Archivos por Etiqueta: hackers

«Formjacking», el nuevo método en auge de los ciberdelincuentes

El «formjacking», copiar datos de tarjetas en internet para luego venderlos en el mercado negro, es uno de los métodos de ciberdelincuencia que más se extendió en el mundo durante 2018, mientras que los ataques de «ransomware» (virus malicioso) como el WannaCry  bajaron.

Así se desprende del último informe anual sobre amenazas de seguridad en internet de 2018 de la empresa Symantec, que asegura que España es el octavo país europeo en número de amenazas detectadas. El «formjacking» afecta principalmente a pequeñas y medianas empresas y según el informe, cada mes se ven afectados una media de 4.800 webs, siendo los ataques a las páginas de Ticketmaster o British Airways los casos más sonados el año pasado.

En el caso del ataque contra la web de la aerolínea inglesa, que sufrió el robo de datos de 380.000 tarjetas, los ciberdelincuentes podrían haber obtenido cerca de 17 millones de dólares, ya que solo una sola tarjeta de crédito en internet puede ser vendida por 45 dólares (unos 40 euros). El «formjacking» es «una seria amenaza tanto para las empresas como para los consumidores», según el director de estrategia de seguridad de la empresa en España, Ramsés Gallego.

Según el informe, la disminución de este tipo de ataques se deben a la creciente adopción de sistemas de seguridad de computación en la nube (cloud), que hace los ataques menos eficaces ya que existen copias de seguridad. Por esto también, la nube se ha convertido en un nuevo objetivo para los ladrones digitales: solo el año pasado más de 70 millones de registros fueron robados o filtrados desde directorios de almacenamiento en nubes públicas.

1202892988-U308353779818QC--620x349@abc

Los patinetes Xiaomi pueden ser controlados por un tercero de forma remota, por un error de seguridad.

Es el más popular. Y seguro que la mayoría de los patinetes eléctricos que ves por la calle son el modelo M365 scooter de Xiaomi. Ahora, ha trascendido que presenta una vulnerabilidad que permite a un potencial atacante controlar de forma remota los controles del vehículo.

Uno de los componentes del M365 scooter, el módulo de conectividad bluetooth que permite comunicar el vehículo con el «smartphone», presenta una vulnerabilidad que lo expone a terceros, tal y como ha descubierto la firma de ciberseguridad Zimperium.

La vulnerabilidad hace que la vinculación entre patinete y «smartphone» vía bluetooth no solicite contraseña ni ningún otro tipo de credencial. Asimismo, el patinete puede comprometerse con la instalación de «firmware» malicioso sin que sus sistemas detecten que no es u programa oficial.

La clave de este error de seguridad es que el patinete se puede conectar con el «smartphone» a través de diferentes aplicaciones, no solo desde la oficial, la Mi Home de Xiaomi. También puede conectarse con otras «apps» como M365 HUD que permite incluso bloquear el patinete desde el móvil.

Este «hackeo», que no exige ningún tipo de contraseña o verificación, sucede cuando el patinete no está vinculado a la «app» oficial, que sí exige una clave. Así, un tercero puede acceder al patinete e instalar «malware» en él para tener control de forma remota. Es decir, un atacante con malas intenciones podría acelerar o frenar el patinete sin que el usuario pueda evitarlo, además de acceder a su información personal.

Reacciones

«Xiaomi es consciente de la vulnerabilidad», ha reconocido la compañía en un comunicado. «Tan pronto como nos enteramos (fueron informados por Zimperium) de esta vulnerabilidad, hemos estado trabajando en solucionarlo y eliminar todas las aplicaciones no autorizadas». La compañía está trabajando en una nueva actualización que lanzará «lo más pronto posible».

Hasta ese momento, lo mejor que pueden hacer los usuarios es conectar el M365 scooter de Xiaomi a la «app» Mi Home. Tal y como aseguran algunos usuarios que han sido «hackeados», el patín no frena de golpe, sino que poco a poco pierde velocidad. Lo mejor, entonces, es entrar en la «app» y desbloquearlo.

