• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

G DATA publica un escáner gratuito para detectar vulnerabilidades de Spectre y Meltdown

Spectre y Meltdown se han convertido posiblemente en los dos mayores problemas a los que se enfrentan ahora los expertos en ciberseguridad. Debido a que son vectores de ataque que explotan fallos de diseño de las CPU (aunque Meltdown afecta solo a modelos muy concretos, sobre todo de Intel), no están siendo nada sencillos de neutralizar. Meltdown en teoría ya está resuelto con diversos parches ya publicados para todos los sistemas operativos, algo que ha tenido como precio una pérdida de rendimiento, mientras que Spectre se muestra de momento como irresoluble y se combate mediante mitigaciones.

¿Quieres saber si tu ordenador es vulnerable ante Meltdown y Spectre? La compañía de ciberseguridad alemana G DATA ha publicado una herramienta compatible con Windows para comprobar si una instalación del sistema es vulnerable ante los vectores de ataque mencionados. Hay que tener en cuenta que las vulnerabilidades que abarcan pueden ser explotadas desde muchos frentes diferentes, por eso se han publicado mitigaciones no solo para el firmware de los procesadores, sino que también se han incluido parches en navegadores web e incluso drivers de GPU.

Básicamente, la herramienta de G DATA es un escáncer que comprueba una instalación del sistema operativo Windows y la aplicación de los parches publicados por Microsoft, el tipo de procesador y si es vulnerable ante Spectre y Meltdown, intentará averiguar si se han hecho las configuraciones críticas de seguridad en la BIOS y si la solución antimalware instalada es compatible con los parches que Microsoft ha ido publicando. Tras realizar el análisis, el escáner ofrecerá recomendaciones para protegerse de los vectores de ataque.

Este programa es compatible con Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 y Windows Server 2008 R2 SP1. Requiere de .NET Framework 4 o superior (preinstalado con Windows 8, Windows Server 2012 y versiones posteriores) y para Windows 7 SP1 o Windows Server 2008 R2 SP1 es necesario instalar .NET Framework 4.7.1.

por Eduardo Medina Fri, 16 Feb 2018 17:48:35 +0000

CloudGuard de CheckPoint protege las IaaS y SaaS de las amenazas de quinta generación

Check Point anunció en un evento celebrado en Las Vegas el próximo lanzamiento de CloudGuard, su nueva familia de productos de seguridad para la nube.

Con las soluciones de CloudGuard, las infraestructuras de cargas de trabajo en la nube (IaaS) y de Software como un Servicio (SaaS) de las empresas podrán estar totalmente protegidas de las amenazas Gen V (quinta generación), las cuales ya explicamos en la presentación de Infinity Total Protection en el evento CPX 360 Barcelona.

Mediante la familia de productos de CloudGuard, Check Point pretende ofrecer una seguridad en la nube coherente y completa desde centros de datos virtualizados a SDN, aplicaciones IaaS y SaaS, incluyendo protección contra el secuestro de cuentas, una amenaza que ha ganado mucho protagonismo en los últimos tiempos. Siendo más concretos, el catálogo incluye productos como CloudGuard SaaS y CloudGuard IaaS, y se integra con una gran cantidad de plataformas en la nube y aplicaciones basadas en la nube, dando a los clientes la libertad de elegir la solución cloud que mejor se ajusta a sus necesidades sin tener que sacrificar la seguridad.

CloudGuard SaaS es una solución diseñada para ofrecer una seguridad y prevención ante amenazas avanzadas para las aplicaciones de Software como un Servicio. Utiliza una tecnología pendiente de patente que evita el secuestro de cuentas y los ataques hacker contra las aplicaciones. Por su parte, CloudGuard IaaS ofrece prevención contra amenazas avanzadas Gen V para plataformas en la nube tanto públicas como privadas, abarcando Amazon Web Services, Google Cloud Platform, Microsoft Azure, Cisco ACI, OpenStack, VMware NSX, VMware Cloud on AWS, VMware ESX, Alibaba Cloud, KVM, Hyper-V y muchos más.

Las amenazas Gen V han generado nuevas situaciones contra la seguridad que no pueden ser combatidas eficazmente con las soluciones tradicionales, pudiendo ser ataques sofisticados a gran escala que se mueven rápidamente entre todo tipo de estructura computacional o computadora, desde las infraestructuras en la nube hasta los dispositivos móviles. Ahí es donde entran los productos de CloudGuard, que han sido creados para neutralizar las carencias de las soluciones tradicionales.

