Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

#1
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se espera que estos drones sirvan como elemento disuasorio frente al sabotaje a los cables submarinos realizado por buques privados.

La OTAN ha lanzado la Operación Baltic Sentry para proteger sus cables submarinos de energía y comunicaciones en el Mar Báltico del sabotaje. Según The War Zone, la alianza desplegará buques de superficie sin tripulación (USV), también conocidos como "lanchas no tripuladas", para mejorar su conocimiento general de la situación en la zona. Al menos 20 USV están asignados a la misión, que se desplegarán junto a unos 12 barcos del Grupo Marítimo Permanente 1 de la OTAN y del Grupo Permanente 1 de Medidas Contra Minas de la OTAN y un número desconocido de aviones de patrulla marítima.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta medida se tomó después de varios incidentes en los últimos meses en los que se sospecha que un buque afiliado a Rusia dañó cables submarinos críticos. El primer incidente ocurrió en noviembre de 2024, cuando se sospecha que un barco con bandera china dañó dos cables de comunicaciones que conectan Finlandia y Suecia con Europa Central, mientras que el otro evento ocurrió un mes después, en diciembre, cuando otro barco cortó un cable eléctrico y algunos cables de comunicaciones entre Finlandia y Estonia.

A principios de este mes, ya se había discutido el plan de desplegar drones marítimos, y un almirante de la OTAN esperaba que se desplegaran en junio de 2025. Sin embargo, parece que la alianza adelantó el cronograma en seis meses, especialmente dada la sensibilidad de la infraestructura que necesitaba proteger.

Estos USV probablemente tendrán varios sensores a bordo, incluidos ópticos y electromagnéticos, y se combinarán con otros datos que se compartirán con todas las partes interesadas. "Esos requisitos se centrarán en brindar conocimiento de la situación, a través de sensores principalmente pasivos (incluidas imágenes y el espectro electromagnético) y generar la cantidad necesaria de plataformas para cubrir las áreas de interés", dijo un portavoz de la OTAN a The War Zone. "El inicio prevé que la flota evolucione en fases, lo que permitirá oportunidades para escalar el esfuerzo, integrar tecnologías nuevas o diferentes y ampliar los dominios operativos".

Al otro lado del mundo, Taiwán también está aumentando la vigilancia de su red de cables submarinos después de que un buque de carga de propiedad china fuera sospechoso de sabotear un cable submarino de Internet que conectaba el país insular con la costa este de Estados Unidos. La Armada y la Guardia Costera de Taiwán trabajarán juntas para monitorear los barcos, especialmente aquellos que cambian repentinamente de velocidad o siguen trayectorias erráticas e inusuales. Las autoridades dijeron que la Armada desplegará barcos a pedido de la Guardia Costera y que también abordará embarcaciones sospechosas para inspección o incautación, si es necesario.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hewlett Packard Enterprise (HPE) está investigando las denuncias de una nueva vulneración de seguridad después de que un actor de amenazas dijera que había robado documentos de los entornos de desarrollo de la empresa.

La empresa ha dicho a BleepingComputer que no ha encontrado ninguna prueba de una vulneración de seguridad, pero que está investigando las denuncias del actor de amenazas.

"HPE se enteró el 16 de enero de las denuncias realizadas por un grupo llamado IntelBroker de que estaba en posesión de información perteneciente a HPE", dijo la portavoz Clare Loxley a BleepingComputer.

"HPE activó inmediatamente nuestros protocolos de respuesta cibernética, deshabilitó las credenciales relacionadas y lanzó una investigación para evaluar la validez de las afirmaciones. No hay impacto operativo en nuestro negocio en este momento, ni evidencia de que la información del cliente esté involucrada".

IntelBroker, quien anunció la venta de información supuestamente robada de las redes de HPE, afirma que tuvo acceso a la API de la empresa, WePay y repositorios (públicos y privados) de GitHub durante al menos dos días y robó certificados (claves públicas y privadas), código fuente de Zerto e iLO, compilaciones de Docker e información personal antigua de usuarios utilizada para entregas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

IntelBroker publicó otro archivo de datos (incluidas credenciales y tokens de acceso) supuestamente robados de los sistemas de HPE hace casi un año, el 1 de febrero de 2024. La empresa también dijo en ese momento que estaba investigando las afirmaciones del actor de amenazas, pero que no tenía evidencia de una violación de seguridad.

IntelBroker ganó notoriedad después de violar DC Health Link, la organización que administra los planes de atención médica de los miembros de la Cámara de Representantes de los EE. UU., un incidente que condujo a una audiencia en el Congreso después de que los datos personales pertenecientes a 170.000 personas afectadas se filtraran en línea.

Otros incidentes vinculados a IntelBroker incluyen las violaciones de seguridad de Nokia, Cisco, Europol, Home Depot y Acuity y presuntas violaciones de seguridad de AMD, el Departamento de Estado, Zscaler, Ford y General Electric Aviation.

HPE también fue violada en 2018 cuando, según se informa, los piratas informáticos chinos de APT10 comprometieron algunos de sus sistemas y utilizaron el acceso para piratear los dispositivos de los clientes.

Más recientemente, en 2021, el gigante tecnológico reveló que los repositorios de datos de su plataforma de monitoreo de red Aruba Central también se habían visto comprometidos, lo que permitió a los atacantes acceder a datos sobre los dispositivos monitoreados y sus ubicaciones.

HPE también reveló hace un año que su entorno de correo electrónico Microsoft Office 365 fue vulnerado en mayo de 2023 por atacantes que se cree que forman parte del grupo de piratería APT29, vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
El Nuevo Herald
lun, 20 de enero de 2025, 11:39 a.m. EST

La cuenta del Ministerio cubano de Relaciones Exteriores (Minrex) en la red social X fue hackeada durante horas este lunes y utilizada para promocionar una supuesta criptomoneda con el nombre de Cuba coin (moneda Cuba, en inglés).

El propio Minrex lo confirmó en Facebook y a través de perfiles oficiales de sus representantes tras horas de actividad fuera de lo normal en la cuenta.

"¡Urgente! La cuenta en X del Ministerio de Relaciones Exteriores de Cuba ha sido hackeada. Cualquier información que se publique desde la cuenta @CubaMINREX a partir de ahora es falsa", informó.

La directora general de Prensa, Comunicación e Imagen del Minrex, Yaira Jiménez, también confirmó en redes el pirateo de la cuenta oficial y agregó que "se hacen las gestiones pertinentes para recuperarla".

Desde la madrugada y hasta media mañana el perfil oficial de la Cancillería acogió al menos dos espacios (foros de audio en directo) con nombre "$Cuba", en los que el administrador animaba de manera informal y en inglés a invertir en una supuesta criptomoneda.

Según pudo comprobar EFE, los foros contaban con centenares de participantes, en su mayoría perfiles anónimos y sin ninguna vinculación institucional con el Minrex.

Además, la cuenta envió varios mensajes públicos promocionado la criptomoneda, que posteriormente fueron borrados del perfil sin ninguna aclaración en X de lo sucedido.

Fuente:
Yahoo News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un paquete malicioso llamado 'pycord-self' en el índice de paquetes de Python (PyPI) tiene como objetivo a los desarrolladores de Discord robar tokens de autenticación e instalar una puerta trasera para el control remoto del sistema.

El paquete imita al muy popular 'discord.py-self', que tiene casi 28 millones de descargas, e incluso ofrece la funcionalidad del proyecto legítimo.

El paquete oficial es una biblioteca de Python que permite la comunicación con la API de usuario de Discord y permite a los desarrolladores controlar las cuentas mediante programación.

Se utiliza normalmente para enviar mensajes y automatizar interacciones, crear bots de Discord, programar moderación automatizada, notificaciones o respuestas, y ejecutar comandos o recuperar datos de Discord sin una cuenta de bot.

Según la empresa de seguridad de código Socket, el paquete malicioso se agregó a PyPi el año pasado en junio y hasta ahora se ha descargado 885 veces.

Al momento de escribir este artículo, el paquete todavía está disponible en PyPI de un editor cuyos detalles fueron verificados por la plataforma.

El paquete malicioso en PyPI
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Robo de tokens y acceso persistente

Los investigadores de Socket analizaron el paquete malicioso y descubrieron que pycord-self contiene código que realiza dos cosas principales. Una es robar tokens de autenticación de Discord de la víctima y enviarlos a una URL externa.

Código para obtener el token de Discord
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los atacantes pueden usar el token robado para secuestrar la cuenta de Discord del desarrollador sin necesidad de las credenciales de acceso, incluso si la protección de autenticación de dos factores está activa.

La segunda función del paquete malicioso es configurar un mecanismo de puerta trasera sigilosa mediante la creación de una conexión persistente a un servidor remoto a través del puerto 6969.

"Dependiendo del sistema operativo, lanza un shell ("bash" en Linux o "cmd" en Windows) que otorga al atacante acceso continuo al sistema de la víctima", explica Socket en el informe.

"La puerta trasera se ejecuta en un hilo separado, lo que dificulta su detección mientras el paquete sigue pareciendo funcional".

Configurar una puerta trasera en la máquina
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se recomienda a los desarrolladores de software que eviten instalar paquetes sin comprobar que el código proviene del autor oficial, especialmente si es un autor conocido. Verificar el nombre del paquete también puede reducir el riesgo de ser víctima de typosquatting.

Al trabajar con bibliotecas de código abierto, es recomendable revisar el código en busca de funciones sospechosas, si es posible, y evitar cualquier cosa que parezca ofuscada. Además, las herramientas de escaneo pueden ayudar a detectar y bloquear paquetes maliciosos.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una de las mayores filtraciones de datos que involucra principalmente a ciudadanos chinos incluye una cantidad colosal de 1.500 millones de registros, con nombres completos y números de identificación del gobierno expuestos. El conjunto de datos reveló detalles tomados de Weibo, varios bancos chinos y operadores de telefonía móvil, que abarcan información de múltiples sectores.

Si bien la mundanidad de las filtraciones de datos diarias es difícilmente discutible, no todas las filtraciones son iguales. Tomemos esto, por ejemplo. Una base de datos expuesta que comprende 1.500 millones de registros que cubren numerosas empresas en diferentes sectores económicos y sociales. Sin embargo, una característica común es que las víctimas son en su mayoría ciudadanos chinos, lo que convierte a este descubrimiento en uno de los más grandes de su tipo.

El servidor desprotegido con cientos de millones de registros, descubierto por el equipo de investigación de Cybernews, alberga datos de varias marcas importantes como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, una empresa de comercio electrónico china, Weibo, la principal plataforma de redes sociales de China, DiDi, la empresa de transporte de pasajeros más grande del país, y muchas otras.

Los investigadores creen que es probable que el conjunto de datos sea una mezcla de filtraciones de datos conocidas y completamente nuevas recopiladas en un único servidor Elasticsearch ahora cerrado. Si bien no todos los 1500 millones de registros quedaron expuestos por primera vez, algunos sin duda lo fueron, ya que no encontramos indicios de filtraciones de datos anteriores de las empresas incluidas en la lista.

Es preocupante que la instancia expuesta no tuviera una indicación clara de su verdadero propietario, lo que daba pistas de intenciones maliciosas detrás de un conjunto de datos tan grande y diverso. Los actores de amenazas valoran estas grandes colecciones, ya que los datos agregados permiten una amplia gama de ataques, incluido el robo de identidad, sofisticados esquemas de phishing, ciberataques dirigidos y acceso no autorizado a cuentas personales y confidenciales.

El servidor estuvo expuesto durante varios meses, pero finalmente se cerró después de múltiples intentos por parte de nuestro equipo de comunicarse con el CERT de China.

Muestra de los datos filtrados
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

¿Qué datos se vieron expuestos?

Si bien se expusieron casi 1.500 millones de registros en total, eso no significa que se filtraran los datos de la misma cantidad de personas en línea. Dado que los datos provienen de diferentes plataformas, organizaciones y sectores económicos, es posible que algunos usuarios hayan visto sus datos filtrados varias veces. Según los investigadores, el servidor desprotegido expuso:

Nombres completos
Direcciones de correo electrónico
Números de identificación de la plataforma
Nombres de usuario
Números de teléfono
Datos de atención médica
Registros financieros
Detalles relacionados con el transporte
Registros relacionados con la educación

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No todos los usuarios tenían los mismos detalles expuestos, ya que los diferentes conjuntos de datos dentro del servidor expuesto tenían diferentes datos correspondientes a la empresa o sector desde el que se agregaron. Los investigadores observaron datos de los sectores de atención médica, finanzas, transporte, redes sociales, comercio electrónico y educación de China.

La mayor cantidad de registros identificables se agruparon en una colección atribuida a QQ Messenger, el software de mensajería instantánea de Tencent. Sin embargo, las filtraciones de QQ son bastante comunes y probablemente provengan de incidentes anteriores.

La segunda colección más grande de registros filtrados, 504 millones, se atribuyó a Weibo, a veces denominado el Twitter de China. Sin embargo, el equipo señaló que en 2020, una cantidad similar de datos de usuarios de Weibo, 538 millones, se puso a la venta en foros de filtración de datos, lo que sugiere que la información en la filtración descubierta por Cybernews podría estar duplicada.

Sin embargo, otra entrada en el conjunto de datos filtrados, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (Jingdong), no tenía filtraciones de datos importantes conocidas previamente. Mientras tanto, la instancia expuesta que descubrió nuestro equipo tenía 142 millones de registros de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta expuestos.

El tercer conjunto de datos expuesto más grande, con más de 25 millones de registros, se atribuyó al servicio de mensajería más grande de China, SF Express. Otra entrada en el servidor expuesto, con 100.000 registros, también se atribuyó a SF Express. Sin embargo, esta última se refiere específicamente a las entregas de la empresa.

Mientras tanto, DiDi, el servicio de transporte más grande de China, tenía más de 20 millones de registros a su nombre en el servidor expuesto. Según el equipo, si bien en el pasado hubo dudas sobre las prácticas de seguridad de datos de la empresa, nunca antes se había informado de una violación importante de esta magnitud.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

KFC, el Partido Comunista y lo desconocido

Aunque otras entradas reconocibles en el servidor expuesto tenían menos registros expuestos, su incorporación al conjunto de datos es, cuanto menos, interesante. El equipo descubrió decenas de miles de registros filtrados titulados Enfermera de Sichuan, otro millón titulado Médico y Paciente, y 400.000 más acreditados a farmacias.

Colecciones como Valores (243.000), Fondo de Previsión de China (531.000), Usuarios de China Union Pay (1,1 millones), Banco Mercantil de China (1 millón), Banco de China (985.000), así como una colección denominada Criptomoneda (100.000), sugieren firmemente una exposición masiva de datos financieros.

La colección de Registros de Estudiantes de Zhejiang (9 millones), así como la colección de datos de Graduados (366.000) apuntan a la exposición de datos educativos que probablemente involucran a millones de estudiantes chinos.

También se ha añadido la colección Zhilian (1,1 millones), que probablemente hace referencia a Zhillian Technology, una empresa de investigación y desarrollo de automóviles, 2,6 millones de registros atribuidos a propietarios de vehículos y otros 3,5 millones de registros atribuidos a una escuela de conducción sin nombre, lo que apunta al interés de los propietarios de servidores en los automovilistas chinos.

"Decir que la magnitud de esta filtración es alarmante es quedarse corto. El volumen de las filtraciones por sí solo es alucinante. Peor aún, el servidor expuesto tenía datos de sectores esenciales como la atención sanitaria y las finanzas, lo que amplifica el daño potencial".

Se atribuyeron otros 65.000 registros a clientes de un operador de telefonía móvil desconocido, residentes de Pekín (196.000), KFC China (5 millones) y datos de registro de hogares (5,4 millones).

Curiosamente, algunas colecciones fueron ominosamente denominadas "naciones amigas" (313.000) y "datos de varios países vecinos" (2 millones), lo que indica al menos algún nivel de motivación política para quienquiera que esté detrás del conjunto de datos. La inclusión de 1,6 millones de registros en una colección titulada El Partido Comunista de Shanghái no hizo más que reforzar la impresión.

Se incluyeron otros 74 millones de registros en colecciones que no pudimos traducir de forma fiable o que fueron nombradas utilizando conjuntos aleatorios de números y letras.

"La presencia de infracciones conocidas y potencialmente desconocidas sugiere que, si bien algunos de los datos pueden haberse originado a partir de incidentes informados anteriormente, otras partes podrían representar infracciones nuevas y no informadas", afirmó el equipo.

Fuente
:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#6
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El proyecto A.S.S.E.T. (Grupo de trabajo para la búsqueda y el decomiso de activos) finalizó el 17 de enero de 2025 e identificó docenas de propiedades, más de 220 cuentas bancarias y millones de dólares en activos.

La Agencia de la Unión Europea para la Cooperación Policial (Europol) anunció una iniciativa única en la que más de 80 expertos financieros y 43 agencias de aplicación de la ley de más de 28 países cooperaron para aumentar las incautaciones de activos a los delincuentes.

