Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

#1
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El New York Times fue el primero en informar que Alexander Vinnik, un sospechoso ruso de lavado de dinero, será liberado de la custodia estadounidense a cambio de Marc Fogel, según una fuente de la administración Trump.

Alexander Vinnik, un ciudadano ruso, se declaró culpable en mayo de 2024 de conspiración para cometer lavado de dinero por su participación en la operación de la plataforma de intercambio de criptomonedas BTC-e de 2011 a 2017. BTC-e procesó más de 9 mil millones de dólares en transacciones y atendió a más de un millón de usuarios en todo el mundo, incluidos muchos en los Estados Unidos. En julio de 2017, las fuerzas del orden cerraron la plataforma de intercambio de moneda virtual.

La policía griega arrestó al ciudadano ruso en 2017 y acusó al hombre de dirigir la plataforma de intercambio de bitcoins BTC-e para lavar miles de millones de dólares en criptomonedas.

La plataforma de intercambio de moneda virtual recibió ganancias delictivas de varias actividades ilegales, incluidas intrusiones informáticas, ataques de ransomware, robo de identidad, corrupción y distribución de drogas.

Vinnik promovió actividades ilegales llevadas a cabo a través de BTC-e y fue responsable de al menos 121 millones de dólares en pérdidas.

"BTC-e no tenía implementados procesos y políticas contra el lavado de dinero (AML) y/o de "conozca a su cliente" (KYC), como también lo exige la ley federal. BTC-e prácticamente no recopilaba ningún dato de los clientes, lo que hacía que el intercambio fuera atractivo para aquellos que deseaban ocultar los ingresos delictivos a las fuerzas del orden", se lee en el comunicado de prensa publicado por el Departamento de Justicia.

"BTC-e dependía de empresas fantasma y entidades afiliadas que tampoco estaban registradas en la FinCEN y carecían de políticas básicas contra el lavado de dinero y de KYC para transferir electrónicamente moneda fiduciaria dentro y fuera de BTC-e. Vinnik creó numerosas empresas fantasma y cuentas financieras en todo el mundo para permitir que BTC-e llevara a cabo su negocio".

En julio de 2018, un tribunal inferior griego acordó extraditar a Vinnik a Francia para enfrentar cargos de piratería informática, lavado de dinero, extorsión y participación en el crimen organizado.

Las autoridades francesas acusaron a Vinnik de estafar a más de 100 personas en seis ciudades francesas entre 2016 y 2018.

Los fiscales franceses revelaron que entre las 188 víctimas de los ataques de Vinnik había autoridades locales, empresas y particulares de todo el mundo.

En junio, la policía de Nueva Zelanda congeló 140 millones de dólares neozelandeses (90 millones de dólares estadounidenses) en activos vinculados a un ciberdelincuente ruso. La policía de Nueva Zelanda había trabajado en estrecha colaboración con el Servicio de Impuestos Internos de Estados Unidos en el caso y la investigación aún está en curso.

Vinnik negó los cargos de extorsión y lavado de dinero y no respondió a las preguntas de los magistrados; su abogado también anunció que está evaluando si apelará.

Los fiscales franceses creen que Vinnik fue uno de los autores del ransomware Locky, que también se empleó en ataques a empresas y organizaciones francesas entre 2016 y 2018.

En su juicio, Vinnik explicó que no era el jefe de la organización, afirmó haber servido solo como operador técnico que ejecutaba las instrucciones de los directores de BTC-e.

Vinnik fue condenado por lavado de dinero, pero los fiscales no encontraron pruebas suficientes para condenarlo por extorsión.

"El tribunal condenó a Vinnik por lavado de dinero, pero no encontró pruebas suficientes para condenarlo por extorsión, y se quedó corto de la pena de prisión de 10 años y los 750.000 euros en multas que habían solicitado los fiscales", informó Associated Press.

"Una de sus abogadas francesas, Ariane Zimra, dijo que su condena por lavado de dinero "no tiene sentido", argumentando que las criptomonedas no se consideran legalmente "dinero".

Posteriormente, Vinnik regresó a Grecia antes de ser extraditado a Estados Unidos.

"El resultado de hoy muestra cómo el Departamento de Justicia, en colaboración con socios internacionales, llega a todo el mundo para combatir el criptocrimen", dijo la fiscal general adjunta Lisa Monaco.

"Esta declaración de culpabilidad refleja el compromiso continuo del Departamento de utilizar todas las herramientas para luchar contra el lavado de dinero, vigilar los mercados de criptomonedas y recuperar la restitución para las víctimas".

En febrero, Estados Unidos acusó a Aliaksandr Klimenka, un ciudadano bielorruso y chipriota vinculado con la plataforma de intercambio de criptomonedas BTC-e. El hombre enfrenta cargos de conspiración para el lavado de dinero y operación de un negocio de servicios monetarios sin licencia.

Según la acusación, Klimenka supuestamente controlaba la plataforma BTC-e con Alexander Vinnik y otros. Klimenka también supuestamente controlaba una empresa de servicios tecnológicos llamada Soft-FX y la empresa financiera FX Open.

Los servidores que alojaban el BTC-e se mantenían en Estados Unidos y, según el Departamento de Justicia, supuestamente estaban arrendados a Klimenka y Soft-FX y eran mantenidos por ellos.

Vinnik debe entregar el dinero incautado como parte del intercambio. Trump dijo que la liberación de Fogel es un gesto de "buena fe" y habló con Putin sobre conversaciones de paz inmediatas. Otro estadounidense también fue liberado de Bielorrusia.

"En el caso del intercambio Fogel-Vinnik, los abogados de Vinnik habían presionado por su liberación como parte de intercambios de prisioneros en el pasado y la administración Biden había mencionado su nombre como parte de un esfuerzo por liberar a estadounidenses como Paul Whelan", informó CNN.

El miércoles, un abogado de Vinnik expresó su felicidad por su liberación y dijo: "Es un verdadero alivio para mi cliente y su familia".

Muchos funcionarios del gobierno han expresado su decepción por la liberación del presunto ciberdelincuente.

"Es probable que liberar a los cibercriminales envalentone aún más a quienes están involucrados en ransomware y delitos transnacionales relacionados", dijo a CNN un funcionario policial estadounidense.

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A principios de esta semana, el ingeniero de software Paul Butler publicó una entrada de blog titulada "Contrabando de datos arbitrarios a través de un emoji". En ella, mostró una herramienta que creó para permitirle hacer esto a usted mismo y explicó cómo y el por qué funciona la herramienta.

Básicamente, el exploit aquí se reduce a un problema fundamental con Unicode: la capacidad de ocultar bytes de datos dentro de cualquier carácter Unicode simplemente no incluyendo esos datos dentro del flujo de procesamiento. Unicode incluye un comando de procesamiento más allá del cual se pueden agrupar otros datos pero no se pueden procesar, y explotar eso permite efectivamente a los usuarios crear mensajes ocultos dentro de caracteres Unicode.

¿Esta capacidad de agrupar mensajes ocultos dentro de caracteres Unicode es un problema grave?

 Probablemente no: aunque los usuarios finales no verán los mensajes secretos, las PC los verán bien y no es posible colocar código ejecutable allí. Sin embargo, Butler señala que esta característica aún podría ser abusada para pasar datos por encima de los filtros de contenido humanos (especialmente enlaces ocultos, etc.) o para marcar sutilmente el texto, lo que potencialmente haría posible rastrear filtraciones o identificar plagio más fácilmente. Dado que esto se aplica a todos los caracteres Unicode, un usuario podría teóricamente aplicar mensajes ocultos o marcas de agua a cada carácter de una página web.

Afortunadamente, no es posible introducir de forma clandestina un ejecutable, un archivo de imagen o una extensión de aplicación. Sin embargo, ocultar texto oculto a la vista humana podría causar otros problemas, especialmente cuando se utiliza el contexto adecuado.

Aunque el título hace referencia a "datos arbitrarios", los usuarios pueden ocultar lo que quieran dentro de los caracteres Unicode, aunque esto parece limitarse al texto. Esto es diferente de, por ejemplo, la "ejecución de código arbitrario", donde los problemas de seguridad abren un sistema a la ejecución de código malicioso no deseado, normalmente explotando lagunas presentes en el software legítimo, incluido el software del controlador.

Así que no te preocupes: es muy poco probable que tu sistema sea secuestrado de repente por un virus mortal escondido dentro del Unicode de un emoji común en un futuro próximo. La probabilidad de que alguien oculte datos en los mensajes Unicode que te envían es también tan ridículamente escasa que se vuelve casi imposible. Sin embargo, suponemos que las probabilidades nunca son cero, sobre todo cuando ahora te estamos alertando a ti y a otros sobre la posibilidad.

