A fondo
Veinte incidentes que resumen la ciberseguridad en 2019 ¡Y Feliz año nuevo!
A pocas horas del cierre del año terminamos con un especial en el que repasamos lo sucedido en materia de ciberseguridad en 2019. Una selección ya clásica en nuestro blog de seguridad informática donde -de paso- aprovechamos para desear a todos nuestros lectores salud y prosperidad para el año que comienza.
2019 ha confirmado todo lo negativo que vimos el año pasado en materia de seguridad, comenzando con una enorme fuga de datos causadas tanto por ciberataques como por las prácticas indeseables de algunas compañías en la búsqueda de un mayor beneficio económico sin la debida transparencia, controles y en definitiva seguridad. Los datos siguen siendo oro puro en esta era tecnológica y de ahí derivan algunos de los peores incidentes que hemos visto en 2019.
En cuanto a la introducción del malware, es masivo en todo tipo de plataformas y virus, troyanos y demás especímenes causan estragos a través de ataques conocidos como el phishing o el ransomware, ambos al alza especialmente en el mercado empresarial. Te dejamos con algunos de estos incidentes como resumen del año. Solo es una selección porque estos doce meses han dado para mucho, confirmando el largo camino que nos queda por avanzar en materia de ciberseguridad.
Segunda mayor fuga de datos de la historia: 773 millones de cuentas de correo
El año comenzó confirmando las grandes fugas de datos cuando un investigador de seguridad y fundador del sitio web de infracciones Have I Been Pwned, reveló una base de datos que incluye 773 millones de cuentas de correo electrónico y 21 millones de contraseñas únicas robadas, que a buen seguro se han estado utilizando en ataques informáticos automatizados de relleno de credenciales.
Es la segunda mayor fuga de datos de la historia después de la de Yahoo! con casi 3.000 millones de cuentas afectadas, aunque hay que concretar que se trata de una compilación de otras bases de datos más pequeñas ya filtradas, según explica Troy Hunt.
Denominada como ‘Colection #1’ por su descubridor, la compilación estaba formada por un conjunto de 12.000 archivos con un tamaño total de 87 Gbytes y casi 2.700 mil millones de registros, sumando 1.160 millones de combinaciones únicas entre las direcciones de correo y las contraseñas, lo que significa que la lista cubre a las mismas personas varias veces, pero en muchos casos con contraseñas diferentes.
La base de datos fue encontrada en el servicio de almacenamiento de archivos MEGA y aunque ya ha sido borrada sigue distribuyéndose en las redes de intercambio de archivos. El único ‘consuelo’ es que la filtración es limitada no habiéndose filtrado información confidencial como datos de tarjetas de crédito o similares.
Las apps maliciosas para móviles son una epidemia
McAfee aprovechó el marco del MWC 2019 para presentar la actualización de su informe de amenazas móviles, con titulares destacados como el incremento del 550% de apps maliciosas para móviles registradas en el segundo semestre de 2018.
Solo en este periodo, la firma de seguridad dice haber localizada 65.000 apps maliciosas para móviles. Un gran problema para la industria de la movilidad porque trimestre a trimestre se sigue observando un gran aumento del malware en el sector. Hace tiempo que se conoce que los ciberdelincuentes se están trasladando del escritorio a la movilidad ante los centenares de millones de dispositivos activos.
McAfee destaca especialmente el malware que llega de esas aplicaciones fraudulentas que no son lo que parecen y que consiguen engañar a los usuarios haciéndose pasar por desarrollos populares. Otro grupo en aumento llegan de las amenazas financieras, que en 2018 alcanzaron «el punto más alto a nivel mundial» de la historia, especialmente de los peligrosos troyanos bancarios que aumentaron un 77%.
También preocupante el incremento de ‘puertas traseras‘ encontradas con desarrollos como ‘TimpDoor’ que han hecho estragos mediante el phishing por mensaje de texto para monitorizar y terminar controlando los terminales. McAfee suma los ataques por criptominería, otro grupo relativamente nuevo en plena expansión.
Facebook y 2FA: convertiendo la seguridad en negocio
El caso de Facebook y 2FA es el penúltimo que pone bajo los focos a la red social por la manera en que maneja los datos personales de sus usuarios. Aún peor, por convertir un importante mecanismo de seguridad como la autenticación de dos factores en negocio propio reduciendo la confianza en el mismo.
