El FBI tuvo que pagar para desbloquear el iPhone del terrorista.

Sin título77

La noticia publicada por el periódico The Washington Post confirma que el FBI tuvo que abonar una suma de dinero para lograr hacerse con una herramienta de desbloqueo. Hace unas semanas el FBI explicaba que decidió retirar su demanda en contra de Apple, por la negativa de facilitarles una herramienta para desbloquear el iPhone en cuestión, pese a que la justicia les había pedido su colaboración. Unos días atrás el FBI salió a decir que habían encontrado una solución a sus problemas, apareció la famosa herramienta que desbloqueó el iPhone del terrorista, y con ello, las especulaciones sobre cómo la habían conseguido empezaron a circular por Internet.

El sitio de The Washington Post informa que el FBI habría pagado a una empresa de seguridad o a un hacker para crear un exploit 0-Day que permitió crackear y acceder al dispositivo. En otras palabras, encontrar una vulnerabilidad aún no descubierta en el sistema operativo del teléfono inteligente para así poder colarse por allí.

Pero mucho cuidado, cuando hablamos de un hacker no es lo que todos conocemos, los hay de los dos tipos, los buenos y los malos. Un hacker de sombrero blanco, como se los conoce comúnmente, tratan de ayudar a organizaciones y otras empresas para encontrar vulnerabilidades en sus dispositivos y a cambio de ello obtienen una recompensa. El hacker de sombrero negro es el que usa sus descubrimientos para piratear redes y robar información de las personas. Y en un tercer lugar hay una categoría conocida como hacker de sombrero gris, se trata de investigadores que venden herramientas a gobiernos o empresas fabricantes de instrumentos de vigilancia.

Los críticos expertos explican que este último grupo de hackers están ayudando a los gobiernos a espiar a sus propios ciudadanos. En cambio, las herramientas que crean pueden ayudar a rastrear o espiar terroristas que atenten contra la seguridad del país. La semana pasada el FBI daba a entender que el método utilizado no funcionaría en todos los dispositivos, pero sí en la gama 5c con iOS 9.

En principio las fuentes consultadas habían puesto como responsable a la firma Cellebrite, pero la primera plana la ocupa una persona desconocida hasta el momento, que pudo ser la responsable de crear la herramienta. Lo que todos se preguntan es el costo de algo tan invasivo capaz de romper la privacidad de un iPhone, pues bien, este tipo de exploit se venden profesionalmente por cifras muy elevadas, estamos hablando de más de un millón de dólares. Dado el grado de interés por parte del FBI para desbloquear el dispositivo, no sería nada descabellado pensar que pudieron haber pagado mucho más. Los métodos que utiliza el FBI para hacerse con información privada no son del todo bien vistos por los ciudadanos estadounidenses, hay quienes están indignados con lo sucedido, y otros piensan que lo primero es la seguridad del país, luego la privacidad. Sin dudas, una discusión de nunca acabar, porque ambas aristas son muy cuestionables.

Pasando directamente a lo que se encontró dentro del iPhone del terrorista, no fue nada significativo y que aporte algo para el transcurso de la investigación, informaba la cadena de noticias CBS News.

Varias empresas de seguridad y grupos de defensa de las libertades civiles indican que es necesario aumentar el nivel del cifrado, los datos solo deben ser leídos por los propietarios de los dispositivos con el fin de mantener la seguridad y proteger la privacidad, sea cual sea la persona en cuestión. Las autoridades de los Estados Unidos por su parte, expresan que no pueden luchar contra los delitos si no tienen acceso a la información en los dispositivos.

Aclarada por fin la novela de Apple y el FBI, sabiéndose que al final no había nada significativo en el iPhone, pero ahora con una herramienta muy poderosa en manos del FBI, ambas partes se verán las caras en el Congreso este martes 19 de abril. El debate tendrá a Amy Hess, ejecutiva asistente del Director de Ciencia y Tecnología del FBI, que abordará temas como las preocupaciones de la ley junto con otros agentes de la ley de todo el país. Mientras tanto, el consejero legal de Apple, Bruce Sewell, contará con el apoyo de profesionales de la ciencia y seguridad informática para hacerle frente al caso.

El FBI tiene en su poder una herramienta para desbloquear iPhones.

Sin título88

Como muchos recordarán el popular caso del FBI y el iPhone del terrorista del atentado de San Bernardinno, ahora ha salido a la luz una declaración de las autoridades comentando que han podido hacerse con una herramienta que rompe con el cifrado del dispositivo, y ahora sí está bajo su control. Los rumores se han expandido y las preguntas también, ¿cómo han podido hacerse con esa herramienta? ¿Quién fue la persona que la diseñó? Preguntas que todavía no tienen una respuesta definitiva.

El director del FBI, James Comey, confirmaba que ya no necesitaban la ayuda de Apple para tomar el control del iPhone; “Los litigios entre el gobierno y Apple sobre el móvil de San Bernardino han terminado, debido a que el gobierno ha comprado a un particular una manera para acceder al móvil, que era un iPhone 5c con iOS 9.”

Una vez que se pudo saber que el desbloqueo era un hecho, todo gira en torno a rumores sobre cómo han logrado desbloquearlo. Lo que sí es seguro, es que no ha sido el propio FBI por sus propias manos, hay una persona de afuera que logró vulnerar la seguridad del iPhone del terrorista. Recordemos que hace varios meses que el FBI estuvo intentando obligar a Apple para que acceda a descifrar el dispositivo mediante citaciones al juzgado, pero no tuvieron suerte con la firma de la manzana y todo se fue postergando hasta ahora. Y más datos dio el director del FBI sobre la supuesta/s personas detrás de la herramienta: “A las personas que les compramos esto, se bastante de ellos y que tengo un alto nivel de confianza sobre que ellos son muy buenos en lo que protegen, y que sus motivaciones están alineadas con las nuestras.”

