• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Como vimos hace unos días en “Very Attacked Persons: la seguridad informática que se centra en personas”, el phishing representa el grueso de la “actividad laboral” de la mayoría de los grupos de cibercriminales.

Por este motivo, en MuySeguridad hemos elaborado un artículo especial en el que analizamos los principales tipos de phishing a los que te puedes enfrentar, ya seas un usuario individual, ya seas una empresa. Aprender a distinguirlos y reconocer las características intrínsecas de cada uno de ellos es vital para protegerse y ofrecer la mejor respuesta.

Phishing tradicional

También conocido como Deceptive Phishing, el phishing tradicional es una técnica de ataque por la cual el cibercriminal suplanta la identidad de una marca con el objetivo de ganarse la confianza de su víctima para sonsacarle información personal (por ej: contraseñas de su cuentas bancarias).

En este tipo de ataque, la víctima recibe habitualmente un correo electrónico que aparentemente proviene de una marca o empresa en la que confía: su entidad bancaria, una administración pública, una compañía en la que tiene activa una cuenta (Paypal, Apple, Amazon, Correos, etc.).

En dicho correo se le sugiere que pulse en un enlace tal vez para actualizar sus datos, cambiar su contraseña, etc. que en realidad apunta a una URL que clonando la original, y bajo cualquier excusa solicita al usuario que introduzca información personal sensible que posteriormente, es capturada por el atacante.

Malware-Based Phishing

En este tipo de ataque, la víctima recibe un mail que de nuevo suplanta la identidad de una marca pero que además, incluye como documento adjunto un archivo que es malicioso y que una vez abierto, infecta el dispositivo de la víctima.

Una forma habitual de malware-based phishing es por ejemplo hacerse pasar por una compañía se servicios que nos informa que nos remite por correo nuestra última factura, en forma de documento PDF. Una variante de este tipo de ataque anima al usuario a pulsar un enlace que apunta a ese archivo que se descarga en nuestro equipo y una vez abierto, lo infecta.

Spear Phishing

Mientras que en los dos casos anteriores hablamos de un tipo de ataque indiscriminado (normalmente incluye miles o millones de envíos), en el caso del Spear Phishing hablamos de un tipo de ataque personalizado. El cibercriminal pone en este sentido, su punto de mira en una persona concreta, apuntando normalmente a puestos clave de la compañía interesa.

Suele informarse en este sentido de su nombre, el puesto que ocupa en la compañía, su presencia en redes sociales, etc. El objetivo habitual en este tipo de ataque no viene tanto motivado por el móvil económico, sino como acceder a cierto tipo de información confidencial de la compañía. Junto al e-mail, se han detectado este tipo de ataques en todo tipo de redes sociales.

Vishing

Vishing responde a la contracción de los términos Voice y Phishing. Más sofisticado que el phishing tradicional, en el Vishing implica el uso del teléfono. En este tipo de “campañas” se convence a la víctima a llamar a un número determinado, que simula por ejemplo, ser el call center de una empresa de confianza.

Otra opción es que sea el propio hacker el que realice las llamadas, haciéndose pasar por un comercial o un profesional del departamento de atención al cliente de esta empresa. En los últimos tiempos este tipo de ataques se han trasladado también a altavoces inteligentes, con el intento de posicionar skills en dispositivos como Amazon Echo.

Smishing

Si en el Vishing se hace uso de la voz, en el Smishing el ingrediente principal son los mensajes SMS. Haciéndose pasar por una empresa de confianza el atacante informa a sus víctimas que han ganado un premio, la participación en un sorteo o el anuncio de una promoción exclusiva que no pueden dejar pasar.

A partir de aquí a la víctima se le puede pedir que pulse en un enlace determinado, que llame a un número de teléfono concreto o que responda al mensaje. Además de por SMS este tipo de ataques se han popularizado en las principales plataformas de mensajería instantánea, como WhatsApp, Facebook Messenger o Telegram.

