25 de enero de 2018

Facebook facilita control de datos privados a usuarios ante nueva ley de la UE

Facebook simplificará a sus más de 2.000 millones de usuarios la gestión de sus propios datos como respuesta a una nueva y severa legislación de la Unión Europea que entra en vigor en mayo, dijo la directora de operaciones de la red social, Sheryl Sandberg.
El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es el mayor cambio a las normas de privacidad de los datos personales desde la aparición de internet y su objetivo es proporcionar a los europeos un mayor control de su información y de la forma en que las empresas la utilizan.
Las compañías que violen la legislación se enfrentarán a una multa de como máximo el 4 por ciento de su facturación global anual o 20 millones de euros (24.500 millones de dólares), lo que sea más elevado.
“Estamos desplegando un nuevo centro de privacidad a nivel global que colocará en un solo sitio los principales ajustes de privacidad de Facebook y facilitará a las personas la gestión de sus datos”, dijo el martes Sandberg en un evento de Facebook en Bruselas.
“Nuestras aplicaciones se han concentrado durante mucho tiempo en la transparencia y el control y esto nos otorga un muy buen sustento para cumplir todos los requisitos del GDPR y para impulsarnos a continuar invirtiendo en productos y herramientas didácticas para proteger la privacidad”, dijo Sandberg.
La nueva normativa de la UE afectará a todas las compañías que recogen grandes cantidades de información de clientes, desde empresas de tecnología hasta aseguradoras y bancos.
El uso de los datos de los clientes por parte de Facebook y su seguimiento de las actividades online de las personas ya ha sido investigado por parte de varias autoridades de protección de datos de la UE.
Sandberg dijo que Facebook no había hecho lo suficiente para detener el abuso de su plataforma y que para fin de año duplicaría a 20.000 la cantidad de empleados que trabajan en seguridad.
Fuente: Reuters

¿Spotify donando cuentas Premium?. ¿Última estafa online para robar datos personales e instalar malware?

Esta nueva campaña maliciosa lleva activa en España, y en otros países, desde ayer. Como vamos a poder ver en el tweet de la @Policía que enlazamos a continuación, esta estafa se está distribuyendo a través de WhatsApp, donde muchos han recibido mensajes como el siguiente en el que se informa de la donación de cuentas Premium gratuitas y facilita un enlace a través del cual podemos solicitarlas.
¿Spotify está donando…? ¿¿Donando?? Este va a la #Playlist de los timos más sonados. #Nopiques NO es @Spotify
Evita: robo de datos, malware, SMS Premium pic.twitter.com/2TUAoPqrhS
— Policía Nacional (@policia) January 24, 2018
Lo primero que nos debería llamar la atención de este enlace es que esa no es la dirección oficial de Spotify, sino que es “https://www.spotify.com/es/”. Además, Spotify nunca se ha caracterizado por regalar ni donar nada. Igual alguna vez nos ha dejado probar 3 meses a precio de uno, pero regalar no creo que nuestros oídos puedan escucharlo nunca.
La dirección URL de los piratas informáticos utiliza, por desgracia, un certificado HTTPS, por lo que muchos usuarios pueden llegar a pensar que se trata de una web legítima, a pesar de que en muchas ocasiones hemos explicado que no es así, que la S, hoy en día, solo indica que la conexión entre nuestro ordenador y el servidor web está cifrada, pero nada más.
Los piratas informáticos utilizan esta página web para hacerse con datos personales, y probablemente bancarios, de todas las víctimas que accedan a ella. Además, aprovechan para instalar aplicaciones maliciosas en los dispositivos de las víctimas, aplicaciones utilizadas para espiar su actividad y recopilar todo tipo de información de estos usuarios.
Otras estafas online están activas en España en estos momentos además de la de Spotify
Además de esta nueva estafa sobre las cuentas donadas de Spotify, los piratas informáticos están llevando a cabo otras estafas online similares a través de WhatsApp, como, por ejemplo, una campaña ofreciendo cupones de descuento en Ikea y otras con las que aseguran regalar vuelos con Ryanair, u ofrecerlos con un descuento que no podemos rechazar.
A estas debemos sumarlas las clásicas estafas de Netflix, por ejemplo, o de otras plataformas de vídeo online, en las que nos piden los datos bancarios a cambio de un tiempo de uso gratis de la plataforma, algo que, a la larga, termina saliendo mucho más caro que si hubiéramos pagado por el servicio.
Los usuarios parece que poco a poco van aprendiendo sobre estas estafas, tanto gracias a los medios especializados como a las cuentas de la Policía y la Guardia Civil en las redes sociales que están atentos a este tipo de hechos e informan en cuanto aparece uno de ellos para evitar que los usuarios caigan en estas estafas.
Así que ni Spotify está donando cuentas premium ni Ikea te regala 500 euros en muebles ni Ryanair te dejará viajar gratis. Mucho cuidado con todas estas estafas online.
Fuente: Redes Zone.net

COREA DEL SUR. Prohibirá que operadores de criptomonedas usen cuentas bancarias anónimas