CloudGuard ofrece protección contra las Amenazas Persistentes Avanzadas (APT) y malware zero-day dirigido contra las aplicaciones SaaS mediante la utilización de un aislamiento en tiempo real. También previene del peligroso ransomware gracias a la utilización de una inteligencia contra amenazas integrada y en tiempo real basada en la nube para identificar las nuevas amenazas que surjan.

Con la tecnología ID-Guard, CloudGuard SaaS identifica y bloquea a los usuarios ilegítimos de acceder a cuentas de un SaaS, además de bloquear a usuarios no autorizados y dispositivos que han sido comprometidos. Por otro lado, asegura que las políticas de consentimiento estén forzadas por las pasarelas de seguridad de Check Point y las soluciones SandBlast Mobile, permitiendo una seguridad y una gestión consistentes en toda la empresa a través de una plataforma de gestión de la seguridad unificada.

Por su parte, CloudGuard IaaS soporta una implementación de modelos ágil y de un solo clic junto con la naturaleza dinámica de los servicios en la nube, facilitando así su expansión. CloudGuard también soporta contextos de compartición con políticas de actualización dinámicas, autoprovisionamiento, autoescalado e implementaciones en un clic para alinear la seguridad con los servicios en la nube.

Los que quieran ver a CloudGuard SaaS en acción podrán hacerlo asistiendo mediante registro previo al seminario que se celebrará el miércoles 7 de marzo de 2018.

por Eduardo Medina Fri, 16 Feb 2018 11:36:33 +0000

Intel ofrece ahora hasta 250.000 dólares por una vulnerabilidad descubierta

Intel inició hace un año un programa de recompensas en HackerOne por hallar vulnerabilidades en sus productos. En aquel momento mencionamos que las vulnerabilidades de hardware podrían terminar siendo incluso más peligrosas que las de software, cosa en la que no anduvimos mal encaminados después de todo el escándalo generado por Meltdown y Spectre, los dos vectores de ataque que han terminado por mermar la imagen corporativa de Intel y han dado alas, al menos en apariencia, a la competencia en algunos sectores.

Quizá debido al mal trago pasado desde inicios de año, Intel ha decidido actualizar su programa de recompensas en HackerOne para aumentar las cuantías, ofreciendo ahora hasta 250.000 dólares a quienes hallen vulnerabilidades en algunos de sus productos. Además, también lo ha abierto a cualquier persona que utilice la plataforma de HackerOne, ya que antes estaba reservado a investigadores que recibieran una invitación. La compañía pretende con este movimiento mejorar su imagen en términos de ciberseguridad desde una perspectiva más abierta y participativa.

En el anuncio publicado en HackerOne, Intel habla de organizar una respuesta coordinada con socios y clientes ante cualquier vulnerabilidad, además de pedir a los que reporten vulnerabilidades que envíen sus informes cifrados con GnuPG o PGP con el fin de impedir que los detalles acaben expuestos antes de la publicación de una mitigación. Estos son los principales cambios introducidos en el programa de recompensas:

  • Se ha cambiado el modelo de invitaciones por otro abierto a cualquier investigador en seguridad, aumentando de forma notable la cantidad de candidatos que pueden reportar vulnerabilidades.
  • Ofrecer un nuevo programa centrado específicamente en las vulnerabilidades de canal lateral que durará hasta el 31 de diciembre de 2018. El premio por las divulgaciones bajo este programa sube hasta los 250.000 dólares.
  • Aumento en la cuantía de las recompensas en todos los ámbitos, ofreciendo hasta 100.000 dolares en otras áreas.