SEO Phishing

En este tipo de ataque, los cibercriminales consiguen posicionar una página maliciosa, que clona a la original, en una mejor posición dentro del algoritmo de los principales buscadores.

De este modo, cuando se realiza una búsqueda, la original queda por debajo de la infectada en el ranking de motores de búsqueda como Google o Bing. Difícil de conseguir para grandes empresas, este tipo de ataques tienen más éxito cuando de lo que se trata es de suplantar la identidad de empresas menos conocidas para el público en general y suele dirigirse a nichos muy concretos.

Suplantación del CEO o el CEO impostor

Uno de los ataques de phishing que más popular se ha vuelto en los últimos tiempos. En este caso, el atacante se hace pasar por el CEO de una compañía, muchas veces suplantando su dirección de correo electrónico.

A continuación escribe un mail a perfiles específicos de la empresa solicitando que se le remita bien un tipo de información muy concreta, bien que realice una transferencia económica a una cuenta determinada.

Pharming

Más sofisticada que las anteriores, en el Pharming los cibercriminales accedes a los archivos host de una empresa o al sistema de nombres de dominio de la misma.  Como resultado, las solicitudes de URL devuelven una dirección falsa y las comunicaciones se dirigen a un sitio web falso. Los usuarios introducen sus credenciales o información confidencial en el mismo, sin saber que está controlado por los cibercriminales.

por Rodolfo Fri, 15 Feb 2019 11:41:25 +0000

Entornos multicloud: un desafío para la seguridad

El cloud se ha convertido en uno de los activos IT más importante para las empresas. Un espacio en el que las compañías cada vez intercambian más información confidencial y datos de negocio. Tanto es así que según el “Informe sobre Adopción y Riesgos en la Nube” elaborado por McAfee,  el intercambio de este tipo de datos en entornos cloud aumenta un 53% cada año y  las infraestructuras en la nube ya contienen un 21% de datos confidenciales.

Hasta aquí nada especialmente interesante. Pero la cosa cambia si introducimos en la ecuación preguntas sobre la securización de esos datos, la responsabilidad que tienen las plataformas o qué papel deben jugar las empresas en unas infraestructuras que en la mayoría de los casos, no controlan de forma directa. Pues bien, aquí los expertos de McAfee llaman la atención sobre lo que denominan el “Modelo de Responsabilidad Compartida de los entornos cloud” o dicho de otra forma: en realidad, las organizaciones son más responsables de la seguridad de su nube
de lo que creen.

Lo que explican desde la compañía americana es que los proveedores de entornos cloud (Microsoft, Google, Amazon, Salesforce, etc.) son únicamente responsables de la seguridad de su infraestructura, pero no tanto de cómo se utiliza. Es este sentido indican que muchas empresas tienden a ignorar que que el proveedor de servicios cloud únicamente se hace responsable de la seguridad del hardware y software de la propia nube, mientras que el cliente es responsable de la seguridad de sus recursos en cloud. Confían en este sentido que como los proveedores de servicios en la nube ofrecen infraestructuras profesionales, la seguridad está integrada por defecto, cuando esto no tiene por qué ser así. Encriptar datos, emplear software anti-malware y configurar los controles de acceso recaen en el tejado del usuario.

“No hay que olvidar que la nube es también una red. Y, al igual que las redes, los centros de datos son susceptibles de recibir amenazas. La infraestructura en la nube tiene sus propias vulnerabilidades: si un servidor está comprometido, el malware potencialmente puede migrar a otros servidores vulnerables en el mismo entorno,” explica Ángel Ortiz, Director Regional de McAfee en España. “Este camino lateral se conoce como el tráfico ‘este-oeste’ de la red y es mucho más prominente en entornos virtualizados. Además, existen retos únicos de gestión en la nube, como orquestar controles de seguridad en un entorno dinámico que se transforma constantemente o automatizar los procesos”. ¿De qué forma pueden las empresas proteger sus activos en la nube? Desde la compañía de ciberseguridad, proponen las siguientes medidas.

