Tag hackers informáticos

Una introducción al hardware hacking donde explicamos qué es, cómo se utiliza en ciberseguridad y cuáles son las técnicas que podemos utilizar para extraer el firmware de un dispositivo.

Tabla de contenidos:

—El hardware hacking: qué es y para qué se utiliza
—Para qué extraer y analizar el firmware de un dispositivo
—Técnicas para extraer el firmware de un dispositivo
—Extracción de firmware de dispositivos usando JTAG:
—Cómo funciona la interfaz JTAG
—Qué podemos hacer en la práctica con JTAG
—Cómo extraemos un firmware utilizando JTAG
—Conclusión

El hardware hacking: qué es y para qué se utiliza

Si bien hace un tiempo hablamos de los gadgets más utilizados en el hardware hacking, es importante destacar que en el mundo de la ciberseguridad el hardware hacking no se limita al uso de dispositivos electrónicos para realizar pruebas ofensivas sobre distintos sistemas. También está vinculado con el uso de técnicas para explotar fallos de seguridad y manipular el hardware de un dispositivo electrónico para alterar su funcionamiento, agregar nuevas funcionalidades, obtener información del equipo o vulnerar su seguridad.

Las técnicas de hardware hacking sirven para realizar ingeniería inversa y manipular el dispositivo que se quiere analizar. Pueden ser utilizadas por investigadores de seguridad para descubrir vulnerabilidades en dispositivos electrónicos y mejorar su seguridad, pero también por atacantes para acceder a sistemas o información protegida.

El hardware hacking puede involucrar la manipulación física de componentes electrónicos, la ingeniería inversa de circuitos y dispositivos, la soldadura de componentes, la creación de interfaces personalizadas y la extracción de datos de dispositivos de almacenamiento. Todas estas técnicas requieren conocimientos especializados en electrónica y programación, y pueden ser peligrosas si no se realizan con cuidado, ya que pueden dañar los dispositivos que se deseen analizar o poner en peligro la seguridad de la persona que lo realiza.

En el hardware hacking también se utilizan técnicas asociadas al hardware forense como parte del proceso de ingeniera inversa sobre componentes electrónicos de un dispositivo. Esto significa que se utilizan herramientas y técnicas especializadas para recuperar, analizar y preservar datos de dispositivos electrónicos. Esto puede incluir la extracción de datos de discos duros, el análisis de datos en la memoria RAM y la recuperación de datos eliminados.

Sin lugar a dudas, estas técnicas más específicas son importantes a la hora de investigar delitos informáticos. Por ejemplo, en casos donde es necesario obtener datos de un dispositivo para la investigación, para recuperar de datos perdidos debido a fallos de hardware o software, o cuando la utilización de las técnicas del hardware forense deben seguir las normas y procedimientos adecuados para garantizar la integridad y autenticidad de los datos recuperados, y evitar la alteración de la evidencia digital.

A la hora de analizar un dispositivo electrónico es necesario estudiar su funcionamiento y cada una de las partes que lo componen, pero es un hecho que cada dispositivo electrónico tiene su propia naturaleza y estructura de funcionamiento. Si bien el objetivo de este artículo no es abordar todas las posibles variantes tecnológicas que existen y sus técnicas de análisis asociadas, es un hecho que hoy día la mayor parte de dispositivos electrónicos contienen componentes comunes. Un ejemplo de estos componentes comunes son los microcontroladores, que a través del firmware se encargan de controlar y administrar la operabilidad de los dispositivos electrónicos y también gran parte de sus funciones.

Siguiendo en esta línea, a continuación veremos algunas cuestiones vinculadas al análisis del firmware de microcontroladores que son fundamentales a la hora de aplicar hardware hacking.

Para qué extraer y analizar el firmware de un dispositivo

Un firmware es un programa que se ejecuta de manera dedicada y con un propósito específico en un microcontrolador o microprocesador. Generalmente, se almacena en un dispositivo de memoria persistente, como una NAND/NOR flash o EEPROM, y el proceso de extracción implicara leer y copiar la imagen del firmware almacenada en la memoria del dispositivo a un archivo en nuestra computadora.

Este proceso de extracción de la imagen del firmware también se denomina dumping o snarfing y es de vital importancia para comprender cómo funciona un dispositivo, ya sea un disco duro, un router, una cámara IP o cualquier otro dispositivo que utilice microcontroladores (algo que ocurre en la mayoría de dispositivos electrónicos).