Más detalles de cómo se hace:

"Smuggling arbitrary data through an emoji"
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
Smuggling arbitrary data through an emoji
Paul Butler
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El vicepresidente de Estados Unidos, JD Vance, subió al podio para pronunciar un discurso inaugural el último día de la Cumbre de Acción sobre IA de París, donde ofreció varias ideas clave sobre la estrategia de la administración Trump en materia de tecnología. Durante su discurso, Vance se centró en las oportunidades que ofrece la IA y en que la Casa Blanca seguirá apoyando la tecnología a través de sus políticas.

"Estados Unidos de América es el líder en IA y nuestra administración planea mantenerlo así. Estados Unidos posee todos los componentes de la pila completa de IA, incluido el diseño avanzado de semiconductores, algoritmos de vanguardia y, por supuesto, aplicaciones transformadoras", dijo el vicepresidente. "Ahora bien, la potencia informática que requiere esta pila es fundamental para el avance de la tecnología de IA y, para salvaguardar la ventaja de Estados Unidos, la administración Trump garantizará que los sistemas de IA más potentes se construyan en Estados Unidos con chips diseñados y fabricados en Estados Unidos".

Este anuncio es una buena noticia para la industria de semiconductores, especialmente porque Trump ya había expresado su oposición a la Ley de CHIPS y Ciencia durante su campaña. Esto se suma a la ley que actualmente se está tramitando en el Congreso de Estados Unidos y que otorgaría créditos fiscales a los diseñadores y fabricantes de chips, lo que ayudaría a impulsar la innovación en semiconductores dentro del país. Agregó que Washington ya está trabajando en una estrategia de IA que eliminará las regulaciones excesivamente precautorias y seguirá siendo beneficiosa para el público estadounidense.

Vance invitó a otros países a asociarse con Estados Unidos y también los invitó a replicar esta política. Pero también criticó las regulaciones de la Unión Europea, específicamente la Ley de Servicios Digitales y el RGPD, a las que llamó "normas internacionales onerosas". El vicepresidente dijo que imponen costos legales excesivos a las empresas más pequeñas y están sofocando la libertad de expresión al impedir que un adulto "acceda a una opinión que el gobierno cree que es desinformación". También enfatizó la necesidad de electricidad de la IA, diciendo que necesita semiconductores de alta calidad y fuentes de energía confiables, pero que muchos países están optando por desindustrializarse mientras eliminan fuentes de energía estables de sus redes.

Por último, también advirtió contra la asociación con regímenes autoritarios hostiles, diciendo que, aunque ofrecen tecnologías baratas en este momento, las asociaciones a largo plazo con ellos no darán frutos. Si bien no mencionó directamente a China (cuyo representante estaba sentado cerca), Vance mencionó los equipos baratos de 5G y CCTV, exportaciones chinas que se utilizan ampliamente en los EE. UU. y sus aliados hasta que fueron prohibidos y eliminados a partir de 2019.

"Algunos de nosotros en esta sala hemos aprendido por experiencia que asociarse con ellos significa encadenar a su nación a un amo autoritario que busca infiltrarse, atrincherarse y apoderarse de su infraestructura de información", dijo el vicepresidente JD Vance. "Si un acuerdo parece demasiado bueno para ser verdad, simplemente recuerde el viejo adagio que aprendimos en Silicon Valley: 'Si no estás pagando por el producto, eres el producto'".



Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Adobe lanzó el miércoles la primera versión pública de una herramienta de inteligencia artificial que puede generar videoclips y reveló cuánto cobrará, pero dijo que no establecerá precios para los principales usuarios, como los estudios, hasta finales de este año.

El modelo de video Firefly, como Adobe llama al servicio, competirá con Sora, un modelo desarrollado por el creador de ChatGPT, OpenAI, y la startup Runway, que actualmente ofrecen servicios de generación de video. El propietario de Facebook, Meta Platforms, también ha desarrollado un modelo de IA de generación de video, pero no ha dado un cronograma para su lanzamiento.

El modelo de Adobe se diferencia de sus rivales porque está orientado a generar clips que se ajusten a la forma en que los estudios de cine y televisión usan Premiere Pro, su software de edición de video insignia.

Con ese fin, muchas de las características que Adobe está enfatizando giran en torno a la alimentación de tomas existentes en el modelo de video y pedirle que genere clips que arreglen o amplíen tomas que se tomaron en un set de producción real pero que no salieron del todo bien.

Adobe dijo que el servicio generará clips de cinco segundos con una resolución de 1080p. Si bien es más corto que los clips de hasta 20 segundos generados por el servicio de OpenAI, los ejecutivos de Adobe dijeron que la mayoría de los clips individuales en la mayoría de las producciones son de solo tres segundos.

Adobe dijo que un usuario puede generar 20 clips por mes por $9.99 y 70 clips por $29.99. Eso se compara con 50 videos por $20 por mes con el plan de OpenAI con una resolución más baja y un plan OpenAI de $200 que puede manejar videos más largos y de mayor resolución.

Adobe también está trabajando en un plan de precios "Premium" para estudios y otros usuarios de videos de alto volumen y publicará los detalles de los precios a finales de este año. Alexandru Costin, vicepresidente de IA generativa de Adobe, dijo que la compañía está trabajando para generar videos 4K y seguirá enfocada en la calidad en lugar de en clips más largos.

"En realidad creemos que un gran movimiento, una gran estructura, un gran esquema de definición, hacer que el clip real parezca una película, es más importante que hacer un clip más largo que no se pueda utilizar", dijo Costin.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La plataforma de redes sociales X de Elon Musk acordó pagar alrededor de 10 millones de dólares para resolver una demanda que el presidente de Estados Unidos, Donald Trump, presentó contra la compañía y su exdirector ejecutivo, informó el miércoles el Wall Street Journal.

Eso convierte a X en la segunda plataforma de redes sociales que llega a un acuerdo con Trump por la suspensión de sus cuentas tras el asalto al Capitolio de Estados Unidos por parte de sus partidarios en enero de 2021.

El mes pasado, Meta Platforms dijo que había acordado pagar alrededor de 25 millones de dólares para resolver una demanda de Trump. Trump presentó demandas contra Twitter, ahora conocida como X, Facebook y Alphabet, así como contra sus directores ejecutivos en ese momento en julio de 2021, alegando silenciamiento ilegal de puntos de vista conservadores.

El equipo de Trump consideró dejar que la demanda con X se desvaneciera gradualmente, considerando la estrecha relación del presidente con Musk, quien había contribuido con 250 millones de dólares a la campaña electoral de Trump, informó el WSJ, citando a personas familiarizadas con el asunto.

Pero finalmente siguieron adelante con el acuerdo, informó el WSJ.

Musk, que dirige Tesla, también dirige el Departamento de Eficiencia Gubernamental, un nuevo brazo de la Casa Blanca encargado de reducir radicalmente la burocracia federal.

Se espera también que los abogados de Trump busquen un acuerdo con Google, que prohibió a Trump usar YouTube después de los disturbios del Capitolio de Estados Unidos en 2021, según el WSJ.

X y su director ejecutivo en el momento de la suspensión de Trump, Jack Dorsey, así como Alphabet y la Casa Blanca no respondieron de inmediato a las solicitudes de comentarios de Reuters.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#6
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El prestamista de dinero descentralizado zkLend sufrió una vulneración en la que los actores de amenazas explotaron una falla de contrato inteligente para robar 3600 Ethereum, con un valor de 9,5 millones de dólares en ese momento.

zkLend es un protocolo de mercado monetario descentralizado creado sobre Starknet, una solución de escalado de capa 2 para Ethereum. Permite a los usuarios depositar, pedir prestado y prestar varios activos.

El ataque tuvo lugar ayer por la tarde, y zkLend advirtió en X que estaban sufriendo un incidente de ciberseguridad.

Según el canal de Telegram de EthSecurity, los actores de amenazas explotaron un error de redondeo en la función mint() del contrato inteligente de zkLend.

"El atacante manipuló el "lending_accumulator" para que fuera muy grande en 4.069297906051644020, luego aprovechó el error de redondeo durante ztoken mint() y retreat() para depositar repetidamente 4.069297906051644021 wstETH obteniendo 2 wei y luego retiró 4.069297906051644020*1.5 -1 = 6.103946859077466029 wstETH para gastar solo 1 wei", se lee en una publicación en el canal EthSecurity.

Starkware, que desarrolló la red Starknet, confirmó que la vulnerabilidad no era parte de la tecnología Starknet sino más bien un error específico de la aplicación.

Según Cyvers, los actores de la amenaza intentaron blanquear las criptomonedas a través del protocolo de privacidad RailGun, pero fueron bloqueados debido a las políticas del protocolo.

zkLend ahora ha enviado un mensaje al hacker indicando que, si devuelve el 90% del Ethereum robado, que son 3.300 ETH, puede quedarse con el otro 10% y no enfrentará ninguna responsabilidad por el ataque.