No asumir quién protege el entorno cloud

La nube es compleja por naturaleza y ese hecho puede hacer pasar por alto puntos ciegos. Es importante determinar quién se responsabiliza de todos los elementos de la nube, pues asumir la propiedad sin consultar con el proveedor puede dejar vulnerable a una organización en caso de sufrir un ataque.

Trabajar con el proveedor de servicios cloud para construir la estrategia de seguridad desde la base

Como marca el Modelo de Responsabilidad Compartida, la seguridad es una tarea conjunta entre el proveedor y el cliente. En vez de implementar medidas de seguridad una vez descubierta una vulnerabilidad, es importante aliarse con el proveedor para prevenir ataques desde el principio.

Contar con un equipo de seguridad flexible que piense transversalmente en la nube

Los nuevos métodos para desarrollar aplicaciones en la nube hacen que el Modelo de Responsabilidad Compartida que ha funcionado hasta ahora se vuelva menos claro. Por eso, los profesionales de ciberseguridad necesitan estar preparados para proteger la nube de sus organizaciones, asumiendo que su proveedor únicamente se hace cargo de los requisitos de seguridad mínimos.

Emplear plataformas de seguridad integrales que protejan tanto el endpoint como la nube

Algunas soluciones de ciberseguridad proporcionan protección de datos y amenazas en Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) y Platform-as-a-Service (PaaS), y permiten a las compañías adoptar servicios en la nube al tiempo que protegen la infraestructura y los datos confidenciales, deteniendo las amenazas más avanzadas.

por Rodolfo Thu, 14 Feb 2019 11:34:27 +0000

cuentas robadas

Un paquete de 617 millones de cuentas robadas ha aparecido a la venta en un mercado clandestino de la Dark Web por un valor de 20.000 dólares en Bitcoin. Unos días después, el vendedor ha puesto en circulación un segundo paquete con 127 millones de cuentas, que vende por un valor en Bitcoin de 14.500 dólares.

No es la primera vez que se vende en la Internet Oscura este tipo de datos, pero ésta es relevante por el número de cuentas y los distintos servicios involucrados: Dubsmash (162 millones), MyFitnessPal (151 millones), MyHeritage (92 millones), ShareThis (41 millones), HauteLook (28 millones), Animoto (25 millones), EyeEm (22 millones), 8fit (20 millones), Whitepages ( 18 millones), Fotolog (16 millones), 500px (15 millones), Armor Games (11 millones), BookMate (8 millones), CoffeeMeetsBagel (6 millones), Artsy (1 millón) y DataCamp (700,000).

La base de datos incluye nombres de usuario, contraseñas, direcciones de correo, ubicación, tokens de autenticación de redes sociales y otros datos personales. Según The Register, que ha tenido acceso al listado, las cuentas parecen legítimas, aunque no quieren decir que estén en uso.

Al menos no deberían, porque en muchos de los casos se trata de una compilación de cuentas robadas (seguramente sumando otras bases de datos más pequeñas) recopiladas de diferentes ataques informáticos a lo largo de los últimos años y se supone que las cuentas han sido reseteadas. No todas, porque algunos de los servicios citados podrían ser ciberataques no revelados y esas cuentas sí estarían actualmente en uso.

Por lo que comentan, no hay información de tarjetas de crédito y servicios de pago. Además, una parte de contraseñas están encriptadas y deben ser descifradas antes de poder usarlas. Algo que no será complicado en las que se procesaran usando algoritmos obsoletos como MD5.

Contactado por The Register, el vendedor dice tener a la venta otras bases de datos más pequeñas con destino principal a los que se dedican a envío de spam, malware y ataques ataques informáticos automatizados de relleno de credenciales. El caso sale a la luz un mes después de revelarse la segunda mayor fuga de datos de la historia con 773 millones de cuentas de correo.

Puedes comprobar si estás afectado por éste u otros casos de cuentas robadas en el sitio web Have I Been Pwned. Tanto si estás afectado como si no, este caso es un recordatorio de la necesidad de guardar a buen recaudo nuestros datos y seguir las reglas elementales para la creación de contraseñas.

  • No usar palabras típicas o números comunes
  • Combinar mayúsculas y minúsculas
  • Combinar números con letras
  • Añadir caracteres especiales
  • Alargar el término con el mayor número de dígitos
  • No utilizar la misma contraseña en todos los sitios
  • Especialmente, usar contraseñas específicas para banca y sitios de compra on-line
  • Mantener la contraseña a salvo de cualquier tercero
  • Valorar el uso de gestores de contraseñas
  • Reforzar el uso de contraseñas con otros sistemas, doble autenticación o sistemas biométricos

Por supuesto, también es necesario que los grandes servicios aseguren la seguridad de los datos de los clientes.

ACTUALIZACIÓN:

El vendedor ha puesto en circulación un segundo paquete con 127 millones de cuentas, que vende por un valor en Bitcoin de 14.500 dólares. Las cuentas afectan a:

  • Houzz — 57 millones de cuentas
  • YouNow — 40 millones de cuentas
  • Ixigo — 18 millones de cuentas
  • Stronghold Kingdoms — 5 millones de cuentas
  • Roll20.net — 4 millones de cuentas
  • Ge.tt — 1,83 millones de cuentas
  • Petflow and Vbulletin forum — 1,5 millones de cuentas
  • Coinmama (Cryptocurrency Exchange) — 420.000 cuentas
por Juan Ranchal Wed, 13 Feb 2019 23:02:19 +0000

Las aplicaciones preinstaladas en Android son una gran fuente de riesgo para los usuarios

No es ningún secreto. La fragmentación de Android se ha convertido en un problema de seguridad. El último organismo en dar la voz de alarma ha sido el Criptológico Nacional (CCN)que ha asegurado en este sentido, que los smartphones y los dispositivos móviles se encontrarán entre los principales objetivos de las ciberamenazas durante este año 2019.

En su “Informe Anual 2018: Dispositivos y comunicaciones móviles” ha señalado que la adopción de las últimas versiones de estos sistemas operativos como “crucial desde el punto de vista de seguridad”, tanto por el uso de las últimas capacidades de protección de Google y Apple como por las actualizaciones de seguridad frente a vulnerabilidades conocidas.

A pesar de ello,  según los datos recogidos en el informe, las versiones antiguas de Android siguen dominando el panorama global: Android 7 (28,2%), 8 (21,5%), 6 (21,3%) y 5 (17,9%). En el otro extremo el caso de Apple, cuyo sistema operativo móvil, iOS, está presente en su última versión en el 78% de los dispositivos.

Así, el CCN destaca la fragmentación en Android como uno de los problemas de este sistema operativo, y cita un estudio de Security Research Labs,  en el que se recoge que los fabricantes de dispositivos móviles para esta plataforma fallan a la hora de proporcionar actualizaciones para sus dispositivos y usuarios, cómo estas se retrasan durante meses, o incluso cómo engañan al usuario intentado ocultar que realmente no se ha llevado a cabo la actualización por parte del fabricante, aunque el terminal indica que está completamente actualizado.

Con estos datos, en sus predicciones de seguridad de cara a 2019, el CCN destaca que “Android sigue siendo el objetivo principal”. El informe destaca la preeminencia del malware sofisticado en 2018, frente a las incremento de las medidas de seguridad en las últimas versiones de Android.

Además, entre las amenazas detectadas durante el pasado año 2018, el CCN cita las vulnerabilidades encontradas en gestores de contraseñas (como Keeper, Dashlane, LastPass, 1Password y Google Smart Lock). Sistemas  que según advierten, pueden ser víctimas de ataques de phishing.

