Archives mayo 2023

El equipo de investigación de ESET identificó AhRat, un nuevo troyano de acceso remoto (RAT) para Android que permite exfiltrar archivos y grabar audio.

Ecuador – El equipo de investigación de ESET, descubrió una aplicación troyanizada para Android que había estado disponible en la tienda Google Play y contaba con más de 50,000 instalaciones. La aplicación, llamada iRecorder – Screen Recorder, se cargó inicialmente en la tienda sin funcionalidad maliciosa el 19 de septiembre de 2021. Sin embargo, la funcionalidad maliciosa se implementó más tarde, probablemente en la versión 1.3.8, que estuvo disponible en agosto de 2022.

Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso. El código malicioso que se agregó a la versión limpia de iRecorder se basa en el código abierto del RAT (troyano de acceso remoto) para Android AhMyth y ha sido personalizado en lo que llamamos AhRat.

Además de este caso puntual, no hemos detectado actividad de AhRat en ningún otro lugar. Sin embargo, no es la primera vez que detectamos malware para Android basado en AhMyth disponible en Google Play, ya que en 2019 también publicamos una investigación sobre una aplicación troyanizada basada en el código de AhMyth. En ese entonces, se trataba de un spyware que logró eludir dos veces el proceso de verificación de aplicaciones de Google enmascarándose como una aplicación de streaming de radio.

Descripción general de la app

Además de proporcionar una funcionalidad de grabación de pantalla legítima, la app maliciosa iRecorder puede grabar el audio circundante desde el micrófono del dispositivo y cargarlo en el servidor de comando y control (C&C) del atacante. También puede exfiltrar desde el dispositivo archivos con extensiones que representan páginas web guardadas, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos. El comportamiento malicioso específico de la aplicación (exfiltración de grabaciones de micrófonos y robo de archivos con extensiones específicas) tiende a sugerir que es parte de una campaña de espionaje. Sin embargo, no pudimos atribuir la aplicación a ningún grupo malicioso en particular.

Como socio de Google App Defense Alliance, ESET identificó la versión más reciente de la aplicación como maliciosa y rápidamente compartió sus hallazgos con Google. Luego de nuestro reporte la aplicación fue eliminada de Google Play.

Distribución

La aplicación iRecorder se llegó a la tienda Google Play el 19 de septiembre de 2021 ofreciendo la función de grabación de pantalla, pero no contenía características maliciosas. Sin embargo, alrededor de agosto de 2022 detectamos que el desarrollador de la aplicación incluyó una funcionalidad maliciosa en la versión 1.3.8. Como se observa en la Figura 1, para marzo de 2023, la aplicación había acumulado más de 50 000 instalaciones.

Figura 1. La app troyanizada iRecorder

Sin embargo, los usuarios de Android que habían instalado una versión anterior de iRecorder (anterior a la versión 1.3.8), que carecía de funciones maliciosas, sin saberlo, podrían haber expuesto sus dispositivos a AhRat si posteriormente actualizaron la aplicación de forma manual o automática, incluso sin otorgar cualquier otra aprobación de permiso de la aplicación.

Después de reportar el comportamiento malicioso de iRecorder, el equipo de seguridad de Google Play eliminó la app de la tienda. Sin embargo, es importante tener en cuenta que la aplicación también puede estar disponible en mercados de Android alternativos y no oficiales. El desarrollador de iRecorder también proporciona otras aplicaciones en Google Play, pero no contienen código malicioso.

Atribución

Anteriormente, el malware de código abierto AhMyth fue empleado por Transparent Tribe, también conocido como APT36, un grupo de ciberespionaje conocido por su uso extensivo de técnicas de ingeniería social y por apuntar a organizaciones gubernamentales y militares en el sur de Asia. Sin embargo, no podemos atribuir las muestras de malware actuales a ningún grupo específico, y no hay indicios de que hayan sido desarrolladas por un grupo conocido de amenazas persistentes avanzadas (APT).

Análisis

Durante nuestro análisis, identificamos dos versiones de código malicioso basadas en AhMyth RAT. La primera versión maliciosa de iRecorder contenía partes del código malicioso de AhMyth RAT que habían sido copiadas sin modificaciones. La segunda versión maliciosa, a la que llamamos AhRat, también estaba disponible en Google Play pero el código de AhMyth había sido personalizado, inclusive el código y la comunicación entre el backdoor el servidor C&C. Al momento de escribir esta publicación no hemos observado AhRat en ninguna otra aplicación de Google Play ni en ningún otro lugar, siendo iRecorder la única aplicación que contiene este código personalizado.

AhMyth RAT es una herramienta potente que ofrece varias funciones maliciosas, incluida la extracción de registros de llamadas, contactos y mensajes de texto, la obtención de una lista de archivos en el dispositivo, el seguimiento de la ubicación del dispositivo, el envío de mensajes SMS, la grabación de audio y la toma de fotografías. Sin embargo, en las dos versiones analizadas en esta publicación solo observamos un conjunto limitado de características maliciosas derivadas de la versión original de AhMyth RAT. Estas funcionalidades maliciosas parecían encajar dentro del modelo de permisos ya definido que utilizaba la aplicaciones, el cual otorga acceso a archivos en el dispositivo y permite la grabación de audio. Algo a destacar es que la aplicación maliciosa proporcionó la función de grabación de video, por lo que se esperaba que pidiera permiso para grabar audio y almacenarlo en el dispositivo, como se muestra en la Figura 2. Tras la instalación de la aplicación maliciosa, se comportó como de costumbre, sin solicitar ningún permiso extra que pudiera revelar sus intenciones maliciosas.

Después de la instalación, AhRat comienza a comunicarse con el servidor de C&C enviando información básica del dispositivo y recibiendo claves de cifrado y un archivo de configuración cifrado, como se ve en la Figura 3. Estas claves se utilizan para cifrar y descifrar el archivo de configuración y algunos de los datos extraídos, como la lista de archivos en el dispositivo.

Figura 3. Comunicación inicial de AhRat con el servidor de C&C

Después de la comunicación inicial, AhRat hace contacto con el servidor de C&C cada 15 minutos y solicita un nuevo archivo de configuración. Este archivo contiene una serie de comandos e información de configuración que se ejecutarán y configurarán en el dispositivo de destino, incluida la ubicación del sistema de archivos para obtener los datos del usuario, los tipos de archivos con extensiones particulares a extraer, un límite de tamaño de archivo, la duración de las grabaciones del micrófono (según lo establecido por el servidor de C&C; durante el análisis se estableció en 60 segundos) y el intervalo de tiempo de espera entre grabaciones (15 minutos), que es también cuando se recibe el nuevo archivo de configuración del servidor de C&C.

Curiosamente, el archivo de configuración descifrado contiene más comandos de los que AhRat es capaz de ejecutar, ya que no se han implementado ciertas funcionalidades maliciosa. Esto puede indicar que AhRat es una versión liviana similar a la versión inicial que contenía solo código malicioso sin modificar de AhMyth RAT. A pesar de esto, AhRat todavía es capaz de extraer archivos del dispositivo y grabar audio usando el micrófono del dispositivo.

De acuerdo a los comandos recibidos en la configuración del servidor C&C, AhRat debería ser capaz de ejecutar 18 comandos. Sin embargo, este RAT solo puede ejecutar los seis comandos marcados en negrita y con un asterisco de la siguiente lista:

• RECORD_MIC*
• CAPTURE_SCREEN
• LOCATION
• CALL_LOG
• KEYLOG
• NOTIFICATION
• SMS
• OTT
• WIFI
• APP_LIST
• PERMISSION
• CONTACT
• FILE_LIST*
• UPLOAD_FILE_AFTER_DATE*
• LIMIT_UPLOAD_FILE_SIZE*
• UPLOAD_FILE_TYPE*
• UPLOAD_FILE_FOLDER*
• SCHEDULE_INTERVAL

La implementación de la mayoría de estos comandos no está incluida en el código de la aplicación, pero la mayoría de sus nombres se explican por sí mismos, como se muestra también en la Figura 4.

Figura 4. Archivo de configuración descifrado con una lista de commandos

Durante nuestro análisis, AhRat recibió comandos para exfiltrar archivos con extensiones relacionadas a páginas web, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos. Las extensiones de archivo son las siguientes: zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx, and txt.

Estos archivos estaban limitados a un tamaño de 20 MB y estaban ubicados en el directorio de descargas /storage/emulated/0/Download.

Luego, los archivos localizados se cargaron en el servidor de C&C, como se ve en la Figura 5.

Figura 5. Exfiltración de archivos al servidor C&C

Conclusión

La investigación de AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad. Si bien es posible que el desarrollador detrás de esta aplicación haya tenido la intención de crear una base de usuarios antes de comprometer sus dispositivos Android mediante una actualización o que haya sido un actor malicioso el que introdujo este cambio en la aplicación; hasta ahora, no tenemos evidencia para confirmar ninguna de estas hipótesis.

Afortunadamente, las medidas preventivas contra este tipo de acciones maliciosas ya se han implementado en Android 11 y versiones superiores mediante la hibernación de aplicaciones. Esta característica coloca las aplicaciones que han estado inactivas durante varios meses en un estado de hibernación, reestableciendo sus permisos de ejecución y evitando que las aplicaciones maliciosas funcionen según lo previsto. La aplicación maliciosa se eliminó de Google Play después de que la reportamos, pero confirma lo importante que es contar con una protección a través de múltiples capas en nuestros dispositivos para protegerlos contra posibles filtraciones, como las que ofrece ESET Mobile Security.

El malware AhRat es una versión personalizada del malware de código abierto AhMyth RAT, lo que significa que los autores de la aplicación maliciosa invirtieron un esfuerzo significativo para comprender el código tanto de la aplicación como del backend, y finalmente lo adaptaron para satisfacer sus propias necesidades.

El comportamiento malicioso de AhRat, que incluye grabar audio usando el micrófono del dispositivo y robar archivos con extensiones específicas, podría indicar que era parte de una campaña de espionaje. Sin embargo, todavía tenemos que encontrar evidencia concreta que nos permita atribuir esta actividad a una campaña o grupo APT en particular.

Indicadores de Compromiso

Archivos

Red

Técnicas de MITRE ATT&CK

Esta tabla fue creada utilizando la versión 12 del framework de MITRE ATT&CK.

