Lo + Nuevo
Adal Paredes
Tag

Slider

Visitando
ciberseguridad

El ataque ransomware a la UAB habría afectado hasta 650.000 archivos

El ataque informático en la Universitat Autònoma de Barcelona (UAB) afecta a más de 650.000 carpetas y archivos. La UAB iba a tardar “días” en recuperarse del ciberataque de ransomware… ahora la expectativa es hacerlo a las puertas de 2022 

Durante la madrugada del día 11 de octubre, los sistemas informáticos de la Universidad Autónoma de Barcelona cayeron: de un día para otro, una de las mayores universidades españolas se quedó sin página web, sin conexiones WiFi, sin bases de datos ni servicio interno de e-mail.

El ataque afectó “al sistema de virtualización que aloja gran parte de los servicios corporativos”, lo que provoca que no se puedan usar estos servicios y aplicativos.

Q: What to tell my boss?

A: Protect Your System Amigo.

Fuentes de la UAB aseguran que han comunicado el incidente a la Autoridad Catalana de Protección de Datos. Según la Autoridad, siempre que hay una violación de seguridad se la tiene que avisar y, “si es probable que la violación de seguridad de los datos conlleve un riesgo alto para los derechos y libertades de las personas físicas”, también se les tiene que comunicar “sin dilaciones indebidas y en un lenguaje claro y sencillo”. Hernández explica que “por precaución” no se atreven a descartar del todo ninguna posible filtración, pero hoy por hoy la ven improbable. Asegura, además, que siguen “al dedillo” el protocolo para estos casos y las recomendaciones de la Agencia de Ciberseguridad y la Autoridad de Protección de Datos. 

El comisionado del rector para las Tecnologías de la Información y la Comunicación, Jordi Hernández, ha explicado al ARA que no tienen ninguna constancia de que toda esta documentación haya salido de sus servidores. “Tenemos una red informática que mantiene un registro de todo lo que pasa, si toda esta gran cantidad de datos hubiera salido habría quedado constancia en el registro, y no tenemos ninguna constancia”, ha insistido Hernández.

Al día siguiente, los medios hablaban únicamente de la suspensión de las clases virtuales, pero ya se recogían declaraciones de los técnicos informáticos de la UAB reconociendo que la normalidad podría tardar “horas, días o semanas” en restablecerse.

La ‘nueva normalidad’ podría extenderse hasta 2022

Pues bien: días después, la normalidad sigue sin restablecerse. Y ya no se habla de “días o semanas”, sino de meses, concretamente de diciembre o enero. Por ahora, la red eduroam sigue sin funcionar, pero se ha habilitado una WiFi abierta provisional.

Siguiendo las instrucciones difundidas por la UAB, se permite el uso de ordenadores en las aulas convencionales (las informatizadas siguen cerradas), pero siempre y cuando permanezcan desconectados en todo momento. En los primeros días muchos estudiantes tuvieron que volver al lápiz y al papel para tomar apuntes, y ahora su mayor problema radica en cómo pueden hacerles llegar los profesores los apuntes y documentos de clase.

Con ese fin, algunos profesores han puesto en marcha sistemas basados en Google Drive, a la espera de que el próximo 2 de noviembre se ponga en marcha un entorno online completo que Microsoft está poniendo en marcha, basado en OneDrive, Outlook y Teams (con este último sustituyendo al anterior Campus Virtual).

Entre los trabajos a realizar por el Servei d’Informàtica Distribuïda (SID) de la universidad destaca que tendrán que chequear unos 10.000 ordenadores portátiles para comprobar si han sido afectados.

El sistema de detección de los ordenadores infectados es un kit que consiste en un lápiz de memoria con un software que chequea el dispositivo. Se examinarán los aparatos del profesorado, investigadores, administrativos y personal de servicios. Se descarta que los ordenadores de los estudiantes, por el tipo de acceso externo al sistema que tienen, puedan haberse visto afectados por la infección.

Search and buy domains from Namecheap. Lowest prices!

Ransomware PYSA – Mespinoza

PYSA, el ransomware que ataca a las escuelas

El ransomware PYSA es una variante del ransomware Mespinoza.

