18 de septiembre de 2019

APPLE. Sanción de 14.000 millones de doláres de la UE "va contra sentido común"

La orden de la Unión Europea a Apple de pagar 13.000 millones de euros en impuestos atrasados “va en contra de la realidad y el sentido común”, dijo la empresa como parte de la pelea entre las dos partes, en un caso emblemático de la lucha del bloque contra los tratos fiscales en favor de grandes multinacionales.
l fabricante de iPhone ha apelado al segundo tribunal más alto de Europa para que anule la decisión de la Comisión Europea de 2016 de pagar el importe equivalente a 14.000 millones de dólares a Irlanda.
Irlanda, cuya economía se ha beneficiado de las inversiones de empresas multinacionales atraídas por las bajas tasas impositivas, también ha impugnado la decisión de la Comisión.
Apple también acusó a la Comisión de utilizar sus competencias para luchar contra las ayudas estatales “con el fin de modificar las legislaciones nacionales”, de intentar cambiar en la práctica el sistema fiscal internacional y, al mismo tiempo, crear inseguridad jurídica para las empresas.
El ejecutivo de la UE rechazó los argumentos, diciendo que no estaba tratando de controlar las leyes fiscales internacionales y acusó a Irlanda de no haber hecho sus deberes al evaluar los impuestos de Apple.
Los argumentos de Apple ante el Tribunal General, el segundo más alto de Europa, se presentan después de que el ejecutivo de la UE en 2016 dijera que el gigante tecnológico se benefició de una ayuda estatal ilegal debido a dos sentencias fiscales irlandesas que redujeron artificialmente su carga tributaria durante más de dos décadas.
Fuente: Reuters

ESPAÑA. Cuarto país de la UE con mayor riesgo de infección por malware

España presente un bajo índice de protección frente al 'malware', como recoge el Índice Global de Amenazas de agosto de 2019 de la compañía tecnológica Check Point, que lo sitúa como el cuarto país de la Unión Europea con mayor riesgo de infección.
En el marco de la Unión Europea, España ocupa la cuarta posición entre los países con mayor riesgos de infección por 'malware', con un coeficiente de 52,3, por detrás de Grecia (77,9), Lituania (69,9) y Letonia (52,8), y por encima de países como Reino Unido (31,1), Alemania (32,8) o Francia (43,4).
Los 'cryptojacker' XMRig y Jsecoin, y el troyano Darkgate lideran la lista de los 'malware' más buscados en España, en el mes de agosto de 2019, como recoge el informe de la compañía de ciberseguridad. El primero de ellos, utilizado para minar la criptomoneda monero, fue descubierto en mayo de 2017, y ha atacado a un 12,42 por ciento de las empresas en España.
Jsecoin, por su parte, permite ejecutar al minero directamente en el navegador a cambio de una experiencia de navegación sin anuncios, monedas para juegos y otros incentivos. Ha afectado a un 9,11 por ciento de las organizaciones españolas.
Check Point califica al tercer 'malware' de la lista, Darkgate, como una "amenaza completa" que se instala de manera sigilosa y provoca problemas operativos e incapacidad para ejecutar ciertos servicios o aplicaciones. Ha afectado al 8,07 por ciento de las empresas españolas.
LA AMENAZA DE ECHOBOT
Asimismo, el equipo de investigación de la compañía advierte a las empresas de una nueva variante del 'botnet' Mirai IoT, Echobot, que ha lanzado ataques generalizados contra una serie de dispositivos del Internet de las Cosas.
Visto por primera vez en mayo de 2019, Echobot ha explotado más de 50 vulnerabilidades diferentes, causando un fuerte aumento en la vulnerabilidad de la 'Inyección de Comando sobre HTTP', que ha impactado al 34 por ciento de las organizaciones a nivel mundial, "lo que demuestra lo importante que es para las organizaciones protegerse y asegurarse de que aplican todos los parches y actualizaciones de sus redes, 'software' y dispositivos de IoT", destaca la directora del Grupo de Inteligencia de Amenazas de Check Point, Maya Horowitz.
Por otra parte, durante el mes de agosto el equipo de investigadores de Check Point ha visto cómo la infraestructura ofensiva de Emotet volvía a estar en activo dos meses después de que cesase su actividad.
Esta variante fue la 'botnet' operativa más importante de la primera mitad de 2019. A pesar de que hasta la fecha no se han descubierto campañas importantes, desde la compañía consideran que es probable que pronto comience a utilizarse para propagar campañas de 'spam'.
Fuente: Europa Press

LASTPASS. Soluciona fallo seguridad que permitía robar contraseñas última web visitada