En el caso de iOS, se hacen necesarias técnicas complejas como la concatenación de múltiples exploits para vulnerabilidades de día cero servidores falsos vinculado a soluciones MDM de gestión de dispositivos móviles o ingeniería social.

por Rodolfo Wed, 13 Feb 2019 10:29:54 +0000

Rusia se desconectará de la Internet mundial

Rusia se desconectará de la Internet mundial en un experimento planificado que tiene por objeto reunir información y proporcionar retroalimentación y modificaciones a una ley propuesta por el Parlamento ruso que prevé el bloqueo de Internet en caso de ataques.

Hace años que algunos analistas vienen advirtiendo que el planeta se encuentra en una ‘ciberguerra fría’ de imprevisibles consecuencias. Los grandes países cuentan con poderosos ciberejércitos conectados con las agencias de inteligencia que espían la gran red global y llevan a cabo todo tipo de ciberataques sobre la gran Red que sustenta hoy nuestro sistema de vida, Internet.

El Parlamento ruso discutió el pasado diciembre una propuesta de Ley que ordenaba a los grandes proveedores de Internet rusos preparar un sistema que garantizase la independencia del espacio de Internet ruso (Runet) en caso de agresión extranjera y la desconexión del país del resto de Internet.

Para ello, las empresas rusas de telecomunicaciones tendrán que instalar los “medios técnicos” necesarios para redirigir todo el tráfico de Internet ruso a puntos de intercambio aprobados o administrados por Roskomnadzor, el Servicio Federal de Supervisión de las Telecomunicaciones.

El regulador cubrirá todos los gastos de las operadoras con dinero público. Y serán unos cuantos, incluidos una copia de seguridad local del Sistema de nombres de dominio (DNS), que probaron por primera vez en 2014, y que será un componente esencial cuando Runet se desconecte del resto del mundo. En 2017, los funcionarios rusos dijeron que planean enrutar el 95 por ciento de todo el tráfico de Internet a nivel local en 2020. 

La agencia RBK informó que todos los proveedores de Internet estaban de acuerdo con los objetivos de la ley, pero no estaban de acuerdo con su implementación técnica, porque creen que causará interrupciones importantes en el tráfico de Internet de Rusia. El experimento proporcionará a los ISP datos sobre cómo reaccionarían sus redes.

La respuesta de Rusia se produce cuando los países de la OTAN han anunciado que estaban considerando una respuesta más fuerte frente a los ataques cibernéticos, muchos de los cuales se sospechan llegan desde Rusia, incluyendo difusión de noticias falsas, mensajes de odio en redes sociales e injerencia en las elecciones.

No se ha detallado fecha para la prueba de desconexión rusa, pero se supone que tendrá lugar antes del 1 de abril, fecha límite para presentar enmiendas a la ley mencionada. El objetivo final de las autoridades rusas consiste en implementar un sistema de filtrado de tráfico web como el Gran Cortafuegos de China, pero también contar con una gigantesca Intranet que funcione en todo el país.

por Juan Ranchal Mon, 11 Feb 2019 23:03:56 +0000

apps ios registro pantalla

A principios de esta semana se descubrió que algunas aplicaciones populares del ecosistema de Apple usan un SDK desarrollado por Glassbox que permite grabar la actividad que se produce en la pantalla de un iPhone o iPad sin que el usuario lo sepa. Un servicio de análisis intrusivo que actúa sin la debida transparencia, en secreto y vulnerando las propias normas de la tienda de aplicaciones.

Apple ha respondido emitiendo una advertencia a los desarrolladores que trabajan en su plataforma móvil anunciando el bloqueo de este tipo de apps iOS si no se obtiene el consentimiento explícito del usuario para usarlas y sin proporcionar un indicador claro de cuándo se está ejecutando el proceso.