Corea del Sur prohibirá el uso de cuentas bancarias anónimas en la negociación de criptomonedas desde el 30 de enero, dijeron el martes los reguladores, una decisión que se anticipaba y que está diseñado para evitar que las monedas virtuales sean usadas para el lavado de dinero y otros delitos.
La medida se suma a los esfuerzos de Seúl para moderar la obsesión de los surcoreanos con las criptomonedas.
Gran cantidad de personas, desde amas de casa hasta estudiantes universitarios y trabajadores de oficina, se han lanzado al mercado, pese a las advertencias de los responsables mundiales de política monetaria sobre la inversión en un activo que no tiene una supervisión de reguladores.
El precio de bitcoin en Corea del Sur ahondó sus pérdidas tras el anuncio del regulador, con una baja del 3,34 por ciento a 12.699 dólares a las 0409 GMT, según Bithumb, el segundo mayor mercado de divisas virtuales del país.
Bitcoin cayó casi un 20 por ciento la semana pasada a un mínimo de cuatro semanas en la bolsa de Bitstamp con sede en Luxemburgo, por las preocupaciones sobre una posible prohibición a la negociación de la moneda virtual en los mercados de Corea del Sur. El martes por la tarde subía un 5,4 por ciento 10.925 dólares.
Los responsables políticos de todo el mundo piden una regulación más estricta y coordinada del comercio de criptomonedas. El principal regulador financiero de Corea del Sur dijo la semana pasada que el gobierno podría considerar cerrar los mercados de moneda virtual nacional.
La presidencia de Corea del Sur ha aclarado que una prohibición absoluta de negociar monedas virtuales es solo uno de los pasos que se consideran y no una medida que se haya decidido.
“El gobierno aún está discutiendo internamente si se necesita o no una prohibición absoluta”, dijo un funcionario del gobierno que pidió no ser identificado después del informe del martes.
Fuente: Reuters

SIEMENS. Preparada para consolidación en sector de software industrial

La firma alemana Siemens se está preparando para una eventual consolidación de plataformas que compiten por brindar software industrial a las empresas, dijo un miembro de su directorio con responsabilidades en la división de fábrica digital.
Si bien las manufacturas potenciadas por medios digitales aún están en su infancia la competencia es feroz, como lo evidenció el fallido intento de Emerson Electric por comprar a Rockwell Automation por 29.000 millones de dólares el año pasado.
“Inicialmente hay un alto número de jugadores y con el tiempo se produce una consolidación”, dijo Klaus Helmrich en el lanzamiento de una organización de usuarios globales de la plataforma MindSphere de Siemens, que compite con Predix de General Electric y otros en la recolección de información de las máquinas de sus clientes.
“No creo que terminemos con una plataforma a nivel mundial. Habrá uno o dos puñados en un futuro a mediano o largo plazo”, dijo Helmrich, comparando la proliferación de las plataformas de software industrial con la industria de los teléfonos inteligentes, que ha sido dominada por Apple y Samsung.
MindSphere reúne datos de aparatos, luego los utiliza para ayudar a sus clientes a diseñar productos más rápido y optimizar procesos. El mes pasado, Siemens dijo que se asoció con Amazon Web Services (AWS), el proveedor más popular de servicios en nube.
Siemens ya tiene más de 800.000 sensores inteligentes en edificios y máquinas, incluidos trenes y equipamiento de salud, lo que la deja en una sólida posición, dijo Helmrich.
“Es una base sólida para el inicio del negocio y nos vuelve optimistas sobre los efectos a escala”, sostuvo, agregando que ser el primero que reúne una masa crítica de desarrolladores de software y usuarios es clave para obtener clientes, como la gran comunidad de desarrolladores de Apple convirtió a la App Store en la más atractiva.
Fuente: Reuters

APPLE. Lanza parlante HomePod para competir con Google y Amazon

Después de perderse la temporada clave de compras navideñas, Apple Inc. comenzó a ofrecer su parlante inteligente HomePod, un dispositivo que usará su asistente de voz Siri y competirá contra la oferta de Amazon.com Inc y Google de Alphabet Inc.
Apple dijo el martes que comenzará a recibir el viernes los pedidos de su altavoz inteligente HomePod en Estados Unidos, Reino Unido y Australia, poco más de un mes después de lo inicialemente planeado.
El parlante controlado por la voz, que costará 349 dólares, fue presentado en junio y su lanzamiento se programó originalmente para diciembre.
El dispositivo puede hacer sugerencias de música y ajustar la temperatura del hogar, además de enviar mensajes y reproducir noticias de National Public Radio y CNN, dijo Apple en un comunicado.
Amazon y Google bajaron los precios de sus parlantes más baratos durante la temporada de vacaciones en una agresiva táctica para captar cuota de mercado, según analistas.
Apple está intentando que Siri, su asistente por voz, siga siendo relevante frente a la competencia de Alexa de Amazon y Google Assistant de Alphabet, ambos disponibles en los parlantes de ambas compañías.
Apple también necesita HomePod para impulsar las suscripciones a Apple Music y bloquear el ascenso de su rival Spotify. Los parlantes inteligentes de Google y Amazon permiten a los usuarios controlar Spotify, pero Apple Music no funciona en los dispositivos rivales.
Trip Miller, socio gerente de Gullane Capital e inversor de Apple, dijo que le preocupa que Apple haya enfocado demasiado el HomePod en reproducir música con sonido de alta calidad. Su competencia, como Amazon Echo, puede usarse para más tareas como pedir pizza o llamar a un servicios de transporte.
Fuente: Reuters