PYSA, que significa “Protect Your System Amigo”, fue nombrada por primera vez en documentos de código abierto en diciembre de 2019, dos meses después de que Mespinoza fuera descubierto en estado salvaje . Mespinoza usó originalmente la .locked extensión en archivos cifrados y luego pasó a usar .pysa. Debido a esto, muchos usan los nombres PYSA y Mespinoza indistintamente.

PYSA, como muchas familias de ransomware conocidas, se clasifica como una herramienta de ransomware como servicio (RaaS) . Esto significa que sus desarrolladores han alquilado este ransomware listo para usar a organizaciones criminales, que pueden no ser lo suficientemente hábiles técnicamente para producir el suyo propio. Los clientes de PYSA pueden personalizarlo en función de las opciones proporcionadas por los grupos RaaS e implementarlo a su gusto. PYSA es capaz de extraer datos de sus víctimas antes de cifrar los archivos que se van a rescatar.

El ransomware PYSA tiene al menos tres vectores de infección conocidos: ataques de fuerza bruta contra consolas de administración y cuentas de Active Directory (AD) , correos electrónicos de phishing y conexiones no autorizadas de Protocolo de escritorio remoto ( RDP ) a controladores de dominio. Una vez dentro de una red, los actores de amenazas se toman su tiempo para escanear archivos usando Advanced Port Scanner y Advanced IP Scanner, ambos son software gratuito y se mueven lateralmente dentro de la red usando PsExec .

Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
Alza de Precios

La Raspberry Pi subirá de precio por primera vez por la falta de chips

La escasez de semiconductores, y de otros componentes y elementos fundamentales para la industria tecnológica, como el cobre, por ejemplo, está pasando factura a numerosos sectores, y ni siquiera la Raspberry Pi se ha librado de sus efectos.

A pesar de que se ha producido un enorme aumento de la demanda de placas Raspberry Pi, la compañía no ha aumentado los precios de venta aprovechando su mayor tirón. Sin embargo, la escasez que hemos citado se ha tornado insostenible, y al final la Raspberry Foundation no ha tenido más remedio que subir precios.

La fuente de la noticia confirma que la Raspberry Pi en su versión de 2 GB de RAM, que bajó de precio a los 35 dólares, volverá a su precio original de 45 dólares. Esto representa una subida de 10 dólares, y un retorno al coste original ya que, de otra manera, no es viable desde el punto de vista económico, según la fundación.

Cuando dicen que no sería viable económicamente imaginamos que se refieren a que venderla por 35 dólares les haría perder dinero. Bajo esa perspectiva, se entiende perfectamente que tengan que volver a subir el coste.

Según el CEO de Raspberry, esta medida es temporal, y en cuanto la situación se empiece a normalizar volverán a reducir el precio de venta a esos 35 dólares. Lamentablemente, se espera que la situación no mejore de verdad durante 2022, así que todavía tenemos por delante un año complicado. El resto de productos de Raspberry se mantendrán, de momento, sin alteraciones en su precio de venta.

Dentro de lo malo, es una buena noticia que solo uno de los productos de la compañía haya tenido que subir de precio, pero habrá que esperar a ver cómo evoluciona la situación, ya que si la escasez empeora quizá veamos una subida de precios en buena parte de los productos de Raspberry.


Fuentes:

Seguir Leyendo
By
Economía

La hiperinflación ocurrirá pronto en el mundo y lo “cambiará todo” – Jefe de Twitter

En septiembre, la inflación creció un 5,4 % en EE.UU., en comparación con el año anterior, marcando el mayor aumento desde el 2008.

Escucha la noticia dando click en el audio 🙂

U.S. House of Representatives Energy and Commerce Committee/Handout / Reuters


El director ejecutivo y cofundador de Twitter, Jack Dorsey, emitió este sábado una advertencia de que la hiperinflación ocurrirá pronto y cambiará la situación en el mundo.

“La hiperinflación va a cambiar todo. Está ocurriendo”, escribió en su cuenta de Twitter. Respondiendo a un comentario bajo su publicación, Dorsey agregó: “Ocurrirá pronto en EE.UU. y también en el mundo”.

En septiembre, la inflación aumentó un 5,4 % en EE.UU., en comparación con el año anterior, debido a un crecimiento de los precios al consumidor, informó AP a mediados de octubre, subrayando que se trata del mayor aumento desde el 2008.

Por su parte, el presidente de la Reserva Federal de EE.UU., Jerome Powell, afirmó este viernes que “es probable” que la presión de la inflación dure más de lo esperado previamente y puede que continúe el próximo año, recoge la CNBC.