Las directrices del programa por hallar vulnerabilidades en hardware, firmware y software de Intel son las siguientes:

  • Se otorgará una recompensa por el primer informe de vulnerabilidad con los suficientes detalles como para permitir la reproducción de lo reportado por parte de Intel.
  • Dependiendo de la naturaleza de la vulnerabilidad y la cantidad y calidad del contenido del informe, Intel recompensará con entre 500 y 250.000 dólares estadounidenses.
  • El primer informe externo recibido sobre una vulnerabilidad interna conocida recibirá un máximo de 1.500 dólares como recompensa.
  • Las calculadoras CVSS aprobadas que pueden ser usadas para determinar las líneas base sobre la gravedad de todas las vulnerabilidades reportadas serán la NVD CVSSv3 y la FIRST CVSSv3, a entera discreción de Intel.
  • Intel reconocerá públicamente a los investigadores en seguridad en los avisos y en el Programa de Recompensas en o después del momento de la divulgación pública de la vulnerabilidad, tal y como haya sido acordado con el investigador que ha reportado la vulnerabilidad.
  • Las recompensas están limitadas a un premio por vulnerabilidad de causa raíz elegible. Si una vulnerabilidad afecta a varios productos de Intel, se pagará solo por la primera instancia informada independientemente del producto. Intel, a su entera discreción, decidirá si la vulnerabilidad reportada es la primera instancia de producto informada de una vulnerabilidad de causa raíz.

Después de explicar ciertos aspectos técnicos de los cambios en el programa de recompensas, intentaremos ahora resumirlos un poco con el apoyo de dos tablas.

Por un lado, tenemos la parte permanente, mediante la cual se ofrecen recompensas de hasta 100.000 dólares por hallar vulnerabilidades en el software, el firmware y el hardware de Intel. Sin embargo, pueden aparecer aparte programas apuntando a amenazas, vulnerabilidades y tecnologías concretas.

Parte permanente del programa de recompensas por hallar vulnerabilidades de Intel mediante HackerOne

Por otro tenemos la parte de duración limitada, la que se acaba el 31 de diciembre de 2018. Esta parte está centrada en dos vulnerabilidades de tipo canal lateral: Las de causa raíz que afectan al hardware de Intel y las que se pueden explotar vía software. La compañía espera con esto “acelerar nuevas investigaciones innovadoras y aprender sobre estos tipos de problemas de seguridad.”

Parte temporal (hasta el 31 de diciembre de 2018) del programa de recompensas por hallar vulnerabilidades de Intel mediante HackerOne

Más información: HackerOne e Intel

por Eduardo Medina Thu, 15 Feb 2018 15:21:15 +0000

Lazarus está apuntando ahora contra los usuarios de carteras de Bitcoin

Lazarus, que también ha actuado bajo el nombre de Hidden Cobra, es el grupo de hackers que presuntamente trabaja para el régimen dictatorial de Corea del Norte, actualmente dirigido por Kim Jong-Un.

Lazarus ha llevado a cabo muchas acciones diferentes a lo largo de su trayectoria, desde robar dinero hasta vengar al país para el que trabaja de situaciones que le han resultado humillantes, como el brutal ataque hacker contra Sony Pictures debido al próximo estreno de la película The Interview. También se le atribuye al menos participación en la creación del conocido ransomware WannaCry y el robo de planes de guerra de Corea del Sur, vecino con el que mantiene un conflicto desde hace décadas heredado del contexto de la Guerra Fría. Obviamente, todas aquellas acciones no se iban a quedar sin respuesta, y aparte de una posible guerra bélica que se está gestando a rebufo del desarrollo de armas de destrucción masiva por parte de Corea del Norte, grupos de hackers como Anonymous y Lizard Squad llevaron a cabo en el pasado ataques DDoS contra ese país y Estados Unidos intentó colarle el gusano Stuxnet en su redes.

Corea del Norte no es país que aparentemente tenga facilidades para financiarse. Según un investigador de seguridad de McAfee, Lazarus estaría en los últimos tiempos centrado en atacar a usuarios incautos de Bitcoin mediante una campaña de phishing. Esta persona, que se identifica como HaoBao, ha descubierto que Lazarus está enviando emails suplantando a una empresa de contratación de Hong Kong que busca a un Ejecutivo de Desarrollo Comercial.

El ataque no es en apariencia nada revolucionario, ya que el email contiene un enlace de Dropbox hacia un fichero de Microsoft Word con una macro maliciosa. Una vez haya sido abierto el fichero, este preguntará a la víctima si quiere habilitar los contenidos, cosa que si se responde de forma afirmativa permite a la macro escanear para comprobar la presencia de carteras de criptomonedas e implantar un mecanismo de recopilación de datos que funciona a largo plazo. Para engañar a la víctima con el fin de hacerse pasar por un documento seguro, notifica que ha sido creado con la versión más reciente de Microsoft Office, cosa que en realidad no aporta nada en términos de seguridad.

