Archives julio 2019

El reciente auge de la aplicación FaceApp atrajo a los estafadores, quienes diseñaron modelos de engaño para intentar sacar provecho del buen momento por el que atraviesa la app.

La aplicación FaceApp, que ofrece varios filtros que modifican el rostro, está disponible tanto para Android como para iOS. Si bien la aplicación en sí es gratuita, algunas funciones, marcadas como “PRO”, son pagas. La reciente preocupación sobre cómo gestiona la privacidad FaceApp acaparó la atención de una gran cantidad de medios internacionales.

Los estafadores han estado intentando aprovechar esta ola de interés por la app de distintas maneras, por ejemplo, utilizando como señuelo una falsa versión “Pro” –de forma gratuita- de la aplicación. Los estafadores también han realizado un esfuerzo para que se difunda esta versión ficticia de la aplicación que en estos días se ha vuelto viral –al momento de escribir este artículo, una búsqueda en Google de “FaceApp Pro” arroja cerca de 200.000 artículos.

Hemos visto dos formas en la que los estafadores intentan ganar dinero con la no existente versión “Pro” de FaceApp.

Sitios web falsos

En una de las estafas que hemos visto, los atacantes han utilizado un sitio web falso en el cual se ofrece la versión “premium” de FaceApp de forma gratuita.

En realidad, los estafadores engañan a sus víctimas para que hagan clic en una innumerable cantidad de ofertas para que instalen otras aplicaciones pagas, así como suscripciones, anuncios, encuestas, etc. Las víctimas también reciben solicitudes de varios sitios web para permitir que se desplieguen notificaciones. Cuando las habilitan, estas notificaciones llevan a nuevas ofertas fraudulentas.

Durante nuestra prueba, terminamos con la versión regular y gratuita de FaceApp que también está disponible en Google Play. Sin embargo, en lugar de usar Google Play como fuente, descargamos la aplicación de un popular servicio de intercambio de archivos (mediafire.com), como se ve en la Figura 3. Esto significa que los usuarios podrían fácilmente terminar descargando malware si esa era la intención de los atacantes.

Videos de YouTube

El segundo tipo de estafa incluye videos de YouTube, a través de los cuales también se promocionan enlaces de descarga para una versión gratuita “Pro” de FaceApp. Sin embargo, los enlaces de descarga acortados apuntan a aplicaciones cuya única funcionalidad es hacer que los usuarios instalen varias aplicaciones adicionales desde Google Play. Uno de los videos de YouTube, como se puede observar en la Figura 4, tiene más de 150,000 visitas al momento de escribir este artículo.

Si bien este tipo de estafa se suele utilizar simplemente para desplegar anuncios, los enlaces acortados podrían llevar a que los usuarios instalen malware con un solo clic. Hemos visto que esto suceda en el pasado, por ejemplo, con el videojuego Fortnite siendo utilizado como señuelo.

Si bien en el enlace mencionado se hizo clic más de 96.000 veces, este dato no nos dice mucho sobre el número de instalaciones reales (aunque es cualquier empresa grande quisiera tener esa tasa de clics tan alta).

Conclusión

Todo lo que esté en boga atrae a los estafadores, y cuanto más grande sea la ola, mayor es el riesgo de ser víctima de una estafa. Antes de sumarse y participar de aquello que está de moda o que se está utilizando, como en este caso puede ser la app FaceApp, los usuarios deben recordar atenerse a los principios básicos de seguridad.

Independientemente de lo emocionante que sea el tema, evite descargar aplicaciones de otras fuentes que no sean las tiendas de aplicaciones oficiales, y examine la información disponible sobre la aplicación (desarrollador, clasificación, comentarios, etc.). Especialmente en el ecosistema de Android, existen engaños alrededor de cada aplicación o juego popular. Sin embargo, son buenas las posibilidades de que los usuarios preocupados por la seguridad puedan reconocer las falsificaciones de ofertas genuinas. Como medida de seguridad en caso de que un usuario caiga víctima de una estafa, tener una aplicación de seguridad de buena reputación instalada en su dispositivo móvil puede resultar de gran ayudar para evitar consecuencias negativas.