En ese contexto, varios expertos opinan que la demanda del bitcóin está relacionada con la amenaza de un alto nivel inflacionario. “El miedo a la inflación, si no a la hiperinflación absoluta, ayuda a explicar el aumento vertiginoso del bitcóin”, reza un artículo de Bloomberg publicado en marzo de este año. Mientras tanto, el inversor multimillonario Paul Tudor Jones declaró a la CNBC esta semana que considera que el bitcóin es un buen medio para protegerse del impacto de la inflación, “Claramente, hay lugar para la criptomoneda. Claramente está ganando la carrera contra el oro en este momento”, aseguró.

Fuente (s) :

Creditos Musica :

Seguir Leyendo
By
Google

Google advierte secuestro de cuentas de YouTubers con malware que roba cookies

Google dice que los creadores de YouTube han sido blanco de malware que roba contraseñas en ataques de phishing coordinados por actores de amenazas motivados financieramente. Los investigadores del Grupo de Análisis de Amenazas (TAG) de Google, que vieron la campaña por primera vez a fines de 2019, descubrieron que varios actores de piratería contratados reclutados a través de anuncios de trabajo en foros de habla rusa estaban detrás de estos ataques. Los actores de amenazas utilizaron ingeniería social (a través de páginas de destino de software falsas y cuentas de redes sociales) y correos electrónicos de phishing para infectar a los creadores de YouTube con malware que roba información, elegido según las preferencias de cada atacante.

Search and buy domains from Namecheap. Lowest prices!

Canales secuestrados en ataques de paso de cookies

El malware observado en los ataques incluye cepas de productos básicos como RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad y Kantal, y de código abierto como  Sorano  y  AdamantiumThief .

Una vez entregado en los sistemas de los objetivos, el malware se utilizó para robar sus credenciales y cookies del navegador, lo que permitió a los atacantes secuestrar las cuentas de las víctimas en ataques de paso de cookies.

«Si bien la técnica ha existido durante  décadas , su resurgimiento como un riesgo de seguridad superior podría deberse a una adopción más amplia de la autenticación multifactor (MFA), lo que dificulta la realización de abusos y el cambio de enfoque del atacante a tácticas de ingeniería social», dijo. Ashley Shen, ingeniera de seguridad de TAG.

«La mayor parte del malware observado fue capaz de robar tanto las contraseñas de los usuarios como las cookies. Algunas de las muestras emplearon varias técnicas anti-sandboxing, incluidos archivos ampliados, archivos cifrados y encubrimiento de IP de descarga».

Google identificó al menos 1.011 dominios vinculados a estos ataques y aproximadamente 15.000 cuentas de actores creadas específicamente para esta campaña y utilizadas para enviar correos electrónicos de phishing que contienen enlaces que redireccionan a páginas de destino de malware a los correos electrónicos comerciales de los creadores de YouTube.

Vendido por hasta $ 4,000 en mercados clandestinos

Una cantidad significativa de canales de YouTube secuestrados en estos ataques fueron posteriormente renombrados para hacerse pasar por ejecutivos tecnológicos de alto perfil o firmas de intercambio de criptomonedas y se utilizaron para estafas de criptomonedas de transmisión en vivo.

Otros se vendieron en mercados clandestinos de negociación de cuentas, donde valen entre $ 3 y $ 4,000, dependiendo de su número total de suscriptores.

Shen agregó que el Grupo de Análisis de Amenazas de Google redujo los correos electrónicos de phishing vinculados a estos ataques en Gmail en un 99,6% desde mayo de 2021.

«Bloqueamos 1,6 millones de mensajes dirigidos a objetivos, mostramos ~ 62.000 advertencias de páginas de phishing de Navegación segura, bloqueamos 2,400 archivos y restauramos con éxito ~ cuentas de 4K», dijo Shen. .

«Con mayores esfuerzos de detección, hemos observado que los atacantes se desplazan de Gmail a otros proveedores de correo electrónico (principalmente email.cz, seznam.cz, post.cz y aol.com)».

Google también informó de esta actividad maliciosa al FBI para que se investigue más a fin de proteger a los usuarios y creadores de YouTube a los que se dirige la campaña.