El caso no es nuevo aunque volvió a salir a la palestra el pasado fin de semana de la mano de un tuit del fundador de Emojipedia, Jeremy Burge, donde aseguraba que cualquiera podría buscarlo en Facebook usando su número de teléfono, proporcionado a la red social para habilitar la autenticación de dos factores. El mensaje de Burge se viralizó, los editoriales han regresado y los usuarios que no se enteraron en su momento ahora lo saben. Pero viene de lejos.
2FA es una función de seguridad que conocerás como “doble identificación” o de “dos factores”. Lo emplean la mayoría de grandes servicios y empresas de Internet para garantizar la autenticación real de un usuario. Al acceso habitual a un servicio con el nombre y contraseña, 2FA suma un código enviado generalmente mediante un mensaje de texto al smartphone del usuario. Su funcionamiento exige que proporciones ese número de teléfono a la empresa en cuestión. Este número es el que ha estado vendiendo Facebook a los anunciantes sin conocimiento ni consentimiento expreso del usuario.
Colocar a Facebook y a la privacidad en la misma línea es imposible. En materia de seguridad la red social obtiene un suspenso manifiesto desde su lanzamiento. Y va a peor. La incapacidad de Facebook para proteger los datos de sus clientes es manifiesta. Unas veces por errores y otras (peor) por la manera de manejar los datos pensando más en el negocio que por garantizar la seguridad.
Fallos graves en WPA3 permiten acceso a redes y hackeo de contraseñas Wi-Fi
Un grupo de investigadores encontró fallos graves en WPA3, la nueva generación de la tecnología Wi-Fi Protected Access destinada a añadir mayor seguridad en el acceso y transferencia de datos en redes personales y profesionales, que usen la principal norma mundial para conectividad inalámbrica.
Ha pasado casi un año desde el anuncio de WPA3 y aún con un despliegue mínimo llegan malas noticias para toda la industria y los usuarios, ya que una investigación conocida como DragonBlood ha descubierto que se pueden hackear las contraseñas Wi-Fi establecidas bajo esta norma e incluso, acceder a redes inalámbricas de terceros sin conocer las contraseñas.
Nada es invulnerable y aunque WPA3 es una mejora enorme frente a anteriores versiones del estándar, la investigación plantea serias preocupaciones del futuro de la seguridad inalámbrica, particularmente entre dispositivos de Internet de las Cosas de bajo coste que van a llegar por miles de millones en los próximos años y que será más costoso parchear.
Las vulnerabilidades descubiertas podrían permitir a los atacantes hackear contraseñas de la red Wi-Fi de una manera similar a como se hacía con WPA2, aprovechando el periodo de transición entre las normas. Dos de ellos son ataques de canal lateral basados en vulnerabilidades CVE-2019-9494 y CVE-2019-9494 contra el método de codificación de contraseñas. También se ha documentado un ataque de denegación de servicio que puede iniciarse sobrecargando un punto de acceso inalámbrico, omitiendo el mecanismo anti-obstrucción de SAE que se suponía evitaría los ataques DoS.
El ransomware en empresas aumentó un 200%
La detección de ataques por ransomware en empresas aumentaron un 200%, según el último informe trimestral de amenazas de Malwarebytes. El estudio está en sintonía con los últimos informes, que indicaron que el ransomware mantenía la supremacía como la principal ciberamenaza de malware en la mayoría de países europeos, con ataques cada vez más numerosos, sofisticados, peligrosos y masivos, como mostraron desarrollos como WanaCryptor.
El informe de Malwarebytes, sin embargo, ha detectado una caída del 10% en las amenazas a los consumidores, explicado en el declive del criptominado. Ante ello, todo apunta a que los ciberdelincuentes se están enfocando a los ataques móviles y sobretodo al segmento empresarial.
«Estamos viendo más y más infecciones en el lado comercial y más intenciones de los delincuentes cibernéticos de concentrarse en los negocios en lugar de en los consumidores. En los últimos años hemos visto un aumento constante de malware cada año. Pero ver este aumento tan grande de detecciones en negocios y una caída en los consumidores es algo que no habíamos visto», explica Adam Kujawa, director de Malwarebytes Labs.