Fuente: www.welivesecurity.com

Hace un par de meses que ONLYOFFICE lanzó una actualización de sus editores web con varias novedades de interés que no llegamos a cubrir, pero que subsanamos ahora con el lanzamiento de la nueva vesión de los editores de escritorio, es decir, las aplicaciones independientes de esta suite ofimática de código abierto.

Para quien no sepa muy bien de qué va la cosa: ONLYOFFICE es una suite ofimática diseñada para la nube que se puede integrar en plataformas como ownCloud, NextCloud o en un servidor propio, contando principalmente con aplicaciones web de procesador de texto, hojas de cálculo y presentaciones. Pero hace un tiempo que lanzaron aplicaciones de escritorio que se pueden usar tanto en conexión con la nube como de manera local.

Así, ONLYOFFICE Desktop Editors alcanza la versión 5.3, la misma que alcanzaron los editores web en mayo y con sus mismas novedades, entre las que destacan nuevas opciones de edición de imágenes, mayor accesibilidad en tareas de revisión, más y mejores traducciones y otras mejoras más específicas para las diferentes aplicaciones de la suite.

Otras novedades de ONLYOFFICE Desktop Editors 5.3 incluyen nuevos plugins para insertar audio y vídeo en las presentaciones, o para enviar documentos directamente desde el editor como archivos adjuntos en mensajes de correo electrónico. Todas los detalles de esta versión, en la lista de cambios en GitHub.

Tampoco se trata de un versión repleta de novedades, aunque las hay bastante interesantes; pero que esté disponible para todos los usuarios de escritorio es un plus para hacerle eco. Puedes descargar la nueva versión de los editores de escritorio de ONLYOFFICE en formatos Deb, RPM y Snap, aunque en este último caso tendrás que activar el canal latest/edge.

Hablando de documentos de oficina, la semana pasada recogimos el lanzamiento de la nueva versión de WPS Office, otra de las mejores suites ofimática para Linux que encontrarás, si es que LibreOffice, nuestra principal recomendación, no cubre tus necesidades.

Fuente: www.muylinux.com

La ciberseguridad es algo que debería preocuparnos a todos en mayor o menor medida. Más si se habla de contexto de Latinoamérica, y es que en fechas recientes se han publicado estudios que parecen indicar que la situación en la zona está por encima de los datos a nivel internacional.

Los datos hablan por sí mismos, así que lo mejor es comenzar afrontando directamente el número de veces que la ciberseguridad se ve comprometida en América Latina.

El Internet y Seguridad en América del Sur, esta en amenaza, la importante empresa de seguridad informática Kaspersky daba unas cifras que deberían alertarnos. Entre enero y mayo de 2019, el conjunto de países que forman Latinoamérica sufrieron nada menos que 677 millones de ataques informáticos. De estos, la inmensa mayoría consiguió alcanzar sus objetivos comprometiendo datos personales, cuentas bancarias y otra información de la que solemos volcar en cualquier web o servicio al que nos inscribimos.

Si la cifra se escapa de una comprensión certera, quizá sea mejor reducirla a parámetros más inmediatos. Esos 677 millones de ataques informáticos registrados tan solo en ocho meses muestran que América Latina sufre un ciberataque cada 33 segundos. Así, no hay ningún momento del día en el que los hackers descansen en su empeño por comprometer la seguridad de distintas organizaciones.

El ranking de las naciones más atacadas debe estar encabezado sin lugar a dudas por Brasil, país que se lleva nada menos que el 53 % de todos los ataques recibidos en la zona. En segundo lugar se encuentra México, ya que concentra el 17 % del total, y en el tercer puesto se sitúa Colombia, país que recibe el 9 % de todos los ataques a la ciberseguridad realizados en Latinoamérica.

Fuente: www.somoslibres.org

ReactOS es uno de los sistemas operativos que más interés capta dentro de la escena underground de la computación, siendo básicamente una reimplementación de Windows como software libre, o al menos de lo que se ha podido obtener del sistema de Microsoft mediante ingeniería inversa, de forma similar a Wine.