Fuente (s) :

Seguir Leyendo
By
Brave Browser

Por privacidad, Brave integra búsquedas en el navegador y elimina Google

Brave Browser ha reemplazado a Google con su propio Brave Search sin seguimiento y centrado en la privacidad como motor de búsqueda predeterminado para nuevos usuarios en cinco regiones. Brave es un navegador de código abierto basado en Chromium que se centra en la privacidad del usuario al bloquear automáticamente los anuncios y rastreo de scripts y elimina las funciones invasoras de la privacidad integradas en Chromium.

Históricamente, Brave usó Google como su motor de búsqueda predeterminado cuando buscaba desde la barra de direcciones. Sin embargo, Google es conocido por rastrear las actividades, el comportamiento y los intereses de los usuarios, lo que no lo convierte en una buena opción para un navegador centrado en la privacidad.

Hoy, Brave anunció que su Brave Search centrada en la privacidad se ha convertido ahora en el motor de búsqueda predeterminado para nuevos usuarios en los Estados Unidos, Canadá y el Reino Unido. Brave Search también reemplaza a Qwant en Francia y DuckDuckGo en Alemania. 

“La actualización del navegador de escritorio Brave de hoy (versión 1.31), así como la aplicación Brave para Android (versión 1.31) y la aplicación Brave para iOS (versión 1.32) ofrecen automáticamente Brave Search como predeterminado para los nuevos usuarios en estos cinco países, con versiones localizadas en geografías no inglesas”anunció Brave.

Brave Search se lanzó por primera vez el 22 de junio de 2021 y utiliza su propio índice de búsqueda independiente y una impresionante variedad de características de seguridad:

  • Privacidad: sin seguimiento ni elaboración de perfiles de usuarios.
  • Primero el usuario: el usuario es lo primero, no las industrias de publicidad y datos.
  • Independencia: Brave tiene su propio índice de búsqueda para responder consultas comunes de forma privada sin depender de otros proveedores.
  • Elección: pronto, opciones para búsqueda de pago sin publicidad y búsqueda con publicidad.
  • Transparencia: sin métodos secretos o algoritmos para sesgar los resultados, y pronto, modelos de clasificación abiertos seleccionados por la comunidad para garantizar la diversidad y prevenir sesgos algorítmicos y censura absoluta.
  • Transparencia: la mejor integración de su clase entre el navegador y la búsqueda sin comprometer la privacidad, desde la personalización hasta los resultados instantáneos a medida que el usuario escribe.
  • Apertura: Brave Search pronto estará disponible para impulsar otros motores de búsqueda.

Estas características de privacidad parecen resonar en los usuarios, ya que han aumentado a 80 millones de consultas por mes desde el lanzamiento de junio.

“Brave Search ha crecido significativamente desde su lanzamiento en junio pasado, con casi 80 millones de consultas por mes. Nuestros usuarios están satisfechos con la solución de privacidad integral que Brave Search ofrece contra Big Tech al estar integrada en nuestro navegador”, dijo Brendan Eich, CEO de y cofundador de Brave.

Si bien Brave Search actualmente no muestra anuncios, pronto contará con publicidad. Brave afirma que ofrecerán una versión premium sin publicidad en el futuro, pero no hay detalles sobre el costo del servicio. 

Para aquellos que quieran ayudar a Brave Search a ser más útil y mostrar resultados de búsqueda relevantes, Brave también lanzó hoy Web Discovery Project. Si opta por el Proyecto de descubrimiento web, Brave Browser cargará datos anónimos sobre búsquedas y visitas a páginas web realizadas en el navegador. Estos datos se utilizarán para refinar el índice de Brave Search y mostrar resultados de búsqueda más relevantes.

Esta función está deshabilitada de forma predeterminada, pero los usuarios pueden unirse al proyecto yendo a Configuración > Buscar y habilitando la configuración ‘Proyecto de descubrimiento web’.

Fuente (s) :

Seguir Leyendo
By
Bitcoin

Bitcoin alcanza máximo histórico al cotizar el primer ETF de futuros Bitcoin llamado “BITO”

El fondo cotizado en bolsa ProShares Bitcoin Strategy comenzó con $ 20 millones de capital inicial.

El precio de Bitcoin subió el martes a un máximo de seis meses, superando los $ 63,000 cuando el tan esperado fondo cotizado en bolsa (ETF) de ProShares comenzó a cotizar en la Bolsa de Valores de Nueva York (NYSE).

