Archives julio 2023

Se detectó aplicaciones falsas que distribuyen troyanos bancarios para dispositivos Android.

Ecuador – El equipo de investigación de ESET, detectó que cibercriminales están aprovechando el auge de ChatGPT para promover falsas aplicaciones que utilizan el nombre del popular chatbot para infectar con troyanos bancarios. ESET analizó las extensiones maliciosas que utilizan el nombre de ChatGTP  para robar cookies y pone en evidencia algunas de las formas de engaño que utilizan el nombre de esta herramienta desarrollada por OpenAI.

“Está claro que los cibercriminales están aprovechando la popularidad de ChatGPT para distribuir malware a través de páginas web y aplicaciones falsas. Es probable que sigan apareciendo sitios falsos y campañas distribuyendo malware y otros engaños aprovechando el auge de las herramientas basadas en inteligencia artificial. Es importante que los usuarios estén al tanto de estas campañas para tomar conciencia y ser cautos a la hora de instalar una extensión o una app que se presenta como atractiva.”, menciona Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los troyanos detectados por ESET, son:

Chameleon: Ataca sistemas operativos Android. Ya ha sido identificado en otras campañas en las que se distribuyó usurpando los nombres de Google, Bitcoin, aplicaciones de criptomonedas, bancarias o incluso agencias gubernamentales. Monitoreando los sistemas de ESET, se detectó que también utilizó el nombre y la imagen de ChatGPT: en el dispositivo de la víctima se instala una aplicación que usa como ícono el logo de la app, pero al hacer clic para abrirla, el ícono desaparece y nada ocurre.

Ícono de la aplicación maliciosa que se hace pasar por ChatGPT en un dispositivo infectado

Chameleon no solo tiene la capacidad de robar credenciales, sino que también es capaz de robar contraseñas y cookies, acceder a los SMS y recolectar, por ejemplo, el código de la verificación en dos pasos (2FA), entre muchas otras cosas más.

Troyano Cerberus: Desde ESET se analizaron campañas que distribuyen este malware para Android que ha estado utilizando el nombre de ChatGPT. El investigador de ESET Lukas Stefanko explicó, en 2019, las características y la historia de su surgimiento.  Un año después de su aparición el código de este malware se filtró en foros de hacking y el malware llegó a manos de otros actores maliciosos para su uso, lo que probablemente dio lugar a la creación de variantes desarrolladas por otros.

En este caso, a través de la telemetría de ESET se encontró una aplicación maliciosa distribuyendo una variante de este malware que utiliza el nombre del chatbot como parte de su ingeniería social.

Aplicación falsa que se hace pasar por ChatGPT y que instala el troyano Cerberus

Al analizar la aplicación, lo primero que llamó la atención del equipo de ESET son los permisos excesivos que solicita, permitiéndole al cibercriminal obtener prácticamente control total del dispositivo. Este troyano es capaz de interceptar mensajes SMS, leer los contactos, acceder a la cámara, a la lista de contactos, al registro de llamadas, modificar audio, obtener una lista de aplicaciones instaladas y muchas otras cosas más. En el caso de los SMS, esta capacidad permite obtener el código de verificación en dos pasos para acceder a una cuenta online.

“Con todos estos permisos concedidos, la aplicación maliciosa es capaz de realizar varias acciones en el equipo infectado, por lo tanto, no solo es importante evitar descargar aplicaciones de repositorios no oficiales, sino también evaluar los permisos que solicita una app y si tiene sentido concederlos de acuerdo a la funcionalidad de la misma.”, comenta Camilo Gutiérrez Amaya de ESET Latinoamérica.

Como recomendación principal, es fundamental tener instalado en los dispositivos un software antimalware de confianza y mantener actualizados los equipos y el software que se utiliza. Si se cree que se ha instalado malware en un dispositivo, se sugiere desconectarlo de Internet y buscar ayuda de un experto en seguridad informática.

Fuente: Departamento de Comunicación y Prensa, ESET Ecuador

ESET, compañía de seguridad informática, presenta el panorama de amenazas del primer semestre 2023, obtenido por su sistema de telemetría y desde la perspectiva del equipo de expertos en detección e investigación de amenazas.

Ecuador – ESET, compañía líder en detección proactiva de amenazas, presenta su último informe de amenazas ESET Threat Report. Entre lo más destacado de este semestre se encuentran las aplicaciones de préstamos maliciosos, los correos de sextorsión, los ataques a la cadena de suministro de macOS, el ransomware y las filtraciones de información, y los casos de malware como negocio. Además, se destaca la adaptabilidad de los ciberdelincuentes y su búsqueda incesante de nuevas vías para lograr sus objetivos, sea explotando vulnerabilidades, obteniendo accesos no autorizados, comprometiendo información confidencial o defraudando a las víctimas.

En cuanto a Android, las prácticas de préstamos abusivos encontraron un nuevo terreno para explotar. En el primer semestre de 2023, la telemetría de ESET identificó un alarmante de crecimiento de aplicaciones engañosas de préstamo de Android, que se hacen pasar por servicios legítimos de préstamos personales, prometiendo a los usuarios un acceso rápido y fácil a fondos. Sin embargo, estos servicios están diseñados para defraudar a los usuarios y obtener su información personal y financiera. Estas aplicaciones se detectan como SpyLoan, que se refiere a su funcionalidad de spyware combinada con préstamos. En comparación con H2 2022, detecciones de todas las aplicaciones SpyLoan creció casi un 90 % en el primer semestre de 2023, lo que llevó al crecimiento de la categoría Android Spyware en un 19%.

Una vez instaladas, estas aplicaciones solicitan permisos para acceder a una lista de cuentas, registros de llamadas, eventos del calendario, información del dispositivo, listas de aplicaciones instaladas, Wi-Fi local, información de red, información sobre archivos en el dispositivo, listas de contactos, ubicación, datos y mensajes SMS. Según la telemetría de ESET, los ejecutores de estas aplicaciones operan principalmente en México, Indonesia, Hong Kong, Tailandia, India, Pakistán, Colombia, Perú, Filipinas, Egipto, Kenia, Nigeria y Singapur.