En este sentido, extraer y analizar la imagen del firmware del microcontrolador de un dispositivo electrónico nos permite comprender su funcionamiento y por lo tanto, nos ayuda en nuestro objetivo de estudio que, como dijimos anteriormente, puede ser desde detectar vulnerabilidades, mejorar o cambiar el comportamiento del dispositivo, entre otras.

Técnicas para extraer el firmware de un dispositivo

Para la extracción del firmware de un dispositivo electrónico se pueden utilizar varias técnicas. Antes de decidir que vía tomar para comenzar este proceso, uno de los puntos esenciales es asegúrese de que la imagen del firmware no esté disponible en el sitio web del fabricante.

Muchos fabricantes de dispositivos publican imágenes de firmware actualizadas en sus sitios web para que los clientes puedan descargar y actualizar el dispositivo. En este caso, el esfuerzo para extraer el firmware es nulo, ya que no tendremos que hacer otra cosa que descargarlo del sitio web del fabricante.

Ahora bien, una vez que tenemos acceso físico al dispositivo, una técnica para extraer el firmware es leer directamente la memoria de almacenamiento del dispositivo. Para ello podemos identificar el chip de memoria de la placa, retirarlo, soldarlo en otra placa y extraer el firmware. Si bien funciona, puede ser bastante engorroso y quizás un poco arriesgado, ya que existe la posibilidad de quemar el chip de memoria durante el proceso de extracción.

Una técnica menos riesgosa es leer la memoria de almacenamiento del dispositivo a través de una conexión al gestor de arranque o al sistema operativo del dispositivo. Por ejemplo, con acceso al gestor de arranque (a través de una conexión serie), podemos intentar leer la memoria del dispositivo y enviar los datos a nuestra máquina. Asimismo, con acceso a una terminal de línea de comandos en el sistema operativo (serial, ssh, etc.) y con privilegios, podemos intentar volcar la memoria de almacenamiento del dispositivo y enviarla a nuestra máquina.

Como podemos observar, dependiendo de la situación se pueden utilizar diferentes técnicas para extraer el firmware de un dispositivo. Si ninguna de estas técnicas es viable, la interfaz JTAG puede ser nuestra mejor aliada. A continuación explicamos qué es esta interfaz.

Extracción de firmware de dispositivos usando JTAG:

JTAG (Joint Test Action Group) es una interfaz de hardware físico que permite, entre otras cosas, extraer la imagen del firmware de los dispositivos electrónicos. Fue creada en 1985 para reemplazar a los antiguos sistemas de testing para las placas de circuitos impresos (PCB), conocidos como bed-of-nails, y es parte del estándar IEEE 1149.1 para probar las placas de circuito impreso durante el proceso de fabricación.

Con el tiempo, JTAG se ha convertido en una de las interfaces más populares para probar circuitos electrónicos. También fue añadiendo otras funciones, como la depuración y la grabación de dispositivos flash. Actualmente, esta interfaz está disponible en la mayoría de los procesadores y microcontroladores de diferentes arquitecturas, como ARM, x86, MIPS y PowerPC.

Cómo funciona la interfaz JTAG

Ahora bien, veamos a continuación un poco más en detalle cómo funciona la interfaz JTAG a bajo nivel .

Aunque hay algunas variaciones del estándar, los fabricantes de los chips suelen implementar la interfaz JTAG a través de cuatro pines obligatorios (TDI , TDO , TCK , TMS) y un pin opcional (TRST):

• TDI (Entrada de datos de prueba): entrada de datos.
• TDO (Test Data Out): salida de datos.
• TCK (Test Clock): reloj cuya frecuencia máxima depende del chip (normalmente de 10MHz a 100MHz).
• TMS (Test Mode Select): pin para controlar la máquina de estado JTAG.
• TRST (Test Reset): pin opcional para resetear la máquina de estados JTAG.

Los pines de la interfaz JTAG están conectados internamente al chip a través de un módulo llamado TAP (Test Access Port).

La interfaz TAP implementa el protocolo de comunicación JTAG básico y varios TAP se pueden conectar simultáneamente en una arquitectura de tipo Daisy Chain.

Diagrama basico de la arquitectura JTAG. Fuente: Corelis

La interfaz TAP implementa una máquina de estados finitos (16 estados) que permiten acceder a un grupo de registros (IR, DR) para instrumentar el chip. El control de esta máquina de estados se realiza a través de los pines TMS y TCK. A través de esta máquina de estados, es posible seleccionar una operación a través del registro IR (Registro de Instrucciones) y pasar parámetros o verificar el resultado a través del registro DR (Registro de Datos).