El popular gestor de contraseñas LastPass ha solucionado una vulnerabilidad que se encontraba en su mecanismo de registro y que exponía y permitía robar las claves de la última página web que había visitado el usuario.
El fallo de seguridad fue descubierto originalmente en el mes de agosto por el investigador de seguridad Tavis Ormandy, del equipo de expertos especializado en vulnerabilidades Google Project Zero, que fue capaz de esbozar un 'exploit' para aprovecharse de esta vulnerabilidad utilizando solamente 'scripts' de Java.
Debido al sistema de registro que utilizaban las pestañas autenticadas con el gestor de LastPass, los últimos datos caché siempre quedaban guardados, de manera que podían filtrarse las credenciales del último sitio web que hubiera visitado el usuario.
Para extraer esta información, simplemente era necesario pulsar en el botón de ajustes de LastPass, y la consola de código mostraba las credenciales, aunque para ello era necesario utilizar mecanismos adicionales como copiarlo en el Traductor de Google para evitar las protecciones de LastPass contra páginas que no son de confianza.
A pesar de que los mecanismos para explotar este problema de seguridad podían no funcionar siempre para todas las URLs, según ha advertido su descubridor se trata de una vulnerabilidad de "severidad alta".
LastPass ha parcheado el fallo la semana pasada en su versión v4.33 para los navegadores Chrome, Firefox, Safari, Edge, Internet Explorer y Opera, como ha confirmado también el propio Tavis Ormandy en su entrada en Chromium.
Fuente: Europa Press

CIBERSEGURIDAD. Los peligros de las plataformas de videojuegos online

Los cambios en la industria del videojuego, que apuntan a un progresivo traslado de los usuarios del formato físico a las plataformas de distribución digital de videojuegos -ya sea en PC o para consolas- y a las plataformas de 'streaming' (con actores tan importantes como Google o Apple entrando en el negocio) despiertan dudas sobre si las empresas están lo suficientemente preparadas como para hacer frente a las amenazas en el área de la ciberseguridad.
El pasado mes de agosto se descubría una vulnerabilidad en la mayor plataforma de distribución de juegos para PC, Steam, que ha puesto en peligro directo al 72 por ciento de sus más de 100 millones de usuarios y en riesgo indirecto a otros 24 millones. Esta vulnerabilidad permitiría a un atacante conseguir instalar 'software' de forma arbitraria y, eventualmente, hacerse con el control del equipo o robar información del propietario.
Valve, la compañía propietaria de Steam, aseguró hace unas semanas que esta vulnerabilidad está solucionada, pero los expertos en seguridad aún tienen dudas al respecto. Esta brecha fue descubierta por el investigador de seguridad Vasily Kravets, quien detalla que aprovechando este fallo de la plataforma un atacante podría utilizar una cuenta de usuario sin privilegios para conseguir acceso de administrador en el equipo y realizar un ataque.
"Es fundamental que los usuarios de Steam en Windows actualicen a la última versión beta del cliente para protegerse de esta vulnerabilidad. Este tipo de brechas de seguridad nos recuerdan que es fundamental tomar un papel activo a la hora de proteger la seguridad y privacidad en nuestros dispositivos, incluyendo mantener actualizados el software y el sistema operativo", explica Harold Li, vicepresidente de ExpressVPN.
RECOMENDACIONES DE SEGURIDAD
Express VPN, compañía que ofrece a los usuarios herramientas para encriptar el tráfico web de y enmascarar sus direcciones IP, ha lanzado una serie de recomendaciones para que los 'gamers' tomen precauciones y eviten que un atacante pueda estar en disposición de sacar beneficio de esta vulnerabilidad.
De esta forma, recomienda instalar un antivirus para detectar si se ejecuta un código malicioso en el equipo, así como mantener todos los programas actualizados -incluido el sistema operativo- y asegurarse de que el cortafuegos está activado.
También insta a comprobar que el 'router' doméstico está actualizado y utilizar una conexión VPN para añadir un nivel de seguridad adicional, dificultando así que un atacante pueda utilizar esas conexiones para conseguir acceso al equipo y explotar la vulnerabilidad.
ANTE UN NUEVO PANORAMA
   El sector de los videojuegos está poco a poco adoptando el modelo de negocio que tanto éxito ha dado a plataformas como Netflix o HBO. De momento, el sistema de descarga online para jugar en el ordenador o la consola es el más efectivo (aquí Steam es el líder del mercado para PC), pero con la inminente llegada del 5G a los hogares españoles las plataformas de 'streaming' desde la nube por suscripción cobrarán mayor protagonismo.
En este campo aparece con fuerza Google con su plataforma Stadia, un servicio de suscripción para videojuegos que hace uso de los centros de datos de la compañía estadounidense para retransmitir videojuegos a gran calidad. Las últimas noticias apuntan a que Amazon también prepara un servicio para jugar 'online' desde un Fire TV, mientras que Apple anunciaba en su última presentación un servicio para disfrutar de un catálogo de juegos en sus dispositivos.
Este cambio de paradigma, con el gran salto que supone pasar del CD -o el viejo cartucho- a los servicios 'online', dispara las alarmas. La ciberseguridad va a ser un elemento clave en estos nuevos modelos para seguir garantizando la privacidad y la protección de los 'gamers', por lo que tanto las empresas como los propios usuarios tienen que poner de su parte para poner barreras a los cibercriminales ante amenazas como las vividas recientemente.
Fuente: Europa Press

