Archivos por Etiqueta: ciberseguridad

Las fotos de 6,8 millones de usuarios de Facebook al descubierto

Facebook acaba de comunicar en la tarde de este viernes un nuevo error de seguridad que puede haber afectado a hasta 6,8 millones de personas que utilizaron el inicio de sesión en la red social para otorgar permiso a aplicaciones de terceros. Estas «apps», según informa la compañía, accedieron a las fotografías de cada usuario.

El incidente, según la compañía, se desarrolló durante 12 días, entre el 13 de septiembre y el 25 de septiembre, a pesar de que es ahora cuando Facebook lo comunica. Aunque la compañía que dirige Mark Zuckerberg asegura que el «bug» está solucionado, confiesa que hasta 1.500 aplicaciones creadas por 876 desarrolladores están implicadas en este nuevo error de seguridad.

«Hemos solucionado el problema pero, debido a este error, es posible que algunas aplicaciones de terceros hayan tenido acceso a un conjunto de fotos más amplio de lo habitual», reconoce la compañía en un comunicado.

Facebook ha explicado que el error se ha detectado en una API de fotografía que ha afectado a aquellos usuarios que iniciaron sesión con la cuenta de Facebook en aplicaciones terceras. De esta manera, dieron los permisos necesarios para que los desarrolladores hayan accedido a las imágenes.

Revisar la configuración de la cuenta

«Cuando un usuario permite a una aplicación acceder a sus fotos de Facebook, normalmente solo damos acceso a las fotos que se comparten en el muro. Sin embargo, el error ha podido dar acceso a otras fotos, como las compartidas en las historias o en el marketplace», informa Facebook. De hecho, los desarrolladores han podido acceder a imágenes que ni siquiera el usuario terminó de subir porque «almacenamos una copia de esa foto durante tres días para que la persona la tenga cuando regrese».

La compañía, que lamenta el suceso, ha asegurado que lanzará nuevas herramientas en las próximas semanas para que los desarrolladores puedan averiguar qué usuarios han sido afectados y notificará a los usuarios que se hayan visto afectados por este error de seguridad para que, si lo desean, eliminen sus fotos. Aún así, Facebook, que cuenta con 2.200 millones de usuarios, recomienda que cada usuario revise cómo tiene configurada su cuenta en las opciones de seguridad.

Este nuevo capítulo se suma al año horrible en el que la compañía se encuentra inmerso a causa de numerosos problemas de privacidad que han salido a la luz este año, entre los que destacan el escándalo de Cambridge Analytica en abril Y el «hackeo» que la red social sufrió el pasado mes de octubre en el que 50 millones de cuentas se vieron afectadas.

 

facebook-1-krKF--620x349@abc

El primer carnet para hackers

Dice un viejo dicho que «la mejor defensa es un buen ataque». Los investigadores de ciberseguridad que trabajan como «penetration tester» (analistas de penetración), dentro del llamado hacking ético, han sentado las bases de que la mejor manera de conocer cómo de segura es una red corporativa es la de pensar y trabajar como un cibercriminal. De esta manera, gracias a las habilidades del «pentester», como también se le conoce, cualquier vulnerabilidad que exista puede ser subsanada antes de culminar en desgracia.

Las empresas que trabajan ofreciendo este servicio o que cuentan entre sus empleados con un «pentester» saben lo importante que es tener a un mañoso informático, que en la mayoría de los casos debe contar con un título que está capacitado. Sin embargo, entre las distintas certificaciones a las que te puedes presentar, tanto presenciales como por internet, se han desencadenado ciertos acontecimientos que hacen dudar de que sean las mejores formas de valorar al candidato.

El equipo de Securízame ha tomado nota de todas ellas y ha lanzado la primera certificación española con evaluación 100% práctica especializada en hacking éticoRTCP Red Team Certified Professional. Lo que hace diferente a este carnet es que, al contrario que la mayoría de certificaciones, se valora al informático por su talento para forzar la entrada a un sistema corporativo como si fuera real, en vez de evaluarle en un examen por escrito.

Entonces, ¿cuál es la mejor forma de evaluar a un pentester? La respuesta parece clara, viéndole hackear. Para poder realizar este examen, el candidato debe someterse a una prueba en un entorno ficticio que agrupe todas las máquinas que componen un sistema informático de una empresa, y lo que debe hacer es «romper máquinas», como lo denoniman entre la gente de este sector. «La idea es que sea capaz de vulnerar cuantos más sistemas encuentre mejor», para lo que deberá «analizar qué vulnerabilidad tiene el entorno objetivo» y explotarla para ir saltando de máquina en máquina, comenta Lorenzo.

Cada caso práctico es individual para cada alumno, por lo que ir con las respuestas en la cabeza o que haya una suplatación de identidad es complicado. Una vez finalice la prueba, el alumno debe generar un informe que de fe de todo el proceso que ha seguido. «El objetivo es que sean capaces de llegar cuanto más lejos mejor. Y nosotros corregimos el documento que han generado» de manera anónima, a través de un correo que cubre su huella.