¿Se tratará de un grupo de personas? ¿Una firma de seguridad? Lo seguro es que las personas detrás de la herramienta están muy vinculadas con el FBI, entes y élites estatales, si bien no se puede sacar nada en claro, no parece ser alguien del exterior de los Estados Unidos. La preocupación de las personas ahora se ha puesto en marcha, luego que el director del FBI haya confirmado que la herramienta de desbloqueo también funciona con otra limitada gama de iPhones, lo que quiere decir que podría llevar a utilizarse en otros casos que requieran la intervención de la justicia.

Hace unos días el Abogado del Condado de Faulkner, Cody Hiland, confirmó que el FBI respondió a sus peticiones y desbloqueará dos iPhone pertenecientes a dos adolescentes acusados de asesinato. Uno de ellos Hunter Drexler y el otro Justin Staton, de 18 y 15 años respectivamente. ¿Será que ahora el FBI atentará contra la privacidad de los iPhone? Esto es lo que temía desde un principio la firma Apple y todas las compañías que apoyaban al gigante de la manzana, una herramienta como ésta en manos del FBI puede ser un arma de doble filo.

El grupo Fight for the Future (Lucha por el Futuro) ha acusado a la agencia de seguridad de poner vidas en peligro al no explicarle a Apple dónde está la vulnerabilidad en sus dispositivos. Si realmente encontraron una brecha de seguridad, deberían informarle a Apple para que trate de solucionarla, esa es la única manera de prevenir ataques de cibercriminales, comentaban. Según una política gubernamental “Vulnerabilities Equities Process”, el estado tiene el deber de informar de las vulnerabilidades que descubre. ¿Prosperará esta propuesta ahora? La pelota ahora está en chancha del FBI.

“En el momento que vi las noticias me preocupó que los clientes empezaran a desconfiar de la seguridad de Apple y por lo tanto de su información”, declaraba Bryan Ma, vicepresidente de investigación de dispositivos en IDC. Lo único bueno para sacar en limpio aquí es que Apple puede tener como excusa decir que el iPhone era un 5c, que no contiene enclave de seguridad ni Touch ID, los usuarios de los nuevos iPhone no tendrán que preocuparse por ello, explica Bryan Ma.

“El gobierno se tardó meses en desbloquearlo, el hecho de que se acceda a información no involucra al ciudadano común, y más teniendo en cuenta que el iPhone sigue siendo mucho más seguro que Android”, comentaba Simon Piff, analista en IDC.

Sin dudas este caso continuará con polémicas las siguientes semanas, ahora resta saber cómo reaccionará Apple a la supuesta vulnerabilidad descubierta por un tercero, a la herramienta en cuestión y al método utilizado para romper el cifrado del iPhone 5c.

Petya, un nuevo ransomware que afecta el arranque de equipo.

Sin título3

En el correr de la semana ha salido a la luz una nueva amenaza bautizada como Petya, se distribuye principalmente por correos electrónicos que se disfrazan como propuestas de trabajo. Se trata de un nuevo caso de ransomware, el cual infecta el equipo y pide un rescate para descifrar los archivos, su característica especial es que hace un bloqueo avanzado del sistema afectando directamente al disco duro.

A diferencia de otros ransomware que realizan bloqueos de archivos, Petya tiene una particularidad, inyecta código malicioso en el MBR (Master Boot Record), o en otras palabras, el sector de arranque del disco duro, lo que le impide su lectura normal y no deja tan siquiera que el sistema ingrese a Windows, explican los investigadores de la firma Trend Micro. Los que no entienden tanto de sistemas no sabrán que función cumple el MBR, se trata de los primeros sectores del disco duro donde comúnmente queda escrito el sector que arranca el sistema, allí se aloja información sobre las particiones del disco y el sistema operativo. Si Petya modifica estos sectores tan importantes para Windows, el sistema no es capaz de arrancar, ya que el equipo no puede reconocer las particiones y no sabe dónde se encuentra alojado el sistema operativo.

Los cibercriminales utilizan como gancho correos electrónicos ofreciendo empleo, ya que es más fácil captar víctimas que estén necesitando trabajo. En países donde la tasa de desempleo es alta, no se puede dejar pasar estas oportunidades. Según se pudo saber, Petya se está distribuyendo principalmente en empresas con mensajes dirigidos a departamentos de recursos humanos. Ahora bien, ¿por qué va dirigido a las empresas?, por la simple razón que allí hay datos muy importantes y por ende muchas más víctimas. Trend Micro ha logrado hacerse con un correo electrónico y dentro de él hay una carpeta de Dropbox compartida, en su interior vemos un archivo de presentación donde se extrae un currículum vitae del solicitante y una foto totalmente falsa. En el caso de que la víctima caiga en la trampa y ejecute el archivo del currículum, se instalará el ransomware en el equipo.

¿Qué tal? Es difícil detectar si un archivo malicioso es enviado en forma de currículum vitae a una empresa, ya que podría estar buscando empleados y todo parece ser verídico. Por eso siempre se hace especial hincapié en un buen sistema de seguridad para las empresas. Una vez que Petya se alojó en el equipo se puede esperar lo peor, el ransomware comenzará a sobrescribir el sector MBR del sistema provocando que Windows muestre un error crítico y pida reiniciar inmediatamente. Cuando el sistema intente arrancar posterior al reinicio, no pasará nada, quedará muerto.

