17 de abril de 2019

ESPAÑA. Las Elecciones Generales de 2019 y el Voto reptiliano

Como si de una Final Four se tratase, las formaciones veteranas (PSOE y PP) afrontan esta campaña con más calma que las nuevas (Ciudadanos y Podemos). Pero el 28 de abril, las cuatro grandes marcas políticas se juegan la temporada. Y sus líderes, el puesto de entrenador en unos banquillos explosivos, llenos de rebeldes sustitutos.
Capítulo aparte merece Vox, que no sabemos si será el Leicester (recien ascendido a la premier league y que salió campeón) o el Alcoyano (del que se decía aquello de tener más moral que él susodicho).
Podemos y Ciudadanos ya no tienen la inocencia de los novatos.
Han jugado varias temporadas en primera división y se espera que actúen con solvencia. Sufren mucha presión mediática, pero siguen teniendo poca experiencia. Una combinación que hace que les tiemblen las piernas en momentos críticos.
Renqueantes en las encuestas, ni Podemos ni Ciudadanos aspiran a ganar sus correspondientes semifinales por la hegemonía de la izquierda y la derecha. Han renunciado a hacer el sorpasso al PSOE y PP, respectivamente.
Descartada la victoria, su objetivo es ahora perder por la mínima.
En lugar de maximizar el número de votos, tratando de pescar electores tanto en el centro como en los extremos, ahora prefieren minimizar pérdidas.
Podemos y Ciudadanos no buscan convencer a los indecisos, sino retener a los convencidos, a quienes ya votaron a Iglesias y Rivera.
Es ahí donde entra en juego la psicología.
 Para persuadir a alguien de hacer lo que nunca ha hecho, como tomar una carretera nueva o votar a otro partido en unas elecciones, se debe activar lo que Daniel Kahneman llama el Sistema 2, que es la parte del cerebro que piensa despacio. Y para ello se debe elaborar un discurso que dialogue con la parte lógica y consciente del elector, presentando los beneficios de votar a tu partido y los costes de votar al de tus rivales.
Pero, para recorrer el camino contrario, es decir, el que hemos transitado muchas veces o de forma análoga, votar al mismo partido o al menos con ideología similar aunque más extremista, a nuestro cerebro, que es vago por naturaleza, le basta con encender el Sistema 1: el mecanismo que piensa de forma rápida y automática. Es el instinto reptiliano, que no demanda un mensaje racional y original, sino emocional y estereotipado.
Lo vemos en esta campaña, sobre todo, aunque no exclusivamente, en Podemos, PP, Ciudadanos o Vox. Fuera las sutilezas que intenten seducir al neocórtex y adentro las ideas simples que exciten el sistema límbico: ¡LEVANTAOS, VÍCTIMAS! (ya sea de los poderes fácticos, del traidor Sánchez, o de golpistas, terroristas, abortistas y emigrantes, todos ellos contrarios a la religión católica, los toros, la caza, la hípica y a no sé cuantas cosas más).
En conclusión
En estas elecciones, como en el mundo de los reptiles, no se trata de ganar, sino de sobrevivir.
Fuente: El Pais.com

El gasto mundial en TI crecerá un 1,1 por ciento en 2019

Se prevé que el gasto mundial en TI ascenderá a 3,79 billones de dólares en 2019, lo que representa un aumento del 1,1 por ciento con respecto a 2018, según el pronóstico más reciente de Gartner, Inc.
 “Los contratiempos de divisas originados por el fortalecimiento del dólar estadounidense nos han llevado a revisar a la baja nuestra previsión de gastos en TI para 2019 con respecto al trimestre anterior”, dijo John-David Lovelock, vicepresidente de investigación de Gartner. “Durante el resto del año 2019, se espera que el dólar estadounidense siga una tendencia alcista, a la vez que soporta una enorme volatilidad debido a la incertidumbre del entorno económico y político y a las guerras comerciales.
“En 2019, los gerentes de productos de tecnología tendrán que ser más estratégicos en torno a su cartera de productos, equilibrando los productos y servicios que registrarán un crecimiento en 2019 con aquellos mercados más grandes que tenderán a la baja”, dijo Lovelock. “Los gerentes de producto exitosos en 2020 tendrán una visión a largo plazo de los cambios realizados en 2019.”
El segmento de los sistemas de centros de datos experimentará el mayor declive en 2019, con una disminución del 2,8%. Esto se debe principalmente a los menores precios de venta promedio esperados en el mercado de servidores, impulsados por los ajustes esperados en el patrón de los costos de los componentes.
El cambio en el gasto de TI corporativo, que ha pasado de las ofertas tradicionales (no basadas en la nube) a nuevas alternativas basadas en la nube, sigue impulsando el crecimiento del mercado de software empresarial. En 2019, se prevé que el mercado alcance los 427.000 millones de dólares, lo que representa un aumento del 7,1% con respecto a los 399.000 millones de dólares de 2018. El mayor cambio en el segmento cloud se ha producido hasta ahora en el software de aplicaciones. Sin embargo, Gartner espera un mayor crecimiento para el segmento de software de infraestructura en el corto plazo, particularmente en la plataforma de integración como servicio (iPaaS) y la plataforma de aplicaciones como servicio (aPaaS).
“Las decisiones que toman los directores de sistemas informáticos sobre las inversiones en tecnología son esenciales para el éxito de los negocios digitales. Las tecnologías emergentes perturbadoras, como la inteligencia artificial (IA), reformarán los modelos de negocio, así como la economía de las empresas públicas y privadas. La IA está teniendo un efecto importante en el gasto en TI, aunque su papel es a menudo malinterpretado”, dijo Lovelock. “La IA no es un producto, es realmente un conjunto de técnicas o una disciplina de ingeniería informática. Como tal, la IA se está incorporando en muchos productos y servicios existentes, además de ser fundamental para los nuevos esfuerzos de desarrollo en cada industria. El pronóstico del valor comercial de la IA de Gartner indica que las organizaciones recibirán beneficios por valor de 1,9 billones de dólares sólo este año”.
Un análisis más detallado sobre las perspectivas de la industria de TI está disponible en el seminario virtual gratuito, (que requiere registro) denominado  “IT Spending Forecast, 1Q19 Update: AI – Use it, Build it or Sell it” (https://www.gartner.com/en/webinars/12001/it-spending-forecast-1q19-update-ai-use-it-build-it-or-sell-it )
Fuente: Diarioti.com