Proteger la privacidad del usuario es primordial en el ecosistema de Apple. Nuestras normas en la tienda de aplicaciones requieren que las aplicaciones soliciten el consentimiento explícito del usuario y brinden una indicación visual clara al registrar la actividad del usuario”, ha comentado Apple en una declaración a TechCrunch,

Glassbox ha comentado que ni ellos ni sus clientes “están interesados ​​en ‘espiar’ a los consumidores. Nuestros objetivos son mejorar las experiencias de los clientes en línea y proteger a los consumidores desde una perspectiva de cumplimiento”. Una explicación típica a un nuevo caso de invasión a la privacidad. Un asunto que lamentablemente se repite semana a semana y que siguen sin controlar las tecnológicas por omisión o interés propio.

Al menos la respuesta de Apple ha sido rápida y adecuada, dando a los desarrolladores un solo día de plazo para adecuar las apps a los términos de la Apple Store. Si no lo cumplen serán bloqueados desarrollos de Abercrombie & Fitch, Hotels.com, Air Canada, Hollister, Expedia o Singapore Airlines, entre otras que están utilizando el servicio de análisis de Glassbox.

“Hemos notificado a los desarrolladores que infringen estos estrictos términos y pautas de privacidad, y tomaremos medidas inmediatas si es necesario”, recalca Apple, confirmando que la vulneración a la privacidad se estaba produciendo. Otra más.

por Juan Ranchal Sun, 10 Feb 2019 13:29:37 +0000

Password Checkup

Google ha presentado una nueva extensión de Chrome para avisar de cuentas cuyas claves pueden estar en posesión de hackers o están disponibles públicamente. En tal caso, notifica al usuario y le recomienda que modifique la clave.

Los casos de sitios webs que se han visto atacados  con el resultado de robo de credenciales de susu usuarios son por desgracia habituales y cualquiera que lleve tiempo utilizando Internet es muy posible que, incluso sin saberlo, pueda tener alguna de sus cuentas comprometidas.

Password Checkup

Hace pocos meses Google realizó mejoras en el gestión de las extensiones de Chrome y la empresa parece decidida a continuar mejorando la seguridad de sus usuarios. Esta novedad se presenta como extensión y no como parte integral de Chrome porque el usuario ha de aceptar que Google compruebe la cuenta contra una base de datos de cuentas afectadas.

Password Checkup

La extensión se puede instalar desde Chrome o acceder a ella directamente en la Chrome Web Store.

Esta extensión no aporta ninguna funcionalidad nueva con respecto a sitios web similares en los que el usuario podía ya comprobar si su clave cuenta estaba comprometida. Firefox dispone de ese servicio como página web. La ventaja de la nueva extensión de Chrome es que funciona sin que los usuarios tengan que estar activamente consultando esas bases de datos.

Firefox Monitor

Por último, ten en cuenta que la extensión solo es necesaria para comprobar cuentas que no son de Google. Si es tu cuenta de Gmail la que se ha visto comprometida, Google te avisará igualmente al intentar acceder a tu cuenta aunque no tengas instalada esta extensión.

 

por Redacción Muy Seguridad Thu, 07 Feb 2019 09:07:17 +0000

Avid Secure y DarkBytes se han incorporado desde hace unos días al extenso portfolio de soluciones de seguridad del que presumen los chicos de Sophos. Como han explicado fuentes de la compañía, el objetivo de ambas adquisiciones es reforzar por un lado la posición de Sophos en protección de nube pública y por otro, ampliar su oferta de servicios gestionados de ciberseguridad.

A la primera de estas categorías pertenece precisamente Avid Secure. La compañía ofrece un análisis seguridad basado en inteligencia artificial, cumplimiento y plataforma DevSecOps para proporcionar una protección efectiva de extremo a extremo en servicios de nube pública como AWS, Azure y Google.

Fundada en 2017, Avid Secure utiliza la IA y machine learning para hacer frente a los desafíos reales de la seguridad en la nube, incluida la falta de visibilidad de la carga de trabajo y el constante monitoreo requerido para mantenerse al frente de los ataques.

