Archivos por Etiqueta: hackers

Hackean un Tesla Model 3, y se llevan el coche de regalo.

Toda infraestructura técnica susceptible de ser «hackeada» por ciberdelincuentes se pone siempre a prueba. Y es que todo lo que está conectado a internet corre el riesgo de convertirse en el objetivo de un cibercriminal que, sin autorización, puede acceder a computadoras, redes, sistemas informáticos o datos.

La ciberdelincuencia es un multimillonario negocio en constante evolución. Armarse contra este tipo de actores que llevan a cabo prácticas delictivas es fundamental y quién mejor que un auténtico «hacker» en su acepción positiva (persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora) para poner a prueba la ciberseguridad de una infraestructura antes de que los malos la intercepten y se aprovechen de ella. Es una de las maneras con la que las compañías pueden protegerse de las posibles acciones de los piratas informáticos.

Esto es justo lo que pensó Elon Musk, cofundador y director general deTesla, para mejorar la ciberseguridad del Model 3, el último coche eléctrico que la compañía ha lanzado al mercado. Musk ha decidido aprovechar los altos conocimientos de los participantes en la Pwn2Ow, un concurso anual de piratería de gran prestigio que tuvo lugar en Vancouver (Canadá) del 20 al 22 de marzo, para mejorar su negocio.

Richard Zhu y Amat Cam son dos de los jóvenes que han ayudado a Musk en que sus vehículos sean más seguros. Ambos han participado en la competición Pwn2Ow, que se desarrolla bajo la iniciativa « Zero Day Initiative» (ZDI), creada por la firma de ciberseguridad Trend Micro de forma anual para alentar el reporte de los «ataques de día cero» (del inglés, «zero day attack» o «0 day attack»)

Este tipo de ataques son brechas de seguridad en el software que no han sido detectadas o se desconocen. Por eso, se habla de «día cero», es decir, cuando los «hackers buenos» detectan dicho error y pueden subsanarlo a tiempo. Una vez detectados, es el proveedor del software quien, entonces, lanza un parche de seguridad o actualiza el programa para solucionar la brecha.

Zhu y Cam son dos jóvenes investigadores de seguridad con un futuro prometedor. Ambos, que formaban el equipo Fluoroacetate, no solo se han llevado a casa 35.000 dólares (31.000 euros) por conseguir «hackear» el coche, sino que también Elon Musk les ha regalado un Tesla Model 3 a cada uno como recompensa por exponer con éxito una vulnerabilidad del vehículo eléctrico.

En apenas unos minutos, consiguieron «hackear» el Tesla Model 3 a través de su navegador tras detectar un error JIT («Just in Time», es decir, «justo a tiempo») en el proceso del renderizado, es decir, cuando se ejecutaba el código. Según recoge el blog de « ZDI», los jóvenes «emocionaron a la multitud reunida», que se congregó alrededor de ellos para saber si realmente iban a ser capaces de detectar algún fallo.

Hacking ético

«Agradecemos a estos investigadores su trabajo por ayudarnos a conseguir que nuestros vehículos estén más seguros en la carretera», ha asegurado Tesla en un comunicado remitido a « TechCrunch». «Durante la competición, los investigadores encontraron una vulnerabilidad en el navegador web del automóvil», reconoce la compañía, que ya ha anunciado que en los próximos días lanzará una actualización de software para solventar el «bug».

La industria de la seguridad de la información no solo se compone de piratas informáticos que buscan hacer daño. Aunque estos últimos están presentes, existen otros expertos «hackers» que se dedican a poner a prueba una infraestructura, detectar los posibles errores de seguridad que pueda tener (algo que se conoce como «bugs», del inglés) y así subsanar los fallos

Durante los tres días en los que se ha desarrollado el «Pwn2Ow» se han entregado 545.000 dólares (480.000 euros) a los participantes que han descubierto 19 errores únicos en el navegador Safari, Microsoft Edge y Windows, VMware Workstation, Mozilla Firefox y Tesla.

Además, según informa la organización, Richard Zhu y Amat Cama haya sido coronado como «Maestros», al ser el mejor equipo de la competición, llevándose un total de 375.000 dólares (333.000 euros).

tesla-model3-3-kiYE--620x349@abc

Las posibles causas de la enigmática caída mundial de Facebook, WhatsApp e Instagram

Diez horas. Este ha sido el tiempo que han estado desconectados los millones de usuarios que usan a diario Facebook, Instagram WhatsApp. Los tres servicios, que están bajo la propiedad de Mark Zuckerberg, presentaron numerosos fallos en casi todos los puntos del planeta este miércoles.

Instagram y Facebook fueron las primeras en presentar fallos de conexión a primera hora de la tarde de este miércoles en horario peninsular. En la página de «Facebook para desarrolladores», dedicada a quienes desarrollan las aplicaciones que interactúan con sus servicios, el grupo mencionó un fallo reportado a las 10:30 am desde California (17H30 GMT).