TAJMAHAL. Detectado un nuevo APT Framework tras pasar 5 años desapercibido

Este framework, modular y de gran complejidad, habría estado en funcionamiento al menos desde 2014
Investigadores han revelado el descubrimiento de un nuevo tipo de ‘APT Framework’ al que han nombrado como Taj Mahal, el monumento funerario ubicado en la ciudad de Agra, India. Esta nueva herramienta, tras conseguir acceder al ordenador de la víctima de una forma que todavía no ha sido esclarecida, divide su ataque en 2 paquetes con módulos y herramientas para la infección y lograr los objetivos deseados.
El primer paquete, denominado Tokio, contiene 3 módulos, backdoors, scripts de powerShell y servidores C&C. Incluye todas las herramientas necesarias para asegurar la infección de la máquina. Este paquete continúa en el equipo de la víctima como un backup por si el segundo paquete fuese eliminado.
El segundo paquete, Yokohama, es el encargado de obtener el resultado deseado del ataque. Incluye hasta 80 módulos almacenados en una unidad virtual cifrada, además de plugins, bibliotecas, archivos de configuración y más. Entre los módulos disponibles se encuentran herramientas de registro de pulsaciones de teclado, sustracción de cookies y datos (incluyendo backups de dispositivos Apple), captura de pantalla al utilizar aplicaciones VoIP, robo de información en CDs grabados, ficheros recurrentes utilizados en pendrives, documentos mandados a imprimir, etc.
Aunque existían indicios desde 2013 de la existencia de TajMahal, no fue hasta abril de 2014 que pudo confirmarse en el equipo de una víctima. Ha sido en otoño de 2018 que por fin ha podido descubrirse más al respecto. Sólo existe una víctima conocida de momento, una entidad diplomática de Asia Central, aunque podrían haber más casos de los que todavía no se ha dado constancia.
Más información
·        Project TajMahal – a sophisticated new APT framework https://securelist.com/project-tajmahal/90240/
Fuente: Hispasec

WINDOWS 10. Descubierto 0-day

Investigadores de Kaspersky han descubierto una vulnerabilidad 0-day en Windows 10, la cual ha sido catalogada con el ID CVE-2019-0859.
¿En qué consiste esta vulnerabilidad?
Se trata de un fallo de tipo Use-After-Free en la función del sistema que se encarga de las ventanas de diálogo. El patrón del exploit, descubierto en activo, se dirigía a los sistemas operativos de 64 bits (siendo estos los más estandarizados del mercado) desde Windows 7 hasta los últimos Windows 10.
La explotación de la vulnerabilidad comentada permite descargar y ejecutar un script malicioso que, en el peor de los casos, se hace con el control total del ordenador afectado.
Análisis del caso:
En el ejemplo analizado por los laboratorios de Kaspersky el exploit ejecutó Powershell con un comando codificado en base64. El objetivo principal fue descargar una secuencia de comandos adicionales desde https://pastebin.com/ para ejecutar la siguiente etapa de la explotación.
Script Powershell de la última étapa de explotación
El último script en Powershell es muy simple y hace lo siguiente:
– Desempaqueta shellcode.
– Asigna memoria ejecutable.
– Copia shellcode a la memoria asignada.
– Llama a CreateThread para ejecutar shellcode
Shellcode
El objetivo principal del shellcode es hacer una shell inversa vía HTTP, lo que ayuda al atacante a ganar control total sobre el sistema de la víctima.
¿Cómo puedo defenderme ante esta vulnerabilidad?
Afortunadamente los mismos investigadores que descubrieron este fallo advirtieron a Microsoft que lanzó un parche el pasado 10 de abril. Por lo que para estar seguro, actualiza tu sistema a la última versión.
Más información:
Fuente: Hispasec

Wi-Fi. Detectan fallos en el nuevo estándar WPA3 que le hacen vulnerable a ataques por diccionario, filtrado de contraseña y denegación de servicio.