Diagrama de estados en la arquitectura JTAG. Fuente: Corelis

Normalmente el fabricante del chip define el tamaño del registro IR y el número de instrucciones admitidas. Por ejemplo, un registro IR de 5 bits admitirá hasta 32 instrucciones.

Cada instrucción tiene su propio DR (Data Register), que tiene un tamaño variable. Tres instrucciones están definidas por el estándar JTAG y deben ser implementadas por el fabricante (BYPASS, EXTEST, SAMPLE/PRELOAD). Otras instrucciones son opcionales, pero también suelen implementarse (p. ej., IDCODE).

• BYPASS: instrucción que selecciona un registro de 1 bit que rota de TDI a TDO. Muy útil para probar la interfaz JTAG.
• EXTEST: instrucción que selecciona el BSR (Boundary Scan Register) para leer y cambiar el estado de los pines.
• SAMPLE/PRELOAD: instrucción que selecciona el registro BSR (Boundary Scan Register) para leer el estado de los pines.
• IDCODE: instrucción que selecciona el registro de identificación del dispositivo (32 bits) que contiene la identificación del chip.

Además de las instrucciones definidas por el estándar, el fabricante del chip puede implementar otras instrucciones según sea necesario. De esta forma, muchos fabricantes amplían la interfaz JTAG con funciones de depuración y acceso a memoria.

La información sobre las instrucciones JTAG admitidas y los pines en un chip generalmente se documentan en un archivo llamado BSDL (Lenguaje de descripción de exploración de límites), y también en un subconjunto llamado VHDL (Lenguaje de descripción de hardware).

Qué podemos hacer en la práctica con JTAG

Veamos que podemos hacer en la práctica con esta interfaz sobre el firmware de un dispositivo.

Si bien con JTAG podemos controlar la ejecución del firmware (detener la ejecución, inspeccionar la memoria, configurar puntos de interrupción, ejecutar el código paso a paso, etc). También podemos inspeccionar el estado del procesador y sus registros, leer y escribir en la memoria y acceder a cualquier dispositivo de E/S conectado al procesador.

A través de una función llamada Boundary Scan, la interfaz JTAG permite el acceso a todos los pines del chip y de esta forma podemos leer y escribir individualmente en cada pin y en consecuencia manipular los periféricos conectados al procesador/microcontrolador (GPIO, memoria, flash, etc.).

Concretamente, en la práctica con la interfaz JTAG podemos:

• Identificar información sobre el hardware (procesador, memoria, etc).
• Realizar volcado de la memoria RAM y obtener acceso a datos confidenciales, como contraseñas y claves criptográficas.
• Cambiar el comportamiento de los programas en tiempo de ejecución para obtener acceso privilegiado al sistema.
• Capturar datos confidenciales de dispositivos de hardware, como información almacenada en una EEPROM.
• Activar los periféricos y cambiar su comportamiento, como establecer o restablecer un pin de E/S.
• Y el punto central: volcar la memoria flash para extraer el firmware del dispositivo

Como vemos, la interfaz JTAG es perfecta para inspeccionar la ejecución del firmware, encontrar vulnerabilidades y explotar el dispositivo.

Y si a estas alturas te estas preguntando ¿por qué muchos fabricantes de hardware no eliminan o deshabilitan el acceso a ella si es tan insegura? La respuesta es concreta: porque es muy útil en la etapa de desarrollo y producción de hardware, ya que con este tipo de interfaz los desarrolladores pueden depurar el firmware que se ejecuta en el dispositivo de una manera práctica y sencilla y también pueden utilizarla como herramienta para programar y probar el dispositivos en producción.

Aunque también es un hecho que algunos fabricantes pueden adoptar contramedidas para dificultar el uso de la interfaz JTAG en el producto final, que incluyen ofuscación (como cortar pistas, quitar resistencias, etc.), reconfiguración de los pines JTAG en software, cifrado y validación de firma de la imagen del firmware, muchos otros fabricantes van más allá y deshabilitan por completo la interfaz JTAG a través de unos fusibles (bits internos del chip que, una vez programados, ya no se pueden cambiar). Pese a todas estas medidas, aun así es posible volver a habilitar la interfaz JTAG con técnicas como silicon die attack, lo cual demuestra que la seguridad es siempre una cuestión que está atada al tiempo, conocimiento y los recursos disponibles.

