A pocas horas del cierre del año terminamos con un especial en el que
repasamos lo sucedido en materia de ciberseguridad en 2019. Una
selección ya clásica en nuestro blog de seguridad informática donde -de
paso- aprovechamos para desear a todos nuestros lectores salud y prosperidad para el año que comienza.
2019 ha confirmado todo lo negativo que vimos el año pasado en materia de seguridad, comenzando con una enorme fuga de datos
causadas tanto por ciberataques como por las prácticas indeseables de
algunas compañías en la búsqueda de un mayor beneficio económico sin la
debida transparencia, controles y en definitiva seguridad. Los datos
siguen siendo oro puro en esta era tecnológica y de ahí derivan algunos
de los peores incidentes que hemos visto en 2019.
En cuanto a la introducción del malware, es masivo en todo tipo de plataformas y virus, troyanos y demás especímenes causan estragos a través de ataques conocidos como el phishing o el ransomware,
ambos al alza especialmente en el mercado empresarial. Te dejamos con
algunos de estos incidentes como resumen del año. Solo es una selección
porque estos doce meses han dado para mucho, confirmando el largo camino
que nos queda por avanzar en materia de ciberseguridad.
Segunda mayor fuga de datos de la historia: 773 millones de cuentas de correo
El año comenzó confirmando las grandes fugas de datos cuando un investigador de seguridad y fundador del sitio web de infracciones Have I Been Pwned, reveló una base de datos que incluye 773 millones de cuentas de correo electrónico y 21 millones de contraseñas únicas robadas, que a buen seguro se han estado utilizando en ataques informáticos automatizados de relleno de credenciales.
Es la segunda mayor fuga de datos de
la historia después de la de Yahoo! con casi 3.000 millones de cuentas
afectadas, aunque hay que concretar que se trata de una compilación de otras bases de datos más pequeñas ya filtradas, según explica Troy Hunt.
Denominada como ‘Colection #1’ por su descubridor, la compilación estaba formada por un conjunto de 12.000 archivos con un tamaño total de 87 Gbytes y casi 2.700 mil millones de registros,
sumando 1.160 millones de combinaciones únicas entre las direcciones de
correo y las contraseñas, lo que significa que la lista cubre a las
mismas personas varias veces, pero en muchos casos con contraseñas
diferentes.
La base de datos fue encontrada en el servicio de almacenamiento de archivos MEGA y aunque ya ha sido borrada sigue distribuyéndose en las redes de intercambio de archivos.
El único ‘consuelo’ es que la filtración es limitada no habiéndose
filtrado información confidencial como datos de tarjetas de crédito o
similares.
Las apps maliciosas para móviles son una epidemia
McAfee aprovechó el marco del MWC 2019 para presentar la actualización de su informe de amenazas móviles, con titulares destacados como el incremento del 550% de apps maliciosas para móviles registradas en el segundo semestre de 2018.
Solo en este periodo, la firma de seguridad dice haber localizada 65.000 apps maliciosas para móviles.
Un gran problema para la industria de la movilidad porque trimestre a
trimestre se sigue observando un gran aumento del malware en el sector.
Hace tiempo que se conoce que los ciberdelincuentes se están trasladando
del escritorio a la movilidad ante los centenares de millones de
dispositivos activos.
McAfee destaca especialmente el malware que llega de esas aplicaciones fraudulentas
que no son lo que parecen y que consiguen engañar a los usuarios
haciéndose pasar por desarrollos populares. Otro grupo en aumento llegan
de las amenazas financieras, que en 2018 alcanzaron «el punto más alto a nivel mundial» de la historia, especialmente de los peligrosos troyanos bancarios que aumentaron un 77%.
También preocupante el incremento de ‘puertas traseras‘
encontradas con desarrollos como ‘TimpDoor’ que han hecho estragos
mediante el phishing por mensaje de texto para monitorizar y terminar
controlando los terminales. McAfee suma los ataques por criptominería,
otro grupo relativamente nuevo en plena expansión.
Facebook y 2FA: convertiendo la seguridad en negocio
El caso de Facebook y 2FA
es el penúltimo que pone bajo los focos a la red social por la manera
en que maneja los datos personales de sus usuarios. Aún peor, por
convertir un importante mecanismo de seguridad como la autenticación de
dos factores en negocio propio reduciendo la confianza en el mismo.