La criptomoneda más grande ha subido un 33% durante el último mes debido a las expectativas de que la Comisión de Bolsa y Valores de EE. UU. (SEC) apruebe el fondo cotizado en bolsa, que invierte en contratos de futuros vinculados a la criptomoneda.

El ETF ProShares Bitcoin Strategy comenzó a cotizar a las 9:30 a.m. ET cuando sonó la campana para abrir la sesión del día en la Bolsa de Valores de Nueva York. La cotización bursátil es $ BITO.

El volumen de operaciones del primer día en $ BITO pareció sólido, con al menos 1,5 millones de acciones del ETF cambiando de manos en las primeras dos horas, o más de $ 620 millones por valor.

En el momento de la publicación a las 16:20 hora universal coordinada (12:20 p.m. ET), el precio de las acciones de $ BITO se cotizaba a $ 40,83, un 2,1% más que el valor liquidativo inicial de $ 40. Durante el mismo período de tiempo, bitcoin subió un 1.3% a $ 62,571.

Impacto de mercado
El ETF, el primero de su tipo en los EE. UU., Ofrece a los inversores la oportunidad de obtener exposición a los rendimientos de BTC con la facilidad de comprar acciones en una cuenta de corretaje. La SEC aprobó el ETF el viernes, y varias otras propuestas de ETF pendientes podrían obtener la aprobación de la Comisión de Bolsa y Valores a finales de esta semana.

La gran pregunta para los operadores de criptomonedas es cuánta presión adicional de precios al alza podría provenir del debut del nuevo ETF.

Michele Schneider, directora general de MarketGauge, dijo en CoinDeskTV el martes que le gusta esperar al menos una semana al salir con una nueva oferta de acciones para evaluar si tiene éxito.

“Entonces, si obtenemos buena volatilidad, buena liquidez y desarrollamos algún tipo de interés continuo y vemos que la moneda en sí continúa subiendo, entonces creo que probablemente eso sería suficiente evidencia”, dijo Schneider.

El ETF de ProShares está estructurado para invertir en contratos de futuros de bitcoins negociados en CME con sede en Chicago, en lugar de invertir directamente en la criptomoneda. Por lo tanto, el ETF por sí solo no introducirá ninguna nueva demanda de bitcoin. Sin embargo, los comerciantes pueden comprar más bitcoins si buscan protegerse contra el precio de futuros o aprovechar las disparidades de precios.

Según los datos publicados en el sitio web de ProShares, el ETF comenzó el día con un capital inicial de 20 millones de dólares:

Search and buy domains from Namecheap. Lowest prices!

Dave Nadig, director de investigación de ETF Trends, tuiteó que el comercio de $ BITO parecía “ordenado” y “estable” en los primeros momentos después de que el ETF se puso en marcha.

Fuente (s) :

Seguir Leyendo
By
AI

Ladrones clonan la voz del director de una empresa con IA para robar 35 millones de dólares

Escucha la noticia dando click en el audio 🙂

Unos delincuentes parecen haber robado 35 millones de dólares de un banco de Emiratos Árabes Unidos con la ayuda de un voz sintética creada con inteligencia artificial, según una información publicada la revista Forbes. Estas voces “deepfake” fueron utilizadas para engañar a un empleado del banco haciéndole creer que estaba haciendo una transacción comercial legítima asociada con el banco.

  • En la sucursal bancaria de los Emiratos Árabes Unidos recibieron una llamada telefónica de alguien que aseguraba ser el director de una empresa, una persona con quien el gerente del banco ya había hablado en distintas ocasiones.
  • La llamada telefónica con voz clonada junto a unos correos electrónicos falsos sirvieron para avisar a los trabajadores del banco de que se iba a realizar pronto una gran transferencia, que empezó en cuanto fue aprobada.
  • Según las investigaciones, los delincuentes “utilizaron la tecnología deepfake para simular la voz del director” y se calcula que hubo al menos 17 personas involucradas en el proceso. Además, después se distribuyó el dinero por cuentas bancarias de distintos países para que fuese complicado de recuperar.