Cómo extraemos un firmware utilizando JTAG

En cuanto a los requisitos para la extracción del firmware utilizando JTAG, en la práctica es importante que tengamos algunos puntos presentes. Si bien esta publicación no incluye una prueba de concepto real, veamos los cuatro principales pasos que debemos tener en cuenta para extraer el firmware de un dispositivo usando JTAG:

1. Identifica los pines de conexión JTAG.
2. Prueba la conexión con un adaptador JTAG.
3. Recopila información sobre el mapeo de memoria del chip.
4. Extrae el firmware de la memoria flash.

Conclusión

Luego de esta introducción al hardware hacking creo que nos queda claro que estamos hablando de un universo amplio que involucra conocimientos interdisciplinarios entre electrónica, programación y otras áreas de conocimiento a fines. También queda claro que está lejos de limitarse al uso de dispositivos electrónicos para llevar a cabo ciberataques.

Si te gustó esta introducción, te alentamos a profundizar en el tema y por qué no, a llevar a la práctica esta información y extraer el firmware.

Fuente:  www.welivesecurity.com

Se trata de un spyware, un tipo de malware que recopila información de un dispositivo y después la comparte con una entidad externa sin el conocimiento o el consentimiento del propietario.

El ‘software’ espía israelí Pegasus se usó en móviles de periodistas, activistas y empresarios de todo el mundo.

Pegasus ya se ha convertido en un viejo conocido de las páginas de noticias sobre ciberseguridad. Según una investigación publicada este domingo, llevada a cabo The Washington Post junto a otros 16 medios de comunicación, con la ayuda de Amnistía Internacional y la organización francesa sin ánimo de lucro Forbidden Stories, este programa fue usado para infiltrar al menos 37 teléfonos móviles que pertenecían a reporteros, activistas de derechos humanos y directores de empresas.

La gravedad del asunto escala cuando se explica quién está detrás, pues la herramienta utilizada para introducirse en los smartphones es un spyware o programa espía de la compañía israelí NSO Group que solo pueden comprar Gobiernos y cuerpos de seguridad del Estado, supuestamente diseñado para perseguir a criminales y terroristas.

¿A qué programas ataca Pegasus?

Pegasus permite escuchar conversaciones, leer mensajes, acceder al disco duro, hacer capturas de pantalla, revisar el historial de navegación y activar por control remoto la cámara y el micrófono de los dispositivos. Funciona incluso con mensajes y llamadas de voz cifradas

Además, decía el Financial Times en 2019 que la empresa israelí aseguraba a sus clientes que era capaz de extraer todos los datos de una persona de las nubes de Apple, Google, Facebook, Amazon y Microsoft.

¿Cómo infecta los teléfonos este spyware?

Este malware aprovecha un fallo de seguridad de WhatsApp para colarse en los dispositivos. Según la propia compañía, el ataque se inicia a través de una llamada perdida de vídeo “que no requería respuesta” en la plataforma.

Según dijo Will Cathcart, directivo de WhatsApp, “ni siquiera era necesario que se descolgase esta videollamada, el usuario recibía lo que parecía una llamada normal que no era tal mediante la cual ya se transmitía un código malicioso que infectaba el teléfono con spyware”.

El software también utiliza una vieja técnica de ingeniería social para introducirse en los dispositivos: el usuario recibe un mensaje tipo SMS llamativo donde se le invita a seguir un enlace. Sí hace clic, Pegasus tendrá vía libre.

Amnistía Internacional y Forbidden Stories tuvieron acceso a una lista de más de 50.000 números de teléfono y los compartieron con los medios de comunicación, que los usaron para su investigación. De esos 50.000 números de teléfono, 37 fueron infiltrados con el programa de software, según la investigación.

¿Qué hizo WhatsApp al respecto?

La banda de ransomware más grande del mundo ha desaparecido de Internet

Una vez detectado el problema, WhatsApp denunció a NSO Group por usar su app para el espionaje de hasta 1.400 personas. Después contactó con el grupo de ciberseguridad canadiense Citizen Lab para que investigara el fallo de la aplicación de mensajería instantánea, facilitándole los números asaltados por el programa ciberespía israelí.

El año pasado, Citizen Lab cifraba en 130 personas las que han sido “víctimas injustificadas” del programa de NSO desde 2016.

Pegasus no es nuevo

Se trata de un polémico software del que se empezó a hablar en 2016, cuando investigadores de Lookout y Citizen Lab descubrieron una amenaza activa que utilizaba varias vulnerabilidades críticas de ‘zero-day’ para iOS.

Pero su trayectoria arranca en 2010, año en el que fue fundada la empresa NSO Group, cuya dedicación es desarrollar sofisticados programas de malware para gobiernos que necesiten apuntar hacia determinados smartphones. Según el discurso oficial, la compañía solo vende su software Pegasus a Gobiernos y cuerpos de seguridad del Estado “para combatir el crimen y el terrorismo”.