Desde la presentación del protocolo WPA3 como sucesor del inseguro WPA2, hace apenas un año, el equipo de Dragonblood ya ha encontrado varios errores en el nuevo protocolo que permiten recuperar información encriptada, como la clave de red, contraseñas o chats, entre otros.
El equipo explica incluso cómo las vulnerabilidades van más allá de factores criptológicos, siendo posible, entre otras cosas, suplantar a un usuario legítimo y acceder a su red inalámbrica sin la necesidad de conocer su contraseña.
En la publicación de Dragonblood, equipo que colabora con la Wifi Alliance y la CERT/CC, notificando a los proveedores que emplean la tecnología asociada a WPA3, se describen, fundamentalmente, dos categorías bajo las cuales encuadrar las vulnerabilidades detectadas. En primer lugar, ataques por degradación (downgrade) consistentes en el uso forzado de configuraciones de compatibilidad con sistemas anteriores que prescindan de las mejoras introducidas por las nuevas versiones. En segundo lugar, ataques side-channel que se aprovechan de fugas de información para recuperar la contraseña que está siendo utilizada por la red.
En el caso de los ataques por downgrade, permiten a un atacante forzar a un cliente a utilizar el tradicional sistema de autenticación WPA de 4 vías, que lleva, consecuentemente, a los ataques por fuerza bruta ya conocidos contra dicho sistema de autenticación. Adicionalmente, el handshake propio del protocolo WPA3, conocido como Dragonfly, también es susceptible de un ataque por downgrade, obligando al cliente a utilizar una curva elíptica más débil de la que corresponde al protocolo.
En cuanto a los ataques side-channel, se ataca directamente al handshake del WPA3, aprovechando el método de codificación utilizado para la contraseña. A su vez, se distinguen ataques side-channel basados en caché, que explotan el algoritmo implicado en la generación por hash-to-curve y ataques side-channel basados en el timing, que explotan el algoritmo hash-to-group.
La información que se puede extraer mediante estos ataques, pueden derivar en un ataque exitoso por particionado de contraseñas, que se asemeja a un ataque por diccionario. Según los investigadores que publican el artículo, se trata de un ataque de poco coste económico y temporal, especificando que unos 40 handshake bastarían para romper una contraseña en minúsculas de 8 caracteres.
Ataques por degradación conducentes a ataques por diccionario.
En aras de habilitar una implementación gradual de este nuevo protocolo WPA3, es posible la habilitación de un modo operativo denominado “transicional” que ofrece soporte simultáneo para WPA3 y WPA2. Desafortunadamente, esta configuración es vulnerable a los ataques por degradación mencionados. Particularmente, las pruebas han demostrado que la instalación de un AP falso configurado con WPA2 y el tradicional handshake de 4 vías, fuerza la autenticación del cliente víctima en él, antes de cualquier detección de downgrade, consiguiendo suficiente información de la red como para llevar a cabo un ataque por diccionario exitoso.
Según los investigadores, este ataque puede tener éxito incluso si el cliente ya se encuentra debidamente autenticado en la “versión legítima” de la red que mantiene el protocolo WPA3. Esto quiere decir que si un AP falso con WPA2 es detectado, el cliente víctima tratará de conectarse igualmente, lo que, nuevamente, permite ataques por diccionario.
Ataques side-channel basados en caché
El algoritmo de codificación de contraseñas utilizado por Dragonfly hace uso de ramificaciones condicionales en su código. En el caso de que un atacante pudiera descubrir el ramal lógico que intervino en la generación del código, ello podría llevar a averiguar si la contraseña se encuentra en una determinada iteración del algoritmo de generación de contraseñas. La vulnerabilidad ha sido referenciada bajo CVE-2019-9494.
Ataques side-channel basados en timing
El algoritmo de codificación de contraseñas hace uso de un número variable de iteraciones para codificar la contraseña. El número concreto de estas iteraciones depende de la dirección MAC del punto de acceso (AP) y de la dirección MAC del cliente. Un atacante puede realizar un ataque por timing remoto contra el algoritmo de codificación de contraseñas para determinar el número de iteraciones utilizadas. La información recuperada puede ser útil para la realización de un ataque por particionado a la contraseña, que es similar a un ataque por diccionario.
Ataques por denegación de servicio
Adicionalmente, es posible, mediante el spoofing de multiples direcciones MAC, la saturación con peticiones al punto de acceso que haga uso de WPA3 hasta provocar una denegación de servicio.
Más información:
Fuente: Hispasec.com