Fuente: www.welivesecurity.com

Se identificó falsas tiendas online activas que roban credenciales bancarias utilizando malware para Android y advierte sobre la posible reutilización de esta técnica a nivel global.

Investigadores de ESET, identificaron tres aplicaciones maliciosas utilizadas para robar credenciales bancarias de clientes de ocho bancos de Malasia. Advierten cómo es la metodología de engaño y la importancia de estar prevenido en caso que se replique esta técnica a nivel global.

En el primer trimestre de 2021, los smartphones representaron el 69% de todas las visitas a sitios web de retail en todo el mundo, y las compras de smartphones representaron el 57% de todas las compras online. Un aspecto destacable de la compra de bienes y servicios a través de un dispositivo móvil es que el 53 % de usuarios de smartphones realiza compras desde aplicaciones específicas del proveedor.

ESET alerta sobre ciberdelincuentes que engañan a compradores ansiosos para que descarguen aplicaciones maliciosas. En una campaña en curso dirigida a los clientes de ocho bancos de Malasia, actores de amenazas están intentando robar credenciales bancarias utilizando sitios web falsos que se hacen pasar por servicios legítimos, a veces copiando directamente el diseño del sitio original. Estos sitios web usan nombres de dominio similares a los de los servicios oficiales para tener más chances de pasar desapercibidos ante los ojos de las potenciales víctimas.

“Si bien la campaña por ahora solo se dirige exclusivamente a Malasia, más adelante podría expandirse a otros países y bancos. En este momento los atacantes buscan credenciales bancarias, pero también pueden sumar el robo de información de tarjetas de crédito en el futuro.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Esta campaña fue identificada por primera vez a fines de 2021 y en la misma se hicieron pasar por el servicio de limpieza legítimo Maid4u. Distribuida a través de anuncios de Facebook, la campaña busca convencer a las posibles víctimas para que descarguen malware para Android desde un sitio web malicioso. Al momento de la comunicación de ESET la campaña maliciosa todavía estaba en curso, con aún más dominios registrados para la distribución después de su descubrimiento. En enero de 2022, MalwareHunterTeam compartió información sobre otros tres sitios web maliciosos y troyanos para Android atribuidos a esta campaña.

Además de eso, los investigadores de ESET encontraron otros cuatro sitios web falsos. Los siete sitios suplantaban la identidad de servicios que solo están disponibles en Malasia: seis de ellos ofrecen servicios de limpieza, como Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy y MaidACall, mientras que el séptimo es una tienda de mascotas llamada PetsMore.

Estos falsos sitios web no brindan la opción de comprar directamente a través de ellos. En cambio, incluyen botones para supuestamente descargar aplicaciones de Google Play. Sin embargo, hacer clic en estos botones en realidad no conduce a la tienda oficial Google Play, sino a los servidores controlados por los actores de amenazas. “Para tener éxito, este ataque requiere que las víctimas habiliten la opción “Instalar aplicaciones desconocidas” en sus dispositivos, la cual está deshabilitada por defecto. Vale la pena mencionar que cinco de las siete versiones legítimas de estos servicios ni siquiera cuentan con una aplicación disponible en Google Play.”, agrega el investigador de ESET.

Para aparentar ser legítimas, las aplicaciones piden a los usuarios que inicien sesión una vez que son abiertas; sin embargo, no hay validación de cuenta en el lado del servidor: el software toma cualquier entrada del usuario y siempre la declara correcta. Manteniendo la apariencia de una tienda online real, las aplicaciones maliciosas pretenden ofrecer productos y servicios para comprar utilizando una interfaz similar a la de las tiendas originales. Cuando llega el momento de pagar por la compra, a las víctimas se les presentan dos opciones de pago: pueden pagar con tarjeta de crédito o mediante la transferencia bancaria.

El objetivo de los atacantes es obtener las credenciales bancarias de sus víctimas. Después de elegir la opción de transferencia directa, a las víctimas se les presenta una página de pago falsa de FPX y se les pide que elijan un banco entre ocho opciones de bancos de Malasia y luego que ingresen sus credenciales. Los bancos apuntados por esta campaña maliciosa son Maybank, Affin Bank, Public Bank Berhad, CIMB Bank, BSN, RHB, Bank Islam Malaysia y Hong Leong Bank.

Figura 2. Bancos apuntados por los atacantes

Después de que las víctimas envíen sus credenciales bancarias, reciben un mensaje de error que les informa que el nombre de usuario o la contraseña que proporcionaron no es válida. En este punto, las credenciales ingresadas ya se han enviado a los operadores de malware.

Figura 3: Mensaje de error que se muestra a la víctima luego de que las credenciales fueron exfiltradas.

Para asegurarse de que los operadores detrás de esta campaña puedan ingresar a las cuentas bancarias de sus víctimas, las aplicaciones de tiendas online falsas también reenvían a los atacantes todos los mensajes SMS que recibe la víctima en caso de que alguno de esos mensajes contenga el código de autenticación en dos pasos (2FA) enviados por el banco.

Según el equipo de investigación de ESET, hasta ahora esta campaña de malware ha estado apuntando únicamente a Malasia: tanto las tiendas online cuya identidad de suplanta, como los bancos apuntados para el robo de credenciales de clientes, son de este país, y los precios de las aplicaciones se muestran en la moneda local, el ringgit malayo.

Para protegerse contra este tipo de amenazas, desde ESET comparten los siguientes consejos:

Lo primero es asegurarse al momento de comprar que está utilizando sitios web legítimos:

• Verificar si el sitio web es seguro, es decir, su URL comienza con https://. Algunos navegadores pueden incluso negarse a abrir sitios web que no sean HTTPS y advertir explícitamente a los usuarios o brindar una opción para habilitar el modo solo HTTPS.

• Tener cuidado al hacer clic en anuncios y no seguir los resultados que ofrecen motores de búsqueda pagos, ya que es posible que no conduzcan al sitio web oficial.

Además de verificar que no se está utilizando un sitio web falsos, acercan recomendaciones útiles para disfrutar de una experiencia de compra online más segura desde un smartphone:

• Prestar atención a la fuente de las aplicaciones que está descargando. Asegurarse de ser redirigido a la tienda Google Play cuando obtenga una aplicación.

• Siempre que sea posible, utilizar un software para el proceso de autenticación en dos pasos (2FA) en lugar de SMS. Por ejemplo, Google Authenticator.

• Utilizar una solución de seguridad para dispositivos móviles para detectar sitios web peligrosos y aplicaciones maliciosas.

Fuente: www.eset.com

La Cumbre Regional de la Open Compute Project Foundation (OCP) celebrada los días 19 y 20 de abril en Praga (República Checa) ha dejado una noticia muy importante en torno a AMD: el anuncio de que reemplazará el clásico AGESA por openSIL tanto a nivel de servidor como cliente, si bien ya empezó a mostrar ciertos detalles el mes anterior.

AGESA, que son las iniciales de AMD Generic Encapsulated Software Architecture, es una biblioteca de procedimientos desarrollada por el gigante rojo de los procesadores que es utilizada para la Inicialización de la Plataforma (PI) en placas base para la arquitectura AMD64. Como pare de la BIOS de las placase base en la que es implementada, es la responsable de la inicialización de los núcleos del procesador, el chipset, la memoria principal y del controlador HyperTransport.

AGESA fue de código abierto a principios de 2011 con el objetivo de contribuir al desarrollo de Coreboot. Sin embargo, dichos lanzamientos nunca contribuyeron al desarrollo de Coreboot más allá de la familia de procesadores Bulldozer (Bulldozer, Pledriver, Steamroller y Excavator), ya que las publicaciones para generaciones posteriores se detuvieron.

Aparentemente openSIL, que es el acrónimo de Open-Source Silicon Initialization Library, viene a recuperar la senda que AGESA perdió hace tiempo. Entre los proveedores de firmware involucrados en openSIL están 9elements y AMI, mientras que AMD hizo en el evento de Praga una demostración con UEFI y Coreboot.

Además de aperturismo (esperemos que como verdadero Open Source), el gigante rojo de los procesadores pretende que openSIL sea una solución liviana, simple, transparente, segura y fácil de incrementar, cosa que en estos momentos no se puede decir un AGESA que, al menos en el sector doméstico, empieza a ser cuestionado. La compañía ha programado el comienzo del despliegue de openSIL para el año 2026.

Raj Kapoor, arquitecto jefe de firmware de AMD, comentó durante la presentación de openSIL sobre los desafíos que han tenido que afrontar con AGESA para adaptarlo a Coreboot en los dispositivos Ryzen dirigidos a ser Chromebooks, los ordenadores personales que emplean Chrome OS como sistema operativo.

Esto parece reforzar dos cosas: su llegada a equipos de consumo y que puede ayudar a facilitarle las cosas a Linux en algunos frentes, pero veremos si al final openSIL llega de verdad a equipos con Windows (los cuales muchas veces son comprados para instalarles Linux), equipos sin sistema operativo (que son cada vez más comunes) y a placas base sueltas que son compradas para montar equipos de sobremesa. Kapoor dijo durante la sesión de preguntas y respuestas que “AGESA llegará al final de su vida útil y openSIL lo reemplazará” en todos los productos. Por otro lado, se espera que el código de la prueba de concepto de openSIL para AMD Genoa llegue pronto.

AMD anunció durante la prsentación que openSIL será de código abierto y que su especificación también será abierta, por lo que la compañía aprovechó el evento para invitar a todos los proveedores de silicio a participar en su desarrollo, mejora y evolución. Sin embargo, hay que tener en cuenta que AMD es toda una experta a la hora de hacer las cosas a medias, así que sería mejor mantener la prudencia mientras no haya resultados reales que sean de verdad desplegados en el mercado de masas.

Como vemos, openSIL tiene muy buena pinta, pero viendo que todavía es un proyecto de cara al futuro y el precedente de AGESA, por ahora sería mejor mantener la prudencia y contener la euforia. Además de las intenciones, habrá que ver si a Intel y Microsoft no les molesta la nueva iniciativa del gigante rojo, porque de ser así, posiblemente hagan uso de sus poderosos puños monopolísticos para hacer que AMD limite sus objetivos.

