La nueva generación de MalSpam, en lugar de una serie de archivos adjuntos maliciosos, contiene solamente una gran cantidad de enlaces que son los que te llevan directamente a los enlaces que te descargarán estos archivos. En el siguiente post te damos los detalles.
El MalSpam se adapta
Según la telemetría recopilada por la firma de ciberseguridad Proofpoint, la mayoría de los correos no deseados (MalSpam) enviados en la primera mitad del año contienen enlaces a archivos maliciosos, en lugar de archivos adjuntos.
Más precisamente, el
85% de todos los malspam enviados en el segundo trimestre de 2019 (abril, mayo
y junio) contenían un enlace a una descarga de archivos maliciosos, en lugar
del archivo malicioso real adjunto al correo electrónico.
Si la mayoría del contenido de malspam enviado en
estos días aprovecha los enlaces maliciosos, esto significa que los operadores
obtienen más clics e infecciones en comparación con la técnica clásica de
adjuntar archivos a correos electrónicos.
«Si bien la razón del dominio continuo de las URL puede deberse a una variedad de factores, es probable que la mayoría de los usuarios finales hayan sido condicionados a sospechar de los archivos adjuntos en correos electrónicos no solicitados. Las URL, por otro lado, son cada vez más comunes en el correo electrónico comercial, ya que regularmente recibimos notificaciones de archivos compartidos y actualizaciones de colaboración por correo electrónico a medida que las organizaciones se trasladan a la nube«, dijo Proofpoint.
Los hallazgos de Proofpoint deberían tener
repercusiones en todo el mercado de ciberseguridad. Las empresas que proporcionan capacitación contra el phishing deben ser
las que tomen notas y adapten los cursos en consecuencia, centrándose en
preparar a los empleados para esta tendencia reciente.
Sin embargo, la educación y capacitación de los empleados ayuda. Y es que un informe anterior de Proofpoint descubrió que el 99% de todos los ataques cibernéticos basados en correo electrónico requieren interacción humana, es decir, que el objetivo abre archivos, hace clic en enlaces o realiza algún otro tipo de acción. Con un poco de capacitación, se puede enseñar a los empleados a reconocer y evitar ser víctimas de estos ataques. Otros hallazgos del Informe de amenazas Proofpoint Q2 2019, publicado a principios de este mes, incluyen:
El 57% de todos los MalSpam usan suplantación de dominio.
El malware basado en botnet fue la carga útil de malware más popular enviada a través de campañas de MalSpam, representando el 37% de todos los correos electrónicos.
El malware de botnet fue seguido por troyanos bancarios (23%), InfoStealers (16%), cargadores de malware (8%), troyanos de acceso remoto (6%) y troyanos backdoor (5%).
Como en los últimos trimestres, el ransomware estuvo prácticamente ausente en el segundo trimestre.
Ursnif representó el 80% de todas las cargas útiles de troyanos bancarios enviados por correo electrónico. Fue seguido por URLZone, The Trick y Dridex.
El ranking de InfoStealer tenía a Pony al frente, seguido de AZORult, Loki Bot y Formbook.
¿Qué es el MalSpam?
MalSpam, o spam malicioso, es un método muy popular y efectivo para enviar correos electrónicos en masa que contengan archivos infectados o enlaces que redirigen a los usuarios a sitios web que contienen éstos kits de explotación.
Hackear el iPhone ha sido considerado durante mucho tiempo una hazaña casi imposible, llevado a cabo por sofisticados estados nacionales solo contra objetivos de mayor valor. Pero un descubrimiento realizado por un grupo de investigadores de Google ha volcado esa idea sobre su cabeza.
Durante dos años por lo menos, alguien ha estado utilizando una rica colección de vulnerabilidades del iPhone de forma vasta y por demás convencional. Han logrado hackear indiscriminadamente miles de iPhones con solo lograr que visiten un sitio web.
El jueves por la noche, el equipo de investigación de seguridad del Project Zero de Google reveló una amplia campaña de piratería de iPhone. Un puñado de sitios web accesibles al público contenía cinco cadenas de exploits, herramientas que vinculan las vulnerabilidades de seguridad, permitiendo que un hacker penetre en cada capa de las protecciones digitales del iOS. Las raras e intrincadas cadenas de código explotaron un total de 14 fallas de seguridad, dirigidas a todo, desde el mecanismo de aislamiento «sandbox» del navegador hasta el núcleo del sistema operativo conocido como Core, finalmente obteniendo el control completo sobre el teléfono.