ESPAÑA. Fin de ocultamiento de brechas de seguridad

La nueva ley de protección de datos exige a las compañías comunicar las violaciones de datos personales.
El articulado afecta directamente a la política de ciberseguridad de las empresas. Así, establece la obligación de comunicar las violaciones de seguridad a la Agencia Española de Protección de Datos en un plazo de 72 horas desde que la organización tiene conocimiento de la misma, salvo que no suponga un riesgo para los derechos y libertades de los interesados. Si esta violación supone un alto riesgo para los afectados, además debe comunicarlo a éstos directamente y sin dilación. La ley entiende como violación de la seguridad la que ocasione "la destrucción, pérdida o alteración accidental o ilícita de datos personales (...) o la comunicación o acceso no autorizados a dichos datos". Si no hay notificación, la empresa se expone a multas que pueden ascender a 20 millones de euros o el 4% de su facturación anual.
FINALIDAD
Según apunta Jesús Yañez, socio de Ecija, esta novedad en el ámbito de la comunicación de las violaciones de la seguridad tiene tres finalidades: ayudar a la coordinación de respuesta ante incidencias por parte de las autoridades, lograr mayor transparencia de cara a los particulares y aumentar la concienciación entre las empresas para implementar las medidas de seguridad necesarias.
"Vamos a asistir a una oleada de informaciones sobre brechas de seguridad en empresas europeas", opina Luis Corrons, director técnico del laboratorio de la empresa española de ciberseguridad Panda.
LA NUEVA LEY DE PROTECCIÓN DE DATOS Y LA CIBERSEGURIDAD
Seguridad de los datos. La legislación exige la comunicación de las violaciones de datos o brechas de seguridad salvo que no supongan un riesgo para los intereses y libertades de los interesados.
Celeridad. La comunicación a la Agencia de Protección de Datos se debe hacer en un plazo máximo de 72 horas.
Medidas. Las empresas deberían implantar un protocolo que detalle cómo actuar en estos casos y minimizar así el impacto económico y reputacional de una brecha.
Noticias que, hasta ahora, han protagonizado fundamentalmente empresas estadounidenses, que están obligadas legalmente a comunicar estos ciberataques, como ha ocurrido con los robos masivos de datos de clientes que han sufrido compañías como el servicio de Internet Yahoo!, el banco JPMorgan, la cibertienda eBay, la firma de solvencia crediticia Equifax, o la aseguradora Anthem.
EFECTO POSITIVO
"Vamos a ver una oleada de noticias sobre brechas de seguridad", opina Corrons, de Panda
Corrons apunta un efecto positivo de la nueva legislación al ayudar a generar una mayor cultura de seguridad. "Va a favorecer una mayor preocupación por la ciberseguridad por parte de empresas e instituciones. Es cierto que nadie está libre de ser víctima de un ciberataque, pero cuando no hay obligación de comunicarlo a los clientes afectados y a las autoridades, la preocupación puede ser menor ", opina este experto, quien considera que debido a la nueva normativa, las empresas destinarán "más recursos, presupuestos y atención a la ciberseguridad".
En esta línea, Daniel González, senior account manager de la empresa de soluciones de movilidad MobileIron, también considera que el nuevo reglamento se traducirá en un aumento de los recursos destinados a seguridad. "Ya estamos constatando que las empresas están dedicando más presupuesto a implementar herramientas que les ayudan con la gestión y la securización de todo tipo de dispositivos. El GDPR ayudará a que adopten soluciones de ciberseguridad de nueva generación para plataformas de movilidad y para detección de malware", opina González.
PROTOCOLO
Además de nuevas herramientas, las empresas deberían implantar un protocolo para manejar estos supuestos, puesto que la ley impone un marco temporal muy corto para comunicar las brechas y, además, puede ocurrir que éstas ocurran en los sistemas de los proveedores tecnológicos de una empresa. "Una regulación interna procedimentada es necesaria para cumplir plazos y, sobre todo, realizar una notificación coordinada que aminore riesgos económicos y reputacionales", apunta Yañez.
Fuente: Expansion.com

ONEPLUS. Confirma el robo de datos bancarios de 40.000 de sus clientes

Concretamente, se ha confirmado el robo de datos de aquellos usuarios que adquirieron un OnePlus 5T entre noviembre de 2017 y el pasado 11 de enero.
El Instituto Nacional de Ciberseguridad de España (Incibe) ha dicho este lunes que la compañía china OnePlus, fabricante de teléfonos móviles, ha confirmado en sus foros oficiales el robo de datos bancarios de 40.000 de sus clientes.
La confirmación surge una semana después de que se diera a conocer el ataque a sus sistemas y de que OnePlus suspendiera las compras con tarjetas de crédito en su web.
El problema radicaba en un código malicioso que se encontraba "escondido" en la página de pago de la web.
De esta forma, habrían obtenido de manera fraudulenta números de tarjetas de crédito y fechas de caducidad, así como los códigos de seguridad e información comprometida.
En concreto, se ha confirmado el robo de datos bancarios de aquellos usuarios que compraron un OnePlus 5T entre noviembre del pasado año y el 11 de enero de 2018.
En principio, los usuarios que pagaron a través de PayPal no se han visto afectados.
Actualmente, el servidor de OnePlus se encuentra en cuarentena y se está analizando en profundidad la situación.
Fuente: Expansion.com