El esfuerzo dio como resultado 53 propiedades identificadas, 8 de las cuales estaban valoradas en 38,5 millones de euros (40 millones de dólares), más de 220 cuentas bancarias, una de las cuales tenía un saldo de 5,6 millones de dólares, y 83 billeteras y direcciones de criptomonedas. Las autoridades también descubrieron 15 empresas, más de 20 yates y vehículos de lujo valorados en cientos de miles de dólares.

Otro resultado clave de la operación fue la congelación de 200.000 euros en criptomonedas.

"Juntos atacamos a los criminales donde más les duele: sus bolsillos", afirmó Burkhard Mühl, director del Centro Europeo contra los Delitos Financieros y Económicos (EFECC), que organizó la iniciativa.

El proyecto A.S.S.E.T. surge en un momento en que las autoridades estiman que actualmente se incautan menos del 2% de los ingresos delictivos en todo el mundo, y el 98% restante alimenta el crimen organizado.

Europol estima que el sector inmobiliario es una de las principales industrias utilizadas para blanquear los beneficios delictivos en la UE, atrayendo el 41% de los beneficios ilícitos y no gravados.

La nueva Directiva de la UE sobre recuperación y decomiso de activos, que entró en vigor en 2024, otorga poderes adicionales para congelar los activos delictivos y tomar medidas inmediatas para preservar la propiedad.

"Se convertirá en una herramienta importante en la confiscación de estos activos delictivos", dijo Europol.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de hackers ruso Star Blizzard está evolucionando desde correos electrónicos hasta chats encriptados. Su última campaña de phishing utiliza códigos QR en WhatsApp como arma, lo que indica una nueva era de guerra cibernética.

Imagínese esto: un funcionario público recibe un código QR por correo electrónico de "funcionarios del gobierno estadounidense" que supuestamente apoyan a ONG ucranianas.

Este código QR roto intencionalmente no envía al destinatario a ningún dominio válido y está diseñado para incitar a los usuarios a responder a los actores de la amenaza.

El destinatario ha sido engañado de dos maneras: primero por la causa y segundo por el inconveniente técnico.

Una vez que el destinatario responde, Star Blizzard enviará otro correo electrónico que contiene un segundo enlace, que está destinado a dirigirlo al grupo inicial de WhatsApp.

Desde allí, la víctima es dirigida a un nuevo código QR que, si se escanea, dará a los actores de la amenaza acceso a los mensajes en su cuenta, lo que significa que Star Blizzard puede exfiltrar los datos.

Se trata de un nuevo esquema ideado por Star Blizzard, un grupo de piratas informáticos ruso que lleva en funcionamiento desde 2017 y que ha atacado repetidamente a centros de investigación, periodistas y exfuncionarios militares y de inteligencia occidentales.

Esta estafa con códigos QR en realidad se calmó en noviembre de 2024, pero el cambio de su modus operandi habitual, que implicaba comunicarse por correo electrónico y redes sociales, podría presagiar un enfoque más directo, disparando desde la cadera en WhatsApp.

Según Microsoft, este grupo es especialmente versátil y tenaz a la hora de obtener información sensible y confidencial por cualquier medio necesario.

Estos ataques, iniciados a través de una plataforma de código abierto y de las redes sociales, han afectado especialmente a objetivos en el Reino Unido y los EE. UU.

Al hacerse pasar por expertos respetados, sus elaboradas campañas han tenido altos niveles de verosimilitud.

Star Blizzard ha preferido anteriormente establecer una relación mediante un intercambio de correos electrónicos y, una vez establecida la confianza, se enviaba un enlace a un documento o sitio web de interés.

Esto se ejecutaba a través del servidor de los piratas informáticos, por lo que habría un medio para introducir información confidencial de la cuenta, en forma de credenciales de cuenta.

Luego, todo lo que quisieran obtener de la bandeja de entrada del usuario se volvía posible.

Sin embargo, estas campañas de phishing selectivo son la punta del iceberg, ya que la guerra cibernética se ha salido de control durante la invasión ucraniana, saboteando y paralizando la infraestructura civil, así como manipulando y contaminando las elecciones extranjeras.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#8
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los compradores y seguidores de la marca no tendrán que esperar mucho para adquirir los últimos dispositivos de la compañía.

Motorola ha anunciado su línea de teléfonos inteligentes Moto G 2025, que incluye dos opciones de teléfonos inteligentes económicos, Moto G y Moto G Power.

La última serie de teléfonos inteligentes de Motorola incluye un modo de alto brillo de 1000 nits para una visibilidad clara y una frecuencia de actualización de 120 Hz para juegos, transmisión, desplazamiento y más.

Ambos teléfonos inteligentes vienen equipados con una experiencia de audio mejorada debido a la tecnología Bass Boost y soporte de audio de alta resolución y ofrecen conectividad 5G.

El Moto G Power con una pantalla de 6,8 pulgadas se conoce como un dispositivo "construido para durar" con su batería de 5000 mAh que puede soportar un día entero de uso intenso.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El teléfono inteligente incluye un sistema de cámara de 50 MP con una lente ultra ancha y macrovisión de 8 MP y una cámara frontal de 16 MP. La cámara del teléfono inteligente fue creada para tomar fotografías en diversas condiciones de luz con su sensor de luz ambiental, estabilización óptica de imagen (OIS) y tecnología Quad Pixel utilizada para mejorar la calidad de la imagen.

El Moto G Power, que está protegido por Corning Gorilla Glass 5, fue creado para funcionar en diversas condiciones. Según la compañía, puede soportar una caída desde casi un metro y medio, temperaturas que van desde -20 °C a 60 °C y altos niveles de humedad de hasta el 95 %.

Con un índice de protección subacuática IP68 e IP69, el teléfono inteligente también es resistente al agua contra líquidos a alta presión.

El teléfono inteligente Moto G tiene una pantalla un poco más pequeña de 6,7 pulgadas y una frecuencia de actualización de 120 Hz. Está cubierto con Gorilla Glass 3, que protege el dispositivo de arañazos y caídas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El teléfono inteligente tiene una clasificación IP52 repelente al agua, lo que significa que está protegido contra salpicaduras de agua, pero no se puede sumergir por completo en el agua.

Con un precio de $200 en los EE. UU., Moto G estará disponible para su compra en línea a partir del 30 de enero, con disponibilidad en tiendas en los próximos meses.

El Moto G Power de 300 dólares estará disponible online el 6 de febrero y en las tiendas físicas en los próximos meses.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#9
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo grupo de piratas informáticos ha filtrado los archivos de configuración, las direcciones IP y las credenciales de VPN de más de 15.000 dispositivos FortiGate de forma gratuita, lo que expone una gran cantidad de información técnica confidencial a otros cibercriminales.

Los datos fueron filtrados por el "Grupo Belsen", un nuevo grupo de piratas informáticos que apareció por primera vez en las redes sociales y en los foros de ciberdelincuencia este mes. Para promocionarse, el Grupo Belsen ha creado un sitio web en Tor donde publicaron el volcado de datos de FortiGate de forma gratuita para que lo usen otros actores de amenazas.

"A principios de año, y como un comienzo positivo para nosotros, y con el fin de solidificar el nombre de nuestro grupo en su memoria, estamos orgullosos de anunciar nuestra primera operación oficial: se publicarán datos confidenciales de más de 15.000 objetivos en todo el mundo (tanto del sector gubernamental como privado) que han sido pirateados y sus datos extraídos", se lee en una publicación en un foro de piratería.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La filtración de FortiGate consta de un archivo de 1,6 GB que contiene carpetas ordenadas por país. Cada carpeta contiene subcarpetas adicionales para cada dirección IP de FortiGate en ese país.

Carpeta de direcciones IP para dispositivos FortiGate y sus configuraciones
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un configuration.conf (volcado de configuración de Fortigate) y un archivo vpn-passwords.txt, con algunas de las contraseñas en texto sin formato. Las configuraciones también contienen información confidencial, como claves privadas y reglas de firewall.

En una publicación de blog sobre la filtración de FortiGate, Beaumont dice que se cree que la filtración está vinculada a un día cero de 2022 identificado como CVE-2022–40684 que se explotó en ataques antes de que se lanzara una solución.

"He respondido a incidentes en un dispositivo en una organización víctima y la explotación se produjo efectivamente a través de CVE-2022–40684 en función de los artefactos del dispositivo. También he podido verificar que los nombres de usuario y la contraseña que se ven en el volcado coinciden con los detalles del dispositivo", explica Beaumont.

"Los datos parecen haber sido recopilados en octubre de 2022, como una vulnerabilidad de día cero. Por alguna razón, el volcado de datos de configuración se publicó hoy, poco más de dos años después".

En 2022, Fortinet advirtió que los actores de amenazas estaban explotando una vulnerabilidad de día cero identificada como CVE-2022–40684 para descargar archivos de configuración de dispositivos FortiGate específicos y luego agregar una cuenta super_admin maliciosa llamada 'fortigate-tech-support'.

Ataque CVE-2022-40684 que agrega la cuenta de administrador no autorizada
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El sitio de noticias alemán Heise analizó la filtración de datos y también dijo que se recopiló en 2022, y que todos los dispositivos utilizaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2.

"Todos los dispositivos estaban equipados con FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2, la mayoría con la versión 7.2.0. No encontramos ninguna versión de FortiOS en el conjunto de datos que fuera más reciente que la versión 7.2.2, lanzada el 3 de octubre de 2022", informó Heise.

Sin embargo, FortiOS 7.2.2 corrigió la falla CVE-2022–40684, por lo que no estaría claro cómo los dispositivos que ejecutan esa versión podrían ser explotados con esta vulnerabilidad.

A pesar de que estos archivos de configuración se recopilaron en 2022, Beaumont advierte que aún exponen mucha información confidencial sobre las defensas de una red.

Esto incluye reglas de firewall y credenciales que, si no se cambiaron en ese momento, deberían cambiarse inmediatamente ahora que los datos se han publicado para un grupo más amplio de actores de amenazas.

Beaumont dice que planea publicar una lista de las direcciones IP en la filtración para que los administradores de FortiGate puedan saber si la filtración los afectó.

BleepingComputer también se comunicó con los actores de amenazas y Fortinet con preguntas sobre la filtración y actualizará la historia si recibimos una respuesta.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una botnet recién descubierta de 13.000 dispositivos MikroTik utiliza una configuración incorrecta en los registros del servidor de nombres de dominio para eludir las protecciones de correo electrónico y distribuir malware falsificando aproximadamente 20.000 dominios web.

El actor de amenazas aprovecha un registro DNS configurado incorrectamente para el marco de políticas de remitente (SPF) utilizado para enumerar todos los servidores autorizados para enviar correos electrónicos en nombre de un dominio.

Registro SPF mal configurado

Según la empresa de seguridad DNS Infoblox, la campaña de spam malicioso estuvo activa a fines de noviembre de 2024. Algunos de los correos electrónicos se hacían pasar por la empresa de envíos DHL Express y entregaban facturas de flete falsas con un archivo ZIP que contenía una carga maliciosa.

Dentro del archivo ZIP adjunto había un archivo JavaScript que ensambla y ejecuta un script de PowerShell. El script establece una conexión con el servidor de comando y control (C2) del actor de la amenaza en un dominio previamente vinculado a piratas informáticos rusos.

"Los encabezados de los numerosos correos electrónicos no deseados revelaron una amplia gama de dominios y direcciones IP de servidores SMTP, y nos dimos cuenta de que habíamos descubierto una red en expansión de aproximadamente 13.000 dispositivos MikroTik secuestrados, todos parte de una red de bots considerable", explica Infoblox.

Infoblox explica que los registros DNS SPF para aproximadamente 20.000 dominios se configuraron con la opción excesivamente permisiva "+all", que permite que cualquier servidor envíe correos electrónicos en nombre de esos dominios.

"Esto básicamente frustra el propósito de tener un registro SPF, porque abre la puerta a la suplantación de identidad y al envío de correo electrónico no autorizado" - Infoblox

Una opción más segura es usar la opción "-all", que limita el envío de correo electrónico a los servidores especificados por el dominio.

Descripción general del funcionamiento de la botnet
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

MikroTik alimenta otra botnet

El método de ataque sigue sin estar claro, pero Infoblox afirma que "vieron una variedad de versiones afectadas, incluidas las recientes versiones de firmware [de MikroTik]".

Los enrutadores MikroTik son conocidos por ser potentes y los actores de amenazas los atacaron para crear botnets capaces de realizar ataques muy potentes.

El verano pasado, el proveedor de servicios en la nube OVHcloud culpó a una botnet de dispositivos MikroTik comprometidos por un ataque masivo de denegación de servicio que alcanzó un récord de 840 millones de paquetes por segundo.

A pesar de instar a los propietarios de dispositivos MikroTik a actualizar los sistemas, muchos de los enrutadores siguen siendo vulnerables durante largos períodos de tiempo debido a una tasa de parches muy lenta.

La botnet en este caso configuró los dispositivos como proxies SOCKS4 para lanzar ataques DDoS, enviar correos electrónicos de phishing, exfiltrar datos y, en general, ayudar a enmascarar el origen del tráfico malicioso.

"Aunque la botnet consta de 13.000 dispositivos, su configuración como servidores proxy SOCKS permite que decenas o incluso cientos de miles de máquinas comprometidas los utilicen para acceder a la red, lo que amplifica significativamente la escala potencial y el impacto de las operaciones de la botnet", comenta Infoblox.

Se recomienda a los propietarios de dispositivos MikroTik que apliquen la última actualización de firmware para su modelo, cambien las credenciales de la cuenta de administrador predeterminada y cierren el acceso remoto a los paneles de control si no es necesario.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Irónicamente, los cibercriminales ahora utilizan anuncios de búsqueda de Google para promocionar sitios de phishing que roban las credenciales de los anunciantes para la plataforma Google Ads.

Los atacantes publican anuncios en la Búsqueda de Google que se hacen pasar por Google Ads, que se muestran como resultados patrocinados que redirigen a las víctimas potenciales a páginas de inicio de sesión falsas alojadas en Google Sites, pero que parecen la página de inicio oficial de Google Ads, donde se les pide que inicien sesión en sus cuentas.

Google Sites se utiliza para alojar páginas de phishing porque permite a los atacantes camuflar sus anuncios falsos, dado que la URL (sites.google.com) coincide con el dominio raíz de Google Ads para una suplantación completa.

Anuncio falso que se hace pasar por Google Ads (Malwarebytes Labs)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"De hecho, no se puede mostrar una URL en un anuncio a menos que la página de destino (URL final) coincida con el mismo nombre de dominio. Si bien se trata de una regla destinada a proteger el abuso y la suplantación de identidad, es muy fácil de eludir", dijo Jérôme Segura, director sénior de investigación de Malwarebytes.

"Al observar el anuncio y la página de Google Sites, vemos que este anuncio malicioso no infringe estrictamente la regla, ya que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta utiliza los mismos dominios raíz que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. En otras palabras, se permite mostrar esta URL en el anuncio, por lo que no se puede distinguir del mismo anuncio publicado por Google LLC".

Según las personas que fueron víctimas de estos ataques o los vieron en acción, los ataques incluyen varias etapas:

La víctima ingresa la información de su cuenta de Google en la página de phishing.

El kit de phishing recopila identificadores únicos, cookies y credenciales.

La víctima puede recibir un correo electrónico que indique que ha iniciado sesión desde una ubicación inusual (Brasil)

Si la víctima no logra detener este intento, se agrega un nuevo administrador a la cuenta de Google Ads a través de una dirección de Gmail diferente.

El actor de la amenaza realiza una ola de gastos y bloquea a las víctimas si pueden
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Flujo del ataque (Malwarebytes Labs)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al menos tres grupos de cibercriminales están detrás de estos ataques, incluidos hablantes de portugués que probablemente operan desde Brasil, actores de amenazas con base en Asia que utilizan cuentas de anunciantes de Hong Kong (o de China) y una tercera banda probablemente formada por europeos del este.

Malwarebytes Labs, que detectó esta campaña en curso, cree que el objetivo final de los delincuentes es vender las cuentas robadas en foros de piratería y usar algunas de ellas para ejecutar futuros ataques utilizando las mismas técnicas de phishing.

"Esta es la operación de publicidad maliciosa más atroz que hemos rastreado, llegando al núcleo del negocio de Google y probablemente afectando a miles de sus clientes en todo el mundo. Hemos estado informando nuevos incidentes las 24 horas del día y, sin embargo, seguimos identificando otros nuevos, incluso en el momento de la publicación", agregó Segura.

"Irónicamente, es muy posible que las personas y las empresas que realizan campañas publicitarias no utilicen un bloqueador de anuncios (para ver sus anuncios y los de sus competidores), lo que los hace aún más susceptibles a caer en estos esquemas de phishing".

Las cuentas robadas de Google Ads son muy buscadas por los ciberdelincuentes, que las utilizan habitualmente como combustible para otros ataques que también abusan de los anuncios de búsqueda de Google para difundir malware y diversas estafas.

"Prohibimos expresamente los anuncios que tienen como objetivo engañar a las personas para robarles su información o estafarlas. Nuestros equipos están investigando activamente este problema y trabajando rápidamente para solucionarlo", dijo Google a BleepingComputer cuando se le pidió que proporcionara más detalles sobre los ataques.