También se usaron cualquier cosa menos con moderación. Los investigadores de Google dicen que los sitios maliciosos fueron programados para evaluar los dispositivos que los cargaron y, de ser posible, comprometerlos con un poderoso malware de monitoreo. Casi todas las versiones de iOS 10 a iOS 12 eran potencialmente vulnerables. Los sitios estaban activos desde al menos 2017 y tenían miles de visitantes por semana.
«Esto es aterrador«, dice Thomas Reed, especialista en investigación de malware para Mac y dispositivos móviles en la firma de seguridad Malwarebytes. «Estamos acostumbrados a que las infecciones de iPhone sean ataques dirigidos por adversarios del tipo estado-nación. La idea de que alguien estaba infectando todos los iPhones que visitaron ciertos sitios web es escalofriante«.
Un nuevo paradigma
El ataque es notable no solo por su amplitud, sino por la profundidad de la información que podría obtener de un iPhone hackeado. Una vez instalado, podría monitorear los datos de ubicación en vivo, o usarse para tomar fotos, contactos e incluso contraseñas y otra información confidencial del llavero iOS.
Con un acceso tan profundo al sistema, los atacantes también podrían potencialmente leer o escuchar las comunicaciones enviadas a través de servicios de mensajes cifrados, como WhatsApp, iMessage o Signal. El malware no rompe el cifrado subyacente, pero estos programas aún descifran datos en los dispositivos del remitente y del receptor. Los atacantes pueden incluso haber tomado tokens de acceso que se pueden usar para iniciar sesión en servicios como redes sociales y cuentas de comunicación. Reed dice que los usuarios de iPhone víctimas probablemente no hubieran tenido indicios de que sus dispositivos estuvieran infectados.
Google no ha nombrado los sitios web que sirvieron como mecanismo de infección de «pozo de agua», ni ha compartido otros detalles sobre los atacantes o quiénes fueron sus víctimas. Google dice que alertó a Apple sobre sus vulnerabilidades día cero de iOS el 1 de febrero, y Apple las parchó en iOS 12.1.4, lanzado el 7 de febrero. Apple se negó a comentar sobre los hallazgos. Pero según la información que Project Zero ha compartido, la operación es casi seguramente el mayor incidente de piratería de iPhone conocido de todos los tiempos.
También representa un cambio profundo en la forma en que la comunidad de seguridad piensa acerca de los ataques de día cero raros y la economía del hacking «dirigido». La campaña debería disipar la noción, escribe el investigador de Google Project Zero, Ian Beer, de que cada víctima de hacking de iPhone es un «disidente de un millón de dólares«, un apodo dado al activista de derechos humanos de los EAU ahora encarcelado Ahmed Mansour en 2016 después de que su iPhone fue pirateado. Dado que se estimaba que una técnica de pirateo de iPhone en ese momento costaba $ 1 millón o más, hasta $ 2 millones hoy, según algunos precios publicados, los ataques contra disidentes como Mansour se consideraban caros, sigilosos y altamente focalizados como regla.
La campaña de hackeo de iPhone que Google descubrió anula esas suposiciones. Si una operación de hacking es lo suficientemente descarada como para poder hackear indiscriminadamente miles de teléfonos, el hackeo del iPhone no debería ser tan costoso, dice Cooper Quintin, un investigador de seguridad del Laboratorio de Amenazas de la Electronic Frontier Foundation.
«La sabiduría y las matemáticas prevalecientes han sido incorrectas«, dice Quintin, quien se enfoca en el hacking patrocinado por el estado que apunta a activistas y periodistas. «Hemos estado operando en este marco, que cuesta un millón de dólares piratear el iPhone del disidente. En realidad, cuesta mucho menos que eso por disidente si atacas a un grupo. Si tu objetivo es una clase entera de personas y estás dispuesto a hacer un ataque a un pozo de agua, el precio por disidente puede ser muy barato «.
No está claro quién podría estar detrás de la descarada campaña, pero tanto su sofisticación como su enfoque en el espionaje sugieren hackers patrocinados por el estado. Y Quintin argumenta que las tácticas de infección masiva de la campaña implican un gobierno que quiere vigilar a un gran grupo que podría auto-seleccionarse visitando un determinado sitio web. «Hay muchos grupos minoritarios como los uigures chinos, palestinos, personas en Siria, a cuyos respectivos gobiernos les gustaría espiarlos así«, dice Quintin. «Cualquiera de esos gobiernos estaría contento de sacar esta técnica, si llegaran a explotar cadenas de esta magnitud«.