Por su parte, DarkBytes ofrece una plataforma unificada para proporcionar servicios de centro de operaciones de seguridad para empresas de todos los tamaños. Fundada con la misión de facilitar seguridad empresarial de endpoint mediante sensores ligeros, inventario de activos, búsqueda de amenazas gestionadas y tecnologías de automatización, DarkBytes lanzó sus primeros productos en marzo de 2018. En su integración en Sophos, ofrecerá su experiencia en detección y gestión de respuesta (MDR) y orquestación y automatización de la seguridad (SOAR).

El MDR es un servicio gestionado de ciberseguridad diseñado para detectar y responder ante intrusiones, malware y actividad maliciosa que frecuentemente no son detectadas, permitiendo una respuesta más rápida para eliminar y mitigar estas amenazas. De esta fomra aumenta la seguridad al proporcionar monitoreo continuo a través de un tercero de confianza.

por Redacción Muy Seguridad Thu, 07 Feb 2019 07:59:37 +0000

keychain de macOS

Linus Henze, un joven investigador de serguridad alemán de 18 años, ha descubierto una vulnerabilidad crítica en el keychain de macOS, los ‘llaveros’ de Mac que almacenan contraseñas e información de cuentas.

La vulnerabilidad afecta a la última versión del sistema operativo para ordenadores de Apple, macOS Mojave y permite acceder a las contraseñas almacenadas mediante aplicaciones maliciosas. Esto podría incluir inicios de sesión para sitios financieros, Amazon, Netflix y muchas más aplicaciones. Aunque se trata de un error solo para Mac, si estás utilizando el llavero de iCloud, las contraseñas sincronizadas a través de iPhones y Mac también pueden estar en peligro.

El investigador, que ha descubierto otros errores en iOS y macOS en el pasado, descubrió una forma de acceder al keychain de macOS. Esa es el área donde se almacenan las claves privadas y las contraseñas, lo que la convierte en una mina de oro para los piratas informáticos.

Henze descubrió que podía crear una aplicación que leyera el contenido del llavero sin requerir el permiso explícito de la víctima. Su simulacro de malware no requería privilegios especiales, como permisos a nivel de administrador. “Ejecutar una aplicación simple es todo lo que se requiere”, asegura, junto a la publicación de un vídeo de concepto donde muestra un exploit capaz de aprovechar la vulnerabilidad:

No hay solución para el fallo del keychain de macOS

Para empeorar las cosas, es probable que no haya ninguna solución en camino. Henze no ha revelado la investigación a Apple, según explica a Forbes, por el deficiente programa de recompensas de vulnerabilidades de Apple que solo es para invitaciones y para las del sistema operativo móvil, iOS. 

“Es como si realmente no le importaran los macOS”, dijo Henze. “Encontrar vulnerabilidades como esta lleva tiempo y creo que pagarle a los investigadores es lo correcto porque estamos ayudando a Apple a hacer que sus productos sean más seguro.

Forbes hizo que el especialista en seguridad de Apple y ex analista de la NSA, Patrick Wardle, probara la vulnerabilidad. Wardle, dijo quedar impresionado con el hallazgo del joven investigador. “Grandes felicitaciones a Linus. Es un bicho realmente encantador, pero es descorazonador que Apple no pueda averiguar cómo asegurar el llavero. ¿Cuál es el sentido de crear algo para almacenar la información más confidencial del sistema si ese mecanismo es constantemente inseguro?“, comenta porque el fallo en los llaveros de Apple no es el primero.

El departamento de seguridad de Apple tiene trabajo. El ODay del keychain de macOS llega poco después del fallo crítico de FaceTime que permitía espiar conversaciones a través de la aplicación de comunicación de vídeo de Apple. Fue descubierta por un adolescente mientras jugaba al Fortnite con los amigos. Apple anunció que lo recompensaría.

por Juan Ranchal Wed, 06 Feb 2019 23:45:24 +0000

Del VIP (very important person) al VAP (very attacked person). Así ha dibujado Proofpoint el escenario de seguridad informática en el que a día de hoy, se encuentran la mayoría de las empresas.