Securízame comenzó a probar este tipo de sistema de evualuación con una certificación que lanzaron a principios de año de respuesta de gestión ante incidentes de ciberseguridad y análisis forense (IRCP) y la acogida ha sido bastante buena. La primera edición para presentarse al RTCP tendrá lugar el 19 y 20 de enero y esperan que tenga el mismo recorrido que la anterior.

 

RTCP-k1IC--620x349@abc

Fallo de ciberseguridad y escándalo en Movistar.

La noticia corría como la pólvora desde el domingo por la tarde. Facua alertaba en un enigmático tuit sobre un «agujero de seguridad» en la web de «una de las principales empresas del IBEX 35». Pocas horas después, se desvelaba que Movistar era la firma culpable de un error de programación por la que cualquiera con acceso a la plataforma de la compañía de telecomunicaciones española podía acceder de forma aleatoria a facturas de otros clientes (en las que rezan nombres completos, domicilios, direcciones de correo electrónico, números de teléfono fijo y móvil y fecha y duración de llamadas) solo con cambiar un simple parámetro. Bastaba con convertir, por ejemplo, un 7 en un 8 dentro de un enlace para poder descargar la factura de otra persona, sin necesidad de utilizar complicados programas o tener amplios conocimientos de informática.

Después de dejar la «bomba» en el aire, el portavoz de Facua, Rubén Sánchez, se esperó hasta las once de la mañana de ayer para señalar públicamente a Movistar como responsable de lo que calificó como «la mayor brecha de seguridad en la historia de las telecomunicaciones en España». La compañía asegura a este diario que tuvo constancia de que se trataba de su plataforma en la madrugada del domingo, momento en el que se llevaron a cabo «todo tipo de comprobaciones».

«La vulnerabilidad ha quedado resuelta»

«Tras confirmarse por la noche que el asunto afectaba a Movistar, se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios. Se tomaron inmediatamente las medidas correspondientes y, esta pasada madrugada, la vulnerabilidad ya quedó resuelta», insisten desde la teleoperadora española, que ahonda en el mensaje de calma para sus usuarios y que en estos momentos se encuentra buscando a los posibles afectados de entre los millones de clientes españoles. «Telefónica, tras un exhaustivo análisis realizado en las últimas horas, ha constatado hasta el momento que el número de clientes cuyos datos han sido accedidos por terceros es inferior a un centenar», explican fuentes de la compañía a ABC, que también indican que no se ha observado «ningún uso fraudulento» en relación con esta vulnerabilidad. «La compañía contactará individualmente con cada uno de ellos para informarles de lo sucedido», agregan. Desde Facua, además aseguran que Movistar les informó que la vulnerabilidad permitía acceder a facturas desde agosto de 2017.

«Ahora se trata de verificar sus registros para saber quiénes se han descargado facturas que no son suyas y, seguramente, también de la persona que alertó a Facua», explica a este periódico Lorenzo Martínez, experto en ciberseguridad y fundador de Securízame. El hecho de que para explotar esta vulnerabilidad fuera necesario autentificarse con nombre y claves propias hace más «sencilla» la tarea, que se está llevando a cabo de forma rápida pero también concienzuda, según afirman desde Movistar.

Qué ha podido ocurrir

Algunos expertos apuntan a que el fallo informático, que sorprende por su sencillez y por su accesibilidad para casi cualquier persona, es debido a que el sistema habría sido alterado por la introducción de una novedad o mejora y habría creado este nuevo fallo o, incluso habría vuelto a reaparecer a pesar de que se hubiera subsanado en su momento. «Es un error que se vería en cualquier auditoría y este tipo de empresas hacen muchas a lo largo del tiempo, así que me cuesta creer que no se haya detectado», explica el CEO de Securízame, que critica las «formas» con las que Facua ha avisado a la multinacional y, después, ha hecho público el asunto. «Normalmente se avisa a la compañía del fallo y, pasado tiempo prudencial y si no se han tomado medidas, se piensa en publicar».

Martínez señala como caso paralelo el ocurrido el pasado año con el portal del Ministerio de Justicia, LexNet, que utilizaban abogados y procuradores de toda España y quienes pudieron acceder durante meses a cualquier sentencia, modificarla e incluso eliminarla. «Tanto en LexNet como en Movistar el problema es que al descargar cualquier documento no se comprobaba que se trataba de la misma persona que se había registrado, por lo que se podía acceder a cualquier documento que estuviera subido a sus respectivas plataformas».

La AEPD abre una investigación

A la vez que la compañía de telecomunicaciones continúa con su investigación, ABC ha podido saber que la Agencia Española de Protección de Datos se encuentra estudiando qué es lo que ha podido ocurrir al respecto tras la denuncia de Facua. Al mismo tiempo, Movistar también ha informado del caso al organismo público, dentro de las 72 horas después de conocer el suceso, tal y como se estipula en el nuevo Reglamento de Protección de Datos, que entró en vigor el pasado 25 de mayo.

El papel ahora de la AEPD es determinar si la compañía telefónica ha hecho todo lo que estaba en su mano para que no se produjese este fallo de seguridad y, de no ser así, imponer multas que pueden llegar hasta el 4% del volumen de facturación anual con un tope de 20 millones de euros.