La campaña lleva muchas de las características de una operación de vigilancia doméstica, dice Jake Williams, un ex pirata informático de la NSA y fundador de la firma de seguridad Rendition Infosec. Y el hecho de que persistió sin ser detectado durante dos años sugiere que puede haber estado contenido en un país extranjero, ya que este tipo de datos que viajan a un servidor lejano habría generado alarmas. «Después de dos años sin ser atrapado, no puedo entender que esto haya cruzado las fronteras nacionales«, dice.
Llamada de atención
Los piratas informáticos aún cometieron algunos errores extrañamente aficionados, señala Williams, lo que hace que sea aún más extraordinario que hayan operado tanto tiempo sin ser detectados. El spyware que los piratas informáticos instalaron con sus herramientas de día cero no utilizaba el cifrado HTTPS, lo que potencialmente permitía a otros piratas informáticos interceptar o alterar los datos que el spyware robó en tránsito. Y esos datos se desviaron a un servidor cuyas direcciones IP estaban codificadas en el malware, lo que hizo que fuera mucho más fácil ubicar los servidores del grupo y les resultó más difícil adaptar su infraestructura con el tiempo. (Google cuidadosamente dejó esas direcciones IP fuera de su informe).
Dada la falta de coincidencia entre el software espía crudo y las cadenas altamente sofisticadas de día cero utilizadas para plantarlo, Williams plantea la hipótesis de que los piratas informáticos pueden ser una agencia gubernamental que compró las explotaciones de día cero de un contratista, pero cuyos programadores sin experiencia codificaron el malware dejado atrás en el objetivo iPhones «Este es alguien con un montón de dinero y un oficio horrible, porque son relativamente jóvenes en este juego«, dice Williams.
Independientemente de quién esté detrás de esto, el pirateo masivo no detectado de miles de iPhones debería ser una llamada de atención a la industria de la seguridad, y particularmente a cualquiera que haya descartado el pirateo de iOS como un fenómeno atípico, que probablemente no afecte a alguien cuyos secretos no son Vale un millón de dólares. «Ser objetivo podría significar simplemente haber nacido en una determinada región geográfica o ser parte de un determinado grupo étnico«, escribe Beer de Google. «Todo lo que los usuarios pueden hacer es ser conscientes del hecho de que la explotación masiva aún existe y comportarse en consecuencia; tratar sus dispositivos móviles como parte integral de sus vidas modernas, pero también como dispositivos que, cuando se ven comprometidos, pueden cargar todas sus acciones en una base de datos para potencialmente ser utilizado contra ellos «.
La seguridad informática se ha convertido en el eje central de todas las empresas que manejan grandes cantidades de datos. Esto, a raíz del gran crecimiento que ha tenido los ciberataques a nivel mundial. Hoy una nueva víctima ha aparecido y se trata del Banco Central Europeo (BCE), según una declaración emitida por ellos mismos. La noticia alertó a todos sus clientes y desde luego a toda la comunidad que trabaja en esa entidad.
El Banco Central
Europeo es víctima de hackeo
El Banco Central Europeo confirmó que haber sufrido de una violación de seguridad que involucró a atacantes que inyectaron malware conduciendo así a una posible pérdida de datos. Esta declaración fue publicada el 15 de agosto y dejo constancia de como los piratas informáticos lograron infringir la seguridad del sitio web del Diccionario Integrado de Informes (BIRD) de sus bancos. Según han dicho, este sitio fue atacado en diciembre de 2018 pero la brecha no pudo ser descubierta sino meses más tarde mientras se hacían trabajos de mantenimiento.
A pesar de que el sitio web de BIRD es de suma
importancia y relevancia, ya que proporciona a la industria bancaria detalles
de cómo producir informes estadísticos de supervisión, por fortuna físicamente
se encuentra separado de cualquier otro sistema del banco central europeo tanto
interno como externamente. Esto permitió que al momento del descubrimiento del
problema se pudiera aislar la parte afectada sin que existiera la posibilidad
de un daño extremo a los datos de los usuarios.
Sin embargo, al confirmarse el cierre del sitio web BIRD,
los encargados de reportar el fallo para BCE revelaron que los datos personales
de algunos suscriptores del boletín BIRD pudieron ser plagiados. Esos datos,
que afectaron a 481 suscriptores, incluían nombres, títulos de posición y
direcciones de correo electrónico, pero no contraseñas, según el BCE, banco que
se ha mantenido en total comunicación con personas cuyos datos pueden haber
sido comprometidos.
Ningún sistema interno del BCE ni datos sensibles al mercado
se vieron comprometidos según la declaración.
El banco también agregó: «hemos informado al Supervisor Europeo de
Protección de Datos sobre la violación».
Tom Draper, el líder de tecnología y práctica cibernética en el equipo de gestión de riesgos Gallagher, dijo que el ataque al BCE parece haber sido causado por una violación del servidor de un proveedor. «Similar a la violación de Capital One a principios de este verano», continuó Draper, «esto demuestra aún más las exposiciones asociadas con terceros fuera del equipo de seguridad de una empresa».
El BCE también
sufrió una violación de datos en 2014.
En una declaración publicada el 24 de julio de 2014, el BCE dijo que una base
de datos que sirve a su sitio web público había sido hackeada. Esa declaración
confirmó que se envió un correo electrónico anónimo al BCE en busca de una
compensación financiera por los datos. Si bien la mayoría de los datos estaban
encriptados, partes de la base de datos incluían direcciones de correo
electrónico, algunas direcciones y números de teléfono que no estaban
encriptados. La base de datos también contiene datos sobre descargas del sitio
web del BCE en forma cifrada.
La conclusión de esta declaración terminó con la típica frase “El BCE toma la seguridad de los datos muy en serio”. Un lema que se está volviendo demasiado común en muchos sectores de la industria a medida que las violaciones de seguridad llegan a los titulares. Tan solo este año han sucedido más de tres ciberataques al sistema financiero lo que nos hacen pensar que realmente no están haciendo lo suficiente para mantener los datos de los usuarios seguros.
La ciberseguridad es un tema que ha dado mucho de qué hablar en los últimos meses, esto gracias al crecimiento acelerado en la comunidad de hackers. Estos han causado una gran cantidad de estragos a empresas grandes y pequeñas a nivel mundial, sin contar los robos de identidad de los que han sido víctimas millones de personas. Los fallos pueden hallarse en cualquier parte según demuestra un grupo de investigadores que recientemente encontró un hueco en las conexiones Bluetooth que les está permitiendo a los hackers interceptar la conexión entre dos dispositivos móviles.
En uno de los simposium de seguridad informática que ofrece USENIX cada año, un grupo de investigadores han descubierto la existencia de un hueco o punto ciego en donde los hackers están haciendo de las suyas. Ya actualmente sabemos de estos agujeros de conejos en diversas aplicaciones y sistemas de computación. Pues bien, ahora el turno fue para las conexiones de Bluetooth.
Al día de hoy, imaginamos que todas las personas han
oído hablar y han usado dispositivos con conexión Bluetooth. Estas conexiones
permiten que se pueda trasmitir voz y datos por medio de un sistema de
radiofrecuencia muy segura siendo hasta ahora su máximo alcance de 100 metros y
menor alcance 1 metro según el sistema de conectividad que poseas. Todos los datos
que transmite un sistema Bluetooth lo hace a través de estas ondas de radio a
baja potencia a una frecuencia de unos 2.4Ghz. Su uso, que en un principio
comenzó para grandes industrias, científicos y médicos muy pronto pasaría a ser
adoptado por el resto del mundo permitiendo así que todos tengamos al alcance
al menos un dispositivo electrónico con este tipo de conectividad.
Es allí donde la gravedad de este descubrimiento toma
forma, pues el agujero encontrado en la conexión de Bluetooth está permitiendo
que los hackers tengan acceso a las conexiones entre dos o más dispositivos. Se
trata de un ataque de máximo nivel que
hace que sea sumamente sencillo descubrir contraseñas, entrar a la conexión y
robar toda la información que los usuarios estén intentando compartir en ese
momento. Dicho esto podemos afirmar que este error puede estar afectando el
100% de los dispositivos móviles a nivel mundial así como otros tipos de
gadgets y coches inteligentes.
A esta vulnerabilidad la han denominado KNOB (Key Negotiacion of Bluetooth) y fue descubierta por investigadores del CISPA (Centro de Seguridad de TI, Privacidad y Responsabilidad) y se logró divulgar de forma masiva por personal calificado de empresas como Apple, Microsoft, Cisco e Intel.
En este momento Bluetooth
SIG ha reconocido públicamente la existencia de esta vulnerabilidad y han
aclarado que se encuentran trabajando en solucionar el problema. Sin embargo,
también han indicado que se trata de un conflicto que tomara algo de tiempo
solventar.
Las estrategias de phishing siguen haciendo de las suyas. Esta vez, un grupo sospechoso de piratería patrocinado por el estado terrorista (estados que colaboran con el terrorismo: Corea del Norte, Irán, Sudán y Siria) intentó infiltrarse en empresas de servicios públicos estadounidenses en julio, según informaron los investigadores de Proofpoint Michael Raggi y Dennis Schwarz.
Entre el 19 y el 25 de julio, se enviaron correos electrónicos de phishing (estrategia de robo de identidad) a tres compañías estadounidenses responsables de proporcionar servicios públicos al público. El remitente de los correos se hacía pasar por una junta de licencias de ingeniería, el Consejo Nacional de Examinadores de Ingeniería y Topografía de EE. UU. El mensaje intentaba generar pánico, pues señalaba que la compañía que recibía el mensaje había reprobado un examen de seguridad emitido por este organismo.
Inducir el pánico es una
técnica común de los correos de phishing. Si un objetivo está asustado, es más
probable que siga las instrucciones de un correo electrónico de phishing sin
pensarlo detenidamente.
El mensaje incluía un documento adjunto de Microsoft Word, llamado Result Notice.doc, que utilizaba macros incrustadas para generar código malicioso en un sistema receptor. Cuando los investigadores examinaron la IP descubrieron que se trataba de todo un grupo de dominios utilizados para suplantar a otras agencias de ingeniería y licencias eléctricas en los Estados Unidos. Aunque solo determinaron que el dominio original, nceess [.] Com, está activo en las campañas de phishing actuales.
El malware que venía con los
macros del archivo adjunto, se conoce como LookBack, y se inicia a través de
GUP.exe y libcurl.dll.
“LookBack es un troyano de acceso remoto (RAT), escrito en C ++, que puede ver datos del sistema, ejecutar shellcode, manipular, robar y eliminar archivos, tomar capturas de pantalla, eliminar procesos, mover y hacer clic con el mouse sin interacción del usuario, forzar una PC infectada para reiniciar a su antojo y eliminarse de una máquina”, reseña el medio ZDNet.
Pero LookBack puede hacer
más, es capaz de crear un canal C2 y un proxy para filtrar y enviar información
del sistema al servidor del atacante.
De momento no se puede
presumir que un grupo patrocinado por el estado busca interrumpir las
utilidades y servicios públicos centrales. La evidencia es que el malware no se
ha asociado activamente con ningún APT anteriormente y «no se
identificaron superposiciones adicionales de infraestructura o código para
sugerir una atribución a un adversario específico”, señalaron los investigadores.
Sin embargo las macros
utilizadas proporcionan una pista de estas actividades fraudulentas, y son sorprendentemente
similares al código utilizado en los ataques japoneses con campañas APT
en 2018.
«Creemos que este puede ser el trabajo de un actor APT patrocinado por el estado basado en superposiciones con campañas históricas y macros utilizadas», dice Proofpoint. «La utilización de esta metodología de entrega distinta junto con el malware LookBack único resalta las continuas amenazas que representan los adversarios sofisticados para los sistemas de servicios públicos y los proveedores de infraestructura crítica».
El plan de Facebook de moderar el contenido en
Whatsapp permitirá una puerta trasera de cifrado en dicha aplicación. Esta idea,
aunque parece tener razones favorables en materia de seguridad, no deja de ser
una amenaza para el encriptado de la información que tenemos en nuestros
dispositivos. Además, esto supone una oportunidad para que los distintos gobiernos
puedan espiar de manera voluntaria llamadas y mensajes de cualquier usuario con
o sin su consentimiento.
Dicho esto, ¿estamos entonces ante una aplicación ya
no segura o por el contrario, la decisión de Facebook marcará un punto
favorable contra el terrorismo y el espionaje de piratas informáticos? En el
siguiente post decimos como Whatsapp incluirá moderación de contenido.
En la visión de Facebook, el propio cliente de cifrado
de extremo a extremo, como Whatsapp, incluirá moderación de contenido
incrustado y algoritmos de filtrado de listas negras. Estos algoritmos se
actualizarán continuamente desde un servicio central en la nube, pero se
ejecutarán localmente en el dispositivo del usuario, escaneando cada mensaje de
texto sin formato antes de enviarlo y cada mensaje cifrado después de
descifrarlo.
La compañía incluso señaló que cuando detecte
violaciones, tendrá que transmitir silenciosamente una copia del contenido
encriptado anteriormente a sus servidores centrales para analizar más a fondo,
incluso si el usuario se opone, actuando como un verdadero servicio de escuchas
telefónicas.
El modelo de Facebook omite por completo el debate
sobre el cifrado al globalizar la práctica actual de comprometer dispositivos
mediante la construcción de esos desvíos de cifrado directamente en los propios
clientes de comunicaciones y desplegar lo que equivale a escuchas telefónicas
basadas en máquinas a miles de millones de usuarios a la vez.
Una vez que esto esté en su lugar, es fácil para el
gobierno exigir que Facebook agregue otro filtro, uno que busque las llamadas o
mensajes que les interesan, y alertarlos cuando se active. Por supuesto,
existirán alternativas como Signal para aquellos que no quieren estar sujetos a
la moderación de contenido de Facebook, pero ¿qué sucede cuando esta tecnología
de filtrado está integrada en los sistemas operativos?
El problema es que si el modelo de Facebook tiene
éxito, solo será cuestión de tiempo antes de que los fabricantes de
dispositivos y los desarrolladores de sistemas operativos móviles incorporen
herramientas similares directamente en los propios dispositivos, haciendo que
sea imposible escapar. Incrustar herramientas de escaneo de contenido
directamente en los teléfonos permitiría escanear todas las aplicaciones,
incluidas aquellas como Signal, y terminaría efectivamente la era de las
comunicaciones encriptadas.
Medios como The
Guardian han informado que agencias de inteligencia británicas
estadounidenses y de otros países de habla inglesa han concluido una reunión de
dos días en Londres, en medio de llamados a espías y policías para que tengan
acceso especial a través de la puerta trasera de Whatsapp y otras
comunicaciones encriptadas. La reunión de las naciones del Reino Unido, Estados
Unidos, Australia, Canadá y Nueva Zelanda fue organizada por el nuevo
secretario del Interior, Priti Patel, en un esfuerzo por coordinar los
esfuerzos para combatir el terrorismo y el abuso infantil.
Un investigador reveló que la plataforma de juegos Steam tenía una vulnerabilidad grave que podía secuestrar el sistema de los usuarios. A pesar de que Valve, los creadores de Steam, pidieron que no se publicara esta información, el investigador de todos modos lo hizo.
Steam, abastece a aproximadamente 90 millones de usuarios en todo el mundo, pero los principales afectados serían los usuarios de Windows, según el investigador Vasily Kravets. El especialista detalló que la falla al sistema de seguridad era bastante simple: Steam Client Service incluye una configuración que permite a cualquier usuario del grupo «Usuario» iniciar y detener el servicio. No parece ser un problema serio, sin embargo, con un examen más detallado se descubrieron algunos hallazgos “extraños”.
Las claves y subclaves de «Usuario» del cliente
heredan conjuntos completos de permisos de lectura / escritura para la carpeta
de instalación. Así que solo fue necesario tomar el control de una clave para lanzar
un ataque de escalada de privilegios y crear un exploit. Con esto, es posible
instalar cualquier tipo de programa de altos privilegios en una computadora
Windows que tenga Steam instalado.
El 15 de junio, el investigador informó a la compañía a
través de la plataforma de recompensas de errores HackerOne acerca de la
vulnerabilidad. Adjuntó un archivo ejecutable de prueba de concepto (PoC) para
completar su informe. No obstante, Steam de Valve rechazó el informe y no dio
la recompensa argumentando que el ataque «requeriría la capacidad de
colocar archivos en ubicaciones arbitrarias en el sistema de archivos del
usuario».
Kravets impugnó la decisión y esta vez reenvió el informe al
equipo de Seguridad de Steam, pero recibió la misma respuesta, solo que esta
vez agregaron que para que se genere un ataque también se necesitaba acceso
físico al dispositivo de un usuario.
Así que Kravets informó a HackerOne que luego del plazo establecido de 45 días divulgaría el informe acerca de la vulnerabilidad. HackerOne dijo al investigador que no tenía permitido hacerlo, pero el investigador publicó sus hallazgos de todos modos.
«Entonces, dos semanas después de mi mensaje, que fue enviado el 20 de julio, aparece una persona que me dice que mi informe fue marcado como no aplicable, cerraron la discusión y no me ofrecieron ninguna explicación«, dijo Kravets. «Además, no querían que revelara la vulnerabilidad. Al mismo tiempo, ni siquiera había una sola palabra de Valve«.
Cuando el informe se hizo público, Kravets recibió un mensaje que decía «Valve no va a arreglar algo que han determinado que es N/A [no aplicable]«. Y para sumar peso a la existencia de esta vulnerabilidad, más tarde Matt Nelson descubrió la misma falla y publicó un PoC en GitHub.
En el marco de los informes, Steam Beta se actualizó con una solución para un «exploit de escalada de privilegios utilizando enlaces simbólicos en el Registro de Windows«. Sin embargo, no se ha pronunciado ni ha reconocido la vulnerabilidad.
Kravets por su parte va un poco más lejos y considera que la
minería oculta en el juego es una estrategia pensada con alevosía. Considera
que las amenazas de este juego seguirán ejecutándose sin que los usuarios cedan
sus derechos.