PHISHING. 500 millones de ataques en 2018

El sector financiero se ha visto especialmente afectado: más del 44% de todos los ataques de phishing detectados por las tecnologías de Kaspersky Lab se dirigieron contra bancos, sistemas de pago y tiendas online
El sistema anti-phishing de Kaspersky Lab evitó en 2018 más de 482 millones de intentos de visitar páginas web fraudulentas, más del doble que en 2017, cuando se bloquearon 236 millones de intentos similares. En los últimos años se ha observado crecimiento en el número de ataques, pero el correspondiente a 2018 muestra un aumento significativo en su uso y popularidad, según se desprende del nuevo informe Spam y phishing in 2018 de Kaspersky Lab.
El phishing es uno de los tipos de ataque de “ingeniería social” más flexible, ya que puede disfrazarse de muchas maneras y utilizarse para propósitos de todo tipo. Para crear una página de phishing solo hay que replicar un sitio web popular o de confianza, atraer a los usuarios incautos al sitio y engañarlos para que introduzcan información personal. Esta información suele incluir credenciales financieras, como contraseñas de cuentas bancarias o detalles de tarjetas de pago, o credenciales de acceso para cuentas de redes sociales. También puede abrirse un archivo adjunto o hacer clic en un enlace que luego descarga malware en su ordenador. Las consecuencias de estos ataques pueden ir desde la pérdida de dinero hasta poner en peligro toda una red corporativa. Los ataques de phishing, especialmente aquellos de enlace malicioso o de archivos adjuntos, son un vector de infección muy popular para lanzar ataques dirigidos contra organizaciones.
El rápido crecimiento de los ataques de phishing en 2018 es parte de una tendencia que viene de lejos. Ya en 2017 y en 2016 se detectaron aumentos del 15% respecto al año anterior. Sin embargo, la cifra de 2018 marca un nuevo récord.
El sector financiero se ha visto especialmente afectado: más del 44% de todos los ataques de phishing detectados por las tecnologías de Kaspersky Lab se dirigieron contra bancos, sistemas de pago y tiendas online. Esto significa que hubo casi tantos ataques de phishing financiero en 2018 como el total ataques de phishing en 2017.
El país con el mayor porcentaje de usuarios atacados por phishing siguió siendo Brasil, con el 28% de todos los usuarios atacados. Portugal, que ocupaba el séptimo lugar hace un año, sube al segundo lugar, con el 23% de los usuarios, mientras que Australia bajó del segundo al tercer lugar, con el 21% de los afectados. España subió del puesto 16º al 9º, con un 2,20% de los usuarios.
Otros datos del informe sobre spam y phishing en 2018:
-El porcentaje de spam en el tráfico de correo electrónico fue del 52,48%, unos 4,15 puntos porcentuales menos que en 2017.
-En 2018, China fue la mayor fuente de spam (11,69%).
-El 74,15% de los correos electrónico de spam pesaban menos de 2 Kb.
-El spam malicioso fue detectado habitualmente con el veredicto Win32.CVE-2017-11882.
-El sistema anti-phishing fue activado 482.465.211 veces en todo el mundo
-En España, en el 20,05% de los usuarios de Kaspersky Lab se activó el sistema anti-phishing.
-El 18,32% de los usuarios únicos se ha enfrentado a intentos de phisihing.
Para protegerse del phishing, los analistas de Kaspersky Lab aconsejan a los usuarios tomar las siguientes medidas:
-En mensajes desconocidos o inesperados, verificar siempre las direcciones online, ya sea la dirección web del sitio al que se redirige, la dirección del enlace en un mensaje e incluso la dirección de correo electrónico del remitente, para asegurar que sean auténticas y que el enlace en el mensaje no oculte otro hipervínculo.
-Si no se está seguro de que el sitio web es auténtico y seguro, no introducir credenciales. Si se cree que puede haber metido el nombre de usuario y contraseña en una página falsa, cambiar inmediatamente la contraseña y llamar al banco, u otro proveedor de medios de pago, si se cree que los detalles de la tarjeta están en peligro.
-Usar siempre una conexión segura, especialmente cuando se visiten sitios web sensibles. No utilizar Wi-Fi público o desconocido sin protección de contraseña. Si se utiliza una conexión insegura, los cibercriminales pueden redirigir a páginas de phishing sin que nuestro conocimiento. Para obtener la máxima protección, usar soluciones VPN que cifren el tráfico, como Kaspersky Secure Connection.
Fuente: Diarioti.com

COMISIÓN EUROPEA. “Los productos de Kaspersky no son peligrosos”

La Comisión Europea no ha encontrado evidencia alguna de problemas relacionados con el uso de los productos de Kaspersky Lab, según queda constatado en un documento publicado esta semana por la entidad.
En junio del año pasado, el Parlamento Europeo aprobó una resolución que describe el software de la empresa de seguridad como “malicioso” y un supuesto riesgo de seguridad para los usuarios.
En la oportunidad se aseveró que Kaspersky tenía vínculos con la inteligencia rusa, por lo que su software podía ser utilizado como herramienta de espionaje por las autoridades de ese país. Estas sospechas llevaron al Reino Unido, Países Bajos y Lituania a desistir del uso del software de Kaspersky en sus respectivas administraciones públicas. El año anterior, Estados Unidos ya había adoptado una medida similar.
En respuesta a una pregunta realizada en marzo de 2019 por Gerolf Annemans, eurodiputado belga, la Comisión confirmó que “no conoce problemas con los productos de la empresa de seguridad Kaspersky”.
Citando a Alemania, Francia y Bélgica, que dijeron no haber encontrado ningún problema con el uso de los productos de Kaspersky, Annemans preguntó a la Comisión Europea si sabía de “cualquier otra razón, aparte de ciertos artículos de prensa, que justifiquen el calificativo de ‘peligroso’ o ‘malicioso” de los productos de Kaspersky”.
Preguntando también si la Comisión tenía conocimiento de “informes u opiniones de ciberexpertos o de consultores sobre Kaspersky Lab”, Annemans pidió que se hicieran referencias a dichos informes, si es que existían.
“La Comisión no está en posesión de ninguna prueba sobre posibles problemas relacionados con el uso de los productos de Kaspersky Lab”, dice la respuesta de la Comisión (PDF). “Por lo que se refiere a los informes o dictámenes publicados sobre la cuestión planteada por el eurodiputado, la Comisión no ha encargado ningún informe”, prosigue la respuesta.
Fuente: Diarioti.com