La startup española, JobTalent ha sufrido un ciberataque con posible robos de datos de los usuarios

Jobandtalent, la «startup» española dedicada a la búsqueda de empleo online, está avisando a sus usuarios de un problema de seguridad relacionado con los datos de las personas registradas en su plataforma. En concreto, la compañía afirma que el pasado 5 de julio se descubrió que «una plataforma externa y ajena» a Jobandtalent accedió a sus servidores, donde estarían alojados los datos de sus usuarios. En estos archivos constarían la dirección de correo electrónico, nombre, apellidos y una versión cifrada de sus contraseñas.

En el email que la firma está enviando a sus usuarios se asegura que el ataque habría sido «solucionado inmendiatamente», cortando la intrusión. «No hemos encontrado evidencias de que este incidente se haya repetido ni de que ninguna información sensible se haya visto comprometida. Hemos puesto este hecho en conocimiento de la Agencia Española de Protección de Datos con la intención de recibir su ayuda en la investigación del suceso», señalan desde Jobandtalent en el comunciado, firmado por Felipe Navío, cofundador de Jobandtalent.

Desde Jobandtalent han pedido a sus usuarios que introduzcan una nueva contraseña (ya sea a través de su aplicación o de su web) y han pedido perdón: «Garantizamos que la seguridad de tus datos es nuestra prioridad y te pedimos disculpas por este incidente. Hemos introducido nuevas capas de seguridad en nuestra plataforma y continuaremos mejorando nuestro sistema». Además aseguran que el incidente no se volverá a repetir.

La compañía, de origen español, nació en 2009 y actualmente cuenta con más de diez millones de usuarios, así como 150.000 empresas que ofertan sus candidaturas a través de sus servicios, entre las que cuentan con nombres como Yahoo o McDonalds.

Jobandtalent-aplicacion-encon-kqxF--620x349@abc

Si tienes Windows 10, debes actualizarlo para que no “secuestren” tu ordenador.

Si eres usuario de Windows 10actualiza tu ordenador ahora mismo. Una vulnerabilidad en Cortana, el asistente digital del sistema, deja desprotegido tu equipo frente ataques de ciberdelincuentes y pueden«secuestrar» tu PC incluso cuando está bloqueado. Este fallo en la seguridad ha sido descubierto por investigadores de McAfee, una de las compañías de ciberseguridad más importantes del mundo, quienes han encontrado que a través de este «bug» se puede desde inyectar código malicioso (virus informáticos) a, directamente,quitarte el control del ordenador y acceder a toda tu información.

Esta vulnerabilidad viene dada por la configuración que, por defecto, trae el asistente digital, que se activa solo con decir «hola Cortana», incluso con el equipo bloqueado. No tiene ningún sistema de reconocimiento de voz, por lo que cualquier persona puede acercarse y acceder a través de Cortana a tu ordenador solo con pronunciar dichas palabras. A partir de ahí, como el sistema está conectado a los archivos indexados para responder a las preguntas y solicitudes de los usuarios, es posible insertar una unidad USB y descargar el código malicioso directamente al equipo. Aunque es necesario que el atacante esté físicamente con el ordenador, Microsoft ya ha lanzado una actualización para prevenir posibles ataques, que pueden inhabilitar todo el equipo.

Los ficheros pueden ser archivos ejecutables o scripts de Powershell que permiten llevar a cabo distintas acciones, como instalar virus o eliminar software. También es posible cambiar la contraseña de Windows 10, lo que arrebataría el control del equipo y podría suponer su «secuestro» (con toda la información que tienes dentro).

Si eres usuario de Windows 10actualiza tu ordenador ahora mismo. Una vulnerabilidad en Cortana, el asistente digital del sistema, deja desprotegido tu equipo frente ataques de ciberdelincuentes y pueden«secuestrar» tu PC incluso cuando está bloqueado. Este fallo en la seguridad ha sido descubierto por investigadores de McAfee, una de las compañías de ciberseguridad más importantes del mundo, quienes han encontrado que a través de este «bug» se puede desdeinyectar código malicioso (virus informáticos) a, directamente,quitarte el control del ordenador y acceder a toda tu información.

Esta vulnerabilidad viene dada por la configuración que, por defecto, trae el asistente digital, que se activa solo con decir «hola Cortana», incluso con el equipo bloqueado. No tiene ningún sistema de reconocimiento de voz, por lo que cualquier persona puede acercarse y acceder a través de Cortana a tu ordenador solo con pronunciar dichas palabras. A partir de ahí, como el sistema está conectado a los archivos indexados para responder a las preguntas y solicitudes de los usuarios, es posible insertar una unidad USB y descargar el código malicioso directamente al equipo. Aunque es necesario que el atacante esté físicamente con el ordenador, Microsoft ya ha lanzado una actualización para prevenir posibles ataques, que pueden inhabilitar todo el equipo.

Los ficheros pueden ser archivos ejecutables o scripts de Powershell que permiten llevar a cabo distintas acciones, como instalar virus o eliminar software. También es posible cambiar la contraseña de Windows 10, lo que arrebataría el control del equipo y podría suponer su «secuestro» (con toda la información que tienes dentro).