Tag seguridad

Autenticación sin contraseña: ¿Su empresa está lista para ir más allá?

by morfil Noticias

¿Están los días contados para contraseñas como ‘123456’? Mientras que Microsoft impulsa un mundo lejos de las contraseñas, esto es lo que su organización debe considerar antes de desprenderse de ellas.

El concepto “sin contraseña” promete hacer la vida mucho más fácil, tanto para los usuarios como para los departamentos de seguridad. Ofrece la tentadora perspectiva de reducir los costos administrativos, mejorar la productividad y reducir el riesgo cibernético. Sin embargo, a pesar de estos llamativos beneficios, su implementación tanto para las empresas del sector B2C (acrónimo de Business to consumer, en inglés) como para el sector B2B (Business to business) no ha sido tan fuerte como podría haberse esperado.

No obstante, cuando la compañía de software más grande del mundo decide respaldar un nuevo paradigma tecnológico, al menos hay que tomar nota. Hace bastante que Microsoft describió a las contraseñas como “inconvenientes, inseguras y costosas”. En marzo de 2021, la compañía introdujo una solución de autenticación sin contraseña para clientes comerciales. Y, en septiembre, anunció que extendería el soporte para todos los usuarios. Por lo cual, se podría decir que la era de la autenticación sin contraseña finalmente ha llegado.

Cuando las contraseñas ya no son adecuadas para su propósito

Las contraseñas han existido durante casi tanto tiempo como las computadoras y su desaparición ha sido predicha muchas veces. Pero, sin embargo, todavía siguen en uso, asegurando todo, desde aplicaciones corporativas hasta la banca en línea, el correo electrónico y cuentas de comercio electrónico.

El problema es que ahora tenemos demasiadas de estas credenciales para administrar y recordar. Una estimación sugiere que el 57% de los trabajadores estadounidenses han anotado contraseñas corporativas en notas adhesivas, mientras que una encuesta realizada en 2021 por ESET Latinoamérica que el 49% de los usuarios anotan sus contraseñas para no olvidarlas y 38% lo hace en un papel. Y el número crece constantemente a medida que expandimos nuestra huella digital. A modo de referencia, una estimación de octubre de 2020 afirmaba que en promedio una persona utiliza alrededor de 100 contraseñas, casi un 25% más que antes de que comenzara la pandemia.

Desde una perspectiva de ciberseguridad, el desafío con las contraseñas está bien documentado: Proporcionan a los atacantes un objetivo que es cada vez más fácil de obtener mediante robo, ataques de phishing, o mediante fuerza bruta. Una vez que tienen las claves en su poder, los atacantes pueden hacerse pasar por usuarios legítimos, superando los mecanismos de seguridad perimetrales y permaneciendo ocultos dentro de las redes corporativas durante mucho tiempo. Actualmente, el tiempo necesario para identificar y contener una brecha de datos es de 287 días.

Los administradores de contraseñas y métodos como el inicio de sesión único (en inglés, Single Sign-on) ofrecen alguna forma de contención para estos desafíos, almacenando y recordando claves complejas para cada cuenta, para que los usuarios no tengan que hacerlo. Sin embargo, todavía no son universalmente populares entre los consumidores. ¿El resultado? Los usuarios reutilizan en múltiples cuentas credenciales que son fáciles de recordar, tanto para sus cuentas de uso personal como corporativas, quedando expuestos a ataques de fuerza bruta como el credential stuffing.

No se trata solo de riesgos de seguridad. Las contraseñas requieren mucho tiempo y dinero para que los equipos de IT las administren, y puedan agregar una fricción adicional al recorrido del cliente. Las brechas pueden requerir reinicios masivos en grandes volúmenes de cuentas, lo que puede interferir con la experiencia del usuario en entornos B2B y B2C.

Cómo la eliminación de las contraseñas puede beneficiar a su negocio

En este contexto, la autenticación sin contraseña ofrece un gran salto. Mediante el uso de una aplicación de autenticación biométrica, como el reconocimiento facial o una clave de seguridad, o un código único enviado por correo electrónico/mensaje de texto, las organizaciones pueden eliminar de un solo golpe los dolores de cabeza de seguridad y administración asociados con las credenciales estáticas.

Al adoptar este enfoque para operaciones B2B y B2C, las organizaciones pueden:

  • Mejorar la experiencia del usuario: Haciendo que los inicios de sesión sean más fluidos y eliminando la necesidad de que los usuarios recuerden sus contraseñas. Esto incluso podría impulsar mejores ventas si menos carritos de compras quedan abandonados debido a problemas de inicio de sesión.
  • Mejorar la seguridad: Si no hay contraseñas para robar, las organizaciones pueden eliminar un vector clave que compromete la seguridad. Se afirma que, el año pasado, las contraseñas fueron las culpables del 84% de las brechas de datos. Al menos esto generará mayor dificultad a los atacantes para obtener lo que buscan. Y en el caso de los ataques de fuerza bruta, que actualmente se registran miles de millones cada año, se convertirán en cosa del pasado.
  • Reducción en los costos y el daño a la reputación: al minimizar los daños financieros provocados por los ataques de ransomware y las brechas de datos. También reducirá los costos de administración IT asociados con el restablecimiento de contraseñas y la investigación de incidentes. Un informe indica que podría costar hasta 150 euros (200 dólares) por el restablecimiento de cada contraseña y unas 30.000 horas en pérdida de productividad por año. Esto sin mencionar el tiempo extra invertido por los equipos de IT que podrían emplearse en tareas de mayor valor.

¿Qué está frenando la autenticación sin contraseña?

Sin embargo, “sin contraseñas” no es sinónimo de panacea. Aún existen varias barreras para su implementación, incluyendo:

  • La seguridad no está 100% asegurada: Los ataques de SIM swapping, por ejemplo, pueden ayudar a los atacantes a eludir los códigos de acceso de un solo uso (OTP) enviados vía mensaje de texto (SMS). Y, si los atacantes pueden acceder a dispositivos y máquinas, por ejemplo, vía spyware, también podrían interceptar estos códigos de un solo uso.
  • La biometría no es infalible: Al autenticarse con un atributo físico que el usuario no puede cambiar o restablecer, el riesgo aumenta si los atacantes encuentran una manera de comprometer el sistema. Ya se están desarrollando técnicas de aprendizaje automático para socavar la tecnología de reconocimiento de voz y de imagen.
  • Altos costos: Las PyMEs (pequeñas y medianas empresas) con una gran base de usuarios o clientes pueden encontrar que implementar alguna tecnología sin contraseña termina siendo bastante costoso, sin mencionar los potenciales costos involucrados en la emisión de dispositivos o tokens de reemplazo, si corresponde. Usar un proveedor establecido como Microsoft tiene más sentido, aunque habrá un costo de desarrollo interno asociado.
  • Reticencia del usuario: Hay una razón por la cual las contraseñas han resistido a lo largo del tiempo, a pesar de sus principales deficiencias de seguridad: los usuarios saben instintivamente cómo usarlas. Superar el miedo a lo desconocido podría abordarse más fácilmente en un entorno empresarial, donde los usuarios no tendrán otra opción que seguir las reglas. Pero en un mundo B2C podría crear la suficiente fricción adicional para desmotivar a los clientes. Por lo tanto, se debe tener cuidado para que el proceso de inicio de sesión sea lo más fluido e intuitivo posible.

A medida que la era post pandemia efectivamente comience, hay dos tendencias que serán las que den forma al futuro sin contraseña: un aumento en el uso de servicios en línea para el consumidor y la aparición del trabajo híbrido. Con el dispositivo móvil en el centro de ambos, parece tener sentido que cualquier estrategia corporativa sin contraseñas comience aquí.

Fuente: https://www.welivesecurity.com/

Malware en Linux, una tendencia al alza.

by morfil Noticias

En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.

Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.

De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento.

Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.

Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.

Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.

Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por arte de magia.

En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.

Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.

De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento.

Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.

Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.

Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.

Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por arte de magia.

Fuente: https://www.muylinux.com/

Contraseñas predecibles: una receta para el fracaso.

by morfil Noticias

Lamentablemente, muchas personas siguen utilizando pocas contraseñas para acceder a todas sus cuentas online, y esto supone un gran riesgo.