Por otro lado, en términos de ataques a dispositivos Android, Brasil tuvo un aumento en la cantidad de ataques dirigidos en la primera mitad de 2023. Este país estuvo entre los principales objetivos de los ciberdelincuentes que buscan ingresar a los dispositivos y robar información, seguido en la región por México, Argentina, Perú y Colombia.

Por otro lado, también se evidenció un crecimiento en la frecuencia de Microsoft SQL Server como objetivo de ataques de fuerza bruta. “Un ejemplo de la persistencia de ataques, destacado en este nuevo reporte, es el cambio de patrón que los cibercriminales debieron introducir en el ataque por medio de archivos habilitados para macros en el paquete Microsoft. Las políticas de seguridad más estrictas introducidas por esta empresa hicieron que los atacantes sustituyeran las macros por archivos de OneNote para incrustar archivos maliciosos directamente en este software. En respuesta, Microsoft hizo los ajustes necesarios, y llevó a que los delincuentes exploren otros vectores de intrusión alternativos. Como resultado, hubo una intensificación de ataques de fuerza bruta contra los servidores Microsoft SQL, lo que posiblemente sea el testeo de posibles enfoques nuevos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

En el campo del ransomware, los actores reutilizaron cada vez más los códigos fuente previamente filtrados para crear nuevas variantes. Si bien esto permite a los aficionados participar en actividades de ransomware, también permite a los defensores cubrir una gama más amplia, incluidas las nuevas emergentes, con un conjunto más genérico de reglas y detecciones.

Por último las amenazas de criptomonedas fueron disminuyendo según la telemetría de ESET. De todas formas, las actividades cibercriminales relacionadas con la criptomoneda continúan persistiendo, con capacidades de criptominería y criptorobo incorporadas en cepas de malware cada vez más versátiles.

Dentro de los principales puntos del ESET Threat Report se destacan en los siguientes apartados:

• Android: Las prácticas de préstamos abusivos encontraron un nuevo terreno en Android. En lugar de asistencia financiera rápida, las víctimas de aplicaciones de préstamos maliciosos se encuentran con amenazas de muerte y prácticas de usura digital.
• Sextorsión: Las amenazas por correo electrónico ven un regreso de la estafa de sextorsión. El último medio año vio un aumento en las estafas de sextorsión y phishing.
• macOS afectado por el primer caso de dos ataques vinculados a la cadena de suministro: Uno de los picos observados en las detecciones de macOS revela el primer caso de interconexión ataques a la cadena de suministro, comprometiendo una cantidad significativa de dispositivos macOS.
• Archivos maliciosos de OneNote: Varias familias de malware de alto perfil han estado probando OneNote como mecanismo de propagación.
• Malware como negocio: El caso de RedLine Stealer, ladrón de información RedLine que recientemente sufrió una interrupción por parte del equipo de investigación de ESET.
• Ransomware: Las filtraciones de información permiten que más delincuentes prueben suerte con el ransomware y aún detecciones cada vez más efectivas contra el malware emergente.
• Campañas: Emotet se reduce a medida que los operadores luchan por encontrar un nuevo vector de ataque. Una familia de botnets que alguna vez fue notoria intenta mantenerse a flote con tres campañas aparentemente de bajo impacto en el primer semestre de 2023.
• Microsoft SQL Server: un objetivo cada vez más atractivo para los ataques de fuerza bruta. Los ataques de adivinación de contraseñas repuntaron y los intentos de explotación de Log4Shell continuaron su crecimiento.
• Criptomonedas: Las detecciones de amenazas de criptomonedas estaban cayendo en el primer semestre de 2023 a pesar del regreso de bitcoin, pero es muy pronto para celebrar.

Fuente: Departamento de Prensa y comunicación ESET Ecuador

Se detectaron varias docenas de extensiones maliciosas, con un total de 87 millones de descargas, en Chrome Web Store de Google.

No hace mucho tiempo, se descubrieron varias docenas de complementos maliciosos en Chrome Web Store (la tienda oficial de extensiones de navegador para Google Chrome). La más popular de estas extensiones tuvo más de nueve millones de descargas, y en total estos complementos se habían descargado alrededor de 87 millones de veces. Explicaremos qué son estas extensiones y por qué son peligrosas.

Extensiones maliciosas en Chrome Web Store

Todo comenzó cuando el investigador de ciberseguridad independiente Vladimir Palant descubrió una extensión llamada PDF Toolbox que contenía código sospechoso en Chrome Web Store. A primera vista, era un complemento perfectamente respetable para convertir documentos de Office y realizar otras operaciones sencillas con archivos PDF.

PDF Toolbox contaba con una impresionante base de usuarios y buenas críticas, cerca de dos millones de descargas y una puntuación media de 4,2. Sin embargo, dentro de esta extensión se descubrió una “funcionalidad adicional” interesante: el complemento accedía al sitio serasearchtop[.]com, desde donde cargaba código arbitrario en todas las páginas visualizadas por el usuario.

A continuación, Palant buscó en Chrome Web Store otras extensiones que accedieran a este servidor y encontró varias docenas de complementos con una funcionalidad adicional similar. En total, se habían descargado 55 millones de veces.

Por último, tras recolectar muchas muestras de extensiones maliciosas, realizó una búsqueda aún más exhaustiva en la tienda de Google y descubrió 34 extensiones maliciosas con funcionalidades básicas completamente diferentes. En total, se habían descargado 87 millones de veces. El complemento malicioso más popular que encontró el investigador fue “Autoskip for Youtube” con nueve millones de descargas.

Las extensiones se cargaron en Chrome Web Store en 2021 y 2022, lo que significa que llevaban allí al menos seis meses cuando se realizó el estudio. Además, entre las reseñas de algunas de ellas, había quejas de usuarios atentos que habían advertido que las extensiones reemplazaban las direcciones en los resultados de búsqueda por enlaces de adware. Como te imaginarás, estas quejas pasaron desapercibidas para los moderadores de Chrome Web Store.