INSTAGRAM. Soluciona una vulnerabilidad que exponía datos personales de contactos.

Instagram asegura haber solucionado una vulnerabilidad descubierta recientemente en su sistema para importar contactos que permitía extraer datos personales de los usuarios y sus cuentas como sus nombres, números de cuenta y de teléfono.
Según ha informado Forbes, el fallo de seguridad en cuestión fue descubierto originalmente por el hacker israelí @ZHacker13, que aseguró que explotar esta vulnerabilidad por parte de actores maliciosos podría permitir utilizar un ejército de bots para constituir bases de datos con información personal.
La vulnerabilidad en cuestión residía en el importador de contactos de Instagram, una herramienta presente en la página de identificación de la red social, y en los mecanismos que utiliza para sincronizar la cuenta con otros sistemas de identificación, como el teléfono o el correo.
A través de un algoritmo que efectuase un ataque de fuerza bruta, el 'hacker' israelí probó que era posible obtener mil números de teléfonos de usuarios al día, y utilizar esta información para crear nuevos perfiles y, a través de la herramienta de sincronización, obtener los datos personales del mismo.
Aunque Instagram solo permite un máximo de tres intentos fallidos de inicio de sesión al día, resultaba posible utilizar una red de bots que explotaran esta vulnerabilidad de forma masiva y se hacerse con datos como nombres, números de cuenta y de teléfono de los usuarios.
LA BRECHA, SOLUCIONADA POR INSTAGRAM
Un portavoz de Instagram ha asegurado en declaraciones a Europa Press que la brecha de seguridad ya ha sido solucionada. "Hemos hecho un cambio en el importador de contactos de Instagram para prevenir el tipo de abuso descubierto por el investigador", ha explicado el portavoz.
Además, la empresa ha recordado que "es común que las compañías tecnológicas trabajen con investigadores a ayudar problemas de sus productos a través de sus programas de recompensas", y ha asegurado que el descubridor del problema será recompensado por su ayuda.
El director de Tecnología de la compañía de ciberseguridad Bitglass, Anurag Kahol, ha emitido un comentario destacando que "cuando las personas crean perfiles de usuario para un servicio determinado, confían en que sus datos personales se mantendrán seguros".
"Aunque no hay indicios de que las credenciales se hayan filtrado o de que los hackers hayan robado datos, los usuarios podrían haber visto sus cuentas y su información expuestas si un especialista externo a la compañía no hubiera encontrado el problema e intervenido", ha denunciado Kahol, reclamando un enfoque de seguridad proactivo de las empresas.
Fuente: Europa Press