ESPAÑA. Físico que podría revolucionar la industria solar

 La fundación BBVA ha galardonado a este andaluz con el premio al mejor investigador novel en física experimental por sus descubrimientos sobre el comportamiento de la luz en la 'perovskita'.
La perovskita, un material descubierto en los Montes Urales hace más de 120 años, podría revolucionar la industria solar al superar las limitaciones de coste y eficiencia de las actuales células fotovoltaicas. Después de muchos años pasando prácticamente desapercibido, el mineral ha adquirido una gran relevancia en los últimos tiempos. Hasta el punto de ser considerado por el Foro Económico Mundial como una de las diez tecnologías emergentes más destacadas de 2016.
Tomando la perovskita como base, grupos de investigadores de varias partes del mundo han logrado fabricar un nuevo tipo de célula solar, hecha de un material considerablemente más barato de obtener y usar que el silicio, y que se cree podría generar tanta energía como las células solares básicas actuales.
Hasta el momento, los científicos han estado divididos en dos bandos en su búsqueda de una energía solar más barata y accesible. "Había que elegir entre células solares de bajo coste, a costa de ser menos eficientes, o bien células solares más caras, como son las de silicio, y con las que se consigue una conversión muy alta", explica Gabriel Lozano, investigador postdoctoral en el Instituto de Ciencia de Materiales de Sevilla (ICMS), dependiente del Consejo Superior de Investigaciones Científicas (CSIC).
Lozano ha sido galardonado con el premio al Mejor Investigador Novel en Física Experimental, que conceden la Real Sociedad Española de Física (RSEF) y la Fundación BBVA. En 2016, este andaluz recibió una de las prestigiosas becas Starting Grants que el Consejo Europeo de Investigación (ERC) otorga a investigadores que, estando en los inicios de su carrera, han sobresalido ya por una producción científica excelente. Lo innovador del trabajo de Lozano, a juicio de los miembros del jurado, estriba en haber desarrollado el primer modelo que describe cómo se propaga la luz a través de la perovskita. "Entender cómo este tipo de materiales interaccionan con la luz solar nos permite hacer un uso mucho más efectivo de la energía", afirma.
¿SUSTITUIRÁ AL SILICIO?
"Materiales como la perovskita han atraído la atención de gran parte de la comunidad científica porque han roto con un paradigma que llevaba mucho tiempo establecido", opina Lozano. Si bien en el corto plazo es complicado que la perovskita desplace al silicio como base tecnológica para los paneles fotovoltaicos, en la combinación de ambos materiales podría estar el futuro de esta energía limpia.
Se calcula que añadir 'perovskita' a una célula solar podría incrementar su eficiencia un 25%
"La tecnología fotovoltaica del silicio se lleva desarrollando veinte años y va a ser muy complicada de sustituir", reconoce Lozano, que añade: "Donde sí parece que hay consenso es en las posibilidades comerciales de combinar la perovskita con el silicio". Así, bastaría con pintar los paneles que se utilizan hoy en día con perovskita para obtener células solares un 25% más eficientes que las actuales.
En otras palabras, gracias a este mineral, de cada 100 vatios de energía que la placa solar capta del sol, prácticamente la mitad se convertiría en electricidad. La eficiencia -el desperdicio de luz natural de los paneles- es, junto al almacenamiento de la energía, uno de los grandes retos que afronta la industria solar.
Fuente: Expansion.com

EVRIAL. Troyano con capacidad para manipular tu portapapeles

Evrial es un troyano diseñado para el robo de información en sistemas Windows. Como muchos otros tiene la capacidad de robar cookies y credenciales, pero la particularidad de esta nueva familia es que además puede acceder y manipular el portapapeles, pudiendo "secuestrar" transferencias de criptomonedas y redirigirlas a la cartera del atacante.
Descubierto por los investigadores @malwrhunterteam y @0x7fff9, Evrial se anunciaba en foros por un precio que ronda los 25 dólares.
Cuando se realiza el pago, el comprador recibe acceso a un panel web que permite al atacante configurar y compilar el ejecutable y recibir la información que recopila de las víctimas.
 Como comentábamos antes, Evrial tiene la capacidad de poder controlar el portapapeles de Windows, lo que permite detectar direcciones de carteras de bitcoin y reemplazarlas por una dirección arbitraria.
Además de esto también Evrial también tiene capacidad para:
·        Robar contraseñas almacenadas en el navegador
·        Robar ficheros 'wallet.dat'
·        Robar credenciales de Pidgin y FileZilla
·        Robar cookies y otros documentos del escritorio
·        Hacer capturas de pantalla
IOCS
Más información:
Fuente: Hispasec