Al mismo tiempo, la red social informó por Twitter ser «consciente» del hecho de que «algunos usuarios» tenían «problemas» y prometieron resolverlos «lo más rápido posible», sin decir dónde estaba el error.

La web «DownDetector», que registra los problemas de servicio en páginas web y aplicaciones de todo tipo experimentados por los usuarios a nivel mundial, informó de que el 33% de los afectados estaba teniendo problemas para iniciar sesión en Facebook, mientras que otro 32% aseguraba que la web había sufrido un «colapso total».

En lo que se refiere a WhatsApp, el 54% de los problemas de la aplicación estuvo relacionados con el envío y la recepción de mensajes, mientras que el 37% de los afectados aseguró tener problemas de conectividad.

Descartado un «hackeo»

Todo apunta a que la caída generalizada de Facebook, Instagram y WhatsApp se debió a cuestiones de mantenimiento. Los gigantes tecnológicos, de manera habitual, realizan este tipo de trabajos en sus servidores, ya que se trata de una compleja estructura que funciona sin interrupciones.

Los casos más graves de desconexión se deben a los «hackeos» o acciones por parte de ciberdelincuentes, que pueden provocar ataques de denegación de servicio. De hecho, Facebook confirmó que no había sido víctima de un «hackeo». «Estamos trabajando para resolver el fallo tan pronto como sea posible, pero podemos confirmar que el problema no está relacionado con unataque DDoS», informó la compañía en Twitter.

En un ataque DDoS, los ciberdelincuentes utilizan las redes informáticas que controlan para enviar tal cantidad ingente de solicitudes de información que los sitios web se colapsan, ya que los servidores no pueden manejar el tráfico web que, de repente, se genera. Precisamente, inhabilitar el uso del sistema o aplicación con el fin de bloquear el servicio completamente, es el objetivo de este tipo de ataques.

facebook-fallo-kA8H--620x349@abc

«Formjacking», el nuevo método en auge de los ciberdelincuentes

El «formjacking», copiar datos de tarjetas en internet para luego venderlos en el mercado negro, es uno de los métodos de ciberdelincuencia que más se extendió en el mundo durante 2018, mientras que los ataques de «ransomware» (virus malicioso) como el WannaCry  bajaron.

Así se desprende del último informe anual sobre amenazas de seguridad en internet de 2018 de la empresa Symantec, que asegura que España es el octavo país europeo en número de amenazas detectadas. El «formjacking» afecta principalmente a pequeñas y medianas empresas y según el informe, cada mes se ven afectados una media de 4.800 webs, siendo los ataques a las páginas de Ticketmaster o British Airways los casos más sonados el año pasado.

En el caso del ataque contra la web de la aerolínea inglesa, que sufrió el robo de datos de 380.000 tarjetas, los ciberdelincuentes podrían haber obtenido cerca de 17 millones de dólares, ya que solo una sola tarjeta de crédito en internet puede ser vendida por 45 dólares (unos 40 euros). El «formjacking» es «una seria amenaza tanto para las empresas como para los consumidores», según el director de estrategia de seguridad de la empresa en España, Ramsés Gallego.

Según el informe, la disminución de este tipo de ataques se deben a la creciente adopción de sistemas de seguridad de computación en la nube (cloud), que hace los ataques menos eficaces ya que existen copias de seguridad. Por esto también, la nube se ha convertido en un nuevo objetivo para los ladrones digitales: solo el año pasado más de 70 millones de registros fueron robados o filtrados desde directorios de almacenamiento en nubes públicas.

1202892988-U308353779818QC--620x349@abc

Los patinetes Xiaomi pueden ser controlados por un tercero de forma remota, por un error de seguridad.

Es el más popular. Y seguro que la mayoría de los patinetes eléctricos que ves por la calle son el modelo M365 scooter de Xiaomi. Ahora, ha trascendido que presenta una vulnerabilidad que permite a un potencial atacante controlar de forma remota los controles del vehículo.

Uno de los componentes del M365 scooter, el módulo de conectividad bluetooth que permite comunicar el vehículo con el «smartphone», presenta una vulnerabilidad que lo expone a terceros, tal y como ha descubierto la firma de ciberseguridad Zimperium.

La vulnerabilidad hace que la vinculación entre patinete y «smartphone» vía bluetooth no solicite contraseña ni ningún otro tipo de credencial. Asimismo, el patinete puede comprometerse con la instalación de «firmware» malicioso sin que sus sistemas detecten que no es u programa oficial.

La clave de este error de seguridad es que el patinete se puede conectar con el «smartphone» a través de diferentes aplicaciones, no solo desde la oficial, la Mi Home de Xiaomi. También puede conectarse con otras «apps» como M365 HUD que permite incluso bloquear el patinete desde el móvil.

Este «hackeo», que no exige ningún tipo de contraseña o verificación, sucede cuando el patinete no está vinculado a la «app» oficial, que sí exige una clave. Así, un tercero puede acceder al patinete e instalar «malware» en él para tener control de forma remota. Es decir, un atacante con malas intenciones podría acelerar o frenar el patinete sin que el usuario pueda evitarlo, además de acceder a su información personal.