Después de la publicación del estudio de Palant, además de otro artículo sobre el mismo tema a cargo de un equipo de expertos, Google finalmente eliminó las extensiones peligrosas. Pero fue necesaria la intervención de varios especialistas reconocidos para que sucediera esto. Por cierto, ocurre lo mismo con Google Play: allí, las quejas de los usuarios comunes generalmente tampoco son escuchadas.

Por qué las extensiones de navegador maliciosas son particularmente desagradables

En pocas palabras, hay tres problemas principales con las extensiones de navegador. En primer lugar, está el nivel de acceso a los datos de los usuarios que tienen. De hecho, para funcionar correctamente y resultar útil, cualquier complemento generalmente necesita tu consentimiento para leer y cambiar todos tus datos en todos los sitios web.

Y sí, significa exactamente lo que lees. Como regla general, los complementos de navegador solicitan consentimiento para ver y cambiar todos tus datos en todos los sitios. Es decir, ven absolutamente todo lo que haces en todos los sitios que visitas y pueden cambiar arbitrariamente el contenido de una página que se muestra.

Esto es lo que potencialmente permite que los creadores de extensiones hagan:

• Rastrear todas las actividades de los usuarios para recopilar y vender información sobre ellos.
• Robar datos de tarjetas y credenciales de la cuenta.
• Insertar anuncios en páginas web.
• Sustituir enlaces en los resultados de búsqueda (como se mencionó anteriormente).
• Reemplazar la página de inicio del navegador por un enlace publicitario.

Debes tener en cuenta que la funcionalidad maliciosa de un complemento puede evolucionar con el tiempo de acuerdo con los objetivos de sus propietarios. Incluso los propietarios pueden cambiar: ha habido casos en que aparecieron funciones maliciosas en una extensión previamente segura después de que sus creadores vendieran el complemento a otra persona.

El segundo problema es que los usuarios generalmente prestan poca atención a los peligros de las extensiones del navegador: instalan muchas de ellas y dan su consentimiento para leer y cambiar cualquier dato en el navegador. ¿Qué alternativa tienen? Si rechazan los términos, el complemento simplemente no funcionará.

En teoría, los moderadores de las tiendas donde se cargan estos complementos deberían supervisar la seguridad de las extensiones. Pero, problema número tres, como se desprende de lo anterior, no lo hacen demasiado bien. Incluso Chrome Web Store, la tienda oficial de Google, tenía docenas de extensiones maliciosas dando vueltas. Además, pueden permanecer allí durante años, a pesar de las opiniones de los usuarios.

Qué debes hacer si has instalado una extensión maliciosa

Debes tener en cuenta que, incluso si una tienda prohíbe un complemento, esto no significa que se eliminará automáticamente de los dispositivos de todos los usuarios que lo instalaron. Por lo tanto, vale la pena verificar si tienes alguna extensión maliciosa instalada en tu dispositivo. Elimina inmediatamente los complementos de la siguiente lista y, si es necesario, descarga una alternativa segura:

• Autoskip for Youtube
• Soundboost
• Crystal Adblock
• Brisk VPN
• Clipboard Helper
• Maxi Refresher
• Quick Translation
• Easyview Reader view
• PDF Toolbox
• Epsilon Ad blocker
• Craft Cursors
• Alfablocker ad blocker
• Zoom Plus
• Base Image Downloader
• Clickish fun cursors
• Cursor-A custom cursor
• Amazing Dark Mode
• Maximum Color Changer for Youtube
• Awesome Auto Refresh
• Venus Adblock
• Adblock Dragon
• Readl Reader mode
• Volume Frenzy
• Image download center
• Font Customizer
• Easy Undo Closed Tabs
• Screence screen recorder
• OneCleaner
• Repeat button
• Leap Video Downloader
• Tap Image Downloader
• Qspeed Video Speed Controller
• HyperVolume
• Light picture-in-picture

El propio Vladimir Palant elaboró esta lista. Además, señala que posiblemente la lista de complementos maliciosos no esté completa. Por lo tanto, debes tener cuidado con otras extensiones.

Cómo puedes defenderte frente a las extensiones de navegador maliciosas

Esta historia demuestra que nunca debes confiar ciegamente en los moderadores de las tiendas donde obtienes las extensiones de tu navegador. Siempre es aconsejable tomar algunas precauciones. A continuación, te indicamos cómo protegerte frente a los complementos maliciosos:

• No instales demasiadas extensiones de navegador. Cuantas menos tengas, mayor será tu seguridad.
• Antes de instalar una extensión, lee sus reseñas. Aunque no es una garantía de seguridad, en algunos casos al menos ayudará a desenmascarar un complemento malicioso.
• Revisa tu lista de extensiones instaladas de vez en cuando y elimina las que no uses o realmente no necesites.
• Instala , una protección fiable, en todos tus dispositivos.

Fuente: latam.kaspersky.com

Es una herramienta de automatización de tareas para extraer datos de sitios web y almacenarlos, y puede ser útil para cualquier usuario, pero también servir a actores malintencionados.

El web scraping es una herramienta de automatización de tareas, diseñada para recopilar información específica en forma consecutiva.

De una manera más general y resumida, es el acto de interactuar con un sitio web o servicio y recopilar información específica. La herramienta presenta los datos recolectados de la manera más adecuada a la necesidad de quienes lo programaron.

Supongamos que alguien necesita obtener el valor de cotización en dólares diariamente a una hora determinada: para obtener esta información basta con ir a un sitio web oficial que tenga cotizaciones de monedas extranjeras o consultar en algún buscador, como Google.

Ahora, imagina un escenario en el que además del dólar es necesaria la información de 14 monedas extranjeras más y 9 criptomonedas específicas. Aquí el web scraping es útil para optimizar el proceso de búsqueda y, con uno o dos clics, recopilar toda la información posible.

¿Cualquiera puede realizar web scraping?

Sí, porque en general es solo un sistema automático que accede a un sitio web para “ver” una información, casi como lo haría una persona, sin embargo, hay dos puntos importantes a tenerse en cuenta:

Los delincuentes utilizan el web scraping para configurar bases de datos con fines de intercambio/venta

Como toda herramienta, sea digital o no, el destino dado a su uso dependerá única y exclusivamente de quién la esté utilizando. Puede ser útil para ayudar a un corredor o banco a obtener información sobre cotizaciones de divisas, como en nuestro ejemplo anterior. En el caso de un uso malicioso, se puede utilizar para automatizar la recopilación de información de personas, para luego almacenar los datos en un archivo que eventualmente se venderá o intercambiará en foros de la Deep o Dark Web.

Para ilustrar cómo los delincuentes se aprovechan de esto, citaré un ejemplo real del que escuché hace algún tiempo: una gran tienda hizo una promoción en la que solicitó los datos de registro de sus clientes, pero la página tenía pública la información.

Los delincuentes analizaron este sitio y encontraron que también era posible ver esta misma página con los datos de otros clientes, con esta información en la mano fue posible crear un raspador que la recopile y almacene.

Varias filtraciones de las que tenemos noticias se llevan a cabo mediante el uso de web scraping, pero, como mencioné, el uso también puede ser no malicioso. Para que una colección de información no tenga características maliciosas, es interesante entender cómo darle forma.

Riesgo DDoS

Las soluciones de web scraping a través de la línea de comandos tienden a obtener información más rápido, pero si no se parametrizan correctamente, pueden generar una cantidad tan grande de solicitudes que pueden interpretarse como un ataque DDoS -denegación de servicio- y haber un bloqueo temporal o permanente de la IP que está escaneando.

Dependiendo de los sistemas de protección del sitio, la IP de origen puede colocarse en una lista negra y otros sitios pueden rechazar conexiones de la fuente que inició el web scraping.

Hay muchas posibilidades, cuando se trata de web scraping, software que interactúa con el sitio a través de un navegador, simulando fielmente el comportamiento humano, y otras herramientas que envían sus solicitudes de forma más secuencial, directamente desde la línea de comandos.

Consejos

Si deseas aventurarse en los estudios sobre raspado de datos, intenta comprender en profundidad cómo funcionará el software que elija. Ajusta el número de peticiones por segundo, intervalos entre una y otra, y si existe la posibilidad de cambiar el cliente web.

Puede ser útil aprender a ajustar el número de peticiones por segundo, cuántos segundos de intervalo habrá entre una petición y otra, si existe la posibilidad de cambiar el cliente web que se enviará en las peticiones y configurar un número máximo de recopilación de información para que, si se alcanza este número, se interrumpa el proceso de scraping.

Debido a que es una herramienta muy específica que tiene su impacto percibido principalmente por los administradores de sitios y servicios accesibles a través de la web, algunos consejos de seguridad que pueden ayudar a lidiar más adecuadamente con el web scraping:

• No te preocupes demasiado por el bloqueo: vale la pena recordar que el scraping es solo un acceso a la información y puede ser improductivo preocuparse por bloquearlo. En cambio, trata de dirigir los esfuerzos para garantizar el acceso legítimo a la información.
• Asegúrate de que los datos de una persona sean accesibles solo por esa persona: Ajusta la autorización de acceso a la información para evitar que toda la base de datos esté disponible para cualquier usuario que esté autenticado en el sistema.
• Dimensiona adecuadamente los recursos de su servidor teniendo en cuenta el exceso de conexiones que pueden ocurrir periódicamente, para evitar cualquier momento de interrupción del servicio.
• Configurar correctamente los bloqueos automáticos: Como mencioné, a veces los bloqueos automáticos ocurren cuando las solicitudes llegan a un volumen más alto de lo esperado. Si quieres limitar más los eventuales raspados aumenta la sensibilidad del snesor, o caso contrario, asegúrate de que los bloqueos no sean permanentes, porque el comportamiento de algunos navegadores y usuarios puede generar solicitudes excesivas y los filtros pueden terminar bloqueando personas o software de rapado.

Fuente: www.welivesecurity.com

¿La prohibición de Montana es aplicable siquiera?

Hace poco conduje de Washington a Nueva York, y pasé por Maryland, Delaware y Nueva Jersey mientras hacía scroll por Instagram, TikTok y Twitter. Cruzar todos esos estados me hizo pensar en Montana y su reciente prohibición sobre TikTok, la gran app propiedad de ByteDance, el gigante tecnológico chino.

¿De verdad vamos a tener que borrar y volver a descargar ciertas apps al cruzar fronteras estatales? ¿Cuál es el futuro de las prohibiciones de TikTok? ¿Podrán aplicarse algún día?

En los últimos meses, los responsables políticos de EE UU han examinado la aplicación en profundidad por temor al espionaje chino. No obstante, la prohibición de Montana es la medida más drástica hasta la fecha. Los legisladores han estructurado la ley de forma que señale a marketplaces como Google Play y App Store, de Apple. A partir del 1 de enero de 2024, esas empresas podrían enfrentarse a una multa de 10.000 dólares (unos 9.300 euros) al día si ponen TikTok a disposición de los usuarios de Montana.

Muchos expertos, políticos y tecnólogos han tachado la prohibición de ridícula, inconstitucional y xenófoba. Y ya enfrenta algunos desafíos legales. Recientemente, TikTok presentó una demanda contra Montana a raíz de otra demanda de un conjunto de usuarios, que alegaban motivos constitucionales.

Eric Goldman, profesor de Derecho de la Universidad de Santa Clara (California) y codirector del Instituto de Derecho de Alta Tecnología en dicha facultad, considera que las prohibiciones pueden ser algo más que una jugada política, es decir, que estén destinadas a transmitir un mensaje: «Solo es propaganda, no es un esfuerzo por mantener a salvo a los montaneses».