EXOBOT. El autor del troyano vende el código fuente

Exobot es un troyano bancario para dispositivos Android. Cuando se conoció, se le dio el nombre de Marcher sin embargo ciertas características lo hacían distinguirse de él, entre ellas el ser capaz de renderizar overlays en versiones 6.0 de Android. Incluso el autor, lo quiso distinguir de Marcher llamándolo Exobot.
Por lo general, este troyano se distribuía a través de markets externos y enlaces de phishing, además de SMS a través de las víctimas infectadas. Una vez la víctima estaba comprometida, el atacante podía interceptar los SMS de validación del banco y renderizar overlays sobre las aplicaciones objetivo.
El autor de Exobot lo alquilaba a los atacantes, los cuales nunca tenían acceso al código fuente. Para generar los troyanos, utilizaban un panel web donde podían configurar el troyano y estos debían ingeniárselas por su cuenta para infectar a las víctimas. Este ecosistema se ha dilatado a lo largo del tiempo, por lo que muy probablemente fuese un buen negocio para el autor.
Sin embargo, recientemente el autor ha decidido cerrar el negocio de alquiler para pasar a vender el código fuente a un pequeño grupo de usuarios. Esto puede significar que el autor ha generado el suficiente dinero como para continuar arriesgando, o ha suscitado el interés de los organismos de la ley para ser investigado.
De momento, el código no ha sido filtrado pero se teme que acabe ocurriendo como con otros anteriores como MazarBot o Bankbot, los cuales han sido liberados al público para crear diferentes variantes con mejoras añadidas, y además haciéndolas accesibles a otros usuarios menos experimentados que quieran introducirse en la creación de este tipo de artefactos.
Tras la venta de este troyano, pronto se comenzaron a detectar nuevas campañas haciendo uso de este. Por tanto, podemos observar una clara relación entre su venta y el aumento de objetivos.
Para prevenir este tipo de infecciones, es ideal no descargar aplicaciones de markets externos, además de mantener las soluciones antivirus actualizadas. Por ejemplo, las aplicaciones infectadas que existan en el market de Google serán eliminadas automáticamente a través de Google Play Protect.
Más información:
Fuente: Hispasec

VULNERABILIDAD. Permitiría borrado aleatorio de ficheros y carpetas en Seagate Media Server

Un error en Seagate Media Server podría permitir la eliminación de contenido aleatorio por parte de usuarios sin autenticar.
Seagate Personal Cloud es una gama de dispositivos de almacenamiento conectado a la red (más conocidos como NAS, del inglés Network-Attached Storage) destinado a uso personal. Para permitir a los usuarios acceder fácilmente al contenido (películas, música, fotos, documentos, etc.) se incluye la aplicación Seagate Media Server. Además se posibilita el acceso a usuarios anónimos (sin autenticación) que, de manera predeterminada, pueden cargar ficheros en una carpeta pública del sistema.
La vulnerabilidad es debida a una falta de validación en la aplicación Seagate Media Server. Esta utiliza el framework Django y se han mapeado las extensiones 'psp' para que cualquier URL que termine con ella sea automáticamente procesado por la aplicación. Entre otras, las vistas 'delete' hacen uso de las extensiones ‘psp’, y además son accesibles por parte de cualquier usuario no autenticado.
Para aumentar la gravedad del asunto, Media Server se ejecuta con privilegios de root, por lo que prácticamente cualquier elemento del sistema de archivos podría verse afectado.
Además la aplicación carece de protección contra ataques CSRF y es accesible a través del dominio 'personalcloud.local', por lo que sería posible aprovechar este problema a través de un sitio web malicioso sin que sea necesario acceder directamente al NAS.
Se ha corroborado el error en dispositivos con el firmware 4.3.16.0, aunque otras versiones podrían verse afectadas también. Seagate ha liberado la versión 4.3.18.0 del firmware que corrige este problema.
Según Seagate "Personal Cloud es un lugar extraordinario y seguro donde puede cargar y almacenar toda su música y sus películas favoritas junto con las fotos de toda una vida. Todo", sin embargo para evitar la posibilidad de sufrir la pérdida de contenido es recomendable aplicar las actualizaciones disponibles.
Más información:
Fuente: Hispasec