"Entendemos que usted es responsable del ataque de hoy a zkLend. Puede quedarse con el 10% de los fondos como recompensa de sombrero blanco y enviar de vuelta el 90% restante, o 3.300 ETH para ser exactos, a esta dirección de Ethereum: 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C", se lee en un mensaje en cadena al hacker.

"Al recibir la transferencia, aceptamos liberarlos de toda responsabilidad con respecto al ataque".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"En esta etapa, estamos trabajando con empresas de seguridad y las fuerzas del orden. Si no tenemos noticias suyas antes de las 00:00 UTC del 14 de febrero de 2025, procederemos con los siguientes pasos para rastrearlo y procesarlo".

Los ladrones de criptomonedas tienen hasta el 13 de febrero, a las 19:00 EST, para devolver el 90 % de los fondos robados, después de lo cual zkLend emprenderá acciones legales.

No ha habido ninguna respuesta por parte del hacker, como suele suceder en estas situaciones. No se ha atribuido ningún actor de amenazas al ataque.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una operación de ransomware relativamente nueva llamada "Sarcoma" se ha atribuido la responsabilidad de un ataque contra el fabricante de placas de circuito impreso (PCB) Unimicron en Taiwán.

Los cibercriminales han publicado muestras de archivos supuestamente robados de los sistemas de la empresa durante el ataque y amenazan con filtrar todo la próxima semana si no se paga un rescate.

En una nueva lista añadida ayer al sitio de filtraciones de Sarcoma, los actores de la amenaza afirman tener en su poder 377 GB de archivos SQL y documentos extraídos de la empresa taiwanesa.



Unimicron es una empresa pública que fabrica PCB rígidos y flexibles, placas de interconexión de alta densidad (HDI) y portadores de circuitos integrados (IC).

La empresa es uno de los mayores fabricantes de PCB del mundo, con plantas y centros de servicio en Taiwán, China, Alemania y Japón. Sus productos se utilizan ampliamente en monitores, ordenadores, periféricos y teléfonos inteligentes de LDC.

Unimicron reveló en un boletín publicado en el portal de la Bolsa de Valores de Taiwán (TWSE) que el 1 de febrero sufrió interrupciones debido a un ataque de ransomware.

Según el comunicado, el incidente ocurrió el 30 de enero y afectó a Unimicron Technology (Shenzhen) Corp., su filial con sede en China.

La empresa afirmó que el impacto del ataque es limitado e informó que ha contratado a un equipo forense cibernético externo para realizar un análisis del incidente y ayudar a implementar medidas de defensa.

Sin embargo, Unimicron no confirmó una filtración de datos. Mientras tanto, las muestras que Sarcoma filtró en su portal de extorsión parecen auténticas.

Rápido ascenso a operaciones de gran volumen

Sarcoma lanzó sus primeros ataques en octubre de 2024 y rápidamente se convirtió en una de las bandas de ransomware más activas y prolíficas ese mismo mes, cobrándose 36 víctimas.

En noviembre de 2024, los especialistas en ciberseguridad de CYFIRMA advirtieron: "El ransomware Sarcoma se está convirtiendo rápidamente en una amenaza importante debido a sus tácticas agresivas y al creciente número de víctimas".

En diciembre de 2024, la empresa de inteligencia de amenazas cibernéticas de tecnología operativa Dragos incluyó a Sarcoma entre las amenazas emergentes más importantes para las organizaciones industriales en todo el mundo.

Un informe de RedPiranha comparte más detalles sobre Sarcoma, explicando que sus operadores emplean correos electrónicos de phishing y explotación de vulnerabilidades de n-day para obtener acceso inicial, mientras que también han llevado a cabo ataques a la cadena de suministro para pasar de los proveedores de servicios a sus clientes.

Después del compromiso, Sarcoma se dedica a la explotación de RDP, el movimiento lateral y la exfiltración de datos.

Sin embargo, las herramientas que utiliza el grupo de amenazas aún no han sido analizadas, por lo que aunque la operación del grupo de amenazas indica experiencia en el campo, su origen exacto y sus tácticas aún no han sido descifradas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#8
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha corregido dos vulnerabilidades que, al combinarse, podrían exponer las direcciones de correo electrónico de las cuentas de YouTube, lo que provocaría una importante violación de la privacidad de quienes utilizan el sitio de forma anónima.

Las fallas fueron descubiertas por los investigadores de seguridad Brutecat (brutecat.com) y Nathan (schizo.org), quienes descubrieron que las API de YouTube y Pixel Recorder podrían usarse para obtener los ID de Google Gaia de los usuarios y convertirlos en sus direcciones de correo electrónico.

La capacidad de convertir un canal de YouTube en la dirección de correo electrónico de un propietario es un riesgo significativo para la privacidad de los creadores de contenido, denunciantes y activistas que dependen del anonimato en línea.

API con fugas

La primera parte de la cadena de ataques, que fue explotable durante meses, se descubrió después de que BruteCat revisara la API de personas internas de Google y descubriera que la función de "bloqueo" de toda la red de Google requería un ID de Gaia ofuscado y un nombre para mostrar.

Un ID de Gaia es un identificador interno único que Google utiliza para administrar cuentas en toda su red de sitios. A medida que los usuarios se registran para una única "cuenta de Google" que se utiliza en todos los sitios de Google, este ID es el mismo en Gmail, YouTube, Google Drive y otros servicios de Google.

Sin embargo, este ID no está destinado a ser público y es para uso interno para compartir datos entre los sistemas de Google.

Al jugar con la función de bloqueo en YouTube, BruteCat descubrió que al intentar bloquear a alguien en un chat en vivo, YouTube expone el ID de Gaia ofuscado de la persona en cuestión en una respuesta de la solicitud de API /youtube/v1/live_chat/get_item_context_menu.

La respuesta incluía datos codificados en base64 que, cuando se decodificaron, contenían el ID de Gaia de ese usuario.



Los investigadores descubrieron que, con solo hacer clic en el menú de tres puntos de un chat, se activaba una solicitud en segundo plano a la API de YouTube, lo que les permitía acceder al ID sin tener que bloquearlos. Al modificar la llamada a la API, los investigadores recuperaron el ID de Gaia de cualquier canal de YouTube, incluidos aquellos que intentaban permanecer anónimos.

Con el ID de Gaia, ahora querían encontrar una forma de convertirlo en una dirección de correo electrónico, lo que aumentaría la gravedad de la falla.

Sin embargo, las API más antiguas que podían hacer esto han quedado obsoletas o ya no funcionan, por lo que BruteCat y Nathan comenzaron a buscar servicios de Google antiguos y obsoletos que aún pudieran ser explotados.

Después de experimentar, Nathan descubrió que Pixel Recorder tiene una API basada en la web que podría usarse para convertir el ID en un correo electrónico al compartir una grabación.



Esto significaba que una vez que se obtenía el ID de Gaia de un usuario de YouTube, se podía enviar a la función de uso compartido de Pixel Recorder, que luego devolvía la dirección de correo electrónico asociada, lo que potencialmente ponía en peligro la identidad de millones de usuarios de YouTube.

"Los ID de Gaia se filtran en varios productos de Google además de YouTube (Maps, Play, Pay), lo que provoca un riesgo de privacidad significativo para todos los usuarios de Google, ya que se pueden usar para revelar la dirección de correo electrónico vinculada a la cuenta de Google", dijeron los investigadores.

Si bien los investigadores ahora tenían una forma de obtener una dirección de correo electrónico de Gaia ID, el servicio también notificó a los usuarios del archivo compartido, lo que potencialmente los alertó de la actividad maliciosa.

Como el correo electrónico de notificación incluía el título de un video, los investigadores modificaron su solicitud para incluir millones de caracteres en los datos del título, lo que provocó que el servicio de notificación por correo electrónico fallara y no enviara el correo electrónico.

Los investigadores revelaron la falla a Google el 24 de septiembre de 2024 y finalmente se solucionó la semana pasada, el 9 de febrero de 2025.

Google respondió inicialmente que la vulnerabilidad era un duplicado de un error detectado anteriormente y solo otorgó una recompensa de $3,133. Sin embargo, después de demostrar el componente adicional Pixel Recorder, aumentaron la recompensa a $10,633, citando una alta probabilidad de que se explotara.

BruteCat y Nathan le dijeron a BleepingComputer que Google mitigó los errores al corregir la fuga de Gaia ID y la falla de Gaia ID a correo electrónico a través de Pixel Recorder. Google también hizo que bloquear a un usuario en YouTube solo afectara a ese sitio y no afectara a otros servicios.