Cabe recordar, además, que la única solución de momento es mantenerlo todo el rato conectado a Mi Home, ya que solo puede estar vinculado con un solo dispositivo a la vez.

xiaomi-patinete-1-k9cH--620x349@abc

Los hackers demandan acceso global a los resultados de la investigación científica

La edición número 35 del congreso de hackers del Chaos Computer Club (CCC), que se celebra en la ciudad alemana de Leipzig, ha arrancado con una serie de demandas sociales entre las que destaca la exigencia de un acceso sin obstáculos a todos los resultados de la investigación científica. Los piratas de la red se inspiran en la decisión tomada la semana pasada por el Instituto Max Planck, que eliminará gradualmente su acuerdo con la editorial científica internacional Elsevier hasta finales de este año e impulsará, junto con las universidades de Alemania, una campaña para el acceso sin restricciones a través de Internet a las publicaciones. La iniciativa de acceso abierto, denominada Deal, está patrocinada poruna alianza de organizaciones científicas alemanas. Las conversaciones entre Elsevier y el proyecto Deal se suspendieron el pasado mes de julio, debido a una disputa sobre las condiciones con las editoriales científicas Springer y Wiley. El congreso de Chaos Computer Club exige que se llegue a un acuerdo extensible a toda la investigación científica en la que intervenga la financiación estatal y que en su opinión debe quedar gratuitamente a disposición de todos los ciudadanos en la red.

«Tenemos que derribar el muro de pago de las publicaciones científicas», ha reivindicado Claudia Frick, científica del Centro de Investigación de Biblioteconomía de Jülich. «Frente a desafíos como el cambio climático, nunca ha habido una necesidad mayor en torno una discusión amplia sobre los resultados de la investigación», ha argumentado, refiriéndose al «gran potencial para reformar el sistema de publicaciones existente sin restringir el control de calidad que es indispensable para las publicaciones científicas».

Otra de las líneas destacadas de la apertura es la advertencia sobre la vulnerabilidad de los ordenadores del sistema electoral de Estados Unidos, debido al software antiguo de 2005 que utilizan y en el que J. Alex Halderman, de la Universidad de Michigan, asegura que es relativamente fácil entrar. «Las próximas elecciones en EE.UU. tendrán lugar dentro de 22 meses y es urgente una actualización que garantice la seguridad del sistema», apremia CCC.

En esta edición se ha puesto el foco en la protección de datos personales, tratando temas que van desde los riesgos de seguridad de los ordenadores, o los hackeos, a la inteligencia artificial. Además, ha sido aumentada la protección de la intimidad de los participantes limitando el acceso de los medios de comunicación convencionales. Los títulos de las ponencias abordan temas tan dispersos como el mercado de órganos humanos o el «bondage», pero sobre todo preocupa a los asistentes todo lo relacionado con la nueva ciencia de la privacidad. Y todo ello bajo el lema de este año: «Refreshing Meomories». Con el denominado 35C3 serán recuperados los recuerdos de congresos anteriores y puestos en valor triunfos que hoy consideramos parte de la normalidad pero que son fruto de una lucha que a menudo arrancó en diferentes ediciones de congreso.

«Nos hemos convertido en un icono del cosmopolitismo y de cómo en tiempos de hostilidad hacia la democratización de la ciencia, tiempos de populismo y falsas verdades los ciudadanos pueden defenderse luchando unidos en la red», puede leerse en el blog del evento. «Ya no es solo software, se trata cada año más de cuestiones políticas y sociales». Los medios de comunicación son solo bienvenidos a golpe de talonario, como es el caso de la radio alemana Deutschlandfunk, que se ha garantizado el acceso financiando un gran taller sobre podcasting.

Desde sus inicios, CCC se ha caracterizado por el uso de los medios para denunciar casos de inseguridad informática y expandir lo que llaman la «fiolosfía de la comunicación», pero siempre se ha relacionado con ellos desde la desconfianza. Otra seña de identidad, a diferencia de muchos clubes norteamericanos, es que su objetivo no es asaltar instalaciones informáticas o servidores por diversión, lucro o cuestiones de ego, sino que se orientan a la presión política y social, además del establecimiento y promoción de lo que denominan la «ética y ciencia del hacking».

 

hackers-k8GF--620x349@abc

El grave fallo de seguridad del router Livebox de Orange

Estás harto de ver en los hogares los modems Orange Livebox, con los que el operador comercializa en España el ADSL y fibra. El problema es que ahora se acaba de descubrir que dichos routers tenían un fallo de seguridad muy grande que, aunque ya ha sido solucionado, ha afectado a 19.500 unidades en nuestro país.