Lo mismo puede decirse de los ataques mediante troyanos. Según la firma de seguridad, este tipo de ataques ha aumentado más del 200% respecto al trimestre anterior y casi el 650% respecto al primer trimestre de 2018. Y se observa la misma tendencia que en el ransomware: las empresas son los grandes objetivos. Además de más numerosos, los ataques son cada vez más sofisticados: «los delincuentes cibernéticos están utilizando medios de ataque cada vez más inteligentes para obtener aún más valor de los objetivos mediante el uso de troyanos. adware y ransomware», dicen.
Una vulnerabilidad de WhatsApp permitió spyware masivo en iPhone y Android
Una vulnerabilidad de WhatsApp permitió instalar spyware en dispositivos móviles iOS y Android, según ha detallado el Financial Times. WhatsApp ha confirmado la información y ha publicado una actualización que se recomienda instalar a la mayor brevedad.
El caso es grave teniendo en cuenta el espionaje masivo sobre potencialmente 1.500 millones de usuarios que usan la aplicación de mensajería instantánea líder del segmento. Además, el software espía pudo instalarse simplemente con una llamada, sin la necesidad de que el usuario que la recibiera tuviera que responderla. El exploit, causó supuestamente un desbordamiento de búfer en la pila VoIP de WhatsApp al enviar paquetes bajo el protocolo Secure RTP Control a los números de teléfono destino. Una vez inyectado, el spyware pudo encender la cámara y el micrófono de un teléfono, escanear correos electrónicos y mensajes, y recopilar los datos de ubicación del usuario.
Y todo ello sin dejar ningún tipo de rastro o registro en ninguna parte del terminal, por lo que es posible que los usuarios hayan sido atacados y ni siquiera se hayan dado cuenta. Espera, que hay más. Lo peor del asunto es que el código malicioso descubierto fue desarrollado por la compañía israelita NSO Group. Valorada en 1.000 millones de dólares, está especializada -supuestamente- en el desarrollo de soluciones de seguridad gubernamentales contra el terrorismo y la delincuencia.
NSO Group es bien conocida, sobretodo por su software estrella, Pegasus, que se cree utilizan al menos 30 gobiernos en todo el mundo y que no es la primera vez que causa estragos en Internet. La compañía se enfrenta actualmente a una intensa presión legal en Israel por parte de grupos de derechos humanos como Amnistía Internacional.
Nuevas vulnerabilidades en procesadores Intel
O Intel está pegado con la seguridad informática, o la seguridad informática se da una y otra vez de bruces con los procesadores de Intel. El caso es que cuando vulnerabilidades como Spectre o Meltdown comenzaban a borrarse de la mente de los usuarios, la compañía americana no ha tenido más remedio que reconocer que ha detectado otras cuatro nuevas vulnerabilidades tan graves o más que las anteriores.
Como informan nuestros compañeros de MC, las vulnerabilidades son de canal lateral y podrían permitir ataques tipo Spectre. Como en casos anteriores, explotan las debilidades de la función conocida como ejecución especulativa que utilizan los procesadores Intel y otros. En este caso, los chips de AMD y ARM no están afectados. Los cuatro vectores de ataque diferentes se ya tienen además, sus propios nombres: ZombieLoad, Fallout, RIDL y Store-to-Leak Forwarding. La principal diferencia que presentan con Spectre es que los datos no se almacenan en la caché sino en los búferes. De ahí que Intel las haya denominado como Microarchitectural Data Sampling (MDS).
Por lo demás, el tipo de ataques es el mismo y tiene que ver con la misma arquitectura de los chips modernos. Los procesadores no separan por completo los procesos clave que tienen acceso al kernel del sistema operativo de aquellos con privilegios bajos y de poca confianza (como los de muchas aplicaciones), por lo que un atacante podría aprovechar esta función para que el procesador le anticipe datos que no debería gracias a esa ejecución especulativa.
De las cuatro, ZombieLoad es la más peligrosa, aunque el efecto de las otras tres es muy similar al primero. En este sentido, un ataque permitiría acceder a todo tipo de información prácticamente en tiempo real, mientras el sistema procesa dicha información: «el historial del navegador, el contenido del sitio web, las claves de usuario y las contraseñas, o secretos a nivel del sistema, como las claves de cifrado del disco» han explicado los investigadores que han descubierto los nuevos fallos de sistema.