A lo largo de 2023, Google también bloqueó o eliminó 206,5 millones de anuncios por violar su Política de tergiversación. También eliminó más de 3.400 millones de anuncios, restringió más de 5.700 millones y suspendió más de 5,6 millones de cuentas de anunciantes.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un documento de soporte independiente descubierto por primera vez por The Verge, la compañía dice que las aplicaciones de Office seguirán funcionando incluso después de que finalice el soporte de Windows 10, pero dijo que los clientes podrían encontrar problemas hasta que actualicen sus PC a Windows 11.

"Después de esa fecha, si está ejecutando Microsoft 365 en un dispositivo con Windows 10, las aplicaciones seguirán funcionando como antes. Sin embargo, recomendamos encarecidamente actualizar a Windows 11 para evitar problemas de rendimiento y confiabilidad con el tiempo", dice Microsoft.

Si bien la compañía ha presionado continuamente a los usuarios para que se pasen a Windows 11 desde su lanzamiento en octubre de 2021, incluso nombrando 2025 "el año de la actualización de PC con Windows 11" a principios de este mes, los clientes no están dispuestos a cambiar debido a los requisitos de soporte "no negociables" de TPM 2.0.

Aunque Windows 10 llegará al final del soporte en ocho meses, más del 62% de todos los sistemas Windows en todo el mundo todavía ejecutan Windows 10, mientras que menos del 35% ejecutan Windows 11, según datos de Statcounter Global.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft anunció en junio de 2021 que TPM 2.0 es un requisito obligatorio para las instalaciones o actualizaciones de Windows 11, afirmando que hace que los sistemas sean más resistentes a la manipulación y los ciberataques. Sin embargo, esto no ha impedido que los usuarios creen herramientas y encuentren técnicas para eludir el requisito de TPM.

Aunque el fin del soporte de Windows 10 se acerca rápidamente, la compañía anunció el 31 de octubre que los usuarios domésticos de Windows 10 podrían retrasar el cambio a Windows 11 un año más si pagan 30 dólares por las Actualizaciones de seguridad extendidas (ESU).

Además, las versiones de la rama de mantenimiento a largo plazo (LTSB) como Windows 10 2016 LTSB y las versiones del canal de mantenimiento a largo plazo (LTSC) como Windows 10 IoT Enterprise LTSC 2021 que atienden a dispositivos especializados, incluidos los sistemas industriales y médicos, también recibirán actualizaciones más allá de octubre de 2025.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Más de 660.000 servidores Rsync expuestos son potencialmente vulnerables a seis nuevas vulnerabilidades, incluida una falla de desbordamiento de búfer de pila de gravedad crítica que permite la ejecución remota de código en los servidores.

Rsync es una herramienta de sincronización de archivos y transferencia de datos de código abierto valorada por su capacidad de realizar transferencias incrementales, lo que reduce los tiempos de transferencia de datos y el uso de ancho de banda.

Admite transferencias de sistemas de archivos locales, transferencias remotas a través de protocolos seguros como SSH y sincronización directa de archivos a través de su propio demonio.

La herramienta es ampliamente utilizada por sistemas de respaldo como Rclone, DeltaCopy, ChronoSync, repositorios públicos de distribución de archivos y operaciones de administración de servidores y de la nube.

Los fallos de Rsync fueron descubiertos por Google Cloud e investigadores de seguridad independientes y pueden combinarse para crear poderosas cadenas de explotación que conducen a la vulneración remota del sistema.

"En el CVE más severo, un atacante solo requiere acceso de lectura anónimo a un servidor rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor", se lee en el boletín publicado en Openwall.

Los seis fallos se resumen a continuación:

Desbordamiento del búfer de montón ( CVE-2024-12084 ): vulnerabilidad que surge del manejo inadecuado de las longitudes de las sumas de comprobación en el demonio Rsync, lo que provoca escrituras fuera de los límites en el búfer. Afecta a las versiones 3.2.7 a < 3.4.0 y puede permitir la ejecución de código arbitrario. La mitigación implica la compilación con indicadores específicos para deshabilitar la compatibilidad con los resúmenes SHA256 y SHA512. ( Puntuación CVSS: 9,8 )

Fuga de información a través de una pila no inicializada ( CVE-2024-12085 ): falla que permite la fuga de datos de la pila no inicializada al comparar las sumas de comprobación de archivos. Los atacantes pueden manipular las longitudes de las sumas de comprobación para explotar esta vulnerabilidad. Afecta a todas las versiones anteriores a la 3.4.0, y se puede mitigar compilando con el indicador -ftrivial-auto-var-init=zero para inicializar el contenido de la pila. (Puntuación CVSS: 7,5 )

Fugas de archivos de cliente arbitrarios en servidores ( CVE-2024-12086 ) : vulnerabilidad que permite a un servidor malintencionado enumerar y reconstruir archivos de cliente arbitrarios byte a byte utilizando valores de suma de comprobación manipulados durante la transferencia de archivos. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,1 )

Recorrido de ruta mediante la opción --inc-recursive ( CVE-2024-12087 ) : problema que se origina en una verificación inadecuada de enlaces simbólicos al utilizar la opción --inc-recursive. Los servidores malintencionados pueden escribir archivos fuera de los directorios previstos en el cliente. Todas las versiones anteriores a la 3.4.0 son vulnerables. (Puntuación CVSS: 6,5 )

Omisión de la opción --safe-links ( CVE-2024-12088 ): falla que ocurre cuando Rsync no verifica correctamente los destinos de los enlaces simbólicos que contienen otros enlaces. Esto da como resultado un recorrido de ruta y escrituras de archivos arbitrarios fuera de los directorios designados. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,5 )

Condición de carrera de vínculo simbólico ( CVE-2024-12747 ) : vulnerabilidad que surge de una condición de carrera en el manejo de vínculos simbólicos. Su explotación puede permitir a los atacantes acceder a archivos confidenciales y escalar privilegios. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 5,6 )
 
El Centro de Coordinación CERT (CERT/CC) emitió un boletín de advertencia sobre las fallas de Rsync, señalando a Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation y el Centro de Datos Triton como afectados.

Sin embargo, muchos otros proyectos y proveedores potencialmente afectados aún no han respondido.

"Cuando se combinan, las dos primeras vulnerabilidades (desbordamiento del búfer de pila y fuga de información) permiten que un cliente ejecute código arbitrario en un dispositivo que tiene un servidor Rsync en ejecución", advirtió CERT/CC.

"El cliente solo requiere acceso de lectura anónimo al servidor, como espejos públicos. Además, los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos confidenciales, como claves SSH, y se puede ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt".

En su propio boletín sobre CVE-2024-12084, RedHat señaló que no existen mitigaciones prácticas y que la falla se puede explotar en la configuración predeterminada de Rsync.

"Tenga en cuenta que la configuración predeterminada de rsyncd permite la sincronización anónima de archivos, que corre el riesgo de sufrir esta vulnerabilidad", explica RedHat.

"De lo contrario, un atacante necesitará credenciales válidas para los servidores que requieren autenticación".

Se recomienda a todos los usuarios que actualicen a la versión 3.4.0 lo antes posible.

Fuente
:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft está investigando un error que activa alertas de seguridad en sistemas con un procesador Trusted Platform Module (TPM) después de habilitar BitLocker.

BitLocker es una función de seguridad de Windows que encripta las unidades de almacenamiento para evitar el robo o la exposición de datos. Según Redmond, "ofrece la máxima protección" cuando se utiliza con un TPM "para garantizar que un dispositivo no haya sido manipulado mientras el sistema está fuera de línea".

Los TPM son procesadores de seguridad dedicados que brindan funciones de seguridad basadas en hardware y actúan como componentes de hardware confiables para almacenar datos confidenciales, como claves de cifrado y otras credenciales de seguridad.

En un aviso publicado el martes, la empresa afirma que este problema conocido también afecta a los dispositivos no administrados, conocidos como BYOD (abreviatura de Bring Your Own Device). Por lo general, se trata de dispositivos de propiedad personal que se utilizan en entornos empresariales y que se pueden integrar o proteger mediante medidas proporcionadas por el equipo de TI o seguridad de cada organización.

En los PC con Windows 10 y 11 afectados, los usuarios verán una alerta que dice :

"Para su seguridad, algunas configuraciones son administradas por su administrador"

en el panel de control de BitLocker y en otros lugares de Windows.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft dice que actualmente está trabajando en una solución y brindará más detalles sobre el problema cuando tenga más información.

En abril de 2024, Microsoft solucionó otro problema que provocaba errores de cifrado de unidad BitLocker incorrectos en algunos entornos administrados de Windows. La empresa etiquetó este problema en octubre de 2023 como un problema de notificación que no afectaba al cifrado de la unidad.

Meses después, en agosto, Redmond abordó otro error que provocaba que algunos dispositivos Windows se iniciaran en modo de recuperación de BitLocker después de instalar las actualizaciones de seguridad de Windows.

El mismo mes, deshabilitó una solución para una vulnerabilidad de omisión de la función de seguridad de BitLocker ( CVE-2024-38058 ) debido a problemas de incompatibilidad de firmware que provocaban que los dispositivos Windows parcheados ingresaran al modo de recuperación de BitLocker.

Microsoft anunció en junio de 2021 que TPM 2.0 es un requisito obligatorio para instalar o actualizar a Windows 11, y dijo que haría que los sistemas fueran más resistentes a la manipulación y a los ciberataques sofisticados. Sin embargo, esto no ha impedido que los usuarios de Windows creen varias herramientas, scripts y técnicas para evitarlo.

Más de tres años después, en diciembre de 2024, Redmond dejó muy claro que la compatibilidad con TPM 2.0 es un requisito "no negociable", ya que los clientes no podrán actualizar a Windows 11 sin él.

Los datos globales de Statcounter muestran actualmente que más del 62 % de todos los sistemas Windows en todo el mundo todavía ejecutan Windows 10, mientras que menos del 34 % ejecutan Windows 11 tres años después de su lanzamiento en octubre de 2021.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva campaña de malware ha comprometido más de 5000 sitios de WordPress para crear cuentas de administrador, instalar un complemento malicioso y robar datos.

Los investigadores de la empresa de seguridad de scripts web c/side descubrieron durante una intervención de respuesta a incidentes para uno de sus clientes que la actividad maliciosa utiliza el dominio wp3[.]xyz para exfiltrar datos, pero aún no han determinado el vector de infección inicial.

Después de comprometer un objetivo, un script malicioso cargado desde el dominio wp3[.]xyz crea la cuenta de administrador falsa wpx_admin con credenciales disponibles en el código.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El script luego procede a instalar un complemento malicioso (plugin.php) descargado del mismo dominio y lo activa en el sitio web comprometido.

Según c/cide, el propósito del complemento es recopilar datos confidenciales, como credenciales de administrador y registros, y enviarlos al servidor del atacante de una manera ofuscada que los hace aparecer como una solicitud de imagen.

El ataque también implica varios pasos de verificación, como registrar el estado de la operación después de la creación de la cuenta de administrador no autorizada y verificar la instalación del complemento malicioso.

Bloqueando los ataques

c/side recomienda que los propietarios de sitios web bloqueen el dominio 'wp3[.]xyz' mediante cortafuegos y herramientas de seguridad.

Además, los administradores deben revisar otras cuentas privilegiadas y la lista de complementos instalados para identificar actividades no autorizadas y eliminarlas lo antes posible.

Por último, se recomienda que las protecciones CSRF en los sitios de WordPress se fortalezcan mediante la generación de tokens únicos, la validación del lado del servidor y la regeneración periódica. Los tokens deben tener un tiempo de expiración corto para limitar su período de validez.

La implementación de la autenticación multifactor también agrega protección a las cuentas con credenciales que ya se han visto comprometidas.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los científicos de materiales de la UCLA han desarrollado una tecnología de refrigeración compacta que puede bombear calor de forma continua mediante capas de películas delgadas flexibles. El diseño se basa en el efecto electrocalórico, en el que un campo eléctrico provoca un cambio temporal en la temperatura de un material.

En experimentos de laboratorio, los investigadores descubrieron que el prototipo podía reducir la temperatura ambiente de su entorno inmediato en 16 grados Fahrenheit de forma continua y hasta 25 grados en la fuente de calor después de unos 30 segundos.

Detallado en un artículo publicado en la revista Science, el enfoque podría incorporarse a la tecnología de refrigeración portátil o a los dispositivos de refrigeración portátiles.

"Nuestro objetivo a largo plazo es desarrollar esta tecnología para accesorios de refrigeración portátiles que sean cómodos, asequibles, fiables y energéticamente eficientes, especialmente para personas que trabajan en entornos muy calurosos durante muchas horas", dijo el investigador principal Qibing Pei, profesor de ciencia e ingeniería de materiales en la Escuela de Ingeniería Samueli de la UCLA. "A medida que las temperaturas medias siguen aumentando debido al cambio climático, hacer frente al calor se está convirtiendo en un problema de salud crítico. Necesitamos una variedad de soluciones al problema y esta podría ser la base para una de ellas".

Las películas de polímero del dispositivo se expanden y contraen como un acordeón para bombear el calor lejos de una fuente, enfriándola unos 16 grados Fahrenheit. Crédito: Laboratorio de Investigación de Materiales Blandos de la UCLA

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cuando se activa el campo eléctrico del dispositivo, las capas apiladas se comprimen entre sí en pares. Cuando se corta la electricidad, los pares apilados se separan para luego presionarse contra las otras capas vecinas. A medida que este proceso alterno se repite, la acción en cascada autorregenerativa, similar a un acordeón, bombea continuamente calor, capa por capa.

"Las películas de polímero utilizan un circuito para transportar cargas entre pares de capas apiladas, lo que hace que el dispositivo de enfriamiento flexible sea más eficiente que los acondicionadores de aire", dijo Hanxiang Wu, uno de los coautores principales del estudio y un investigador postdoctoral que trabaja en el laboratorio de Pei.

La tecnología de enfriamiento tradicional se basa en el aire acondicionado y la refrigeración, que requieren compresión de vapor que no solo consume una gran cantidad de energía, sino que también utiliza dióxido de carbono como refrigerante. El nuevo dispositivo es un diseño más simple que no requiere refrigerantes o líquidos que generen gases de efecto invernadero. Funciona únicamente con electricidad, que puede ser sostenible cuando se genera a través de fuentes de energía renovables como paneles solares.

"Este dispositivo de refrigeración integra materiales avanzados con una elegante arquitectura mecánica para ofrecer una refrigeración energéticamente eficiente al incorporar funcionalidad directamente en su estructura, reduciendo la complejidad, el uso de energía y las demandas computacionales", dijo el coautor principal del estudio, Wenzhong Yan, un investigador postdoctoral en ingeniería mecánica.

Pei tiene un puesto docente conjunto en el Departamento de Ingeniería Mecánica y Aeroespacial y dirige el Laboratorio de Investigación de Materiales Blandos en la UCLA. Él y su equipo han estado investigando tecnologías de refrigeración electrocalórica diseñadas para reducir las temperaturas lo suficiente para aplicaciones del mundo real.

"Dado que podemos utilizar películas delgadas y flexibles, la refrigeración electrocalórica sería la más ideal para los wearables de próxima generación que pueden mantenernos frescos en condiciones extenuantes", dijo Pei. "También podría usarse para enfriar dispositivos electrónicos con componentes flexibles".

Sumanjeet Kaur, científica de materiales del Laboratorio Nacional Lawrence Berkeley y líder de su Grupo de Energía Térmica, es otra autora del estudio y coinventora de la solicitud de patente que la UCLA ha presentado para esta invención. "No se puede exagerar el potencial de la refrigeración portátil eficiente para impulsar el ahorro de energía y mitigar el cambio climático", dijo Kaur.

Además de Wu y Yan, Yuan Zhu, estudiante de posgrado de UCLA Samueli y miembro del grupo de investigación de Pei, es otro coautor principal. Otros autores son los estudiantes de posgrado en ciencias de los materiales Siyu Zhang, William Budiman, Kede Liu, Jianghan Wu y el ex investigador postdoctoral en ciencias de los materiales Yuan Meng, todos ellos miembros del grupo de investigación de Pei; el estudiante de posgrado en bioingeniería Xun Zhao; y Ankur Mehta, profesor asociado de ingeniería eléctrica e informática de la UCLA.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Telefónica, una multinacional española de telecomunicaciones, confirmó una filtración de datos de su sistema interno de tickets. La confirmación se produjo después de que los datos robados aparecieran en Breach Forums, un foro sobre cibercrimen y piratería informática.

Telefónica, la mayor empresa de telecomunicaciones de España, opera en doce países con más de 104.000 empleados.
El ciberataque a Telefónica

La compañía ha confirmado que su sistema de tickets fue vulnerado y que actualmente está investigando el alcance del incidente y ha tomado medidas para evitar más accesos no autorizados. La filtración en el foro de piratería incluía una base de datos Jira de Telefónica.

Cuatro personas que utilizan los alias DNA, Grep, Pryx y Rey se atribuyeron la responsabilidad de la vulneración. Según Pryx, uno de los atacantes, el "sistema de tickets interno" es un servidor interno de desarrollo y emisión de tickets de Jira utilizado por Telefónica para informar y resolver problemas internos.