Vulnerabilidades en routers ASUS

Se han dado a conocer múltiples vulnerabilidades en el firmware ASUSWRT de routers ASUS que podrían permitir adivinar el token de sesión, eludir restricciones de seguridad, obtener los credenciales del administrador y ejecutar código arbitrario sin necesidad de autenticación.
En total se trata de cuatro vulnerabilidades diferentes que explicaremos a continuación:
  • CVE-2017-15654: Tokens de sesión predecibles.- La primera de las vulnerabilidades se encuentra en la implementación de la función que genera el token de sesión para un usuario autenticado, que usa la función 'rand' para generar números aleatorios usando como semilla el reloj del dispositivo. Esto podría permitir a un atacante adivinar un token sabiendo aproximadamente el momento en el administrador ha iniciado sesión.Para poder aprovechar esta vulnerabilidad es necesaria la interacción del administrador del dispositivo (debe iniciar una sesión en el router).
  • CVE-2017-15653: Validación insuficiente de la dirección IP de usuario autenticado.- El segundo de los problemas de seguridad consiste en la de falta de validación de la dirección IP del usuario autenticado cuando existe un token de sesión (es posible obtenerlo explotando la vulnerabilidad anterior y engañando al administrador para que inicie sesión). Esto podría permitir evitar restricciones de seguridad usando el token de sesión y un user-agent especial 'asusrouter-asusrouter-asusrouter-asusrouter'.
  • CVE-2017-15656: Contraseñas almacenadas en texto plano.- Una tercera vulnerabilidad es debida al almacenamiento de las contraseñas en texto plano en la memoria NVRAM del dispositivo. Lo que permitiría obtener las credenciales del administrador ejecutando el comando 'nvram show' desde una sesión telnet o descargando un fichero con un volcado del contenido de la memoria y decodificándolo (ver la siguiente vulnerabilidad CVE-2017-15655). Este fallo no ha sido solucionado por el momento. ASUS ha declarado que lanzará una actualización de ASUSWRT en febrero de este año en la que la NVRAM estará cifrada.
  • CVE-2017-15655: Desbordamientos de memoria en el servidor HTTPd.- Existen múltiples desbordamientos de memoria en cabeceras HTTP (como por ejemplo 'host') que podrían ser aprovechados por un usuario no autenticado para ejecutar código remoto con permisos de administrador. Este código se ejecutaría cuando el administrador visita determinadas páginas de la interfaz del router (por ejemplo, la pestaña de herramientas de red).
  • Por último, existe una funcionalidad que permite a un usuario no autenticado obtener información sobre las sesiones actuales (si hay alguien conectado, quién es y su dirección IP). Esto, aun sin ser una vulnerabilidad, permitiría una explotación más fácil de los puntos anteriores.
Para terminar, Blazej Adamczyk alias 'br0x', el investigador de seguridad que descubrió estas vulnerabilidades ha liberado un exploit que las aprovecha para obtener un token válido y extraer las credenciales de acceso al dispositivo.
Estas vulnerabilidades fueron reportadas a ASUS en Septiembre de 2017 y han sido corregidas (excepto CVE-2017-15656) en la versión 3.0.0.4.382.18495 de ASUSWRT, aunque no se habían hecho públicas hasta el momento para permitir una ventana temporal para la la actualización de los dispositivos. Sin embargo existen routers afectados que se encuentran fuera de su ciclo de vida y no recibirán las actualizaciones de firmware necesarias (por ejemplo, los modelos RT-N65R y RT-N65U). En esos casos se recomienda restringir a la LAN el acceso a la administración del dispositivo.
Más información:
Fuente: Hispasec

Nueva variante de Satori ataca a software de minado de criptodivisas

En esta ocasión la botnet busca equipos con el software de minado Claymore para aprovechar una vulnerabilidad en el panel de gestión y cambiar el monedero asociado al del propio atacante.
Hace un mes hablábamos de Satori, una variante de la botnet Mirai que, a diferencia de esta, utilizaba vulnerabilidades en routers Huawei y otros dispositivos para extenderse. Los centros de control de la red zombie, en un esfuerzo conjunto de varios ISPs, fueron cerrados a mediados del pasado diciembre.
Sin embargo, la firma de seguridad Netlab.360 ha detectado un aumento de actividad similar a la de esta botnet, con el mismo esquema de ataque y nuevos servidores C&C. La diferencia es que esta vez sus objetivos no son solo los dispositivos de red e IoT.
Esta nueva variante, bautizada como Satori.Coin.Robber, busca en la red equipos con el puerto 3333 abierto, que es utilizado por el software de minado de criptodivisas Claymore como acceso de gestión remota. Utilizando una vulnerabilidad en el panel, el malware cambia el pool de minado y el monedero al del atacante, en este caso:
  • Pool: eth-us2.dwarfpool.com:8008
  • Monedero: 0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d
Además, muy educadamente, el atacante deja un mensaje tranquilizador a la víctima:
Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net
Así, el atacante ha podido ya obtener ya dos monedas Ethereum, con un valor de más de 2.000 dólares al cambio actual.
Aunque existen vulnerabilidades conocidas para Claymore que ya están solucionadas (CVE-2017-16929, por ejemplo), la botnet explota las versiones que por defecto no requieren contraseña para su administración, que es la configuración por defecto.
Más información:
Fuente: Hispasec