Algunos investigadores de seguridad explican que Petya es capaz de encriptar la tabla maestra de archivos (MFT), un archivo especial de la tabla de particiones NTFS que aloja información sobre todos los otros archivos. Al contrario de lo que pasa con los ransomware comunes, Petya no encripta datos de los archivos, lo que se traduce como una amenaza mucho más compleja de lo pensado y recuperar el disco duro podría llevar muchísimo tiempo. Una vez que se modifica la tabla de particiones NFTS, el sistema no puede iniciarse normalmente, estos datos del archivo son capaces de leerse si se utiliza las herramientas de recuperación de datos correspondientes, pero reconstruir los archivos reales es algo complicado y no hay un tiempo determinado, más aún el particular de los archivos fragmentados que se alojan en diferentes bloques del disco.

Una vez que se reinicie el equipo, Pertya mostrara una pantalla negra explicando que está reparando el disco local C:, porque encontro algunos errores en ciertos sectores del mismo. Pasará un tiempo luego que el análisis finalice y a continuación veremos un pantallazo rojo:

Sin título55

“Presione cualquier tecla” dice la leyenda en la parte inferior de la pantalla.

Sin título555

Aquí es donde empieza lo bueno, oficialmente el mensaje dice que ahora somos una víctima del ransomware Petya y los discos duros de nuestra computadora están encriptados con un algoritmo de grado militar. No habrá manera de recuperar la información sin una llave de desencriptado especial que la podremos comprar siguiendo los pasos que detallan los cibercriminales a continuación.

Para proteger su privacidad, los cibercriminales quieren que descarguemos el navegador web Tor, que permite ingresar a la conocida deep web. Únicamente podremos adentrarnos a sitios web con extensión .onion mediante el navegador anónimo Tor Browser. Esto quiere decir que necesitaremos otra computadora para una posible recuperación de los archivos, porque la nuestra está bloqueada totalmente. La pantalla roja nos indica las URL a las que debemos ingresar para luego ingresar un código de desencriptado que solo sirve para nuestro equipo.

Sin título1111

Si algo hay que destacar es el profesionalismo de los cibercriminales, la web está disponible en 10 idiomas, para que nadie pueda dejar de pagar el rescate. Una vez adentro, tendremos un plazo de seis días para pagar el rescate y obtener una llave de desencriptado, si pasa ese tiempo, el precio a pagar irá en aumento. Lo que todos se preguntan es ¿cuál es el precio?, pues bien, la moneda elegida para pagar son los Bitcoins, y son aproximadamente 0.99 de precio base dentro de los seis días, algo así como 430 dólares americanos.

Según se supo, Petya ya ha logrado afectar a varias empresas alemanas, pero no se descarta el el ransomware se comience a expandir por el resto del mundo, debido a que su web se encuentra disponible en 10 idiomas. Las empresas deberán ser muy cautelosas en este sentido, utilizando herramientas de seguridad empresariales para proteger sus redes de equipos.

Los correos electrónicos con URLs desconocidas no deberían ser abiertos, y mucho menos descargar archivos de dudosa procedencia, la alerta pública está hecha y a partir de ahora habrá que tener cuidado cuando alguien envía un currículum vitae disfrazado en un archivo extraíble (zip o rar).

El FBI no necesitaría ayuda de Apple para desbloquear el iPhone del terrorista.

Sin título

Este mes hacíamos referencia al duro enfrentamiento entre el FBI y Apple ante su negativa de “hackear” un iPhone de un terrorista para obtener más datos sobre el caso. Pues bien, ahora el FBI sale a decir que quizás no sea necesaria la ayuda de Apple para desbloquear el famoso iPhone del terrorista que causó estragos en el atentado de San Bernardino en diciembre de 2015.

Parece que las cosas se le han dado vuelta al FBI y ahora encontró un método para hacerse con los datos del dispositivo, de todas maneras la audiencia que debía juntar ambas partes, el FBI y Apple este 22 de marzo fue suspendida por el pedido del Departamento de Justicia de los Estados Unidos, la decisión se tomó luego que las autoridades dijeron que habrían encontrado una manera de desbloquear el dispositivo sin la ayuda de Apple.

Por su parte, Apple sigue con la misma posición, desde la firma de la manzana no creen conveniente que comprometer la seguridad de sus dispositivos sea algo bueno, y si lo hicieran sentirían un peligroso precedente. “La realidad es que si pones un backdoor es para cualquiera, los buenos y los malos”, señalaba Tim Cook, el CEO de Apple. Si el FBI encontró un método de descifrar el iPhone corre por su cuenta, Apple se mantiene firme y no fabricará una herramienta para vulnerar la seguridad del iPhone, porque en manos del FBI podría utilizarse para otros fines y con otros usuarios comprometiendo la confianza de sus clientes.

¿Ahora cómo sigue la petición? En este momento está estancado, ya que ahora el FBI ha salido a decir públicamente que podría desbloquear el iPhone en cuestión. En cambio, si esto no se concreta, el gobierno de los Estados Unidos tiene tiempo hasta el 5 de abril para tomar una decisión, si el cifrado no se logra romper, la petición del FBI continuará tal y como estaba hasta el momento. En caso de que la petición fuera desestimada por el juez, el diario The Guardian informa que Apple no lo considerará como una victoria legal, con los inconvenientes relacionados con el acceso y el cifrado sin resolver, es una cuestión de tiempo antes que los problemas vuelvan a salir a la luz.

Lo interesante de esto es que si el FBI fuera capaz de descifrar el iPhone del terrorista, ¿estaría obligado el FBI a informarle a Apple sobre el fallo de seguridad? Recordemos que en caso de lograrlo, sería mediante la explotación de alguna vulnerabilidad del dispositivo, y en ese caso Apple querría solucionarlo. Hay una gran variedad de preguntas y vacíos que restan por resolver, el FBI está intentando hackear un dispositivo y ¿eso está bien? ¿Apple debería pedirle al FBI que le informe sobre la vulnerabilidad en caso de encontrarla?