En la presentación de su nueva estrategia comercial para España, Ryan Kalember, VP de esta compañía de ciberseguridad, ha destacado que en los últimos años, el objetivo de los cibercriminales ha pasado de atacar la infraestructura informática de una compañía, a poner su punto de mira en las personas que forman parte de la misma.

¿Por qué? Porque mientras que la seguridad de los distintos componentes informáticos que se integran en una compañía ha mejorado exponencialmente, el ser humano sigue cometiendo una y otra vez, los mismos fallos.

“Pensad en términos de negocios” ha explicado Kalember, “resulta tremendamente complicado y costoso para un cibercriminal identificar y explotar con éxito una posible (pero cada vez más remota) vulnerabilidad informática. Sin embargo engañar a los usuarios de esa tecnología, atacarles con phishing, suplantar su identidad, etc. sigue siendo muy sencillo. El ROI de este tipo de ataques es mucho mayor”.

A continuación ha indicado que siendo esto así, resulta sorprendente comprobar cómo mientras la mayoría de ataques dirigidos contra las empresas entran en alguna categoría de phishing, spoofing o de suplantación de identidad, las grandes empresas destinan menos del 10% de su presupuesto de seguridad informática en proteger el área más crítica de su seguridad informática: el correo electrónico de sus empleados. Y no sólo su correo corporativo: también su correo personal, sus cuentas en la nube y todo aquello que forma parte de su identidad on-line y que por lo tanto, es susceptible de ataque.

En este sentido, ha recalcado, la estrategia de ciberseguridad de las empresas no será efectiva hasta que centren sus esfuerzos no tanto en proteger su “hierro”, sino a todas esas personas que con nombre y apellido se han convertido en las víctimas favoritas de los cibercriminales, esos VAP con las que abríamos el artículo.

DMARC y la protección de la identidad de los empleados de una empresa

Pongamos como ejemplo la suplantación de identidad de un trabajador. Como afirma un reciente estudio elaborado por Proofprint, no existen en España una auténtica conciencia de que esto sea un problema, ya que sin ir más lejos, el 70% de las grandes empresas españolas que forman parte del IBEX 35, no han asegurado su correo electrónico en este campo, ni utilizan un método de referencia, como puede ser DMARC.

Desarrollado en 2012 por proveedores como Google, Yahoo, AOL y Microsoft, DMARC es un sistema de verificación de identidad cuyas siglas significan Autenticación de Mensajes, Informes y Conformidad basada en Dominios.

Considerada como la mejor medida para luchar contra ataques como el conocido como “el fraude del CEO” , nuestro país se encuentra en una posición un tanto rezagada a la hora de implementar DMARC (31%), frente a países como Suecia (43%), Reino Unido (42%) o Francia (38%).

Y es una pena porque como explica Kalember, ““DMARC funciona como una especie de control de pasaportes en el ámbito de la seguridad del correo electrónico. Garantiza una autenticación correcta de los remitentes, verificando que son quienes dicen ser, de acuerdo a los estándares DKIM (DomainKeys Identified Mail) y SPF (Sender Policy Framework), protegiendo a los empleados, clientes y socios frente a aquellos cibercriminales que quieren hacerse pasar por una compañía o marca de su confianza”.

¿Quién sí está haciendo bien los deberes en nuestro país? Como no podía ser de otra forma y por su exposición continua a todo tipo de ciberataques, la banca. Y es que como recoge el informe de Proofprint, de las 11 organizaciones del Ibex 35 con DMARC, el 45% pertenecen al entorno financiero, incluyendo cinco de los seis principales bancos del país.

por Rodolfo Wed, 06 Feb 2019 15:08:48 +0000