Según las fuentes, se utilizaron credenciales de empleados comprometidas para vulnerar el sistema el día anterior. Telefónica respondió bloqueando su acceso y restableciendo las contraseñas de las cuentas afectadas. Los atacantes dicen que pudieron extraer aproximadamente 2,3 GB de documentos, tickets y varios datos utilizando las cuentas de empleados comprometidas. Si bien algunos de estos datos estaban etiquetados como clientes, los tickets se abrieron con direcciones de correo electrónico @telefonica.com, lo que indica que podrían haber sido abiertos en nombre de clientes.

Captura de pantalla de los datos filtrados
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Pryx afirma que no se puso en contacto con Telefónica ni intentó extorsionarla antes de filtrar los datos en línea. Tres personas detrás del ataque, Grep, Pryx y Rey, también forman parte de una operación de ransomware lanzada recientemente conocida como Hellcat Ransomware. Hellcat es responsable de una reciente violación de datos en Schneider Electric, donde se robaron 40 GB de datos del servidor JIRA de la empresa.

Este ciberataque a Telefónica supuestamente involucra a Fortinet, un componente crucial de la infraestructura de red de la empresa. Si bien el alcance de la violación de datos y la naturaleza de los datos comprometidos siguen sin revelarse, han surgido inquietudes con respecto al impacto potencial. A pesar de la afirmación, el sitio web oficial de Telefónica sigue funcionando, lo que plantea dudas sobre la autenticidad del supuesto ciberataque.

Sin embargo, esta no es la primera vez que Telefónica sufre una violación de datos. En julio de 2018, millones de clientes de Telefónica vieron expuestos sus datos después de una violación de seguridad. Sin embargo, mientras la industria de las telecomunicaciones enfrenta amenazas cibernéticas, las empresas deben mantener su colaboración para establecer medidas de ciberseguridad adecuadas contra la infraestructura crítica.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han anunciado los ganadores oficiales del concurso de hacking Raspberry Pi y Hextree RP2350, que otorga 20.000 dólares.
En una entrada del blog del director de Raspberry Pi, Eben Upton, se describen los cuatro ganadores del premio.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Como Raspberry Pi quedó tan impresionada con la calidad de las propuestas, los cuatro ganadores recibirán el premio completo, en lugar de una parte.

Uno de los cuatro hackers competitivos que ganaron fue el ingeniero Aedan Cullen, con el detalle de la metodología de desenterrar el secreto OTP de su RP2350. Además, el pistolero a sueldo de Raspberry Pi, Hextree, logró eludir las medidas de seguridad OTP fuera del ámbito de la competición.

En un preámbulo a la designación de los ganadores del concurso de hacking RP2350, Upton nos recuerda el razonamiento detrás de la competición. El RP2350 se entregó en agosto pasado (a través del Raspberry Pi Pico 2) como sucesor del popular microcontrolador RP2040 (Raspberry Pi Pico). Tiene la ventaja de varias tecnologías, incluida la seguridad construida alrededor de Arm TrustZone para Cortex-M.

"Nuestro objetivo era descubrir las debilidades de forma temprana, para poder solucionarlas antes de que el RP2350 se implementara ampliamente en aplicaciones seguras", dijo Upton sobre el desafío del hackeo. De esta forma, el RP2350 debería obtener "seguridad a través de la transparencia", que Upton prefiere a la filosofía de "seguridad a través de la oscuridad" adoptada por algunos proveedores.

Raspberry Pi y Hextree anunciaron el desafío de piratería RP2350, anunciado en DEF CON en agosto, con un premio de $10,000. El premio se duplicó y Raspberry Pi contrató a Hextree como competidor fuera del campo, para garantizar que algunos resultados de piratería útiles estuvieran disponibles en enero de 2025. La competencia cerró el último día de diciembre de 2024.

Para recapitular, los competidores tenían la tarea de recuperar un valor secreto de la memoria programable una sola vez (OTP) en el RP2350. Además, se observa que las cuatro presentaciones válidas requerían acceso físico al chip.

Primer Ganador: Aedan Cullen


Cullen aisló físicamente el pin 53 del chip RP2350 cortando una pista de PCB, y luego utilizó un ataque de inyección de voltaje para activar los núcleos RISC-V "permanentemente desactivados" y su puerto de acceso de depuración, lo que le permitió leer el secreto.

El jefe de Raspberry Pi, Eben Upton, admite que aún no hay mitigación para esta vulnerabilidad, pero dice que "es probable que se resuelva en una futura versión de RP2350".

Segundo Ganador: Marius Muench


Muench emitió un comando de reinicio normal al cargador de arranque USB y luego empleó la inyección de errores mediante un error en el voltaje de suministro para omitir una instrucción. Con el tiempo correcto y al precargar el código malicioso en la RAM, el código podría ejecutarse y extraer el secreto OTP.

Este ataque ha sido designado E20 y ahora se puede mitigar configurando el indicador OTP BOOT_FLAGS0.DISABLE_WATCHDOG_SCRATCH.

Tercer Ganador: Kévin Courdesses

Inmediatamente después de que el firmware que se va a validar se haya cargado en la RAM, y justo antes de que se calcule la función hash necesaria para la comprobación de la firma, hay una debilidad explotable en la ruta de arranque segura.

Courdesses construyó un sistema de inyección de fallas láser personalizado para evitar la detección de fallas. Un breve pulso de luz láser en la parte posterior del chip, revelado al pulir parte de la superficie del paquete, introdujo una falla breve, lo que provocó que la lógica digital del chip se comportara mal y abriera la puerta a este ataque.

Al igual que con el ataque al RP2350 de Cullen, todavía no hay mitigación para esta vulnerabilidad (E24), pero dice que es probable que se resuelva en una futura versión del RP2350.

Método de haz de iones enfocado (FIB) de IOActive

Cuarto Ganador: IOActive

Los bits de datos almacenados en las memorias OPT del RP2350, basadas en antifusibles, se extrajeron utilizando una conocida técnica de análisis de fallos de semiconductores que aprovecha el contraste de voltaje pasivo (PVC) con un haz de iones enfocado (FIB).

El equipo de cinco miembros de IOActive considera que su vector de ataque único es lo suficientemente potente como para aplicarse a otros sistemas que utilizan memoria antifusible para la confidencialidad. Por lo tanto, las organizaciones que utilizan memoria antifusible de esta manera deberían "reevaluar inmediatamente su postura de seguridad", dice IOActive, y al menos utilizar técnicas de manipulación para dificultar a los atacantes la recuperación de datos.

El pistolero a sueldo también tiene éxito: Hextree

Las investigaciones de Hextree destacaron que la tasa de fallos no detectados del RP2350 era lo suficientemente alta como para que los fallos fueran un vector de ataque que valiera la pena. Con este descubrimiento inicial en mente, la empresa comenzó a centrar sus esfuerzos en la inyección de fallos electromagnéticos (EMFI).

De manera crucial, Hextree aprendió a usar fallas EMFI cronometradas con precisión para evitar que el OTP se bloquee correctamente. Por lo tanto, el secreto del OTP quedó abierto para leer.

Upton señala que existen varias mitigaciones contra este ataque (E21). Sin embargo, las mitigaciones actuales pueden evitar que los usuarios actualicen el firmware del dispositivo a través de USB.

Conclusión

El equipo de Raspberry Pi ha descubierto que el esquema de detección de fallas del RP2350 no es tan efectivo como esperaban. Si ha leído lo anterior, comprenderá que varios de los ataques de piratería pasaron por alto esta protección prevista.

Raspberry Pi está preparando otra competencia. Tiene una implementación de AES en el RP2350 que se dice que está reforzada contra ataques de canal lateral, y le gustaría desafiar a los piratas informáticos para que la derroten.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Ahora que la IA puede imitar a los humanos de forma fiable en determinadas situaciones, no sorprende oír que la están utilizando estafadores humanos de verdad. Según un artículo de The Express, una mujer francesa de 53 años que se identificó como "Anne" en el canal francés TF1 fue estafada por un monto de 830.000 euros (851.355 dólares) durante dos años utilizando imágenes de Brad Pitt generadas por IA. Anne fue convencida de entregar el dinero porque pensó que "Brad" lo necesitaba para el tratamiento del cáncer.

El estafador empleó tácticas que iban más allá de la simple fotografía y el vídeo de IA, incluida una extensa relación basada en texto con la víctima, que incluía el envío regular de poesía (probablemente también generada por IA) y, finalmente, una historia fingida de cáncer de riñón, completa con una foto generada por IA. La verdad es que ninguna de las fotos generadas parece algo que no se pueda hacer con Photoshop, pero al menos el trabajo típico de Photoshop requiere un poco más de esfuerzo que una rápida indicación de texto.

Anne pasó por alto una señal de alerta clave que es común en esquemas como este: la falta total de comunicación telefónica en tiempo real. Sin embargo, incluso si hubiera considerado eso, simular una llamada de voz no está fuera del rango de opciones disponibles para aquellos dispuestos a explotar la IA para ganar dinero rápido.

Otras formas en que los cibercriminales han mejorado su juego con la IA incluyen cometer fraude electrónico contra plataformas de música mediante la transmisión de música con bots y, por supuesto, generar spam, incluido contenido incendiario e ilegal para su uso con correos electrónicos de phishing, anuncios maliciosos, etc. Si bien la IA no ha cambiado mucho el panorama general del spam y el cibercrimen, la IA ha aumentado la velocidad y la eficiencia con la que ahora se pueden ejecutar los ataques.

Desafortunadamente para Anne, solo descubrió que era víctima de una elaborada estafa en línea cuando vio a su novio famoso perfectamente vivo y saludable con una nueva novia en la televisión, aproximadamente dos años después de que ella desembolsara el dinero. A pesar de acudir a las autoridades con su historia, Anne no pudo recuperar nada del dinero que perdió. Una buena parte de ello procedía de un acuerdo de divorcio con su ex marido millonario, cuyo conocimiento parece haber alentado a la estafadora a llegar a tales extremos.

Fuente
:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Algunos usuarios de Samsung podrán vender ahora sus smartphones usados a la empresa.

El programa "Galaxy Easy Compensation" de Samsung se lanzará el 14 de enero de 2025 y estará disponible primero para los usuarios de Corea del Sur. La empresa planea ampliar el servicio a otros países en una fecha posterior.

El programa permite a los usuarios vender sus viejos smartphones Samsung sin tener que comprar uno nuevo.

El programa está disponible para varios modelos de smartphones Samsung: Galaxy S23, Galaxy S22, Galaxy S21, Galaxy S20, Galaxy Z Fold 5, Galaxy Z Fold 4, Galaxy Z Fold 3, Galaxy Z Flip 5, Galaxy Z Flip 4, Galaxy Z Flip 3. La disponibilidad de los modelos puede depender del país.

La lista de smartphones aceptados revela que Samsung está aceptando dispositivos más nuevos lanzados en los últimos cinco años y que siguen recibiendo actualizaciones del sistema operativo.

Los smartphones usados serán valorados según su estado. La empresa clasificará los dispositivos como excelentes, buenos o aptos para reciclar. El precio de los smartphones usados aún no se conoce.

El nuevo programa podría ser otro paso hacia la simplificación del proceso para que los usuarios se deshagan de sus viejos dispositivos y las empresas que los utilicen, tal vez para reacondicionarlos y luego revenderlos, dándoles una segunda vida.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Por ejemplo, Google inició el año pasado un programa de Teléfonos reacondicionados certificados, a través del cual los usuarios pueden comprar dispositivos Pixel a precios más económicos.

La empresa también ha iniciado su programa Longevity GFR (Google Requirements Freeze), que permite a los dispositivos Android obtener una actualización de software de siete años.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#21
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al explotar esta vulnerabilidad, los atacantes podrían eludir la característica de seguridad vital de Apple, conocida como SIP.

La Protección de integridad del sistema (SIP) de MacOS es crucial para proteger el sistema operativo contra malware y un puñado de otras amenazas. SIP impone restricciones en las operaciones a nivel del sistema, incluso para usuarios con privilegios de root.

Microsoft Threat Intelligence descubrió una vulnerabilidad, ahora identificada como CVE-2024-44243, que podría usarse para eludir el escudo de seguridad SIP. Si se explota, permitiría la carga de extensiones de kernel de terceros, lo que resultaría en graves implicaciones de seguridad para los usuarios.

Una omisión de SIP afecta a todo el sistema operativo macOS y podría dar como resultado lo siguiente:

Instalación de malware o rootkits.

Eludir el marco de transparencia, consentimiento y control (TCC) de MacOS. El marco TCC evita que las aplicaciones accedan a la información personal de los usuarios, como la ubicación, el historial de navegación, la cámara, el micrófono u otros, sin su consentimiento. Eludirlo podría dar como resultado violaciones de datos privados. Deshabilitar o alterar las herramientas de seguridad para evitar la detección.

Crear más oportunidades para ataques adicionales.

Los investigadores identificaron una vulnerabilidad en el demonio Storage Kit, un proceso crítico de macOS responsable de administrar las operaciones de estado del disco.

Esta falla podría permitir a los atacantes con acceso root eludir las protecciones SIP inyectando y activando paquetes de sistemas de archivos personalizados para realizar acciones no autorizadas.

El equipo también encontró que varias implementaciones de sistemas de archivos de terceros, incluidas las de Tuxera, Paragon, EaseUS e iBoysoft, eran vulnerables a la explotación.

Al incorporar código personalizado en estos sistemas de archivos y utilizar herramientas como Disk Utility o el comando "diskutil", los atacantes podrían eludir SIP y anular la lista de exclusión de extensiones del kernel de Apple.

Tras la divulgación responsable de Microsoft y el investigador de seguridad Mickey Jin, Apple lanzó un parche para la vulnerabilidad en diciembre de 2024. Los usuarios deben mantener sus sistemas actualizados para evitar riesgos.

Los investigadores de Microsoft han encontrado anteriormente una técnica de omisión que elimina la protección TCC para el directorio del navegador Safari. Tras una divulgación responsable, Apple lanzó una solución para la vulnerabilidad el 16 de septiembre.

En agosto, un informe mostró que seis aplicaciones de Microsoft en macOS (Outlook, Teams, PowerPoint, OneNote, Excel y Word) son vulnerables a exploits que podrían otorgar a los atacantes acceso a información confidencial, enviar correos electrónicos y grabar video y audio sin ninguna interacción del usuario.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#22
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Todavía no está claro si TikTok será prohibida en Estados Unidos. Pero China, donde tiene su sede la empresa matriz de la aplicación, ByteDance, tiene una idea: vender TikTok a Elon Musk.

El destino de TikTok todavía se decidirá en la Corte Suprema de Estados Unidos, que está deliberando sobre la apelación de la empresa a la inminente prohibición. Sin embargo, los jueces señalaron firmemente la semana pasada que es probable que respeten la ley.

Esta última prohibiría la plataforma TikTok en Estados Unidos si su empresa matriz china no la vende antes del 19 de enero.

ByteDance probablemente hubiera preferido que el tribunal se centrara en la libertad de expresión, pero la mayoría de los jueces consideran que las preocupaciones de seguridad nacional de Estados Unidos son más importantes porque ByteDance, según el Congreso de Estados Unidos, tiene vínculos peligrosamente estrechos con el gobierno comunista de China.

El tiempo avanza rápido. Si TikTok fuera prohibida, no desaparecería inmediatamente para los usuarios, pero no habría actualizaciones disponibles y su rendimiento probablemente se deterioraría. Para evitar multas masivas, Google y Apple ya no alojarían ni distribuirían TikTok ni las actualizaciones de la aplicación.

Por eso, aunque la empresa china ha insistido constantemente en que no considerará la venta de TikTok que exige la ley, los funcionarios ahora están haciendo planes de contingencia urgentes, según fuentes de Bloomberg.

Uno de los escenarios supuestamente discutidos en los círculos del gobierno de China, que también demostraría que ByteDance no es exactamente independiente, alegaría un acuerdo para vender TikTok a Musk, un multimillonario con vínculos extremadamente estrechos con el presidente electo de Estados Unidos, Donald Trump.

Las personas involucradas en discusiones confidenciales dicen que X de Musk, anteriormente conocida como Twitter, tomaría el control de TikTok US y administraría estas plataformas juntas.

Según Bloomberg, hay zanahorias involucradas para hacer que el posible acuerdo sea más atractivo para Musk. Los 170 millones de usuarios de TikTok en Estados Unidos podrían ayudar a X a atraer más anunciantes, y la empresa de inteligencia artificial de Musk, xAI, podría beneficiarse de las grandes cantidades de datos generados por TikTok.

No está claro si Musk, ByteDance y TikTok han hablado sobre los términos del acuerdo, y TikTok ha declarado firmemente que los informes de una posible tasa son "pura ficción". Pero las estrellas están alineadas: Musk dijo en abril que no quería que TikTok se prohibiera en Estados Unidos, y Trump claramente prefiere que siga disponible en el país.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Trump ya había vilipendiado a TikTok como una amenaza a la seguridad nacional e incluso intentó prohibirla, pero ahora está defendiendo la plataforma e incluso pidió a la Corte Suprema en diciembre que suspendiera la prohibición.