El caso se ha hecho eco en todo el mundo y las opiniones van todas hacia un lado, Apple no debe concederle ninguna herramienta al FBI, porque estaría manchando su imagen de privacidad y la confianza de sus usuarios. Son varias las compañías que se han unido y apoyan la resolución de Apple, inclusive trabajan constantemente para mejorar su cifrado. Apple cuenta con un sistema operativo cerrado, en el cual a diferencia de Android, pueden sentirse mucho más seguros gracias a que no es un sistema de código abierto. Por este motivo, iOS todavía cuenta con una capa de seguridad extra, que permite que no tenga tantas incidencias de malware como pasa con Android.

Por el momento tendremos que aguardar a que se acerque el 5 de abril para saber cómo avanza todo esto y saber si el FBI logró desbloquear el dispositivo en disputa.

TP-Link no permitirá el uso de firmware de terceros en sus routers.

Sin título4

Uno de los fabricantes de routers más grandes del mundo, TP-Link ahora no permitirá que su firmware instalado de fábrica sea sustituido por otro de terceros. Así lo han explicado desde la compañía, guiándose por las nuevas recomendaciones de la Federal Communications Commision (FCC) de los Estados Unidos, y no es descabellado suponer que otros fabricantes adopten esta nueva medida de seguridad.

Seguramente nunca has escuchado hablar de los firmwares open source para los routers y otros dispositivos, se trata de instalarle otro “sistema operativo” a los routers para que en muchos casos se potencie su control para usuarios avanzados, y también para sacarle un mayor rendimiento. Instalar estos firmwares DD-WRT y OpenWRT basados en Linux le puede dar al usuario otras posibilidades que el instalado por defecto no ofrece.

Con el fin de que los dispositivos tengan una mayor seguridad, la FCC está dictando nuevas reglas para los fabricantes de routers inalámbricos Wi-Fi, se busca que los dispositivos funcionen solo con el rango de frecuencias licenciadas y con los niveles de potencia adecuados. El primer fabricante que salió a comunicar que se adhería a la iniciativa es TP-Link, uno de los fabricantes más conocidos del mundo, en su comunicado expresaba que de ahora en adelante todos sus dispositivos fabricados bloquearán el firmware “open source” como OpenWRT o DD-WRT. Ahora la comunidad de usuarios está dividida en cuanto a opiniones, para TP-Link es algo bueno, ya que mediante este método evita que los usuarios con más conocimientos instalen firmware de terceros para personalizar los routers. Del otro lado están los usuarios que están muy desconformes con la medida, porque explican que limitan las funcionalidades de los aparatos, un firmware de código abierto puede llegar a ser mucho más personalizable y completo que el que ofrece el fabricante.

La decisión nació allá por marzo de 2015, cuando la FCC publicaba un documento con varias recomendaciones en materias de seguridad, invitando a los fabricantes de routers a que siguieran las indicaciones que debían ser aplicadas para la licencia de venta de sus dispositivos. En el documento se expresaba que el router debería tener una protección para que no se pueda instalar firmware de código abierto.

Hecho el anuncio, la FCC era duramente criticada por la resolución que pedía por parte de los fabricantes y aclaró que; no se está prohibiendo el uso de código abierto en el firmware, las versiones de código abierto se pueden utilizar, con la condición de que no añadan la funcionalidad de modificar las características de funcionamiento adyacentes relacionadas con los parámetros de radiofrecuencia. Más tarde, allá por noviembre de 2015, la FCC actualizó el documento y con ello sus declaraciones; no se pretende prohibir el uso de firmware de terceros, pero sí el uso indebido de los mismos para aprovechar las bandas de frecuencia (Wi-Fi) para los que no fueron diseñados.

A partir de hoy, serán varios los fabricantes que darán este paso, Netgear y Rosewill también implementarán las medidas, y muy pronto los seguirán las grandes marcas. TP-Link fue el pionero en el asunto y comentaba que esta medida trata de limitar la funcionalidad de los routers, pero entienden que es una recomendación de la FCC para favorecer la seguridad.

Exploit Angler causó estragos por los sitios web más visitados de Internet.

Sin título4444

El exploit Angler ha causado estragos en los principales sitios de Internet, así lo explican varias firmas de seguridad que detectaron este inconveniente, varios navegadores web podrían haber quedado el riesgo para la entrada de ransomware y otras amenazas después que este exploit se alojara en los sitios web más populares del mundo.

Angler es un exploit que distribuye publicidad maliciosa, dicha publicidad está conectada a servidores que alojan Angler, que es un paquete de software capaz de analizar los equipos en busca de vulnerabilidades con el único fin de ofrecer malware, comentan desde Trend Micro.

Otra firma de seguridad que logró detectar la amenaza fue Trustwave, cuando el lunes pasado realizaba un artículo en su blog informando que habían detectado una gran campaña de publicidad maliciosa que relacionaban con el exploit Angler. Pero no se sabía con exactitud si ambas firmas estaban comentando sobre el mismo tema, porque en ese momento todo era muy incierto. Algo que sí escribieron en común fue que la campaña de publicidad maliciosa era capaz de abrir una backdoor llamada “BEDEP” que dejaba que los atacantes introduzcan malware en los equipos afectados. La firma Trustwave también detectó que TeslaCrypt era otra amenaza que los cibercriminales estaban tratando de introducir a sus víctimas.

Los cibercriminales, lejos de dar un paso sin haber revisado antes el camino a seguir, lograron apoderarse de un dominio llamado “brentsmedia.com”. Este sitio web actualmente fuera de funcionamiento ofrecía diversos tipos de soluciones relacionadas con la publicidad en Internet. “BrentsMedia era probablemente un negocio auténtico y pensamos que no conocían la historia de Angler; seguramente los cibercriminales detrás de Angler intentaban utilizar la reputación del dominio para engañar a las compañías y así introducir publicidad maliciosa en sus campañas”, explicaban desde Trustwave.