Google confirmó a BleepingComputer que las mitigaciones de los errores ya se completaron y que no hay señales de que algún atacante haya explotado activamente las fallas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#9
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Martes de parches de febrero de 2025 de Microsoft, que incluye actualizaciones de seguridad para 55 fallas, incluidas cuatro vulnerabilidades de día cero, dos de las cuales se explotan activamente en ataques.

Este martes de parches también corrigió tres vulnerabilidades "críticas", todas vulnerabilidades de ejecución remota de código.

A continuación, se detalla la cantidad de errores en cada categoría de vulnerabilidad:

19 vulnerabilidades de elevación de privilegios

2 vulnerabilidades de omisión de funciones de seguridad

22 vulnerabilidades de ejecución de código remoto

1 vulnerabilidad de divulgación de información

9 vulnerabilidades de denegación de servicio

3 vulnerabilidades de suplantación de identidad

Las cifras anteriores no incluyen una falla crítica de elevación de privilegios de Microsoft Dynamics 365 Sales ni 10 vulnerabilidades de Microsoft Edge corregidas el 6 de febrero.

Se revelan dos vulnerabilidades de día cero explotadas activamente


El parche del martes de este mes corrige dos vulnerabilidades de día cero explotadas activamente y dos expuestas públicamente.

Microsoft clasifica una falla de día cero como una que se divulga públicamente o se explota activamente sin que haya una solución oficial disponible.

Las vulnerabilidades de día cero explotadas activamente en las actualizaciones son:

CVE-2025-21391 - Vulnerabilidad de elevación de privilegios en el almacenamiento de Windows

Microsoft ha corregido una vulnerabilidad de elevación de privilegios explotada activamente que se puede utilizar para eliminar archivos.

"Un atacante solo podría eliminar archivos específicos en un sistema", se lee en el aviso de Microsoft.

"Esta vulnerabilidad no permite la divulgación de ninguna información confidencial, pero podría permitir que un atacante elimine datos que podrían incluir datos que hagan que el servicio no esté disponible", continuó Microsoft.

No se ha publicado información sobre cómo se explotó esta falla en los ataques y quién la divulgó.

CVE-2025-21418 - Vulnerabilidad de elevación de privilegios del controlador de función auxiliar de Windows para WinSock

La segunda vulnerabilidad explotada activamente permite a los actores de amenazas obtener privilegios de SYSTEM en Windows.

Se desconoce cómo se utilizó en los ataques, y Microsoft dice que esta falla se divulgó de forma anónima.

Los días cero revelados públicamente son:

CVE-2025-21194 - Vulnerabilidad de omisión de funciones de seguridad de Microsoft Surface

Microsoft afirma que esta falla es una vulnerabilidad del hipervisor que permite que los ataques omitan la UEFI y comprometan el núcleo seguro.

"Esta vulnerabilidad del hipervisor se relaciona con las máquinas virtuales dentro de una máquina host de la Interfaz de firmware extensible unificada (UEFI)", explica el aviso de Microsoft.

"En algún hardware específico, podría ser posible omitir UEFI, lo que podría llevar a la vulneración del hipervisor y el núcleo seguro".

Microsoft afirma que Francisco Falcón e Iván Arce de Quarkslab descubrieron la vulnerabilidad.

Si bien Microsoft no compartió muchos detalles sobre la falla, es probable que esté relacionada con las fallas de PixieFail reveladas por los investigadores el mes pasado.

PixieFail es un conjunto de nueve vulnerabilidades que afectan la pila de protocolos de red IPv6 de EDK II de Tianocore, que es utilizada por Microsoft Surface y los productos de hipervisor de la compañía.

CVE-2025-21377 - Vulnerabilidad de suplantación de hash NTLM

Microsoft ha corregido un error divulgado públicamente que expone los hashes NTLM de un usuario de Windows, lo que permite que un atacante remoto inicie sesión como el usuario.

"Una interacción mínima con un archivo malicioso por parte de un usuario, como seleccionar (un clic), inspeccionar (clic derecho) o realizar una acción distinta a abrir o ejecutar el archivo, podría desencadenar esta vulnerabilidad", explica el aviso de Microsoft.

Aunque Microsoft no ha compartido muchos detalles sobre la falla, es probable que actúe como otras fallas de divulgación de hash NTLM, donde simplemente interactuar con un archivo en lugar de abrirlo podría hacer que Windows se conecte de forma remota a un recurso compartido remoto. Al hacerlo, una negociación NTLM pasa el hash NTLM del usuario al servidor remoto, que el atacante puede recopilar.

Estos hashes NTLM pueden descifrarse para obtener la contraseña de texto sin formato o usarse en ataques de paso de hash.

Microsoft dice que esta falla fue descubierta por Owen Cheung, Ivan Sheung y Vincent Yau de Cathay Pacific, Yorick Koster de Securify B.V. y Blaz Satler con 0patch de ACROS Security.

Actualizaciones recientes de otras empresas


Otros proveedores que publicaron actualizaciones o avisos en febrero de 2025 incluyen:

Adobe publicó actualizaciones de seguridad para numerosos productos, incluidos Adobe Photoshop, Substance3D, Illustrator y Animate.

AMD publicó mitigaciones y actualizaciones de firmware para abordar una vulnerabilidad que se puede explotar para cargar microcódigo de CPU malicioso.

Apple publicó una actualización de seguridad para un día cero explotado en ataques "extremadamente sofisticados".

Cisco publicó actualizaciones de seguridad para varios productos, incluidos Cisco IOS, ISE, NX-OS y Identity Services.

Google corrigió una falla de día cero explotada activamente en el controlador USB Video Class del kernel de Android.

Ivanti publicó actualizaciones de seguridad para Connect Secure, Neurons for MDM y Cloud Service Application.

Fortinet publicó actualizaciones de seguridad para numerosos productos, incluidos FortiManager, FortiOS, FortiAnalyzer y FortiSwitchManager.

Netgear corrigió dos vulnerabilidades críticas que afectan a varios modelos de enrutadores WiFi.

SAP publica actualizaciones de seguridad para varios productos.

Actualizaciones de seguridad del martes de parches de febrero de 2025

A continuación, se incluye la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de febrero de 2025.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, puede ver el informe completo:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10
Underc0de / Los Suertudos del Mes: [Febrero]
Febrero 11, 2025, 08:57:13 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Por sus méritos en el Foro y con la comunidad en general: respuestas, gentilezas y buen valor.

Tengan un merecido reconocimiento y estímulo.

En nombre de la comunidad, del Staff y de Los Gatos de Underc0de.

Vence a finales de marzo

Los del mes pasado fueron:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta:
 
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vence a finales de febrero

Recordar que el Undercode Pro es un estímulo o reconocimiento realizado a usuarios que han ayudado monetariamente al mantenimiento del Foro de manera voluntaria:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos usuarios en su inclusión, los atiende en exclusiva el propietario del Foro, el Sr. No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

"Los Suertudos del Mes" es una iniciativa de "Los Gatos" para usuarios que, dado sus valores en aportes y atenciones en la comunidad, aunque breves en el tiempo, sí no pasan desapercibidos.

El VIP es para usuarios que se distinguen de manera sólida y contundente con aportes que impactan en el contenido del Foro. Es para establecer una diferencia entre el Underc0de Pro, el VIP, y "Los Suertudos".

Felicidades a todos y,

Muchas Gracias por su tiempo y dedicación!

Buenos Deseos

#11
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un vertedero galés donde se cree que están enterrados 8.000 bitcoins será reutilizado, al menos en parte, para una granja solar. Según BBC News, el ayuntamiento local cerrará el vertedero en el ejercicio económico 2025-26, y luego se le pondrá una tapa. Se ha conseguido el permiso de planificación para desarrollar una granja solar en el sitio tapado. Sin embargo, el hombre que perdió la enorme cantidad de bitcoins en un disco duro portátil desechado hoy dijo que estaba sorprendido por los planes del ayuntamiento y ha propuesto una compra del sitio "tal como está".

La última vez que informamos en enero sobre la historia de este tesoro digital enterrado que vale más de 780 millones de dólares al tipo de cambio actual. Pensamos que tal vez habíamos leído el último capítulo de esta triste historia, ya que un fallo de la Corte Suprema pareció acabar con las últimas esperanzas del ex minero de criptomonedas James Howells de recuperar su disco duro de BTC (o cualquier compensación financiera).

Sin embargo, ahora tenemos un epílogo donde el terreno sobre el BTC enterrado se convierte en una granja solar. De manera bastante poética, la nueva granja solar recuperará parte de la energía que se desperdicia en la minería de criptomonedas. Sin embargo, parece una novela interactiva, ya que hoy se ofreció un final alternativo a la saga, con la propuesta de Howells de comprar el vertedero, que espera desenterrar el viejo disco duro y recuperar su tesoro digital.