 

Según informan en Gizmodo, en un robo se clonó la voz de un conocido del gerente de un banco para realizar una transferencia ilegal que superaba los 35 millones

La historia, que proviene de un documento judicial recién descubierto, tuvo lugar en enero pasado, cuando el gerente de la sucursal del banco (no se ha hecho público cual) recibió una llamada telefónica aparentemente normal. La persona que estaba al otro lado del teléfono afirmó ser el director de una gran empresa con la que el gerente había hablado anteriormente y que además sonaba igual que ellos, afirma el documento judicial. Esto, junto con lo que parecían ser una serie de correos electrónicos de la empresa y de su abogado, convenció al gerente de la sucursal de que iba a cerrar un gran negocio por valor de 35 millones de dólares. Posteriormente, siguiendo con las órdenes de la persona que había llamado, comenzó a realizar una serie de transferencias de dinero de la empresa a varias cuentas. Desafortunadamente, todo resultó ser una sofisticada estafa.

Los investigadores de Dubai a cargo del caso han revelado que los delincuentes “utilizaron una tecnología ‘deep voice’ para imitar la voz del director”. Las autoridades creen que en este plan participaron hasta 17 personas diferentes y que el efectivo robado fue canalizado hacia diversas cuentas bancarias repartidas por todo el mundo.

Lo creas o no, esta no es la primera vez que sucede algo así. En 2019, una empresa energética en Reino Unido sufrió un destino similar: los estafadores lograron robar unos 243.000 dólares haciéndose pasar por el director ejecutivo de la empresa. Y, según expertos en inteligencia artificial, tampoco es probable que vaya a ser la última vez.

“Los ‘deep fakes’ de vídeo y de audio representan el fascinante desarrollo tecnológico del siglo XXI, pero también son increíblemente peligrosas y representan una gran amenaza para los datos, el dinero y las empresas”, dijo a Forbes Jake Moore, experto en ciberseguridad. “Actualmente estamos viendo cómo actores malintencionados utilizan su experiencia y recursos para acceder a lo último en tecnología para manipular a personas que, inocentemente, desconocen el alcance de estas tecnologías de ‘deep fake’ e incluso su existencia”.

Fuente (s) :

Créditos Música :

Sundown by | e s c p | https://escp-music.bandcamp.com
Music promoted by https://www.free-stock-music.com
Attribution 4.0 International (CC BY 4.0)
https://creativecommons.org/licenses/by/4.0/

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
Economía

AMLO descarta adopción del Bitcoin como moneda de curso legal

Amazon Prime Envíos Gratis ilimitados

El presidente López Obrador dijo que su gobierno mantendrá la ortodoxia en el manejo de las finanzas y no innovará.

Escucha la noticia dando click en el audio 🙂

El presidente Andrés Manuel López Obrador descartó este jueves que México vaya a adoptar el bitcon como una moneda de curso legal, tal y como ya lo hace El Salvador.

En conferencia de prensa desde Palacio Nacional, el mandatario federal afirmó que su administración mantendrá la ortodoxia en el manejo de las finanzas públicas y no innovará en ese aspecto.

“No vamos nosotros a cambiar en ese aspecto, pensamos que debemos de mantener ortodoxia en el manejo de las finanzas. No tratar de innovar mucho en el manejo financiero”, dijo el jefe del Ejecutivo federal.

Search and buy domains from Namecheap. Lowest prices!

López Obrador sostuvo que uno de los principales objetivos de su gobierno es cuidar que los mexicanos tengan un buen ingreso, que no haya evasión fiscal.

En ese sentido, el presidente de la República afirmó que no se ha tenido ningún problema respecto a la recaudación y con ello se podrá financiar el desarrollo del país.

“Van bien las finanzas y llevamos ejercidos como el 80% del presupuesto autorizado de este año, falta el 20% pero ya estamos por terminar.

“No vamos a tener problemas para cerrar el año con sueldos, con aguinaldos, con pago a proveedores, a las empresas constructoras, estamos también ayudando a los estados para que puedan cerrar sin problema, sobre todo con el pago de sus nóminas y esto es posible porque se terminó el sistema de devolución de impuestos a los grandes y ahora tiene que pagar”, comentó.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

‘SIM swapping’, qué es y como prevenir ser victima de este fraude

Cuidado, si tu móvil deja de tener cobertura, ten miedo: un nuevo fraude telefónico conocido como ‘SIM swapping’ está siendo utilizado para que hackers duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentique en nuestro banco y nos robe todo el dinero.

Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta en el servicio con ese mismo sistema, lo que una vez más deja en evidencia la debilidad de mecanismos como el de los mensajes SMS para los sistemas de autenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, y no los SMS que cada vez son más vulnerables en este ámbito.

Cuidado, esta historia de terror te podría ocurrir a ti

En El País contaban recientemente un caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó que alguien se había hecho pasar por él para solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.

Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esa tendencia al alza de los casos de SIM swapping.

Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.

Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta tras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.

Hay aquí dos problemas claros: en primer lugar, que pedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

El SIM swapping permite suplantar la identidad de cualquiera, incluido el CEO de Twitter

Esta técnica permite burlar las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino también en otros muchos escenarios.

Se demostró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó que de repente en su cuenta de Twitter (@jackaparecieran mensajes ofensivos y racistas que fueron posteriormente eliminados.

El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacante usara la función de publicar en Twitter mediante mensajes SMS que fue una de las características originales del servicio.

Los mensajes ofensivos provocaron una reacción inmediata en Dorsey, que anunció que Twitter deshabilitaba el envío de mensajes a la plataforma a través de SMS.

La solución está en nuestras manos (pero también en la de las operadoras y los bancos)

Como decíamos anteriormente, el problema de este ciberataque —que no es el único que afecta a las tarjetas SIM— es que tiene dos caras muy separadas, ambas con su propia solución interdependiente: si no se solucionan los dos, el problema seguirá presente.

El primero está en quienes manejan esa información, las operadoras, que deberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM. Las verificaciones de identidad aquí deben ser exhaustivas para evitar los problemas que se han producido con estos casos.

También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha visto es muy vulnerable desde hace ya tiempo, como apuntaba el experto en seguridad Bruce Schneier. Es por esta razón por la que todas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.

Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Microsoft Authenticator, Google Authenticator o Authy están entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.

Search and buy domains from Namecheap. Lowest prices!

Aún más interesantes son las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android podía convertirse también en una llave de seguridad.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

FontOnLake: nuevo malware dirigido a Linux con capacidades de troyano, backdoor y rootkit

Investigadores de ESET descubren FontOnLake, una familia de malware que utiliza herramientas personalizadas y bien diseñadas para atacar sistemas operativos que funcionan bajo Linux. La naturaleza  de las herramientas de FontOnLake en combinación con su diseño avanzado y baja prevalencia sugieren que ha sido diseñado para ataques dirigidos

Los investigadores de ESET han descubierto una familia de malware previamente desconocida que utiliza módulos personalizados y bien diseñados para atacar a sistemas que corren Linux. Los módulos utilizados por esta familia de malware, a la cual hemos denominado FontOnLake, están en constante desarrollo y brindan a los operadores acceso remoto, permite recopilar credenciales y sirven como un servidor proxy. En esta publicación, quedan resumidos los hallazgos que explican con más detalle en el whitepaper.

Para recopilar datos (por ejemplo, credenciales ssh) o realizar otra actividad maliciosa, esta familia de malware utiliza binarios legítimos modificados que son ajustados para cargar más componentes. De hecho, para ocultar su existencia, la presencia de FontOnLake siempre va acompañada de un rootkit. Estos binarios como cat, kill o sshd se utilizan comúnmente en sistemas Linux y, además, pueden servir como mecanismo de persistencia.

La naturaleza camaleónica de las herramientas de FontOnLake en combinación con un diseño avanzado y una baja prevalencia sugiere que son utilizadas en ataques dirigidos.

El primer archivo conocido de esta familia de malware apareció en VirusTotal en mayo pasado y se cargaron otras muestras a lo largo del año. La ubicación del servidor C&C y los países desde los que se cargaron las muestras en VirusTotal podrían indicar que sus objetivos incluyen el sudeste asiático.

Se cree que los operadores de FontOnLake son particularmente cautelosos, ya que casi todas las muestras analizadas utilizan servidores C&C únicos con diferentes puertos no estándar. Los autores utilizan principalmente C/C ++ y varias bibliotecas de terceros, como BoostPoco, o Protobuf. Ninguno de los servidores de C&C utilizados en las muestras cargadas a VirusTotal estaban activos al momento de escribir este artículo, lo que indica que podrían haberse desactivado debido a la carga.