Fuente: www.muylinux.com

The Linux Foundation ha publicado su tradicional informe sobre el estado de la contratación de talento en torno a tecnología correspondiente al año 2023. Como es de esperar, la convulsa situación económica en la que vivimos ha alterado los planes de muchas organizaciones, y a pesar de que muchas siguen estando interesadas en contratar, desde hace meses se han hecho habituales los despidos masivos.

Lo primero que se puede destacar del informe es que debido a las preocupaciones derivadas de la situación económica, el 59% de las organizaciones ha tomado la decisión de revisar sus planes de contratación de personal técnico para el presente año 2023. De media se puede ver que el 57% ha reportado que planea incrementar sus planes del contratación, el 46% que congelará plantilla y que el 20% la reducirá.

Sobre las áreas tecnológicas a las que las organizaciones apuntan para ampliar las contrataciones, el 50% pretende hacerlo en contenedores, el 50% en ciberseguridad y el 46% en inteligencia artificial y aprendizaje automático. Es importante tener en cuenta que lo normal es que una organización abarque diversas áreas, así que es lógico ver que la suma de los porcentajes supere el 100%.

Otro dato interesante del informe es que el 58% de las organizaciones buscan formación para sus empleados cuando no son capaces de encontrar a personal que se ajuste a los perfiles técnicos demandados, lo que supone un aumento frente al 50% que respondieron lo mismo en el informe del año pasado. En contraste, la contratación de consultores disminuyó del 48% en 2022 al 38% en 2023.

El 70% de las organizaciones encuestadas han respondido que ofrecen oportunidades de formación en nuevas tecnologías para su actual personal técnico. De ser esto cierto, significa que la formación y el reciclaje del personal ya contratado se está volviendo más importante. Continuando con más de lo mismo, el 91% de las organizaciones cree que la formación y la mejora de las habilidades del personal TI ya contratado es extremadamente importante o muy importante.

En lo que respecta a la formación de los candidatos en los procesos de contratación, el 73% de la organizaciones que todavía contratan están de acuerdo en que las certificaciones deberían ser un requerimiento para verificar si realmente se tienen las habilidades técnicas que los candidatos dicen tener, ya que estas permiten validar y demostrar que se tienen conocimientos en áreas específicas.

En resumidas cuentas y según este informe realizado y publicado por The Linux Foundation, las organizaciones siguen a niveles generales interesadas en contratar, pero en menor medida que en tiempos pasados. La consecuencia de eso es que apuesta más en formar y reciclar al personal ya presente en las empresas, una tendencia que ya veremos si se sostiene en los años venideros.

Fuente: www.muylinux.com

Qué sucede con tus activos digitales cuando mueres y cómo asegurarte de que caigan en las manos adecuadas.

Que los humanos somos mortales no es ninguna novedad. Lo innovador es que, no obstante, en las dos últimas décadas la gente ha ido acumulando activos digitales que nunca antes habían existido. Esto puede haber generado la siguiente pregunta: ¿qué pasará después con todas mis redes sociales y cuentas de mensajería, todos mis archivos en la nube de correos electrónicos y fotos, además de los dominios y sitios web, por no hablar de los monederos electrónicos y las cuentas de las plataformas de trading?

Cuentas póstumas

En el 2012, los padres de una chica de 15 años en Berlín intentaron acceder a su cuenta de Facebook después de que su hija se tirara a una vía de tren. El objetivo era descubrir qué la había llevado a suicidarse, sospechando principalmente de ciberacoso. No obstante, ya se había convertido en una cuenta conmemorativa, por lo que nadie podía acceder.

No fue hasta el 2018, tras 6 años (¡!) de pleitos, cuando el Tribunal Federal de Justicia de Alemania dictó que, en términos de herencia, las cuentas de redes sociales no distan de las cartas o diarios personales; es decir, se transfieren a sus herederos legítimos: sus padres en este caso.

Pero ¿por qué se alargó tanto este proceso? Porque la industria TI no coincide con esta descripción de los activos digitales. Suele haber dos contraargumentos. En primer lugar, Facebook y otros servicios citan las leyes de protección de datos personales: estos datos no se pueden transferir a terceros sin el permiso del propietario. Es cierto que la propietaria ha fallecido en este caso, pero la gente con la que se intercambió mensajes sigue viva y no ha dado permiso para leer su correspondencia.

Otra razón para rechazar la solicitud de los herederos es que muchos servicios digitales ofrecen sus productos bajo licencia, como un servicio de uso temporal. Y la ley no prevé la herencia de dicho “arrendamiento”. Por ejemplo, en algunos países los nombres de dominio se registran sobre las bases de un acuerdo de servicio, y estos servicios no se incluyen en el testamento del fallecido.

Las normas de los cementerios digitales

Cuando las normas de las herencias no recogen los activos digitales, solo queda confiar en la política de la compañía y en los pasos realizados por el testador antes de su muerte. Algunos registradores de dominio posibilitan la transferencia del dominio al pariente más cercano, una vez presentada la documentación necesaria.

Otros servicios también están empezando a introducir poco a poco una política similar. Las últimas versiones de iOS te permiten designar un representante digital que tendrá acceso a tu ID de Apple en caso de que fallezcas. Bien es cierto que tu heredero no podrá disponer de todos tus activos digitales. En concreto, no podrá acceder a tus libros electrónicos, música u otras compras online (recuerda que un libro digital no es un libro, sino un servicio de renta temporal).

En lo que respecta a las cuentas de Google, esta función se llama Administrador de cuentas inactivas. El sucesor que hayas designado tendrá acceso a tus datos si la cuenta ha estado inactiva durante mucho tiempo; puedes configurar el periodo de inactividad tú mismo.

Facebook ofrece una función similar para conmemorar cuentas con la que puedes informar a la compañía por adelantado de tus últimas voluntades sobre tu cuenta: que se elimine por completo o especificar unos contactos de legado, que gestionarán tu cuenta conmemorativa o simplemente cuidarán de ella; no podrán cambiar el viejo contenido, leer mensajes o eliminar amigos, solo podrán cambiar tu foto de perfil, publicar posts conmemorativos y seleccionar los amigos que pueden escribir tributos en el perfil. Además, los contactos de legado deben tener su propia cuenta de Facebook; exacto, la red social nunca pierde la oportunidad de ampliar su base de usuarios.

Sin embargo, las normas difieren dependiendo del servicio, cada uno tiene sus propias peculiaridades. Hay decenas de millones de cuentas de redes sociales que pertenecen a personas que ya no están con nosotros, pero muy pocas se han conmemorado. Después de todo, como cuando eliminas una cuenta, hay que enviar al servicio documentos que demuestren la muerte del propietario (Instagram, LinkedIn y otras redes sociales cuentan con reglas similares). En muchos casos son los familiares los que siguen al cargo de la cuenta y, a veces, unos completos desconocidos que se aprovechan de la popularidad del fallecido para su beneficio personal. Al no conmemorar la cuenta, las redes sociales nos invitan automáticamente a felicitar el cumpleaños de la persona fallecida o nos enfrenta a recuerdos dolorosos. Es posible que en el metaverso virtual del futuro haya una horda de fallecidos vagando por las calles en modo automático, como en una película apocalíptica de zombis.

Qué puedes hacer mientras esté vivo

Recapitulemos: no hay una solución que valga para todo, pero sí podemos ocuparnos del futuro de nuestros activos digitales cuando nosotros ya no estemos en este mundo.

• Puedes hacer un testamento con un abogado, especificando tus activos digitales y la gente que los heredará. Aunque la ley de sucesiones de tu país no recoja este tipo de activos, el testamento puede ayudar en este tipo de disputas.
• Infórmate sobre la política de legado de cada servicio digital que uses y las configuraciones o contratos necesarios. Por ejemplo, los fondos de un monedero electrónico pueden pasar directamente a los herederos legítimos sin medidas adicionales, ya que el dinero sí que está cubierto en las leyes de sucesión. Pero en el caso del correo electrónico, servicios de almacenamiento digital y redes sociales, tiene sentido que configures un contacto de legado. Para ello, tendrás que leer y seguir las directrices de cada servicio en específico.
• Por su parte, los herederos tendrán que conocer el proceso para poder acceder a cada uno de tus servicios. Si has configurado un contacto de legado, tendrán que presentar un documento o código electrónico para conseguir el acceso, dependiendo de las normas del servicio en cuestión.
• Muchos servicios (como Twitter, Instagram y LinkedIn) no transfieren acceso a nadie a las cuentas de usuarios fallecidos. Sí pueden, bajo solicitud de sus familiares, eliminar o conmemorar una cuenta, pero incluso para ello se necesita la documentación correcta y en ciertos casos puede que tengas que demostrar tu derecho ante los tribunales.

Dos expertos de nuestro equipo de análisis e investigación global (GReAT), Marco Preuss (director adjunto) y Dan Demeter (investigador de seguridad senior), sacaron a relucir varios factores adicionales que debemos tener en cuenta mientras estemos vivos en su sesión “Digital Life and Physical Death” en la Conferencia RSA 2023.

Hay que decidir con antelación qué tipo de datos quieres legar, en qué formato y en qué medios estarán almacenados. Por desgracia, la vida útil de los medios de almacenamiento actuales es de 5 a 30 años, por lo que los archivos digitales deben actualizarse periódicamente y transferirse a medios más modernos. Además, no puedes apostarlo todo a la nube: ¿cuántos servicios han cerrado en los últimos 10 años?

Si tu almacenamiento digital contiene documentos en formatos cerrados, controla también el software con el que lo abres. Por ejemplo, imagínate que tienes documentos valiosos en SuperCalc u otro formato obsoleto. Convierte estos documentos a formatos abiertos modernos o adjunta copias de software que puedan abrirlos. Lo mismo ocurre con cualquier hardware especializado que pueda ser necesario para acceder a tus datos.

Incluye una descripción detallada de todo lo que has recopilado, dónde está ubicado y cómo usarlo. Además de esta descripción, vale la pena agregar grabaciones de audio o vídeo que, además de dar instrucciones, expresen claramente tus deseos sobre lo que se debe hacer con tu legado digital.

Guarda las contraseñas, las claves privadas y otras herramientas para acceder a tus datos privados y cifrados en un lugar seguro y aislado. Esto es importante: no incluyas contraseñas o claves privadas en tu testamento. Los testamentos se convierten en un asunto de dominio público en algunos países. La forma más fiable de almacenarlos es en una bóveda digital, como Kaspersky Password Manager, protegida con una contraseña maestra, y transfiere el acceso de este almacenamiento a una persona de confianza junto con tus instrucciones: por ejemplo, “Elimínalo todo”.