Facebook, Instagram y WhatsApp sufren caídas según sitio downdetector

La red social Facebook, la red para compartir fotografías Instagram y la aplicación de mensajería WhatsApp estuvieron inaccesibles para algunos usuarios el domingo, de acuerdo al sitio downdetector.com, que monitoriza caídas en los servicios.
Downdetector.com dijo que hubo más de 12.000 incidentes de personas reportando problemas con Facebook en el momento más álgido, pero que la cifra disminuyó luego a unos 2.000 reportes.
Facebook experimentó una de sus caídas más extendidas en marzo, cuando algunos usuarios en el mundo reportaron problemas para acceder a Facebook, Instagram y WhatsApp durante más de 24 horas.
El sitio web de monitoreo de caídas también mostró que el momento peak del domingo hubo más de 3.000 incidentes de personas reportando problemas con WhatsApp y 7.000 con Instagram.
El mapa en tiempo real de Downdetector.com mostró que los problemas se localizaban principalmente en Europa y Asia.
Los usuarios usaron Twitter para quejarse por el fallo en mensajes y comentarios bajo las etiquetas #facebookdown, #whatsappdown e #instagramdown.
Facebook no quiso hacer comentarios al respecto, solicitados por Reuters.
Fuente Reuters

AMPLIACION. Registros de 540 millones usuarios de Facebook expuestos en servidores mal configurados

Servidores utilizados por dos desarrolladores de terceras partes de aplicaciones para Facebook expusieron datos de millones de usuarios.
El 3 de abril, investigadores de UpGuard revelaron que servidores utilizados por dos desarrolladores de terceras partes de aplicaciones para Facebook expusieron datos de millones de usuarios que estaban almacenados en servidores de Amazon mal configurados, quedando la información al alcance público.
Uno de estos servidores pertenece al medio digital mexicano Cultura Colectiva, el cual almacenaba 146GB  con más de 540 millones de registros que contenían datos como nombres y ID de usuarios, información variada relacionada a gustos e intereses de los usuarios, como “me gusta”, comentarios, entre otras cosas más.
El segundo, también almacenado en un servidor Amazon (Amazon S3 bucket), pertenece a la aplicación “At the Pool” y contiene información como contraseñas en texto plano, además de información de los usuarios, como intereses, amigos, música, entre otros. Según los investigadores, se cree que las contraseñas descubiertas en la base de datos eran de la propia aplicación, pero dado que muchos usuarios utilizan la misma contraseña para otros servicios, la exposición supone un riesgo mayor.
Facebook solicita dirección y contraseña del correo de los usuarios
La otra noticia la dio a conocer el 31 de marzo un especialista en ciberseguridad, conocido como e-sushi, cuando a través de su cuenta de twitter publicó el hallazgo de que Facebook ha estado solicitando a nuevos usuarios que deciden registrase en la red social que ingresen la dirección y la contraseña de su cuenta de correo como parte del proceso de verificación. Si bien esto no es para todos los servicios de correo, el almacenamiento de esta información supone un riesgo para la seguridad de los usuarios.e
De acuerdo a una declaración pública que hizo la red social al medio Daily Beast, la compañía confirmó la existencia de ese proceso de verificación, pero aseguró que no almacena en sus servidores las contraseñas aportadas por los usuarios en dicha instancia.
Asimismo, la compañía aseguró que dejará de realizar esta práctica de solicitar la contraseña del correo como parte del proceso de verificación.
Lo particular de esta última noticia es que el hecho se conoció dos semanas después de que la compañía liderada por Mark Zuckerberg admitiera que durante años almacenó cientos de millones de contraseñas de usuarios en texto plano de manera insegura en servidores de la compañía que estaban accesibles a más de 20,000 empleados.
Fuente: ESET Latinoamérica