Las contraseñas son un dolor de cabeza para todos, pero aceptémoslo, las necesitamos. Y no van a desaparecer tan rápido como Microsoft podría querer. Por el momento, seguiremos dependiendo de ellas para el impredecible futuro. Es posible que usted tenga 50, 100 o incluso 200 cuentas online, pero ¿cuántas contraseñas tiene? ¿todas son únicas? A continuación, comparto una anécdota que sugiere que las personas siguen utilizando unas pocas contraseñas personalizadas para acceder a todas sus cuentas.

Hace unos meses asistí a una conferencia organizada por una empresa de gestión de patrimonios a la que me habían invitado para hablar sobre ciberseguridad. La audiencia estaba compuesta por más de 50 personas y, cuando mencioné “las contraseñas”, hicieron lo que la mayoría de la gente hace cuando me refiero al tema: comenzaron a mirar hacia los costados, evitando el contacto visual, con la esperanza de que no los señale para hablar. Instantáneamente me di cuenta de que su lenguaje corporal me estaba diciendo que no seguían las mejores prácticas en cuanto al uso y creación de contraseñas, así que decidí profundizar un poco más y les hice preguntas sobre cómo gestionaban sus credenciales. Algunas de las respuestas fueron muy interesantes.

En primer lugar, pregunté si alguien utilizaba un administrador de contraseñas. Un miembro de la audiencia levantó la mano y dijo que lo hacía solamente porque había escuchado una de mis charlas en el pasado (¡me sentí honrado!). Por lo tanto, el 98% de las personas en la sala no habían usado un gestor de contraseñas ni tenían un sistema para cuidar sus cuentas. Luego les pregunté cómo administraban sus cuentas online y varios señalaron que utilizaban las mismas tres o cuatro contraseñas, en las cuáles incluían información personal como fechas especiales o nombres significativos. Sí, fue terrible.Lectura relacionada: Las contraseñas más comunes del 2021 son también las más inseguras

Decidí realizar un pequeño experimento sobre la marcha con la ayuda de un voluntario. He comprobado en varias oportunidades que en momentos como estos los experimentos “de la vida real” sirven de maravilla porque, si funcionan, generan que los miembros de la audiencia hagan su tarea antes de irse a la cama esa misma noche.

Con su permiso, busqué a este caballero en Facebook y lo encontré rápidamente. Localicé todo su contenido público e hice una lista en la pizarra de las posibles contraseñas que imaginé que podría estar usando. Anoté lugares de interés, nombres de mascotas, nombres de los hijos, fechas de interés, equipos deportivos, libros, música… en fin, todas las posibilidades clásicas. Tenía alrededor de 20 palabras y números diferentes en una lista y aquí viene la parte impactante en la que sentí que había encontrado un tesoro enterrado.

Mientras me miraba boquiabierto, dijo que no solo había descifrado una de sus contraseñas, sino que incluso había encontrado iteraciones de tres de las cuatro contraseñas que “usa para todo”. Más tarde descubrí que a las iteraciones les faltaba una letra mayúscula al principio y un número al final (típico, ¿no?). Este número siempre era el mismo: la fecha del mes en que nació. La multitud estaba perpleja de que yo hubiera descifrado sus contraseñas, pero yo no. Este es un comportamiento estándar, y los ciberdelincuentes también lo saben.

Entonces, surge la pregunta de por qué una persona, y especialmente si tiene acceso a una gran cantidad de riqueza, datos y medios de vida, aún hoy elegiría usar una contraseña que es débil en tantos niveles.

El futuro

¿Cuál es el futuro de las contraseñas? ¿Somos verdaderamente capaces de ir a donde los humanos aún no se han aventurado e intentar vivir en una sociedad sin contraseñas? ¿O crees, como yo, que, las contraseñas y el uso de frases como contraseña en realidad tienen un lugar en la cibersociedad y, cuando son bien utilizadas, en realidad son una ventaja? A diferencia de los datos biométricos, no hay un límite para la cantidad de contraseñas que una persona puede tener, además de que es posible almacenarlas en un administrador de contraseñas e incluso usarlo para que genere claves. Además, es extremadamente fácil acceder a una cuenta utilizando una contraseña en combinación con el doble factor de autenticación, como puede ser el uso de una aplicación de autenticación o una clave de seguridad, incluso para un usuario básico. De hecho, mis padres, a mediados de sus 70 años, utilizan gestores de contraseñas junto con aplicaciones de autenticación basadas en el teléfono para todas las cuentas que se los permiten, ¡y siempre me repiten lo fácil que les resulta!

Una brecha de datos que sufra un servicio en el cual tiene una cuenta puede ser suficiente para que un criminal tenga acceso a todas sus cuentas, si es que usted suele reutilizar sus contraseñas. Por lo cual, es posible que quiera mantener sus contraseñas en un lugar seguro. Muchas personas utilizan el gestor de claves de Apple o simplemente las guardan en su navegador. Sin embargo, si alguna vez su dispositivo es robado y no tiene cifrado de disco completo, si llega a las manos equivocadas podrían tener acceso al mismo, aún sin estar viendo cuál es la contraseña. Por esta razón, el uso de un administrador de contraseñas de terceros en varios dispositivos puede ser más beneficioso.Lectura recomendada: 5 herramientas para administrar la seguridad de tus datos

En los dispositivos de Apple, otro consejo importante para mantener sus datos seguros y lejos de las miradas indiscretas o las filtraciones de datos es utilizar una función que permite ocultar su dirección de correo electrónico para externos. “Iniciar sesión con Apple” le permite anonimizar su dirección al iniciar sesión en los servicios que admiten la función. De hecho, recientemente se ha lanzado una actualización en la que permite a los usuarios de iCloud hacer uso de la función “Hide My Email”, que en español significa ocultar mi correo electrónico, que hace exactamente lo que su nombre indica al permitirle generar una dirección de un solo uso, que reenvía los correos entrantes a su cuenta real. De esta forma, si alguna vez los datos se ven comprometidos, ¡su dirección de correo electrónico permanecerá segura!

Fuente: https://www.welivesecurity.com/

Más de 30 países se comprometen en la lucha contra el ransomware.

by morfil Noticias
Ransomware red button on keyboard, 3D rendering

Brasil, México y República Dominicana son los países de América Latina que se unieron en este comunicado conjunto entre varios países en el cual se comprometen a tomar medidas para mitigar el ransomware y todo el ecosistema que contribuye a su actividad.

Luego del encuentro virtual que mantuvieron representantes de más de 30 naciones y la Unión Europea el pasado 13 y 14 de octubre en el marco de la Iniciativa Internacional contra el ransomware liderada por el gobierno de los Estados Unidos, los participantes lanzaron un comunicado conjunto en el cual confirman su compromiso para trabajar y cooperar para mitigar la escalada que desde 2020 viene teniendo el ransomware a nivel global, ya que representa una amenaza que tiene grandes consecuencias económicas y para la seguridad.

La reunión contó con la participación de ministros y representantes de Alemania, Australia, Brasil, Bulgaria, Canadá, Corea del Sur, Emiratos Árabes Unidos, Estados Unidos, Estonia, Francia, India, Irlanda, Israel, Italia, Japón, Kenia, Lituania, México, Nigeria, Nueva Zelanda, Polonia, Rumania, Singapur, Sudáfrica, Suecia, Suiza, Ucrania, Reino Unido, República Checa, República Dominicana y Países Bajos.

El objetivo de esta cooperación es compartir información sobre las víctimas de ransomware, fuerzas de seguridad y los centros de emergencia y respuesta ante incidentes de seguridad (CERT) protegiendo la privacidad y los derechos de las personas, para de esta manera intentar interrumpir el ecosistema que permite que el ransomware sea un negocio redituable para estas bandas y también para investigar y encontrar a las personas responsables de los ataques. Asimismo, los esfuerzos intentarán apuntar a mejorar los mecanismos para responder ante este tipo de ataques y promover buenas prácticas de seguridad ante el ransomware, como es el uso de contraseñas fuertes, autenticación multifactor, uso de backups de información y de la actualización de software.