Un investigador de seguridad descubrió el pasado fin de semana el nuevo «bug» con el que a Orange se le ha atragantado la Navidad. Y es que dichos routers, en concreto el modelo LIVEBOX ARV7519RW22-A-LT VR9 1.2 de Arcadyan, no eran ciberseguros porque han estado exponiendo información del usuario, como la contraseña y el SSID, es decir, nombre de la red inalámbrica del router. «Pero solo para quellos clientes que tenían el acceso remoto activado», reseñan fuentes de la compañía a ABC.

La vulnerabilidad encontrada ( CVE-2018-20377, analizada ya por el Instituto Nacional de Estándares y Tecnología), ha podido ser aprovechada por un ciberdelincuente, que sin esfuerzo alguno, ha podido obtener la contraseña y el SSID de la red interna.

Siempre es conveniente, por razones de seguridad, que los usuarios, a la hora de configurar su Red, cambien los credenciales de origen por otras contraseñas robustas. Sin embargo, en este caso no ha servido de nada, porque el «bug» de Orange ha permitido que cualquier ciberdelincuente se haga con las claves de acceso sin problema.

Según informa Troy Mursch, el investigador de seguridad que ha denunciado el caso, y tal y como confirma la compañía, Orange ha lanzado ya una actualización del firmware para solucionar el error.

Según fuentes de la compañía, este «bug» no tiene nada que ver con el detectado en 2012, tal y como se ha relacionado. «El problema fue otro y de otro router diferente», asegura Orange a ABC.

orange-1-kM9H--620x349@abc (1)

 

Las fotos de 6,8 millones de usuarios de Facebook al descubierto

Facebook acaba de comunicar en la tarde de este viernes un nuevo error de seguridad que puede haber afectado a hasta 6,8 millones de personas que utilizaron el inicio de sesión en la red social para otorgar permiso a aplicaciones de terceros. Estas «apps», según informa la compañía, accedieron a las fotografías de cada usuario.

El incidente, según la compañía, se desarrolló durante 12 días, entre el 13 de septiembre y el 25 de septiembre, a pesar de que es ahora cuando Facebook lo comunica. Aunque la compañía que dirige Mark Zuckerberg asegura que el «bug» está solucionado, confiesa que hasta 1.500 aplicaciones creadas por 876 desarrolladores están implicadas en este nuevo error de seguridad.

«Hemos solucionado el problema pero, debido a este error, es posible que algunas aplicaciones de terceros hayan tenido acceso a un conjunto de fotos más amplio de lo habitual», reconoce la compañía en un comunicado.

Facebook ha explicado que el error se ha detectado en una API de fotografía que ha afectado a aquellos usuarios que iniciaron sesión con la cuenta de Facebook en aplicaciones terceras. De esta manera, dieron los permisos necesarios para que los desarrolladores hayan accedido a las imágenes.

Revisar la configuración de la cuenta

«Cuando un usuario permite a una aplicación acceder a sus fotos de Facebook, normalmente solo damos acceso a las fotos que se comparten en el muro. Sin embargo, el error ha podido dar acceso a otras fotos, como las compartidas en las historias o en el marketplace», informa Facebook. De hecho, los desarrolladores han podido acceder a imágenes que ni siquiera el usuario terminó de subir porque «almacenamos una copia de esa foto durante tres días para que la persona la tenga cuando regrese».

La compañía, que lamenta el suceso, ha asegurado que lanzará nuevas herramientas en las próximas semanas para que los desarrolladores puedan averiguar qué usuarios han sido afectados y notificará a los usuarios que se hayan visto afectados por este error de seguridad para que, si lo desean, eliminen sus fotos. Aún así, Facebook, que cuenta con 2.200 millones de usuarios, recomienda que cada usuario revise cómo tiene configurada su cuenta en las opciones de seguridad.

Este nuevo capítulo se suma al año horrible en el que la compañía se encuentra inmerso a causa de numerosos problemas de privacidad que han salido a la luz este año, entre los que destacan el escándalo de Cambridge Analytica en abril Y el «hackeo» que la red social sufrió el pasado mes de octubre en el que 50 millones de cuentas se vieron afectadas.

 

facebook-1-krKF--620x349@abc