Aunque ReactOS es un proyecto que tiene una repercusión más bien casi nula en términos comerciales, esto no ha impedido las duras críticas por parte de Axel Rietschin, ingeniero de Microsoft, quien dijo a finales de 2017 “que ReactOS es una estafa del Windows Research Kernel que Microsoft licenció a universidades bajo un acuerdo que obviamente violaron algunos, ya que el código se ha filtrado a numerosos lugares, algunos de ellos repositorios en GitHub.”

A lo mencionado en el párrafo anterior ha sumado lo siguiente, yendo más lejos en sus acusaciones: “Miro el árbol de códigos de ReactOS y, en mi opinión, no hay absolutamente ninguna forma en la Tierra de que esto se haya escrito desde una hoja limpia, solo de la documentación pública disponible. Un escenario más siniestro sería que ReactOS se originó a partir de una de las filtraciones que ocurrieron en el pasado.”

Axel Rietschin básicamente acusa a ReactOS de ser, al menos parcialmente, una copia de partes de lo derivado del programa Windows Research Kernel que Microsoft licenció a diversas universidades, ya que estas presuntamente habrían violado el acuerdo para aportar a ReactOS los conocimientos que la compañía cedió. Aunque se muestra aparentemente seguro, Rietschin intenta quitarse responsabilidades de encima diciendo que no es abogado, además de indicar que no sabe “por qué se permite que esto exista”, apoyando su argumentación en algo que ya apuntamos al principio: “Probablemente porque termina siendo algo así como un bebé mosquito en la espalda de un elefante gigante.”

Más allá de que las acusaciones de Axel Rietschin sean verdaderas o falsas, la realidad es que a día de hoy ReactOS está muy lejos de ser una amenaza para la hegemonía de Windows, siendo un proyecto que a día de hoy sigue estando en fase alfa a pesar de contar con la colaboración del proyecto Wine. De hecho, a día de hoy la combinación de GNU/Linux y Wine está mucho más cerca de ofrecer una alternativa real a Windows que ReactOS, sin ser ninguna de las dos posibilidad una alternativa real al sistema de Microsoft.

Fuente: www.muylinux.com

Ninguna sorpresa: Linux domina la nube y no hay plataforma que se le resista, incluyendo la propia de Microsoft, Azure, donde el sistema del pingüino ha batido definitivamente a su alternativa privativa.

No hay sorpresa que valga porque en septiembre del año pasado ya se dio a entender que Linux había superado a Windows en Azure, solo que debido a las fluctuaciones no estaba del todo claro. Pero ya lo está, según confirma uno de los ingenieros de Microsoft en un mensaje del que se hacen eco en ZDNet con diferentes implicaciones.

Pero no hay sorpresa, principalmente, porque desde que Microsoft dio soporte a Linux en Azure, el sistema de código abierto no ha dejado de escalar posiciones; y a mejor soporte, más posiciones escaladas. En cuatro años, Linux se ejecutaba en un tercio de las máquinas virtuales de Azure; a los seis años eran el 40%; y a los ocho años pasa lo que estamos contando ahora.

En todo caso, las cosas como son: para Microsoft es imposible competir con Linux en la nube a nivel de software y sistema operativo, y no tiene nada que ver con el coste; por lo que tampoco será de extrañar que la distancia entre Windows y Linux se vaya ampliando con el tiempo. Es por ello que Microsoft ya no compite con software, sino con servicios y, de hecho, hasta estos funcionan con Linux en número creciente.

«Los servicios nativos de Azure se ejecutan a menudo en Linux. Microsoft está construyendo más de estos servicios. Por ejemplo, la Red Definida por Software (SDN) de Azure se basa en Linux«, explicaba Scott Guthrie, vicepresidente de la división de nube y empresa en Microsoft.

De la importancia que está adquiriendo Linux en Azure se desprende que Microsoft esté interesada en entrar en la lista de seguridad de Linux, y de esa conversación entre ingenieros surge esta noticia que en realidad no es tal, pues salvo en PC, Linux es el sistema dominante en todos los sectores. En el de los servidores solo es cuestión de que los entornos heredados vayan desapareciendo para que la competencia sea testimonial.