Reacciones

«Xiaomi es consciente de la vulnerabilidad», ha reconocido la compañía en un comunicado. «Tan pronto como nos enteramos (fueron informados por Zimperium) de esta vulnerabilidad, hemos estado trabajando en solucionarlo y eliminar todas las aplicaciones no autorizadas». La compañía está trabajando en una nueva actualización que lanzará «lo más pronto posible».

Hasta ese momento, lo mejor que pueden hacer los usuarios es conectar el M365 scooter de Xiaomi a la «app» Mi Home. Tal y como aseguran algunos usuarios que han sido «hackeados», el patín no frena de golpe, sino que poco a poco pierde velocidad. Lo mejor, entonces, es entrar en la «app» y desbloquearlo.

Cabe recordar, además, que la única solución de momento es mantenerlo todo el rato conectado a Mi Home, ya que solo puede estar vinculado con un solo dispositivo a la vez.

xiaomi-patinete-1-k9cH--620x349@abc

Los hackers demandan acceso global a los resultados de la investigación científica

La edición número 35 del congreso de hackers del Chaos Computer Club (CCC), que se celebra en la ciudad alemana de Leipzig, ha arrancado con una serie de demandas sociales entre las que destaca la exigencia de un acceso sin obstáculos a todos los resultados de la investigación científica. Los piratas de la red se inspiran en la decisión tomada la semana pasada por el Instituto Max Planck, que eliminará gradualmente su acuerdo con la editorial científica internacional Elsevier hasta finales de este año e impulsará, junto con las universidades de Alemania, una campaña para el acceso sin restricciones a través de Internet a las publicaciones. La iniciativa de acceso abierto, denominada Deal, está patrocinada poruna alianza de organizaciones científicas alemanas. Las conversaciones entre Elsevier y el proyecto Deal se suspendieron el pasado mes de julio, debido a una disputa sobre las condiciones con las editoriales científicas Springer y Wiley. El congreso de Chaos Computer Club exige que se llegue a un acuerdo extensible a toda la investigación científica en la que intervenga la financiación estatal y que en su opinión debe quedar gratuitamente a disposición de todos los ciudadanos en la red.

«Tenemos que derribar el muro de pago de las publicaciones científicas», ha reivindicado Claudia Frick, científica del Centro de Investigación de Biblioteconomía de Jülich. «Frente a desafíos como el cambio climático, nunca ha habido una necesidad mayor en torno una discusión amplia sobre los resultados de la investigación», ha argumentado, refiriéndose al «gran potencial para reformar el sistema de publicaciones existente sin restringir el control de calidad que es indispensable para las publicaciones científicas».

Otra de las líneas destacadas de la apertura es la advertencia sobre la vulnerabilidad de los ordenadores del sistema electoral de Estados Unidos, debido al software antiguo de 2005 que utilizan y en el que J. Alex Halderman, de la Universidad de Michigan, asegura que es relativamente fácil entrar. «Las próximas elecciones en EE.UU. tendrán lugar dentro de 22 meses y es urgente una actualización que garantice la seguridad del sistema», apremia CCC.

En esta edición se ha puesto el foco en la protección de datos personales, tratando temas que van desde los riesgos de seguridad de los ordenadores, o los hackeos, a la inteligencia artificial. Además, ha sido aumentada la protección de la intimidad de los participantes limitando el acceso de los medios de comunicación convencionales. Los títulos de las ponencias abordan temas tan dispersos como el mercado de órganos humanos o el «bondage», pero sobre todo preocupa a los asistentes todo lo relacionado con la nueva ciencia de la privacidad. Y todo ello bajo el lema de este año: «Refreshing Meomories». Con el denominado 35C3 serán recuperados los recuerdos de congresos anteriores y puestos en valor triunfos que hoy consideramos parte de la normalidad pero que son fruto de una lucha que a menudo arrancó en diferentes ediciones de congreso.

«Nos hemos convertido en un icono del cosmopolitismo y de cómo en tiempos de hostilidad hacia la democratización de la ciencia, tiempos de populismo y falsas verdades los ciudadanos pueden defenderse luchando unidos en la red», puede leerse en el blog del evento. «Ya no es solo software, se trata cada año más de cuestiones políticas y sociales». Los medios de comunicación son solo bienvenidos a golpe de talonario, como es el caso de la radio alemana Deutschlandfunk, que se ha garantizado el acceso financiando un gran taller sobre podcasting.

Desde sus inicios, CCC se ha caracterizado por el uso de los medios para denunciar casos de inseguridad informática y expandir lo que llaman la «fiolosfía de la comunicación», pero siempre se ha relacionado con ellos desde la desconfianza. Otra seña de identidad, a diferencia de muchos clubes norteamericanos, es que su objetivo no es asaltar instalaciones informáticas o servidores por diversión, lucro o cuestiones de ego, sino que se orientan a la presión política y social, además del establecimiento y promoción de lo que denominan la «ética y ciencia del hacking».

 

hackers-k8GF--620x349@abc