Howells expresó su sorpresa ante los planes inminentes de cierre del vertedero. "Si el ayuntamiento de Newport estuviera dispuesto, potencialmente me interesaría comprar el vertedero 'tal como está'", dijo con optimismo el propietario original del HDD BTC perdido. Dijo que ya había hablado con sus socios inversores sobre una compra: "Es algo que está muy sobre la mesa".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Informes anteriores indicaban que Howells y su consorcio estaban dispuestos a gastar alrededor de 13 millones de dólares en una excavación del sitio que duraría hasta 36 meses para recuperar la unidad. Es de esperar que la cifra de compra del sitio sea incluso mayor. Una compra hoy también le ahorraría al ayuntamiento el gasto de tapar el sitio, donde se utilizan múltiples capas de agregados, barreras y tuberías para cubrir la enorme parcela de desechos de manera segura.

El informe de la BBC dice que el Ayuntamiento de Newport obtuvo el permiso de planificación para la granja solar en parte del terreno el pasado agosto. Se espera que la energía solar recolectada alimente los camiones de basura eléctricos del ayuntamiento (o camiones de basura, carros de basura, vehículos recreativos o como sea que se los pueda llamar). Newport ya tiene siete camiones eléctricos en su flota y espera eliminar gradualmente los vehículos diésel en los próximos años. El centro de reciclaje doméstico cercano seguirá operativo.

Guardar una billetera Bitcoin en un disco duro portátil en un cajón de escritorio podría no ser la peor idea si no fuera por algún percance calamitoso. Sin embargo, confiar su criptomoneda a otras personas, empresas u organizaciones puede ser peligroso. A lo largo de la relativamente corta historia de las criptomonedas, los poseedores de monedas han perdido enormes fortunas debido a hackeos y quiebras de importantes exchanges, canales y plataformas como Ronin Network, Binance BNB Bridge, FTX y el infame Mt. Gox.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cuatro distribuidores del servicio de comunicaciones encriptadas Sky ECC, ampliamente utilizado por delincuentes, fueron arrestados en España y los Países Bajos.

Según un comunicado de la policía española, los dos sospechosos arrestados en el país eran los principales distribuidores mundiales del servicio, generando más de 13,5 millones de euros (14 millones de dólares) en beneficios.

La investigación sobre el servicio de comunicaciones, sus vendedores y clientes comenzó en 2019.

Según lo que se sabe, los clientes compraron el acceso al servicio a través de un esquema basado en suscripción que costaba 600 euros por tres meses.

En marzo de 2021, Europol anunció que había descifrado el cifrado de Sky ECC, lo que permitió a los investigadores monitorear las comunicaciones de 70.000 usuarios, revelando una amplia actividad delictiva.

Aunque el servicio inicialmente rechazó estos informes y afirmó que los ciberdelincuentes no usaban su plataforma, había una montaña de pruebas que demostraban ambas cosas.

"El servicio [Sky ECC] se ofrecía a través de terminales móviles que tenían insertado el sistema de comunicaciones con el fin de facilitar comunicaciones seguras y relacionadas con la comisión de delitos graves –como el tráfico internacional de drogas, el tráfico de armas o el blanqueo de capitales, entre otros- con garantías de privacidad y seguridad ante posibles investigaciones policiales", reza el informe de la policía española.

La policía española ha anunciado hoy la detención de dos importantes vendedores del servicio Sky ECC y la incautación de dinero y objetos de primera necesidad.

La operación de búsqueda y captura tuvo lugar a finales de enero de 2025 en Jávea (Alicante) e Ibiza.

Durante redadas policiales simultáneas en siete localidades, las autoridades se incautaron de terminales telefónicas y dispositivos electrónicos, 10.000 euros y 26.000 dólares en efectivo, 1.400.000 euros en criptomonedas, dos coches y artículos de lujo valorados en más de 50.000 euros.

"Con el avance de la investigación, los agentes policiales comprobaron que los dos distribuidores más importantes del servicio a nivel mundial residían en España", se lee en el comunicado.

"Éstos se encargaban del tráfico de dispositivos Sky, tarjetas SIM y software de Sky, así como del cobro y envío de cuotas de suscripción".



Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Apple ha publicado actualizaciones de seguridad de emergencia para reparar una vulnerabilidad de día cero que, según la compañía, fue explotada en ataques dirigidos y "extremadamente sofisticados".

"Un ataque físico puede desactivar el modo restringido USB en un dispositivo bloqueado", reveló la compañía en un aviso dirigido a los usuarios de iPhone y iPad. "Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos".

El modo restringido USB es una función de seguridad introducida hace casi siete años que impide que los accesorios USB creen una conexión de datos si el dispositivo ha estado bloqueado durante más de una hora. Esta función está diseñada para impedir que software forense como Graykey y Cellebrite (comúnmente utilizados por las fuerzas del orden) extraigan datos de dispositivos iOS bloqueados.

La vulnerabilidad (identificada como CVE-2025-24200 y reportada por Bill Marczak de Citizen Lab) es un problema de autorización que se solucionó en iOS 18.3.1 y iPadOS 18.3.1 con una gestión de estado mejorada.

La lista de dispositivos a los que afecta este día cero incluye:

iPhone XS y posteriores,iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de tercera generación y posteriores, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de séptima generación y posteriores, y iPad mini de quinta generación y posteriores

Aunque esta vulnerabilidad solo se explotó en ataques dirigidos, se recomienda encarecidamente instalar las actualizaciones de seguridad de hoy de inmediato para bloquear los posibles intentos de ataque en curso.

Si bien Apple aún no ha proporcionado más información sobre la explotación en la naturaleza, los investigadores de seguridad de Citizen Lab a menudo han revelado días cero utilizados en ataques de software espía dirigidos contra personas de alto riesgo, como periodistas, políticos de la oposición y disidentes.

Citizen Lab reveló otras dos vulnerabilidades de día cero ( CVE-2023-41061 y CVE-2023-41064 ) que Apple corrigió en actualizaciones de seguridad de emergencia en septiembre de 2023 y que abusó como parte de una cadena de explotación sin clics (denominada BLASTPASS) para infectar iPhones completamente parcheados con el software espía comercial Pegasus de NSO Group.

El mes pasado, Apple corrigió la primera vulnerabilidad de día cero de este año ( CVE-2025-24085 ) etiquetada como explotada en ataques contra usuarios de iPhone.

En 2024, la empresa parcheó seis vulnerabilidades de día cero explotadas activamente: la primera en enero, dos en marzo, una cuarta en mayo y dos más en noviembre.

Un año antes, en 2023, Apple parchó 20 fallas de día cero explotadas en la naturaleza, incluidas:

dos días cero (CVE-2023-42916 y CVE-2023-42917) en noviembre

dos días cero ( CVE-2023-42824 y CVE-2023-5217 ) en octubre

cinco días cero ( CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993 ) en septiembre

dos días cero ( CVE-2023-37450 y CVE-2023-38606 ) en julio

tres días cero ( CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439 ) en junio

tres ataques de día cero más ( CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373 ) en mayo

dos ataques de día cero ( CVE-2023-28206 y CVE-2023-28205 ) en abril

y otro ataque de día cero para WebKit ( CVE-2023-23529 ) en febrero

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una operación policial global dirigida contra la banda de ransomware Phobos ha llevado al arresto de cuatro presuntos piratas informáticos en Phuket, Tailandia, y a la incautación de los sitios web de 8Base. Los sospechosos están acusados de realizar ciberataques a más de 1.000 víctimas en todo el mundo.

Los detenidos, dos hombres y dos mujeres, son europeos que, según se informa, extorsionaron a sus víctimas por valor de 16.000.000 de dólares en bitcoins a lo largo de los años.

La operación policial, cuyo nombre en código es "Phobos Aetor", dio lugar a redadas coordinadas en cuatro lugares, donde se incautaron ordenadores portátiles, teléfonos inteligentes y carteras de criptomonedas para su análisis forense.

Los arrestos se realizaron a petición de las autoridades suizas, que han pedido al gobierno tailandés que extradite a los sospechosos.

Según informes de los medios locales, los cuatro piratas informáticos habrían llevado a cabo ataques de ransomware contra al menos 17 empresas suizas entre abril de 2023 y octubre de 2024.

Durante los ataques, los actores de amenazas violaron las redes corporativas para robar datos y cifrar archivos. Luego, los actores de amenazas exigieron pagos en criptomonedas para proporcionar las claves de descifrado e impedir la publicación de los datos.

Los pagos de rescate se blanquearon en plataformas de mezcla de criptomonedas, lo que dificultó a las fuerzas del orden rastrear su billetera final.

Sitios web de 8Base confiscados

Hoy, los sitios web de la operación de ransomware 8Base también fueron confiscados en lo que parece ser la misma operación.