Los responsables de seguridad dan por perdida la batalla contra los cibercriminales
El 48% de los responsables europeos de ciberseguridad consideran que sus equipos están perdiendo la batalla frente a los cibercriminales. Y como primer motivo apuntan no tanto a no disponer del equipamiento tecnológico adecuado como a su falta de habilidades y conocimientos específicos cuando se comparan con los de estos grupos atacantes.
Esta es una de las principales conclusiones a las que llega un estudio desarrollo por Symantec, en el que se indica además que constatar esta realidad añade aún más presión a unos departamentos de sistemas en los que hasta un 64% de los profesionales de ciberseguridad se plantea abandonar su trabajo o incluso, abandonar la industria por completo (63%).
“Es perturbador saber que los atacantes están a las puertas y, al mismo tiempo, no ser consciente de que las personas que intentan defenderte se sienten superadas y exhaustas. Pues esto es, exactamente, lo que revelan los nuevos datos”, explica Ramsés Gallego, Director de Security Strategies en Symantec. “Es duro sobrellevar la amenaza que te supone un enemigo que está aprendiendo más rápido que tú. Si las organizaciones valoran la seguridad de sus datos y de sus finanzas, deben prestar atención a esta alerta y realizar inversiones estratégicas que resuelvan este vacío emergente de cualificación”.
Para esta investigación se ha entrevistado a 3.045 responsables de la toma de decisiones en ciberseguridad de Francia, Alemania y Reino Unido. Las conclusiones del estudio revelan una grave situación que puede ir a peor, antes de mejorar, como un círculo vicioso de sobrecarga y estrés que está dañando el desarrollo de destrezas profesionales y la toma de decisiones en el ámbito de la seguridad.
Donald Trump quiere prohibir el cifrado de extremo a extremo
La administración de Trump está considerando la prohibición del cifrado de extremo a extremo, una característica adoptada ampliamente en servicios tecnológicos para aumentar la seguridad y privacidad.
Politico menciona una reunión de alto nivel en la Casa Blanca con representantes de varias agencias federales en la búsqueda de una posición común que lleve a la propuesta de un cambio legislativo que podría obligar a las compañías estadounidenses o a las que trabajen en el país a eliminar esta medida de seguridad.
Ya sabes de qué va esto. Bajo el argumento de “aumentar la seguridad” contra el terrorismo y la delincuencia, la administración de Trump no ha encontrado otra fórmula que devolvernos a la edad de piedra tecnológica. La eliminación del cifrado estaría destinada a facilitar el acceso y seguimiento de los dispositivos electrónicos por las fuerzas de seguridad y agencias de espionaje, pero conllevaría dejar los equipos tan abiertos como un queso gruyere.
El cifrado es una herramienta de seguridad en la que nos apoyamos todos los días para evitar que los delincuentes roben nuestras cuentas bancarias, para proteger el control de nuestros coches y aviones de hackeos maliciosos y en general «para preservar nuestra seguridad y bienestar«, como afirmó en una declaración el Information Technology Industry Council (ITI), voz global del sector tecnológico que incluye compañías como Apple, Dell, Facebook, Google, Microsoft, IBM, Intel o Twitter. Resumido: Debilitar la seguridad con el objetivo de promover la seguridad, simplemente no tiene sentido.
Asistentes virtuales: Un cero en privacidad
El Siri de Apple no escapó a la polémica de los asistentes virtuales, cuestionados por la falta de privacidad, la poca transparencia y el uso de los datos personales. Un denunciante anónimo habló con The Guardian, expresando su preocupación sobre cómo maneja Siri los datos personales que registra, quién tiene acceso a ellos y su utilización por Apple. Y es preocupante, porque básicamente es lo mismo que hace el Alexa de Amazon o el Assistant de Google donde personal humano tiene acceso a los registros de estos asistentes digitales.
Según la información, estos empleados «escuchan con regularidad información médica confidencial o relaciones sexuales de parejas, como parte de su trabajo, brindando control de calidad o ‘clasificaciones'». Además, «no sería difícil identificar a la persona a la que se está escuchando, especialmente con disparadores accidentales: direcciones, nombres, etc.», explican. También se registra la ubicación, los detalles de contacto y otros datos de la aplicación que se incluyen con las grabaciones.
Apple ha reconocido básicamente la información, explicando que «una pequeña parte de los registros de Siri» son analizados por revisores humanos «para mejorar su funcionamiento y las respuestas a las órdenes de voz». «Las respuestas de Siri se analizan en instalaciones seguras y todos los revisores tienen la obligación de cumplir con los estrictos requisitos de confidencialidad de Apple», dicen. «Menos del uno por ciento de un subconjunto aleatorio de activaciones de Siri diarias» se utilizan para «calificaciones». La información recopilada y analizada «no está asociada con la ID de usuario de Apple«, recalcan desde Cupertino.
Las explicaciones no son convincentes. Y más para una compañía que destaca el respeto al derecho de la privacidad como aspecto diferenciador de sus productos frente a la competencia y un CEO, Tim Cook, que desde hace tiempo es un defensor declarado de la privacidad de los datos y ha lanzado cargas de profundidad contra compañías como Google, Amazon y Facebook por estos aspectos. El caso es tan grave como los anteriores del Amazon Alexa y Google Assistant. El usuario preocupado por su privacidad debe descartar por completo el uso de estos asistentes y los dispositivos basados en ellos hasta que las tecnológicas no garanticen de manera absoluta la confidencialidad y transparencia debida.
La privacidad de Office 365 (y Windows 10), a debate
Microsoft Office 365 fue declarado ilegal en el estado alemán de Hesse por cuestiones relacionadas con la privacidad. La información de estudiantes y maestros que usan la configuración estándar de Microsoft Office 365 podría estar «expuesta» a las agencias de espionaje de Estados Unidos, según ha dictaminado el Comisionado de protección de datos de ese estado alemán.
El caso que afecta a la suite de productividad en nube de Microsoft (la más popular del mercado en su tipo) es un ejemplo más de las preocupaciones europeas sobre la privacidad de datos y también de la política exterior de la actual administración de Estados Unidos. La decisión de la Oficina de este estado alemán es el resultado de varios años de debate interno sobre si las escuelas alemanas y otras instituciones estatales deberían utilizar el software de Microsoft.
La idea de aumentar la «soberanía digital» está aumentando en Alemania y en toda Europa. Y no solo afecta a Microsoft sino a cualquier tecnológica estadounidense que trabaje en el Viejo Continente. «Tenemos que considerar servicios en nube nacionales y respaldarlos con una financiación realista. La situación política nos está obligando a ello», explicó recientemente un alto funcionario del Ministerio del Interior alemán.
La polémica sobre la privacidad de Office 365 no es nueva. A finales de 2018, investigadores del regulador oficial holandés publicaron un informe donde identificaron una «recopilación de datos personales a gran escala y encubierta» en las suites ofimáticas de Microsoft, Office 2016 y Office 365 de ProPlus. Microsoft recopila datos con fines «funcionales y de seguridad» en todas sus soluciones de software. Sin embargo, el informe aseguran que ocho apartados descubiertos en la telemetría de Microsoft Office (también de Window 10 Enterprise) incumplirían el nuevo reglamento de protección de datos de la UE, GDPR, y la propia privacidad de los usuarios.
Una ex-empleada de AWS hackeó Capital One y robó datos de 100 millones de clientes
El FBI detuvo a una ingeniera de sistemas acusada de la grave intrusión informática al banco Capital One tras explotar una vulnerabilidad del firewall instalado en sus servidores. La acusada es una antigua empleada de Amazon Web Services y aunque el servicio en nube de Amazon alojó datos de Capital One, se descarta que el acceso se produjera por una vulnerabilidad o violación de AWS.
Se cree que la detenida (bajo cargos de fraude informático que la pueden llevar cinco años a la cárcel) explotó una vulnerabilidad y una configuración deficiente en el cortafuegos de los servidores del banco. Las consecuencias fueron letales y otro grave suceso que añadir a la colección de robo de datos de grandes empresas.
Capital One confirmó la intrusión y dijo que afectó a unos 100 millones de personas y empresas en Estados Unidos y 6 millones más en Canadá. La información personal robada incluía nombres, fechas de nacimiento, direcciones, números de teléfono y direcciones de correo electrónico. También se obtuvieron números de seguridad social de 140.000 personas unos 80.000 números de cuentas bancarias.
«Si bien estoy agradecido de que el autor haya sido capturado, lamento profundamente lo que sucedió», dijo en un comunicado Richard D. Fairbank, fundador, presidente y CEO de Capital One. «Pido disculpas sinceramente por la preocupación comprensible que este incidente debe estar causando a los afectados, y estoy comprometido a corregirlo». Aunque la responsable es -como no- la ciberdelincuente, es preocupante un fallo de seguridad tan grave en un banco.
Nuevo 0-Day para Android explotado activamente
Desde el Project Zero de Google hicieron público una nuevo 0-Day para Android, una vulnerabilidad crítica todavía sin parches que afecta a un buen número de modelos del sistema operativo más usado del mundo.
La investigadora del servicio de seguridad de Google, ha revelado detalles y un exploit de prueba de concepto para la vulnerabilidad de seguridad de alta gravedad etiquetada como CVE-2019-2215. La vulnerabilidad se hecho pública solo siete días después de comunicarlo al equipo responsable de Android, el plazo estándar en caso de fallos que se estén explotando activamente.
El fallo es una escalada de privilegios local que permite comprometer un dispositivo vulnerable de manera completa y se produce cuando el usuario instala una aplicación no confiable o mediante ataques remotos en línea a través del renderizador de contenidos de Chrome. «Si el exploit se activa desde de la web, solo necesita emparejarse con un exploit localizado en el renderizador, ya que esta vulnerabilidad es accesible a través del sandbox utilizado por Chrome», explican.
Se da la circunstancia que este 0-Day para Android está siendo explotado por NSO Group (o algunos de sus clientes), una empresa israelita que se publicita como proveedora de «soluciones de seguridad gubernamentales contra el terrorismo y la gran delincuencia», que ha sido cuestionada durante años por grupos de derechos humanos como Amnistía Internacional al vender sus soluciones a dictaduras que las utilizan contra disidentes políticos y como medio de censura.
Pwn20wnd publica el primer jailbreak para iPhone en años
Pwn20wnd publicó un nuevo jailbreak para iPhone que era el primer desarrollo público de este tipo en años y además, conseguido sobre una versión de iOS completamente actualizada.
Apple ha facilitado la tarea, sin pretenderlo. Investigadores de seguridad encontraron una vulnerabilidad en la última versión del sistema operativo móvil de Apple, iOS 12.4. La curiosidad de la misma es que era una vulnerabilidad conocida, descubierta por Google y ya parcheada por Apple en la versión anterior, iOS 12.3.
Ello ha permitido a los especialistas la creación de este jailbreak para iPhone, el primero que se hace público sobre una versión actualizada en bastante tiempo. Obviamente, es un fallo que puede comprometer la seguridad de millones de terminales y es seguro que Apple lo parcheará en breve.
Ned Williamson, un investigador de seguridad de Google, confirmó que el viejo exploit ya parcheado por Apple funcionaba en su iPhone XR. Por ejemplo, una aplicación maliciosa podría incluir un exploit para este error que le permita escapar del entorno aislado habitual de iOS, un mecanismo que impide que las apps consigan datos de otras aplicaciones o del sistema, y robar datos de los usuarios.
Otro escenario de ataque es un pirata informático que incluya el exploit en una página web maliciosa y lo combine con un exploit del navegador Safari. «Es muy probable que alguien ya esté explotando este error con malos propósitos», dijo Pwn20wnd, autor del jailbreak. Por supuesto, la vulnerabilidad no solo afecta a móviles, sino a tablets iPads o iPod touch con esta versión de iOS.
Lo volvió a hacer: Facebook dejó expuestos datos y teléfonos de 419 millones de usuarios
En Facebook no ganan para sustos. Seis meses después de conocerse que almacenó millones de contraseñas sin cifrar, se ha hecho pública una nueva filtración de datos de sus usuarios, desvelada por Techcrunch y causada por un servidor de la compañía que estaba sin protección. Como resultado, los datos de unos 419 millones de usuarios de la plataforma, que estaban almacenados en una base de datos, han quedado expuestos.
Entre los datos, almacenados en un servidor cuyos contenidos no contaban con acceso protegido por contraseña, hay información de usuarios de diversas partes del mundo. Entre ellos, de 133 millones de usuarios de Estados Unidos, de 18 millones de británicos y de 50 millones de vietnamitas. Entre estos datos están la ID única de cada uno en Facebook y, lo más preocupante, el número de teléfono que tienen asociado a la cuenta. Muchos de los registros de usuarios tenían también el nombre del usuario, su género y, como hemos comentado, el país en el que se encontraban.
Se desconoce cuánto tiempo llevaba expuesta la base de datos, que al descubrirse la filtración dejó de estar accesible para cualquier internauta, expuesta. Se cree que más de un año, dado que hace más de doce meses que Facebook restringió el acceso a los números de teléfono de sus usuarios. En Techcrunch verificaron que los datos de alguien que aparecía en las bases de datos eran reales cotejando su número de teléfono con su ID de Facebook. Además comprobaron otros registros cotejando números de teléfono con la función de reseteo de contraseña de Facebook, que se puede utilizar para desvelar parte del número de teléfono de un usuario que esté asociada a su cuenta.
Sigue siendo un misterio cuándo se extrajeron los datos, quién lo hizo y por qué. Hace ya bastante tiempo que Facebook decidió restringir a los desarrolladores el acceso a los números de teléfono de los usuarios. Además, la red social dificultó la búsqueda de amigos a través de sus números de teléfono.
Una base de datos de Adobe comprometió a millones de usuarios de Creative Cloud
Datos personales de 7,5 millones de clientes de Creative Cloud fueron expuestos públicamente en una base de datos de Adobe vulnerable a cualquier usuario o atacante, según el descubrimiento de Comparitech. Con un número de suscriptores estimados en 15 millones, Adobe Creative Cloud o Adobe CC es uno de los servicios de suscripción de software especializado en edición más popular del mercado y brinda acceso al conjunto de software creativo de la compañía para computadoras de escritorio y dispositivos móviles, incluidos Photoshop, Illustrator, Premiere Pro, InDesign, Lightroom y otros.
A principios de este mes, el investigador Bob Diachenko colaboró con la firma de ciberseguridad Comparitech para descubrir una base de datos Elasticsearch no asegurada convenientemente perteneciente al servicio de suscripción de Creative Cloud, accesible desde un navegador web a cualquier persona sin contraseña o autenticación.
La base de datos expuesta contenía información personal de casi 7,5 millones de cuentas de usuario de Adobe e incluía datos como:
- Correos electrónicos.
- Fecha de creación de cuenta.
- Productos de Adobe suscritos.
- Estado de la suscripción.
- Estado de pago.
- ID de miembro.
- País.
- Tiempo desde el último inicio de sesión.
- Visibilidad de los empleados de Adobe.
Comparitech informó internamente a Adobe y ésta aseguró la base de datos el mismo día. «Este problema no estaba relacionado con, ni afectó, las operaciones de ningún producto o servicio principal de Adobe. Estamos revisando nuestros procesos de desarrollo para ayudar a prevenir que ocurra un problema similar en el futuro», explicó Adobe en una publicación en su blog.
Everis y la Cadena SER, víctimas de un grave ataque de ransomware
Grave ataque de ransomware el de noviembre a varias empresas españolas. En el caso de Everis, el ataque ha provocado la caída de su red interna, y los empleados de la compañía que trabajan en proyectos para clientes externos han ido a trabajar en las compañías de dichos clientes, o bien han sido enviados a trabajar desde casa, con el objetivo de que la empresa pueda solucionar el problema e investigar el ataque de ransomware sufrido.
Según apuntan desde Bitcoin.es, el ataque que está experimentando Everis es a nivel mundial. Al parecer, los trabajadores de la consultora han acudido a sus puestos de trabajo y no han podido acceder a sus equipos, que estaban infectados por un ataque de tipo ransomware. Al parecer, Everis han enviado un comunicado a sus trabajadores en el que se les informa de la situación y se les pide que mantengan los ordenadores apagados.
Asimismo, se informa de que «se ha desconectado la red con clientes y entre oficinas«. Además se les pide que transmitan el mensaje directamente «a equipos y compañeros debido a los problemas de comunicación estándar«. Según parece, el ataque al sistema interno de Everis se ha llevado a cabo al explotar una vulnerabilidad de Microsoft Teams, su plataforma de comunicación.
Al parecer, Everis no es la única consultora afectada en las últimas horas por un ciberataque. Otras consultoras podrían haberse visto también afectadas. Pero también la Cadena Ser, que según apuntan desde la propia compañía, han experimentado de madrugada un ataque de ransomware que ha afectado a todos sus sistemas informáticos. Al parecer, la mayoría de sus terminales no cuentan con acceso a Internet y una gran cantidad de ellos están bloqueados, por lo que muchos trabajadores de la cadena están trabajando desde casa.
Millones de usuarios reutilizan contraseñas hackeadas en los servicios de Microsoft
El equipo de investigación de amenazas de Microsoft encontró un mínimo de 44 millones de cuentas de sus servicios con las contraseñas hackeadas. Son aquellas que los usuarios han reutilizado en varios servicios y alguno de ellos ha sufrido en el pasado una violación de seguridad.
Microsoft realizó una evaluación de amenazas de sus servicios a lo largo de un trimestre y los resultados son preocupantes, aunque no sorprendentes, ya que la utilización de las mismas credenciales para acceder a servicios de Internet es algo repetido aunque incumpla las normas más elementales en la creación de contraseñas.
El resultado es el esperable. Una vez que un servicio sufre una violación de seguridad (y todos los años hay decenas de ellas en grandes servicios) millones de nombres de usuario y contraseñas se filtran (y/o se venden) en Internet. A partir de ahí los ciberdelincuentes solo tienen que utilizar un programa de repetición para probar esa autenticación. Si el usuario utiliza las mismas, vulnerada una, vulneradas todas.
Microsoft recomienda utilizar contraseñas únicas e incluso nombres de usuario únicos cuando sea posible para dificultar que un atacante simplemente las pruebe, obtenga acceso y suplante su identidad. También insta a mejorar la seguridad de la contraseña usando la autenticación de dos factores. Un método que puede prevenir el 99,9 de los ataques incluso cuando la contraseña haya sido comprometida.
Avast recopila y vende datos de 400 millones de usuarios desde 2013
Avast, la compañía de seguridad checa, no solo gana dinero protegiendo la información de sus clientes. También ingresa con lo contrario, recopilando datos de navegación de sus 400 millones de usuarios y vendiéndolos a marcas y compañías de publicidad.
Avast recopila estos datos de navegación a través del complemento de su servicio de seguridad que se instala en navegadores web y que ofrecen tiendas de aplicaciones como la Chrome Web Store. También es suministrada a través del antimalware que se instala localmente en los sistema operativos, especialmente los de Windows donde más se utilizan.
El CEO de la compañía, Ondrej Vlcek, ha reconocido la recopilación de datos en una entrevista con Forbes aunque «ha descartado que hayan violado la privacidad» ya que dice recopilar los datos de forma anonimizada, eliminando cualquier dato que pudiera identificar a usuarios individuales. También ha reconocido que venden estos datos a terceros lo que le supone el 5% de sus ingresos.
Las explicaciones del ejecutivo no han convencido y el caso es un nuevo escándalo de violación de la privacidad. O al menos una actuación de falta de transparencia ya que no está claro que los usuarios hayan sido informados previa y convenientemente ni que hayan dado su consentimiento expreso.
¿Te preocupa la seguridad de Windows 7? Así puedes actualizar a Windows 10 gratis y legal
Windows 7 es uno de los sistemas operativos más exitosos de la historia, pero todo tiene su fin y a poco más de un mes de la finalización del soporte técnico oficial (14 de enero de 2020) tiene una cuota de mercado tan amplia (alrededor del 30% de los escritorios informáticos) como para preocupar a la industria, ya que el sistema operativo se quedará sin actualizaciones de seguridad.
La historia se repite y todo apunta que Microsoft no podrá evitar un nuevo «caso Windows XP» y decenas de millones de equipos quedarán expuestos a ataques informáticos aprovechando las vulnerabilidades no parcheadas al no recibir actualizaciones de seguridad.
Y en Windows hay malware para dar y tomar… Es el sistema más usado en ordenadores personales y el más explotado. El problema alcanza al segmento de consumo y también al empresarial, y afecta no solo a los propios equipos, sino a las redes empresariales donde se instalan. En este artículo te ofrecimos la manera de actualizar gratis y legal a Windows 10.
Aprovechamos el último artículo del año para desear a nuestros lectores salud y prosperidad para 2019. Por aquí seguiremos ofreciendo lo más destacado que suceda en materia de seguridad informática. Y en la misma web, porque toca una amplia revisión de la misma en 2020. Ya te contamos.