MICROSOFT OUTLOOK. Nueva brecha de seguridad

El 14 de abril conocimos, a través de la plataforma Reddit, una captura de pantalla de un usuario que avisaba de haber recibido un e-mail de Microsoft alertando de que atacantes desconocidos habían sido capaces de acceder a alguna información de su cuenta de Outlook.
Al parecer, la brecha tuvo lugar en el primer trimestre del año, entre el día 1 de Enero y el 28 de Marzo, tal y como muestra este usuario en Reddit mediante su captura y como es corroborado por más usuarios de la plataforma.
Según el e-mail por parte de Microsoft en el que se notificaba la incidencia, que podemos ver en la foto adjunta, los atacantes comprometieron las credenciales de la cuenta de uno de los agentes de soporte de Microsoft y la utilizaron de manera no autorizada para acceder a alguna información relacionada con las cuentas afectadas. Sin embargo, parece ser que el contenido o los adjuntos de los e-mails no fue objeto de acceso no autorizado.
Según lo conocido hasta ahora gracias al e-mail informativo, la información a la que un agente de soporte de Microsoft tiene acceso – y, consecuentemente, la información a la que un atacante pudo tener acceso – está limitada a direcciones de correo, nombres de ficheros, asuntos del correo y otras cuentas de correo con las que la víctima se hubiera comunicado.
Un aspecto reseñable del incidente es que, dado que los atacantes disponían de una ventana alternativa, en este caso el acceso a cuentas de soporte, para acceder parcialmente a información de cuentas sin tan siquiera tener que loguear en ellas. Esto implicaría que la seguridad basada en la autenticación de doble factor, no habría servido en este caso para mitigar la brecha.
Actualmente no existe información explícita y clara sobre cómo los atacantes fueron capaces de comprometer al trabajador de Microsoft, pero la compañía tecnológica confirmó que han revocado los credenciales robados y comenzado a notificar a todos los clientes afectados. Sin embargo, no han querido hacer público el número total de cuentas afectadas por el incidente.
A pesar de que la brecha no afectó directamente a los credenciales de acceso de las cuentas de correo, Microsoft recomendó a los usuarios que considerasen encarecidamente aplicar el reseteo a todas sus contraseñas de servicios Microsoft, como medida preventiva.
Microsoft acaba su e-mail con una disculpa y asegurando que está tomando medidas para atajar convenientemente este nuevo incidente de seguridad:
“Microsoft lamenta cualquier inconveniente causado por este asunto. Por favor, esté seguro de que Microsoft se toma la protección de datos muy en serio y ha involucrado a sus equipos internos de seguridad y privacidad en la investigación y resolución de este incidente, además de en un proceso de bastionado y fortalecimiento de nuestros sistemas y procesos para prevenir que esto vuelva a ocurrir.”
Fuente: Hispasec

APACHE TOMCAT. Parcheado un importante fallo de RCE

La Apache Software Foundation ha actualizado a una nueva versión su aplicación de Tomcat debiado a un importante fallo de RCE (ejecución remota de código arbitrario), un fallo que reside en el Common Gateway Interface (CGI) cuando corre en Windows con enableCmdLineArguments activado. Esto es debido a la forma de ejecución propia de Java Runtime Environment (JRE) a la hora de pasar argumentos del command line a Windows.
Apache Tomcat es un servidor web de código abierto que utiliza varias especificaciones de Java EE tales como: Java Servlet, JavaServer Pages (JSP) o websockets para dotar de un entorno puro de Java al servidor web.
La vulnerabilidad, clasificada con el CVE CVE-2019-0232, fue reportada al equipo de la Apache Software Foundation en la pasada Nightwatch Cybersecurity del 3 de marzo y han procedido a su actualización solucionando el incidente este 10 de abril tal y como hicieron ver en su lista de correo.
El fallo vinculado a RCE es explotable cuando corre el Common Gateway Interface (CGI) Servlet en Windows con enableCmdLineArguments activado. El motivo del por qué ocurre esto se debe a la manera en la que Java Runtime Environment pasa argumentos del command line a Windows. Para conocer más sobre su funcionamiento, se puede visitar el blog de Markus Wulftange donde lo comenta.
Tanto el Servlet CGI como su opción enableCmdLineArguments han sido desactivadas en las versión 9.0.x de Tomcat. El RCE ha sido marcado como importante, pero no crítico.
Tal y como se afirma en el mail donde avisan de esta vulnerabilidad y su mitigación, estas funcionalidades se eliminarán por defecto en todas las versiones de Tomcat. Así pues, las versiones afectadas han sido:
r  De Apache Tomcat 9.0.0.M1 a 9.0.17
r  De Apache Tomcat 8.5.0 a 8.5.39
r  De Apache Tomcat 7.0.0 a 7.0.93
Por otro lado, las versiones que no han visto perjudicadas son:
ü  Apache Tomcat 9.0.18 y posterior
ü  Apache Tomcat 8.5.40 y posterior
ü  Apache Tomcat 7.0.94 y posterior
Por esta razón, se recomienda a los administradores aplicar las actualizaciones pertinentes lo antes posible. En caso de no poder aplicar los parches, es muy recomendable que el parámetro de enableCmdLineArguments esté marcado como “false” en las configuraciones pertinentes.
De no aplicar estos parches, se estaría permitiendo a un atacante explotar esta vulnerabilidad ejecutando código arbitrario en el servidor de Windows, comprometiendo gravemente el sistema.
Más información
Fuente: Hispasec

INTERNET EXPLORER. Vulnerabilidad 'día cero' permite robo archivos guardados imprimir pantalla