El caso no es nuevo aunque volvió a salir a la palestra el pasado fin de semana de la mano de un tuit del
fundador de Emojipedia, Jeremy Burge, donde aseguraba que cualquiera
podría buscarlo en Facebook usando su número de teléfono, proporcionado a
la red social para habilitar la autenticación de dos factores. El
mensaje de Burge se viralizó, los editoriales han regresado y los
usuarios que no se enteraron en su momento ahora lo saben. Pero viene de
lejos.
2FA es
una función de seguridad que conocerás como “doble identificación” o de
“dos factores”. Lo emplean la mayoría de grandes servicios y empresas
de Internet para garantizar la autenticación real de un usuario. Al
acceso habitual a un servicio con el nombre y contraseña, 2FA suma un
código enviado generalmente mediante un mensaje de texto al smartphone
del usuario. Su funcionamiento exige que proporciones ese número de
teléfono a la empresa en cuestión. Este número es el que ha estado
vendiendo Facebook a los anunciantes sin conocimiento ni consentimiento expreso del usuario.
Colocar a Facebook y a la privacidad en la misma línea es imposible.
En materia de seguridad la red social obtiene un suspenso manifiesto
desde su lanzamiento. Y va a peor. La incapacidad de Facebook para proteger los datos de sus clientes es
manifiesta. Unas veces por errores y otras (peor) por la manera de
manejar los datos pensando más en el negocio que por garantizar la
seguridad.
Fallos graves en WPA3 permiten acceso a redes y hackeo de contraseñas Wi-Fi
Un grupo de investigadores encontró fallos graves en WPA3, la
nueva generación de la tecnología Wi-Fi Protected Access destinada a
añadir mayor seguridad en el acceso y transferencia de datos en redes
personales y profesionales, que usen la principal norma mundial para
conectividad inalámbrica.
Ha pasado casi un año desde el anuncio de WPA3 y aún con un
despliegue mínimo llegan malas noticias para toda la industria y los
usuarios, ya que una investigación conocida como DragonBlood ha
descubierto que se pueden hackear las contraseñas Wi-Fi establecidas bajo esta norma e incluso, acceder a redes inalámbricas de terceros sin conocer las contraseñas.
Nada es invulnerable y aunque WPA3 es una mejora enorme frente a
anteriores versiones del estándar, la investigación plantea serias
preocupaciones del futuro de la seguridad inalámbrica, particularmente
entre dispositivos de Internet de las Cosas de bajo coste que van a
llegar por miles de millones en los próximos años y que será más costoso
parchear.
Las vulnerabilidades descubiertas podrían permitir a los atacantes hackear contraseñas de la red Wi-Fi de una manera similar a como se hacía con WPA2,
aprovechando el periodo de transición entre las normas. Dos de ellos
son ataques de canal lateral basados en vulnerabilidades
CVE-2019-9494 y CVE-2019-9494 contra el método de codificación de
contraseñas. También se ha documentado un ataque de denegación de
servicio que puede iniciarse sobrecargando un punto de acceso
inalámbrico, omitiendo el mecanismo anti-obstrucción de SAE que se
suponía evitaría los ataques DoS.
El ransomware en empresas aumentó un 200%
La detección de ataques por ransomware en empresas aumentaron un 200%, según el último informe trimestral de amenazas de Malwarebytes. El estudio está en sintonía con los últimos informes, que indicaron que el ransomware mantenía la supremacía como la principal ciberamenaza de malware en la mayoría de países europeos, con ataques cada vez más numerosos, sofisticados, peligrosos y masivos, como mostraron desarrollos como WanaCryptor.
El informe de Malwarebytes, sin embargo, ha detectado una caída del
10% en las amenazas a los consumidores, explicado en el declive del
criptominado. Ante ello, todo apunta a que los ciberdelincuentes se
están enfocando a los ataques móviles y sobretodo al segmento
empresarial.
«Estamos viendo más y más infecciones en el lado comercial y más
intenciones de los delincuentes cibernéticos de concentrarse en los
negocios en lugar de en los consumidores. En los últimos años hemos
visto un aumento constante de malware cada año. Pero ver este aumento
tan grande de detecciones en negocios y una caída en los consumidores es
algo que no habíamos visto», explica Adam Kujawa, director de Malwarebytes Labs.