Lectura recomendada: Vulnerabilidades más utilizadas por grupos de ransomware para obtener acceso inicial

Recientemente, la oficina de Control de Crímenes Financieros (FinCEN) del gobierno de los Estados Unidos, probablemente unos de los países más afectados por el ransomware considerando la cantidad de víctimas y ataques dirigidos a organizaciones de aquel país, reveló a través de un informe que entre enero y junio de 2021 se realizaron transacciones en Bitcoin por un valor cercano a los 5.200 millones de dólares, muy probablemente relacionadas con las variantes de ransomware más comúnmente reportadas. A partir del análisis de las transacciones vinculadas a 177 direcciones de billeteras relacionadas con el pago de los rescates se llegó a esta cifra. Asimismo, de acuerdo con los datos extraídos de los reportes sobre actividad sospechosa vinculada al ransomware, el promedio mensual de las transacciones sospechosas por ransomware llegan a los 66.4 millones de dólares y el promedio fue de 45 millones, explica FinCEN.

Como ya hemos mencionado en reiteradas oportunidades, desde 2020 a esta parte el crecimiento que ha tenido la actividad del ransomware a nivel global sigue siendo preocupante y se ha convertido en una de las principales amenazas informáticas. Fueron un conjunto de factores los que llevaron a este panorama actual que estuvo acompañado por un aumento sideral en los montos solicitados a las víctimas por el pago del rescate, la cantidad de bandas que crearon sitios para filtrar información y que implementaron técnicas extorsivas a sus estrategias. Asimismo, sectores como la salud, organismos gubernamentales, grandes y pequeñas compañías de todas las industrias, así como instituciones educativas han sido las víctimas de estos grupos.

Lectura recomendada: Los grupos de ransomware con mayor actividad el último año

Para completar el panorama y comprender un poco más por qué los gobiernos reunidos en este encuentro consideran que es necesario tomar acción de manera urgente, un reporte reciente elaborado a partir del análisis de 80 millones de muestras de ransomware y que fue realizado por Virus Total, una herramienta propiedad de Google muy popular por su capacidad de análisis de archivos maliciosos, reveló que entre 2020 y la primera mitad de 2021 hubieron 130 familias de ransomware diferentes en actividad, lo que muestra el crecimiento de esta escena y el interés de los cibercriminales de sacar provecho de un negocio que de momento parece seguir siendo muy redituable.

Si bien durante el 2020 la actividad del ransomware creció en todo el mundo, al igual que los montos solicitados por los criminales y la complejidad de sus ataques, hubo un antes y un después tras el ataque del ransomware Darkside a una infraestructura crítica, como Colonial Pipeline, una de las compañías de oleoducto más importante de los Estados Unidos y de la cual depende gran parte del suministro de combustible. En esta oportunidad, el impacto de la amenaza provocó la interrupción del servicio, generando un impacto que incluso amenazó con aumentar el precio del combustible. Luego de ese episodio, el presidente de los Estados Unidos, Joe Biden, manifestó su preocupación públicamente con respecto al ransomware y comenzó a tomar medidas. Poco después el aquel ataque, el Departamento de Justicia otorgó a esta amenaza una prioridad similar a la que se le da a los casos de terrorismo.

Fuente: www.welivesecurity.com

Digitalización en la banca: estafas, amenazas y otros desafíos.

by morfil Noticias

Ya está disponible el tercer episodio de Conexión Segura, el podcast de ESET Latinoamérica. En esta oportunidad, repasamos cuales han sido las amenazas más frecuentes apuntando a clientes de bancos y cómo el mayor uso de la tecnología en el último tiempo puede haber repercutido en una mayor actividad maliciosa.

Las estafas telefónicas apuntando a clientes de bancos han estado muy activas en el último tiempo. Suplantando la identidad de organismos como la ANSES o el Ministerio de Desarrollo Social, los estafadores han utilizado la excusa del COVID-19 y la entrega de ayudas económicas para engañar a las personas y robar las claves de acceso a sus cuentas bancarias. También han utilizado las redes sociales para suplantar a entidades financieras y llegar al mismo objetivo final. Las víctimas de muchos de estos ataques no solo perdieron el dinero de sus cuentas, sino que en varios casos los estafadores, una vez que se hicieron con las claves de acceso, han sacado préstamos que luego las víctimas han tenido que pagar en cuotas.

Si bien esta modalidad no es para nada nueva, la necesidad de quedarse en casa en el último tiempo provocó un mayor uso de canales digitales, tanto del lado de los usuarios como de los bancos. Esta realidad desafío a los bancos —y a muchos otros sectores— tanto en su operación interna con el teletrabajo y los desafíos de seguridad que esta modalidad supone, como también para permitir que los clientes puedan operar de manera segura y que no sean víctimas del oportunismo de los cibercriminales que han intentado explotar el contexto de esta mayor digitalización.

Todo esto y más lo exploramos en el tercer episodio de Conexión Segura en diálogo con Martina López, Security Researcher de ESET.

Fuente: https://www.welivesecurity.com/

Cómo saber si un sitio web es seguro

by morfil Noticias

Aprenda a identificar y protegerse de sitios web maliciosos al reconocer las diferenciar entre un sitio web legítimo de uno falso.
Probablemente visite decenas o quizás centenas de sitios web a diario. Lee un artículo de noticias, luego revisa sus redes sociales, más tarde mira un programa de televisión en un sitio de streaming y abre un enlace que le compartió un amigo. Sin embargo, ¿está seguro de que todos los sitios web que visita son seguros y que ninguno de ellos es, por ejemplo, un sitio de phishing?

Cuidado con las URL mal escritas y los caracteres ambiguos

Los ataques homográficos u homóglifos y las URL mal escritas o engañosas se encuentran entre las tácticas más comunes que utilizan los ciberdelincuentes para engañar a las personas para que visiten sus sitios web. Un ataque homográfico ocurre cuando los actores de amenazas registran dominios cuyos nombres son muy similares a otros legítimos y que a simple vista parecen iguales o verdaderos. Para esto se valen del uso de caracteres visualmente ambiguos o de añadir caracteres de manera sutil.

Para ilustrarlo, imagine escribir mal “Microsoft” en un nombre de dominio como “rnicrosoft.com” donde la “r” seguida de “n” puede parecerse a una “m” (dependiendo de la fuente, el tamaño en puntos y el cuidado del lector). O bien en el caso de “facebook” sustituir una o ambas “o” por la letra del alfabeto griego ómicron “o” (en caso de que no pueda distinguir cuál es cuál, la segunda “o” ha sido reemplazada por ómicron).

Una práctica de engaño muy relacionada, comúnmente llamada typosquatting, implica registrar nombres de dominio que coincidan con sitios populares, pero con errores de tipeo comunes, como “gogle.com” y “gooogle.com”. Ambos ejemplos ahora son propiedad de Google y redirigen al sitio “previsto”, pero hay muchas, muchas posibilidades; observe el mapa del teclado a continuación que muestra hasta qué punto Facebook se ha protegido contra los errores de este tipo que afectan a la última letra de “facebook” en su nombre de dominio.

Por supuesto, el falso sitio web se diseñará de forma que parezca idéntico al original para engañar a quien lo visita. Por lo tanto, tenga mucho cuidado al copiar y pegar una URL o hacer clic directamente y siempre verifique que se encuentra en el sitio web correcto. Algunas soluciones de seguridad incluyen la detección de ataques homográficos y notifican al usuario en caso de estar accediendo a una página web sospechosa.

Compruebe si un sitio web es malicioso

Si tiene la sensación de que hay algo extraño en el sitio web que está visitando, o mejor aún, está considerando visitarlo, pero aún no lo ha hecho, puede usar varias herramientas en línea para verificar si es malicioso.