Lo principal aquí es elegir a la persona adecuada. Recuerda el caso del escritor Vladimir Nabokov: dejó instrucciones para destruir el manuscrito de su última novela inacabada, pero su esposa no lo cumplió y ¡su hijo publicó los borradores de su padre en la revista Playboy!

Fuente: latam.kaspersky.com

La unión del conjunto de protocolos que supuso la creación de Internet se dio en 1982 y, desde entonces, los expertos ya vaticinaban que se encontraban ante una revolución donde los datos eran importantes. Esta ha seguido avanzando hasta nuestros días. 

Uno de los servicios claves de Internet son los World Wide Web que transmite datos con el protocolo de transferencia de hipertexto (HTTP).[@skylarvision] de Pixabay

Antes de Internet, las personas solo buscaban información en los libros, interactuaban con otros a distancia a través de cartas físicas y recurrían a mapas de papel para encontrar una ubicación concreta. Gracias a su creación, Google u otros buscadores o novedades como ChatGPT se han convertido en nuestro ABC de la información, las redes sociales y las videollamadas permiten que nos mantengamos en contacto incluso cuando hay kilómetros que nos separan y Google Maps y otras apps similares sirven para que encontremos nuestro destino en una ciudad desconocida.

Hoy, 17 de mayo, se celebra el día de Internet y, de los inventos de la humanidad, es posiblemente uno de los que más merezca una fecha marcada en el calendario. Esta celebración tiene el objetivo de dar a conocer cómo las nuevas tecnologías mejoran y cambian la vida de las personas. Asimismo, Internet también se ha convertido en una herramienta más para los negocios, tanto para recopilar los datos de los usuarios como para almacenar la propia información confidencial de forma segura en la nube, convirtiéndose en el ‘oro’ de la economía digital.

La idea de otorgarle un día especial surgió en España en 2004, como una propuesta de la Asociación de Usuarios de Internet. La primera vez que se celebró fue un 25 de octubre de 2005, sin embargo, tras la declaración de Túnez, la fecha pasó al 17 de mayo hasta la actualidad. 

La historia de Internet

El gran precedente del nacimiento de Internet fue ARPANET, es decir, la Red de la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de EEUU, que se desarrolló en 1969.

Antes de Internet, estuvo ARPANET, que fue la la Red de la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de EEUU.Erica Fischer de Flickr

Dentro de la empresa Beranek and Newman (BBN), que tenía contrato de ARPANET, trabajaba Ray Tomlinson que, en 1972, presentó un modelo de correo electrónico en red. Ese mismo año se creó el Grupo de Trabajo de Internet que abordaba la necesidad de establecer protocolos estándar que, más adelante, se emplearían para la comunicación en Internet.

El término Internet llegó en 1973, con la creación de redes globales gracias a la conexión de APRANET al University College of London (Inglaterra) y al Royal Radar Establishment (Noruega). Hasta 1974, no se desarrolló el primer proveedor de servicio de Internet, con Telenet, una versión comercial de APRANET.

Cinco años después, se formó USENET, otra versión que, en este caso, pretendía recopilar noticias y grupos de discusión. En 1981, la Fundación Nacional de Ciencias otorgó una subvención para crear una Red de Ciencias de la Computación, que daba servicios de red a los científicos informáticos de las universidades.

Por fin, en 1982, se origina el germen de lo que realmente conocemos a día de hoy como Internet que es un conjunto de protocolos conocido como TCP/IP, que son las siglas en inglés de Protocolo de Control de Tansmisión y Protocolo de Internet. A partir de ahí, el Sistema de Nombres de Dominio (DNS) establece los .com, .es, .gov, .edu, .net, .int, .org, etc.

World Wide Web

Las webs son uno de los servicios de Internet que más éxito han tenido, tanto que hay quien utiliza el término como su sinónimo. La WWW o World Wide Web es un sistema que funciona a través de Internet que transmite datos con el protocolo de transferencia de hipertexto (HTTP) y que son los enlaces a las páginas que visitamos por los navegadores.

Este servicio se desarrolló entre marzo y diciembre de 1989, gracias al trabajo del inglés Tim Berners-Lee que contó con la ayuda del belga Robert Cailliau, cuando eran empleados del CERN. Sin embargo, la propuesta formal de la web no llegó hasta 1991.

La diferencia de World Wide Web y otros sistemas de hipertexto que ya existían es que la WWW solo necesitaba enlaces unidireccionales y no bidireccionales, lo que permitía que los usuarios enlazasen a otro recurso sin que el propietario de este tuviese que aprobarlo. De este modo, fue más sencillo añadir servidores web y navegadores, pero también suponían un problema de enlaces rotos (webs eliminadas).

La llegada de Google

Pese a que Internet ya se presentaba desde su germen como un invento revolucionario, la llegada del motor de búsqueda de Google cambió, no solo la forma de entender Internet, sino también la manera en la que interactuábamos con el mundo.

Google cambió la forma de utilizar Internet, algo que se prevé que ocurrirá con los modelos de lenguaje de gran tamaño.Pixabay

Su lanzamiento lo comparan algunos con ChatGPT en la actualidad. Esta Inteligencia Artificial ha hecho que hasta Alphabet, empresa matriz de Google, se ponga las pilas en el desarrollo de IA y, recientemente, ha lanzado la versión beta de Bard, que podría presentarse como la rival del chatbot de OpenAI.

La importancia de los datos en la era de Internet

Rafael Quinana, director regional de Qlik, empresa especializada en analítica e integración de datos, explica para 20BITS cómo los datos se han convertido «en un activo fundamental y de un valor incalculable para todas las compañías que quieran tener un hueco en la economía digital». Esto se puede apreciar desde los albores de Internet, pero ha ido creciendo con los cambios cada vez más rápidos que se van produciendo.

Tanta es la relevancia de los datos en Internet que, tal y como recalca Quintana, la consultora IDC estima que se generarán hasta 163 zetabytes de datos digitales con vistas al 2025 y, además, «hay quien afirma que son el petróleo del futuro». Por ese motivo, las empresas que aboguen por la transformación digital deben asegurarse de ser capaces de “moverse eficientemente entre grandes cantidades de datos”, con el objetivo de sacar el máximo partido.

No obstante, Quintana recuerda que hay otra cara de la moneda que las compañías también tienen que tener en cuenta porque limita su margen de maniobra: las regulaciones que hacen los organismos, que tratan de garantizar el buen uso de la información de los usuarios. El experto detalla que desde Qlik, la empresa en la que trabaja, se encarga de la alfabetización de datos (Data Literacy) que consiste en «leer, interpretar y analizar los datos», lo cual ayuda a cumplir con las normativas.

¿Cómo se mueven los datos por Internet?

La clave de Internet se encuentra en infraestructuras, como los cables submarinos y los data centers de los que hemos hablado muchas veces en 20BITS, que permiten el tráfico de datos de Internet. Además de ello, la nube es crucial para la gestión de datos y cada vez más empresas y organismos trasladan su información de lo físico y analógico a la nube, como apunta Quintana.

«Este auge del cloud ha permitido que las organizaciones dispongan de la información necesaria en cualquier lugar y que se desarrollen herramientas de analítica e integración de datos que pueden hacer accesible la información independientemente de dónde esté alojada y en tiempo real, evitando que se quede en silos aislados y no se aproveche todo su potencial», cuenta el experto de Qlik.

Fuente: www.20minutos.es

Los pros y contras de las diferentes estrategias de implementación y mantenimiento de los sistemas de seguridad de la información.

A la hora de implementar y mantener los sistemas de seguridad de la información corporativa es lógico recurrir a profesionales. Estos expertos pueden ser internos o externos, proveedores de servicios o desarrolladores de la propia solución elegida, con sus respectivos pros y contras. Después de todo, implementar un sistema de seguridad de la información en una empresa en un proceso muy complicado que, además de la propia instalación del software, incluye las siguientes fases operacionales y preparatorias:

1. El análisis de los riesgos de la seguridad de la información para identificar los aspectos vulnerables, valorar la probabilidad de amenazas y recopilar una lista de medidas necesarias.
2. El desarrollo de las políticas de seguridad para regular el acceso a la información y garantizar su protección e integridad.
3. La selección e implementación de la solución.
4. La auditoría periódica de la solución para garantizar su eficacia y cumplimiento de los actuales requerimientos.
5. La respuesta a incidentes.

Las grandes empresas suelen contar con un departamento de seguridad de la información que se ocupa de estas tareas, pero las pymes deben elegir entre la implementación de un sistema de seguridad interno o la subcontratación de terceros.

La implementación interna

Con “interno” nos referimos a un empleado (o departamento) con experiencia en seguridad de la información. La empresa puede intentar encontrar este perfil en el mercado o formarlo por su cuenta. Estos son los pros y contras de esta estrategia:

• + La empresa controla el proceso de formación, por lo que puede adaptarlo a sus necesidades particulares o encontrar a una persona con las habilidades necesarias.
• + El empleado interno conoce mejor los procesos corporativos, por lo que puede ofrecer soluciones más eficaces y específicas.
• + El empleado interno podrá responder más rápido a las amenazas y problemas que puedan surgir.
• + Los secretos de la compañía no acabarán en las manos equivocadas.
• + Puede salir más económico que contratar experiencia externa, sobre todo si el empleado ya forma parte de la plantilla.
• + La formación mejorará el estatus profesional del empleado, lo que fomentará su lealtad con la empresa.
• – La formación llevará mucho tiempo.
• – Puede salir más caro contratar a un experto que a un contratista; además, también llevará mucho tiempo.
• – Es probable que el empleado formado conozca menos el área de aplicación que un experto en seguridad de la información.
• – No hay ninguna garantía de que los conocimientos implementados resulten útiles en el futuro; sobre todo si se le concede la tarea a un empleado: ¿qué hará después de la implementación?
• – El empleado podría marcharse, en cuyo caso habría que buscar a una nueva persona o contratista que se encargue de la solución.