BIOMEDICINA. Análisis de sangre detecta casi el 100% de los cánceres de ovario

Una nueva biopsia líquida, la tecnología que busca señales cancerígenas en la sangre antes de que haya síntomas, ha demostrado una alta eficacia para identificar varios tipos de cáncer y su bajo coste cercano a 400 euros podría convertirla en una prueba médica rutinaria
Una prueba muy fácil de administrar y capaz de indicar si un paciente presenta un tumor oculto, e incluso donde se encuentra dentro del cuerpo, está cada vez más cerca de hacerse realidad y podría costar cerca de 400 euros.
Es test, desarrollado en la Universidad de Johns Hopkins (EE. UU.), busca las señales de ocho tipos comunes de cáncer. Para ello, solo hace falta una muestra de sangre, y dado su bajo precio, podría convertirse en parte de las pruebas rutinarias que los médicos realizan en un examen físico.
El investigador del centro Nickolas Papadopoulos, quien ha colaborado en la creación del nuevo test sanguíneo, afirma: "La idea es que esta prueba llegue al público y pueda administrarse en cualquier centro médico. Por eso necesita ser barato y no invasivo".
Aunque aún no está disponible comercialmente, se usará para analizar a 50.000 mujeres en edad de jubilación sin antecedentes de cáncer, como parte de un estudio a cinco años financiado con más de 40 millones de euros por la aseguradora Geisinger Health System, según un portavoz de la compañía.
La prueba, que fue descrita la semana pasada en la revista Science, podría convertirse en un gran avance en el sector de las biopsias líquidas (ver La sangre contiene la clave del diagnóstico precoz del cáncer). El objetivo de esta nueva tecnología consiste en detectar el cáncer en la sangre antes de que una persona empiece a notar cualquier síntoma. Sería algo muy útil, ya que los cánceres en etapa inicial que no se han propagado suelen tener muchas probabilidades de curarse.
Ya hay varias empresas que llevan tiempo invirtiendo en la idea de las biopsias líquidas. La start-up, Grail Bio, ha recaudado casi 1.000 millones de euros para desarrollar una prueba de sangre única capaz de detectar muchos tipos de cáncer (ver Una única prueba para detectar el cáncer en la sangre aspira a salvar millones de vidas).
En el caso del test de Universidad de Johns Hopkins, los investigadores examinaron la sangre de 1.005 personas con cáncer de ovario, hígado, estómago, páncreas, esófago, colon, pulmón y mama previamente diagnosticado. El objetivo es buscar una combinación de ocho proteínas cancerígenas y 16 mutaciones genéticas relacionadas con el cáncer.
Los resultados previos demuestran que el test es especialmente eficaz en su detección del cáncer de ovario, ya que identificó los casos el 98 % de las veces. También detectó correctamente un tercio de los casos de cáncer de mama y alrededor del 70 % de las voluntarias con cáncer de páncreas, el cual tiene una perspectiva particularmente sombría.
Los falsos positivos fueron relativamente bajos, y solo se dieron en siete de las 812 personas aparentemente sanas que participaron en la prueba.
Además, los investigadores entrenaron un algoritmo de aprendizaje automático para determinar la ubicación del tumor de una persona a partir de las señales presentes en su sangre. El algoritmo acertó el 83 %  de las veces.
El subdirector médico de la Sociedad Americana contra el Cáncer, Len Lichtenfeld, afirma: "Creo que con el tiempo llegaremos vamos a llegar a un punto en el que seremos capaces de detectar el cáncer antes de que sea visible". Aunque el experto advierte de que las pruebas de detección pueden causar más perjuicios que beneficios cuando generan falsas alarmas o los médicos se deciden a tratar cánceres de crecimiento lento que tal vez nunca llegarían a provocar daños en el paciente.
Fuente: MIT Technology Review

MAPAS HD. Podrían ser el gran negocio del siglo, según Baidu

Para el Google chino, la tarea de crear y vender los mapas en alta definición necesarios para masificar la conducción autónoma podría convertirse en su línea principal de ingresos y superar a su actual trabajo con las búsquedas web
Baidu, el buscador online por excelencia de China, podría llegar algún día a tener un negocio aún mayor: crear los detallados mapas de alta definición (HD) necesarios para que los coches autónomos circulen de manera segura.
La empresa considera que, a la larga, los mapas HD serán un “negocio mucho mayor” que el actual negocio del buscador Baidu, según el director de operaciones de la compañía, Qi Lu, en una charla con un pequeño grupo de periodistas en la conferencia anual de tecnología de consumo CES en Las Vegas (EE. UU.) celebrada este mes.
Los mapas HD son una parte vital del puzle de la conducción autónoma, ya que ayudan a los coches autónomos a conocer todo tipo de información sobre el mundo que los rodea. Para crearlos, es necesario circular por las calles con coches llenos de sensores que recopilan información sobre aspectos como la ubicación del semáforo, los carriles y otras características importantes.
China vendió alrededor de 25 millones de coches nuevos el año pasado, por lo tanto, el mercado potencial para coches, camiones y otros vehículos sin conductor es enorme. Estos sistemas de transporte podrían ayudar a reducir el tráfico y mejorar la seguridad en las carreteras (ver Un solo coche autónomo sirve para reducir los atascos fantasma).
Baidu también convertirá la venta de mapas de alta definición en uno de sus servicios clave, dijo Lu. Entre sus clientes estarían los fabricantes de coches, quienes deberán decidir si cobrar una tarifa por el servicio de mapas o incluirlo en el coste final del vehículo.
La empresa también ha anunciado que va a asociarse con la empresa TomTom para integrar sus mapas HD en su software de vehículo autónomo Apollo. Baidu, que solamente lleva trabajando en coches autónomos desde hace unos cinco años (mucho menos tiempo que, por ejemplo,Waymo de Google), está utilizando un enfoque de código abierto con Apollo, y ya cuenta con 90 empresas asociadas, entre ellas, Ford y Nvidia. Espera que estas empresas compartan con Baidu los datos que obtengan para poder utilizarlos para mejorar su inteligencia artificial.
Otras empresas, como el fabricante de chips Intel, también están trabajando en mapas de alta definición para vehículos autónomos. Sin embargo, parece que Baidu domina en China, al menos, y Lu hizo hincapié en la rbuena elación de Baidu con los gobiernos municipales del país y otras entidades en China para ayudar a que los coches autónomos sean bien recibidos.
El responsable matizó: "No es que nos vayamos a convertir en un estándar nacional". A la empresa no le resultará fácil producir los datos necesarios para que los coches autónomos conduzcan de manera segura por las calles. Recolectar los datos de las carreteras lleva tiempo y debe hacerse constantemente para estar al día con los cambios que se van haciendo en las mismas.
Fuente: MIT Technology Review