Las publicidades de esta campaña eran publicadas en sitios muy visitados desde todo el mundo, los cibercriminales le entregaban a esos sitios un archivo JSON de Javascript de brentsmedia.com, que se trata de un archivo de intercambio de datos, vendría a ser algo que descarga los anuncios que serán mostrados en los equipos de los usuarios. Lo extraño de este archivo es que tenía 12.000 líneas de Javascript no muy claras, y eso se les hacía sospechoso a los investigadores de Trustwave. El método de funcionamiento era el siguiente; el Javascript en gran parte trata de identificar si hay productos o soluciones de seguridad instaladas en el equipo de la víctima, si no los encuentra procede con la carga de una segunda “página de aterrizaje” alojada en otro dominio donde está el exploit Angler.

Luego de los anuncios por parte de Trustwave a las empresas de publicidad, los anuncios maliciosos que se encontraban en una de las empresas fueron borrados, la otra todavía no pudo ser localizada y se está esperando una respuesta. Desde Trustwave insisten en no revelar el listado completo de sitios afectados, pero según se pudo saber algunos de ellos son Answers.com, ZeroHedge, BBC, MSN, Newsweek, New York Times, entre otros.

El hecho que los cibercriminales ubiquen publicidades maliciosas en sitios web de alto tráfico les proporciona poder infectar un mayor número de equipos en un período de tiempo más corto, obteniendo resultados mucho más rápidos en comparación a las cadenas de spam. Si bien la campaña está bajo control, cuando estuvo activa pudo haber infectado a miles y miles de usuarios durante el comienzo de la semana, explicaba Joseph C. Chen, investigador de fraude en Trend Micro. El investigador informa que los principales sitios ya se deshicieron de la publicidad maliciosa, pero la campaña de Angler seguirá trabajando por la red buscando más víctimas y por lo tanto el riesgo aún está latente, los usuarios deberán tener mucho cuidado y tener una solución antivirus actualizada para evitar este tipo de inconvenientes, ya que no solo estaríamos introduciendo malware, nuestros archivos podrían quedar cifrados a causa de TeslaCrypt.

Como dato interesante y quizás relacionado con el gran ataque de Angler, el viernes pasado hubo un ataque muy parecido utilizando un exploit diferente llamado Rig. Desde la firma Malwarebytes comentan que este ataque también atacó a grandes compañías publicitarias, pero no a gran escala, y quizás podría haber sido una prueba de fuego para el gran ataque que afectó a varios sitios el pasado domingo.  Las herramientas de seguridad que utilizan las compañías de publicidad en línea tratan de evitar este tipo de fraudes, pero todavía no son tan perfectas para detectar amenazas de este tipo.

¿Tienes una notebook Samsung? ¡Actualízala cuanto antes!

Sin título3434

Mucha atención, porque los usuarios que tengan una notebook Samsung, tendrán que actualizar el software de la compañía lo más rápido posible. Se trata de una vulnerabilidad que deja al descubierto un fallo de seguridad en el cual los atacantes podrían enviar programas a una víctima y obtener el control total del equipo. Desde la firma surcoreana han confirmado que ya se encuentra disponible un parche correctivo y es necesario descargarlo para no tener el equipo vulnerable.

La vulnerabilidad se encuentra alojada en la herramienta para actualizar los drivers y el software de la firma, el programa Samsung SW Update Tool 2.2.5.16. El responsable del descubrimiento es un investigador que pertenece a la firma Core Security, detectándola el pasado noviembre de 2015, pero no quiso sacarla a la luz hasta el 4 de marzo, fecha en la que Samsung sacó la actualización que soluciona el inconveniente. A diferencia de otras compañías, este investigador de seguridad avisó a Samsung sobre el fallo y esperó una solución para informar su descubrimiento, así todos tendrían la posibilidad de estar protegidos. Recordemos que firmas como Google avisan a la compañía y si la incidencia no se soluciona luego de un tiempo, la hacen pública para el conocimiento de las personas dejando la puerta abierta a que un cibercriminal se aproveche.

“Esta vulnerabilidad podría ser considerada como una amenaza media o baja para la mayoría de los equipos Samsung”, explica Joaquín Varela, Investigador Senior en Core Security. En cuanto a los modelos que están en riesgo, se informa que todos los que utilicen Windows 7, 8 y 10, si los equipos no tienen la herramienta Samsung SW Update Tool actualizada, se recomienda hacerlo a la brevedad muy a pesar de la versión anterior que se esté utilizando, no obstante desde Core Security afirman que no tuvieron la oportunidad de chequear otras versiones, así que no descartan que esas otras también estén siendo afectadas.

Adentrándonos más en lo que es el fallo de seguridad, permite a los atacantes realizar ataques man-in-the-middle, aprovechándose de que Samsung no hace ningún tipo de conexión cifrada o de autenticar el tráfico entre su herramienta de actualización y sus servidores. Esto hace que cualquier atacante pueda interceptar el tráfico para introducir malware al equipo de la víctima. Para explotar la vulnerabilidad los atacantes deberían hacer una suplantación de DNS enrutando el tráfico web desde la víctima hasta el sistema del atacante, el problema yace en que esta herramienta actualiza el software de Samsung automáticamente y no se enterarían de que están siendo atacados.