Lo mismo puede decirse de los ataques mediante
troyanos. Según la firma de seguridad, este tipo de ataques ha aumentado
más del 200% respecto al trimestre anterior y casi el 650% respecto al
primer trimestre de 2018. Y se observa la misma tendencia que en el
ransomware: las empresas son los grandes objetivos. Además de más numerosos, los ataques son cada vez más sofisticados: «los delincuentes cibernéticos están utilizando medios de ataque cada vez más inteligentes para obtener aún más valor de los objetivos mediante el uso de troyanos. adware y ransomware», dicen.
Una vulnerabilidad de WhatsApp permitió spyware masivo en iPhone y Android
Una vulnerabilidad de WhatsApp permitió instalar spyware en dispositivos móviles iOS y Android, según ha detallado el Financial Times. WhatsApp ha confirmado la información y ha publicado una actualización que se recomienda instalar a la mayor brevedad.
El caso es grave teniendo en cuenta el espionaje masivo sobre
potencialmente 1.500 millones de usuarios que usan la aplicación de
mensajería instantánea líder del segmento. Además, el software espía
pudo instalarse simplemente con una llamada, sin la
necesidad de que el usuario que la recibiera tuviera que responderla. El
exploit, causó supuestamente un desbordamiento de búfer en la pila VoIP
de WhatsApp al enviar paquetes bajo el protocolo Secure RTP Control a los
números de teléfono destino. Una vez inyectado, el spyware pudo
encender la cámara y el micrófono de un teléfono, escanear correos
electrónicos y mensajes, y recopilar los datos de ubicación del usuario.
Y todo ello sin dejar ningún tipo de rastro o registro en ninguna parte del terminal, por lo que es posible que los usuarios hayan sido atacados y ni siquiera se hayan dado cuenta. Espera, que hay más. Lo peor del asunto es que el código malicioso descubierto fue desarrollado por la compañía israelita NSO Group.
Valorada en 1.000 millones de dólares, está especializada
-supuestamente- en el desarrollo de soluciones de seguridad
gubernamentales contra el terrorismo y la delincuencia.
NSO Group es bien conocida, sobretodo por su software estrella, Pegasus, que se cree utilizan al menos 30 gobiernos en todo el mundo y que no es la primera vez que causa estragos en Internet. La compañía se enfrenta actualmente a una intensa presión legal en Israel por parte de grupos de derechos humanos como Amnistía Internacional.
Nuevas vulnerabilidades en procesadores Intel
O Intel está pegado con la seguridad informática, o la seguridad
informática se da una y otra vez de bruces con los procesadores de
Intel. El caso es que cuando vulnerabilidades como Spectre o Meltdown comenzaban a borrarse de la mente de los usuarios, la compañía americana no ha tenido más remedio que reconocer que ha detectado otras cuatro nuevas vulnerabilidades tan graves o más que las anteriores.
Como informan nuestros compañeros de MC,
las vulnerabilidades son de canal lateral y podrían permitir ataques
tipo Spectre. Como en casos anteriores, explotan las debilidades de la
función conocida como ejecución especulativa que
utilizan los procesadores Intel y otros. En este caso, los chips de AMD y
ARM no están afectados. Los cuatro vectores de ataque diferentes se ya
tienen además, sus propios nombres: ZombieLoad, Fallout, RIDL y
Store-to-Leak Forwarding. La principal diferencia que presentan con
Spectre es que los datos no se almacenan en la caché sino en los
búferes. De ahí que Intel las haya denominado como Microarchitectural
Data Sampling (MDS).
Por lo demás, el tipo de ataques es el mismo y tiene que ver con la
misma arquitectura de los chips modernos. Los procesadores no separan
por completo los procesos clave que tienen acceso al kernel del sistema
operativo de aquellos con privilegios bajos y de poca confianza (como
los de muchas aplicaciones), por lo que un atacante podría aprovechar
esta función para que el procesador le anticipe datos que no debería gracias a esa ejecución especulativa.
De las cuatro, ZombieLoad es la más peligrosa, aunque el efecto de
las otras tres es muy similar al primero. En este sentido, un ataque
permitiría acceder a todo tipo de información prácticamente en tiempo
real, mientras el sistema procesa dicha información: «el historial del
navegador, el contenido del sitio web, las claves de usuario y las
contraseñas, o secretos a nivel del sistema, como las claves de cifrado
del disco» han explicado los investigadores que han descubierto los
nuevos fallos de sistema.