En realidad, todavía no hay pruebas de que TikTok esté entregando datos de usuarios al gobierno chino a la escala que afirman los políticos estadounidenses. Sin embargo, las propuestas de prohibición de TikTok están surgiendo por todo EE UU con un apoyo mayoritariamente bipartidista, y el presidente Biden también ha amenazado con una prohibición nacional. De hecho, no es la primera vez que los legisladores estadounidenses impulsan una reacción contra TikTok. En 2020, la administración Trump intentó prohibir la aplicación, pero fue bloqueada después de que un juez determinara que no había pruebas suficientes de espionaje chino.

En cuanto a su aplicabilidad, ¿qué pasaría si entrara en vigor la prohibición de Montana? ¿Tendría que borrar la app si fuera a visitar el Parque Nacional de los Glaciares? No es probable, y la ley actual parece cortar el acceso a TikTok en el momento de la descarga inicial, no cuando ya está descargada en el teléfono.

Algunos TikTokers de Montana ya han empezado a lamentar la posible pérdida de sus plataformas y comunidades. Aunque puede que no tengan que preocuparse demasiado, ya que la ley tampoco amenaza con castigar directamente a los usuarios de TikTok.

La eliminación de TikTok de las apps stores reduciría su capacidad para captar nuevos usuarios, y las tiendas tendrían la tarea de controlar el acceso en función de la ubicación del dispositivo. TechNet, un grupo de presión que representa a Apple y Google, afirma que la aplicación de una política de este tipo es imposible actualmente, ya que las tiendas no tienen la capacidad de «geovallar» por estados.

Goldman afirma que los legisladores de Montana probablemente nunca tuvieron la intención de elaborar un proyecto de ley aplicable en la realidad. «Aprueban proyectos de ley que nunca funcionarán, pero ese no es su propósito. Su objetivo es demostrar que los legisladores se preocupan por determinados electores», asegura el profesor. El gobernador Greg Gianforte no ha respondido a las preguntas de MIT Technology Review.

Parece improbable que la prohibición de Montana sobreviva a todos los desafíos legales, aunque es posible que se aprueben proyectos de ley similares en otros estados. Esto resulta aún más interesante en el amplio contexto de cómo se está desarrollando la regulación de la expresión en internet en EE UU. Las legislaturas estatales se influyen mutuamente, y sirven de laboratorio para las estrategias políticas nacionales de ambos partidos. Ahora mismo, todos están experimentando sobre el modo de aumentar las limitaciones a las redes sociales y el daño que pueden causar, especialmente en ausencia de leyes nacionales sobre la libertad de expresión y la privacidad en internet.

Recientemente, escribí sobre la oleada de proyectos de ley de seguridad infantil en Internet, los esfuerzos para censurar la información sobre el aborto dirigiéndose a los proveedores de servicios de internet que alojan webs relevantes, y el mosaico tan fragmentado de leyes estatales que está dándose en EE UU. Muchos de estos proyectos de ley, como la prohibición de TikTok, están muy politizados y es poco probable que sobrevivan a la revisión judicial. Sin embargo, restan esfuerzo, dinero y atención a las conversaciones nacionales productivas sobre cómo hacer de internet un espacio más seguro y abierto.

La Unión Americana de Libertades Civiles (ACLU, por sus siglas en inglés) de Montana y otras organizaciones por la defensa de la libertad de expresión se han opuesto a la prohibición. Keegan Medrano, director de Políticas de la ACLU de Montana, afirmó en un comunicado: «Nunca cambiaremos nuestros derechos de la Primera Enmienda por argumentos políticos baratos«.

En última instancia, ese parece ser el verdadero peligro que plantea la experimentación con estas prohibiciones: que la política se inmiscuya en la legislación. Es una historia tan antigua como el tiempo. Por desgracia, esta era de proyectos de ley-basura sobre internet parece haber llegado para quedarse.

¿Qué más estoy leyendo?

• Sobre la guerra tecnológica entre China y EE UU, Microsoft advirtió que un programa malicioso chino había afectado a los sistemas de telecomunicaciones de Guam y otros lugares del país. Las agencias de inteligencia estadounidenses descubrieron el hackeo en febrero; aparecía como un misterioso código que permite el acceso remoto a un servidor en una infraestructura cibernética «crítica». El ataque, atribuido al grupo de piratas informáticos chino Volt Typhoon, parece estar en curso. Además, Guam es una ubicación esencial para cualquier respuesta militar estadounidense en Taiwán.

• Ron DeSantis, gobernador de Florida, anunció en Twitter Spaces su candidatura a la nominación republicana a la presidencia en 2024 en una entrevista con Elon Musk. El sitio colapsó repetidamente, aunque el acontecimiento fue monumental por razones que van más allá de la promoción de la principal función de audio de la red social. Ya que marcó un llamamiento a una política más de derechas  que Musk está decidido a llevar a Twitter.

Esta semana aprendí…

Empezamos a saber más sobre el lío de la desinformación y la información falsa online en torno a las vacunas para la Covid-19 de los últimos años. Un nuevo estudio de investigadores de la Universidad de Texas, en Austin, ha descubierto que algunos esfuerzos por combatir la desinformación son eficaces. La exposición a información veraz contribuyó más a que la gente cambiara de opinión que las refutaciones directas y, en realidad, estas podrían ser contraproducentes y hacer que la gente no quisiera vacunarse. La experiencia y fiabilidad de la fuente de información también fueron factores importantes, y los investigadores descubrieron que los médicos eran mensajeros eficaces.

Fuente: www.technologyreview.es

¿Qué puede robarse de la RAM y qué tiene que ver el archivo hiberfil.sys con todo esto?

Hace poco los desarrolladores del gestor de contraseñas KeePass cerraron una vulnerabilidad que permitía recuperar la contraseña maestra de la RAM, donde se almacenaba en texto sin cifrar. De esta misma forma, se pueden “eliminar” de la memoria fragmentos de otra información importante, como mensajes recientes o información de bases de datos corporativas. Los desarrolladores de KeePass encontraron rápidamente una solución poco ortodoxa para el problema, pero en la mayoría de las aplicaciones, las contraseñas aún siguen almacenándose en la RAM en texto sin cifrar, lo que las convierte en un punto débil generalizado de los sistemas de seguridad.

Un ataque a la memoria puede sonar exótico y complejo, pero lo cierto es que resulta bastante fácil para los ciberdelincuentes lograr uno exitoso, si los administradores no adoptan medidas de protección especiales.

Cómo puede acceder alguien a la memoria del ordenador

Las áreas de la RAM utilizadas por las diferentes aplicaciones están en gran medida aisladas entre sí por el sistema operativo y el hipervisor. Por tanto, no se puede leer un fragmento de memoria en el que se está ejecutando otra aplicación. Sin embargo, los procesos con privilegios de kernel (sistema en Windows, root en *nix) sí pueden hacerlo. Además, hay varias formas de escalar los privilegios al nivel requerido, siendo las vulnerabilidades en el sistema operativo o en los drivers de los dispositivos las más comunes.

Otra forma de acceder a la RAM es a través de un ataque de DMA, que se basa en que las interfaces de alta velocidad (USB 4.0, Thunderbolt, Firewire, etc.) tengan acceso directo a la memoria para acelerar los procesos de E/S. Un dispositivo especialmente diseñado puede abusar de esta función para leer bits de memoria. Y no se trata de una amenaza hipotética, ha habido casos reales (FinFireWire).

Pero incluso sin dispositivos sofisticados ni vulnerabilidades, ¡todavía sigue siendo factible! Dado que el sistema operativo escribe el contenido de la RAM en los archivos, se puede acceder a la información simplemente leyéndolos.

Hay varios tipos de archivos de este tipo en Windows:

• Los archivos de intercambio temporales (pagefile.sys)
• Los archivos guardados de hibernación (hiberfil.sys)
• Los volcados de memoria bloqueados y de depuración (memory.dmp, minidump). Estos archivos se pueden generar manualmente.

En Linux, los archivos de intercambio e hibernación utilizan una partición de disco especial compartida para estos fines.

Para llegar a uno de estos archivos generalmente se requiere acceso físico al ordenador, sin necesidad de conocer las credenciales de acceso ni encender el equipo. Simplemente puedes quitar el disco duro y leerlo en otro ordenador.

Cómo evitar un ataque a la memoria

Dado que hay muchas formas de atacar a la memoria, debes proteger varios niveles a la vez. Algunas protecciones serán fáciles de usar para el usuario, así que, antes de aplicarlas, considera los escenarios de uso de cada ordenador en tu empresa y evalúa los riesgos.

Medidas sencillas

Comencemos con algunas medidas relativamente simples, que se recomiendan en todos los casos sin excepción.

• Implementa el principio del mínimo privilegio. Ningún usuario debería trabajar con derechos de administrador. Incluso los propios administradores deberían contar con estos privilegios únicamente cuando realmente los necesitan: durante los procedimientos de mantenimiento.
• Implementa sistemas de protección en todos los ordenadores virtuales y físicos. Las empresas deben contar con sistemas de EDR. Asegúrate que las políticas de seguridad eviten que los empleados ejecuten herramientas legítimas, aunque peligrosas, que puedan utilizarse para la escalada de privilegios y los volcados de memoria (Sysinternals, PowerShell, drivers redudantes/obsoletos, etc.).
• Mantén actualizados el sistema operativo y todas las aplicaciones.
• Asegúrate de que todos los ordenadores se inicien en el modo UEFI, no en BIOS. Actualiza regularmente el firmware de UEFI en todos los ordenadores.
• Configura los ajustes de UEFI de forma segura. Desactiva la unidad de gestión de memoria de entrada y salida (IOMMU por sus siglas en inglés) para evitar los ataques DMA. Protege con contraseña la UEFI y define el orden de inicio correcto del sistema operativo para reducir las probabilidades de que el sistema se inicie desde medios maliciosos externos y que la configuración se vuelva insegura.

Unas medidas ambiguas

Todas las medidas mencionadas en esta sección mejoran considerablemente la seguridad del sistema, pero a veces impactan negativamente en el rendimiento del ordenador, la usabilidad y/o la capacidad de recuperación. Todos ellos necesitan una consideración especial dependiendo del contexto de cada compañía y la implementación requiere precisión y un despliegue gradual de una prueba en profundidad.

• El Módulo de plataforma segura de almacenamiento de claves de hardware basado en TPM 2.0 ofrece una autenticación segura del sistema operativo, utiliza datos biométricos para iniciar sesión en la cuenta y dificulta la recopilación de claves. El TPM también mejora en gran medida la protección que brinda el cifrado de disco completo, ya que sus claves también se almacenan en este módulo. Posibles peligros: la falta de un TPM en algunos ordenadores, las combinaciones incompatibles de SO/hardware o las dificultades con la gestión centralizada de claves, debido a diferentes sistemas y versiones de TPM.
• El cifrado de disco completo. Esta medida reduce drásticamente el riesgo de filtración de datos, sobre todo de portátiles perdidos o robados; por lo que se recomienda incluso para aquellos que no temen tanto los ataques de memoria. La implementación nativa de Microsoft es BitLocker, pero también existen otras soluciones de terceros. El cifrado de disco completo (FDE por sus siglas en inglés) también se ha convertido en parte de muchos sistemas basados en Linux (por ejemplo, en Ubuntu versión 20 y posteriores) y generalmente se basa en LUKS. La combinación de TPM y FDE ofrece la máxima fiabilidad. Posibles peligros: en caso de accidente grave, no se puede restaurar nada desde la unidad. Por tanto, es más que necesario un sistema de copias de seguridad que funcione correctamente. A veces la unidad experimenta una ralentización notable en su rendimiento, especialmente a la hora de arrancar el ordenador.
• Deshabilitar el modo de suspensión/espera. Si deshabilitas el modo de suspensión y dejas solo el modo de hibernación, las situaciones en las que los atacantes tengan acceso a un ordenador iniciado y parcialmente descifrado vulnerable a ataques DMA y otros métodos serán muy escasas. La desventaja de esta solución resulta obvia, ya que el modo de suspensión suele ser la forma más rápida y conveniente de “apagar” el ordenador después del trabajo o al cambiar de ubicación en la oficina. Si decides seguir este camino, implementa siempre un FDE; de lo contrario, lo más probable es que los empleados utilicen la hibernación y el archivo de hibernación quedará indefenso frente a los ataques.
• Deshabilitar el modo de hibernación. Si la hibernación está deshabilitada, no se puede copiar una imagen de la memoria desde un archivo en un ordenador apagado. En el caso de ordenadores críticos, puedes deshabilitar tanto la hibernación como la suspensión; de modo que estas máquinas solo puedan apagarse. Junto con el FDE, el TPM y otras medidas, quedarán pocas posibilidades de ataques a la memoria; pero todo esto no sería lo más cómodo para el usuario, por lo que vale la pena pensar seriamente en qué casos estaría justificada esta estrategia.