Los sitios de negociación y filtración de datos de la banda de ransomware 8Base ahora muestran un mensaje de confiscación que dice: "ESTE SITIO OCULTO HA SIDO INCAUSCADO. Este sitio oculto y el contenido criminal han sido confiscados por la Oficina de Policía Criminal del Estado de Baviera en nombre de la Oficina del Fiscal General en Bamberg".

El mensaje de confiscación también indica que la "Operación Phobos Aetor" involucró a Tailandia, Rumania, Baviera, Alemania, Suiza, Japón, EE. UU., Europol, Chequia, España, Francia, Bélgica y el Reino Unido.

Cuando se le preguntó sobre la legitimidad del mensaje de confiscación, Europol le dijo a BleepingComputer: "Europol está apoyando una operación internacional contra un grupo de ransomware".

La Agencia Nacional contra el Crimen (NCA) del Reino Unido también confirmó a BleepingComputer que desempeñó un papel de apoyo en la operación.

BleepingComputer ha confirmado que los sitios de negociación y filtración de datos de la operación 8Base fueron confiscados como parte de la operación global de aplicación de la ley.



8Base es un grupo de ransomware que se lanzó en marzo de 2022 y permaneció relativamente tranquilo hasta junio de 2023, cuando de repente comenzó a filtrar datos de muchas víctimas.

Los grupos de ransomware, que se describen a sí mismos como simples "pentesters", muestran que posiblemente se trata de una nueva marca de otra operación o que están compuestos por piratas informáticos experimentados.

VMware informó que el grupo comparte muchas similitudes con RansomHouse, incluido el estilo de las notas de rescate y el sitio de filtración de datos, pero no se ha confirmado que sean el mismo grupo.

Al igual que otras operaciones de ransomware, 8Base violaría las redes corporativas y se propagaría lateralmente de forma silenciosa a través de los dispositivos mientras robaba datos corporativos. Cuando obtenían acceso al controlador de dominio, los actores de la amenaza cifraban los dispositivos utilizando el cifrador de ransomware Phobos.

Al cifrar archivos, el ransomware agrega la extensión .8base o .eight a los archivos cifrados.

Durante este proceso, se crean notas de rescate que exigen el pago de un rescate que oscila entre cientos de miles de dólares y millones a cambio de una clave de descifrado y la promesa de eliminar y no publicar los datos robados.

En 2023, el Departamento de Salud y Servicios Humanos de los Estados Unidos advirtió que los operadores de 8Base estaban apuntando a organizaciones de todo el mundo, incluidas las del sector de la salud.

"Según los ataques del grupo, 8Base se dirige principalmente a empresas PYME con sede en Estados Unidos, Brasil y el Reino Unido. Otros países afectados incluyen Australia, Alemania, Canadá y China, entre otros. Cabe destacar que no se ha apuntado a ningún país exsoviético o de la CEI", explica el boletín del HHS.

"Si bien no existe una correlación conocida con Rusia u otros grupos o afiliados de RaaS de habla rusa, este patrón de exclusión geográfica es un sello distintivo de muchos actores de amenazas de habla rusa".

Algunas víctimas de alto perfil de la banda de ransomware incluyen a Nidec Corporation, un gigante tecnológico japonés con unos ingresos de 11 mil millones de dólares, y el Programa de las Naciones Unidas para el Desarrollo (PNUD).

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft anunció durante el fin de semana que ha ampliado su programa de recompensas por errores Microsoft Copilot (AI) y ha aumentado los pagos por vulnerabilidades de gravedad moderada.

Para proteger aún más sus productos de consumo Copilot contra ataques, Redmond agregó una gama más amplia de productos y servicios de consumo Copilot al alcance del programa, incluidos Copilot para Telegram, Copilot para WhatsApp, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

La compañía ahora también ofrece incentivos de hasta $5,000 por informar vulnerabilidades moderadas, que también pueden afectar significativamente la seguridad y confiabilidad de sus productos Copilot.

"Estamos introduciendo nuevos incentivos para casos de gravedad moderada de Copilot. Los investigadores que identifiquen e informen vulnerabilidades de gravedad moderada ahora serán elegibles para recompensas de hasta $5,000", dijo Microsoft.

"Esta expansión brinda a los investigadores más oportunidades para contribuir a la seguridad de nuestro ecosistema Copilot y nos ayuda a identificar y mitigar vulnerabilidades potenciales en una gama más amplia de plataformas".

El programa de recompensas Microsoft Copilot de la empresa también recompensa las presentaciones calificadas para vulnerabilidades encontradas en experiencias de inteligencia artificial Copilot (Pro) en Microsoft Edge (Windows), la aplicación Microsoft Copilot (iOS y Android), el sistema operativo Windows y la búsqueda generativa de Bing alojada en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta en el navegador.

Las recompensas varían desde $250 por errores de baja gravedad de Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Web Security Misconfiguration, Cross Origin Access y Improper Input Validation hasta $30,000 por fallas críticas que permitan la manipulación de inferencias.

El programa Microsoft 365 Bounty también se amplió el mes pasado para incluir nuevos productos Viva para casos críticos e importantes, incluidos Feature Access Control, Glint, Learning y Pulse, con premios de hasta $27,000.

Durante la conferencia anual Ignite del año pasado en Chicago, Microsoft también amplió sus programas de recompensas por errores con el lanzamiento de Zero Day Quest, un evento de piratería con $4 millones en recompensas centrado en productos y plataformas de inteligencia artificial y en la nube.

Los esfuerzos para impulsar la protección de la ciberseguridad en todos los productos son parte de la Secure Future Initiative (SFI), un esfuerzo de ingeniería de ciberseguridad de toda la empresa lanzado en noviembre de 2023 para adelantarse a un informe mordaz emitido por la Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional de EE. UU. que decía que la "cultura de seguridad de Microsoft era inadecuada y requiere una revisión".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16
Noticias Informáticas / Rusia desaparece de internet
Febrero 10, 2025, 05:35:38 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Rusia está aislando rápidamente su infraestructura conectada a Internet del mundo exterior. En menos de medio año, más de dos tercios de los servicios y dispositivos que antes se podían descubrir han desaparecido detrás del "Gran Cortafuegos".

Hoy, si escaneamos y contamos los servidores y otros dispositivos rusos de acceso público, el país parecería más pequeño que Rumanía o Suecia, estados con poblaciones entre 5 y 10 veces menores.

Antes del 15 de octubre de 2024, Rusia tenía alrededor de 920.000 dispositivos y servicios públicos de acceso a Internet. Estas direcciones IP expuestas públicamente incluyen una amplia gama de dispositivos y servicios en red, como enrutadores, servidores de correo electrónico, servidores VPN, varios paneles web, balanceadores de carga, sistemas de video y otro software o hardware conectado.

De la noche a la mañana, casi la mitad de estos dispositivos desaparecieron, según revelan los datos de IoT de ShadowServer Foundation.

La cifra se disparó brevemente por encima de los dos millones de dispositivos antes de finales de 2024 y luego volvió a caer aún más. La infraestructura de Internet rusa visible públicamente se mantiene cerca de los 270.000 dispositivos este año.

La marcada caída de todos los tipos de dispositivos y servicios expuestos a Internet en Rusia contrasta con los patrones observados en otros países, donde el número de dispositivos se mantiene relativamente estable.

A modo de comparación, en Estados Unidos se pueden descubrir públicamente casi siete millones de dispositivos. Corea del Sur y Brasil tienen 2,1 millones cada uno, seguidos de Alemania con 1,8 millones y China con 1,2 millones.

¿Por qué Rusia está reduciendo de repente de forma proactiva la visibilidad de los dispositivos y servicios conectados a Internet? Hay al menos unos cuantos factores en juego. El equipo de investigación de Cybernews sugiere que las tendencias de Rusia se deben principalmente a los esfuerzos por reforzar el control sobre su infraestructura de Internet.

¿Qué está pasando con la Internet rusa?

Rusia ha mantenido a sus ciudadanos bajo la Cortina de Hierro, restringiendo el acceso a servicios de Internet extranjeros y prohibiendo las conexiones VPN para eludir las restricciones desde hace un tiempo.

Sin embargo, recientemente ha estado probando su "Internet soberano" –una alternativa nacional a la Internet global– desconectando grandes partes del país de Internet. El pasado mes de diciembre, varias repúblicas de Rusia no pudieron acceder a sitios web y servicios extranjeros, como YouTube y Google.

Aras Nazarovas, investigador de seguridad de la información en Cybernews, sugiere que estas pruebas podrían ser una gran parte del rompecabezas.

"Rusia está experimentando con su propia infraestructura de Internet interna y desconectando varias regiones, particularmente aquellas con mayores cantidades de minorías, de la Internet mundial", dijo Nazarovas.