Los responsables de seguridad dan por perdida la batalla contra los cibercriminales
El 48% de los responsables europeos de ciberseguridad consideran que sus equipos están perdiendo la batalla frente a los cibercriminales.
Y como primer motivo apuntan no tanto a no disponer del equipamiento
tecnológico adecuado como a su falta de habilidades y conocimientos
específicos cuando se comparan con los de estos grupos atacantes.
Esta es una de las principales conclusiones a las que llega un
estudio desarrollo por Symantec, en el que se indica además que
constatar esta realidad añade aún más presión a unos departamentos de
sistemas en los que hasta un 64% de los profesionales de ciberseguridad
se plantea abandonar su trabajo o incluso, abandonar la industria por
completo (63%).
“Es perturbador saber que los atacantes están a las puertas y, al
mismo tiempo, no ser consciente de que las personas que intentan
defenderte se sienten superadas y exhaustas. Pues esto es, exactamente,
lo que revelan los nuevos datos”, explica Ramsés Gallego,
Director de Security Strategies en Symantec. “Es duro sobrellevar la
amenaza que te supone un enemigo que está aprendiendo más rápido que tú.
Si las organizaciones valoran la seguridad de sus datos y de sus
finanzas, deben prestar atención a esta alerta y realizar inversiones estratégicas que resuelvan este vacío emergente de cualificación”.
Para esta investigación se ha entrevistado a 3.045 responsables de la toma de decisiones en ciberseguridad
de Francia, Alemania y Reino Unido. Las conclusiones del estudio
revelan una grave situación que puede ir a peor, antes de mejorar, como
un círculo vicioso de sobrecarga y estrés que está dañando el desarrollo
de destrezas profesionales y la toma de decisiones en el ámbito de la
seguridad.
Donald Trump quiere prohibir el cifrado de extremo a extremo
La administración de Trump está considerando la prohibición del cifrado de extremo a extremo, una característica adoptada ampliamente en servicios tecnológicos para aumentar la seguridad y privacidad.
Politico
menciona una reunión de alto nivel en la Casa Blanca con representantes
de varias agencias federales en la búsqueda de una posición común que
lleve a la propuesta de un cambio legislativo que podría obligar a las
compañías estadounidenses o a las que trabajen en el país a eliminar
esta medida de seguridad.
Ya sabes de qué va esto. Bajo el argumento de “aumentar la seguridad”
contra el terrorismo y la delincuencia, la administración de Trump no
ha encontrado otra fórmula que devolvernos a la edad de piedra tecnológica. La
eliminación del cifrado estaría destinada a facilitar el acceso y
seguimiento de los dispositivos electrónicos por las fuerzas de
seguridad y agencias de espionaje, pero conllevaría dejar los equipos
tan abiertos como un queso gruyere.
El cifrado es una herramienta de seguridad en la que nos apoyamos
todos los días para evitar que los delincuentes roben nuestras cuentas
bancarias, para proteger el control de nuestros coches y aviones de
hackeos maliciosos y en general «para preservar nuestra seguridad y bienestar«, como afirmó en una declaración el Information Technology Industry Council (ITI),
voz global del sector tecnológico que incluye compañías como Apple,
Dell, Facebook, Google, Microsoft, IBM, Intel o Twitter. Resumido: Debilitar la seguridad con el objetivo de promover la seguridad, simplemente no tiene sentido.
Asistentes virtuales: Un cero en privacidad
El Siri de Apple no escapó a la polémica de los asistentes virtuales, cuestionados por la falta de privacidad, la poca transparencia y el uso de los datos personales. Un denunciante anónimo habló con The Guardian,
expresando su preocupación sobre cómo maneja Siri los datos personales
que registra, quién tiene acceso a ellos y su utilización por Apple. Y
es preocupante, porque básicamente es lo mismo que hace el Alexa de
Amazon o el Assistant de Google donde personal humano tiene acceso a los registros de estos asistentes digitales.
Según la información, estos empleados «escuchan con regularidad
información médica confidencial o relaciones sexuales de parejas, como
parte de su trabajo, brindando control de calidad o ‘clasificaciones'». Además, «no
sería difícil identificar a la persona a la que se está escuchando,
especialmente con disparadores accidentales: direcciones, nombres, etc.»,
explican. También se registra la ubicación, los detalles de contacto y
otros datos de la aplicación que se incluyen con las grabaciones.