Inmediatamente después de su investidura, Trump también podría intentar convencer al Congreso controlado por los republicanos de que derogue la ley original de 2024. Sin embargo, eso sería tremendamente difícil políticamente, por lo que su otra opción es simplemente ordenar al Departamento de Justicia que no aplique la ley.

Las operaciones de TikTok en Estados Unidos podrían estar valoradas en alrededor de 40.000 a 50.000 millones de dólares, según las estimaciones del año pasado. Pero si Musk tenía dinero para adquirir Twitter, seguramente también tiene el efectivo para pagar por TikTok. Además, es muy querido en China y tiene experiencia en el trato con el gobierno chino.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#23
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las personas que intenten desbloquear los servicios de inteligencia artificial de Microsoft se enfrentarán a acciones legales, según ha declarado la Unidad de Delitos Digitales (DCU) del gigante tecnológico, señalando a actores de amenazas extranjeros que abusan de los servicios de la empresa y los utilizan como armas.

La DCU de Microsoft quiere crear un precedente que permita emprender acciones legales contra actores maliciosos que desarrollen jailbreaks de inteligencia artificial que permitan la creación de contenido dañino. Los atacantes de inteligencia artificial han ideado varios métodos para eludir las medidas de seguridad integradas, lo que permite a los actores de amenazas utilizar la herramienta de una forma que sus creadores no pretendían que lo hicieran los usuarios.

La medida de la empresa indica que incluso las empresas tecnológicas más ricas son incapaces de poner un límite a la creatividad humana para convertir la nueva tecnología en un arma. Como dijo la propia Microsoft: "Los ciberdelincuentes siguen siendo persistentes e innovan sin descanso". Especialmente cuando el esfuerzo está coordinado en los niveles más altos.

Por ejemplo, Microsoft señala a un "grupo de actores de amenazas con base en el extranjero" que desarrolló un software "sofisticado" que permitía extraer credenciales de sitios web públicos, lo que conducía al acceso no autorizado a cuentas "con ciertos servicios de inteligencia artificial generativa".

Una vez dentro, los actores maliciosos modificaban las capacidades de la inteligencia artificial y procedían a vender el acceso a dichas cuentas. Con esas herramientas a mano, dijo Microsoft, los cibercriminales podían idear contenido dañino e ilícito. Si bien el fabricante de Windows finalmente revocó el acceso de los piratas informáticos al servicio modificado, la acción legal permitió a la empresa confiscar un sitio web que los delincuentes usaban para discutir y organizar el crimen.

"La orden judicial nos ha permitido confiscar un sitio web fundamental para la operación criminal que nos permitirá reunir evidencia crucial sobre las personas detrás de estas operaciones, descifrar cómo se monetizan estos servicios y desmantelar la infraestructura técnica adicional que encontremos", dijo Microsoft.

Si bien la compañía no identificó qué tipo de acciones maliciosas se iniciaron utilizando sus herramientas, a principios de este año, OpenAI, respaldada por Microsoft, dijo que había desmantelado cinco operaciones de influencia encubiertas que buscaban utilizar sus modelos de IA para "actividades engañosas" en Internet.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#24
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hoy es el martes de parches de enero de 2025 de Microsoft, que incluye actualizaciones de seguridad para 159 fallas, incluidas ocho vulnerabilidades de día cero, tres de las cuales se explotan activamente en ataques.

Este martes de parches también corrige doce vulnerabilidades "críticas", incluidas las fallas de divulgación de información, elevación de privilegios y ejecución remota de código.

A continuación, se muestra la cantidad de errores en cada categoría de vulnerabilidad:

40 vulnerabilidades de elevación de privilegios

14 vulnerabilidades de omisión de funciones de seguridad

58 vulnerabilidades de ejecución remota de código

24 vulnerabilidades de divulgación de información

20 vulnerabilidades de denegación de servicio

5 vulnerabilidades de suplantación de identidad

Se revelan tres vulnerabilidades de día cero explotadas activamente

El parche del martes de este mes corrige tres vulnerabilidades de día cero explotadas activamente y cinco expuestas públicamente.

Microsoft clasifica una falla de día cero como una que se divulga públicamente o se explota activamente sin que haya una solución oficial disponible.

Las vulnerabilidades de día cero explotadas activamente en las actualizaciones de hoy son:

CVE-2025-21333, CVE-2025-21334, CVE-2025-21335: vulnerabilidad de elevación de privilegios de Windows Hyper-V NT Kernel Integration VSP

Microsoft ha corregido tres vulnerabilidades de elevación de privilegios en Windows Hyper-V que se explotaron en ataques para obtener privilegios de SYSTEM en dispositivos Windows.

No se ha publicado información sobre cómo se explotaron estas fallas en los ataques, y todas muestran que se divulgaron de forma anónima.

Como los CVE de estas tres vulnerabilidades son secuenciales y corresponden a la misma función, es probable que todas se hayan encontrado o descubierto mediante los mismos ataques.

Las vulnerabilidades de día cero divulgadas públicamente son:

CVE-2025-21275: vulnerabilidad de elevación de privilegios en el instalador de paquetes de aplicaciones de Windows

Microsoft corrigió una falla de elevación de privilegios en el instalador de paquetes de aplicaciones de Windows que podría generar privilegios de SISTEMA.

"Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SYSTEM", explica el aviso de Microsoft.

La vulnerabilidad se envió de forma anónima a Microsoft.

CVE-2025-21308 - Vulnerabilidad de suplantación de temas de Windows

Microsoft solucionó una vulnerabilidad de temas de Windows que podía explotarse simplemente mostrando un archivo de tema especialmente diseñado en el Explorador de Windows.

"Un atacante tendría que convencer al usuario de que cargara un archivo malicioso en un sistema vulnerable, normalmente mediante un mensaje de correo electrónico o de mensajería instantánea, y luego convencer al usuario de que manipulara el archivo especialmente diseñado, pero no necesariamente de que hiciera clic o abriera el archivo malicioso", explica el aviso de Microsoft.

La falla fue descubierta por Blaz Satler con 0patch de ACROS Security, que es una omisión de una falla anterior identificada como CVE-2024-38030. 0patch lanzó microparches para esta falla en octubre, mientras esperaba que Microsoft la corrigiera.

Cuando se visualiza un archivo de tema en el Explorador de Windows y se utilizan las opciones BrandImage y Wallpaper que especifican una ruta de archivo de red, Windows envía automáticamente solicitudes de autenticación al host remoto, incluidas las credenciales NTLM del usuario conectado.

Estos hashes NTLM se pueden descifrar para obtener la contraseña de texto sin formato o se pueden utilizar en ataques de paso de hash.

Microsoft afirma que la falla se mitiga si se deshabilita NTLM o se habilita la política "Restringir NTLM: tráfico NTLM saliente a servidores remotos".

CVE-2025-21186, CVE-2025-21366, CVE-2025-21395: vulnerabilidad de ejecución remota de código en Microsoft Access

Microsoft corrigió tres vulnerabilidades de ejecución remota de código en Microsoft Access que se explotan al abrir documentos de Microsoft Access especialmente diseñados.

Microsoft ha mitigado este problema bloqueando el acceso a los siguientes documentos de Microsoft Access si se enviaron por correo electrónico:

accdb
accde
accdw
accdt
accda
accdr
accdu

Lo interesante de esto es que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, una plataforma de descubrimiento de vulnerabilidades asistida por IA, ha descubierto las tres fallas.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en enero de 2025 incluyen:

Adobe publicó actualizaciones de seguridad para Photoshop, Substance3D Stager y Designer, Adobe Illustrator para iPad y Adobe Animate.

Cisco publicó actualizaciones de seguridad para varios productos, incluidos Cisco ThousandEyes Endpoint Agent y Cisco Crosswork Network Controller.

Ivanti publicó actualizaciones de seguridad para una falla de día cero de Connect Secure explotada en ataques para implementar malware personalizado en dispositivos.

Fortinet publicó una actualización de seguridad para una vulnerabilidad de día cero de omisión de autenticación en FortiOS y FortiProxy que se explotó en ataques desde noviembre.

GitHub publicó actualizaciones de seguridad para dos vulnerabilidades de Git.

Moxa publicó actualizaciones de seguridad para vulnerabilidades de alta gravedad y críticas en sus dispositivos de redes industriales y de comunicaciones.

ProjectDiscovery publicó actualizaciones de seguridad en septiembre para una falla de Nuclei que permite que las plantillas maliciosas eludan la verificación de firmas. SAP publica actualizaciones de seguridad para varios productos, incluidas correcciones para dos vulnerabilidades críticas (9.9/10) en SAP NetWeaver.

SonicWall publica parches para una vulnerabilidad de omisión de autenticación en la administración de SSL VPN y SSH que es "susceptible de explotación real".

Zyxel ha publicado actualizaciones de seguridad para corregir una vulnerabilidad de administración de privilegios incorrecta en la interfaz de administración web.

Actualizaciones de seguridad del martes de parches de enero de 2025

A continuación, se incluye la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de enero de 2025.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, puede ver el informe completo aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#25
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad en la función "Iniciar sesión con Google" de OAuth de Google podría permitir a los atacantes que registran dominios de empresas emergentes desaparecidas acceder a datos confidenciales de cuentas de antiguos empleados vinculadas a varias plataformas de software como servicio (SaaS).

La brecha de seguridad fue descubierta por investigadores de Trufflesecurity y reportada a Google el año pasado, el 30 de septiembre.

Google inicialmente descartó el hallazgo como un problema de "fraude y abuso" y no un problema de OAuth o de inicio de sesión. Sin embargo, después de que Dylan Ayrey, CEO y cofundador de Trufflesecurity, presentara el problema en Shmoocon el pasado mes de diciembre, el gigante tecnológico otorgó una recompensa de $1337 a los investigadores y reabrió el ticket.

Sin embargo, en el momento de la publicación, el problema sigue sin solucionarse y es explotable. En una declaración para BleepingComputer, un portavoz de Google dijo que la empresa recomienda a los clientes que sigan las mejores prácticas y "cierren los dominios correctamente".

"Agradecemos la ayuda de Dylan Ayrey para identificar los riesgos que surgen cuando los clientes olvidan eliminar los servicios SaaS de terceros como parte de la cancelación de su operación", dijo un representante de Google.

"Como práctica recomendada, recomendamos a los clientes que cierren los dominios correctamente siguiendo estas instrucciones para que este tipo de problema sea imposible. Además, alentamos a las aplicaciones de terceros a seguir las mejores prácticas mediante el uso de identificadores de cuenta únicos (sub) para mitigar este riesgo", dijo un portavoz de Google.

El problema subyacente

En un informe publicado, Ayrey describe el problema como "el inicio de sesión OAuth de Google no protege contra alguien que compra el dominio de una startup fallida y lo usa para recrear cuentas de correo electrónico para antiguos empleados".

La creación de correos electrónicos clonados no otorga a los nuevos propietarios acceso a comunicaciones anteriores en plataformas de comunicación, pero las cuentas se pueden usar para volver a iniciar sesión en servicios como Slack, Notion, Zoom, ChatGPT y varias plataformas de recursos humanos (RR. HH.).

Cómo acceder a los miembros del espacio de trabajo registrado en Zoom
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El investigador demostró que al comprar un dominio obsoleto y acceder a plataformas SaaS, es posible extraer datos confidenciales de los sistemas de RR.HH. (documentos fiscales, información de seguros y números de seguridad social) e iniciar sesión en varios servicios (por ejemplo, ChatGPT, Slack, Notion, Zoom).

Al buscar en la base de datos de Crunchbase startups ahora desaparecidas con un dominio abandonado, Ayrey descubrió que había 116.481 dominios disponibles.

En el sistema OAuth de Google, una subdemanda tiene como objetivo proporcionar un identificador único e inmutable para cada usuario en todos los inicios de sesión, con la intención de actuar como una referencia definitiva para identificar a los usuarios a pesar de los posibles cambios de propiedad del dominio o del correo electrónico.

Sin embargo, como explica el investigador, hay una tasa de inconsistencia de aproximadamente el 0,04 % en la subdemanda, lo que obliga a los servicios posteriores como Slack y Notion a ignorarla por completo y confiar únicamente en las reclamaciones de correo electrónico y dominio alojado.

La reclamación por correo electrónico está vinculada a la dirección de correo electrónico del usuario y la reclamación por dominio alojado está vinculada a la propiedad del dominio, por lo que ambos pueden ser heredados por nuevos propietarios que luego pueden hacerse pasar por antiguos empleados en plataformas SaaS.

Una solución que proponen los investigadores es que Google introduzca identificadores inmutables, es decir, un ID de usuario único y permanente y un ID de espacio de trabajo único vinculado a la organización original.

Los proveedores de SaaS también pueden implementar medidas adicionales como referencias cruzadas de las fechas de registro de dominio, hacer cumplir las aprobaciones de nivel de administrador para el acceso a la cuenta o usar factores secundarios para la verificación de identidad.

Sin embargo, esas medidas introducen costos, complicaciones técnicas y fricción en el inicio de sesión. Además, protegerían a los antiguos clientes que actualmente no pagan, por lo que el incentivo para implementarlas es bajo.

Un riesgo en constante crecimiento

El problema afecta a millones de personas y miles de empresas, y no hace más que crecer con el tiempo.

El informe de Trufflesecurity señala que puede haber millones de cuentas de empleados en empresas emergentes que fracasaron y que tienen dominios disponibles para su compra.

Actualmente, hay seis millones de estadounidenses que trabajan para empresas emergentes de tecnología, de las cuales el 90 % está destinado estadísticamente a desaparecer en los próximos años.

Aproximadamente el 50 % de esas empresas utilizan Google Workspaces para el correo electrónico, por lo que sus empleados inician sesión en las herramientas de productividad con sus cuentas de Gmail.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#26
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los cibercriminales están aprovechando un truco para desactivar la protección antiphishing integrada de Apple iMessage para un mensaje de texto y engañar a los usuarios para que vuelvan a habilitar los enlaces de phishing desactivados.

Como gran parte de nuestras actividades diarias se realizan desde nuestros dispositivos móviles, ya sea pagar facturas, comprar o comunicarse con amigos y colegas, los actores de amenazas realizan cada vez más ataques de smishing (phishing por SMS) contra números móviles.

Para proteger a los usuarios de este tipo de ataques, Apple iMessage desactiva automáticamente los enlaces en los mensajes recibidos de remitentes desconocidos, ya sea una dirección de correo electrónico o un número de teléfono.

Sin embargo, Apple declaró que, si un usuario responde a ese mensaje o agrega al remitente a su lista de contactos, los enlaces se habilitarán.

Engañar a los usuarios para que respondan

Durante los últimos meses se ha visto un aumento de ataques de smishing que intentan engañar a los usuarios para que respondan a un mensaje de texto para que los enlaces se habiliten nuevamente.

Si bien ninguno de estos señuelos de phishing es nuevo, notamos que estos mensajes de smishing, y otros vistos recientemente, piden a los usuarios que respondan con "Y" para habilitar el enlace.

"Responda Y, luego salga del mensaje de texto, vuelva a abrir el enlace de activación del mensaje de texto o copie el enlace en el navegador Safari para abrirlo", se lee en los mensajes de smishing.

Investigaciones posteriores muestran que esta táctica se ha utilizado durante el año pasado, con un aumento desde el verano.

Como los usuarios se han acostumbrado a escribir STOP, Yes o NO para confirmar citas o cancelar la suscripción a mensajes de texto, los actores de amenazas esperan que este acto familiar lleve al destinatario del texto a responder al texto y habilitar los enlaces.

Al hacerlo, se habilitarán nuevamente los enlaces y se desactivará la protección antiphishing incorporada de iMessage para este texto.

Incluso si un usuario no hace clic en el enlace ahora habilitado, el acto de responder le dice al actor de amenazas que ahora tiene un objetivo que responde a los mensajes de phishing, lo que lo convierte en un objetivo más grande.

Si recibe un mensaje cuyos enlaces están deshabilitados o de un remitente desconocido que le pide que responda al mensaje de texto, se le recomienda encarecidamente que no lo haga.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En su lugar, comuníquese directamente con la empresa u organización para verificar el texto y preguntar si hay algo más que deba hacer.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#27
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas han violado la seguridad de la policía aeroportuaria (PSA) de Argentina y han comprometido los datos personales y financieros de sus oficiales y personal civil.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Según el sitio web "pagina12", los actores de amenazas explotaron una vulnerabilidad en el sistema de nóminas del Banco Nación para acceder a los registros de la policía de seguridad aeroportuaria de Argentina.

La nómina de efectivos, policiales y civiles, de la Policía de Seguridad Aeroportuaria (PSA) fue hackeada y en los recibos de sueldo aparecieron mutuales falsas por las que se descontaron, en algunos casos 5.000 pesos, en otros 3.000 y en otros 2.000. Los cargos figuraban como DD mayor, DD seguros. El ataque contra la fuerza que está bajo la órbita de la ministra de Seguridad Patricia Bullrich es mantenido en absoluta reserva y voceros oficiosos de la PSA afirman que el ingreso a la base de datos no fue en la fuerza de seguridad sino en el Banco Nación, a través del cual se pagan los sueldos. El origen de la incursión son servidores que, supuestamente, funcionan en países remotos, aunque nadie puede descartar que las operaciones se hayan hecho en la Argentina, utilizando esos servidores lejanos. Tampoco que haya existido complicidad interna.