Hablando claro

Si decides que deshabilitar la suspensión o la hibernación está justificado por razones de seguridad, considera detenidamente para qué usuarios debería aplicarse esta política. Es poco probable que afecte al 100 % de los empleados; más bien, aquellos que trabajan con información crítica. Debes explicarles que las contraseñas y otros datos pueden robarse de muchas maneras, por lo que medidas como “usar un antivirus” y “no entrar a estos y otros sitios” no son suficientes para evitar incidentes de seguridad graves.

Es una buena idea hablar sobre cada medida de seguridad, explicando su propósito a los empleados. El cifrado de disco completo ofrece protección contra la simple copia de datos de un ordenador olvidado o robado, así como contra los ataques de evil maid, es decir, un desconocido con acceso físico al dispositivo. La desactivación de la suspensión e hibernación refuerza estas medidas de seguridad, por lo que los cinco minutos adicionales necesarios para encender y apagar el ordenador ayudarán a garantizar que el empleado no sea el chivo expiatorio si su contraseña se usa en un ciberataque.

Fuente: latam.kaspersky.com

Firewalld 2.0 ya está entre nosotros como la nueva versión mayor de este cortafuegos que a niveles generales tiene una estrecha relación con el espectro RPM de Linux. Después de ser durante mucho tiempo un desarrollo que ha ido a paso lento en lo que al número de versión se refiere, parece que en los últimos tiempos ha metido el turbo en ese sentido, porque si la versión 1.0 tardó diez años en llegar, la 2.0 “solo” ha requerido de unos dos años de espera.

A pesar del salto de versión mayor, firewall 2.0 tampoco es que sea un lanzamiento revolucionario, aunque sí ha traído algunas novedades de calado. Para empezar tenemos la introducción del soporte de la tabla de flujo de nftables, que es un software de ruta rápida que puede mejorar de manera significativa el rendimiento del redireccionamiento de puertos. La tabla de flujo de nftables hace uso del rastreo de las conexiones del kernel para saltarse gran parte de la pila de red, lo que permite acelerar los paquetes de datos en las conexiones establecidas.

La otra gran novedad de la nueva versión del cortafuegos es una característica llamada prioridades de zona (Zone Priorities), la cual permite al usuario controlar el orden en que los paquetes se clasifican en zonas y puede ser establecida con la opción --set-priority a través de la línea de comandos. Al igual que las políticas y las reglas enriquecidas, un valor más bajo significa una prioridad más alta, así que un valor de -10 supone una prioridad mayor que 100, por poner un ejemplo sencillo.

irewall-config, interfaz gráfica para firewalld

Otras características que han sido añadidas son la evitación del flush de iptables en caso de usarse el backend de neftables y la incorporación de soporte para prioridad, de la puerta de enlace de Java de Zabbix, del servicio web de Zabbix y del servicio OpenTelemetry (OTLP). También se han añadido a modo de servicio una gran cantidad de juegos: 0 A.D., anno 1602, anno 1800, Civilization IV, Civilization V, factorio, Minecraft, Need For Speed: Most Wanted, Stellaris, Stronghold Crusader, SuperTuxKart, Terraria, Zero K y Settlers.

firewalld, que es software libre al usar la licencia GPLv2, cuenta con tres interfaces gráficas, firewall-config, que es un frontend gráfico para su configuración; firewall-applet, un pequeño indicador de estado que proporciona notificaciones de registro de los eventos del cortafuegos, así como una forma rápida de abrir firewall-config; y plasma-firewall, perteneciente a KDE y que soporta UWF y firewalld. firewall-applet fue portado a Qt hace unos años debido a que la bandeja del sistema fue descontinuada en GNOME 3.

Todos los detalles de firewalld 2.0 pueden ser consultados a través del anuncio oficial y las notas de lanzamiento en GitHub. Los que estén interesados en aprender a usar este cortafuegos pueden echar un vistazo a dos entradas publicadas en la web de Red Hat, con una siendo una guía para principiantes y otra proporcionando una introducción a las reglas y los escenarios.

Fuente: www.muylinux.com

La ingeniería social en el punto de mira: de los trucos clásicos a las nuevas tendencias.

En la publicación de hoy, analizamos algunos trucos de ingeniería social que suelen emplear los ciberdelincuentes para atacar a las empresas: variantes de una estafa relacionada con llamadas y correos electrónicos por parte de un soporte técnico falso, ataques de compromiso del e-mail corporativo, solicitud de datos por parte de organismos policiales falsos…

Hola, soy del soporte técnico

La llamada a un empleado de la empresa desde el “soporte técnico” es una estrategia clásica de ingeniería social. Por ejemplo, los ciberdelincuentes pueden llamar en fin de semana y decir algo como: “Hola, te llamo desde el servicio de soporte técnico de tu empresa. Hemos detectado una actividad extraña en tu equipo y necesitamos que vayas a la oficina de inmediato para averiguar qué sucede”. Está claro que a nadie le apetece ir a la oficina en fin de semana, por lo que el tipo del soporte técnico acepta “a regañadientes” y “como medida excepcional” romper el protocolo de la empresa y resolver el problema en remoto. Pero, para ello, necesitará las credenciales de inicio de sesión del empleado. Te haces una idea de lo que sucede a continuación, ¿verdad?

Hay una variación de esta estrategia que se generalizó durante la migración masiva al trabajo remoto durante la pandemia. El soporte técnico falso “percibe” actividad sospechosa en el ordenador portátil de la víctima utilizado para trabajar desde casa y sugiere resolver el problema utilizando una conexión remota, a través de una RAT. Una vez más, el resultado es bastante predecible.

Confirmar, confirmar, confirmar…

Siguiendo con el tema del soporte técnico falso, se detectó una técnica muy interesante durante un ataque a Uber el otoño del 2022, cuando un ciberdelincuente de 18 años logró comprometer varios sistemas de la empresa. El ataque comenzó cuando el delincuente obtuvo los datos personales de inicio de sesión de un trabajador independiente de Uber de la dark web. Sin embargo, para obtener acceso a los sistemas internos de la empresa, aún quedaba un pequeño detalle: superar la autenticación multifactor.

Y aquí es donde entra en juego la ingeniería social. A través de numerosos intentos de inicio de sesión, el atacante envió spam al desafortunado trabajador con solicitudes de autenticación, luego le envió un mensaje por WhatsApp haciéndose pasar por el soporte técnico con una propuesta para solucionar el problema: para detener el flujo de correo no deseado, solo tienes que confirmar este mensaje. Así se eliminó el último obstáculo en la red de Uber.

Soy el CEO y ¡necesito una transferencia ahora mismo!

Volvamos a un clásico: el siguiente es un tipo de ataque llamado ataque de compromiso de e-mail corporativo (BEC por sus siglas en inglés). La idea detrás de esto es iniciar de alguna forma la correspondencia con los empleados de la empresa, normalmente haciéndose pasar por un gerente o un socio comercial importante. Como norma general, el propósito de esta correspondencia es lograr que la víctima transfiera dinero a la cuenta que indican los estafadores. Mientras tanto, los escenarios de ataque pueden variar: si los delincuentes están más interesados en infiltrarse en la red interna de la empresa, pueden enviar a la víctima un archivo adjunto malicioso que debe abrir.

De una forma u otra, todos los ataques BEC giran en torno al compromiso del correo electrónico; pero ese es el aspecto técnico. El elemento de ingeniería social juega un papel mucho más importante. Mientras que la mayoría de los correos electrónicos fraudulentos dirigidos a usuarios comunes parecen de broma, las operaciones BEC involucran a personas con experiencia en grandes empresas que pueden escribir correos electrónicos comerciales plausibles y persuadir a los destinatarios para que hagan lo que los delincuentes quieren.

¿Por dónde nos habíamos quedado?

Cabe destacar una técnica de ataque BEC específica que se ha vuelto muy popular entre los ciberdelincuentes en los últimos años. Conocida como secuestro de conversaciones, esta estrategia permite a los atacantes infiltrarse en la correspondencia comercial haciéndose pasar por uno de los participantes. Por lo general, no se utilizan trucos técnicos ni el hackeo de cuentas para disfrazar al remitente: todo lo que necesitan los atacantes es hacerse un correo electrónico real y crear un dominio similar. De esta forma, se ganan automáticamente la confianza de todos los demás participantes, lo que les permite dirigir la conversación en la dirección que desean. Para realizar este tipo de ataque, los ciberdelincuentes suelen comprar bases de datos de correspondencia de correo electrónico robada o filtrada en la dark web.

Las situaciones de ataque pueden variar. No se descarta el uso de phishing o malware, pero según la estrategia clásica, generalmente los ciberdelincuentes intentan secuestrar conversaciones que están directamente relacionadas con el dinero, preferiblemente grandes cantidades, ingresando sus datos bancarios en el momento oportuno; después se huyen con el botín a una isla tropical.

Un buen ejemplo de secuestro de conversaciones es lo que sucedió durante la transferencia del futbolista Leandro Paredes. Los ciberdelincuentes se infiltraron en el intercambio de correos electrónicos bajo la apariencia de un representante del club de Paredes, Boca Juniors, que tenía derecho a un pequeño porcentaje de la tarifa de transferencia, que asciende a 520.000 €, cantidad que se embolsaron los estafadores.

Somos la policía, entrega tus datos

Una tendencia reciente, que parece haber aparecido en el 2022, consiste en que los ciberdelincuentes realicen solicitudes “oficiales” de datos cuando recopilan información para prepararse para ataques a usuarios de servicios online. Este tipo de solicitudes las han recibido proveedores de servicios de Internet, redes sociales y empresas tecnológicas con sede en EE. UU. desde cuentas de correo electrónico hackeadas que pertenecen a organismos de fuerzas del orden.

Te explicamos un poco más: en circunstancias normales, para obtener datos de proveedores de servicios en los Estados Unidos se requiere una orden judicial firmada por un juez. Sin embargo, en situaciones en las que la vida o la salud de las personas está en peligro, se puede emitir una solicitud de datos de emergencia (EDR).

Pero mientras que en el caso de las solicitudes de datos normales hay procedimientos de verificación simples y comprensibles, para los EDR actualmente no existe nada por el estilo. Por tanto, es muy probable que se conceda dicha solicitud si parece plausible y aparentemente proviene de una agencia de las fuerzas del orden. De esta forma, los ciberdelincuentes pueden obtener información sobre las víctimas de una fuente confiable y utilizarla para futuros ataques.

Cómo protegerte contra los ataques de ingeniería social

El objetivo de todos los métodos de ataque anteriores no es un trozo de hardware sin alma, sino un ser humano. Por tanto, para reforzar las defensas corporativas contra los ataques de ingeniería social, el foco debe estar centrado en los trabajadores. Esto implica enseñar a los empleados los conceptos básicos de ciberseguridad y explicarles cómo contrarrestar varios tipos de ataques. 

Fuente: latam.kaspersky.com/