Google, por ejemplo, ofrece una herramienta Estado del sitio de Navegación segura donde puede pegar la URL de un sitio web y la herramienta le dirá si el sitio es seguro o no. Otra herramienta similar que puede usar es el verificador de URL de VirusTotal, que analiza la dirección del sitio web y la compara con numerosos motores antivirus de primer nivel y motores de escaneo de sitios web para indicar si una URL en particular puede ser maliciosa. Pero incluso si el resultado dice  que la URL está “limpia”, puede que sea necesario profundizar un poco más y para ello pueden resultar interesantes las herramientas compiladas por el instructor de SANS, Lenny Zeltser.

Alternativamente, también puede realizar una consulta en whois para averiguar quién es el propietario del dominio que está visitando. whois es un servicio que ofrece información sobre dominios. Esta información puede incluir quién es el propietario, cuándo y dónde se registró y cómo ponerse en contacto con él. Para realizar una consulta de whois tendrá que ir a un sitio web dedicado e ingresar la dirección del sitio web del cual desea obtener información.

Un dato importante que debe averiguar es si el dominio fue registrado recientemente, lo que podría ser un indicador de que podría ser malicioso. Por ejemplo, Facebook no será un dominio registrado por primera vez en febrero de 2021. Otra señal de que el dominio podría ser malicioso es si hace clic en “mostrar más datos” y está incompleto o plagado de errores tipográficos; sin embargo, en algunos casos esto podría atribuirse a personas descuidadas al completar los datos de registro.

Busque la política de privacidad

Si está revisando un sitio web y no sabe si es legítimo o no, una cosa que debe verificar es si existe una política de privacidad. Cada sitio web legítimo debe tener una, ya que las leyes de protección de datos así lo exigen para explicar cómo el sitio web protege y maneja los datos del usuario.

Las empresas que incumplan las normas de protección de datos, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, pueden enfrentar graves consecuencias por fallas en la privacidad y la seguridad. Entonces, si un sitio web no tiene una política de privacidad o tiene una que parece incompleta, esto debería ser una buena señal de que a los responsables del sitio no le importan las estrictas leyes de protección de datos que se aplican en todo el mundo.

Busca información de contacto

Cualquier empresa legítima que esté interesada en construir una relación duradera con sus clientes tendrá la información de contacto en algún lugar de su página web en caso de que algo salga mal. Por lo general, consta de un formulario de contacto, correo electrónico, dirección de correo postal o número de teléfono. Hay varias señales a las que debe prestar atención cuando intente determinar si se trata de un negocio serio o legítimo.

Por ejemplo, si intenta llamar al número de teléfono que aparece en la lista y se desconecta o la persona que contesta no demuestra cierta formalidad, lo más probable es que se trate de una estafa. Si pasa esa prueba, verifique dos veces realizando una búsqueda rápida en Google de la información de contacto oficial de la compañía y llame a ese número por si acaso.

Busque la “S” en HTTPS, pero …

Una regla muy extendida para comprobar si un sitio web es seguro es comprobar si utiliza el protocolo HTTPS. Si bien HTTPS se ha presentado a menudo como el principio y el fin de las medidas de seguridad de los sitios web, en la realidad las cosas son más complicadas. HTTPS solo asegura que las comunicaciones entre el servidor web y el navegador web del visitante estén fuertemente encriptadas. Eso proporciona seguridad contra la intercepción de la información, lo que hace que sea seguro iniciar sesión, por ejemplo, en el sitio web de su banco u otro sitio web que le pida que inicie sesión.

Sin embargo, esto no quiere decir que el sitio con el que se está comunicando de forma segura es realmente el sitio web de su banco o si se trata de un sitio diseñado para robar sus credenciales de inicio de sesión.

Hoy en día, los ciberdelincuentes pueden obtener fácilmente un certificado SSL / TLS completamente válido para sus sitios web fraudulentos, de la misma manera que puede hacerlo una empresa legítima. Y dado que obtener un certificado válido se ha vuelto más barato (incluso gratis) y ahora son más fáciles de implementar, los casos de sitios que utilizan HTTPS para engañar a las personas haciéndoles creer que sus sitios falsos son “seguros” solo han aumentado.

La conclusión es que la mayoría de los sitios web en Internet ahora usan SSL o TLS, por lo que realmente no es un indicador de si el sitio web que está visitando es seguro. Debe tomarlo como una parte de un rompecabezas más grande y buscar otras señales de que algo anda mal. De hecho, debe inspeccionar el sitio web en su conjunto y ver si se destacan varias cosas, incluidos los otros indicadores que mencionamos en este artículo.

En lo que respecta a los certificados, una buena referencia sería mirar qué servicios ofrece el sitio web y qué organización emitió su certificado SSL / TLS. Si los datos que maneja son de naturaleza sensible pero el certificado proporcionado es gratuito o de bajo costo, probablemente debería sospechar bastante e investigar el sitio web más a fondo. Para verificar la validación del certificado y si fue emitido por una organización confiable, puede hacer clic en el ícono del candado en la barra de direcciones de su navegador.

Utilice una solución de seguridad con buena reputación

El uso de una solución de seguridad integral y de buena reputación puede contribuir en gran medida a la protección contra la mayoría de las amenazas informáticas, incluidos los sitios web maliciosos. El software de seguridad generalmente analizará la página web con un motor de escaneo incorporado que busca contenido malicioso y bloqueará el acceso al sitio web si detecta algo que pueda representar una amenaza. Esto evita que se descargue cualquier contenido malicioso en su equipo.

La herramienta de seguridad también comparará el sitio web con una lista de sitios maliciosos conocidos y bloqueará el acceso si encuentra una coincidencia. Las soluciones de seguridad de buena reputación también suelen utilizar tecnología antiphishing, que lo protege de los intentos de adquirir contraseñas, datos bancarios y otra información confidencial de sitios web falsos que se hacen pasar por legítimos. Cuando intenta acceder a una URL, la solución de seguridad la compara con una base de datos de sitios de phishing y, si se encuentra una coincidencia, finalizará inmediatamente su acceso y aparecerá una alerta advirtiéndole del peligro.

Pensamientos finales

Es posible que ahora sienta que mantenerse seguro es una tarea difícil. De hecho, hay otras cosas a las que debería prestar atención también, como si un sitio web tiene anuncios extraños apareciendo incesantemente por todas partes, o si un sitio web está plagado de errores gramaticales, lo que puede indicar que llegó a un sitio web fraudulento.

De todos modos, para resumir, debe estar atento a errores ortográficos en la URL del sitio web, examinar su certificado de seguridad y, preferiblemente, intentar escribir manualmente la dirección o usar solo enlaces confiables.

Fuente: www.welivesecurity.com

En memoria de John McAfee

by morfil Noticias

¿Cómo fue trabajar y ser amigo del emprendedor tecnológico más grande en la época que ayudó a dar forma a la industria de la seguridad informática?

Probablemente este no sea el primer lugar donde uno esperaría leer sobre John McAfee; una persona que había dejado atrás el mundo de los virus informáticos hacía mucho tiempo atrás por actividades más controvertidas; sin embargo, fue una persona fundamental en la configuración de la industria de la seguridad informática.  Y lo que es más importante para mí, fue la persona que me dio mi primer trabajo apenas terminé la educación secundaria cuando tenía solo 19 años, y fue mi mentor y mi amigo.  Creo -o al menos espero- que esto me da cierto derecho a poder compartir algunas palabras sobre él en WeLiveSecurity.  Si estás acostumbrado a llegar a este sitio para obtener consejos prácticos sobre cómo proteger tu computadora o leer sobre la última amenaza informática avanzada, gracias por complacerme con tu lectura.

Para aquellos que no lo saben, se ha extendido por todo el mundo la noticia de que John aparentemente se suicidó en su celda de una prisión en España.  Estaba detenido por las autoridades de ese país tras ser buscado por presuntos delitos financieros en Estados Unidos. La justicia española acababa de dictaminar el día antes de su muerte que su extradición hacia los Estados Unidos podía llevarse a cabo.

Mucha gente que he conocido a lo largo de los años, amigos lejanos y cercanos, se han puesto en contacto conmigo para compartir sus condolencias.

Mis sentimientos son contradictorios. Tal vez la mejor forma de describirlos es la alternancia entre momentos de tristeza y momentos en los que me siento paralizado.