La violación de la seguridad de la PSA es otro episodio más dentro de una serie de incursiones de hackers a organismos oficiales y privados, pero es más grave porque significa que los hackers obtuvieron toda la información de una fuerza de seguridad. Están quienes le echan la culpa a la falta de inversión del Estado: así como no arreglan rutas, no se invierte dinero en los sistemas antivirus, que son decisivos. Otros sostienen que hay gravísimas fallas en contrainteligencia por vaciamiento de esa área, tanto en las fuerzas de seguridad como en la misma SIDE. "Todo es caótico, como en otras áreas del gobierno", dicen quienes conocen de cerca lo que ocurre con los hackeos.

Apagón, hackeo y mutuales fantasmas

Seis fuentes distintas le describieron lo ocurrido a Página/12 y señalaron que hubo un primer apagón del sistema informático que se extendió durante más de una hora. Cuando los técnicos recuperaron el control, no detectaron ninguna irregularidad. El episodio se guardó en total secreto, algo que se repite en todos los ámbitos: nadie admite un hackeo, porque es admitir una gravísima falta, un agujero enorme en la seguridad. Es posible que las autoridades de la PSA o del Ministerio de Seguridad hagan una desmentida, pero todos saben en la fuerza que los hechos ocurrieron.

Sucedió algo parecido con dos conocidos laboratorios de estudios médicos -donde se hacen la revisión la mayoría de los jugadores de fútbol- cuyos sistemas informáticos estuvieron bloqueados y habían perdido los registros de las historias clínicas. Fue público y notorio que se vieron impedidos de dar turnos. Hay bancos que han tenido que negociar con los hackers y es un secreto a voces que pagaron lo que equivale a un rescate. También el Estado intentó amortiguar el ingreso de hackers a los datos de Mi Argentina en el que llegaron a cambiar hasta la gráfica. Se dice que la seguridad fue violada en el sistema de la Policía de la Ciudad y que intentaron hacerlo en la Policía Federal. No lo lograron, pero sí habrían ingresado al sistema del Hospital Churruca, que es de la órbita de la Federal.

El impacto en la PSA no se produjo el mismo día del apagón sino cuando efectivos policiales y civiles de esa fuerza se encontraron con raros descuentos en sus recibos de sueldos. Figuraban como DD major y DD seguros. Nunca cifras altas. Siempre 5.000, 3.000 o 2.000 pesos. Una especie de robo hormiga. Y el descuento se realizaba como si el titular hubiera sacado un crédito o hubiera contraído alguna obligación con una serie de mutuales que, en verdad, no existen. Es más, cada efectivo tuvo que gestionar la reversión, o sea que le devuelvan la plata, pero había que hacerlo en la web del Banco Nación. También hubo que generar un stop debit. Esto es lo que fundamenta la acusación de la PSA al Banco Nación en el sentido de que fue la entidad bancaria la que tuvo la falla en la ciberseguridad. Pero el punto es que la PSA es la que tiene la responsabilidad sobre los recibos, de manera que tuvo que intervenir y esos descuentos no volvieron a aparecer.

Algunas de las versiones recogidas por este diario indican que hubo efectivos a los que les descontaron en tres oportunidades: sucede que los hackers, cuando vulneran la seguridad, no sólo acceden a los datos -y a alterarlos-, sino que también dejan instalado un programa que les permite volver a acceder.

Hasta pruebas de vida

La ofensiva de los hackers aparece ya como máxima preocupación también en los principales diarios norteamericanos. Son grupos de jóvenes que actúan usando servidores ubicados en Corea del Norte, China, Rusia, pero también aparecen infinidad de países pequeños que en verdad sólo sirven de puentes. Las bandas de hackers que realmente operan redireccionan para engañar. "pueden estar en la esquina de tu casa, pero simulan estar en Moldavia, por ejemplo. Tratan de borrar los rastros". Y el sistema es de prueba y error, intentan miles de veces, hasta que encuentran alguna forma de entrar al sistema que tratan de hackear.

En el caso de la PSA, según parece, el objetivo fue el robo, inventando un código de descuentos y transfiriendo las pequeñas sumas a una única cuenta. No se sabe si lograron el objetivo, es decir si consiguieron quedarse con el dinero.

Sucede que en otras oportunidades -como ocurrió con los dos centros médicos conocidos y los bancos-, el objetivo es extorsionar: exigen un dinero para devolver los archivos. Quienes participaron en negociaciones con hackers le contaron a Página/12 que se les suele pedir una prueba de vida, como en los secuestros: "exhíbame el contenido de la carpeta denominada Francia". Se supone que, si los hackers se apropiaron de la información, pueden acceder a ese contenido y mostrarlo. El pago se hace en bitcoins, de manera difícil de rastrear, con muchas terminales en Dubai. Para los bancos y esos dos centros médicos, el bloqueo de su sistema significa casi la paralización.

Por otro lado, también está el hackeo para vender los datos en lo que llaman la dark-web o deep-web. Seguramente habrá interesados en quedarse con toda la lista de los efectivos de la PSA, de manera que puede ser otro objetivo, además del robo en los recibos. Finalmente, quienes conocen mucho el mundo de los hackeos, afirman que están las venganzas dentro de la misma fuerza, los pases de factura, los intereses económicos para que se compren más antivirus o para que se destituya a un jefe de sistemas. El hackeo es un mundo.
 
Inversión y equipos entrenados

Quienes se ocupan de la batalla contra los hackers sostienen que uno de los grandes problemas es la falta de inversión: se requiere tener super-actualizados, casi minuto a minuto, los antivirus. Esos sistemas no son sólo un software, sino que son sistemas on-line 24 horas, porque los ataques son permanentes y donde se produce una alarma hay que actuar de inmediato. Por supuesto que están quienes dicen que lo fundamental no son los sistemas antivirus -norteamericanos, israelíes, lo conveniente es combinar, no depender de un proveedor-, sino tener un equipo entrenado, con técnicos en las oficinas y otros con guardias pasivas, en su casa, pero con capacidad para reaccionar en instantes a cualquier irrupción. Hay organismos del estado a cuyos sistemas los hackers intentan ingresar 5.000 veces por día. El ataque es constante.

En ese marco, hay acusación contra los funcionarios de Milei porque, así como no hay inversión en obra pública y las rutas se empiezan a llenar de pozos, no hay inversión en los sistemas de seguridad. A esto se agrega que falló la PSA en proteger los datos -cada fuerza tiene un departamento de ciberseguridad- y también la SIDE. Según los trascendidos, la cuestión estuvo en manos de Jefatura de Gabinete, ahora en la SIDE, pero nadie se ocupa verdaderamente: es un agujero negro. La inteligencia dejó de ser el hombre en la esquina, simulando leer un diario: por supuesto que sigue siendo importante tener información, pero todas las cuestiones de ataques informáticos pasaron a ser claves.

El hecho concreto es que le entraron al sistema de una fuerza de seguridad y, más allá de que hubo un robo de dinero, está claro que los hackers tienen toda la nómina de los efectivos, con sus datos personales y mucho más. Y es una fuerza clave que está en los aeropuertos, con un papel protagónico en la prevención de atentados terroristas. La evidencia es que, lejos de ser una garantía, la defensa parece hacer agua.

El ataque probablemente involucró servidores remotos, posiblemente del exterior, y los expertos especulan con la participación de cómplices internos.

La PSA bloqueó servicios en respuesta al incidente y lanzó una investigación que aún está en curso.

En agosto de 2020, Telecom Argentina sufrió un ataque de ransomware que encriptó 18.000 estaciones de trabajo.

En septiembre de 2020, la Dirección Nacional de Migraciones, la agencia oficial de inmigración de Argentina, fue atacada por un ataque de ransomware Netwalker que provocó la interrupción del cruce fronterizo de entrada y salida del país durante cuatro horas.

Fuente:
Página12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#28
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tenable Nessus es una herramienta de escaneo de vulnerabilidades ampliamente utilizada diseñada para identificar y evaluar vulnerabilidades de seguridad en sistemas, redes y aplicaciones.

Tenable se vio obligada a deshabilitar dos versiones del agente del escáner Nessus porque una actualización defectuosa del complemento provocó que los agentes se desconectaran.

"Estamos al tanto de un problema que se produce cuando los agentes se desconectan después de las actualizaciones del complemento para ciertos usuarios en todos los sitios y lo estamos investigando activamente", se lee en la actualización publicada por Tenable el último día de 2024. "Las actualizaciones del complemento se han pausado temporalmente".

La empresa no compartió detalles técnicos sobre el problema

"Existe un problema conocido que puede provocar que Tenable Nessus Agent 10.8.0 y 10.8.1 se desconecten cuando se activa una actualización diferencial del complemento. Para evitar este problema, Tenable ha deshabilitado las actualizaciones de la fuente del complemento para estas dos versiones del agente. Además, Tenable ha deshabilitado las versiones 10.8.0 y 10.8.1 para evitar más problemas", informó la empresa.

Un par de días después, el proveedor anunció que estaba trabajando para solucionar el problema que afectaba a la versión 10.8.0/10.8.1 de Nessus Agent:

Nessus Agent para Tenable Vulnerability Management (TVM), TSC y Nessus se han rebajado de la versión 10.8.0/10.8.1 a la 10.7
Todas las actualizaciones de la fuente de complementos están deshabilitadas, excepto:
La versión de TVM Nessus Agent anterior a la 10.8
Nessus Scanner vinculado a TVM (todas las versiones)

Tenable lanzó Nessus Agent v10.8.2 para solucionar los problemas con las versiones 10.8.0 y 10.8.1, que estaban deshabilitadas.

"Para solucionar el problema anterior, todos los clientes de Tenable Vulnerability Management y Tenable Security Center que ejecuten la versión 10.8.0 o 10.8.1 de Tenable Nessus Agent deben actualizar a la versión 10.8.2 del agente o rebajar a la versión 10.7.3", continúa el aviso. "Si está utilizando perfiles de agente para actualizaciones o degradaciones de agente, debe realizar un restablecimiento del complemento por separado para recuperar cualquier agente fuera de línea".

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#29
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Telegram revela que la plataforma de comunicaciones ha cumplido 900 solicitudes del gobierno de EE. UU., compartiendo el número de teléfono o la dirección IP de 2253 usuarios con las fuerzas del orden.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta cifra supone un aumento considerable con respecto a años anteriores, y la mayoría de las solicitudes se procesaron después del cambio de política de la plataforma sobre el intercambio de datos de los usuarios, anunciado en septiembre de 2024.

Si bien Telegram ha sido durante mucho tiempo una plataforma utilizada para comunicarse con amigos y familiares, hablar con compañeros de ideas afines y como una forma de eludir la censura del gobierno, también se utiliza mucho para cometer delitos cibernéticos.

Los actores de amenazas suelen utilizar la plataforma para vender servicios ilegales, realizar ataques, vender datos robados o como servidor de comando y control para su malware.

Como informó por primera vez 404 Media, la nueva información sobre las solicitudes de aplicación de la ley cumplidas proviene del Informe de Transparencia de Telegram para el período comprendido entre el 1/1/24 y el 13/12/24.

Anteriormente, Telegram solo compartía las direcciones IP y los números de teléfono de los usuarios en casos de terrorismo y solo había cumplido 14 solicitudes que afectaban a 108 usuarios hasta el 30 de septiembre de 2024.

Cifras actuales (izquierda) y cifras del período anterior (derecha)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tras el cambio en su política de privacidad, Telegram compartirá ahora los datos de los usuarios con las fuerzas del orden en otros casos de delito, incluidos los delitos cibernéticos, la venta de bienes ilegales y el fraude en línea.

"Si Telegram recibe una orden válida de las autoridades judiciales pertinentes que confirme que eres sospechoso en un caso que involucra actividades delictivas que violan los Términos de Servicio de Telegram, realizaremos un análisis legal de la solicitud y podremos revelar tu dirección IP y número de teléfono a las autoridades pertinentes", se lee en la política de privacidad actualizada de Telegram:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este cambio se produjo en respuesta a la presión de las autoridades, que culminó con el arresto del fundador y CEO de Telegram, Pavel Durov, a fines de agosto en Francia.

Posteriormente, Durov enfrentó una larga lista de cargos, que incluían complicidad en delitos cibernéticos, fraude organizado y distribución de material ilegal, así como negativa a facilitar interceptaciones legales destinadas a ayudar en las investigaciones de delitos.

Aunque el cambio de política dio lugar a que varios grupos de ciberdelincuentes anunciaran su salida de Telegram, la empresa de inteligencia sobre ciberdelincuencia KELA informó en diciembre que el panorama no había cambiado todavía.

Si bien el aumento significativo en las prácticas de intercambio de datos de los usuarios registrado en el último trimestre de 2024 indica un cambio en la estrategia de Telegram, se dará un panorama más claro en abril de 2025, cuando se publique el próximo informe de transparencia.

Para acceder a los informes de transparencia de Telegram de su país, utilice el bot dedicado de la plataforma desde aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#30
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El lunes, la Organización de Aviación Civil Internacional (OACI) de las Naciones Unidas anunció que estaba investigando lo que describió como un "incidente de seguridad denunciado".

Establecida en 1944 como una organización intergubernamental, esta agencia de las Naciones Unidas trabaja con 193 países para apoyar el desarrollo de estándares técnicos mutuamente reconocidos.

"La OACI está investigando activamente los informes de un posible incidente de seguridad de la información presuntamente vinculado a un actor de amenazas conocido por atacar a organizaciones internacionales", dijo la OACI en un comunicado.

"Nos tomamos este asunto muy en serio y hemos implementado medidas de seguridad inmediatas mientras llevamos a cabo una investigación exhaustiva".

La agencia de la ONU dice que proporcionará más información después de que finalice su investigación preliminar sobre esta posible violación.

Aunque la OACI aún no ha proporcionado detalles específicos sobre lo que desencadenó esta investigación en curso, este anuncio se produce dos días después de que un actor de amenazas llamado "natohub" filtrara 42.000 documentos supuestamente robados de la OACI en el foro de piratería BreachForums.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según las afirmaciones de natohub, los documentos supuestamente robados contienen nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de correo electrónico e información sobre educación y empleo. Otro actor de amenazas dice que el archivo contiene 2 GB de archivos con información sobre 57.240 correos electrónicos únicos.

Un portavoz de la OACI no estaba inmediatamente disponible para hacer comentarios cuando BleepingComputer se puso en contacto con él esta mañana.

Esto se produce después de que otra agencia de la ONU, el Programa de las Naciones Unidas para el Desarrollo (PNUD), comenzara a investigar un ciberataque en abril de 2024 después de un ciberataque reivindicado por la banda de ransomware 8Base; el PNUD aún no ha proporcionado una actualización sobre la investigación.

En enero de 2021, el Programa de las Naciones Unidas para el Medio Ambiente (PNUMA) también reveló una filtración de datos después de que más de 100.000 registros de empleados con información de identificación personal (PII) quedaran expuestos en línea.

Las redes de la ONU en Viena y Ginebra también fueron violadas en julio de 2019 mediante un exploit de Sharepoint. Los atacantes obtuvieron acceso a registros de personal, seguros de salud y datos de contratos comerciales en lo que un funcionario de la ONU describió más tarde como una "crisis importante".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#31
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las transacciones en línea se han convertido en una parte integral de nuestras vidas en la era digital. Dependemos de Internet para todo, desde compras y operaciones bancarias hasta interacciones sociales. Sin embargo, esta comodidad tiene un precio, ya que los cibercriminales explotan la confianza de los usuarios para obtener datos confidenciales.

La empresa de ciberseguridad SlashNext ha descubierto una de esas amenazas. Según su investigación, que fue compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta antes de su publicación el lunes, los cibercriminales rusos han creado un nuevo complemento de WordPress, PhishWP, para crear páginas de pago falsas. En lugar de procesar los pagos, roban números de tarjetas de crédito, fechas de vencimiento, CVV y direcciones de facturación.

PhishWP crea páginas de pago en línea engañosamente realistas que imitan servicios legítimos como Stripe. Estas páginas falsas atraen a los usuarios desprevenidos para que ingresen los datos de su tarjeta de crédito, fechas de vencimiento, códigos CVV e incluso las cruciales contraseñas de un solo uso (OTP) utilizadas para la autenticación 3D Secure.

En su blog, SlashNext describió un escenario de ataque en el que un atacante crea un sitio web de comercio electrónico falso utilizando PhishWP y replica las páginas de pago de Stripe. Los usuarios son dirigidos a una página de pago falsa, donde una ventana emergente con un código 3DS solicita un OTP, que los usuarios proporcionan sin saberlo. El complemento transmite la información recopilada a la cuenta de Telegram del atacante, lo que les permite explotar los datos para realizar compras no autorizadas o venderlos en mercados ilegales.