El fallo de Samsung es que un atacante mediante un man-in-the-middle puede interceptar la petición de un fichero XML que tiene el modelo ID de cada driver solicitado. Dentro de ese fichero se aloja una etiqueta llamada “FURL” que contiene las URL de los ficheros que se descargarán y serán ejecutados por la herramienta de actualización de Samsung. Lo que preocupa es que no hay ningún paso que verifique que lo que estamos descargando sea directamente desde los servidores de Samsung, y es allí donde el atacante podría modificar ese fichero XML a su gusto para introducir código malicioso en el equipo de su víctima, gracias a la configuración que trae por defecto de actualizar el software automáticamente.

El gigante surcoreano, Samsung, no ha emitido ningún informe sobre lo sucedido, solo se limitó a publicar el 4 de marzo una actualización de software, más específicamente la 2.2.7.20 la que corrige el fallo de seguridad y en adelante no tendrá más problemas. Según el investigador de Core Security, Joaquín Varela, ha podido testear la nueva versión y explica que Samsung ahora encripta el tráfico HTTP entre la herramienta y sus servidores, así como también agrega una autenticación para corroborar que los archivos descargados son los que en definitiva se solicitan mediante la herramienta de actualización. Esto da una total garantía a los usuarios, ahora pueden estar tranquilos que las comunicaciones no serán interceptadas y se descargarán en sus equipos las verdaderas actualizaciones para sus componentes.

Recuerda que la versión oficial parcheada es la 2.2.7.20 y puede ser descargada del sitio web oficial de Samsung: http://www.samsung.com/es/support/. Solo tienes que buscar tu producto y modelo para acceder a las descargas correspondientes.

Por suerte ya está todo solucionado, pero otra vez un software proporcionado por el fabricante vuelve a poner en peligro a sus usuarios, algo muy parecido al caso de Lenovo y su adware Superfish. Las herramientas preinstaladas en los equipos suelen tener a menudo vulnerabilidades, y son cada vez más las que vienen por defecto, lo que hace que el equipo se vea en riesgo. Cabe recalcar que las personas que no tengan Windows 7, 8 o 10 instalado de fábrica no tienen este problema, ya que pasaron por un formateo y no cuentan con la herramienta de Samsung, así como los usuarios que utilicen otro sistema operativo se encuentran a salvo.

El duro choque entre Apple y el FBI, ¿quién será el ganador?

Sin título666

Hace ya un tiempo que esta novela entre Apple y el FBI ha tomado una repercusión mundial, y es momento de tocar un poco el tema. Todo comenzó durante una investigación policial a causa de un ataque terrorista en California, las autoridades encontraron un iPhone en el lugar de los hechos y al parecer el FBI le pidió a Apple que desbloqueara el dispositivo para recabar más información sobre lo sucedido. Tim Cook, actual director de Apple se ha negado rotundamente a esta petición, la privacidad en estos casos es lo primero y Apple se opone a desbloquear cualquier dispositivo, aunque sea de un criminal.

Es así como se ha generado un gran debate en las redes y líderes de otras empresas en Internet también se han manifestado al respecto, varios de ellos apoyando la decisión de Apple por no violar la privacidad de los usuarios. El problema de fondo aquí es que Apple como empresa está comprometida con la seguridad de sus usuarios, y no quiere descifrar el dispositivo porque estaría dando una mala imagen en cuanto a la privacidad, si cualquier juez pide el desbloqueo de un dispositivo y Apple accediese, la privacidad de la que tanto hace hincapié la compañía se iría debilitando. Recordemos que a diferencia de Android, el sistema operativo que utilizan los iPhone es de código cerrado, por lo que solo Apple tiene el completo control de sus características.

En febrero de 2016, la jueza estadounidense Sheri Pym emitía un pedido de colaboración a Apple para desbloquear un iPhone de un terrorista que estaba involucrado en un atentado en diciembre del año pasado, exactamente en San Bernardino, California. En el incidente murieron 14 personas y lograron capturar un iPhone de uno de los terroristas implicados.

Un comunicado redactado por Tim Cook, actual CEO de Apple tras el fallecimiento de Steve Jobs expresa que, si bien no tienen simpatía por los terroristas y han colaborado siempre con el FBI, este pedido iba demasiado lejos ya que implica crear un backdoor. Su mayor preocupación es que las autoridades utilicen esta herramienta para acceder a cualquier otro iPhone, ya que sería algo así como una llave maestra.

Si Apple accediese a crear un backdoor y entregárselo al FBI estaría poniendo en riesgo su imagen como empresa, porque el FBI tiene grandes acusaciones por violar la privacidad de los ciudadanos de los Estados Unidos. “Desbloquear un iPhone sería malo para el país y para los usuarios”, expresa la compañía, los usuarios estarían expuestos a increíbles vulnerabilidades. Recientemente se han realizado varias encuestas para saber la opinión de los usuarios de Apple y por qué no también de otras personas, los resultados marcan una clara tendencia a que Apple no debe abrir su sistema de seguridad y mantener la privacidad intacta.

Al tratarse de un caso terrorista puede ser discutible la posición de la compañía, pero esta no es la primera vez que reciben órdenes de hackear un iPhone, ya acumulan varios pedidos emitidos por el Departamento de Justicia, que no tiene nada que ver con casos de terrorismo ni seguridad nacional.

Los gigantes de Internet están unidos con Apple y se suman a la lucha para que los iPhone no sean desbloqueados. La firma de seguridad McAfee, Facebook, Google y Microsoft son algunos nombres que están defendiendo la postura.

“La industria está alineada en este tema y Facebook está participando en una presentación conjunta con otras empresas de tecnología”, señalaba un  portavoz de la red social. Se dice que más adelante también se puedan sumar Twitter y Amazon en la lucha por la seguridad.