Internet está llena de sitios en los que he hablado de mi tiempo trabajando para John en sus diversas empresas, tanto de manera más formal aquí en WeLiveSecurity, como en lugares como Reddit, donde las conversaciones más informales son la norma.

No estoy muy seguro por dónde empezar, así que supongo que debería empezar por el principio, por cómo conocí a John.

Conociendo a John McAfee

Corría el año 1985 y yo en el instituto era uno de esos jóvenes poco populares, interesado en las computadoras, en juegos de rol (D&D), en los libros y películas de ciencia ficción y en todas esas cosas que, aunque ahora están bien como cool, lo dejan a uno marcado como un paria y un nerd. Mi forma de escape era el incipiente mundo online de los Sistemas de Tablón de Anuncios (BBS), los precursores de los actuales foros web y plataformas sociales.

Una de esos BBS a las que solía marcar con mi módem era el Homebase BBS de Campbell, California, simplemente porque era una llamada gratuita desde donde yo vivía en San José, justo al lado.  Muchos BBS establecían límites de tiempo en los que uno podía permanecer en ellos para liberar el módem para la siguiente persona que llamara, así como estrictos ratios de carga/descarga para evitar las sanguijuelas de archivos (personas que descargaban archivos pero nunca los subían, un paralelismo que podría ser familiar para los usuarios del software P2P de hoy en día).  Homebase era más generosa que la mayoría con ambas cosas.  Todo esto fue antes de Internet, o al menos antes de que la world wide web despegara, y los BBS solían ser locales y sólo podían soportar tantos usuarios en simultáneo como líneas telefónicas tuvieran, la mayoría de las veces solo uno o dos.

Un día apareció un aviso en el BBS informando que tenía un nuevo propietario.  John McAfee, uno de sus usuarios, lo había comprado al propietario y lo había trasladado, con computadoras, módems y líneas telefónicas, a la casa de campo que había alquilado en la calle Cheeney de Santa Clara.  Esto fue varios años antes de que creara su empresa homónima, McAfee Associates, que se ocupaba de los virus informáticos.  En aquella época, el trabajo diario de McAfee era como ingeniero en la Lockheed Missiles and Space Company, en la cercana Sunnyvale (California), por lo que este era un negocio paralelo para él.

La compra del BBS por parte de John formaba parte de un plan para crear un grupo comercial de sysops (operadores de sistemas; las personas que dirigían los BBS), llamado National BBS Society (NBBSS).  Cuando lo conocí también tenía otros negocios, que iban desde el Instituto Americano de Prácticas Sexuales Seguras (AISSP), que proporcionaba tarjetas en las que se indicaba cuándo el portador se había sometido a una prueba de ETS y era negativo de VIH en ese momento (lo que tiene algunos paralelismos interesantes con el estado de vacunación del COVID-19 en la actualidad), hasta la venta de una tarjeta de sonido para PC que solo tenía conexiones de entrada (por ejemplo, sólo tenía una conexión para un micrófono, no para altavoces).  Esto ocurrió aproximadamente una década antes de que las tarjetas de sonido vinieran integradas en las placas madre de los PC y contaba con una base de clientes pequeña pero dedicada a ella, que iba desde usuarios de computadoras ciegos que la utilizaban para el reconocimiento de voz hasta una universidad de Hawái que había comprado varias de ellas para recoger el “habla” de los delfines utilizando un conjunto de micrófonos submarinos.  Algunos de esos primeros usuarios de tarjetas de audio se convirtieron en los primeros clientes de McAfee para su software antivirus.  A raíz de eso, trabajamos para garantizar que el software antivirus fuera compatible con los lectores de texto a voz, los teclados Braille y otros dispositivos de asistencia.

Hoy llamamos a estas cosas “trabajos adicionales” y se reconocen como parte de la “economía gig”.  Para mi mente adolescente, todos sonaban muy emprendedores y estaba claro que tenía todos sus hierros en el fuego, cualquiera de los cuales podría ser el próximo gran éxito.

Ninguno de ellos llegó a despegar, pero su compra de Homebase BBS le llevó a organizar fiestas con pizza para sus usuarios, y finalmente pude conocerle en persona en 1986, después de un año llamando al BBS.  Algunos de los usuarios nos convertimos en los primeros empleados.

John sabía muy bien lo que le funcionaba y lo que no, y debido a que los negocios de la AISSP y la NBBSS no conseguían ganar ningún tipo de impulso crítico, empezó gradualmente a reducirlos, junto con el negocio de las tarjetas de sonido.

Para su siguiente negocio, se dedicó al software antivirus, distribuyéndolo en línea como shareware a través del BBS.  El shareware era una especie de sistema de honor para el software en el que la gente podía probarlo antes de comprarlo.  En el caso de McAfee, la gente podía utilizar el software durante treinta días y luego eliminarlo de sus computadoras o pagar por él.  Esto también se aplicaba a las organizaciones, que debían adquirir una licencia de sitio si querían seguir utilizando el software.  Si bien la descarga de versiones de prueba del software es la norma hoy en día, en aquel entonces, el software se vendía comercialmente en cajas envueltas en plástico en los estantes de las tiendas, y esto era una especie de apuesta.  El Sr. McAfee no inventó el modelo de negocio del shareware ni el software antivirus, pero fue el primero en popularizarlos.

El primer indicio que tuve de que esta iba a ser diferente con respecto a los anteriores proyectos empresariales del Sr. McAfee fue cuando apareció en las noticias de la televisión local hablando del gusano Morris.  Unos meses después, volvió a aparecer, pero esta vez hablando del virus informático DataCrime.  A mí, con solo diecinueve años, que recién había terminado la educación secundaria y estaba estudiando geografía cultural en la universidad local y sin saber qué quería hacer con mi vida, me pareció una oportunidad de oro:  Le pregunté al Sr. McAfee si podía ir a trabajar para él, tal vez para contestar al teléfono, mecanografiar cartas y enviar faxes (tareas que conocía bien por haber trabajado para mis padres) y, para mi sorpresa (y buena fortuna), me contrató en el acto.

Me quedé con John mientras la empresa crecía, primero en su casa y luego en una serie de parques empresariales.  Yo también crecí y acabé dirigiendo todo el soporte de la empresa, escribiendo toda la documentación, creando el primer departamento de control de calidad y ocupándo diferentes roles en una empresa de rápido crecimiento.  También acabé asumiendo la dirección del BBS del Sr. McAfee, convirtiéndome en su operador de sistemas.

Las multiples caras de John McAfee

Probablemente te preguntes qué tipo de persona era John McAfee —antes de adquirir mala fama por otras cuestiones. Hay algunos enlaces al comienzo de esta publicación en las que cuento mis experiencias trabajando para John, pero esas líneas fueron escritas en su mayoría para capturar momentos que no quería olvidar y no para definir a la persona. ¿Cómo era realmente?

El Sr. McAfee podía ser amable.  Hubo numerosas ocasiones en las que se detuvo a realizar pequeños actos de caridad, que iban desde dar a un indigente algo de dinero hasta simplemente hablar con ellos.  Sin burlarse ni nada por el estilo.  Solo hablar o en algunos casos solo escuchar.

El Sr. McAfee podía ser voluble.  A menudo teníamos discusiones fuertes sobre la dirección de algo en uno de los programas.  Normalmente se acababan tan rápido como empezaban, y no había rencores después.

El Sr. McAfee era muy inteligente.  Era capaz de asimilar rápidamente todo tipo de conocimientos dispares, sintetizarlos y elaborar rápidamente un plan, encontrar una solución a un problema o tener una idea.  A veces se equivocaba, pero la mayoría de las veces tenía razón.  Su capacidad para responder rápidamente, sin vacilar, hizo que los primeros asociados de McAfee fueran ágiles y capaces de superar a sus competidores.

El Sr. McAfee era a menudo muy imprudente.  Mientras que su perspicacia empresarial era excepcional, su vida personal era… bueno, “desordenada”, a falta de un término mejor.  A diferencia de otros momentos de su vida, cuando yo lo conocí y durante todo el tiempo que trabajé para él, estaba limpio y sobrio.  Para cualquiera que juegue a Dungeons & Dragons, lo describiría con el siguiente puntaje de acuerdo a sus características: Inteligencia 18, sabiduría 3. Podía usar su inteligencia para salir de la mayoría de las situaciones, pero seguía metiéndose en ellas.