Según se informa, el censor federal ruso Roskomnadzor causó varias interrupciones importantes de Internet en los últimos meses. Roskomnadzor confirmó que probó si la "infraestructura de reemplazo de clave" puede funcionar cuando se desconecta deliberadamente de la Internet global.

La ciberseguridad y la ciberguerra son otras consideraciones. Debido a las sanciones occidentales, a Rusia le resulta difícil reemplazar o actualizar los equipos de red obsoletos y otros dispositivos de uso público. El hardware sin parches es un gran riesgo de ciberseguridad, que se puede aliviar eliminando el acceso a él.

"Tras la invasión rusa de Ucrania, los hacktivistas lanzaron numerosos ciberataques en respuesta que continúan hasta el día de hoy, aunque con una intensidad reducida. Los ataques a los sectores gubernamentales y bancarios podrían haber provocado cambios en el control del tráfico de Internet entrante a nivel de la red troncal, reforzando la seguridad de estos sistemas", dijo Nazarovas.

El 14 de octubre de 2024, un día antes de una disminución masiva en la cantidad de IoT, los sistemas de comunicaciones de Rusia se vieron afectados por poderosos ataques DDoS (denegación de servicio distribuida) de hasta 1,7 terabits por segundo.

Posteriormente, Roskomnadzor se jactó de haber creado un "sistema a gran escala a nivel de toda Rusia" que ayudó a repeler más de 10.500 ataques DDoS. El sistema "ofrece protección adicional a los recursos del segmento ruso de Internet".

"La disminución observada en los dispositivos IoT expuestos a Internet en Rusia probablemente se debe a consideraciones de guerra cibernética y medidas de seguridad operativa adoptadas en respuesta al conflicto en curso", dijo a Cybernews Sonu Shankar, director de productos de Phosphorus Cybersecurity.

"Si bien múltiples factores pueden estar influyendo en esta tendencia, la explicación más probable dadas las conocidas operaciones cibernéticas ofensivas en la región es la reducción deliberada de su superficie de ataque".

Shankar cree que las entidades y empresas afiliadas al estado ruso están limitando intencionalmente la exposición para proteger la infraestructura de los ciberataques. Los proveedores de servicios de Internet rusos también pueden haber implementado políticas más estrictas para evitar que ciertos servicios queden expuestos.

El Kremlin ha invertido aproximadamente 59 mil millones de rublos (alrededor de $ 648 millones) en el desarrollo de capacidades técnicas para restringir el tráfico de Internet y ha dedicado esfuerzos a obligar a los rusos a migrar de las plataformas de redes sociales occidentales a plataformas nacionales que el Kremlin puede controlar más fácilmente, dijo el Instituto para el Estudio de la Guerra en un informe. Moscú también podría querer limitar su infraestructura de los espías.

"Así como las autoridades rusas controlan el acceso a Internet dentro de Rusia, también podrían bloquear ciertas conexiones desde el exterior del país, lo que podría explicar los cambios esporádicos en el número de dispositivos conectados a Internet rastreados", dijo Nazarovas.

El cambio en las prácticas puede deberse en parte a la imposición de sanciones occidentales, ya que ciertas tecnologías y servicios basados en la nube ya no están disponibles en Rusia.

Rusia adoptó la ley de "Internet soberana" a fines de 2019. Su objetivo era proteger al país de quedar aislado de la infraestructura extranjera y de la "naturaleza agresiva" de la estrategia nacional de ciberseguridad de los Estados Unidos.

¿Qué dispositivos siguen siendo visibles?

La mayoría de los dispositivos de acceso público (25 %) en Rusia son enrutadores, seguidos de servidores de correo electrónico (20 %), VPN (6 %), paneles web y balanceadores de carga (5 % cada uno).

Para que los escáneres externos puedan detectar un enrutador, al menos un puerto debe estar abierto y responder a consultas externas. Un puerto abierto generalmente indica un servicio activo en ejecución, como un servidor web, una interfaz de cámara de seguridad, un portal de administración remota u otro. Los puertos abiertos también pueden indicar posibles configuraciones incorrectas.

Más de la mitad (55 %) de los enrutadores expuestos son producidos por MikroTik, un fabricante de equipos de red de Letonia. Keenetic es el segundo proveedor más importante (16 %), seguido de Huawei (11 %), Asus (7 %) y TP-Link (6 %).



"Mikrotik ha declarado oficialmente que ha abandonado el mercado ruso y prohíbe a sus socios externos vender equipos allí. La empresa debe cumplir con las restricciones y sanciones a la exportación de la UE. El predominio de los enrutadores MikroTik en el mercado ruso podría explicarse en parte por los débiles controles de exportación en otros países, lo que permite a los rusos importar equipos sancionados a través de canales del mercado negro", dijo Nazarovas.

Las estadísticas no revelan cuándo se fabricaron o adquirieron los enrutadores, y algunos dispositivos podrían ni siquiera transmitir claramente su tipo, modelo u otros datos.

Los datos de Shadowserver tampoco representan todos los dispositivos IoT en Rusia, solo aquellos expuestos al público.

Los servidores de correo electrónico en Rusia están dominados por Exim (94%), un software de agente de transferencia de correo gratuito.

Los paneles web expuestos se componen principalmente de la herramienta de administración de servidores Fastpanel (46%), el panel de control de servidor web HestiaCP (18%), el software de panel de control de alojamiento web cPanel (6%) y la herramienta de administración de bases de datos phpMyAdmin (6%).

La mayoría de las instancias de VPN expuestas son MikroTik (72%), seguida de Cisco (14%), OpenVPN (4%) y SoftEther (4%).

"El acceso restringido a las tecnologías occidentales definitivamente presenta nuevos desafíos para Rusia, ya que en algunos casos ya no puede recibir actualizaciones de seguridad para cierto software y, por lo tanto, necesitaría desarrollar sus propios parches o engañar a las empresas para que crean que el tráfico de Internet proviene de otro lugar mediante el uso de VPN para recibir actualizaciones de seguridad", explica Nazarovas.

Para equilibrar la carga, las entidades en Rusia utilizan principalmente Traefik Labs (58%) y Nginx (41%).

¿Debería seguir el ejemplo de Estados Unidos?

En la actualidad, Estados Unidos tiene una presencia en Internet 26 veces mayor que la de Rusia. Según los expertos en seguridad, las tendencias en Rusia hacen que el país esté más protegido frente a las amenazas en línea. Y esto sirve de ejemplo para Estados Unidos.



"Estas tendencias sirven como un recordatorio crítico para que las organizaciones en los EE. UU. prioricen la higiene de seguridad fundamental de sus dispositivos conectados. Para mitigar los riesgos, las organizaciones deben restringir la exposición innecesaria a Internet, aplicar prácticas de autenticación sólidas a nivel de dispositivo al garantizar que se cambien las contraseñas predeterminadas o débiles y eliminar las configuraciones incorrectas de los dispositivos que podrían ser explotadas de forma remota por actores de amenazas", dijo Shankar.

"Además, mantener el firmware actualizado es esencial para evitar que los atacantes exploten vulnerabilidades conocidas".

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

8 feb (Reuters) - El multimillonario Elon Musk dijo que no estaba interesado en comprar TikTok, la popular aplicación de videos cortos que Estados Unidos ha estado tratando de prohibir por preocupaciones de seguridad nacional con su propietario chino ByteDance.

Los comentarios de Musk hechos a fines de enero, fueron publicados en línea el sábado por The WELT Group, parte de la empresa de medios alemana Axel Springer SE, que organizó una cumbre, donde el jefe de Tesla se unió a la conferencia a través de un video.

"No he presentado una oferta por TikTok", dijo Musk una semana después de que el presidente de Estados Unidos, Donald Trump, dijera que estaba abierto a que Musk comprara la aplicación propiedad de ByteDance si quisiera hacerlo.

"No tengo ningún plan sobre lo que haría si tuviera TikTok", dijo Musk, y agregó que no usa la aplicación de videos cortos personalmente y que no estaba familiarizado con el formato de la aplicación.

"No estoy ansioso por adquirir TikTok, no adquiero empresas en general, es bastante raro", dijo Musk, y agregó que su adquisición de mil millones de dólares de la plataforma de redes sociales Twitter, ahora llamada X, fue inusual.

"Normalmente creo empresas desde cero", dijo Musk.

El presidente republicano firmó una orden ejecutiva que busca retrasar la aplicación de una prohibición a la popular aplicación de videos cortos que estaba programada para cerrar el 19 de enero.

ByteDance recibió la fecha límite de enero para vender los activos estadounidenses de TikTok o enfrentar una prohibición estadounidense, luego de las preocupaciones de los legisladores de que la aplicación plantea riesgos de seguridad nacional porque China podría obligar a la empresa a compartir los datos de sus usuarios estadounidenses. TikTok ha negado que haya compartido o alguna vez vaya a compartir datos de usuarios estadounidenses.