Apple ha reconocido básicamente la información, explicando que «una pequeña parte de los registros de Siri» son analizados por revisores humanos «para mejorar su funcionamiento y las respuestas a las órdenes de voz». «Las
respuestas de Siri se analizan en instalaciones seguras y todos los
revisores tienen la obligación de cumplir con los estrictos requisitos
de confidencialidad de Apple», dicen. «Menos del uno por ciento de un subconjunto aleatorio de activaciones de Siri diarias» se utilizan para «calificaciones». La información recopilada y analizada «no está asociada con la ID de usuario de Apple«, recalcan desde Cupertino.
Las explicaciones no son convincentes. Y más para una compañía que destaca el respeto al derecho de la privacidad como aspecto diferenciador de sus productos frente a la competencia y un CEO, Tim Cook, que desde hace tiempo es un defensor declarado de la privacidad
de los datos y ha lanzado cargas de profundidad contra compañías como
Google, Amazon y Facebook por estos aspectos. El caso es tan grave como
los anteriores del Amazon Alexa y Google Assistant.
El usuario preocupado por su privacidad debe descartar por completo el
uso de estos asistentes y los dispositivos basados en ellos hasta que
las tecnológicas no garanticen de manera absoluta la confidencialidad y
transparencia debida.
La privacidad de Office 365 (y Windows 10), a debate
Microsoft Office 365 fue declarado ilegal en el estado alemán de
Hesse por cuestiones relacionadas con la privacidad. La información de
estudiantes y maestros que usan la configuración estándar de Microsoft
Office 365 podría estar «expuesta» a las agencias de espionaje de
Estados Unidos, según ha dictaminado el Comisionado de protección de
datos de ese estado alemán.
El caso que afecta a la suite de productividad en nube de Microsoft
(la más popular del mercado en su tipo) es un ejemplo más de las preocupaciones europeas sobre la privacidad de datos y
también de la política exterior de la actual administración de Estados
Unidos. La decisión de la Oficina de este estado alemán es el resultado
de varios años de debate interno sobre si las escuelas alemanas y otras
instituciones estatales deberían utilizar el software de Microsoft.
La idea de aumentar la «soberanía digital» está aumentando en
Alemania y en toda Europa. Y no solo afecta a Microsoft sino a cualquier
tecnológica estadounidense que trabaje en el Viejo Continente. «Tenemos que considerar servicios en nube nacionales y respaldarlos con una financiación realista. La situación política nos está obligando a ello», explicó recientemente un alto funcionario del Ministerio del Interior alemán.
La polémica sobre la privacidad de Office 365 no es nueva. A finales de 2018, investigadores del regulador oficial holandés publicaron un informe donde identificaron una «recopilación de datos personales a gran escala y encubierta» en
las suites ofimáticas de Microsoft, Office 2016 y Office 365 de
ProPlus. Microsoft recopila datos con fines «funcionales y de seguridad»
en todas sus soluciones de software. Sin embargo, el informe aseguran
que ocho apartados descubiertos en la telemetría de Microsoft Office
(también de Window 10 Enterprise) incumplirían el nuevo reglamento de protección de datos de la UE, GDPR, y la propia privacidad de los usuarios.
Una ex-empleada de AWS hackeó Capital One y robó datos de 100 millones de clientes
El FBI detuvo a una ingeniera de sistemas acusada de la grave intrusión informática al banco Capital One
tras explotar una vulnerabilidad del firewall instalado en sus
servidores. La acusada es una antigua empleada de Amazon Web Services y
aunque el servicio en nube de Amazon alojó datos de Capital One, se
descarta que el acceso se produjera por una vulnerabilidad o violación
de AWS.
Se cree que la detenida (bajo cargos de fraude informático que la pueden llevar cinco años a la cárcel) explotó una vulnerabilidad y una configuración deficiente en el cortafuegos de los servidores del banco. Las consecuencias fueron letales y otro grave suceso que añadir a la colección de robo de datos de grandes empresas.
Capital One confirmó la intrusión y dijo que afectó a unos 100 millones de personas y empresas en Estados Unidos y 6 millones más en Canadá. La
información personal robada incluía nombres, fechas de nacimiento,
direcciones, números de teléfono y direcciones de correo electrónico. También se obtuvieron números de seguridad social de 140.000 personas unos 80.000 números de cuentas bancarias.