El malware implantado en el ordenador de la víctima recopila, además de Bitcoins, el nombre de la computadora, el usuario actualmente en ejecución, la lista de todos los procesos en ejecución y la presencia de una clave de registro específica en el sistema, los cuales son enviados a un servidor de mando y control. Según McAfee, en los últimos tiempos se está detectando un aumento en la recopilación de datos por parte de Lazarus, además de estar centrándose más en grandes bancos e inversores de critpomonedas.

Fuente: HackRead

por Eduardo Medina Thu, 15 Feb 2018 11:54:01 +0000

El actualizador de Skype tiene una vulnerabilidad muy difícil de resolver

El investigador en seguridad Stefan Kanthak ha descubierto que el actualizador de Skype puede ser explotado mediante una técnica de secuestro de DLL, permitiendo a un atacante engañar a la aplicación para que ejecute código malicioso en lugar de la biblioteca correcta.

Para llevar a cabo el ataque, el hacker tiene que hacer que un fichero DLL malicioso esté colocado en una carpeta temporal accesible por el usuario y renombrarlo para que suplante a otro existente que puede ser modificado por un usuario sin privilegios, como por ejemplo UXTheme.dll. El fallo funciona cuando la aplicación busca los DLL que necesita, pudiendo hacer uso del malicioso que está haciéndose pasar por legítimo tras el renombramiento.

Una vez explotada la vulnerabilidad, permite realizar una escalada de privilegios para que un usuario común pueda tener permisos a nivel de administrador (concretamente, la cuenta SYSTEM de Windows), pudiendo así modificar cualquier parte del sistema. Esto, obviamente, abre la puerta a la realización de una gran cantidad de acciones (e incluso se puede decir cualquiera imaginable) por parte del atacante.

Una vez instalado, Skype utiliza en Windows su propio actualizador para mantenerse al día, haciendo uso en el proceso de otro fichero ejecutable que es el afectado por la vulnerabilidad. Aunque el ataque aparentemente solo puede llevarse a cabo en Windows, y además de distintas maneras, Stefan Kanthak recuerda que los secuestros de DLL también pueden hacerse contra Mac y Linux.

El investigador reportó la vulnerabilidad a Microsoft (propietario de Skype) el pasado mes de septiembre de 2017, sin embargo, el problema ha terminado siendo realmente complejo, hasta el extremo de requerir una profunda revisión del código, por lo que en estos momentos sigue sin estar corregido. La compañía se ha comprometido a suministrar una actualización de seguridad para “una nueva versión del producto.”

Fuente: ZDNet

por Eduardo Medina Wed, 14 Feb 2018 15:12:33 +0000

G DATA pide tener cuidado por las felicitaciones y ofertas falsas en el día de San Valentín

San Valentín es el día de los enamorados y también una fecha idónea para llevar a cabo campañas de spam para distribuir malware. Eso es de lo que ha avisado la compañía de ciberseguridad alemana G DATA, invitándonos a aumentar la guardia en este día tan señalado.

Según G DATA, el spam es el medio preferido de los ciberdelincuentes para fastidiar el día de San Valentín a los usuarios más incautos. Para ello, recurren sobre todo a estafas que suelen ser enviadas mediante correo electrónico, haciendo referencia sobre todo a artículos de lujo que supuestamente pueden ser adquiridos a precios muy bajos. Obviamente, al ser una estafa, el artículo en realidad nunca ha sido y ni se pondrá en venta en la tienda mencionada (pudiendo ser esta una falsificación), siendo un mecanismo para hacerse con los datos personales y bancarios de la víctima.

Otro frente a tener en cuenta son los ficheros adjuntos o que llegan a través de otros medios como los servicios de mensajería instantánea. Aquí los cibercriminales se aprovechan para esparcir presuntas felicitaciones que en realidad contienen malware para atacar o infectar un ordenador desprotegido o bien explotar una vulnerabilidad.

“Tirar la caña” no suele ser suficiente, por lo que los cibercriminales recurren a tácticas de ingeniería social para atraer a las víctimas. Esto, sumado a la señalada fecha, termina por convertirse en un señuelo perfecto para realizar estafas y robar dinero.