Hace un año Pegasus ya dio que hablar: según una investigación llevada a cabo por El País y The Guardian, el teléfono móvil del presidente del Parlament de Cataluña, Roger Torrent, habría sido objeto de espionaje entre los meses de abril y mayo de 2019 -así como el de un centenar de personalidades de la sociedad civil en todo el mundo-.

Torrent declaró que “notaba cosas extrañas” y que se borraban sus mensajes de WhatsApp y los historiales de conversaciones. “A la gente de mi entorno no le pasaba”, comentaba, explicando además que en 2019 también recibió “extraños mensajes SMS”.

Torrent no sería el único en haber sido víctima de Pegasus: según el abogado de Anna Gabrie, exdiputada de la CUP, el móvil de esta también pudo ser ‘hackeado’, y también el de Jordi Domingo, empleado de la Diputación de Tarragona, según acreditaban EL PAÍS y The Guardian. “Me llamó el investigador de Citizen Lab John Scott el pasado octubre para informarme de que mi móvil fue hackeado antes de 2019”, admitía en julio de 2020 este miembro de la Assemblea Nacional Catalana (ANC) y militante del PDCAT.

“No consta que las fuerzas de seguridad del Estado español sean clientes de NSO”, afirmaba El País, que por el contrario indica que la Policía Nacional y el CNI sí contrataron, al menos hasta 2015, a su principal competencia, la compañía italiana Hacking Team, “según 400 gigas de correos internos de esta empresa que afloraron tras un ‘hackeo’ a sus servidores en 2015”

Fuente: www.20minutos.es

Entrevistamos a especialistas en seguridad informática para conocer su opinión sobre la formación en este campo en el que hay escasez de profesionales y que hace falta difundir más.

El crecimiento de los ciberataques a lo largo de los años provocó un aumento de la demanda de profesionales en el campo de la seguridad de la información. Según un informe reciente de Cybersecurity Ventures, el crecimiento de las vacantes en el sector de la ciberseguridad se espera que crezca en un 350% para el 2021. Sin embargo, la escasez de profesionales con las habilidades suficientes para cubrir esa demanda se estima que generará, para ese mismo año, tres millones y medio de vacantes a lo largo del mundo que no serán cubiertas.

Teniendo en cuenta este panorama y pensando sobre todo en los más jóvenes, como parte de la serie sobre educación en seguridad informática que estamos publicando cada lunes de noviembre en conmemoración del Antimalware Day 2019, decidimos consultar a diferentes especialistas que se desempeñan en la industria cómo es que se formaron en este campo, qué tan cierto es que muchos de los profesionales que actualmente se desempeñan en la industria han aprendido de manera autodidacta, si consideran que la oferta académica está alineada con esta creciente demanda y qué opinan sobre la difusión que tiene las carreras y especializaciones este campo de estudio.

¿Una formación que se adquiere de manera autodidacta?

Si bien cada vez más universidades alrededor del mundo ofrecen carreras de grado en seguridad informática, aún no es una titulación que pueda encontrarse en todas las instituciones. Muchos profesionales que se desempeñan en este campo adquirieron sus habilidades a través de certificaciones y de manera autodidacta. Sin embargo, si bien no están lo suficientemente difundidas como deberían si consideramos la demanda, la realidad es que la oferta se está incrementando, aseguran especialistas.

Según nos explica el reconocido investigador de ESET, Aryeh Goretsky, quien comenzó a trabajar en la industria a fines de los años 80, al principio no había cursos ni certificaciones sobre ciberseguridad. “Si bien nos enseñaron seguridad informática, el foco estaba centrado en modelos de control de acceso y en el concepto de asegurar sistemas informáticos para múltiples usuarios; pero no desde una perspectiva más amplia o como un sistema interconectado a nivel global. Por lo tanto, quienes estaban interesados en el concepto de ciberseguridad teniendo en cuenta el comportamiento de computadoras y redes interconectadas comunicadas entre sí, debían aprenderlo por cuenta propia a partir de libros y de la propia experimentación práctica”, explica.

Por su parte, el investigador de malware del laboratorio de ESET de Canadá, Marc Etienne Léveillé, quien estudió desarrollo de software e ingeniería informática, explica que “varias de las cosas que aprendí en la universidad no aplicaban en mi posición como investigador, lo que me llevó a tener que leer y aprender acerca de muchos aspectos de seguridad por cuenta propia”.