El Sr. McAfee podía ser carismático.  Mientras dirigía McAfee Associates (y más tarde Tribal Voice, la empresa de mensajería instantánea que fundó en Colorado), nos inspiró a todos los que eramos sus empleados.  Trabajábamos duro y creíamos en el objetivo, tanto si se trataba de salvar al mundo de los virus informáticos como de ayudar a conectar el mundo a través de Internet.

El Sr. McAfee podía ser un poco imbécil, a veces.  A menudo adoptaba un enfoque de “los negocios son la guerra” frente a la competencia, confiando en el intelecto para superar a sus supuestos enemigos.  Ese enfoque funcionó en los primeros años de McAfee Associates, pero no se adaptó a una industria en la que las relaciones debían basarse en la confianza y la cooperación.

John McAfee vivió una vida más que legendaria, acumulando muchos rumores y acusaciones alrededor suyo.  Muchos eran ciertos, pero otros tantos eran falsos.  Lo curioso es que algunas de las peores cosas que se decían sobre él entraban en esta última categoría:  Las historias acerca de que el escribía virus informáticos o pagaba a otros para que lo hicieran eran falsas; nunca ocurrió tal cosa mientras yo estaba allí.  Se afirmaba que había exagerado el virus informático Michelangelo, pero habíamos contabilizado algo así como 60.000 infecciones antes de que se activara en 1992, y McAfee Associates era solo una de las muchas empresas antivirus de entonces, y desde luego no la más grande.  Eso no parece muy exagerado, al menos teniendo en cuenta las cifras de acuerdo al estado de los antivirus a principios de la década de 1990.

John pidió una licencia para ausentarse en McAfee Associates en 1993, que se convirtió en permanente en 1994.  A finales de 1994 fundó Tribal Voice en Woodland Park, Colorado, empresa que creó algunos de los primeros programas de mensajería instantánea (MI) que existen. Lo interesante de Tribal Voice es que muchas de las características que hoy son comunes en el software de mensajería instantanea fueron creadas en ese tranquilo pueblo de montaña, como el uso de una dirección de correo electrónico como nombre de usuario y su asignación a una dirección IP para poder enviar mensajes de un lado a otro.  Dado el auge de la mensajería instantánea y las redes sociales, el impacto de John en ese espacio fue tan grande -o más- que su impacto en el espacio de los antivirus.  Lamentablemente, Tribal Voice no fue un éxito comercial y la empresa se hundió cuando la burbuja de las puntocom estalló en 2001.  Esa fue la última vez que John McAfee dirigió una empresa de tecnología, aunque se mantuvo activo como financiero y vocero pago de muchas otras.

Nos mantuvimos en contacto a lo largo de los años e incluso le proporcioné cierta asistencia técnica cuando dejó Belice en 2012 y regresó a Estados Unidos.  Insistió bastante en que le ayudara a escribir su autobiografía junto a otros escritores fantasma, pero me negué citando la cantidad de tiempo que requeriría y el hecho de que no quería pagarme por ello.  La última vez que hablamos fue durante su campaña presidencial de 2016.

John McAfee era alguien que vivía la vida en sus propios términos, y creo que eso significaba terminar también en sus propios términos.  Aunque a veces se comportaba como un imbécil para mí, también era mi amigo, y se le echará mucho de menos.

Un agradecimiento especial a mis colegas Tony Anscombe, Ranson Burkette, Bruce P. Burrell, Nick FitzGerald, Tomáš Foltýn, James Rodewald, James Shepherd y Righard Zwienenberg, no sólo por su habitual ayuda gramatical, sino también por su apoyo moral al escribir esto.

Fuente: www.welivesecurity.com

Gelsemium: un malware complejo y modular utilizado por grupo de cibersespionaje

by morfil Noticias

Investigadores de ESET analizan las nuevas campañas del grupo Gelsemium y el complejo malware modular que ha utilizado en ataques contra gobiernos, universidades, fabricantes de productos electrónicos y organizaciones religiosas en Asia del Este y Oriente Medio.

A mediados de 2020 los investigadores de ESET comenzaron a analizar múltiples campañas, que luego fueron atribuidas al grupo Gelsemium, y rastrearon la primera versión del malware que utiliza el grupo y que se remonta a 2014. Las víctimas de estas campañas se encuentran en el este de Asia, así como en el Medio Oriente, e incluyen gobiernos, organizaciones religiosas, fabricantes de productos electrónicos y universidades.

Principales puntos en este reporte:

  • Los investigadores de ESET creen que Gelsemium está detrás del ataque de cadena de suministro contra BigNox que informamos anteriormente y que denominamos Operación NightScout
  • Los investigadores de ESET encontraron una nueva versión de Gelsemium, un malware complejo y modular al que nos referimos más adelante como Gelsemine, Gelsenicine y Gelsevirine
  • Se descubrieron nuevos blancos de ataque que incluyen gobiernos, universidades, fabricantes de productos electrónicos y organizaciones religiosas en Asia Oriental y Oriente Medio
  • Gelsemium es un grupo de ciberespionaje activo desde 2014

La distribución geográfica de los blancos de ataque de Gelsemium se puede ver en la Figura 1.

Componentes de Gelsemium

Toda la cadena de Gelsemium puede parecer simple a primera vista, pero las exhaustivas configuraciones, implantadas en cada etapa, modifican sobre la marcha la configuración para el payload final, lo que hace que sea más difícil de entender. Los comportamientos analizados a continuación están vinculados a la configuración. Por lo tanto, los nombres de archivo y las rutas pueden que sean diferentes en otras muestras. La mayoría de las campañas que observamos siguen lo que describimos aquí.

Gelsemine: el dropper

La primera etapa de Gelsemium está compuesta por un dropper escrito en C++ que utiliza la biblioteca Microsoft Foundation Class (MFC). Esta etapa contiene varios binarios de etapas adicionales. El tamaño del dropper oscila entre 400 kB y 700 kB, lo cual es inusual y podría ser incluso mayor si los ocho ejecutables embebidos no estuvieran comprimidos. Los desarrolladores usan la biblioteca zlib, vinculada estáticamente, para reducir en gran medida el tamaño total. Detrás de este ejecutable de gran tamaño se esconde un mecanismo complejo pero flexible que es capaz de droppear diferentes etapas según las características de la computadora víctima, ya sea que corra en 32 o 64 bits o de acuerdo con los privilegios (usuario estándar frente a administrador). Casi todas las etapas están comprimidas, ubicadas en la sección de recursos del PE, y mapeadas en el espacio de direcciones de memoria del mismo componente. La Figura 3 ilustra todas las etapas del componente Gelsemine.

Gelsenicine: el loader

Gelsenicine es un loader que recupera Gelsevirine y lo ejecuta. Hay dos versiones diferentes del loader: ambas son DLL; sin embargo, difieren en el contexto en el que se ejecuta Gelsemine.

Para víctimas con privilegios de administrador, Gelsemine droppea Gelsenicine en C:\Windows\System32\spool\prtprocs\x64\winprint.dll (DLL en modo usuario para el procesador de impresión) que luego se carga automáticamente por el servicio spoolsv de Windows. Para escribir un archivo en el directorio %WINDIR%/system32, los privilegios de administrador son obligatorios; de ahí el requisito mencionado anteriormente.

En el caso de los usuarios con privilegios estándar que son comprometidos por Gelsemine se droppea Gelsenicine en un directorio diferente que no requiere privilegios de administrador. La DLL chrome_elf.dll se droppea en CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine: el “plugin principal”

Gelsevirine es la última etapa de la cadena y sus desarrolladores la llaman MainPlugin (plugin principal), de acuerdo con el nombre de la DLL y también la ruta PDB que se encuentra en las muestras antiguas (Z:\z_code\Q1\Client\Win32\Release\MainPlugin.pdb). Vale la pena mencionar que si los defensores logran obtener esta última etapa solamente, no funcionará a la perfección, ya que requiere que sus argumentos hayan sido configurados por Gelsenicine.