Los expertos de G DATA recomiendan eliminar cualquier email de procedencia sospechosa o desconocida y abstenerse de descargar o abrir ficheros adjuntos y hacer clic sobre enlaces. Otros consejos son el tener el antimalware y todo el software al día, activar la autenticación en dos factores en los servicios de venta y en el banco, fijarse bien en los enlaces antes de hacer clic sobre ellos y en caso de querer comprar, abrir un navegador y acceder directamente a la tienda en lugar de dirigirse a ella mediante un enlace.

por Eduardo Medina Wed, 14 Feb 2018 11:05:55 +0000

Olympic Destroyer fue el malware que intentó arruinar los JJ.OO. en su inauguración

Cualquier evento de envergadura se ha convertido en un acontecimiento muy tentador para llevar a cabo ciberataques. Como no podía ser de otra forma, los organizadores de los Juegos Olímpicos de Invierno que se están celebrando en la localidad surcoreana de Pyeongchang ya estaban preparados para un ciberataque que ocurrió el mismo día de la inauguración, el 9 de febrero.

Tras comenzar el acto de inauguración de los Juegos Olímpicos de Invierno, los investigadores de Cisco Talos descubrieron un malware al que han decidido llamar Olympic Destroyer, que aparentemente fue construido con la intención de destruir los sistemas informáticos utilizados para el evento deportivo. De momento se está investigando y no se conoce el alcance de la infección, pero todo apunta a que el robo de datos no estaba entre los objetivos del atacante, algo que aleja la posibilidad de que algún estado haya patrocinado el ataque sin que se pueda descartar totalmente dicha posibilidad.

Siendo más concretos, la intención del hacker (individual o grupo) era eliminar la instantáneas de los sistemas, los registros de eventos e intentar usar PsExec y WMI para avanzar en el entorno. El comportamiento ha resultado ser similar al de Bad Rabbit, el ransomware que causó estragos en Europa del Este durante el tercer trimestre del año pasado. En su proceso de infección, Olympic Destroyer envía un fichero binario a la máquina objetivo que contiene múltiples ficheros, los cuales están ofuscados y sus nombres son generados aleatoriamente.

Dos de los ficheros incluidos en el binario son módulos dedicados a robar credenciales, uno dirigido contra los navegadores web (Internet Explorer, Firefox y Chrome) y otro contra el Servicio de Subsistema de Autoridad de Seguridad Local (LSASS) de Windows utilizando un método similar al empleado por la herramienta de penetración Mimikatz. Tras conseguir las credenciales se dedica a utilizarlas para acceder e infectar servidores y borrar las instantáneas del sistema utilizando el comando vssadmin.exe y wbadmin.exe para destruir otros ficheros importantes.

Luego el malware se aprovecha de un comando llamado BCDEdit, el cual es usado para ajustar las configuraciones de arranque en máquinas Windows. Esta acción se realiza con el objetivo de que el sistema operativo no intente reparar nada en el host infectado, mostrando que el hacker tiene como propósito dejar el sistema inutilizable en lugar robar datos sensibles.

El ciberataque, que como ya hemos dicho fue llevado a cabo en el día de inauguración, duró entre 9 y 12 horas, provocando que los asistentes no pudiesen imprimir boletos y también afectando a retransmisiones de televisión.

Fuente: ThreatPost

por Eduardo Medina Tue, 13 Feb 2018 15:00:48 +0000

Descubren a Coinhive implementado en miles de sitios web gubernamentales

El minado de criptodivisas se ha convertido en la actividad cibercriminal de moda, o al menos lo es en apariencia. En anteriores ocasiones informamos sobre la implementación de Coinhive (una biblioteca de JavaScrpt para minar Monero en los ordenadores de los usuarios finales) en The Pirate Bay, aunque el sitio web de descargas la emplea de forma consciente, transparente y como medio alternativo de monetización.

Sin embargo, los cibercriminales han visto un filón en el secuestro de ordenadores ajenos para minar criptodivisas, por lo que posteriormente se vio a Coinhive implementada en sitios web maliciosos e incluso en aplicaciones de Android. Más recientemente, se ha detectado su utilización en sitios web gubernamentales oficiales después de que estos fueran hackeados para introducirles la mencionada biblioteca.