Esta estrategia puede resultar especialmente relevante en el caso de las empresas con ansias de crecimiento o de ampliación, ya que sentará las bases para un futuro departamento de seguridad de la información. No obstante, si la empresa no tiene estas planificaciones en mente o el crecimiento no se traduce en el desarrollo de la infraestructura, no tiene sentido invertir en nuevas habilidades profesionales.

La implementación de terceros

El mercado está repleto de proveedores de servicios que ofrecen soluciones completamente equipadas: auditorías de la infraestructura, implementación y mantenimiento del sistema de seguridad informático. Estos son los pros y contras de esta estrategia:

• + Ahorras tiempo: no hay que formar ni buscar a nadie.
• + Lo más probable es que el contratista especializado ya cuente con experiencia y conocimientos en el campo de la seguridad de la información.
• + El contratista puede ofrecer un amplio rango de servicios que van más allá de las habilidades internas.
• + Un uso más eficiente de los propios recursos: todas las inquietudes sobre la implementación están subcontratadas.
• + Menos riesgos, además de la habilidad de transferir estos riesgos al contratista.
• – A la larga, una tercera parte puede salir más cara que un empleado interno.
• – Es probable que el contratista no entienda los procesos internos corporativos, dando lugar a soluciones que no se adapten bien a estos.
• – Falta de transparencia: nunca podrás estar seguro de todo lo que sabe realmente el contratista sobre los productos que está implementando.
• – Pueden surgir problemas de confidencialidad: el contratista tendrá acceso a tus datos, pero desconoces por completo su política de seguridad interna.
• – La empresa podrá generar una dependencia con el contratista.
• – Nunca estarás al corriente de todo lo que sucede, con un control insuficiente sobre la implementación y el proceso de soporte.

En general, la contratación de una tercera parte es una forma sensible y común de implementar un sistema de seguridad de la información. Además, estos proveedores de servicios suelen cooperar con los desarrolladores de las soluciones, están certificados, tienen estatus de socio y ofrecen garantías. Pero hay una tercera opción…

La implementación de proveedores

Esta estrategia es similar a la segunda, la diferencia está en que en esta ocasión la implementación la realiza el desarrollador de la solución, cuyos empleados comprenden a la perfección. Lo que significa que:

• + No se depende de ninguna tercera parte: la solución funcionará mientras que el desarrollador siga en el mercado.
• + La garantía directa del proveedor reduce futuros riesgos.
• + La configuración e implementación de los productos se realizará de la forma más rápida y eficiente posible.
• + Minimiza el tiempo de inactividad causado por una configuración incorrecta y los largos tiempos de preparación.
• + Maximiza la rentabilidad de las inversiones en seguridad de la información, ya que la experta configuración garantizará que los productos funcionen en su máximo esplendor.

Por otro lado, la mayoría de las pymes ni siquiera necesitarán que los expertos externos estén presentes in situ: hoy en día las funciones de los servidores están ubicadas en la nube y, en cualquier caso, los sistemas se pueden monitorizar en remoto.

Por ello, ponemos a tu disposición Kaspersky Professional Services, nuestra propia solución para la implementación de herramientas de seguridad de la información de Kaspersky con un amplio rango de servicios: el análisis de la infraestructura y políticas, el desarrollo de políticas y la eliminación de vulnerabilidades, la implementación y mejora de las soluciones, el soporte y el cifrado del almacenamiento de datos. Además, Kaspersky cuenta con equipos locales por todo el mundo que hablan tu idioma y cuentan con la experiencia necesaria. Nuestro paquete de soluciones es perfecto para las pymes, ya que minimizará la carga sobre el departamento informático o incluso eliminará la necesidad de un administrador de sistema a tiempo completo.

Fuente: latam.kaspersky.com

Un pantallazo del impacto que tiene el ciberbullying en la actualidad y cómo la educación y sensibilización puede ayudar a minimizar los daños que provoca.

Cada 2 de mayo se celebra el Día Mundial contra el Bullying. Una fecha que nació en 2013 por iniciativa de Javier Miglino, cofundador de la ONG Bullying Sin Fronteras, una organización que afirma ser la principal fuente de información sobre el Bullying y el Ciberbullying en el mundo. Se estima que el bullying, también conocido como acoso escolar, y su versión digital el ciberbullying, son responsables de más de 200.000 muertes al año, ya sea directa o indirectamente.

Según un estudio realizado por la ONG Bullying Sin Fronteras entre 2022-2023, a nivel mundial los casos de bullying continuaron creciendo y en promedio 6 de cada 10 niños sufrieron de forma diaria alguna forma de acoso tanto de forma física o a través de medios digitales.

México, Estados Unidos y España son los países que están siendo más afectados por esta problemática en el mundo. En el caso de México, la organización registró 270.000 casos y se ubicó como el país con mayor cantidad de casos de bulling y ciberbullying en el mundo. Sin embargo, no es el único país de la región que presenta una realidad preocupante, ya que el informe también destaca que Colombia, Argentina, Guatemala, Perú, Ecuador, Chile y Uruguay también están padeciendo un impacto significativo del bullying y el ciberbullying entre los más jóvenes.

Recordamos que el ciberbullying es la forma digital del bullying, una problemática que siempre ha estado presente en aulas y también en entornos laborales, pero el ciberbullying se diferencia del acoso cara a cara por factores como el anonimato, estar conectado las 24 horas o la dificultad de eliminar de Internet contenido que puede ser utilizado para afectar a una persona.

Las cuatro plataformas digitales consideradas más tóxicas en términos de ciberacoso son: Twitter, Facebook, Instagram y WhatsApp. Según la ONG, especialistas de todo el mundo concuerdan que la pandemia de la COVID-19 en 2020 y 2021 tuvo un especial impacto en la salud mental de muchas personas, sobre todo en niños y adolescentes.

El protagonismo de las redes sociales (con un modelo de negocio cuestionado por su impacto en la salud mental de los jóvenes) y el rol de los influencers han sido factores clave en el crecimiento del acoso cibernético. La importancia que tiene la imagen en estos tiempos y el constante bombardeo de estereotipos que marcan la pauta de lo que está bien y lo que está mal establece diferencias que muchas veces son la causa del bullying y ciberbullying. Temas como la forma de vestirse o el nivel de vida generan una brecha que impacta profundamente en jóvenes que cada vez más temprano acceden a dispositivos electrónicos y a las redes sociales.

La vuelta a la normalidad después de los años de pandemia provocó un aumento de los casos de acoso y ciberacoso, y en México, según el informe 5 de cada 10 adolescentes de entre 12 a 18 años ha sido víctima de ciberbullying en alguna de las redes sociales mencionadas anteriormente.

La educación es clave para ayudar a prevenir que los jóvenes se conviertan en víctimas o para intentar minimizar las consecuencias. Es importante que las personas adultas conozcan el impacto que tiene para los más jóvenes un “me gusta” y las implicancias emocionales de recibir o no esa recompensa. Lo mismo con fenómenos como el vamping, un término utilizado para describir el hábito de despertarse durante la noche para consultar notificaciones o enviar mensajes. Esto afecta el descanso y también trae otras consecuencias para la salud y la vida de las personas. Estar informados sobre estos temas ofrece mejores herramientas a los adultos a la hora de abordar este problemática y abre la posibilidad a un diálogo que puede ser fundamental para prevenir o aprender a lidiar con el acoso y el ciberacoso.

Las familias tienen un rol muy importante en educar y prevenir, pero también los maestros, las instituciones educativas, y sobre todo, los gobiernos. Dentro del aula, por ejemplo, se pueden explorar temas como seguridad en Internet y cómo comportarse en línea. En este sentido, crear espacios de intercambio para hablar sobre estos temas o realizar charlas de concientización puede ser una gran herramienta. 

En Argentina, por ejemplo, la ONG Argentina Cibersegura realiza charlas de concientización en escuelas en las que los especialistas comparten información, brindan herramientas y recomendaciones sobre el mundo digital y los desafíos que representan para los más jóvenes.

Vale la pena mencionar que si bien las redes sociales son un factor importante en los casos de ciberacoso, también han lanzado diversas funciones que buscan ayudar a prevenir el ciberbullying y otros tipos de violencia digital.

Trabajar en educación y concientización implica hablar de los peligros del ciberacoso, hablar sobre los distintos tipos de acoso cibernético que existen, como el ciberbullying, el grooming o  trolling.

También implica hablar sobre las consecuencias y los problemas para la salud mental y social de las personas, hablar sobre herramientas disponibles y formas de prevenir, cómo reconocer el ciberacoso u otras formas de violencia y por último cuáles son las medidas legales que se pueden tomar y cómo denunciar.

¿Cómo reconocer que su hijo o hija está atravesando por una situación de acoso o ciberacoso? Algunas señales podrían ser cambios en el comportamiento. Por ejemplo, si se vuelve más retraído o ansioso. También si comienza a perder el interés por cosas que disfrutaba hacer. Sobre todo si están relacionadas con actividades sociales. Otra señal para prestar atención: problemas en el rendimiento académico, si deja de utilizar las redes sociales o si hay algún cambio en el contenido que publica. 

Fuente: www.welivesecurity.com

Similitudes con el recién descubierto malware para Linux utilizado en la Operación DreamJob corroboran la teoría de que el famoso grupo alineado con Corea del Norte está detrás del ataque a la cadena de suministro de 3CX.

Investigadores de ESET descubrieron una nueva campaña del grupo de APT Lazarus llamada Operación DreamJob dirigida a usuarios de Linux. Operación DreamJob es el nombre de una serie de campañas en las que el grupo utiliza técnicas de ingeniería social para comprometer a sus objetivos mediante falsas ofertas de trabajo que utiliza como anzuelo. En este caso, hemos sido capaces de reconstruir toda la cadena, desde el archivo ZIP que entrega una oferta de trabajo falsa de HSBC como señuelo, hasta el payload final: el backdoor de Linux SimplexTea distribuido a través de una cuenta de almacenamiento en la nube de OpenDrive. Hasta donde sabemos, esta es la primera referencia pública a este importante actor de amenazas alineado con Corea del Norte utilizando malware para Linux como parte de esta operación.

Además, este descubrimiento nos ayudó a confirmar con un alto nivel de confianza que el reciente ataque a la cadena de suministro de 3CX fue en realidad llevado a cabo por el grupo Lazarus, un vínculo que se sospechaba desde el principio y que varios investigadores de seguridad han demostrado desde entonces. En esta publicación corroboramos estos hallazgos y proporcionamos pruebas adicionales que demuestran la conexión entre Lazarus y el ataque a la cadena de suministro de 3CX.