Sin dudas que en la actualidad el escenario contribuye enormemente al aprendizaje autodidacta. Esto lo comprobamos con la oferta educativa y de calidad que ofrecen plataformas que ofrecen cursos online masivos y abiertos (MOOC, por sus siglas en inglés) como Coursera, con la posibilidad que ofrecen redes sociales como Twitter para compartir información constantemente y en la que se conectan grandes profesionales con personas deseosas de aprender; además de la cantidad de recursos disponibles en YouTube, sitios web y demás repositorios. “Si bien el aprendizaje por cuenta propia es un camino posible y muchos profesionales en esta industria se formaron de esta manera, no se trata de la única opción”, explica el investigador de ESET Brasil, Daniel Cunha Barbosa. “También es cierto que la comunidad de tecnología y seguridad es cada vez mayor y a un gran porcentaje de la misma le gusta compartir sus conocimientos, lo que permite que los profesionales que recién comienzan consigan tener el apoyo de otros profesionales”, añade.

Sin embargo, pese a la necesidad muchas veces de aprender por cuenta propia muchos aspectos que forman parte de la seguridad y de la labor diaria de los investigadores, varios coinciden en el valor de la formación académica. “Si tuviera que decidir nuevamente qué camino seguir volvería a elegir la universidad, ya que me dio la oportunidad de conocer muchas personas y de participar en distintas actividades extra curriculares”, dice Marc Etienne.

Creció la oferta académica en el campo de la seguridad informática

Dado que los incidentes de seguridad han incrementado con el correr de los años, también el deseo de estandarizar los aspectos pedagógicos de quienes desean formarse en este sector, opina Goretsky. “En general creo que es positiva la amplia oferta educativa que existe actualmente en todos los niveles que hacen a la ciberseguridad, pero también me preocupa la calidad de la educación que se ofrece”, explica. “Necesitamos tanto de profesionales que cuenten con conocimientos teóricos como de perfiles operativos, y necesitamos que todos ellos cuenten con sólidos conocimientos acerca de la construcción de bloques de sistemas complejos. Si bien mucho de esto puede aprenderse, aún es necesario el aprendizaje por cuenta propia para llevar los conocimientos adquiridos a la construcción de estructuras complejas y al desarrollo de ideas, pero no sé si la oferta de posgrados y las certificaciones ofrecen un marco suficiente o limitado que permita obtener una base sólida de los conceptos en ciberseguridad”, añade.

En países como Canadá, la oferta de cursos universitarios en ciberseguridad ha incrementado, cuenta Léveillé. “Ahora hay titulaciones con especializaciones en seguridad informática, mientras que antes la única opción era hacer desarrollo de software o redes informáticas. Igualmente, aún existe una demanda creciente de profesionales que es necesario cubrir en nuestra industria. Quizás, con el esfuerzo de los programas educativos veremos en algunos años una situación más estable”, opina.

Para Cunha Barbosa, “es más positivo que existan programas de especialización y de posgrado que titulaciones en sí, ya que contar con una titulación que le brinda al futuro profesional una base más amplia le permitirá conocer aspectos tecnológicos que van más allá de la seguridad, y eso lo ayudará a convertirse en un profesional más preparado”.

¿Qué tan promocionadas son las carreras en ciberseguridad?

Muchas veces, los jóvenes se enfrentan a un difícil proceso cuando deben decidir qué carrera estudiar. Muchos finalizan la educación secundaria sin tener muy claro qué quieren hacer de sus vidas. Más allá de la multiplicidad de factores que entran en juego y que hacen que este proceso sea difícil, el hecho de no tener información sobre las carreras menos tradicionales hace que los jóvenes no logren vincular sus intereses y gustos personales con un área de formación.

Varios especialistas coinciden en que la visibilidad de las carreras en seguridad es mayor ahora que hace unos años. “Antes era algo que debías descubrir por tu propia cuenta, pero ahora veo muchos más estudiantes interesados en seguridad informática que en mi época de estudiante. Ahora se nota que hay más empresas y escuelas que quieren despertar el interés en los estudiantes”, opina Léveillé.

Por otra parte, “los jóvenes muchas veces se hacen una imagen equivocada acerca de qué es la ciberseguridad y no logran darse cuenta del alcance”, comenta Aryeh Goretsky. Los jóvenes puede que vean como atractiva la imagen del prototipo de un hacker atacando computadoras y adquiriendo fama y dinero, pero lo que hace falta también es explicar que hace la ciberseguridad. “Creo que hay una falta de conciencia a nivel general, ya que la defensa de redes y equipos ante un ataque suele ser una tarea más difícil e intensa que la de atacar esas redes y computadoras. Sin embargo, lo que los medios de comunicación y la industria del entretenimiento transmiten es una imagen sesgada e idealizada del atacante y no de quienes trabajan del lado de la defensa, lo cual distorsiona la visión de lo que es la ciberseguridad”, opina.

La seguridad por diseño: ¿un problema de la formación?

Consultados acerca de si consideran que los contenidos sobre seguridad que se ven durante el proceso de formación los futuros programadores y/o desarrolladores son suficientes para que cuando los profesionales den el salto al mercado laboral estén capacitados para brindar sistemas seguros, para Marc Etienne, “el desarrollo seguro está muy bien enseñado en la actualidad. El problema está en que los desarrolladores necesitan el incentivo para aplicar lo que aprendieron. Los problemas de seguridad en el código deben detectarse durante la revisión del código y deben ser resueltos antes de incluirse en el proyecto. Si los desarrolladores ven que sus códigos siempre son rechazados prestarán más atención y desarrollarán los reflejos apropiados”, opina.

El desarrollo de los profesionales en el campo de la seguridad informática debe ser constante debido a la continua evolución de las amenazas. Si bien en la actualidad existen muchas opciones para desarrollar habilidades suficientes para desempeñarse en este campo, como son las carreras, las especializaciones, las certificaciones e incluso los cursos y el material disponible para estudiar de manera independiente, está claro que no hay una única forma.

Fuente: www.welivesecurity.com

WhatsApp tiene más de 1.500 millones de usuarios a nivel global.

El WhatsApp instalado en celulares Android tiene un error grave: una puerta abierta a que cualquier hacker se haga con el control del teléfono.

Así lo alertó esta semana el Instituto Nacional de Ciberseguridad (INCIBE) español en un comunicado, en el que menciona que la vulnerabilidad se esconde en imágenes con extensión GIF «manipuladas de forma maliciosa» que llegan o son utilizadas en la aplicación.

Estos gif o imágenes en movimiento instalan un código malicioso con el que el atacante podría conseguir tener acceso a información personal de la víctima.

El hacker, avisa el organismo, podría incluso ejecutar funcionalidades como grabar video o audio, leer nuestros mensajes o robar archivos de nuestro celular.

El fallo fue descubierto por un analista de seguridad conocido como Awakened que demostró en su blog cómo funcionaba el error.

«El fallo de seguridad funciona bien para Android 8.1 y 9.0, pero no funciona para Android 8.0 o sus versiones inferiores», dijo.

Cómo solucionarlo

Se recomienda actualizar la aplicación a versiones posteriores a la 2.19.244.

Para ello, accede a través de Play Store o la página oficial de WhatsApp, para descargar la última versión disponible.

1.- Desde la app de Play Store, busca la aplicación ya instalada y a continuación, pulsa sobre el botón «Actualizar».

Esta es la opción más sencilla.

Así se actualiza la app desde la tienda de Google.

2.- Desde la web, debes acceder a la opción «Descargar» que encontrarás en el menú principal de la página web.

Una vez allí selecciona tu dispositivo, en este caso Android.

A continuación, pulsa en el botón «Descargar Ahora» y ejecuta el archivo .apk, para iniciar la instalación.

Whatsapp también se puede actualizar desde la web.

Facebook, propietario de WhatsApp desde 2016, contestó en una nota que «no tenemos razones para creer que usuarios fueron afectados por este fallo. Siempre estamos trabajando en mejores formas para ofrecer actualizaciones de seguridad».

La red social ha lanzado un parche de seguridad que soluciona el error.

A pesar de que los mensajes en WhatsApp están cifrados de extremo a extremo, lo que significa que solo deben aparecer en el dispositivo del remitente o del destinatario, la app sigue siendo vulnerable.

Por eso es buena idea mantenerse al día con todas las actualizaciones de la aplicación, ya que a menudo incluyen ajustes de seguridad, recomiendan los expertos.

Fuente: www.bbc.com

En los mercados ilegales, la información personal es ofertada desde USD 500. Empresas sufren robos de sus bases de datos. Foto referencial: Flickr/Christoph Scholz.

La oferta circula en Internet. ‘Hackers’ y hasta empresas legalmente constituidas ofrecen información de familias enteras. Dicen que los interesados pueden acceder a los nombres de los padres, de los hijos, cédulas, direcciones, correos electrónicos, números telefónicos, remuneración mensual y que solo necesita pagar de USD 500 a USD 1 000 al mes.