Al parecer, los hackers han explotado un plugin de terceros llamado Browsealoud, el cual está creado para mejorar la accesibilidad de personas ciegas o con visión limitada a los contenidos de un sitio web mediante la transformación de texto en audio. Tras atacar una versión de Browsealoud comprometida, los hackers introducían en los servidores Coinhive para minar Monero en los ordenadores de los usuarios finales (los que utilizan los navegadores web). Se han detectado más de 4.000 sitios web afectados, entre los que se encuentran el de la NHS, Student Loan Company, el observador de protección de datos de la Oficina del Comisionado de la Información, el perteneciente a la legislación de Queensland (Australia), el del sistema judicial de Estados Unidos, The City University of New York, el portal de información judicial Tío Sam, el oficial de la localidad inglesa de Manchester y muchos más.

En anteriores ocasiones los hackers se dedicaban sobre todo a esparcir troyanos y ransomware mediante vías como la expuesta en el párrafo anterior, pero en los últimos tiempos se ha popularizado la utilización de mineros porque permiten a los cibercriminales obtener ingresos con tan solo utilizar CPU ajenas, además que este tipo de ataques, al no provocar ningún daño perceptible, pueden terminar pasando desapercibidos a ojos de muchas personas, que como mucho notarán una disminución en el rendimiento derivado del uso intensivo de la CPU realizado por el minero.

El esparcimiento de Monero mediante sitios web gubernamentales y oficiales fue descubierto por el consultor británico Scott Helme, quien dio la alarma después de que uno de sus amigos recibiera una alerta de su antimalware al visitar un sitio web perteneciente al gobierno de Reino Unido. Tras esto, Texthelp, operador de Browsealoud, decidió cerrar su servicio hasta resolver el problema descubierto. Las implementaciones del plugin también fueron eliminadas por cuestiones de seguridad.

Los desarrolladores de Textaloud han dicho que la explotación de su plugin no ha derivado en ningún caso en el acceso o pérdida de datos por parte de los sitios web gubernamentales u oficiales, que a fin de cuentas son sus clientes, y que estos recibirán en un futuro próximo una actualización después de que se haya llevado a cabo una investigación a fondo sobre lo ocurrido.

Fuente: The Hacker News

por Eduardo Medina Tue, 13 Feb 2018 10:44:36 +0000

Secuestran algunos de los principales dominios de Newtek para desplegar un chat

Newtek Business Services Corp, un conglomerado de servicios web que permite operar a más de 100.000 empresas, ha visto como algunos de sus principales dominios fueron secuestrados el pasado fin de semana, algo que provocó el cierre de correos electrónicos y dejó varados muchos sitios web vinculados.

La empresa envió la tarde del sábado un email en el que no hacía ninguna mención incidente, diciendo que estaba cambiando sus dominios para incrementar la seguridad. Sin embargo, la realidad fue que algunos de sus principales dominios acabaron secuestrados por un hacker vietnamita, quien cambió la página de acceso para los clientes de Newtek por un servicio de chat mediante interfaz web, una situación que obviamente dejó indignados a muchos clientes que empezaron a pedir respuestas y explicaciones.

La indignación generada por la situación obligó a Newtek a enviar horas después otro email reconociendo que la interrupción de su servicio se debió a una “disputa” que tenía sobre tres dominios, webcontrolcenter[dot]com, thesba[dot]com y crystaltech[dot]com, a la vez que recomendaba eliminarlos de todos los navegadores web corporativos y no publicar ningún dato que pudiese ser comprometedor a través del chat, ya que no era un servicio suyo.

Chat colocado en los dominios secuestrados a Newtek

Todo parece indicar que el hacker vietnamita es cliente de Newtek, ya que presuntamente avisó de la presencia de un bug cinco días antes de realizar su acto contra la empresa. Esta persona, que dijo que se comunicaba solo en vietnamita, tenía un email de contacto cuya dirección era [email protected]. Una búsqueda en Domaintools muestra que dicha dirección está vinculada al registro de cuatro dominios, los tres mencionados en el tercer párrafo y giakiemnew[dot]com, en un servidor dedicado que operaba en la antigua unidad de negocio de Newtek, Crystaltek, cuyo dominio, crystaltek[dot]com, también está entre los secuestrados. giakiemnew[dot]com fue registrado a través de Newtek Technology Services, lo que disparó las sospechas de que el hacker es un cliente.