Los investigadores afirman que cuatro aplicaciones móviles
populares que ofrecen servicios de citas y encuentros representan un riesgo de
seguridad latente porque revelan la ubicación precisa de los usuarios.
¿Te imaginas estar buscando a tu media naranja y que en su lugar llegue hasta tu domicilio un psicópata obsesionado contigo? O peor aún, ¿ser víctima de algún crimen de odio por utilizar una app insegura?
Esta semana, Pen Test Partners dijo que las famosas apps (aplicaciones móviles) Grindr, Romeo y Recon han estado filtrando la ubicación precisa de los usuarios y que ha sido posible desarrollar una herramienta capaz de cotejar las coordenadas GPS expuestas.
Además, el equipo de Pen Test Partners dijo que la app 3Fun tenía la «peor seguridad para cualquier aplicación de citas que hayamos visto«. Descubrió que esta app no solo estaba filtrando las ubicaciones de los usuarios, sino que también dejaba en evidencia fechas de nacimiento, preferencias sexuales, imágenes y datos de chat.
Trilateración de datos
En 3Fun, Grindr, Romeo y Recon, el equipo pudo precisar cuál era la ubicación de los usuarios mediante el uso de suplantación de identidad y trilateración por GPS: el uso de algoritmos basados en la longitud, la latitud y la altitud para crear tres puntos mapa de la ubicación de un usuario.
«Al proporcionar ubicaciones falsas (latitud y longitud) es posible recuperar las distancias a estos perfiles desde múltiples puntos, y luego triangular o trilaterar los datos para devolver la ubicación precisa de esa persona«, señala el equipo de Pen Test Partners.
Para explicar mejor el problema, los investigadores realizaron pruebas donde identificaron fácilmente a usuarios que estaban posicionados permanentemente en la Casa Blanca, así como en 10 Downing Street, la residencia y la sede del Primer Ministro del Reino Unido. ¡Cosas por las cuales los paparazzi podrían volverse locos!
Pero se pone peor. Dado que las aplicaciones informan la orientación sexual de los suscriptores (y en el caso de Grinder, toda la audiencia pertenece a la esfera gay y bisexual), la funcionalidad también podría usarse con fines discriminatorios, especialmente en aquellos países que tienen leyes que suprimen la libertad sexual.
Este problema de seguridad abarca a 10 millones de usuarios alrededor del mundo. Esta, por ejemplo, fue una de las imágenes presentadas por los investigadores en el caso de la ciudad de Londres.
Por su lado, en Arabia Saudita, donde todavía la comunidad LGBT+ es repudiada, se puede ver en el mapa la ubicación de las personas con estas preferencias sexuales, lo cual es muy peligroso.
En muchos casos, se encontraron ubicaciones de ocho
decimales en latitud / longitud, lo que sugiere que se almacenan datos GPS de
alta precisión en los servidores. Los investigadores notificaron la falla a los
desarrolladores de las apps.
Romeo respondió dentro de los siete días y dijo que ya están poniendo a disposición una función que permite a los usuarios moverse dentro de una posición aproximada en lugar de utilizar el GPS. Recon dijo que los usuarios pueden solucionar esto moviendo la cuadrícula de su ubicación. Grindr no respondió a la divulgación. 3Fun trabajó con los investigadores y solicitó asesoramiento sobre cómo bloquear la fuga de datos.
Según los investigadores, el riesgo para la privacidad podría limitarse utilizando coordenadas menos precisas y adoptando una serie de medidas técnicas que pueden evitar la recuperación automática de estos datos a través de las API de la aplicación.
Las violaciones de datos pueden ocurrir en cualquier momento incluso en las instituciones financieras que más confías. Desde hace poco, los piratas informáticos buscan robar tus datos más confidenciales, como números de tarjetas de crédito y débito, datos del Seguro Social, su fecha de nacimiento, dirección y más, para subastarlo en internet. Tal vez no estés al tanto de lo sucedido, pero aquí te compartimos algunas de las más importantes violaciones de datos que han ocurrido hasta la fecha.
Las violaciones de datos que han ocurrido hasta la fecha en EEUU
A mediados de mayo de 2017, los piratas informáticos robaron nombres de clientes, números de la Seguridad Social, fechas de nacimiento y direcciones en un hackeo a Equifax que duró tres meses. Alrededor de 143 millones de personas fueron afectadas. No está claro qué hicieron los piratas informáticos con los datos durante ese tiempo. La compañía estima que la mitad de la población estadounidense se vio afectada, aunque no hay afectados internacionales.