CIBERSEGURIDAD. El 99% de los ciberataques depende de la interacción humana

Casi la totalidad de los ciberataques, con más del 99 por ciento de los que se han producido en los últimos 18 meses, depende de la interacción humana y el 'malware' está a solamente un clic de distancia por parte del usuario, en especial en el ambiente empresarial.
La compañía de ciberseguridad Proofpoint ha publicado recientemente su informe 'Human Factor 2019', en el que revela las tácticas de ataques de los cibercriminales contra las personas que forman una empresa, analizando los últimos 18 meses.
Entre las principales tendencias entre los cibercriminales, destacan los ataques agresivos dirigidos a los usuarios de las empresas, ya que resultan más sencillas las técnicas como los correos fraudulentos que la creación lenta y cara de 'exploits'.
"Más del 99% de los ciberataques depende de la interacción humana, lo que convierte a los usuarios individuales en la última línea de defensa de una organización", ha apuntado el vicepresidente de Threat Operations para Proofpoint, Kevin Epstein.
Estos ataques requieren la acción de una persona, bien sea para ejecutar macros, abrir archivos o seguir enlaces, lo que pone de manifiesto la importancia que tiene hoy la ingeniería social para que un ataque sea exitoso.
Los señuelos relacionados con Microsoft están entre los más usados, y alrededor de uno de cada cuatro correos electrónicos de 'phishing' enviados en 2018 estaba asociado a productos de Microsoft.
Durante los últimos 18 meses, las principales familias de 'malware' han sido troyanos bancarios, ladrones de información, herramientas de administración en remoto (RAT) y otras cepas no destructivas, diseñadas para permanecer en los dispositivos infectados y así robar continuamente datos de utilidad para los actores de amenazas.
Proofpoint ha destacado la importancia de las amenazas centradas en los empleados VAP ('Very Attacked People'), los más atacados, cuyos datos de perfil pueden obtenerse en línea a través de webs corporativas en el 36 por ciento de los casos.
Los impostores imitan la rutina de los trabajadores de una empresa para evitar ser detectados, y la mayoría de los 'emails' fraudulentos se despacha los lunes (más del 30 por ciento) y en fin de semana el porcentaje se sitúa en menos del 5 por ciento.
En cuanto a la hora del día en la que caen en el 'phishing', los trabajadores en Norteamérica y Asia-Pacífico caen en este tipo de cebos a primera hora del día, mientras que en Europa y Oriente Próximo suelen hacer clic al mediodía y después del almuerzo.
Fuente: Europa Press

WHATSAPP. La opción «eliminar para todos» no elimina los archivos enviados a iPhone.

La opción, que fue introducida hace dos años, contiene un fallo de seguridad sin parchear que no elimina los archivos enviados a dispositivos iPhone, por lo que, en cuanto a funcionalidad se refiere, sencillamente se limita a generar una sensación de privacidad que no se corresponde con la realidad.
Tanto WhatsApp, como su competidor de software – parcialmente – libre, Telegram, ofrecen la opción «Eliminar para todos» cuando se selecciona un determinado archivo enviado. Esto permite rectificar el envío y enmendar un posible – y a menudo incómodo – error cuando, típicamente, se envía por descuido material a un destinatario no deseado.
En el caso de WhatsApp, la opción sólo está disponible en un lapso de tiempo de una hora, ocho minutos y dieciséis segundos, una vez el mensaje o archivo se ha enviado. Un tiempo, seguramente, más que razonable para percatarse del error.
Sin embargo, tanto da el lapso de tiempo configurado por el fabricante, si los mensajes o archivos enviados, tal y como ha descubierto el investigador Shitesh Sachan, no se eliminan correctamente para los usuarios de iPhone. Incluso aunque recibamos de la aplicación el mensaje de «el mensaje ha sido borrado».
Si bien es cierto que la versión para Android de la popular aplicación de mensajería llega incluso a borrar los archivos de la galería del receptor cuando se selecciona la opción «borrar para todos», no ocurre así para los usuarios de iPhone, un contexto donde la aplicación parece seguir un diseño diferente.
El problema radica fundamentalmente en que la aplicación trae activada por defecto la opción de «guardar automáticamente» en las respectivas galerías de Android o iPhone y, pese a que desactivar esta opción mitigaría parte del problema, poca gente configura correctamente su aplicación para que adopte este comportamiento. Ni siquiera cuando las mejoras en cuanto almacenamiento y control de los activos son evidentes al activar esta opción.
A comienzos de esta semana se publicaba, igualmente, un fallo de seguridad similar que afectaba a Telegram, que también adolece de una implementación deficiente en su opción «Eliminar para todos». Sin embargo, mientras que Telegram parcheó inmediatamente el fallo, WhatsApp ha declarado que no tiene intención alguna de abordar el tema, porque la funcionalidad de dicha opción es, argumentan, eliminar de la aplicación -y no del dispositivo móvil – los archivos seleccionados.
El equipo de seguridad de WhatsApp también arguye que la pretensión de que su opción «Eliminar para todos» sirva, precisamente, para eliminar por completo el archivo, colisiona con el hecho de que el receptor del mensaje puede verlo antes de que sea borrado o hacer un «pantallazo», lo que haría inútil implementar correctamente la opción. Por otro lado, también afirman que podrían estudiar cambios en la implementación en un futuro.
Recomendación
Evitar siempre el uso de software privativo que no respete la privacidad y la seguridad del usuario, y adoptar progresivamente el uso de software cuyo código haya sido liberado – software libre – por los beneficios de seguridad y privacidad que supone el tener a disposición de una comunidad activa un código fuente auditado y saneado de manera pública.
Más información:
Fuente: Hispasec