Fuente: www.muylinux.com

Un actor malintencionado puede aprovecharse de la vulnerabilidad y utilizar Microsoft Teams para descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales

La plataforma Microsoft Teams presenta una vulnerabilidad que permite a un actor malintencionado insertar código malicioso en la aplicación y otorgarle al operador la posibilidad de ejecutar archivos en el sistema de forma arbitraria.

Para aquellos que no conocen la herramienta, Microsoft Teams es una plataforma de comunicación que unifica múltiples funcionalidades (chat, videoconferencias, almacenamiento de archivos y la posibilidad de utilizarlos de forma colaborativa, entre otras) que fue pensada para el uso empresarial y/o educativo, ya que permite armar comunidades o grupos de trabajo que pueden unirse a través de una URL o mediante una invitación.

El fallo que afecta a Teams radica Squirrel, un proyecto de código abierto que es utilizado para los procesos de instalación y actualización de la aplicación de escritorio y que a su vez utiliza el gestor de paquetes de código abierto NuGet para administrar archivos.

En este sentido, distintos investigadores de seguridad revelaron que a través de la ejecución de un comando de actualización puede un atacante aprovecharse del fallo para ejecutar código de manera arbitraria, explica BleepingComputer.

Otras aplicaciones que se ven afectadas por la misma razón son GitHub, WhatsApp y UiPath, aunque en estos casos solo puede explotar el fallo para descargar un payload.

En el caso de Microsoft Teams, al añadir un payload a su carpeta el mismo se ejecuta automáticamente utilizando cualquiera de los comandos Update.exe o squirrel.exe.

El fallo aún no fue reparado. Según el investigador Richard Reegun, quien fue uno de los que descubrió el fallo, reportó el hallazgo al equipo de Microsoft pero la compañía, que valido la vulnerabilidad, pospuso el parche para el próximo lanzamiento. Y si bien Reegun explica en un post en su blog que esperaba hacer público el hallazgo una vez que el error fuese solucionado, dado que otros investigadores públicaron información al respecto decidió finalmente hacerlo público.

Published the writeup on latest Microsoft Teams vulnerable application design.

Vulnerable Endpoints :
%localappdata%/Microsoft/Teams/update.exe
%localappdata%/Microsoft/Teams/current/squirrel.exehttps://t.co/Cec0noyBCS

CC: @MrUn1k0d3r @Hexacorn @Oddvarmoe #blueteam #redteam

— Reegun (@reegun21) 28 de junio de 2019

Mientras tanto, cualquier actor malintencionado puede engañar a la función update de la app para que descargue el malware que quiera utilizando para eso el propio código de Microsoft. El ataque implica extraer cualquier paquete nupkg en el cual el atacante insertará un shellcode etiquetado como “squirrel.exe”.

Una vez que un atacante haya creado el paquete adecuado podrá ir a la carpeta de la aplicación y ejecutando el comando “update.exe” la aplicación automáticamente actualizará y descargará el paquete malicioso que contiene el shellcode hacia la carpeta “packages”.

Fuente: www.welivesecurity.com

Nota del editor: Emili J. Blasco es periodista y director del centro Global Affairs de la Universidad de Navarra. Ha sido corresponsal en Berlín, Londres y Washington para el diario ABC de España, donde sigue publicando una columna. Las opiniones expresadas en este artículo corresponden exclusivamente a su autor.

(CNN Español) — China, como en su día la URSS con el lanzamiento del Sputnik, parece estar disputando a Estados Unidos el liderazgo de la próxima revolución tecnológica. Los avances chinos en 5G –la quinta generación de telefonía móvil, que aumenta exponencialmente la velocidad de las telecomunicaciones y el volumen de información transferible, posibilitando con ello la sincronización de operaciones muy complejas– están poniendo al gigante asiático en situación de alcanzar la paridad tecnológica con EE.UU., objetivo que Beijing quiere lograr para 2035.

El pulso entre EE.UU. y China a raíz de Huawei ha mostrado de pronto al mundo la amplia penetración que esa empresa china está logrando en muchos países para desarrollar las conexiones 5G. Eso ha supuesto una sacudida en la percepción general, también entre muchos estadounidenses, sobre la posibilidad de que EE.UU. se esté quedando atrás.