La configuración utilizada por Gelsenicine contiene un campo llamado controller_version que creemos que es el control de versiones utilizado por los operadores para este MainPlugin. La Figura 4 proporciona una línea de tiempo de las diferentes versiones que hemos observado en actividad. Las fechas son aproximadas.

Links/herramientas adicionales

Durante nuestra investigación encontramos algunos programas maliciosos interesantes que se describen en las siguientes secciones.

  • Operación NightScout (BigNox): en enero de 2021, otro investigador de ESET analizó y escribió un artículo sobre Operación NightScout; un ataque de cadena de suministro que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox con más de 150 millones de usuarios en todo el mundo. La investigación reveló cierta relación entre este ataque de cadena de suministro y el grupo Gelsemium. Las víctimas originalmente comprometidas por ese ataque fueron luego comprometidas por Gelsemine. Entre las diferentes variantes examinadas, la “variante 2” del presente artículo muestra similitudes con el malware Gelsemium.
  • OwlProxy: este módulo también viene en dos variantes – versiones de 32 y 64 bits – y como resultado contiene una función para probar la versión de Windows al igual que en los componentes de Gelsemium.
  • Chrommme: Chrommme es un backdoor que encontramos durante nuestras aventuras por el ecosistema Gelsemium. Las similitudes de código con los componentes de Gelsemium son casi inexistentes, pero se encontraron pequeños indicadores durante el análisis que nos llevan a creer que de alguna manera está relacionado con el grupo. Se encontró el mismo servidor C&C tanto en Gelsevirine como en Chrommme, ambos utilizan dos servidores C&C. Chrommme se encontró en la máquina de una organización también comprometida por el grupo Gelsemium.

Conclusión

El bioma Gelsemium es muy interesante: muestra pocas víctimas (según nuestra telemetría) con una gran cantidad de componentes adaptables. El sistema de plugins muestra que sus desarrolladores tienen un conocimiento profundo de C++. Pequeñas similitudes con herramientas de malware conocidas arrojan luz sobre posibles relaciones con otros grupos y actividades pasadas. Esperamos que esta investigación impulse a otros investigadores a publicar sobre el grupo y revelar más raíces relacionadas con esta biosfera de malware.

Se puede encontrar una lista completa y completa de Indicadores de Compromiso (IoC) y muestras en el whitepaper y en nuestro repositorio de GitHub.

Fuente: www.welivesecurity.com

ONLYOFFICE 6.3 facilita el trabajo nocturno con pantallas HiDPI

by morfil Noticias

ONLYOFFICE ha anunciado la publicación de la versión 6.3 de su suite ofimática con novedades de interés sobre todo para aquellos que tiendan a trabajar en salas oscuras y con pantallas que funcionan a grandes resoluciones.

Lo primero que destaca es la inclusión de un tema oscuro en los editores de ONLYOFFICE para facilitar el trabajo de aquellos que tiendan a trabajar de noche o en entornos oscuros. El uso de temas oscuros es algo que se ha popularizado mucho en los últimos años, sobre todo porque minimiza la cantidad de luz que la pantalla proyecta en los ojos. Además, también se ha añadido un nuevo tema claro que acompaña al todavía presente tema clásico.

Aunque no hayan sido el boom comercial que muchos vaticinaron, el uso de pantallas HiDPI se ha extendido a lo largo de los años. Aquí ONLYOFFICE 6.3 Docs ha añadido la posibilidad de establecer el porcentaje del escalado al 150% como nivel intermedio entre el 100% y el 200%. Los porcentajes de 125% y 175% serán añadidos dentro de poco según los responsables.

Aparte de las mejoras visuales, en ONLYOFFICE 6.3 se ha incorporado la posibilidad de proteger los documentos con contraseñas para evitar que sean abiertos por personas sin la credencial necesaria. Esta característica se mantiene incluso si se sube un fichero creado con la aplicación para el escritorio.

Con ONLYOFFICE 6.3 Docs se puede habilitar el seguimiento de los cambios para todas las personas que tengan acceso completo al archivo o solo para el creador, siendo esto algo que se guardará incluso tras cerrar el documento. En caso de dejar activada la bandeja de seguimiento de los cambios, la próxima vez que otra persona abra el documento se encontrará con que la revisión seguirá activada.

Los nuevos tipos de gráficos son otra novedad importante del lanzamiento que nos ocupa en esta entrada: “Los gráficos de líneas para mostrar las tendencias a lo largo del tiempo y los gráficos de dispersión para comparar los valores numéricos de dos series. Los gráficos combinados que te ayudan a presentar y analizar los datos de varios gráficos son ahora totalmente compatibles – no sólo puedes ver, sino también crearlos en ONLYOFFICE Docs.”

No menos relevante es el hecho de que es posible cambiar las mayúsculas de un texto seleccionado para establecer una de las siguientes opciones: ‘Tipo oración’ para la oración común, ‘minúsculas’ para poner todas las letras en minúscula, ‘MAYÚSCULAS’ para poner todas las letras en mayúscula, ‘Poner En Mayúsculas Cada Palabra’ de la oración y ‘tIPO iNVERSO’ para invertir las mayúsculas y minúsculas del texto seleccionado.

Otras mejoras y novedades incorporadas son las sugerencias en la creación de macros, una corrección ortográfica más rápida, la capacidad de añadir ficheros a favoritos y la posibilidad de que invitados anónimos puedan presentarse en caso de compartir un archivo con ellos.

En lo que respecta a las particularidades de cada una de las aplicaciones, y sin profundizar mucho, destacan hechos como que el procesador de textos es ahora capaz de abrir ficheros XML y guardar en EPUB, FB2 y HTML; el editor de hojas de cálculo ha añadido la función XLOOKUP, la Agrupación/desagrupación de datos en tablas pivote y nuevos formatos de celdas; mientras que el editor de presentaciones de diapositivas ha recibido ajustes de la transparencia en las propiedades de la diapositiva en el panel derecho, ajustes de la columna para el texto en una forma en la barra de herramientas, botones para cambiar las mayúsculas y minúsculas del texto y para resaltar el texto con color y las animaciones creadas en otros editores ya no se pierden.

ONLYOFFICE 6.3 Docs está disponible para la versiones autoalojada de la suite ofimática, mientras que la aplicación para escritorio tendría que aparecer en un futuro próximo. Los que quieran conocer todos los detalles de este lanzamiento pueden consultar el anuncio oficial.

Fuente: www.muylinux.com

Alternativas a TOR para navegar por Internet con más privacidad

by morfil Noticias

Muchos conocen la red TOR y sus beneficios, pero ¿qué pasa cuando no es posible utilizar este navegador? Descubre alternativas que también piensan en tu privacidad.
Cuando hablamos de la posibilidad de acceder a Internet sin censuras ni restricciones, sean las que sean, el primer nombre que nos viene a la cabeza es el de TOR. La red Onion (o cebolla) está destinada a reenviar las solicitudes de sus usuarios a través de nodos internos antes de que lleguen directamente al destino y, si el usuario utiliza el Navegador TOR, también evita que las páginas puedan hacer fingerprint de los usuarios (obtener la huella digital del navegador), inhibiendo el paso de información innecesaria acerca de quién accede a qué. Debido a que es extremadamente famoso, a menudo no es posible usar TOR debido a bloqueos que impiden que el programa se ejecute. Pero como era de esperarse TOR no es el único preocupado por la libertad de tráfico en Internet y el libre acceso a la información para sus usuarios, por eso en este artículo comparto una lista con cinco alternativas a este servicio tan importante para diferentes públicos.

1 – Freenet

Freenet comenzó a desarrollarse en julio de 1999 y tiene como objetivo permitir a sus usuarios navegar, publicar sitios web en la propia red Freenet, realizar llamados a freesites, y compartir archivos de forma anónima.

Se diferencia mucho de la red TOR, ya que es una red peer to peer (P2P), toda la comunicación se llevará a cabo solo entre miembros que pertenecen a esta red. En otras palabras, esto significa que todo lo que acceda cuando esté conectado a esta red será el contenido puesto a disposición por los propios usuarios, esto hace que la red sea más restringida y segura.

Al participar en la red, cada usuario puede poner a disposición una parte gratuita de su HD, que será utilizada para la creación de un contenedor cifrado y almacenamiento del cache de navegación de otros usuarios, y una parte de su link de Internet. Ambas medidas hacen que la navegación de Freenet se convierta en una mejor experiencia para todos los usuarios.

Características

Al tratarse de una red cerrada no es posible utilizar los métodos de búsqueda a los que estamos acostumbrados, como Google. Para tener acceso al contenido de la red es necesario acceder a una de las direcciones de los sitios que alojan directorios.

También es posible registrar direcciones de confianza, como las direcciones de amigos, por ejemplo, para que la comunicación sea aún más restringida —solo entre las direcciones que elija el usuario.

La red cumple bien el propósito, pero es importante señalar —si es que aún no lo has notado— que no debemos esperar encontrarnos en Freenet con grandes portales de noticias y sitios bien diseñados. Las páginas alojadas por el usuario son muy simples y tienen muy pocas ayudas visuales, por lo que no espere encontrar transmisiones y animaciones en las páginas. La gran mayoría de los sitios se componen de textos y enlaces a otros sitios.

2 – I2P

El nombre I2P proviene de Invisible Internet Project, que en traducción libre significa Proyecto de Internet Invisible. Surgida en 2003, es una red privada totalmente encriptada que fue concebida teniendo en cuenta la seguridad y la privacidad desde sus cimientos.

Estas características de seguridad ya se pueden ver en el intercambio de mensajes dentro de la red con el cifrado de extremo a extremo. El enrutamiento de mensajes dentro de la red I2P hace que la comunicación sea bastante compleja y unidireccional, utilizando cuatro nodos de comunicación, dos salientes y dos entrantes. Dado que la solicitud que va a un destino específico es una ruta unidireccional, pasa por estos cuatro nodos que mencioné, cuando el destino responde a esa solicitud pasará por otros cuatro nodos totalmente diferentes.

Características

Incluso con un funcionamiento similar a Freenet, I2P tiene características que lo hacen más atractivo visualmente, como el hecho de mantener Java habilitado en sus sitios web.

Originalmente, I2P fue diseñada para no acceder a sitios de la superficie, que son los sitios normales que conocemos, pero existe la posibilidad de configurar “Outproxies” que permite la conexión con el mundo exterior.

Las características de seguridad presentes en la solución hacen que exija más de Internet y más del disco duro del usuario y, debido a que tiene una forma de comunicación más compleja, es común que las solicitudes a los sitios demoren mucho en completarse o que incluso se interrumpan.

3 – Tails

Tails es un sistema operativo portable que se lanzó en 2009 con el objetivo de llevar la navegación privada al nivel del sistema operativo. Al tener este enfoque, el proceso de navegación, como lo concibió el equipo de Tails, ya brinda más seguridad por sí mismo. A pesar de ser un sistema operativo basado en TOR, Tails sigue siendo una alternativa, ya que aborda puntos que el navegador TOR por sí solo no.

Características

El primer punto que hace a Tails tan diferente es el hecho de que se trata de un sistema operativo capaz de ejecutarse directamente desde el pendrive, esto significa que, por defecto, no existe vínculo alguno con el disco físico del ordenador que lo aloja. Esto significa que cada vez que el usuario reinicia la computadora, volverá a tener un nuevo Tails.

A pesar de correr desde el pendrive, el sistema también permite la instalación o un vínculo con el disco rígido presente en la máquina para un posible acceso a archivos importantes. Cabe mencionar que, en caso de que se realicen vinculaciones de este tipo Tails dejará rastros de estas actividades en todos los medios con los que tenga contacto, así como en cualquier otro sistema operativo. Por lo tanto, si la privacidad extrema es esencial para usted, utilice Tails desde la memoria USB sin vínculos con los discos.

Otro punto interesante de Tails es que todo el tráfico que sale a través de él pasa por TOR, es decir, cualquier conexión TCP que logre salir pasará necesariamente por la estructura de TOR, imposibilitando que el destino identifique el origen exacto de las solicitudes.

4 – Zeronet

De las opciones mencionadas en este artículo, Zeronet es por lejos la más sencilla de usar y sigue el mismo camino que las demás ya que utiliza su propia red P2P, aunque con cifrado Bitcoin y red BitTorrent para sus operaciones.

Características

La sencillez de esta red es mayor que las demás porque no requiere ningún tipo de configuración de proxy. Simplemente descargue el archivo zip, en el caso de Windows, descomprima y ejecute el programa. Se abrirá una ventana en su navegador con la dirección principal de Zeronet y a través de esta página podrá encontrar el contenido puesto a disposición por la red.

Otra característica interesante de esta red, que la hace más dinámica, son los sitios “inevitables”. Al tener la filosofía del contenido distribuido, cualquier miembro de la red que acceda a un sitio web ahora alojará parte de su contenido. Para aquellos que no desean alojar ningún tipo de contenido, pueden eliminar todos los archivos de ese sitio con solo realizar dos clics.

Vale la pena señalar que, a pesar de contar con un cifrado robusto, la red por defecto no garantiza el anonimato de sus participantes. Si el usuario quiere habilitarlo, es necesario configurar el uso de TOR.

5 – Ultrasurf

Vale la pena señalar que, a pesar de contar con un cifrado robusto, la red por defecto no garantiza el anonimato de sus participantes. Si el usuario quiere habilitarlo, es necesario configurar el uso de TOR.

Hay varios software para servicios Proxy y VPN, ya sean gratuitos o de pago, pero destacaré uno en particular que tuvo mucho éxito en Brasil: Ultrasurf. Creado en 2002, tenía la intención de ser una solución proxy fácil de usar que pudiera brindar información libre de censura a todos los usuarios, y pudo cumplir esta función muy bien.

Desde versiones muy antiguas, bastaba con abrir el programa, esperar a que se conectara a los servidores salientes y que abra el navegador predeterminado ya listo para navegar por sitios web sin ningún tipo de restricción, y el software mantiene sus estándares operativos hasta el día de hoy.

Consideraciones de Seguridad

Creo que es importante hablar de algunos puntos críticos acerca del uso de soluciones de privacidad, ya sea el propio TOR u otras tecnologías como P2P, VPN y Proxies.

En el caso de VPN y Proxies, es posible que su administrador de red y su ISP no conozcan el destino real de sus conexiones, pero los proveedores de software sí. Muchas no le prestan atención, pero como cualquier empresa también están sujetas a las leyes del país donde tienen su sede y, si se accede a ellas de manera oficial, pueden brindar información sobre conexiones que ocurrieron en determinados períodos, permitiendo así llegar a los responsable de originar estas conexiones. Elija siempre con cuidado si opta por utilizar uno de estos servicios y lea atentamente el contrato de servicio.

Para la red TOR, los puntos críticos son los nodos de salida, ya que pueden ver todo el tráfico descifrado antes de acceder a su destino real y cualquier persona, institución o gobierno puede hacer que los nodos de salida estén disponibles para su uso en la red TOR, ¡así que tenga en cuenta que los malos también pueden hacerlo!

Las redes P2P mencionadas anteriormente cifran los datos almacenados localmente y solo almacenan fragmentos de esos datos, a excepción de Zeronet. Así, algunos de los puntos críticos que pueden ocurrir es cuándo se tiene acceso a todos los nodos que contienen información, y cuándo se conoce la información personal del propietario de uno de los nodos.

En todos los casos, ¡intenta saber lo que usas para evitar sorpresas!

Si tiene alguna duda o tiene sugerencias sobre temas relacionados con la seguridad de la información que le gustaría que abordemos en futuras publicaciones, háganoslo saber en los comentarios.

Fuente: www.welivesecurity.com


Deprecated: trim(): Passing null to parameter #1 ($string) of type string is deprecated in /home1/uiolibre/public_html/wp-content/plugins/simple-lightbox/includes/class.utilities.php on line 545