«Si bien estoy agradecido de que el autor haya sido capturado, lamento profundamente lo que sucedió», dijo en un comunicado Richard D. Fairbank, fundador, presidente y CEO de Capital One. «Pido
disculpas sinceramente por la preocupación comprensible que este
incidente debe estar causando a los afectados, y estoy comprometido a
corregirlo». Aunque la responsable es -como no- la ciberdelincuente, es preocupante un fallo de seguridad tan grave en un banco.
Nuevo 0-Day para Android explotado activamente
Desde el Project Zero de Google hicieron público una nuevo 0-Day para Android, una vulnerabilidad crítica todavía sin parches que afecta a un buen número de modelos del sistema operativo más usado del mundo.
La investigadora del servicio de seguridad de Google, ha revelado detalles
y un exploit de prueba de concepto para la vulnerabilidad de seguridad
de alta gravedad etiquetada como CVE-2019-2215. La vulnerabilidad se
hecho pública solo siete días después de comunicarlo al equipo
responsable de Android, el plazo estándar en caso de fallos que se estén
explotando activamente.
El fallo es una escalada de privilegios local que
permite comprometer un dispositivo vulnerable de manera completa y se
produce cuando el usuario instala una aplicación no confiable o mediante
ataques remotos en línea a través del renderizador de contenidos de
Chrome. «Si el exploit se activa desde de la web, solo necesita
emparejarse con un exploit localizado en el renderizador, ya que esta
vulnerabilidad es accesible a través del sandbox utilizado por Chrome», explican.
Se da la circunstancia que este 0-Day para Android está siendo explotado por NSO Group (o algunos de sus clientes), una empresa israelita que se publicita como proveedora de «soluciones de seguridad gubernamentales contra el terrorismo y la gran delincuencia», que ha sido cuestionada durante años por grupos de derechos humanos como Amnistía Internacional al vender sus soluciones a dictaduras que las utilizan contra disidentes políticos y como medio de censura.
Pwn20wnd publica el primer jailbreak para iPhone en años
Pwn20wnd publicó un nuevo jailbreak para iPhone que era el primer desarrollo público de este tipo en años y además, conseguido sobre una versión de iOS completamente actualizada.
Apple ha facilitado la tarea, sin pretenderlo. Investigadores
de seguridad encontraron una vulnerabilidad en la última versión del
sistema operativo móvil de Apple, iOS 12.4. La curiosidad de la misma es
que era una vulnerabilidad conocida, descubierta por Google y ya
parcheada por Apple en la versión anterior, iOS 12.3.
Ello ha permitido a los especialistas la creación de este jailbreak
para iPhone, el primero que se hace público sobre una versión
actualizada en bastante tiempo. Obviamente, es un fallo que puede comprometer la seguridad de millones de terminales y es seguro que Apple lo parcheará en breve.
Ned Williamson, un investigador de seguridad de Google, confirmó
que el viejo exploit ya parcheado por Apple funcionaba en su iPhone
XR. Por ejemplo, una aplicación maliciosa podría incluir un exploit para
este error que le permita escapar del entorno aislado habitual de iOS,
un mecanismo que impide que las apps consigan datos de otras
aplicaciones o del sistema, y robar datos de los usuarios.
Otro escenario de ataque es un pirata informático que incluya el
exploit en una página web maliciosa y lo combine con un exploit del
navegador Safari. «Es muy probable que alguien ya esté explotando este error con malos propósitos»,
dijo Pwn20wnd, autor del jailbreak. Por supuesto, la vulnerabilidad no
solo afecta a móviles, sino a tablets iPads o iPod touch con esta
versión de iOS.
Lo volvió a hacer: Facebook dejó expuestos datos y teléfonos de 419 millones de usuarios
En Facebook no ganan para sustos.
Seis meses después de conocerse que almacenó millones de contraseñas
sin cifrar, se ha hecho pública una nueva filtración de datos de sus
usuarios, desvelada por Techcrunch y causada por un servidor de la
compañía que estaba sin protección. Como resultado, los datos de unos 419 millones de usuarios de la plataforma, que estaban almacenados en una base de datos, han quedado expuestos.
Entre los datos, almacenados en un servidor cuyos contenidos no contaban con acceso protegido
por contraseña, hay información de usuarios de diversas partes del
mundo. Entre ellos, de 133 millones de usuarios de Estados Unidos, de 18
millones de británicos y de 50 millones de vietnamitas. Entre estos
datos están la ID única de cada uno en Facebook y, lo más preocupante,
el número de teléfono que tienen asociado a la cuenta. Muchos de los
registros de usuarios tenían también el nombre del usuario, su género y,
como hemos comentado, el país en el que se encontraban.