El ataque de cadena de suministro que afectó a 3CX

3CX es un desarrollador y distribuidor de software VoIP que ofrece servicios de sistema telefónico a muchas organizaciones a nivel internacional. Según su sitio web, 3CX tiene más de 600,000 clientes y 12,000,000 de usuarios en varios sectores, incluyendo el aeroespacial, la salud y el de la hospitalidad. 3CX proporciona software de cliente para utilizar sus sistemas a través de un navegador web, aplicación móvil o una aplicación de escritorio. A fines de marzo de 2023, se descubrió que la aplicación de escritorio tanto para Windows como para macOS contenía código malicioso que permitía a un grupo de atacantes descargar y ejecutar código arbitrario en todas las máquinas donde se instaló la aplicación. Rápidamente, se determinó que este código malicioso no fue agregado por 3CX, sino que 3CX fue comprometido y que su software fue utilizado en un ataque de cadena de suministro impulsado por actores de amenazas externos para distribuir malware adicional a clientes específicos de 3CX.

Este incidente de seguridad ha sido noticia en los últimos días. Inicialmente reportado el 29 de marzo de 2023 en un hilo de Reddit por un ingeniero de CrowdStrike, seguido por un informe oficial de  CrowdStrike en el que se afirmaba con un alto grado de confianza que LABIRINTH CHOLLIMA, el nombre en clave que utiliza la compañía para referirse a Lazarus, estaba detrás del ataque (pero omitiendo cualquier evidencia que respalde la afirmación). Debido a la gravedad del incidente, múltiples compañías de seguridad comenzaron a contribuir con sus respectivos resúmenes de los eventos, como Sophos, Check Point, Broadcom, Trend Micro y más.

Además, la parte del ataque que afectó a los sistemas que ejecutan macOS fue cubierta en detalle en un hilo de Twitter y en una publicación realizada por Patrick Wardle.

Cronología de los hechos

Figura 1. Cronología de los eventos relacionados con la preparación y distribución de aplicaciones de 3CX troyanizadas.

La cronología muestra que los perpetradores planearon los ataques mucho antes de la ejecución. Tan temprano como diciembre de 2022. Esto sugiere que ya tenían un pie dentro de la red de 3CX desde finales del año pasado.

Mientras que la aplicación troyanizada de 3CX para macOS muestra que fue firmada a finales de enero, no fue hasta el 14 de febrero de 2023 que vimos la aplicación maliciosa en nuestra telemetría. No está claro si la actualización maliciosa para macOS se distribuyó antes de esa fecha.

Aunque la telemetría de ESET muestra la existencia del payload de segunda etapa para macOS tan pronto como febrero, no teníamos una muestra ni metadatos que nos alertaran sobre su malicia. Incluimos esta información para ayudar a quienes trabajan en seguridad para determinar cuánto tiempo atrás los sistemas podrían haber sido comprometidos.

Varios días antes de que se revelara públicamente el ataque, se subió a VirusTotal una muestra de un misterioso downloader para Linux. Este downloader descarga un nuevo payload malicioso de Lazarus para Linux y más adelante en esta publicación explicamos su relación con el ataque.

Atribución a Lazarus del ataque de cadena de suministro a 3CX

Lo que se ha publicado hasta el momento

Hay un dominio que tiene un papel significativo en nuestra atribución: journalide[.]org. Se menciona en algunos de los informes de otros proveedores mencionados anteriormente, pero su presencia nunca se explica. Curiosamente, los artículos de SentinelOne y ObjectiveSee no mencionan este dominio. Tampoco lo hace una publicación de Volexity, que incluso se abstuvo de proporcionar atribución, indicando “Volexity actualmente no puede relacionar la actividad divulgada con ningún actor de amenazas”. Sus analistas fueron de los primeros en investigar el ataque en profundidad y crearon una herramienta para extraer una lista de servidores de C&C a partir de iconos cifrados en GitHub. Esta herramienta es útil, ya que los atacantes no embebieron los servidores C&C directamente en las etapas intermedias, sino que utilizaron GitHub como dead-drop resolver. Las etapas intermedias son downloaders para Windows y macOS que denominamos IconicLoaders, y los payloads que obtienen como IconicStealer y UpdateAgent, respectivamente.

El 30 de marzo, Joe Desimone, un investigador de seguridad de Elastic Security, fue uno de los primeros en proporcionar, a través de un hilo de Twitter, pistas sustanciales que señalan que los ataques a 3CX probablemente están relacionados con el grupo Lazarus. Desimone observó que un fragmento de código de shellcode agregado al payload desde d3dcompiler_47.dll es similar a fragmentos en el loader de AppleJeus atribuidos a Lazarus por CISA en abril de 2021.

El 31 de marzo se informó que 3CX había contratado a Mandiant para proporcionar servicios de respuesta a incidentes relacionados con el ataque de cadena de suministro.

El 3 de abril, Kaspersky, a través de su telemetría, mostró una relación directa entre las víctimas del ataque de cadena de suministro a 3CX y el despliegue de un backdoor denominado Gopuram, y señalo cómo los elementos en común payloads con el mismo nombre: guard64.dll. Los datos de Kaspersky muestran que Gopuram está conectado a Lazarus porque coexistieron en máquinas víctimas junto con AppleJeus, un malware que ya fue atribuido a Lazarus. Tanto Gopuram como AppleJeus se observaron en ataques contra una compañía de criptomonedas.

Luego, el 11 de abril, el CISO de 3CX resumió las conclusiones de un informe intermedio elaborado por Mandiant en una publicación. Según ese informe, dos muestras de malware para Windows, un loader de shellcode llamado TAXHAUL y un downloader complejo llamado COLDCAT, estuvieron involucrados en el compromiso de 3CX. No se proporcionaron hashes, pero la regla YARA de Mandiant, llamada TAXHAUL, también se activa en otras muestras que ya se encuentran en VirusTotal:

• SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
• SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)

Los nombres de archivo, pero no los MD5, de estas muestras coinciden con los del artículo de Kaspersky. Sin embargo, 3CX afirma explícitamente que COLDCAT difiere de Gopuram.

La siguiente sección contiene una descripción técnica del nuevo payload malicioso de Lazarus para Linux que analizamos recientemente, y una explicación de cómo nos ayudó a fortalecer esta conexión entre Lazarus y el ataque a 3CX.

Operación DreamJob con un payload para Linux

La Operación DreamJob del grupo Lazarus involucra el acercamiento a sus objetivos a través de LinkedIn y tentarlos con ofertas de trabajo dirigidas a líderes de ciertas industrias. El nombre fue acuñado por ClearSky en un artículo publicado en agosto de 2020. Ese artículo describe una campaña de ciberespionaje de Lazarus dirigida a empresas de defensa y aeroespaciales. La actividad se superpone con lo que ESET denominó Operación In(ter)ception, que fue el análisis de una serie de ataques con fines de ciberespionaje que han estado en curso desde al menos septiembre de 2019 y que apuntan a empresas aeroespaciales, militares y de defensa y en los cuales se utilizan herramientas maliciosas específicas, inicialmente solo para Windows. Durante julio y agosto de 2022, encontramos dos instancias de Operación In(ter)ception que apuntaban a macOS. Se subió una muestra de malware a VirusTotal desde Brasil, y otro ataque apuntó a un usuario de las soluciones de ESET en Argentina. Hace unas semanas, se encontró en VirusTotal un payload nativo para Linux junto con un documento utilizado como señuelo en formato PDF y que utiliza el nombre de HSBC. Esto completa la capacidad de Lazarus de poder comprometer todos los principales sistemas operativos de escritorio.

El 20 de marzo, un usuario en el país de Georgia cargó a VirusTotal un archivo ZIP llamado HSBC job offer.pdf.zip. Teniendo en cuenta otras campañas de Lazarus en las que utilizó falsas ofertas de trabajo, es probable que este payload se haya distribuido a través de spearphishing o mensajes directos en LinkedIn. El archivo contiene un solo archivo: un binario nativo de Intel de 64 bits escrito en Go y llamado HSBC job offer․pdf que en español se traduce como “HSBC oferta de trabajo.pdf”.

Curiosamente, la extensión del archivo no es .pdf. Esto se debe a que el carácter de punto en el nombre de archivo es un líder de punto representado por el carácter Unicode U+2024. El uso del carácter de líder de punto en el nombre de archivo probablemente fue un intento de engañar al administrador de archivos para que trate al archivo como un ejecutable en lugar de un PDF. Esto podría hacer que el archivo se ejecute cuando se hace doble clic en él en lugar de abrirlo con un visor de PDF. Al ejecutarlo, se muestra al usuario un documento PDF falso utilizando xdg-open, que abrirá el documento utilizando el lector de PDF de preferencia del usuario (ver figura 3). Decidimos llamar a este downloader ELF OdicLoader, ya que tiene un rol similar a los IconicLoaders en otras plataformas y el payload se obtiene de OpenDrive.

OdicLoader droppea un documento PDF falso que abre utilizando el visor de PDF predeterminado del sistema (ver figura 2), y luego descarga un backdoor de segunda etapa desde el servicio en la nube de OpenDrive. El archivo descargado se almacena en~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Llamamos a este backdoor de segunda etapa SimplexTea.

Como último paso de su ejecución, OdicLoader modifica ~/.bash_profile, y de esta manera se inicia SimplexTea con Bash y su salida se mutea (~/.config/guiconfigd >/dev/null 2>&1).

Figura 2. Ilustración de la probable cadena de compromiso.

Figura 3. Un señuelo que utiliza el nombre de HSBC en la campaña de DreamJob para Linux.

SimplexTea es un backdoor para Linux escrito en C++. Como se destaca en la Tabla 1, los nombres de sus clases son muy similares a los nombres de las funciones encontradas en una muestra, con el nombre de archivo “sysnetd“, enviada a VirusTotal desde Rumania (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Debido a las similitudes en los nombres de las clases y las funciones entre SimplexTea y sysnetd, creemos que SimplexTea es una versión actualizada, reescrita de C a C++.

Tabla 1. Comparación de los nombres de los símbolos originales de dos backdoors para Linux que se cargaron a VirusTotal.