Esto significa que el sofisticado complemento va más allá de simplemente recopilar datos; se integra con plataformas como Telegram, lo que permite la transmisión en tiempo real de información robada directamente a los atacantes, maximizando el potencial de explotación inmediata.

Además, el complemento aprovecha técnicas avanzadas como la recolección de código 3DS, donde engaña a las víctimas para que ingresen contraseñas de un solo uso a través de ventanas emergentes, eludiendo de manera efectiva las medidas de seguridad diseñadas para verificar la identidad del titular de la tarjeta.

Para mejorar su eficacia, PhishWP ofrece varias funciones clave, incluidas páginas de pago personalizables que se asemejan mucho a las interfaces de pago legítimas, capacidades de creación de perfiles de navegador para crear ataques según los entornos de usuario específicos y correos electrónicos de respuesta automática que crean una falsa sensación de seguridad en las víctimas. Al combinar estas funciones con soporte multilingüe y opciones de ofuscación, los atacantes pueden lanzar campañas de phishing altamente específicas y evasivas a escala global.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores señalan que PhishWP es una herramienta poderosa que permite a los cibercriminales llevar a cabo ataques de phishing con la máxima sofisticación, causando pérdidas financieras significativas y violaciones de datos personales.

Para mitigar estos riesgos, es esencial utilizar medidas de seguridad confiables, como herramientas de protección contra phishing basadas en navegador, que brindan defensa en tiempo real contra URL maliciosas y evitan que los usuarios visiten sitios web comprometidos. La vigilancia y las medidas de seguridad proactivas pueden reducir en gran medida su vulnerabilidad a estos sofisticados ataques.

Mayuresh Dani, gerente de investigación de seguridad en la unidad de investigación de amenazas de Qualys, comentó sobre el último desarrollo que "los complementos de WordPress como PhishWP plantean riesgos significativos al imitar las interfaces de pago para robar información del usuario, incluidos los detalles de la tarjeta de crédito y los códigos 3DS. Los datos se envían a los atacantes a través de Telegram, lo que convierte a PhishWP en un ladrón de información altamente efectivo cuando las víctimas ingresan detalles válidos".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#32
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La compañía de telecomunicaciones taiwanesa Chunghwa Telecom y la Guardia Costera de Taiwán informaron el pasado sábado 4 de enero que el sistema de cable expreso transpacífico, que conecta directamente a Taiwán con la costa este de Estados Unidos, Japón, Corea del Sur y China, ha sido dañado por un carguero con bandera de Camerún llamado Shunxing39. Sin embargo, aunque el barco está registrado en el país de África occidental, los funcionarios taiwaneses dicen que el carguero es propiedad de Jie Yang Trading Limited, una compañía registrada en Hong Kong, y enumeran a Guo Wenjie, ciudadano de China continental, como su único director, según un informe del Financial Times.

Los datos de seguimiento del Shungxing39 mostraron que arrastró su ancla en el lugar del daño al cable y que también ha estado operando cerca de las aguas del norte de Taiwán desde diciembre.

"Este es otro caso de una tendencia global muy preocupante de sabotaje contra los cables submarinos", dijo un alto funcionario de seguridad nacional taiwanés.


"Los barcos que se ven involucrados en estos incidentes suelen ser embarcaciones en mal estado que no tienen mucho que ver con la ley. Este también está en muy mal estado. Es similar a los barcos que forman parte de la 'flota en la sombra' de Rusia".
También sugirió que la ruta que siguió el barco sospechoso significa que se trató de un acto deliberado y no de un accidente.

La Guardia Costera de Taiwán ha realizado una inspección externa del Shungxing39 y ha hablado con su capitán por radio. Sin embargo, el mal tiempo hizo imposible abordar el barco durante el incidente y el país aún no ha tenido tiempo de incautarlo para realizar una investigación más profunda. Debido a esto, Taiwán está pidiendo ayuda a las autoridades surcoreanas, ya que el próximo puerto de escala del barco es Busan.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este es el último incidente en varios meses en el que un barco con matrícula o propiedad dudosas es sospechoso de cortar deliberadamente un cable de comunicaciones submarino. El primero fue en noviembre, cuando un granelero chino, el Yi Peng 3, supuestamente cortó dos cables que conectaban Finlandia y Suecia con Europa Central. Otro incidente ocurrió el 25 de diciembre, cuando un petrolero sospechoso de pertenecer a la flota en la sombra de Rusia dañó un cable eléctrico submarino y cables de comunicaciones entre Finlandia y Estonia.

Los cables submarinos están marcados en la mayoría de las cartas de navegación para garantizar que los buques no los dañen accidentalmente al desplegar sus anclas. Sin embargo, parece que recientemente se están utilizando para atacar deliberadamente estas infraestructuras vulnerables, por lo que la OTAN está planeando desplegar drones marinos para ayudar a monitorear y proteger estos cables. Desafortunadamente, Taiwán está ubicado al otro lado del mundo, por lo que debe crear su propia solución a esta amenaza.

Defender sus intereses es mucho más crucial para la nación insular, ya que su vecino más grande, la República Popular China, reclama la soberanía sobre toda la isla. Este último ha amenazado con invadir Taiwán para ponerlo bajo su control por la fuerza, y una de las aperturas de cualquier invasión es la interrupción de las comunicaciones.

Aparte de este acto físico de cortar un cable de comunicaciones clave, Reuters también ha informado que los ciberataques chinos al gobierno de Taiwán han promediado alrededor de 2,4 millones de veces al día, el doble del promedio diario en 2023. Taipei está preocupado por estos movimientos; Aunque están por debajo del umbral de una agresión abierta y un ataque directo, todavía dificultan la defensa de la isla si China organiza una invasión a gran escala.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#33
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hoy se marca un hito importante en la tecnología de interfaz de pantalla, ya que se anunciaron dos avances importantes en el Consumer Electronics Show (CES) en Las Vegas. El HDMI Forum presentó HDMI 2.2, que ofrece un rendimiento mejorado y un mayor ancho de banda para aplicaciones de alta resolución y uso intensivo de datos. Al mismo tiempo, la Video Electronics Standards Association (VESA) anunció actualizaciones de la especificación DisplayPort 2.1, actualizándola a DisplayPort 2.1b, con mejoras notables en la longitud y flexibilidad del cable.

HDMI 2.2 es una mejora sustancial con respecto a su predecesor, HDMI 2.1. Si bien conserva el mismo diseño de conector, la característica destacada es el aumento del ancho de banda a 96 Gbps, facilitado por los nuevos cables HDMI "Ultra96". Este ancho de banda ampliado admite resoluciones y frecuencias de actualización más altas, incluidas 4K a hasta 480 Hz, 8K a hasta 240 Hz e incluso 10K a 120 Hz.

Aunque ningún monitor o pantalla actual alcanza estas especificaciones extremas, el ancho de banda adicional de HDMI 2.2 beneficiará principalmente a aplicaciones exigentes que utilizan muchos datos, como AR/VR/MR, realidad espacial, pantallas de campo de luz y usos comerciales como señalización digital a gran escala, imágenes médicas y visión artificial.

Además de su compatibilidad con resoluciones más altas, HDMI 2.2 soluciona problemas de sincronización audiovisual de larga data al introducir el Protocolo de indicación de latencia (LIP). Este protocolo mejora la alineación de las señales de audio y video, especialmente en configuraciones complejas que involucran múltiples dispositivos, como receptores AV o barras de sonido. El resultado es la eliminación del frustrante retraso de audio y video, lo que garantiza una experiencia de entretenimiento más fluida, una característica particularmente atractiva para los entusiastas del cine en casa.

Para garantizar la autenticidad y calidad de los cables Ultra96, el HDMI Forum ha implementado un amplio programa de certificación, que incluye medidas contra la falsificación. Esta iniciativa aborda posibles problemas relacionados con aranceles y productos falsificados, asegurando que los consumidores reciban cables genuinos y de alto rendimiento.

El HDMI 2.2 debería lanzarse en la primera mitad del año, aunque es poco probable que los dispositivos compatibles con el nuevo estándar lleguen al mercado en cantidades significativas hasta el próximo año. Cabe destacar que el estándar es compatible con versiones anteriores, lo que significa que funcionará sin problemas con dispositivos que tengan puertos HDMI 2.1 o anteriores.

Las actualizaciones de la especificación DisplayPort 2.1, si bien no son tan innovadoras como las de HDMI 2.2, son dignas de mención. VESA anunció nuevos cables activos DP80LL ("de baja pérdida") que admiten velocidades de enlace UHBR20 de hasta cuatro carriles, logrando un rendimiento máximo de 80 Gbps en longitudes de hasta tres metros. Esta mejora triplica efectivamente la longitud del cable para conexiones UHBR20 en comparación con los cables pasivos DP80 existentes, lo que ofrece una mayor flexibilidad en la ubicación del dispositivo y las configuraciones de instalación.

Estas actualizaciones han sido posibles gracias a la colaboración de VESA con líderes de la industria como Nvidia, lo que garantiza un rendimiento óptimo y compatibilidad entre las GPU y las próximas tecnologías DisplayPort 2.1b. Los cables DP80LL certificados deberían llegar al mercado en los próximos meses.

Si bien los avances en HDMI 2.2 y DisplayPort 2.1b resaltan la dedicación de la industria a brindar experiencias visuales de mayor calidad, la mayoría de los consumidores no sentirán un impacto inmediato. Los estándares actuales HDMI 2.1 y DisplayPort 2.0 son más que suficientes para controlar los dispositivos cotidianos, y pueden pasar años antes de que estos nuevos estándares se generalicen.

Sin embargo, estas innovaciones preparan el terreno para la próxima generación de tecnología de visualización, allanando el camino para imágenes envolventes, sincronización de audio y video perfecta y mayor flexibilidad en aplicaciones profesionales y de consumo. A medida que estas tecnologías maduren, prometen redefinir cómo experimentamos e interactuamos con los medios visuales.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#34
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La incesante marcha de la industria tecnológica hacia la denominación de todo como "plus", "pro" y "max" sigue su curso, y ahora Dell lleva el esquema de nombres a nuevos niveles de confusión desconcertantes. El fabricante de PC anunció en el CES 2025 que eliminará nombres como XPS, Inspiron, Latitude, Precision y OptiPlex de sus nuevos portátiles, ordenadores de sobremesa y monitores, y los sustituirá por tres líneas de productos principales: Dell (sólo ), Dell Pro y Dell Pro Max.

Si cree que esto suena un poco a Apple y soso, tiene razón. Pero Dell va más allá al añadir también un poco de jerga de la industria automovilística con tres subcategorías: Base, Plus y Premium.

La nueva estructura de nombres de productos de Dell para 2025
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esto da lugar a nuevos productos como el recién anunciado monitor Dell Plus 32 pulgadas 4K QD-OLED y las laptops Dell Pro Premium. En el futuro, significa que también podemos esperar nombres de productos como Dell Pro Max Plus. Dado que una laptop como la Dell Pro Premium viene en dos tamaños, 13 pulgadas y 14 pulgadas, sus nombres completos son Dell Pro 13 Premium y Dell Pro 14 Premium. Son los sucesores espirituales de las laptops Dell Latitude salientes.

La línea XPS de Dell, que ha sido un nombre destacado en laptops premium durante años, está siendo reemplazada por nuevos modelos Dell Premium. Por lo tanto, son parte de la línea base de Dell, en el subnivel Premium.

Si bien se trata de una reestructuración de marca sustancial para uno de los fabricantes de PC más grandes del mundo, Dell no está desechando los viejos nombres de una sola vez. Los productos existentes que ya se lanzaron bajo XPS, Precision y otras marcas que se retiran continuarán como están. Pero una vez que se descontinúen, solo serán reemplazados por cualquier combinación de Mad Libs Plus, Premium, Pro y Pro Max que Dell tenga preparada para ellos.

Hasta que las líneas de Dell se renueven por completo, puede haber incluso más confusión cuando, por ejemplo, los clientes comparen sus portátiles XPS actuales con los de Dell y Dell Premium, o cuando las empresas tengan que considerar una flota de portátiles Dell Precision sobrantes o modelos más nuevos de Dell Pro Max / Dell Pro Max Plus / Dell Pro Max Premium.

Fuente:
The Verge
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#35
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La empresa de ciberseguridad ESET insta a los usuarios de Windows 10 a actualizarse a Windows 11 o Linux para evitar un "fiasco de seguridad" ya que el sistema operativo, que ya lleva 10 años en servicio, se acerca al final de su soporte en octubre de 2025.

"Faltan cinco minutos para las doce para evitar un fiasco de seguridad en 2025", explica el experto en seguridad de ESET Thorsten Urbanski.

"Recomendamos encarecidamente a todos los usuarios que no esperen hasta octubre, sino que cambien a Windows 11 inmediatamente o elijan un sistema operativo alternativo si su dispositivo no puede actualizarse al último sistema operativo Windows. De lo contrario, los usuarios se exponen a importantes riesgos de seguridad y se vuelven vulnerables a peligrosos ciberataques y pérdida de datos".

El 14 de octubre de 2025, Windows 10 dejará de recibir actualizaciones de seguridad gratuitas para el sistema operativo, a menos que los propietarios compren actualizaciones de seguridad extendidas. Esto significa que los usuarios de Windows 10 estarán en riesgo de que se descubran nuevas vulnerabilidades, lo que podría provocar importantes infracciones y la distribución de malware.

Según ESET, aproximadamente 32 millones de computadoras en Alemania ejecutan Windows 10, lo que lo convierte en alrededor del 65 por ciento de todos los dispositivos en los hogares. En contraste, Windows 11 se ejecuta en solo el 33% de los dispositivos alemanes, lo que supone aproximadamente 16,5 millones de dispositivos.

StatCounter respalda estas cifras y, a diciembre de 2024, casi el 63% de todos los usuarios de Windows en todo el mundo usan Windows 10, en comparación con aproximadamente el 34% que usan Windows 11.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La encuesta de hardware y software de Steam ofrece un panorama más favorable para los jugadores de Windows 11: el 54,96 % utiliza Windows 11 y solo el 42,39 % utiliza Windows 10 a finales de 2024.

Sin embargo, los jugadores suelen estar a la vanguardia del hardware y suelen actualizar sus componentes y dispositivos para jugar a los juegos más recientes con un buen rendimiento.

Por otro lado, las empresas y otros consumidores tienden a quedarse atrás, ya que sus ordenadores más antiguos siguen funcionando bien y todavía no ha habido una necesidad real de actualizarlos.

Esta transición de versión de Windows es peor que cuando los usuarios migraron desde Windows 7, ya que casi el 70 % de los usuarios utilizaban Windows 10 antes de que Windows 7 llegara al final del soporte.

"La situación es más peligrosa que cuando finalizó el soporte para Windows 7 a principios de 2020", explica Urbanski.

"Incluso antes de la fecha oficial, a finales de 2019, solo alrededor del 20 por ciento de los usuarios seguían usando Windows 7. Más del 70 por ciento ya usaban el nuevo Windows 10. La situación actual es extremadamente peligrosa. Los ciberdelincuentes conocen muy bien estos números y solo están esperando el día en que finalice el soporte".

Muchos usuarios de Windows 10 han dudado en actualizar a Windows 11 debido a la falta de funciones populares en el sistema operativo más nuevo, problemas de rendimiento y el requisito de hardware TPM (Trusted Platform Module), que impide que algunos dispositivos más antiguos se actualicen.

El problema se agrava por el hecho de que muchos de estos dispositivos más antiguos ejecutan Windows 10, y probablemente Windows 11, sin problemas, pero no se pueden usar debido a la falta de un TPM.

Microsoft declaró recientemente que el requisito de TPM de Windows 11 es "no negociable", ya que impulsa numerosas funciones de seguridad, como la forma en que el sistema operativo almacena claves criptográficas y protege las credenciales, y está integrado con Secure Boot y Windows Hello for Business.

Para aquellos que no pueden actualizar sus dispositivos a Windows 10, Microsoft ofrece actualizaciones de seguridad extendidas (ESU) a empresas y consumidores. Sin embargo, no son baratas.

Las empresas que deseen recibir actualizaciones de seguridad extendidas pueden hacerlo durante tres años, pagando $61 por el primer año, $122 por el segundo año y $244 por el tercero. Esto eleva el precio total de ESU en un dispositivo con Windows 10 a $427 por tres años.

Microsoft también ofrece un programa ESU para consumidores por un año a $30 por dispositivo, que es más asequible pero puede resultar caro si tienes varios dispositivos en un hogar.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#36
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad ya corregida en el escáner de vulnerabilidades de código abierto Nuclei podría permitir a los atacantes eludir la verificación de firmas mientras introducen código malicioso en plantillas que se ejecutan en sistemas locales.

Nuclei es un escáner de vulnerabilidades de código abierto popular creado por ProjectDiscovery que escanea sitios web en busca de vulnerabilidades y otras debilidades.

El proyecto utiliza un sistema de escaneo basado en plantillas de más de 10 000 plantillas YAML que escanean sitios web en busca de vulnerabilidades conocidas, configuraciones incorrectas, archivos de configuración expuestos, webshells y puertas traseras.