Algo así ocurrió con el lanzamiento en 1957 del Sputnik , el primer satélite artificial, que situó a la URSS por delante en la carrera espacial con EE.UU. Ese primer paso en la conquista del espacio dado por el mayor rival de la Guerra Fría supuso para los estadounidenses una voz de alarma que alcanzó a toda la sociedad: en las escuelas se promovieron más las matemáticas y las ciencias y, al final de la cadena del conocimiento, en 1958 el presidente Dwight D. Eisenhower creó la NASA.

Esa reacción –la capacidad de toda una nación de volcarse en un objetivo, en cerrada disputa con un competidor– se conoció como el “momento Sputnik”. Fue una suerte de “despertar” y “ponerse las pilas”. El notable esfuerzo dio sus resultados y en 1969 el primer hombre pisó la Luna llevando la bandera de las barras y estrellas.

Mucho se ha debatido los últimos años sobre si Estados Unidos está o no en declive o si hemos ya pasado de un orden internacional unipolar a otro bipolar o multipolar. El ascenso de China lógicamente reduce el peso relativo de EE.UU. en el mundo: la economía estadounidense era en 1960 el 40% de la economía mundial; hoy supone el 24%, no porque no crezca, sino por el normal desarrollo de otros países. Además, hay que tener en cuenta que la situación de “superpotencia solitaria” alcanzada con el colapso de la URSS fue una excepcionalidad que difícilmente iba a prolongarse mucho en el tiempo.

En cualquier caso, EE.UU. sigue siendo la primera potencia: en el campo militar su superioridad será incuestionable por décadas y en el económico de momento no ha sido sobrepasado por China. Incluso demográficamente el tiempo juega a favor de EE.UU., que irá reduciendo la diferencia en población activa respecto a China, dado el mayor envejecimiento de la población de este país: la actual proporción de 5 a 1 a favor chino se reducirá al 3 a 1 hacia 2050.

Si el sistema de telefonía móvil 1G tuvo a la estadounidense Motorola como marca emblemática en la década de 1980, el cetro pasó en los 90 a la finlandesa Nokia con el 2G y en la década siguiente a la canadiense Blackberry con el 3G. Apple, con su iPhone, ha sido la marca dominante del 4G en la década en que estamos y Huawei aspira a ocupar ese puesto la próxima. Esa secuencia temporal muestra que EE.UU. estuvo en los comienzos de la innovación y que volvió a controlar el mercado cuando la telefonía móvil dio el salto cualitativo a los celulares inteligentes. Pero hoy, cuando va darse un salto aún mayor, podría perder su posición de liderazgo. De hecho, ninguna marca-país ha tenido un reinado permanente en este ámbito.

Washington puede querer combatir a Huawei en todos los frentes, pero ciertas acciones legales y la presión sobre países aliados para que restrinjan la actividad de la tecnológica china en sus territorios solo darán logros parciales. EE.UU. tiene que vencer a Huawei-China en el terreno tecnológico, y para eso debe sobreponerse como ocurrió ante el éxito ruso del Sputnik. Un “momento Huawei”, sin llegar a la psicosis, es necesario.

Al discutir sobre “declivismo” o de “nueva centuria americana”, según se juzgue de modo pesimista u optimista la marcha de EE.UU., se echa mano de estadísticas que muchas veces al ciudadano de a pie le resultan frías. Hablar de “momento Huawei”, en cambio, puede ser lo suficientemente sugerente –y amenazante– como para reactivar el talento científico y tecnológico que EE.UU. puede generar.

En 2011 tuvo un gran impacto el libro “That Used to Be Us” (Eso solíamos ser nosotros), del columnista del New York Times Thomas Friedman. Era una llamada precisamente a recobrar el liderazgo mundial dando respuesta a los retos planteados por nuestro tiempo. Que el título de ese libro se quede en una frase de alerta o sea la triste constatación de una realidad depende de los propios estadounidenses.

Fuente: cnnespanol.cnn.com