El presidente de Microsoft, Bill Gates y el director de asuntos legales, Brad Smith, anunciaron durante una audiencia del Comité Judicial en la Cámara de Estados Unidos que Microsoft apoya a Apple en el caso con el FBI y presentarán un escrito legal apoyándolos la semana que viene. Por su parte, Apple había dicho que en caso de tener que crear un backdoor para acceder a un iPhone, quieren que primero se discuta la postura en la Cámara de Representantes y el Senado de Estados Unidos, los políticos tendrán la última palabra sobre el caso, decisión que Microsoft apoyó.

Dentro del marco de la junta Information Technology Industry Council (ITI), un sector tecnológico que se compone por las compañías Apple, Dell, Facebook, Google, Microsoft, IBM, Inter o Twitter, salió un comunicado en respuesta a las voces que piden un debilitamiento de las herramientas de cifrado para luchar contra el terrorismo o la delincuencia. El escrito expresa que aunque en este caso la colaboración de Apple sería para comprobar datos y movimientos de un asesino, ya se ha visto que no se trata solo de eso, el debilitar el cifrado de los iPhone o crear backdoors deja graves vulnerabilidades que pueden ser explotadas por los cibercriminales, lo que causaría un problema más grande en la sociedad y la economía misma.

La asociación ITI dejó una frase para analizar y reflexionar: “El debilitamiento de la seguridad con el objetivo de promover la seguridad, simplemente no tiene sentido”.

El caso sigue en proceso y es el próximo 22 de marzo cuando Apple y el FBI deberán reunirse en una audiencia en la corte federal de California. El FBI no la tendrá fácil con todos los gigantes de Internet defendiendo la postura de Apple, de su parte está el CEO de Google, Sundar Pichai, Edward Snowden, Facebook, Samsung, Amazon, Yahoo!, Dropbox, Cisco, WhatsApp, Evernote, entre otros.

Carole Adams es la madre de una de las víctimas del ataque terrorista en California el pasado diciembre y explica que apoyaba la postura de Apple, el derecho a la privacidad es lo que magnifica a Norteamérica, comentó. En una entrevista publicada en el New York Post, dijo que el FBI debería revisar el iPhone del terrorista sin poner a los demás usuarios en riesgo.

Google Play infectado por el troyano Porn Clicker.

Sin título

Un troyano se logró acceder a la tienda oficial de Android, Google Play, está ahora infectando a los dispositivos con sus aplicaciones. El informe elaborado por la firma de seguridad ESET indica que ya son 307 aplicaciones las afectadas por Porn Clicker, el troyano que está catalogado de “alto riesgo” por sus técnicas para ocultarse y las tácticas para cambiar su código base.

Si bien el troyano en cuestión no es tan reciente, el número de infecciones es lo que ha llevado a poner en alerta a los investigadores de seguridad, Porn Clicker fue detectado por primera vez hace 7 meses, y desde entonces, las aplicaciones maliciosas infectadas continúan en crecimiento. Con un total de 307 aplicaciones identificadas, se estima de se están viendo afectadas 10 aplicaciones por semana. Este troyano es un dolor de cabeza para la tienda oficial de Google Play, ya que desde allí es donde supuestamente los usuarios bajan sus aplicaciones libres de peligros, pero en este caso, podrían estar descargando malware a sus dispositivos sin ser detectado.

Desde la firma ESET explican que las aplicaciones se encuentran instaladas como si fueran legítimas, pero de alguna manera están infectadas con alguna variante del malware Android/Clicker, una amenaza que ha cobrado una gran repercusión estos últimos meses. Seguramente te has hecho la pregunta de por qué este troyano es una amenaza tan difícil de detectar, tanto así que ni siquiera los controles de seguridad de Google logran detectarla. La respuesta es fácil, Porn Clicker se destaca por estar en constante desarrollo, lo que significa que siempre está renovando su código para no ser detectada. Una vez que un desarrollador termina una aplicación y la envía a Google Play, debe ser analizada para verificar su seguridad, y Porn Clicker salta esa barrera fácilmente.

¿Cuáles son las consecuencias de ser infectado por Porn Clicker? Básicamente el troyano se dedica al robo de datos, robo a anunciantes y daño a las plataformas publicitarias, por ejemplo, una vez instalado provoca falsos clicks sobre anuncios específicos, lo que genera ingresos para los creadores del troyano. Hasta aquí solo vemos anuncios molestos e ingresos para los cibercriminales, pero otra de sus características es el incremento del consumo de datos móviles mientras se navega por Internet, lo que causará que tu plan mensual se gaste mucho más rápido en caso de tener un tráfico limitado, algo que a la larga podría verse reflejado como dinero extra en tu factura a fin de mes.

Es prácticamente imposible identificar todas las aplicaciones que contienen este u otro malware, porque los cibercriminales siempre están buscando introducirlo en las tiendas oficiales, pero algo es seguro: “las calificaciones de las aplicaciones falsas dentro de la tienda de Google son una buena muestra de las malas experiencias de los usuarios, por lo que aconsejamos a todos los usuarios que presten atención a los comentarios de otros antes de comenzar una descarga”, explica Lukas Stefanko, especialista en malware para Android en ESET.

Una de las principales aplicaciones que los atacantes utilizan como gancho para atraer a sus víctimas es Dubsmash, aplicaciones que ya fue eliminada en numerosas ocasiones por los encargados de seguridad de la tienda de Google Play por estar infectada. Dubsmash fue eliminada por lo menos 24 veces en únicamente tres meses, según los expertos, contenía en su código base diferentes variantes del troyano.

Es increíble como aplicaciones que son legítimas a simple vista pueden ser infectadas de un momento a otro, lo cierto es que a pesar de leer las calificaciones positivas de los usuarios a la hora de bajar aplicaciones, también tenemos que contar con una protección antivirus como segunda opción, de lo contrario estaremos dejando la puerta abierta a la entrada de malware. Como podemos ver, no todo es totalmente seguro en Internet, y mucho menos en la tienda de Google Play, que a pesar de tener un control de calidad sobre sus aplicaciones muchas veces falla como en estos casos, es allí donde debe actuar la solución de seguridad.