Una vulnerabilidad 'día cero' del navegador Internet Explorer, clasificada como de alta gravedad, permite extraer los archivos guardados en los ordenadores Windows a través de archivos con extensión MHT aprovechándose de cuando el usuario imprime la pantalla.
Como ha advertido el investigador de ciberseguridad John Page y se recoge el sitio de seguridad Seclist, la vulnerabilidad de Internet Explorer se aprovecha de la forma en que el navegador procesa los archivos MHT, que se utilizaban para permitir a los usuarios el guardado de páginas web en el navegador.
Según la investigación, "Internet Explorer resulta vulnerable a un ataque XML de una entidad externa si el usuario abre de forma local un archivo con extensión MHT especialmente diseñado", ha explicado Page.
A través de esta vulnerabilidad 'día cero', que ha sido clasificada como de gravedad alta por Page, los atacantes pueden llevar a cabo acciones como robar archivos locales del usuario o acceder a la información local de la información de los programas instalados.
Normalmente, al iniciar objetos ActiveX, los navegadores de Internet muestran a los usuarios mensajes de advertencia y los bloquean hasta que se aceptan. Este proceso de seguridad no se sigue en determinados archivos MHT con marcadores XML maliciosos.
Asimismo, el problema de seguridad de Internet Explorer también afectaba a los usuarios cuando llevaban a cabo funciones al llevar a cabo comandos de guardado de páginas web como 'Control+K', imprimir pantalla o 'preview'.
La vulnerabilidad, que se encuentra presente en Internet Explorer en su versión 11 tanto en Windows 10 como en Windows 7, ha sido puesta en conocimiento de Microsoft, que ha respondido a Page que "por el momento, no proporcionaremos actualizaciones sobre la reparación de este problema, y hemos cerrado el caso".
No obstante, Microsoft ha informado en declaraciones a Europa Press de que el desarrollo de un parche que ponga fin la vulnerabilidad de Internet Explorer "será considerado en versiones futuras" del servicio.
Fuente: Europa Press

VoIP. La Voz por IP reducirá el consumo interno de llamadas internas de empresas un 80%

El martes 16 de abril se celebró el Día Mundial de la Voz, que desde 1999 se celebra por iniciativa de la Federación de Sociedades de Otorrinolaringología. Aprovechando este día, la empresa de comunicaciones para empresas masvoz ha estimado que la tecnología de Voz por IP (VoIP) permitirá reducir hasta en un 80 por ciento sus gatos internos en llamadas a las empresas.
Con la tecnología de VoIP la voz viaja empleando el protocolo IP. De este modo, se envía la señal de forma digital, en paquetes de datos, utilizando una única red para compartir datos y para la comunicación de voz. Así, las llamadas se pueden hacer desde teléfonos tradicionales, teléfonos VoIP, ordenadores y teléfonos móviles.
La Voz por IP supone un ahorro de costes gracias a la utilización de la misma red para la transmisión de datos y de voz. Las llamadas entre extensiones de la misma empresa serán gratuitas, reduciendo así el consumo hasta en un 80 por ciento, según ha destacado masvoz en un comunicado.
Este sistema también puede servir para la atención al cliente, permitiendo, por ejemplo, advertir al cliente sobre el tiempo de espera, aconsejarle que cuelgue y avisarle que se pondrán en contacto con él en un tiempo determinado.
HISTORIA DE LA VOIP
Desde que Graham Bell hiciese la primera llamada telefónica el 10 de marzo de 1876, las llamadas telefónicas han evolucionado con la llegada de nuevos sistemas y tecnologías como la VoIP o las redes de datos móviles de quinta generación o 5G.
El concepto de telefonía IP surgió en 1996, cuando la empresa VocalTec utilizó esta tecnología para realizar la primera llamada entre ordenadores a través de Internet. Ya en el año 2000, esta tecnología representaba más del 3 por ciento del tráfico de voz.
Sin embargo, los usuarios de estos primeros equipos sufrían cortes en las llamadas, la calidad del sonido era mala y, en ocasiones, se producía un retardo durante la conversación, dificultando la comunicación.
Estos servicios han evolucionado y, el mercado global de VoIP, valorado en 77.400 millones de dólares en 2018, se espera que alcance los 93.200 millones de dólares a finales de 2024, con una tasa de crecimiento anual compuesta del 3,1 por ciento entre 2019 y 2024, según Global Market Insights.
Esta situación se produce en un contexto de avance general en el sector, ya que cuando se hicieron las primeras pruebas de esta tecnología VoIP, la red de datos móviles disponible era 2G y actualmente se están realizando las primeras pruebas de tecnología 5G.
Fuente: Europa Press

LG. Presentación de lavadoras con IA y tecnología de lavado TurboWash 360º

LG Electronics ha presentado su nueva generación de lavadoras con tecnología de Inteligencia Artificial, en la que ha incorporado su tecnología de lavado TurboWash 360º, que permite ahorrar hasta un 50% de energía y lavar un 34% más rápido que una lavadora convencional.
Las nuevas lavadoras, que se mostraron durante la feria InnoFest Europe 2019, incorporan la tecnología de Inteligencia Artificial Intello DD, que detecta el volumen de prendas y la dureza de los tejidos para seleccionar el lavado más indicado y reducir un 18% el daño del tejido, según explica LG en un comunicado.
Además, las nuevas lavadoras cuentan con la tecnología de lavado TurboWash 360º que con sus cuatros 'sprays' de agua lava hasta en 39 minutos, un 34% más rápido que los modelos TurboWash convencionales, ahorrando hasta un 50% de electricidad, un 28% de agua y reduciendo hasta un 65% el desgaste de las prendas.
Los nuevos dispositivos rocían agua y detergente en cuatro direcciones y, a través de Steam+, son capaces de neutralizar el 99,9% de los alérgenos a través de un ciclo de esterilización especial. También cuentan con función antiarrugas que facilita un 30% el planchado.
El tambor frontal, al colocar MiniWash directamente debajo, permite al usuario lavar dos coladas diferentes al mismo tiempo, y también resulta posible controlar de forma remota la lavadora desde un 'smartphone' gracias a la 'app' SmartThinQ.
La nueva lavadora tiene una calificación energética de hasta A+++ (un 50% menos de consumo) y cuenta con una garantía de 10 años, como parte del compromiso Smart Green de LG para conseguir un mundo más eficiente y concienciado con el medioambiente.
Fuente: Europa Press