Investigaciones ejecutadas al respecto muestran que esas empresas y ‘hackers’ compran las bases de datos en el mercado ilegal, las almacenan y revenden a través de otras compañías, que también están legalmente constituidas.

En el último mes, la Fiscalía investiga dos casos, en los que hay información de millones de ecuatorianos. En el último operativo, realizado la semana pasada, se descubrió que estos archivos se ofertaban a través de suscripciones mensuales.

Quienes contrataban este “servicio” eran empresas, que accedían a información sobre el estado civil de la gente, situación sociodemográfica, árboles genealógicos, números de cédula, profesiones, información laboral, de actividades económicas, salarios que iban entre el 2016 y el 2019.

Para Diego Yépez, gerente de Seguridad y Data Center de CenturyLink, estos datos pueden obtenerse por dos vías.

La primera es legal y consiste en recopilar información que se encuentra almacenada en la base de cualquier institución pública. Por ejemplo, en la Red se puede consultar valores sobre los tributos. Lo único que exige el sitio web es el número de cédula, RUC o nombres de la persona.

Pero la gente también entrega información cuando llena formularios, por ejemplo, para sorteos, cuando publican sus datos en redes sociales o al divulgar sus hojas de vida. Pero las bases también son robadas a través de virus informáticos o la información es comprada ilegalmente. De hecho, los archivos personales descubiertos en el último operativo “evidencian que el origen no es legal”. Esto fue confirmado por un investigador que lleva la causa.

La Agencia de Regulación y Control de las Telecomunicaciones monitorea estos casos.

La semana pasada, la entidad presentó una denuncia en la Fiscalía, para que se investigue a un grupo de “empresas que estarían usando de forma ilegal indicadores personales”.

La transacción web

La compra-venta de las bases de datos se concreta en la denominada Web profunda o Deep Web. A ese espacio solo pueden acceder quienes tienen un cierto grado de especialización en informática. Las transacciones son, por lo general, a través de monedas electrónicas como bitcoins, que por su naturaleza digital son difíciles de rastrear.

Después de concretada la compra, para que la información no pierda vigencia, pues muchos se cambian de casas, adquieren nuevos carros o se divorcian, las firmas pagan por las actualizaciones mensuales.

Quienes están detrás de las actualizaciones son las mismas personas que tienen acceso a las bases de datos de una empresa privada o institución pública de donde se originó la información personal. Este Diario conoció dos casos de empresas que sufrieron el robo de sus bases. Los directivos contaron que las fugas fueron internas. En una compañía, por ejemplo, un empleado se sustrajo la información de la cartera de clientes.

Sin embargo, los directivos no denunciaron. “Eso era más perjudicial. Significa que uno dice: miren nos robaron, porque no pudimos cuidar”, cuenta una ejecutiva. Para evitar este tipo de hechos, el Ministerio de Telecomunicaciones presentó la Ley de Protección de Datos. Las personas que prefieren no pagar mensualmente por los datos, sino tenerlos de forma íntegra y permanente pagan hasta USD 30 000 por todo el paquete ofertado. Pero el robo de información personal no solo es a gran escala.

También hay personas particulares que usan los archivos de otros y los venden. Una persona que repara computadoras en su vivienda, en el norte de Guayaquil, ha logrado recopilar 20 archivos con más de 65 000 contactos. Esta base la oferta en una página de Internet por USD 50.

Dice que es un precio razonable, pero que también tiene paquetes de USD 80 y 100.

Cada carpeta contiene nombres, números de teléfonos, dirección de domicilios y correos electrónicos. “Las he recopilado de las empresas donde reparaba las computadoras. Primero las usaba para ofertar mis servicios. Enviaba correos masivos o a veces llamaba, pero he decidido venderlas”. Las personas que tiene registradas son de las provincias de Guayas, Quito, Cuenca y Santa Elena.

La mayoría son ejecutivos de seguros y funcionarios públicos. Cuando una persona está interesada en la base de datos, él cita en una cafetería o parque. Allí le entrega un ‘pendrive’ de 8GB, pues los archivos ocupan entre 4 y 5 GB. Una de sus carpetas se llama Base de Empresas Ejecutivas. Tiene contactos de personas que trabajan en empresas, en el área de recursos humanos.

En contexto

En septiembre, la firma de seguridad informática vpnMentor reveló una brecha de seguridad que expuso la información de 20 millones de ecuatorianos (incluidos fallecidos). Según su reporte, la brecha ya fue cerrada, pero esta podría haber sido copiada.

Fuente: www.elcomercio.com