¿Cómo está relacionado sysnetd con Lazarus? La siguiente sección muestra similitudes con el backdoor para Windows de Lazarus llamado BADCALL.

BADCALL para Linux

Atribuimos sysnetd a Lazarus debido a sus similitudes con los siguientes dos archivos (y creemos que sysnetd es una variante para Linux del backdoor para Windows de Lazarus llamado BADCALL):

• P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), muestra similitudes de código con sysnetd en la forma de los dominios utilizados como fachada para una conexión TLS falsa (ver Figura 4). CISA lo atribuyó a Lazarus en diciembre de 2017. A partir de septiembre de 2019, CISA comenzó a llamar a las versiones más nuevas de este malware BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).

Figura 4. Similitudes entre una variante de BADCALL para Windows y una para Linux (una lista de dominios utilizados como fachada para una conexión TLS falsa)

• prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F) muestra similitudes de código con sysnetd (ver Figura 5). Fue atribuido a Lazarus por CISA en febrero de 2021. También se observa que SIMPLESEA, un backdoor para macOS descubierto durante la respuesta al incidente de 3CX, implementa el cifrado de flujo A5/1.

Figura 5. Similitudes entre AppleJeus para macOS y la variante para Linux de BADCALL (la clave para el cifrado de flujo A5/1)

Esta versión para Linux del backdoor BADCALL, sysnetd, carga su configuración desde un archivo llamado /tmp/vgauthsvclog. Dado que los operadores de Lazarus han disfrazado previamente sus payloads, el uso de este nombre, que es utilizado por el servicio de autenticación de invitados de VMware, sugiere que el sistema objetivo puede ser una máquina virtual VMware de Linux. Es interesante destacar que la clave XOR en este caso es la misma que la utilizada en SIMPLESEA de la investigación de 3CX.

Figura 6. Cargando un archivo de configuración por BADCALL para Linux, ver Figura 8

Al observar los tres enteros de 32 bits, 0xC2B45678, 0x90ABCDEF y 0xFE268455 de la Figura 5, que representan una clave para una implementación personalizada del cifrado A5/1, nos dimos cuenta de que el mismo algoritmo y las claves idénticas se utilizaron en un malware para Windows que se remonta a finales de 2014 y que estuvo involucrado en uno de los casos más notorios de Lazarus: el ciber-sabotaje a Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).

Figura 7. Procedimiento de descifrado compartido entre BADCALL para Linux y el malware destructivo dirigido a Windows de 2014

Puntos adicionales para la atribución

Para resumir lo que hemos mencionado hasta ahora, atribuimos el ataque a la cadena de suministro de 3CX al grupo Lazarus con un alto nivel de confianza. Esto se basa en los siguientes factores:

1. Malware (el conjunto de intrusiones):
   • El IconicLoader (samcli.dll) utiliza el mismo tipo de cifrado fuerte – AES-GCM – que SimplexTea (cuya atribución a Lazarus se estableció a través de la similitud con BALLCALL para Linux); solo difieren las claves e inicialización de vectores.
   • Basado en los encabezados PE Rich, tanto IconicLoader (samcli.dll) como IconicStealer (sechost.dll) son proyectos de un tamaño similar y compilados en el mismo entorno de Visual Studio que los ejecutables iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) e iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) reportados en las campañas de criptomonedas de Lazarus por Volexity y Microsoft. Incluimos a continuación la regla YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, que notifica todas estas muestras, y ningún archivo malicioso o limpio no relacionado, como se probó en las bases de datos actuales de ESET y las muestras cargadas recientemente a VirusTotal.
   • El payload de SimplexTea carga su configuración de una manera muy similar al malware SIMPLESEA según la respuesta oficial sobre el incidente a 3CX. La clave XOR difiere (0x5E vs. 0x7E), pero la configuración tiene el mismo nombre: apdl.cf (ver Figura 8).

Figura 8. Carga de un archivo de configuración por SimplexTea para Linux, cf. Figura 6

Infraestructura:

• Hay una infraestructura de red compartida con SimplexTea, ya que utiliza https://journalide[.]org/djour.php como su C&C, cuyo dominio se informó en los resultados oficiales proporcionados por la respuesta al incidente a 3CX realizada por Mandiant.

Figura 9. Una URL hardcodeada en SimplexTea para Linux

Conclusión

El ataque a la cadena de suministro de 3CX ha llamado mucho la atención de la comunidad de seguridad desde su divulgación el 29 de marzo. El software comprometido, desplegado en varias infraestructuras de TI, permite la descarga y ejecución de cualquier tipo de payload, por lo tanto el impacto de un ataque de estas características puede ser devastador. Desafortunadamente, ningún proveedor de software está expuesto a ser comprometido y distribuir inadvertidamente versiones troyanizadas de sus aplicaciones.

La sigilosa naturaleza de un ataque de cadena de suministro hace que este método de distribución de malware sea muy atractivo desde la perspectiva del atacante. Lazarus ya ha utilizado esta técnica en el pasado. Por ejemplo, en una campaña dirigida a usuarios del software WIZVERA VeraPort en Corea del Sur en 2020. Las similitudes con otras piezas de malware conocidas y que forman parte del conjunto de herramientas que utiliza Lazarus, además de las técnicas típicas del grupo, sugieren fuertemente que el reciente compromiso de 3CX es también obra de Lazarus.

También es interesante destacar que Lazarus puede producir y utilizar malware para atacar a los principales sistemas operativos de escritorio: Windows, macOS y Linux. Ambos sistemas Windows y macOS fueron atacados durante el incidente de 3CX a través del versiones troyanizadas del software VoIP de 3CX para ambos sistemas operativos que permitían a los atacantes obtener payloads arbitrarias. En el caso de 3CX, existen versiones de malware de segundo nivel para Windows y macOS. Este artículo demuestra la existencia de un backdoor para Linux que se corresponde con el malware SIMPLESEA para macOS visto en el incidente de 3CX. Nombramos este componente de Linux como SimplexTea y mostramos que forma parte de Operation DreamJob, la campaña insignia de Lazarus que se caracteriza por utilizar ofertas de trabajo para atraer y comprometer a víctimas desprevenidas.

IoCs

Archivos

Red

Técnicas de MITRE ATT&CK

Apéndice

Esta regla YARA notifica el cluster que contiene tanto IconicLoader como IconicStealer, así como también los payloads desplegados en las camáñas apuntando a criptomonedas que tuvieron lugar en diciembre de 2022.

Fuente:  www.welivesecurity.com

Una introducción al hardware hacking donde explicamos qué es, cómo se utiliza en ciberseguridad y cuáles son las técnicas que podemos utilizar para extraer el firmware de un dispositivo.

Tabla de contenidos:

—El hardware hacking: qué es y para qué se utiliza
—Para qué extraer y analizar el firmware de un dispositivo
—Técnicas para extraer el firmware de un dispositivo
—Extracción de firmware de dispositivos usando JTAG:
—Cómo funciona la interfaz JTAG
—Qué podemos hacer en la práctica con JTAG
—Cómo extraemos un firmware utilizando JTAG
—Conclusión

El hardware hacking: qué es y para qué se utiliza

Si bien hace un tiempo hablamos de los gadgets más utilizados en el hardware hacking, es importante destacar que en el mundo de la ciberseguridad el hardware hacking no se limita al uso de dispositivos electrónicos para realizar pruebas ofensivas sobre distintos sistemas. También está vinculado con el uso de técnicas para explotar fallos de seguridad y manipular el hardware de un dispositivo electrónico para alterar su funcionamiento, agregar nuevas funcionalidades, obtener información del equipo o vulnerar su seguridad.

Las técnicas de hardware hacking sirven para realizar ingeniería inversa y manipular el dispositivo que se quiere analizar. Pueden ser utilizadas por investigadores de seguridad para descubrir vulnerabilidades en dispositivos electrónicos y mejorar su seguridad, pero también por atacantes para acceder a sistemas o información protegida.

El hardware hacking puede involucrar la manipulación física de componentes electrónicos, la ingeniería inversa de circuitos y dispositivos, la soldadura de componentes, la creación de interfaces personalizadas y la extracción de datos de dispositivos de almacenamiento. Todas estas técnicas requieren conocimientos especializados en electrónica y programación, y pueden ser peligrosas si no se realizan con cuidado, ya que pueden dañar los dispositivos que se deseen analizar o poner en peligro la seguridad de la persona que lo realiza.

En el hardware hacking también se utilizan técnicas asociadas al hardware forense como parte del proceso de ingeniera inversa sobre componentes electrónicos de un dispositivo. Esto significa que se utilizan herramientas y técnicas especializadas para recuperar, analizar y preservar datos de dispositivos electrónicos. Esto puede incluir la extracción de datos de discos duros, el análisis de datos en la memoria RAM y la recuperación de datos eliminados.

Sin lugar a dudas, estas técnicas más específicas son importantes a la hora de investigar delitos informáticos. Por ejemplo, en casos donde es necesario obtener datos de un dispositivo para la investigación, para recuperar de datos perdidos debido a fallos de hardware o software, o cuando la utilización de las técnicas del hardware forense deben seguir las normas y procedimientos adecuados para garantizar la integridad y autenticidad de los datos recuperados, y evitar la alteración de la evidencia digital.

A la hora de analizar un dispositivo electrónico es necesario estudiar su funcionamiento y cada una de las partes que lo componen, pero es un hecho que cada dispositivo electrónico tiene su propia naturaleza y estructura de funcionamiento. Si bien el objetivo de este artículo no es abordar todas las posibles variantes tecnológicas que existen y sus técnicas de análisis asociadas, es un hecho que hoy día la mayor parte de dispositivos electrónicos contienen componentes comunes. Un ejemplo de estos componentes comunes son los microcontroladores, que a través del firmware se encargan de controlar y administrar la operabilidad de los dispositivos electrónicos y también gran parte de sus funciones.

Siguiendo en esta línea, a continuación veremos algunas cuestiones vinculadas al análisis del firmware de microcontroladores que son fundamentales a la hora de aplicar hardware hacking.

Para qué extraer y analizar el firmware de un dispositivo

Un firmware es un programa que se ejecuta de manera dedicada y con un propósito específico en un microcontrolador o microprocesador. Generalmente, se almacena en un dispositivo de memoria persistente, como una NAND/NOR flash o EEPROM, y el proceso de extracción implicara leer y copiar la imagen del firmware almacenada en la memoria del dispositivo a un archivo en nuestra computadora.