Se desconoce cuánto tiempo llevaba expuesta la base de datos, que al
descubrirse la filtración dejó de estar accesible para cualquier
internauta, expuesta. Se cree que más de un año, dado
que hace más de doce meses que Facebook restringió el acceso a los
números de teléfono de sus usuarios. En Techcrunch verificaron que los
datos de alguien que aparecía en las bases de datos eran reales
cotejando su número de teléfono con su ID de Facebook. Además
comprobaron otros registros cotejando números de teléfono con la función
de reseteo de contraseña de Facebook, que se puede utilizar para
desvelar parte del número de teléfono de un usuario que esté asociada a
su cuenta.
Sigue siendo un misterio cuándo se extrajeron los datos, quién lo
hizo y por qué. Hace ya bastante tiempo que Facebook decidió restringir a
los desarrolladores el acceso a los números de teléfono de los
usuarios. Además, la red social dificultó la búsqueda de amigos a través
de sus números de teléfono.
Una base de datos de Adobe comprometió a millones de usuarios de Creative Cloud
Datos personales de 7,5 millones de clientes de Creative Cloud fueron expuestos públicamente en una base de datos de Adobe vulnerable a cualquier usuario o atacante, según el descubrimiento de Comparitech. Con
un número de suscriptores estimados en 15 millones, Adobe Creative
Cloud o Adobe CC es uno de los servicios de suscripción de software
especializado en edición más popular del mercado y brinda acceso al
conjunto de software creativo de la compañía para computadoras de
escritorio y dispositivos móviles, incluidos Photoshop, Illustrator,
Premiere Pro, InDesign, Lightroom y otros.
A principios de este mes, el investigador Bob Diachenko colaboró
con la firma de ciberseguridad Comparitech para descubrir una base de
datos Elasticsearch no asegurada convenientemente
perteneciente al servicio de suscripción de Creative Cloud, accesible
desde un navegador web a cualquier persona sin contraseña o
autenticación.
La base de datos expuesta contenía información personal de casi 7,5
millones de cuentas de usuario de Adobe e incluía datos como:
- Correos electrónicos.
- Fecha de creación de cuenta.
- Productos de Adobe suscritos.
- Estado de la suscripción.
- Estado de pago.
- ID de miembro.
- País.
- Tiempo desde el último inicio de sesión.
- Visibilidad de los empleados de Adobe.
Comparitech informó internamente a Adobe y ésta aseguró la base de datos el mismo día. «Este
problema no estaba relacionado con, ni afectó, las operaciones de
ningún producto o servicio principal de Adobe. Estamos revisando
nuestros procesos de desarrollo para ayudar a prevenir que ocurra un
problema similar en el futuro», explicó Adobe en una publicación en su blog.
Everis y la Cadena SER, víctimas de un grave ataque de ransomware
Grave ataque de ransomware el de noviembre a varias empresas españolas. En el caso de Everis, el ataque ha provocado la caída de su red interna,
y los empleados de la compañía que trabajan en proyectos para clientes
externos han ido a trabajar en las compañías de dichos clientes, o bien
han sido enviados a trabajar desde casa, con el objetivo de que la
empresa pueda solucionar el problema e investigar el ataque de ransomware sufrido.
Según apuntan desde Bitcoin.es,
el ataque que está experimentando Everis es a nivel mundial. Al
parecer, los trabajadores de la consultora han acudido a sus puestos de
trabajo y no han podido acceder a sus equipos, que estaban infectados por un ataque de tipo ransomware.
Al parecer, Everis han enviado un comunicado a sus trabajadores en el
que se les informa de la situación y se les pide que mantengan los
ordenadores apagados.
Asimismo, se informa de que «se ha desconectado la red con clientes y entre oficinas«. Además se les pide que transmitan el mensaje directamente «a equipos y compañeros debido a los problemas de comunicación estándar«.
Según parece, el ataque al sistema interno de Everis se ha llevado a
cabo al explotar una vulnerabilidad de Microsoft Teams, su plataforma de
comunicación.