Las plantillas YAML también incluyen un protocolo de código que se puede utilizar para ejecutar comandos o scripts localmente en un dispositivo que amplía la funcionalidad de una plantilla.

Cada plantilla está "firmada" con un hash de resumen que Nuclei utiliza para verificar que la plantilla no haya sido modificada para incluir código malicioso.

Este hash de resumen se agrega al final de las plantillas en forma de:

# digest: <hash>

Una falla evita la verificación de firma de Nuclei

Los investigadores de Wiz descubrieron una nueva vulnerabilidad de Nuclei identificada como CVE-2024-43405 que evita la verificación de firma de Nuclei incluso si se modifica una plantilla para incluir código malicioso.

La falla es causada por una verificación de firma basada en expresiones regulares de Go y por cómo el analizador YAML maneja los saltos de línea al verificar la firma.

Al verificar una firma, la lógica de verificación de Go trata a \r como parte de la misma línea. Sin embargo, el analizador YAML lo interpreta como un salto de línea. Esta falta de coincidencia permite a los atacantes inyectar contenido malicioso que evita la verificación pero que aún se ejecuta cuando lo procesa el analizador YAML.

Otro problema es cómo Nuclei maneja múltiples líneas de firma # digest:, ya que el proceso solo verifica la primera aparición de # digest: en una plantilla, ignorando cualquier otra que se encuentre más adelante en la plantilla.

Esto se puede aprovechar añadiendo cargas útiles maliciosas adicionales "# digest:" después del resumen válido inicial que contienen una sección de "código" malicioso, que luego se inyecta y se ejecuta cuando se utiliza la plantilla.

"Armados con los conocimientos sobre las interpretaciones de nueva línea no coincidentes, creamos una plantilla que explota la disparidad entre la implementación de expresiones regulares de Go y el analizador YAML", explica el investigador de Wiz Guy Goldenberg.

"Al usar \r como salto de línea, podemos incluir una segunda línea # digest: en la plantilla que evade el proceso de verificación de firma pero es analizada y ejecutada por el intérprete YAML".

Ejemplo de cómo los diferentes analizadores analizan una plantilla de Nuclei
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Wiz reveló responsablemente la falla a ProjectDiscovery el 14 de agosto de 2024, y se solucionó en Nuclei v3.3.2 el 4 de septiembre.

Si está utilizando versiones anteriores de Nuclei, se recomienda encarecidamente que actualice la última versión ahora que se han divulgado públicamente los detalles técnicos de este error.

Goldenberg también recomienda que se utilice Nuclei en una máquina virtual o en un entorno aislado para evitar una posible explotación por parte de plantillas maliciosas.


Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#37
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de Cyfirma han descubierto FireScam, un malware para Android disfrazado de 'Telegram Premium' que roba datos, monitorea la actividad y se infiltra en los dispositivos.

La rápida adopción de aplicaciones móviles ha proporcionado a los actores de amenazas una valiosa oportunidad para explotar a usuarios inocentes dado el creciente número de incidentes que involucran la incrustación de malware en estas aplicaciones, observaron los investigadores de ciberseguridad de Cyfirma.

Según su investigación, compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, FireScam es el último ejemplo de malware que roba información disfrazado de una aplicación legítima para atacar dispositivos Android. Aprovecha tácticas de ingeniería social y técnicas de phishing para comprometer los dispositivos de los usuarios y robar datos confidenciales como credenciales de inicio de sesión, información financiera y mensajes personales, lo que representa una amenaza significativa para la privacidad del usuario, señalaron los investigadores en la publicación del blog.

FireScam se propaga principalmente a través de sitios web de phishing diseñados para imitar tiendas de aplicaciones populares. En este caso, el malware se disfraza como una aplicación "Telegram Premium" y se distribuye a través de un sitio web de phishing alojado en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta que se asemeja a RuStore, una importante tienda de aplicaciones en la Federación Rusa. Esta estrategia engañosa capitaliza la confianza de los usuarios en las tiendas de aplicaciones establecidas, atrayéndolos a descargar el archivo APK malicioso.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El dropper, una vez instalado en el dispositivo de la víctima, otorga permisos para consultar y enumerar las aplicaciones instaladas, acceder al almacenamiento externo, eliminar e instalar aplicaciones y actualizar sin el consentimiento del usuario. Se declara a sí mismo como su propietario designado y restringe las actualizaciones de la aplicación, impidiendo que otros instaladores la actualicen y garantizando la persistencia del dispositivo.

FireScam posee amplias funcionalidades maliciosas diseñadas para robar datos confidenciales del usuario y monitorear las actividades del dispositivo. Extrae datos confidenciales, incluidas notificaciones, mensajes y datos de la aplicación, a un punto final de Firebase Realtime Database y monitorea activamente las notificaciones en varias aplicaciones, capturando información confidencial y rastreando las actividades del usuario. Además, intercepta las respuestas USSD, comprometiendo datos financieros como saldos de cuentas y detalles de transacciones móviles.

El malware monitorea activamente el portapapeles, el contenido compartido entre aplicaciones y los cambios de estado del dispositivo. También puede rastrear la actividad del usuario dentro de las aplicaciones de comercio electrónico, incluidas las compras o los reembolsos, y se dirige principalmente a las aplicaciones de mensajería, capturando contenido y filtrándolo a servidores remotos. Monitorea la actividad de la pantalla y carga eventos importantes a su servidor de comando y control.

En cuanto a la evasión, FireScam utiliza técnicas avanzadas de ofuscación, control de acceso restringido para receptores dinámicos y mecanismos de detección de sandbox para evadir la detección. También puede recibir y ejecutar comandos a través de notificaciones de Firebase Cloud Messaging para control remoto.

Su monitoreo continuo de las actividades del dispositivo permite a los atacantes explotar el comportamiento del usuario con fines maliciosos, como ataques de phishing, robo de identidad y fraude financiero. La presencia del malware puede comprometer la confidencialidad e integridad de los datos confidenciales, lo que afecta a personas y organizaciones, especialmente a aquellas que manejan información confidencial. Esto resalta la necesidad de utilizar un software antivirus confiable, realizar actualizaciones de software periódicas y ejercer vigilancia en línea.

Stephen Kowski, director de tecnología de campo de SlashNext Email Security+, comentó a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta: "Los cibercriminales explotan marcas de confianza como la marca premium de Telegram. La persistencia de FireScam se basa en la manipulación de permisos y Firebase Cloud Messaging. La detección avanzada de amenazas móviles, el escaneo de aplicaciones en tiempo real y la monitorización continua son fundamentales para contrarrestar ataques tan sofisticados que explotan la confianza de los usuarios y los canales legítimos".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#38
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Elon Musk ha anunciado un "ajuste de algoritmo" en X, anteriormente Twitter, en respuesta a "demasiada negatividad" que se está impulsando en la plataforma.

El propietario de X hizo el anuncio el viernes a través de una publicación en X en la que dijo que quiere "maximizar los segundos de usuario no lamentados". Musk compró lo que entonces era Twitter en octubre de 2022 y luego restableció las cuentas de varias figuras conservadoras previamente suspendidas, incluido el presidente electo Donald Trump, quien fue eliminado de la plataforma después del motín del Capitolio del 6 de enero de 2021.

Musk fue un destacado partidario de la exitosa campaña electoral presidencial de Trump para 2024, tras la cual el presidente entrante anunció que dirigiría conjuntamente el recién creado Departamento de Eficiencia Gubernamental junto con el magnate empresarial Vivek Ramaswamy.

El director ejecutivo de Tesla y SpaceX ha realizado una serie de polémicas intervenciones en los últimos días, entre ellas, instando al rey Carlos III a disolver el Parlamento británico y convocar nuevas elecciones en respuesta a un escándalo de tráfico sexual en el Reino Unido en el que las víctimas predominantemente blancas fueron atacadas por hombres principalmente de ascendencia musulmana paquistaní en ciudades de todo el país.

Musk escribió: "Próximamente se realizarán modificaciones en el algoritmo para promover más contenido informativo y entretenido. Publicaremos los cambios en @Xeng [X Engineering].

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Nuestro objetivo es maximizar los segundos de los usuarios sin conflictos. Se está promoviendo demasiada negatividad que técnicamente aumenta el tiempo de los usuarios, pero no el tiempo de los usuarios que no se lamentan".

Más tarde agregó: "También estamos trabajando en formas sencillas para que puedas ajustar el feed de contenido de forma dinámica, para que puedas tener lo que quieras en cualquier momento".

El anuncio de Musk provocó una reacción mixta de otros usuarios de las redes sociales.

Ed Krassenstein, un experto en inteligencia artificial con un millón de seguidores en X, publicó:

"Elon Musk acaba de anunciar que X comenzará a penalizar la negatividad y a apoyar las publicaciones positivas. Sin duda, es un momento interesante, dado el hecho de que X esencialmente recompensaba la negatividad cuando Biden era presidente, pero está cambiando para penalizar la negatividad bajo el mandato de Trump".

Otro usuario de X, con el nombre de usuario 'ThatUmbrellaGuy', escribió: "Elon Musk dice que el algoritmo castigará la 'negatividad'.

"¿Qué es la negatividad? ¿Crítica a la persona equivocada, personas, celebridades o fiestas? ¿Las noticias (que muchas veces no son alentadoras)? ¿Abogacía que señala lo feo que sucede en nuestros tribunales? ¿Denunciar sistemas defectuosos? ¿Empresas?"

Matthew Camenzuli, un activista australiano que militaba en el Partido Liberal de centroderecha del país, publicó: "Elon Musk está pidiendo menos negatividad en X. ¿Se trata de optimismo? ¿Esperanza? ¿O es para silenciar el debate?"

"No siempre me gusta todo lo que Elon Musk dice o hace. Estoy de acuerdo con muchas de sus posturas más recientes, pero nunca he sido un fanático de los autos eléctricos o los chips cerebrales. Pero hay que tomar a las personas como son, y todos somos diferentes. Todos tenemos diferentes puntos de vista y valores".

La abogada Tayah Ali, con sede en Londres, dijo: "Está claro que Elon Musk es mucho más calculador de lo que la mayoría de la gente cree.

"Pero también es un multimillonario aburrido que puede permitirse el lujo de tratar las vidas de las personas como peones en un videojuego, y está haciendo exactamente eso al tratar a las personas, las naciones y los ideales como piezas sin sentido en un tablero de juego".

Queda por ver qué impacto tendrá el cambio de algoritmo revelado por Musk.

A fines de diciembre, Musk se peleó con algunos partidarios de Trump, incluido su ex estratega jefe de la Casa Blanca, Steve Bannon, cuando se manifestó apasionadamente a favor de las visas H-1B para trabajadores calificados en los Estados Unidos.

Musk instó a quienes se oponían a las visas a "irse al diablo", lo que llevó a Bannon a etiquetarlo como un "niño pequeño".

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#39
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva variante de los ataques de clickjacking llamada "DoubleClickjacking" permite a los atacantes engañar a los usuarios para que autoricen acciones confidenciales mediante doble clic, mientras que eluden las protecciones existentes contra este tipo de ataques.

El clickjacking, también conocido como UI redressing, es cuando los actores de amenazas crean páginas web maliciosas que engañan a los visitantes para que hagan clic en elementos ocultos o disfrazados de la página web.

Los ataques funcionan superponiendo una página web legítima en un iframe oculto sobre una página web creada por los atacantes. Esta página web creada por el atacante está diseñada para alinear sus botones y enlaces con los enlaces y botones del iframe oculto.

Los atacantes utilizan su página web para incitar a un usuario a hacer clic en un enlace o botón, por ejemplo, para ganar un premio o ver una bonita imagen.

Sin embargo, cuando hacen clic en la página, en realidad hacen clic en enlaces y botones del iframe oculto (en el sitio legítimo), que podría realizar acciones maliciosas, como autorizar a una aplicación OAuth a conectarse a su cuenta o aceptar una solicitud de MFA.

A lo largo de los años, los desarrolladores de navegadores web han introducido nuevas funciones que evitan la mayoría de estos ataques, como no permitir el envío de cookies entre sitios o introducir restricciones de seguridad (X-Frame-Options o frame-ancestors) sobre si los sitios pueden incluir iframes.

Nuevo ataque DoubleClickjacking

El experto en ciberseguridad Paulos Yibelo ha presentado un nuevo ataque web llamado DoubleClickjacking que explota el momento en que se hacen dobles clics con el ratón para engañar a los usuarios y hacer que realicen acciones sensibles en los sitios web.

En este escenario de ataque, un actor de amenazas creará un sitio web que muestra un botón aparentemente inocuo con un señuelo, como "haga clic aquí" para ver su recompensa o ver una película.

Cuando el visitante hace clic en el botón, se crea una nueva ventana que cubre la página original e incluye otro señuelo, como tener que resolver un captcha para continuar. En segundo plano, JavaScript en la página original cambiará esa página a un sitio legítimo en el que los atacantes quieren engañar a un usuario para que realice una acción.

El captcha en la nueva ventana superpuesta solicita al visitante que haga doble clic en algo en la página para resolver el captcha. Sin embargo, esta página escucha el evento de mousedown y, cuando lo detecta, cierra rápidamente la superposición del captcha, lo que hace que el segundo clic aterrice en el botón de autorización o enlace que ahora se muestra en la página legítima previamente oculta.

Esto hace que el usuario haga clic por error en el botón expuesto, lo que podría autorizar la instalación de un complemento, la conexión de una aplicación OAuth a su cuenta o la confirmación de un mensaje de autenticación multifactor.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Lo que hace que esto sea tan peligroso es que elude todas las defensas actuales contra el clickjacking, ya que no utiliza un iframe ni intenta pasar cookies a otro dominio. En cambio, las acciones ocurren directamente en sitios legítimos que no están protegidos.

Yibelo dice que este ataque afecta a casi todos los sitios y comparte videos de demostración en los que se utiliza DoubleClickjacking para apoderarse de cuentas de Shopify, Slack y Salesforce.




El investigador también advierte que el ataque no se limita a las páginas web, ya que también se puede utilizar para extensiones de navegador.

"Por ejemplo, he realizado pruebas de concepto para las mejores carteras de criptomonedas de navegador que utilizan esta técnica para autorizar transacciones web3 y dApps o deshabilitar VPN para exponer IP, etc.", explica Yibelo.

"Esto también se puede hacer en teléfonos móviles pidiendo al objetivo que haga 'DoubleTap'".

Para protegerse contra este tipo de ataque, Yibello compartió JavaScript, que podría agregarse a las páginas web para deshabilitar los botones sensibles hasta que se realice un gesto. Esto evitará que el doble clic haga clic automáticamente en el botón de autorización al eliminar la superposición del atacante.

El investigador también sugiere un posible encabezado HTTP que limita o bloquea el cambio rápido de contexto entre ventanas durante una secuencia de doble clic.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#40
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Apple ha acordado pagar 95 millones de dólares para resolver una demanda colectiva en Estados Unidos en la que se alega que su asistente Siri grabó conversaciones privadas y las compartió con terceros.

La demanda propuesta alega que los datos de audio se revelaron sin el consentimiento de los usuarios a una red de vendedores y anunciantes externos.

Los usuarios se quejaron de que se les dirigían anuncios de productos de Apple sobre temas sensibles y muy específicos tratados en conversaciones privadas, cuando Siri se había activado por accidente.

El caso, presentado por Fumiko Lopez, John Troy Pappas y David Yacubian, en nombre de otras personas en situaciones similares, acusa a Apple de violar la Ley Federal de Interceptación de Llamadas y la Ley de Invasión de la Privacidad de California.

Acuerdo de conciliación

Según los documentos judiciales, Apple está dispuesta a crear un fondo no reverso de 95 millones de dólares para cubrir los pagos a los miembros de la clase, los honorarios de los abogados, las indemnizaciones para los representantes de la clase y los costos administrativos.

El acuerdo se aplica a todos los propietarios actuales o anteriores de dispositivos habilitados para Siri, como iPhones, iPads y Macs, cuyas comunicaciones se obtuvieron o compartieron sin consentimiento debido a activaciones involuntarias de Siri entre el 17 de septiembre de 2014 y el 31 de diciembre de 2024.

Los miembros de la clase pueden reclamar hasta 20 dólares por dispositivo habilitado para Siri por hasta cinco dispositivos, mientras que los demandantes pueden recibir hasta 10.000 dólares por sus esfuerzos.

La audiencia preliminar de aprobación está programada para el 14 de febrero de 2025. Si el caso avanza, habrá una fecha límite para la presentación de reclamos establecida en 135 días, el 29 de junio de 2025.

Además del aspecto monetario del acuerdo, Apple también está obligada a eliminar permanentemente todas las grabaciones de audio de Siri obtenidas en violación de dichas leyes dentro de los seis meses posteriores a la fecha de vigencia del acuerdo.

En el futuro, también se espera que Apple proporcione divulgaciones claras y fácilmente comprensibles sobre cómo los usuarios pueden administrar la configuración de Siri para proteger sus datos de la divulgación involuntaria.

Es importante señalar que se trata de un acuerdo propuesto. Dependiendo de las objeciones que se presenten y de cómo las maneje el tribunal, el formulario final puede contener términos modificados o incluso rechazados.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta