servidor".
Un ataque de hardware, el sumun de la sofisticación de los cibercriminales
La investigación comenzó por parte del Gobierno de EEUU en 2015 cuando Elemental Techonologies, que fue comprada posteriormente por Amazon Web Services, informó de anomalías en las placas bases de sus servidores. Un hilo de una madeja que ha ido creciendo en los últimos tres años hasta llegar a afectar a una treintena de tecnológicas y varias agencias de inteligencia norteamericana.
A diferencia de un ciberataque a través de software, los ataques basados en hardware permiten a los ciberdelincuentes llegar mucho más lejos, capturar más información y tomar el control de equipos de forma más profunda.
Según los investigadores norteamericanos, la forma de actuar fue la siguiente: una unidad militar china diseñó y fabricó microchips tan pequeños como una punta de lápiz afilada. Éstos se construyeron y diseñaron para parecer receptores de señal aunque incorporaban memoria, capacidad de red y capacidad de procesamiento para elaborar un ataque.
Estos chips se insertaron en las fábricas chinas que suministraban a Supermicro, que fueron ensamblados después en las placas base para servidores. Una vez que se colocaban en los servidores, éstos quedaban saboteados siendo posible modificar el núcleo del sistema operativo para que pudiera aceptar modificaciones. El chip también podría contactar a las computadoras controladas por los atacantes en busca de más instrucciones y código.
El gran problema de este ciberataque es que al estar el chip malicioso dentro del equipo, es él quien 'convence' a la máquina para quedar infectado, con lo que muchas actualizaciones y protecciones de firmware quedan a merced de los ciberdelincuentes.
Supermicro es una de las empresas más importantes del mundo en suministro de placas base para servidores, con lo que no se descarta que la huella de los chips maliciosos pueda ser todavía mayor a lo que se conoce.
Lo que esta revelación deja claro es que la seguridad de la cadena de suministro de tecnología global se ha visto comprometida, y muchas de las empresas ni siquiera lo sabían. Ahora, los funcionarios de EEUU, que reconocen a Bloomberg que nunca habían visto una operación de esta magnitud, tienen que determinar cuántas puertas se habían abierto a objetivos estadounidenses.
Un nuevo fuego que aviva la tensión entre EEUU y China
Lo cierto es que en los últimos tiempos se ha incrementado la preocupación sobre las agencias de inteligencia extranjeras que se infiltran en los EEUU. Huawei y ZTE han sido los casos más llamativos del rechazo de EEUU a poder operar de forma abierta en el país alegando una amenaza a la seguridad nacional.
Ninguna de las dos aparece en esta información de Bloomberg, pero sí pone el acento en los llamados "ataques a la cadena de suministro", en particular desde China, donde múltiples empresas de tecnología global subcontratan su fabricación.
El caso añade más presión a la tensión comercial entre EEUU y China, donde la aspiración de la administración Trump a que las tecnológicas pasen a fabricar en suelo estadounidense es cada vez más fuerte.
Precisamente, el Gobierno de EEUU advirtió el miércoles que un grupo de hacking conocido como cloudhopper -que las empresas de ciberseguridad occidentales han vinculado al gobierno chino-, lanzó ataques contra proveedores de servicios de tecnología en una campaña para robar datos a sus clientes.
La advertencia se produjo después de que expertos con dos prominentes compañías estadounidenses de ciberseguridad advirtieron esta semana que la actividad de piratería en China se ha incrementado en medio de la creciente guerra comercial entre ambas potencias.
Fuente: eleconomista.es

El Reino Unido, Australia y Holanda acusan a Rusia de grandes ciberataques

Culpan a Moscú de conspirar contra la "establilidad internacional" con acciones de espionaje contra sedes y personas. Las autoridades rusas que califican las acusaciones de "absurdas", las enmarcan en una campaña occidental contra Putin
Londres y Canberra acusan a la inteligencia militar de Rusia de liderar los ciberataques más grandes del mundo en los últimos años, al tiempo que Holanda anunció que había expulsado a cuatro agentes rusos que intentaban piratear la sede de la Organización para la Prohibición de Armas Químicas, con sede en La Haya.
En una atmósfera de guerra fría que ha prevalecido desde el envenenamiento de un exespía ruso en el Reino Unido, las autoridades holandesas revelaron cómo los agentes rusos posicionaron un vehículo lleno de equipos electrónicos en el párking de un hotel cerca de la sede de esta entidad con el objetivo de piratear su sistema informático.
"Por lo general, no revelamos este tipo de operación de contrainteligencia, pero el Gobierno holandés está extremadamente preocupado por la participación de estos agentes de inteligencia", dijo la ministra holandesa de Defensa, Ank Bijleveld en conferencia de prensa.
Los Países Bajos, que se beneficiaron de la cooperación de Londres, identificaron a los supuestos agentes rusos y dijeron que la operación fue coordinada por la inteligencia militar rusa (GRU, por sus siglas en ruso). Por primera vez, el GRU, y por tanto el Kremlin, también fue específicamente culpado por Londres, que ya lo acusa de ser responsable del envenenamiento del exagente doble ruso Sergei Skripal y de su hija Yulia el pasado 4 de marzo en la localidad inglesa de Salisbury
Impunidad
El Ministerio de Asuntos Exteriores británico denunció en un comunicado los ciberataques "ilegales" llevados a cabo por el GRU contra el Partido Demócrata de EEUU, la Agencia Antidopaje de Deportes y el aeropuerto de Odessa, en Ucrania. Londres expuso que "los ciudadanos afectados en muchos países, incluida Rusia, cuestan millones de libras a las economías nacionales".
"Este tipo de comportamiento demuestra su deseo [por el Gobierno ruso] de operar sin tener en cuenta el derecho internacional o las normas establecidas, y actuar con un sentimiento de impunidad y sin considerar las consecuencias", dijo el jefe de diplomacia Jeremy Hunt. "Nuestro mensaje es claro: junto con nuestros aliados, revelaremos y responderemos a los intentos de GRU por socavar la estabilidad internacional", sostuvo.
Réplica
Las autoridades rusas han calificado de "absurdas" las acusaciones holandesas sobre un supuesto intento ruso de pirateo informático, según informa la agencia de noticias RIA. "No hubo ningún ataque", declaró a la agencia de noticias RIA una fuente anónima, que agegó que las acusaciones provienen de una campaña occidental contra Rusia.
"Formamos parte de las estructuras de esa organización, así que ¿por qué ibamos a hackearla? Tenemos acceso, toda su red está abierta para nosotros. Esto es absurdo", añadió la fuente.
Fuente: elperiodico.com

ESPAÑA. La Política, el Big Data y la Ley, maridan mal

El alma es internet, imperio de libertad y conocimiento al alcance de todos, pero con sus correspondientes riesgos, como el acoso, las fake news y el hackeo.
Los partidos políticos recurren al Big Data desde ese almacén infinito que es internet, donde se encuentran nuestros secretos, enfermedades y deseos. El voto sigue siendo secreto, pero el votante está fichado y grabado en audios o vídeos, que además pueden ser perversamente manipulados por potentes programas informáticos.
Que la lucha del poder también se decide en el ciberespacio se comprobó en las elecciones Generales de 2016 que ganó el Partido Popular de Mariano Rajoy, después de contratar a la agencia The Messina Group (TMG), famosa por asesorar a Barack Obama, David Cameron o Mauricio Macri en sus campañas, y a la gurú digital de la compañía, Isabelle Wright, que por cierto en España pasó bastante desapercibida la noticia, dado el desconocimiento sobre las "bondades" del Big Data aplicado a la política que había por aquel entonces en este país.
Y posteriormente también ha ocurrido este año, en las primarias del PP, donde los candidatos pelearon duramente en redes sociales, pero parece que Pablo Casado conectó mejor con las generaciones anteriores a las redes sociales gracias al ingeniero de telecomunicaciones Teodoro García Egea, hoy secretario general del PP, jefe de campaña en las primarias que llevaron al poder a Casado, que acertó en la táctica, que predijo los resultados y que conectó el PP a la tecnología Big Data, según manifestó él mismo en la cadena de televisión “La Sexta”.
El Big Data no solo analiza la psicología del consumidor y los perfiles del votante sino que marca las pautas para manipular al electorado a su favor y en su propio beneficio, por medio de campañas publicitarias, como ha ocurrido en las últimas elecciones presidenciales en EEUU o en el Referéndum del Brexit en el Reino Unido, afectadas ambas dos por el escándalo de Cambridge Analytica y Facebook.
Aquí planteo las siguientes interrogantes sin resolver.
¿Es legítimo y ético utilizar el Big Data para investigar el perfil de los votantes y así influir en la opinión de los mismos?
En caso de respuesta afirmativa
¿Dónde queda el derecho al honor, a la intimidad personal y familiar y a la propia imagen, garantizado en el artículo 18 de la Constitución Española y protegido por la Ley Orgánica 1/1982, de 5 de mayo?
¿Y el Reglamento General de Protección de Datos (RGPD) que entró en vigor el 25 de Mayo de 2018, tampoco es de aplicación en este caso?
Por todo lo expuesto lanzo la siguiente propuesta al Gobierno del Estado Español
Que tome las medidas legales necesarias para impedir que ningún partido político, utilizando la tecnología Big Data, se aproveche de datos personales, privados e íntimos de los votantes, obtenidos por medios si no ilegales cuando menos poco éticos, para influir en el electorado español en futuras elecciones.
Más información
·         Elecciones Generales 2016 http://www.elmundo.es/cronica/2016/07/03/57779fc0ca4741301d8b4609.html
·         Referéndum Brexit https://informaticayseguridad.blogspot.com/search?q=Cambridge+Analytica  http://www.elmundo.es/internacional/2018/03/21/5ab1360ae5fdea16038b4603.html
Fuente: El Mundo.es, La Sexta.com, Abc.es

Encontrado troyano bancario en Google Play con más de 10K instalaciones

El troyano, que ha pasado desapercibido hasta conseguir al menos 78.000€ de sus víctimas, descarga código malicioso en función de la entidad bancaria del usuario
La policía de la República Checa ha dado aviso de un nuevo tipo de malware, que hasta el momento ha logrado sustraer 78.000€ de diferentes víctimas. En el comunicado se han hecho públicas imágenes de uno de los cómplices retirando el dinero robado de un cajero en Praga, tal y como puede verse en la imagen a continuación.
Las aplicaciones fraudulentas en cuestión son QRecorder (com.apps.callvoicerecorder) y Google Play Services (gjfid.pziovmiq.eefff). Esta última, no debe confundirse con com.google.android.gms, incluida con el sistema y firmada por Google. Utilizando Koodous, es posible encontrar 4 muestras de la primera y otras 4 de la segunda, como por ejemplo dd5d3589755543003a97454a134ca578f05b39bf5152ccd6183fc7ef08c87c65 y d0e28ee49d7b7feb5f94dbd00e4f5a6e4f418b536229188ef86bf45008c34d9b.
El troyano al iniciarse requerirá los permisos necesarios para realizar sus actividades delictivas, como Accessibility service para descargar y ejecutar código externo malicioso en función de la entidad bancaria, permiso para dibujar en otras aplicaciones para robar las credenciales, e incluso permisos para leer y enviar SMS para la confirmación de las transacciones.
Para la comunicación, el atacante hace uso de Firebase, donde envía el listado de apps bancarias a vulnerar, para así descargar el código fuente cifrado AES a ejecutar en función del banco.
Según puede comprobarse por el código fuente, la aplicación cuenta con traducciones para checo, alemán y polaco (con inglés por defecto), por lo que seguramente son los usuarios de estos tres primeros idiomas los de interés por el atacante. En el siguiente vídeo por Lukas Stefanko, puede comprobarse el funcionamiento del malware.
Este troyano evidencia una vez más que una aplicación por encontrarse en Google Play no puede considerarse segura, y que el número de descargas no es una muestra de confianza (ya que dicho número puede alterarse mediante bots), por lo que deben extremarse las precauciones al descargar aplicaciones, y utilizar herramientas que aseguren nuestro dispositivo.
Más información:
·         Banking Trojan found on Google Play stole 10,000 Euros from victims: https://lukasstefanko.com/2018/09/banking-trojan-found-on-google-play-stole-10000-euros-from-victims.html
Fuente: Hispasec

TELEGRAM. Solventa vulnerabilidad que exponía direcciones IP de usuarios en llamadas desde escritorio

La aplicación de escritorio de Telegram dejaba expuesta la dirección IP de los usuarios cuando estos utilizaban el servicio de mensajería instantánea para realizar llamadas de voz, un 'bug' corregido en la última actualización.
Telegram para Windows ha estado filtrando la dirección IP de los usuarios durante las llamadas de voz por una opción de configuración que no estaba disponible en esta versión, como ha explicado el investigador en ciberseguridad Dhiraj Mishra en su blog InputZero.
Según ha señalado Mishra, la aplicación de Telegram para Android cuenta con una opción de configuración que permite seleccionar, en el apartado de 'Llamadas', la opción 'nadie' para desactivar las llamadas 'peer-to-peer' (P2P).
La opción de 'nadie', sin embargo, no estaba disponible en la versión de escritorio para Windows. Durante las llamadas de voz, se produce un intercambio de paquetes de datos entre usuarios que, según ha señalado el investigador, dejaba expuestas las direcciones IP.
Mishra también ha señalado que, en el caso de Android, aun estando disponible la opción 'nadie', si no se selecciona el efecto es el mismo: las IP pueden quedar expuestas.
El 'bug' identificado ya ha sido solucionado por Telegram, como ha informado el investigador, en la versión beta 1.3.17 y en la versión v1.4.0, donde ya se introduce la opción P2P a nadie.
Fuente: Europa Press

FORCEPOINT. Explora "próxima frontera de ciberseguridad" con modelo de riesgo adaptable a cada individuo

Forcepoint explora a través de uno de sus nuevos productos "la próxima frontera de la ciberseguridad", con un modelo de riesgo adaptativo que se ajusta de manera automática en función de los comportamientos de cada uno de los individuos (los empleados de una compañía, generalmente) conectados a la red protegida.
"Una arquitectura que se adapta a los riesgos y permite hacer cambios rápidos en los parámetros de seguridad de la empresa", explica Fabiano Finamore, Country Manager de Forcepoint para Iberia. Se trata de una oferta de ciberseguridad individualizada que se adapta en función de los comportamientos, lo que garantiza "una mejor comprensión de las intenciones de cada persona" y, en consecuencia, "una mejora en la eficiencia de las soluciones de protección".
De esta manera, el propio programa será capaz de detectar comportamientos anómalos de determinados empleados y bloquear su acceso a determinados documentos confidenciales de la compañía, ya sea por un caso de "venganza" de un empleado contra la empresa o de robo de credenciales.
Así, Forcepoint se presenta como "la única compañía que puede abordar las amenazas de infraestructura crítica donde existen más vulnerabilidades", en referencia al punto humano de interacción con los sistemas y los datos.
El 50 por ciento de los ataques cibernéticos se vinculan a errores humanos de los trabajadores, por lo que la empresa insiste en la necesidad de "crear un ecosistema de empresa seguro". A partir de ahí, la nueva solución 'Risk-Adaptive Protection', llamada 'Dynamic Data Protection', conectará las IP, los datos y las personas para detectar comportamientos anómalos y ajustar los niveles de riesgo.
"Con estos procesos y una cultura de la confianza y transparencia, las compañías pueden asegurar que las personas son propietarias realmente de sus datos y desempeñan un papel en la protección de su identidad digital", defiende la empresa.
Forcepoint asegura que este control individualizado de los comportamientos de los usuarios no choca en ningún caso con la legislación española en materia de privacidad. En este sentido, apuesta por que cada persona "rinda cuentas de su propia huella digital". "Solo así se podrá construir una cultura donde las brechas de seguridad en la red sean una rareza", sentencia.
Fuente: Europa Press

“El malware orientado al criptojacking ha superado al ransomware como la mayor amenaza”

La minería de criptomonedas ha afectado ya a 4 de cada 10 organizaciones en todo el mundo.
“El malware orientado al criptojacking ha superado al ransomware como la mayor amenaza”.
Así de contundente se muestra Eusebio Nieva, director técnico de Check Point Iberia, que añade que dicho malware “se ha convertido en el problema de ciberseguridad más frecuente, llegando a afectar al 40 % de las organizaciones mundiales”.
El auge del malware para la minería de divisas queda reflejado en los informes mensuales que va publicando Check Point, que con el arranque del otoño vuelve a recordar que durante los últimos meses el criptojacking está acaparando los primeros puestos de la clasificación de amenazas de seguridad. Coinhive, por ejemplo, se ha dejado notar en 1 de cada 5 empresas.
“Cuanto antes se pongan de acuerdo las empresas, los proveedores de ciberseguridad y las personas, antes se podrá combatir la ciberdelincuencia”, opina Nieva, “estrangulando financieramente sus operaciones y haciendo sus vidas más difíciles”.
El informe Illicit Cryptocurrency Mining Threat de la Cyber Threat Alliance, en el que participa el investigador Tim Otis de Check Point, aporta una serie de claves respecto al problema de la minería, tal y como ahora desgranan desde esta compañía.
Los criptojackers, para empezar, tienen diferentes formas y tamaños, desde lo que se conoce como “scrip kiddies” hasta “hacks avanzados”. La mayoría se apoya en fallos de seguridad para propagarse por las redes. Además, un criptojacker se puede usar como herramienta para desencadenar amenazas peligrosas.
Otro rasgo desvelado es que los criptojackers también usan el exploit EternalBlue, lo que favorecería el movimiento lateral.
Fuente: Silicon.es

ESET. Presentación de sus tres productos de seguridad para grandes cuentas

ESET Dynamic Threat Defense, ESET Cloud Administrator y ESET Threat Intelligence refuerzan la red corporativa desde la nube.
ESET ha aprovechado la celebración del ESET Security Day en Valencia, donde ha reunido a expertos internos y externos como Josep Albors, María José Montes, Pablo Fernández Burgueño, Chema Alonso o Alex Casanova, para presentar nuevos productos de seguridad.
Han sido tres los productos anunciados, que se dirigen en todos los casos a reforzar la red corporativa desde la nube para grandes cuentas y empresas. ¿Sus nombres? ESET Dynamic Threat Defense, ESET Cloud Administrator y ESET Threat Intelligence.
ESET Dynamic Threat Defense ofrece sandbox en la nube, y por tanto un entorno aislado para el análisis de programas sospechosos donde se simulan comportamientos, para combatir amenazas zero-day. Se trata de una capa de seguridad extra.
ESET ha explicado que este producto aprovecha hasta tres modelos de aprendizaje automático durante el envío del archivo.
ESET Cloud Administrator, que se entrega como servicio para organizaciones con un máximo de 250 equipos, emplea una única consola en la nube para la gestión de la seguridad con acceso desde cualquier lugar y en cualquier momento.
En su caso, destaca el hecho de que el usuario no necesita intervenir en temas de configuración, limpieza del servidor, actualizaciones o certificados, ya que es automático.
ESET Threat Intelligence ofrece información relevante, según la empresa, sobre amenazas como ataques dirigidos, APTs, los ataques zero-day y las botnets. Sería una especie de “biblioteca de virus” también en la nube, de acuerdo con la definición de ESET.
Como consecuencia, facilita la respuesta ante fugas de información, ya sea informando sobre quién está detrás o cómo actúa el malware, por ejemplo.
Fuente: Silicon.es

Windows Timeline, ahora también disponible para teléfonos móviles

Lo nuevo de Windows 10, Windows 10 October 2018, ya está disponible. Aunque el despliegue automático no arrancará hasta el 9 de octubre.
Además de renovar su gama de dispositivos Surface, Microsoft ha anunciado durante las últimas horas otra batería de novedades, en este caso de software, con las que busca potenciar la productividad.
Una de ellas es la aplicación Tu Teléfono que permitirá tener acceso desde el PC a mensajes e imágenes contenidas en un terminal Android de manera instantánea.
Otra es la presencia ampliada de Windows Timeline, que además de estar disponible para ordenadores, dado que llegó a Windows 10 en abril, se hace extensible a los terminales móviles. También se podrá usar en los iPhone y teléfonos Android para ir atrás en el tiempo y localizar archivos y webs en otros equipos.
Tanto Windows Timeline como Tu Teléfono estrechan lanzos entre el escritorio y el móvil y favorecen la realidad multidispositivo.
Además, Microsoft ha decidido aprovechar capacidades de inteligencia empresarial y potenciar la seguridad de los datos y las personas con Family Safety en Microsoft Launcher. También usa inteligencia artificial en la suite Office 365 para ofrecer Inking en PowerPoint y Word, así como animaciones 3D integradas en estos mismos programas.
Por otro lado, se apuesta por integrar To-Do con la plataforma de comunicación Skype y el servicio de correo electrónico Outlook.com, favoreciendo el trabajo con tareas.
Esto llega con una nueva versión de Windows 10. Microsoft ha confirmado que el despliegue de Windows 10 October 2018 arrancará de forma automática en breve: el 9 de octubre. Si bien esta actualización ya está disponible.
Fuente: Silicon.es

MyWOT. Navegación segura por Internet

MyWOT, la herramienta que detecta páginas web peligrosas. WOT viene de las palabras inglesas Web of Trust (Páginas de confianza). Y básicamente su función es esa. Muestra a los usuarios si una web a la que intenta acceder es segura o no. La manera en la que lo indica es bastante gráfica. Se agrega un icono de la extensión en la barra del navegador y veremos un círculo que simula ser un semáforo.
En caso de que la web esté limpia, que no haya ningún problema ni riesgo, ese círculo será de color verde. Si entramos en una página que contenga algo raro y pueda ser sospechosa, ese círculo será naranja. Por último, en caso de entrar en una web peligrosa, el semáforo se pondrá rojo.
De esta manera los usuarios, a la hora de navegar, recibirán una alerta para saber del riesgo de acceder a una página. Ya sabemos que no todas las webs son fiables. En ocasiones podemos encontrarnos con algunas en las que nuestros datos pueden correr riesgo de alguna manera.
Gracias a MyWOT podremos reconocer estas páginas según su seguridad. Para llegar a estas conclusiones se basa en la retroalimentación de los propios usuarios. Cuando entramos en una página y encontramos algo sospechoso, podemos informar de ello.
Múltiples amenazas en la red
Es cierto que existen muchos programas y herramientas de seguridad. Este tipo de software puede defendernos de posibles ataques que pongan en riesgo nuestros sistemas. Pero hoy en día hay muchos problemas que no son detectados por un antivirus. Por ejemplo el phishing, un método muy utilizado por los ciberdelincuentes para hacerse con las credenciales de los usuarios.
En estos casos es necesario detectarse mediante la experiencia real. Eso se consigue a la hora de navegar y es lo que perciben los propios usuarios. Un posible link fraudulento, un intento de estafa de alguna manera, etc. Es ahí donde resulta interesante contar con una herramienta como MyWOT.
Evidentemente no es una herramienta que evite las amenazas. Sin embargo sí es un buen complemento para este tipo de software. Es una manera de evitar que nuestro equipo se infecte o entrar en un link fraudulento, mientras navegamos. Gracias a que nos avisa con el sistema de colores como si de un semáforo se tratase, podemos estar alerta en caso de llegar a un sitio sospechoso.
En definitiva, MyWOT es una interesante extensión que está disponible tanto para Google Chrome como para Mozilla Firefox. Su objetivo principal es alertar al usuario en caso de que lleguen a una página sospechosa o peligrosa. Una manera más de evitar sufrir algún tipo de ataque.
Hay que mencionar también que cuenta con una aplicación para mejorar la seguridad a la hora de navegar en Android. Es una realidad que cada vez utilizamos más los dispositivos móviles para entrar en la red. Por ello conviene siempre aumentar la seguridad en estos casos.
Fuente: Redes Zone.net

VIRUS. Las memorias USB pueden ocultar un malware para minar criptomonedas

Recientemente, la firma de seguridad Kaspersky acaba de detectar una nueva amenaza informática que está infectando ordenadores por todo el mundo utilizando como medio de distribución memorias USB. Esta nueva amenaza informática se basa en Windows LNK, un malware que comenzó a funcionar en 2016 y que, a día de hoy, sigue siendo una de las familias de malware más peligrosas.
Cuando la víctima conecta la memoria USB al ordenador, este malware copia automáticamente un troyano muy avanzado, e indetectable hasta la fecha, que automáticamente empieza a minar criptomonedas utilizando el hardware de nuestro ordenador. En un principio, este troyano no hace mucho más, no pone en peligro nuestros datos ni secuestra nuestros datos, aunque el aumento de consumo del ordenador se disparará, este funcionará más lento e incluso podría llegar a dañarse.
Cómo protegernos del nuevo troyano que se distribuye a través de memorias USB
A pesar de que cada vez tenemos mayores velocidades de conexión a Internet y el almacenamiento en la nube es más accesible para todos, hoy en día podemos encontrar pendrives de 64 GB por menos de 20 euros, lo que hace que las memorias USB se sigan utilizando muy a menudo para compartir archivos con otras personas, por lo que para los piratas informáticos siguen siendo una fuente de distribución de malware de lo más interesante, y debemos saber cómo protegernos.
Lo primero que debemos hacer antes de conectar una memoria USB a nuestro ordenador es saber exactamente su procedencia. Si la persona que nos la ha dado es de total confianza podemos conectarla y, tras analizarla con un antivirus, podremos utilizarla sin demasiada preocupación. Sin embargo, si la memoria USB viene de un desconocido, de una persona de la que no nos fiamos o nos la hemos encontrado, directamente debemos evitar conectarla a nuestro ordenador, ya que no solo podemos poner en peligro nuestra seguridad, sino que incluso podemos llegar a dañar físicamente el ordenador.
Otras medidas de seguridad que siempre debemos tener en cuenta cuando usamos un USB para compartir datos es hacerlo siempre con la máxima seguridad posible, es decir, cifrando los datos que van guardados en la memoria de manera que, si esta cae en manos de una persona no autorizada, esta no pueda acceder a los datos. Perderemos el pendrive, pero nuestros datos estarán a salvo.
Es cierto que desde 2014 el número de infecciones a través de memorias USB ha disminuido considerablemente, pero a día de hoy sigue superando los 100 millones de infecciones anuales, todo por “fiarnos” de las memorias USB y no contar con medidas de seguridad para ellas.
Fuente: gbhackers

COMPROBAR DNS DEL ROUTER. GhostDNS ha estado cambiándolos en más de 100.000 routers

Los servidores DNS son los encargados de traducir las URL que nosotros introducimos en el navegador por las direcciones IP correspondientes de manera que el router sepa hacia dónde debe enviar los paquetes. Los DNS más comunes suelen ser los que nos ofrecen los proveedores de Internet, además de los conocidos de Google (8.8.8.8), Cloudflare (1.1.1.1) e IBM (9.9.9.9). Sin embargo, los piratas informáticos también tienen sus propios servidores DNS, servidores que suelen utilizar para engañar a los usuarios y reenviar el tráfico de estos hacia webs falsas y peligrosas, tal como hace GhostDNS.
Después de VPNFilter, varios investigadores de seguridad vuelven a avisar sobre una nueva campaña maliciosa a través de Internet, llamada GhostDNS, cuya principal finalidad es cambiar los DNS de los routers para reenviar el tráfico de los usuarios a páginas web maliciosas, falsas, controladas por los propios piratas informáticos.
Esta campaña afecta a más de 70 modelos de routers diferentes y, a través de una botnet, se usa la fuerza bruta para lograr acceder a los routers, o utilizando el exploit dnscfg.cgi para saltarse la página de login.
El módulo de GhostDNS encargado de cambiar la configuración de los DNS de los routers es DNSChanger. Este módulo cuenta con más de 100 scripts que se ejecutan hasta dar con el que consiga cambiar esta configuración en los routers vulnerables.
Además de este módulo de cambio de DNS, este malware cuenta con otros módulos para tomar el control del router, módulos como un panel de administrador que seguramente dé control a los piratas informáticos sobre el router de forma remota y otros componentes relacionados con el DNS, como una base de datos de dominios relacionados con bancos, servicios en la nube y el módulo encargado de resolver los dominios legítimos para enviarlos a las webs falsas.
De momento esta nueva amenaza informática está centrada en Brasil, aunque dada su naturaleza es muy fácil de escalar y llevar a otros países del mundo, por lo que debemos asegurarnos de proteger cuanto antes nuestros routers para no caer en las garras de GhostDNS.
Cómo proteger nuestro router de GhostDNS
Como podemos ver en la anterior captura, este malware usa principalmente la fuerza bruta para lograr acceder a los routers de las víctimas. Por ello, una de las primeras medidas de seguridad que debemos aplicar en nuestro router es cambiar la contraseña por defecto por otra contraseña segura que no pueda ser adivinada por fuerza bruta.
Por seguridad, también sería recomendable descargar la última versión del firmware desde la página web principal del fabricante e instalarla en el router. Si ya tenemos la última versión, sería aconsejable volver a flashear el firmware (y borrar la configuración actual) de manera que, si hemos sido ya infectados, podamos eliminar la amenaza.
Por último, otro consejo de seguridad es revisar manualmente la configuración DNS de nuestro router. Si estamos utilizando unos DNS conocidos y fiables, como los de Google, por ejemplo, entonces no deberíamos tener problemas. Si tenemos otros servidores configurados, seguramente nuestro router esté comprometido, y deberíamos, además de cambiar los DNS del router, seguir los dos pasos anteriores cuanto antes para, además de mejorar nuestra seguridad, mejorar la conexión usando los mejores DNS para nuestra red.
Si, además, al intentar en una web, como Netflix, vemos cualquier sospecha, puede que nuestro router, o nuestro PC, esté reenviando el tráfico a otros servidores. Debemos poner remedio a esto cuanto antes para restablecer nuestra seguridad.
Fuente: gbhackers

GOOGLE CHROME 70. Acabará con extensiones maliciosas con nueva medida de seguridad

Las extensiones son pequeñas aplicaciones que se instalan en los navegadores y que  permiten implementarnos funciones que, por defecto, no vienen incluidas. Sin embargo, estas extensiones también han permitido a los piratas informáticos tomar el control de los navegadores de los usuarios mediante extensiones maliciosas, uno de los mayores problemas que persigue a Google Chrome, y otros navegadores, y que, por suerte, podría tener los días contados.
Los piratas informáticos utilizan todo tipo de técnicas para distribuir extensiones maliciosas y complicar su detección, técnicas como, por ejemplo, ofuscar el código, utilizar scripts externos, falsificar puntuaciones en las tiendas de extensiones, etc. Esto permite muchas veces a las extensiones inyectar anuncios, robar información de las redes sociales, minar criptomonedas, robar logins y llevar a cabo otras muchas técnicas maliciosas para poner en peligro a los usuarios.
Hace algunas horas, Google ha anunciado una serie de nuevas medidas de seguridad que aplicará a todo lo relacionado con las extensiones del navegador con las que, finalmente, acabará con las extensiones maliciosas. Estas medidas de seguridad empiezan por prohibir las extensiones que pidan una gran cantidad de permisos sin razón alguna, además de no tolerar aquellas que carguen scripts externos o tengan el código ofuscado.
Con Google Chrome 70 podremos controlar qué puede y qué no puede hacer una extensión
Además de las limitaciones anteriores, a partir de la próxima actualización de Google Chrome el navegador va a habilitar una nueva opción que nos va a permitir configurar, individualmente, qué puede y qué no puede hacer cada extensión.
Así, cuando pulsemos con el botón derecho sobre una extensión, Google Chrome 70 nos mostrará una nueva opción llamada “Puede leer y cambiar datos de sitios web” que nos permitirá controlar el comportamiento de las páginas web.
De esta manera, podemos elegir si queremos que una extensión tenga control sobre los datos de cualquier página web, solo sobre la página actual o que solo pueda hacerlo cuando pulsemos sobre ella.
Eso sí, por defecto las extensiones seguirán teniendo permiso para actuar en todas las webs, por lo que dependerá de nosotros mismos configurar los permisos que cada extensión puede tener en nuestro navegador.
Mayor seguridad para los desarrolladores para evitar el secuestro de extensiones
En ocasiones hemos podido ver cómo una extensión fiable, de repente pasaba a ocultar código malicioso. Aunque siempre hay desarrolladores que se cambian de bando al cabo de un tiempo, la mayoría de las veces que ha ocurrido esto ha sido porque los piratas informáticos han conseguido robar la cuenta de los desarrolladores, tomando el control sobre las extensiones.
Junto a las medidas de seguridad anteriores, Google ha anunciado que también va a obligar a los desarrolladores a activar la doble autenticación en sus cuentas, evitando que, aunque consigan hacerse con la contraseña de uno de estos desarrolladores, puedan conseguir acceder a la cuenta y secuestrar las extensiones.
Fuente:  Chromium

GOOGLE. Soluciona 26 vulnerabilidades con nuevos parches de seguridad en Android

A principios de cada mes, Google suele lanzar nuevos parches de seguridad para su sistema operativo móvil, Android, con los que corregir todo tipo de vulnerabilidades y fallos de seguridad descubiertos que pueden poner en peligro la seguridad de sus usuarios. Con octubre recién empezado, Google ya ha hecho públicas las vulnerabilidades que corregirá en Android este mes con las nuevas actualizaciones de seguridad que, poco a poco, irán llegando a sus usuarios.
Normalmente estamos acostumbrados a ver cómo Google corrige más de 60 o 70 vulnerabilidades con sus parches mensuales. Sin embargo, los nuevos parches de seguridad de Android han corregido 26 vulnerabilidades, fallos de seguridad que se encontraban tanto en el propio sistema operativo como en el kernel y en los demás componentes que le dan forma.
Detalle de vulnerabilidades corregidas
Como es habitual, Google va a lanzar los parches divididos en dos partes. La primera de estas partes, con fecha 1 de octubre de 2018, se centra en corregir los fallos de seguridad en el sistema Android como tal, así como los diferentes componentes, frameworks, del sistema.
En el caso del framework se han corregido 5 fallos de seguridad, fallos que van desde la escalada de privilegios (para conseguir permisos de root) hasta la ejecución remota de código. En el caso del framework multimedia se han corregido otras 5 vulnerabilidades, aunque en esta ocasión la mayoría de ellas permitían la ejecución de código remoto. Por último, también se han corregido 13 vulnerabilidades en el propio sistema Android, la mayoría de ellas relacionadas con la obtención de información, aunque también otras enfocadas a la ejecución remota de código y la escalada de privilegios.
Además, el próximo día 5 de octubre, Google va a lanzar también otra tanda de parches de seguridad enfocados a corregir 3 vulnerabilidades en el kernel, vulnerabilidades utilizadas por el malware y los piratas para ganar privilegios de root en el sistema.
Seguridad en Android, aunque solo para unos pocos
Estos parches de seguridad ya han empezado a llegar a los usuarios (a falta de los del kernel, que lo harán a finales de semana), aunque, como suele ocurrir, solo los usuarios que tengan un smartphone de Google, como los Pixel, recibirán estas actualizaciones. Con suerte, algunos usuarios son smartphone de gama alta recibirán este mismo mes estas actualizaciones, y otros smartphones las recibirán antes de fin de año.
Aunque Google lance todos los meses actualizaciones de seguridad, Android sigue teniendo dos grandes problemas, por un lado la fragmentación, y es que el número de móviles que están utilizando la última, o penúltima, versión del sistema operativo es muy reducido, y por otro el tema de las actualizaciones de seguridad que, igual que ocurre con las versiones de Android, el número de usuarios que recibe estos parches al día es prácticamente irrelevante frente a los que no los reciben.
Google está trabajando para acabar con este problema y poder garantizar, al menos, que las actualizaciones de seguridad llegan a todos los usuarios mes a mes. Sin embargo, mientras esto llega, si realmente nos preocupa nuestra privacidad, lo mejor que podemos hacer es intentar instalar, si el smartphone nos lo permite, una rom alternativa que sí tenga soporte.
Fuente: Android

ADOBE. Lanza parches de seguridad para Windows y Mac

Adobe ha lanzado una serie de actualizaciones de seguridad para Adobe Acrobat y Adobe Reader. Se trata de parches que corrigen vulnerabilidades tanto en el sistema operativo de Microsoft Windows como en Mac. Ya sabemos que son dos de los sistemas operativos más utilizados mundialmente en equipos de escritorio.
Estas vulnerabilidades son de diferentes grados de importancia, pero todas ellas pueden afectar a la seguridad de los usuarios y poner en riesgo el buen funcionamiento de sus equipos. Ya hablamos de la importancia de mantener nuestro equipo actualizado.
Adobe lanza importantes parches de seguridad para Windows y Mac
Concretamente Adobe ha corregido 86 vulnerabilidades. De ellas algo más de la mitad, 47, son consideradas críticas. 46 de estos fallos críticos permiten la ejecución de código y la restante tener una escalada de privilegios.
Por otra parte, las 39 vulnerabilidades que completan las 86, se consideran importantes. Estos fallos permiten la divulgación de información.
En cuanto a peligrosidad, las 46 vulnerabilidades críticas que permiten la ejecución del código son las más importantes. Estos fallos podrían permitir a los atacantes explotar las vulnerabilidades para ejecutar comandos en el equipo o incluso poder instalar malware sin que la víctima lo sepa. Es por ello que se recomienda actualizar cuanto antes tanto Adobe Reader como Adobe Acrobat. De esta manera podemos solucionar los fallos de seguridad.
La compañía recomienda a los usuarios de Acrobat DC y Acrobat Reader DC actualizar a la versión 2017.011.30105. En cuanto a los usuarios de Adobe DC 2015 y Acrobat Reader DC 2015, deberían de actualizar a la versión 015.006.30456.
Podemos ver la lista completa de estas vulnerabilidades en la Web de Adobe. Aquí se detalla cada una de ellas. Aquí tenemos acceso a la plataforma a la que afecta, su importancia, la actualización necesaria, etc.
La importancia de mantener los sistemas actualizados a la última versión
Desde RedesZone siempre recomendamos mantener los sistemas actualizados a la última versión. Esto hay que aplicarlo no únicamente al propio sistema operativo, sino también a las diferentes aplicaciones que tengamos. Es una manera de contar con las últimas funciones y mejoras, pero también para prevenir posibles problemas de seguridad.
En ocasiones surgen vulnerabilidades y errores que son resueltos mediante parches y actualizaciones. Un ejemplo es el caso de Adobe que hemos mencionado en este artículo. Los propios fabricantes lanzan actualizaciones de seguridad para corregir estos fallos. De esta manera la seguridad de los usuarios no se ve comprometida y evitan así posibles problemas que pongan en riesgo el buen funcionamiento de los equipos.
Tener un equipo limpio y seguro no es exclusivo de contar con buenos programas y herramientas de seguridad. También entran en juego otros aspectos importantes como el sentido común o el buen uso que le demos. Pero sin duda tener un sistema actualizado ayuda y mucho a esa seguridad. Es una medida fundamental para evitar problemas mayores que puedan afectar al funcionamiento.
En definitiva, recomendamos a los usuarios de Adobe Acrobat y Adobe Reader que actualicen cuanto antes a la última versión. De esta manera podrán evitar fallos que comprometan su seguridad.
Fuente: Adobe

¿Usas gestores de contraseñas? Podrían facilitar ataques de phishing en el móvil

Los gestores de contraseñas para Android facilitan el phishingLos gestores de contraseñas para Android facilitan el phishing
Los gestores de contraseña se han convertido en una herramienta muy interesante para nuestro día a día. Es una realidad que cada vez almacenamos más claves. Tenemos más cuentas, más registros, más información que guardar. Además, si cumplimos con uno de los consejos básicos como es el contar con una contraseña distinta en cada caso, se antoja casi necesario tener un software de este tipo. Sin embargo hay que tener cuidado en cómo elegir. Hoy vamos a explicar cómo los gestores de contraseñas para Android pueden ser manipulados para beneficiar a los ataques de phishing. Ya vimos el riesgo de utilizar administradores de contraseñas en Android.
Algunos gestores de contraseñas de Android facilitan el phishing
Ya sabemos que los ataques de phishing son una de las amenazas más presentes hoy en día. Los ciberdelincuentes se basan en el engaño para conseguir las credenciales de la víctima. Puede llegar de diversas formas, aunque lo más común es a través de un correo electrónico o mensaje por redes sociales.
Ahora un grupo de investigadores ha demostrado que los administradores de contraseñas de Android pueden ser engañados. De esta manera podrían ayudar en ataques de phishing. Para ello probaron varios gestores de contraseñas como 1Password, Dashlane, Keeper, LastPass y Google Smart Lock. Sin duda algunos de los más populares. Descubrieron que todos ellos a excepción del último confiaban en un aplicación si tiene el nombre correcto del paquete de la misma.
Sin embargo, la cuestión es que esos nombres de paquetes pueden ser falsificados por atacantes. Eso sería suficiente para que el administrador de contraseñas sugiriera las credenciales en nombre del usuario.
Como podemos imaginar, esto hace que un posible ataque de phishing pueda llegar a ser realidad a través de un gestor de contraseñas. Los investigadores explican que estos gestores actúan de manera distinta a como lo hace un administrador de contraseñas web. Esto hace que, como hemos mencionado, puedan llegar a ser engañados y facilitar posibles ataques de phishing.
Cómo funciona
La manera en la que funciona es que un atacante podría iniciar un ataque de phishing de extremo a extremo al atraer a la víctima a visitar una página web maliciosa. Esa página podría contener una funcionalidad relacionada con una aplicación legítima. Por ejemplo Gmail. Si se hace clic se activa el mecanismo y el atacante podría falsificar el formulario de inicio de sesión y el administrador de contraseñas ofrecerá la posibilidad de rellenarlo automáticamente.
Los investigadores indican que hay soluciones al respecto. Una de ellas es crear una nueva API para corregir estas vulnerabilidades. En este caso no confiaría en los nombres de los paquetes, sino que debería verificar si el dominio que solicita las credenciales está asociado con la aplicación que se conecta.
Eso sí, para llevar a cabo esta propuesta se necesita del esfuerzo en común de los diferentes gestores de contraseñas. Esto hace que muchos de los principales administradores de contraseñas no sean todo lo seguros que deberían en este sentido.
Como hemos mencionado, Google Smart Lock no tiene este problema. Esto es así ya que no confía en una técnica totalmente automática.
Fuente: Help Net Security