Marriott
Entre 2014 y 2018 un malware infectó los sistemas de seguridad de Starwood Hotels, que incluyen Sheraton, W Hotels, Westin, Le Meridien, Four Points by Sheraton, Aloft y St. Regis. En 2016, el grupo de hoteles Marriott adquirió Starwood, y descubrió y reveló la campaña de hackeo a la cadena Marriot, de cuatro años que atacó la base de datos de reservas de Starwood. 383 millones de personas que se hospedaron en estos hoteles fueron afectadas.
Facebook
Uno de los escándalos más polémicos es el de Cambridge Analytica de Facebook. El popular sitio de redes sociales fue engañado por investigadores que obtuvieron acceso a los datos de los usuarios de Facebook. Los investigadores utilizaron estos datos para anuncios políticos durante las elecciones presidenciales de 2016 en Estados Unidos. Alrededor de 87 millones de personas fueron afectadas.
Anthem
En
una inflitración a Anthem Insurance, los hackers cambiaron los nombres, las
fechas de nacimiento, la identificación, los números de la Seguridad Social,
las direcciones y más de casi 80 millones de empleados actuales.
Yahoo!
Entre 2013 y 2014, Yahoo! sufrió un ataque que se tradujo en el robo de información de más de 500 millones de usuarios. Para ese momento, sería reseñado como el mayor robo de datos de la historia. Yahoo! aumentó lentamente el número, pero informó en 2017 que ninguna de sus 3 mil millones de cuentas había salido ilesa en la violación original. Actualmente son 3.000 millones de nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas cifradas y preguntas de seguridad sin cifrar. El culpable fue un hacker ruso de 23 años llamado Karim Baratov.
Si alguna de tus cuentas se ve comprometida en una violación de datos, debes tomar tus propias medidas de seguridad antes de que las empresas comprometidas publiquen la línea a seguir. Esto, porque la mayoría de las empresas no quieren admitir que han sido hackeadas y a veces hacen el anuncio demasiado tarde.
La seguridad en internet parece haber quedado en el
pasado. Por más que se han los esfuerzos por parte de las empresas de seguridad
informática, los ciberdelincuentes siguen haciendo de las suyas y de hecho se
reproducen tan rápido como las cucarachas. Hace poco el grupo de servicios de
información en línea ZDNet informó como
más del 75% de los registros electorales de los chilenos quedan expuestos en
Internet. Esto significa que casi
toda la población de Chile fue vulnerada en lo que representa un súper
ataque cibernético contra esta país sudamericano.
La información electoral de más de 14.3 millones de
chilenos, que representa casi el 80% de la población total del país, quedó
expuesta y se filtró en Internet dentro de una base de datos de Elasticsearch. ZDNet
se enteró del servidor con fugas a través de un miembro del equipo de investigación
de Wizcase, quien le pasó la IP del servidor a este reportero días atrás, para
identificar la naturaleza y la fuente de la fuga.
ZDNet ha confirmado la validez y precisión de esta información con varias de las personas cuyos datos estaban contenidos en la base de datos con fugas. “Descubrimos que la base de datos contenía nombres, domicilios, género, edad y números de identificación fiscal (RUT o Rol Único Tributario) de unas 14.308.151 personas. Una gran muestra fue revisada dándole veracidad a los datos expuestos”. Así lo señaló el miembro del equipo de ZDNet.
Por otra parte, a pesar de que un portavoz del
Servicio Electoral de Chile también conocido como (Servel) también confirmó la
autenticidad de los datos; este, negó que exista un servidor con fugas.
Tanto las fuentes privadas como el portavoz de Servel indicaron que los datos almacenados en el servidor Elasticsearch, alojado en la red de un proveedor de alojamiento de Estados Unidos tienen al menos dos años. «La información mencionada corresponde a los datos de 2017«, dijo el portavoz de Servel a ZDNet.
Cuando el portavoz de Servel fue consultado si la agencia había permitido el acceso de terceros a sus datos para crear aplicaciones relacionadas con las elecciones, Servel dijo que «el acceso a los datos críticos del servicio no se otorga a contratistas externos«.
La agencia dijo que las leyes de Chile tienen la tarea
de mantener los datos actualizados y proporcionar una interfaz a través de la
cual los votantes puedan verificar la validez o actualizar su información
electoral. Esto se puede hacer a través de aplicaciones móviles o el sitio web
oficial de Servel. Además agrego que cree que hubo personas que borraron esta
información de su sitio web y luego la reunieron en bases de datos como la que
ZDNet informó a la agencia.
A pesar de esto, el equipo de Wizcase publicó su propio informe sobre el servidor con fugas en su blog. Los investigadores de WizCase evaluaron que el servidor contenía datos de casi todos los adultos chilenos, incluidos los políticos de alto perfil.