Este proceso de extracción de la imagen del firmware también se denomina dumping o snarfing y es de vital importancia para comprender cómo funciona un dispositivo, ya sea un disco duro, un router, una cámara IP o cualquier otro dispositivo que utilice microcontroladores (algo que ocurre en la mayoría de dispositivos electrónicos).

En este sentido, extraer y analizar la imagen del firmware del microcontrolador de un dispositivo electrónico nos permite comprender su funcionamiento y por lo tanto, nos ayuda en nuestro objetivo de estudio que, como dijimos anteriormente, puede ser desde detectar vulnerabilidades, mejorar o cambiar el comportamiento del dispositivo, entre otras.

Técnicas para extraer el firmware de un dispositivo

Para la extracción del firmware de un dispositivo electrónico se pueden utilizar varias técnicas. Antes de decidir que vía tomar para comenzar este proceso, uno de los puntos esenciales es asegúrese de que la imagen del firmware no esté disponible en el sitio web del fabricante.

Muchos fabricantes de dispositivos publican imágenes de firmware actualizadas en sus sitios web para que los clientes puedan descargar y actualizar el dispositivo. En este caso, el esfuerzo para extraer el firmware es nulo, ya que no tendremos que hacer otra cosa que descargarlo del sitio web del fabricante.

Ahora bien, una vez que tenemos acceso físico al dispositivo, una técnica para extraer el firmware es leer directamente la memoria de almacenamiento del dispositivo. Para ello podemos identificar el chip de memoria de la placa, retirarlo, soldarlo en otra placa y extraer el firmware. Si bien funciona, puede ser bastante engorroso y quizás un poco arriesgado, ya que existe la posibilidad de quemar el chip de memoria durante el proceso de extracción.

Una técnica menos riesgosa es leer la memoria de almacenamiento del dispositivo a través de una conexión al gestor de arranque o al sistema operativo del dispositivo. Por ejemplo, con acceso al gestor de arranque (a través de una conexión serie), podemos intentar leer la memoria del dispositivo y enviar los datos a nuestra máquina. Asimismo, con acceso a una terminal de línea de comandos en el sistema operativo (serial, ssh, etc.) y con privilegios, podemos intentar volcar la memoria de almacenamiento del dispositivo y enviarla a nuestra máquina.

Como podemos observar, dependiendo de la situación se pueden utilizar diferentes técnicas para extraer el firmware de un dispositivo. Si ninguna de estas técnicas es viable, la interfaz JTAG puede ser nuestra mejor aliada. A continuación explicamos qué es esta interfaz.

Extracción de firmware de dispositivos usando JTAG:

JTAG (Joint Test Action Group) es una interfaz de hardware físico que permite, entre otras cosas, extraer la imagen del firmware de los dispositivos electrónicos. Fue creada en 1985 para reemplazar a los antiguos sistemas de testing para las placas de circuitos impresos (PCB), conocidos como bed-of-nails, y es parte del estándar IEEE 1149.1 para probar las placas de circuito impreso durante el proceso de fabricación.

Con el tiempo, JTAG se ha convertido en una de las interfaces más populares para probar circuitos electrónicos. También fue añadiendo otras funciones, como la depuración y la grabación de dispositivos flash. Actualmente, esta interfaz está disponible en la mayoría de los procesadores y microcontroladores de diferentes arquitecturas, como ARM, x86, MIPS y PowerPC.

Cómo funciona la interfaz JTAG

Ahora bien, veamos a continuación un poco más en detalle cómo funciona la interfaz JTAG a bajo nivel .

Aunque hay algunas variaciones del estándar, los fabricantes de los chips suelen implementar la interfaz JTAG a través de cuatro pines obligatorios (TDI , TDO , TCK , TMS) y un pin opcional (TRST):

• TDI (Entrada de datos de prueba): entrada de datos.
• TDO (Test Data Out): salida de datos.
• TCK (Test Clock): reloj cuya frecuencia máxima depende del chip (normalmente de 10MHz a 100MHz).
• TMS (Test Mode Select): pin para controlar la máquina de estado JTAG.
• TRST (Test Reset): pin opcional para resetear la máquina de estados JTAG.

Los pines de la interfaz JTAG están conectados internamente al chip a través de un módulo llamado TAP (Test Access Port).

La interfaz TAP implementa el protocolo de comunicación JTAG básico y varios TAP se pueden conectar simultáneamente en una arquitectura de tipo Daisy Chain.

Diagrama basico de la arquitectura JTAG. Fuente: Corelis

La interfaz TAP implementa una máquina de estados finitos (16 estados) que permiten acceder a un grupo de registros (IR, DR) para instrumentar el chip. El control de esta máquina de estados se realiza a través de los pines TMS y TCK. A través de esta máquina de estados, es posible seleccionar una operación a través del registro IR (Registro de Instrucciones) y pasar parámetros o verificar el resultado a través del registro DR (Registro de Datos).

Diagrama de estados en la arquitectura JTAG. Fuente: Corelis

Normalmente el fabricante del chip define el tamaño del registro IR y el número de instrucciones admitidas. Por ejemplo, un registro IR de 5 bits admitirá hasta 32 instrucciones.

Cada instrucción tiene su propio DR (Data Register), que tiene un tamaño variable. Tres instrucciones están definidas por el estándar JTAG y deben ser implementadas por el fabricante (BYPASS, EXTEST, SAMPLE/PRELOAD). Otras instrucciones son opcionales, pero también suelen implementarse (p. ej., IDCODE).

• BYPASS: instrucción que selecciona un registro de 1 bit que rota de TDI a TDO. Muy útil para probar la interfaz JTAG.
• EXTEST: instrucción que selecciona el BSR (Boundary Scan Register) para leer y cambiar el estado de los pines.
• SAMPLE/PRELOAD: instrucción que selecciona el registro BSR (Boundary Scan Register) para leer el estado de los pines.
• IDCODE: instrucción que selecciona el registro de identificación del dispositivo (32 bits) que contiene la identificación del chip.

Además de las instrucciones definidas por el estándar, el fabricante del chip puede implementar otras instrucciones según sea necesario. De esta forma, muchos fabricantes amplían la interfaz JTAG con funciones de depuración y acceso a memoria.

La información sobre las instrucciones JTAG admitidas y los pines en un chip generalmente se documentan en un archivo llamado BSDL (Lenguaje de descripción de exploración de límites), y también en un subconjunto llamado VHDL (Lenguaje de descripción de hardware).

Qué podemos hacer en la práctica con JTAG

Veamos que podemos hacer en la práctica con esta interfaz sobre el firmware de un dispositivo.

Si bien con JTAG podemos controlar la ejecución del firmware (detener la ejecución, inspeccionar la memoria, configurar puntos de interrupción, ejecutar el código paso a paso, etc). También podemos inspeccionar el estado del procesador y sus registros, leer y escribir en la memoria y acceder a cualquier dispositivo de E/S conectado al procesador.

A través de una función llamada Boundary Scan, la interfaz JTAG permite el acceso a todos los pines del chip y de esta forma podemos leer y escribir individualmente en cada pin y en consecuencia manipular los periféricos conectados al procesador/microcontrolador (GPIO, memoria, flash, etc.).

Concretamente, en la práctica con la interfaz JTAG podemos:

• Identificar información sobre el hardware (procesador, memoria, etc).
• Realizar volcado de la memoria RAM y obtener acceso a datos confidenciales, como contraseñas y claves criptográficas.
• Cambiar el comportamiento de los programas en tiempo de ejecución para obtener acceso privilegiado al sistema.
• Capturar datos confidenciales de dispositivos de hardware, como información almacenada en una EEPROM.
• Activar los periféricos y cambiar su comportamiento, como establecer o restablecer un pin de E/S.
• Y el punto central: volcar la memoria flash para extraer el firmware del dispositivo

Como vemos, la interfaz JTAG es perfecta para inspeccionar la ejecución del firmware, encontrar vulnerabilidades y explotar el dispositivo.

Y si a estas alturas te estas preguntando ¿por qué muchos fabricantes de hardware no eliminan o deshabilitan el acceso a ella si es tan insegura? La respuesta es concreta: porque es muy útil en la etapa de desarrollo y producción de hardware, ya que con este tipo de interfaz los desarrolladores pueden depurar el firmware que se ejecuta en el dispositivo de una manera práctica y sencilla y también pueden utilizarla como herramienta para programar y probar el dispositivos en producción.

Aunque también es un hecho que algunos fabricantes pueden adoptar contramedidas para dificultar el uso de la interfaz JTAG en el producto final, que incluyen ofuscación (como cortar pistas, quitar resistencias, etc.), reconfiguración de los pines JTAG en software, cifrado y validación de firma de la imagen del firmware, muchos otros fabricantes van más allá y deshabilitan por completo la interfaz JTAG a través de unos fusibles (bits internos del chip que, una vez programados, ya no se pueden cambiar). Pese a todas estas medidas, aun así es posible volver a habilitar la interfaz JTAG con técnicas como silicon die attack, lo cual demuestra que la seguridad es siempre una cuestión que está atada al tiempo, conocimiento y los recursos disponibles.

Cómo extraemos un firmware utilizando JTAG

En cuanto a los requisitos para la extracción del firmware utilizando JTAG, en la práctica es importante que tengamos algunos puntos presentes. Si bien esta publicación no incluye una prueba de concepto real, veamos los cuatro principales pasos que debemos tener en cuenta para extraer el firmware de un dispositivo usando JTAG:

1. Identifica los pines de conexión JTAG.
2. Prueba la conexión con un adaptador JTAG.
3. Recopila información sobre el mapeo de memoria del chip.
4. Extrae el firmware de la memoria flash.

Conclusión

Luego de esta introducción al hardware hacking creo que nos queda claro que estamos hablando de un universo amplio que involucra conocimientos interdisciplinarios entre electrónica, programación y otras áreas de conocimiento a fines. También queda claro que está lejos de limitarse al uso de dispositivos electrónicos para llevar a cabo ciberataques.

Si te gustó esta introducción, te alentamos a profundizar en el tema y por qué no, a llevar a la práctica esta información y extraer el firmware.

Fuente:  www.welivesecurity.com