SISTEMAS KEYLESS. Problemas de seguridad en los coches

Era de esperar que en algún momento de la historia, tal y como está avanzando el mundo del automóvil, llegase a cruzarse con el mundo de la seguridad informática, dando lugar a numerosas investigaciones que han puesto en entredicho la seguridad de los sistemas que incorporan nuestros vehículos actuales.
En 2015 los investigadores Charlie Miller y Chris Valasek consiguieron tomar el control de algunos sistemas del automóvil de forma remota, lo que ha desencadenado una oleada de investigaciones que demuestran que los componentes electrónicos incorporados, y su conectividad, distan mucho de ser seguros.
Una de las comodidades que incorporan los coches actuales es el sistema de apertura y arranque sin llave, aunque siempre se entrega una llave física al conductor, no es necesario introducirla en el vehículo para ponerlo en marcha. Esto permite a los atacantes clonar la señal de la llave, por lo que podrían abrir y arrancar el coche sin necesidad de aplicar la fuerza.
El club del automóvil de Alemania realizó el pasado enero de 2019 un estudio en el que demostró que, de un total de 237 automóviles, 230 eran vulnerables a este tipo de ataque.
De los estudios realizados por Thatcham Research se han podido generar calificaciones para este tipo de vulnerabilidad respecto al modelo de automóvil. Por ejemplo, modelos alemanes como Mercedes, Audi o Porsche obtienen en general buenas puntuaciones, mientras que modelos japoneses y coreanos de fabricantes como Toyota, Suzuki, Hyundai o Kia no salen muy bien parados.
¿Cómo funciona?
El funcionamiento del ataque es muy simple, uno de los atacantes acerca un amplificador de señal a la llave mientras otro, que se encuentra cerca del coche, la recoge para que el vehículo la detecte y se abra. En el siguiente vídeo podéis ver como se lleva a cabo el robo de un Mercedes clase C.
Por último es importante mencionar que la solución que aportan los distintos fabricantes a este tipo de vulnerabilidad es desactivar la función keyless, por la que habríamos pagado, o meter la llave en una jaula de Faraday para evitar que la llave emita la señal y que esta pueda ser clonada.
Más información
Fuente: Hispasec

ORACLE. Actualizaciones críticas correspondientes al mes de abril del 2019

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
  • Ver sección “Más información”
Recomendación
·        Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle desde (https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#AppendixFMW )
Detalle de vulnerabilidades
·        Esta actualización resuelve un total de 297 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.
Más información
·        Oracle Critical Patch Update Advisory - April 2019 https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#AppendixFMW
Fuente: INCIBE

VMWARE. Múltiples vulnerabilidades de lectura fuera de límites en productos de la firma

VMware ha detectado 3 vulnerabilidades de criticidad alta del tipo lectura fuera de límites que afectan a varios de sus productos, catalogadas Importancia: 4 - Alta
Recursos afectados:
1)   VMware vSphere ESXi (ESXi) versiones:
a)   6.5
b)   6.7
2)   VMware Workstation Pro / Player (Workstation) versiones:
a)   15.X
b)   14.X
3)   VMware Fusion Pro / Fusion (Fusion) versiones:
a)   11.x
b)   10.x
Detalle de vulnerabilidades
·    Una vulnerabilidad de lectura fuera de límites en la funcionalidad vertex shader podría permitir a un atacante, que accediese a una máquina virtual con los gráficos 3D habilitados, revelar información o generar una condición de denegación de servicio en la máquina virtual. Se ha reservado el identificador CVE-2019-5516 para esta vulnerabilidad.
·    Múltiples vulnerabilidades del tipo lectura fuera de límites en shader translator podrían permitir a un atacante, que accediese a una máquina virtual con los gráficos 3D habilitados, revelar información o generar una condición de denegación de servicio en la máquina virtual. Se ha reservado el identificador CVE-2019-5517 para esta vulnerabilidad.
·     Una vulnerabilidad de lectura fuera de límites podría permitir a un atacante, que accediese a una máquina virtual con los gráficos 3D habilitados, revelar información o generar una condición de denegación de servicio en la máquina virtual. Se ha reservado el identificador CVE-2019-5520 para esta vulnerabilidad.
Recomendación
VMware ha publicado diversas actualizaciones, en función del producto y versión afectada, que mitigan las vulnerabilidades.
1)   ESXi versiones:
a)   6.7 aplicar el parche ESXi670-201904101-SG
b)   6.5 aplicar el parche ESXi650-201903001
2)   Workstation Pro actualizar a las versiones 14.1.6 o 15.0.3
3)   Workstation Player actualizar a las versiones 14.1.6 o 15.0.3
4)   Fusion Pro / Fusion actualizar a las versiones 10.1.6 o 11.0.3
Más información
·        VMSA-2019-0006 VMware ESXi, Workstation and Fusion updates address multiple out-of-bounds read vulnerabilities.(https://www.vmware.com/security/advisories/VMSA-2019-0006.html )
Fuente: INCIBE