Mazar Bot, el nuevo malware para Android capaz de tomar el control del sistema.

Sin título333

Mazar Bot es una nueva amenaza de la que habrá que tener cuidado en adelante, se trata de un malware que, en caso de infectar a nuestro dispositivo, puede tener un control total de los archivos, puede borrar, mover, editar y además interceptar las llamadas y mensajes de texto.

La empresa responsable de este descubrimiento es Heimdal Security, dedicada a la investigación de seguridad informática. En una reciente entrada en su blog, los responsables explican que el fin de semana pasado habían descubierto una amenaza, que por lo que dicen, es una de las más peligrosas de las descubiertas hasta el momento en Android. La principal amenaza es su diseño bien trabajado, Mazar Bot puede poner a sus víctimas en serios problemas si así lo desea, el usuario afectado puede perder dinero, ya que puede controlar el dispositivo a su gusto, y si hay algún tipo de información vinculada con cuentas bancarias o tarjetas de crédito, estaría en peligro, inclusive es capaz de interceptar datos personales.

Su método de propagación es el siguiente; Mazar Bot es enviado a través un fichero con extensión APK (la extensión por defecto de las aplicaciones instalables en Android) mediante un mensaje de texto con un enlace en su interior. Si el usuario ingresa al vínculo proporcionado en el mensaje estaría descargando e instalando el malware en su dispositivo. En principio la amenaza solo se encuentra en inglés, pero no se descarga que evolucione y se expanda a más idiomas.

El mensaje de texto dice algo así como: “You have received a multimedia message from +(country code) (sender number) Follow the link hxxp: //***.mmsforyou.***/mms.apk to view the message.”

Lo que en español sería: “Has recibido un mensaje multimedia del número +(código del país) (número de teléfono). Accede al enlace hxxp: //***.mmsforyou.***/mms.apk para ver el mensaje.”

Si el usuario comete el error de descargar e instalar esta aplicación maliciosa, le concederá al cibercriminal el control total del dispositivo. La aplicación se camufla con el nombre “MMS Messaging”, para despistar al usuario y hacerle creer que necesita descargar una aplicación de MMS para ver el contenido, pero la sorpresa está en los permisos que pide para su instalación, cosa que nunca leen las personas. Una vez instalado y como se explica en los permisos, el malware podrá realizar llamadas, compras con tarjetas de crédito (en caso de tenerlas vinculadas al dispositivo), enviar mensajes, acceder a Internet, e inclusive borrar archivos del almacenamiento interno.

Otra característica importante de Mazar Bot es la de poder leer los códigos que pertenecen a la autenticación en dos pasos utilizados por el usuario, los hackers serán capaces de descifrar este tipo de seguridad y podrán enviar mensajes a los números de los canales usados por los cibercriminales. La razón por la cual este malware se cataloga como el más peligroso hasta el momento, es porque los datos que recoge de sus infecciones son enviados a un servidor de control alojado en la red Tor, esto le garantiza a los cibercriminales un total anonimato para poder operar. Al contrario de otras amenazas que tienen sus bases en países de todo el mundo, alojar sus servidores en la red Tor es una medida de seguridad extra para protegerse, ya que es una red anónima donde nuestra identidad es desconocida.

¿Mazar Bot es un malware reciente? La respuesta es no, por lo menos no es de lo que va del 2016, la primera pieza detectada de esta amenaza se registró en noviembre de 2015, pero en aquellos tiempos únicamente circulaba por el mercado negro de malware ruso, y ahora está expandiéndose por todo el mundo y puede ser una amenaza para cualquier usuario, según Recorded Future.

Más datos interesantes, a pesar haber circulado en el mercado negro ruso, el malware no se encuentra en ese idioma, y cuando infecta a un dispositivo, envía un mensaje de texto a un número ubicado en Irán con el mensaje “thank you”, incluyendo información sobre la localización de la víctima infectada, sin lugas a dudas, muy sospechoso. Por último se destaca la posibilidad de hacer ataques man-in-the-middle, un tipo de ataque que permite a Mazar Bot interceptar el tráfico que generan sus víctimas sin su consentimiento, con el fin de desviar la información y realizar transacciones fraudulentas en caso de utilizar la banca online.

Hasta ahora es lo único que se sabe sobre Mazar Bot, y no debería tardar en expandirse a todo el mundo en el correr de los meses. Sin dudas tratar de infectar a un usuario utilizando la ingeniería social es un método que aún sigue siendo efectivo y lo seguirá siendo, hay que tener mucho cuidado porque si bien el malware se distribuye por mensajes de texto, no sería descabellado que se pase a WhatsApp u otro servicio de mensajería.

La mejor manera de protegerse de este tipo de amenaza es tener mucho cuidado con el tipo de mensajes que recibimos. Los vínculos que se incluyen en los mensajes nunca deben ser abiertos, a menos que el remitente sea un amigo de confianza, porque en muchos casos, sus dispositivos pueden estar infectados y enviar mensajes automáticos.

Hay una opción fundamental en los dispositivos Android que debe estar desactivada por defecto, solo aquellos usuarios avanzados que saben a qué se enfrentan la activan en determinada ocasión. Se trata del apartado “Permitir la instalación de aplicaciones de origen desconocido”, se encuentra en Ajustes > Seguridad, allí está la opción “Orígenes desconocidos” que deberá estar desactivada para evitar que cualquier aplicación que no sea procedente del Play Store sea instalada en el equipo. Si bien no todas las aplicaciones por fuera del Play Store son un malware, es recomendable tener mucho cuidado con su instalación, ya que podría en riesgo la seguridad del dispositivo.