Muchos clientes mostraron su indignación por la respuesta de la empresa ante este incidente. Algunos de ellos dijeron que Newtek tuvo que haber restablecido las contraseñas nada más ser consciente del ataque, pero aparentemente ocultó el asunto hasta que la situación ya era demasiado evidente. Por otro lado, el secuestro de dominios es un hecho muy grave que puede conducir a ataques de phishing con los cuales se pueden obtener datos sensibles de los usuarios.

Fuente: KrebsOnSecurity

por Eduardo Medina Mon, 12 Feb 2018 16:06:30 +0000

Las smart TVs de muchos fabricantes rastrean de forma dudosa a los usuarios

Se ha descubierto que millones de smart TVs de distintos fabricantes repartidos por todo el mundo podrían ser vulnerables a ataques que derivarían en el control total sobre los dispositivos, abriendo la puerta a acciones como rastrear los hábitos de los usuarios (incluso niños porque aquí no se discrimina), según una investigación llevada a cabo por Consumer Reports.

Según el informe, cinco de las principales smart TVs del mercado pueden ser atacadas por “un hacker relativamente poco sofisticado”, pudiendo llevar a cabo acciones como subir el volumen (un brusco subidón al máximo puede ser muy molesto), apagar la conexión a la Wi-Fi, cambiar los canales o forzar la reproducción de contenidos en YouTube. La presunta vulnerabilidad ha sido encontrada en smart TVs de Samsung, TCL y otras marcas que hacen uso de la plataforma Roku TV, como Philips, RCA, Hisense, Hitachi, Insignia y Sharp, además de reproductores de streaming propios de Roku.

Sin embargo, no solo de los hackers tienen que preocuparse los usuarios, ya que Consumer Reports ha encontrado el uso de una tecnología llamada ACR (reconocimiento automatizado de los contenidos) dedicada a enviar información a los fabricantes y/o sus socios comerciales derivada del rastreo de los contenidos visualizados. ARC puede ser utilizado para recomendar contenidos según las preferencias de los usuarios, además de enviar publicidad dirigida. Los datos recopilados pueden ser combinados con otros de carácter personal para construir perfiles que podrían ser vendidos a otros vendedores.

Justin Brookman, director de privacidad y tecnología en Consumers Union, brazo defensor de Consumer Reports, ha comentado que los usuarios son conscientes de que están siendo rastreados mediante el smartphone, pero no por los contenidos que ven a través del televisor. Muchas smart TVs avisan en el primero inicio a los usuarios de que recopilan contenidos y que, en caso de no activar dicha característica, podrían perder o tener mermadas ciertas funcionalidades. Como suele pasar cuando se aceptan unos términos de uso, muchos no se paran leerlos antes de dar su conformidad, lo que luego puede derivar en disgustos.

Un informe que revela cosas tan graves no podía quedarse sin respuesta de los fabricantes o los propietarios de ciertas plataformas. Samsung ha recalcado la seguridad ofrecida por sus televisores y el hecho de que siempre piden consentimiento previo al usuario, mientras que Roku ha explicado en su blog oficial que el informe de Consumer Reports es “una descripción errónea de una función” y que no se trata de un riesgo real para la seguridad. Por otro lado, Roku ha explicado que las opciones de rastreo pueden inhabilitarse mediante la configuración avanzada y que se toma la seguridad y la privacidad ofrecidas por su plataforma muy en serio.

Ante esta situación, Consumer Reports recomienda leer concienzudamente el manual de instrucciones del televisor para desactivar las características destinadas al rastreo de los contenidos que visualiza el usuario, planteándose incluso el restablecimiento de la configuración de fábrica para obtener desde el principio control total sobre la información recopilada por fabricantes y/o socios comerciales.

Independientemente de lo acertado que pueda estar el informe de Consumer Reports, la realidad es que tener más ordenadores (independientemente de que sean PC, smartphones, wearables, smart TVs, etc) en el hogar supone más mantenimiento de software, y no tener el sistema operativo y las aplicaciones al día resulta ser un riesgo para los usuarios. Aprovechamos para recordar que meses atrás se puso en evidencia la seguridad ofrecidas por las smart TVs de Samsung y que alrededor del 80% de los dispositivos IoT conectados son inseguros.

Fuente: NBC

por Eduardo Medina Mon, 12 Feb 2018 10:42:21 +0000