Múltiples vulnerabilidades en VMware vSphere Data Protection

Se han identificado tres vulnerabilidades críticas en VMware vSphere Data Protection que pueden ser aprovechadas por un atacante remoto para realizar acciones no autorizadas, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
  • vSphere Data Protection (VDP) de las versiones 6.1.x, 6.0.x y 5.x
Recomendación
VMware ha publicado diferentes parches para corregir los fallos:
Detalle de vulnerabilidades
A continuación se indican las vulnerabilidades identificadas:
Evasión de autenticación: Un usuario remoto, de forma malintencionada, podría evitar autenticarse en la aplicación y obtener acceso como usuario con máximos privilegios a los sistemas afectados. Para esta vulnerabilidad se ha asignado el CVE-2017-15548.
Subida de ficheros: Un usuario remoto con bajos privilegios, de forma malintencionada, podría subir ficheros en cualquier ubicación del sistema de archivos del servidor. Para esta vulnerabilidad se ha asignado el CVE-2017-15549.
Salto de directorio: Un usuario remoto con bajos privilegios, de forma malintencionada, podría acceder a archivos arbitrarios en el sistema de archivos del servidor. Para esta vulnerabilidad se ha asignado el CVE-2017-15550.
Más información
Fuente:INCIBE

Vulnerabilidad en glibc que afecta a Intel Manycore Platform Software Stack - Intel MPSS

Una vulnerabilidad en la librería glibc de Intel® Manycore Platform Software Stack (MPSS) para Linux y Windows permite realizar una denegación de servicio, catalogada de Importancia: 4 - Alta
Recursos afectados:
  • Intel Manycore Platform Software Stack (MPSS) para Linux y Windows versión 3.8
Recomendación
Detalle de vulnerabilidad:
La librería GNU C es vulnerable a una denegación de servicio debido a una perdida de memoria en la función the __res_vinit en el código de administración del servidor de nombres IPV6. Un atacante remoto podría aprovechar esta vulnerabilidad para consumir todos los recuroso de memoria disponibles, realizandondo una inicialización parcial de estructuras de datos.
Más información
·        Vulnerability in glibc affects Intel Manycore Platform Software Stack (Intel® MPSS) for Linux and Windows (CVE-2016-5417) https://www.ibm.com/support/home/docdisplay?lndocid=migr-5099740
Fuente:INCIBE

Múltiples vulnerabilidades en productos con WPA y WPA2 de Cisco

Se han identificado múltiples vulnerabilidades en varios productos wireless de Cisco, catalogadas de Importancia: 3 - Media
Recursos afectados:
El listado de productos Cisco afectados por una o más vulnerabilidades se han categorizado de la siguiente manera:
  1. Clientes punto final y Clientes software
  2. Routing y Switching - Empresa y proveedor de servicio
  3. Dispositivos de comunicaciones de voz y unificadas
  4. Wireless
El listado completo de productos puede verse directamente en el apartado "Vulnerable Products" del aviso de seguridad de Cisco desde:
Recomendación
Cisco proporciona salvaguardas y parches para los productos afectados. Comprobar la medida aplicable en cada caso consultando el Aviso de Seguridad de Cisco.
Detalle de vulnerabilidades:
El 16 de octubre de 2017, un documento de investigación con el título "Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2", conocido como KRACK Attacks, se puso a disposición del público. Este documento analiza siete vulnerabilidades que afectan a la negociación de claves de sesión tanto en el protocolo de acceso protegido Wi-Fi (WPA) como en el protocolo Wi-Fi Protected Access II (WPA2). Estas vulnerabilidades pueden permitir la reinstalación de una clave transitoria por pares, una clave de grupo o una clave de integridad en un cliente inalámbrico o en un punto de acceso inalámbrico.
La investigación también condujo al descubrimiento de tres vulnerabilidades adicionales (que no se discutieron en el documento original) que afectan a dispositivos inalámbricos compatibles con el estándar 802.11z (Extensiones a Direct Link Setup) o el estándar 802.11v (Wireless Network Management). Las tres vulnerabilidades adicionales también podrían permitir la reinstalación de una clave por pares, clave de grupo o clave de grupo de integridad.
Entre estas diez vulnerabilidades, solo una (CVE-2017-13082) puede afectar los componentes de la infraestructura inalámbrica (por ejemplo, Puntos de acceso), mientras que las otras nueve vulnerabilidades pueden afectar solo a los dispositivos del cliente.
Varios productos inalámbricos de Cisco se ven afectados por estas vulnerabilidades.
Cisco proporciona salvaguardas para las vulnerabilidades CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081 y CVE-2017-13082 y lanzará actualizaciones para corregir el software afectado. Los detalles específicos según el producto pueden comprobarse en el enlace proporicando en el apartado "Solución".
Más información
Fuente:INCIBE