Al parecer, Everis no es la única consultora afectada en las últimas
horas por un ciberataque. Otras consultoras podrían haberse visto
también afectadas. Pero también la Cadena Ser, que según apuntan desde la propia compañía, han experimentado de madrugada un ataque de ransomware que
ha afectado a todos sus sistemas informáticos. Al parecer, la mayoría
de sus terminales no cuentan con acceso a Internet y una gran cantidad
de ellos están bloqueados, por lo que muchos trabajadores de la cadena
están trabajando desde casa.
Millones de usuarios reutilizan contraseñas hackeadas en los servicios de Microsoft
El equipo de investigación de amenazas de Microsoft encontró un mínimo de 44 millones de cuentas de sus servicios con las contraseñas hackeadas. Son aquellas que los usuarios han reutilizado en varios servicios y alguno de ellos ha sufrido en el pasado una violación de seguridad.
Microsoft realizó una evaluación de amenazas de sus
servicios a lo largo de un trimestre y los resultados son preocupantes,
aunque no sorprendentes, ya que la utilización de las mismas
credenciales para acceder a servicios de Internet es algo repetido
aunque incumpla las normas más elementales en la creación de contraseñas.
El resultado es el esperable. Una vez que un servicio sufre una violación de seguridad
(y todos los años hay decenas de ellas en grandes servicios) millones
de nombres de usuario y contraseñas se filtran (y/o se venden) en
Internet. A partir de ahí los ciberdelincuentes solo tienen que utilizar
un programa de repetición para probar esa autenticación. Si el usuario
utiliza las mismas, vulnerada una, vulneradas todas.
Microsoft recomienda utilizar contraseñas únicas e incluso nombres de usuario únicos
cuando sea posible para dificultar que un atacante simplemente las
pruebe, obtenga acceso y suplante su identidad. También insta a mejorar la seguridad de la contraseña usando la autenticación de dos factores. Un método que puede prevenir el 99,9 de los ataques incluso cuando la contraseña haya sido comprometida.
Avast recopila y vende datos de 400 millones de usuarios desde 2013
Avast, la compañía de seguridad checa, no solo gana dinero
protegiendo la información de sus clientes. También ingresa con lo
contrario, recopilando datos de navegación de sus 400 millones de usuarios y vendiéndolos a marcas y compañías de publicidad.
Avast recopila estos datos de navegación a través del complemento de
su servicio de seguridad que se instala en navegadores web y que ofrecen
tiendas de aplicaciones como la Chrome Web Store. También es
suministrada a través del antimalware que se instala localmente en los
sistema operativos, especialmente los de Windows donde más se utilizan.
El CEO de la compañía, Ondrej Vlcek, ha reconocido la recopilación de datos en una entrevista con Forbes aunque «ha descartado que hayan violado la privacidad»
ya que dice recopilar los datos de forma anonimizada, eliminando
cualquier dato que pudiera identificar a usuarios individuales. También
ha reconocido que venden estos datos a terceros lo que le supone el 5%
de sus ingresos.
Las explicaciones del ejecutivo no han convencido y el caso es un
nuevo escándalo de violación de la privacidad. O al menos una actuación
de falta de transparencia ya que no está claro que los
usuarios hayan sido informados previa y convenientemente ni que hayan
dado su consentimiento expreso.
¿Te preocupa la seguridad de Windows 7? Así puedes actualizar a Windows 10 gratis y legal
Windows 7 es uno de los sistemas operativos más exitosos de la historia, pero todo tiene su fin y a poco más de un mes de la finalización del soporte técnico oficial (14
de enero de 2020) tiene una cuota de mercado tan amplia (alrededor del
30% de los escritorios informáticos) como para preocupar a la industria,
ya que el sistema operativo se quedará sin actualizaciones de seguridad.
La historia se repite y todo apunta que Microsoft no podrá evitar un nuevo «caso Windows XP» y decenas de millones de equipos quedarán expuestos a ataques informáticos aprovechando las vulnerabilidades no parcheadas al no recibir actualizaciones de seguridad.
Y en Windows hay malware para dar y tomar… Es el sistema más usado en
ordenadores personales y el más explotado. El problema alcanza al
segmento de consumo y también al empresarial, y afecta no solo a los
propios equipos, sino a las redes empresariales donde se instalan. En
este artículo te ofrecimos la manera de actualizar gratis y legal a Windows 10.
Fuente: https://www.muyseguridad.net/
Fuente: https://www.muyseguridad.net/
No olvides Compartir...
0 Comentarios