Componentes conocidos de FontOnLake

Los componentes actualmente conocidos de FontOnLake se pueden dividir en tres grupos que interactúan entre sí:

  • Aplicaciones troyanizadas: binarios legítimos modificados que son utilizados para cargar más componentes, recopilar datos o realizar otras actividades maliciosas.
  • Backdoors: componentes en modo usuario que funcionan como el punto de comunicación principal para sus operadores.
  • Rootkits: componentes en modo kernel que en su mayoría ocultan y disfrazan su presencia, ayudan con las actualizaciones o proporcionan backdoors de respaldo.

Aplicaciones troyanizadas

Descubren múltiples aplicaciones troyanizadas; se utilizan principalmente para cargar módulos personalizados de backdoor o rootkit. Aparte de eso, también pueden recopilar datos confidenciales. Lo más probable es que los parches de las aplicaciones se apliquen a nivel de código fuente, lo que indica que las aplicaciones deben haber sido compiladas y reemplazadas por las originales.

Todos los archivos troyanizados son utilidades estándar de Linux y cada uno sirve como método de persistencia porque normalmente se ejecutan al iniciar el sistema. Se desconoce la forma en que inicialmente estas aplicaciones troyanizadas llegan a sus víctimas.

La comunicación de una aplicación troyanizada con su rootkit se ejecuta a través de un archivo virtual, el cual es creado y administrado por el rootkit. Como se muestra en la Imagen 1, los datos pueden leerse/escribirse desde/hacia el archivo virtual y exportarse con su componente de backdoor según solicite el operador.

Search and buy domains from Namecheap. Lowest prices!

Backdoors

Los tres backdoors diferentes que descubrimos están escritos en C++ y todos usan, aunque de forma ligeramente diferente, la misma biblioteca Asio de Boost para redes asíncronas y entradas/salidas de bajo nivel. También utilizan PocoProtobuf y funciones de STL como punteros inteligentes. Lo que es raro en el malware es el hecho de que estos backdoors también presentan una serie de patrones de diseño de software.

La funcionalidad que todos tienen en común es que cada uno exfiltra las credenciales recopiladas y su historial de comandos bash a su C&C.

Teniendo en cuenta la superposición de funciones, lo más probable es que estos diferentes backdoors no se utilicen juntos en un sistema comprometido.

Además, todos los backdoors utilizan comandos de heartbeat personalizados que son enviados y recibidos periódicamente para mantener activa la conexión.

La funcionalidad principal de estos backdoors consta de los siguientes métodos:

  • Exfiltrar los datos recopilados
  • Crear un puente entre un servidor ssh personalizado que se ejecuta localmente y su C&C
  • Manipular archivos (por ejemplo, cargar/descargar, crear/eliminar, listar directorios, modificar atributos, etc.)
  • Actuar como proxy
  • Ejecutar comandos de shell arbitrarios y scripts de Python

Rootkit

Descubrimos dos versiones diferentes del rootkit, utilizadas de a una a la vez, en cada uno de los backdoors. Existen diferencias significativas entre esos dos rootkits, sin embargo, ciertos aspectos de ellos se superponen. Aunque las versiones de rootkit se basan en el proyecto de código abierto suterusu, contienen varias de sus técnicas exclusivas y personalizadas.

La funcionalidad combinada de estas dos versiones del rootkit que descubrimos incluye:

  • Proceso de ocultación
  • Ocultación de archivos
  • Ocultación de sí mismo
  • Ocultación de conexiones de red
  • Exposición de las credenciales recopiladas a su backdoor
  • Reenvío de puertos
  • Recepción de paquetes mágicos (los paquetes mágicos son paquetes especialmente diseñados que pueden indicar al rootkit que descargue y ejecute otro backdoor)

Tras nuestro descubrimiento y mientras finalizamo el whitepaper sobre este tema, proveedores como Tencent Security Response CenterAvast y Lacework Labs publicaron su investigación sobre lo que parece ser el mismo malware.

Todos los componentes conocidos de FontOnLake son detectados por los productos ESET como Linux/FontOnLake. Las empresas o personas que deseen proteger sus terminales o servidores de Linux de esta amenaza deben utilizar un producto de seguridad de varias capas y una versión actualizada de su distribución de Linux. Algunas de las muestras que hemos analizado fueron creadas específicamente para CentOS y Debian.

Fuente (s) :

Seguir Leyendo
By