Apple y Google no han reincorporado TikTok a sus tiendas de aplicaciones desde que entró en vigor una ley estadounidense. TikTok dijo el viernes que estaba permitiendo a los usuarios estadounidenses de Android descargar y conectarse a la aplicación a través de paquetes en su sitio web, en un esfuerzo por eludir las restricciones a la popular plataforma en el país.

Trump ha dicho que estaba en conversaciones con varias personas sobre la compra de TikTok y que probablemente tomaría una decisión sobre el futuro de la aplicación este mes. Tiene alrededor de 170 millones de usuarios estadounidenses.

Esta semana, el presidente firmó una orden ejecutiva para crear un fondo soberano de riqueza dentro del año, diciendo que potencialmente podría comprar TikTok.

ByteDance ha negado anteriormente cualquier plan de vender TikTok.

El hecho de que Trump haya salvado a TikTok representa un cambio de postura respecto de su primer mandato, cuando intentó sin éxito prohibir la aplicación por preocupaciones de que la compañía estuviera compartiendo información personal de los estadounidenses con el gobierno chino.

Más recientemente, Trump ha dicho que tiene "un lugar cálido en su corazón para TikTok",

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

y le atribuye a la aplicación el mérito de haberlo ayudado a ganarse a los jóvenes votantes en las elecciones presidenciales de 2024.


ByteDance y TikTok no respondieron de inmediato a una solicitud de comentarios.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La empresa matriz de Facebook, Meta, está actualmente luchando contra una demanda colectiva que alega violación de derechos de autor y competencia desleal, entre otros, con respecto a cómo entrenó a LLaMA.

Según una publicación de vx-underground en X (anteriormente Twitter), los registros judiciales revelan que la empresa de redes sociales utilizó torrents pirateados para descargar 81,7 TB de datos de bibliotecas paralelas, incluidas Anna's Archive, Z-Library y LibGen. Luego utilizó esta información para entrenar sus modelos de IA.

La evidencia, en forma de comunicación escrita, muestra las preocupaciones de los investigadores sobre el uso de materiales pirateados por parte de Meta.

Un investigador senior de IA dijo en octubre de 2022:
 
"No creo que debamos usar material pirateado. Realmente necesito poner un límite aquí".

Mientras que otro dijo:

"Usar material pirateado debería estar más allá de nuestro umbral ético", luego agregó: "SciHub, ResearchGate, LibGen son básicamente como PirateBay o algo así, están distribuyendo contenido que está protegido por derechos de autor y lo están infringiendo".

En enero de 2023, el propio Mark Zuckerberg asistió a una reunión en la que dijo:

"Tenemos que avanzar con esto... tenemos que encontrar una forma de desbloquear todo esto".
 
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Unos tres meses después, un empleado de Meta envió un mensaje a otro diciendo que les preocupaba que las direcciones IP de Meta se utilizaran "para descargar contenido pirata".

También añadieron: "No me parece bien descargar torrents desde un portátil de empresa", seguido de un emoji de risa a carcajadas.

Además de esos mensajes, los documentos también revelaron que la empresa tomó medidas para que su infraestructura no se utilizara en estas operaciones de descarga y distribución, de modo que la actividad no pudiera rastrearse hasta Meta. Los documentos judiciales dicen que esto constituye una prueba de la actividad ilegal de Meta, que parece estar tomando medidas deliberadas para eludir las leyes de derechos de autor.

Sin embargo, esta no es la primera vez que se acusa a un modelo de entrenamiento de IA de robar información de Internet.

OpenAI ha sido demandada por novelistas desde junio de 2023 por usar sus libros para entrenar sus grandes modelos de lenguaje, y The New York Times siguió su ejemplo en diciembre.

Nvidia también ha sido objeto de una demanda presentada por escritores por usar 196.640 libros para entrenar su modelo NeMo, que desde entonces ha sido retirado. Un ex empleado de Nvidia denunció a la empresa en agosto del año pasado, diciendo que extraía más de 426 mil horas de vídeos al día para su uso en el entrenamiento de IA. Más recientemente, OpenAI está investigando si DeepSeek obtuvo ilegalmente datos de ChatGPT, lo que demuestra lo irónico que pueden ser las cosas.

El caso contra Meta todavía está en curso, por lo que tendremos que esperar hasta que el tribunal publique su decisión para decir si la empresa cometió una infracción directa. E incluso si los escritores ganan este caso, Meta, con su enorme fondo financiero, probablemente apelará la decisión, lo que significa que tendremos que esperar varios meses, sino años, para ver la sentencia judicial final.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Brave Browser está incorporando una nueva función llamada "scriptlets personalizados" que permite a los usuarios avanzados introducir su propio código JavaScript en los sitios web, lo que permite una mayor personalización y control sobre su experiencia de navegación.

La nueva función está disponible en la versión 1.75 de Brave Browser para escritorio y es muy similar a las populares extensiones de navegador TamperMonkey y GreaseMonkey, que permiten a los usuarios crear "scripts de usuario" que modifican la funcionalidad de sitios web específicos.

"A partir de la versión 1.75 de escritorio, los usuarios avanzados de Brave podrán escribir e introducir sus propios scriptlets en una página, lo que les permitirá un mejor control sobre su experiencia de navegación", explicó Brave en el anuncio.

Brave afirma que la función se creó inicialmente para depurar la función de bloqueo de anuncios del navegador, pero consideró que era demasiado valiosa como para no compartirla con los usuarios.

La función de scriptlets personalizados de Brave se puede utilizar para modificar páginas web con una amplia variedad de propósitos de privacidad, seguridad y usabilidad.

Para realizar cambios relacionados con la privacidad, los usuarios escriben scripts que bloquean los rastreadores basados en JavaScript, aleatorizan las API de huellas dactilares y sustituyen los scripts de Google Analytics por una versión ficticia.

En términos de personalización y accesibilidad, los scriptlets se pueden utilizar para ocultar barras laterales, ventanas emergentes, anuncios flotantes o widgets molestos, forzar el modo oscuro incluso en sitios que no lo admiten, expandir áreas de contenido, forzar el desplazamiento infinito, ajustar los colores del texto y el tamaño de fuente y expandir automáticamente el contenido oculto.

Por ejemplo, el siguiente script eliminará las barras laterales de un sitio web en particular.



Para mejorar el rendimiento y la facilidad de uso, los scriptlets pueden bloquear la reproducción automática de videos, cargar imágenes de forma diferida, completar formularios automáticamente con datos predefinidos, habilitar atajos de teclado personalizados, omitir restricciones de clic derecho y hacer clic automáticamente en cuadros de diálogo de confirmación.

Las posibles acciones que se pueden lograr con fragmentos de JavaScript inyectados son prácticamente infinitas. Sin embargo, se recomienda tener cuidado, ya que ejecutar scriptlets personalizados que no sean de confianza puede causar problemas o incluso presentar algún riesgo.

Cómo usar scriptlets de Brave

Brave dice que los scriptlets son herramientas poderosas en manos de usuarios expertos. Al mismo tiempo, existe el riesgo de que el JavaScript personalizado pueda causar problemas en el sitio web.

Por este motivo, ha colocado la nueva función detrás de una bandera de modo de desarrollador en Shields > Filtrado de contenido.

Puede acceder a la nueva función yendo a "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", habilitando el "modo de desarrollador" y luego haciendo clic en el botón "Agregar nuevo scriptlet".



Aparecerá un cuadro advirtiendo al usuario que no debe pegar código que no entiende, ya que esto podría generar riesgos de privacidad.



La función de scriptlet personalizado de Brave sigue una sintaxis de reglas de filtrado similar a las reglas de bloqueo de anuncios de uBlock Origin o AdGuard.

Aquellos interesados en experimentar con la nueva función de Brave solo deben usar su propio código o el de personas en las que confíen, evitando estrictamente cualquier cosa que no haya sido examinada a fondo.

También es posible suscribirse a listas de filtros de bloqueo de anuncios existentes, de modo que sus reglas se utilicen automáticamente en Brave.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#20
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se está llevando a cabo un ataque de fuerza bruta a gran escala que utiliza casi 2,8 millones de direcciones IP para intentar adivinar las credenciales de una amplia gama de dispositivos de red, incluidos los de Palo Alto Networks, Ivanti y SonicWall.

Un ataque de fuerza bruta es cuando los actores de amenazas intentan iniciar sesión repetidamente en una cuenta o dispositivo utilizando muchos nombres de usuario y contraseñas hasta que se encuentra la combinación correcta. Una vez que tienen acceso a las credenciales correctas, los actores de amenazas pueden usarlas para secuestrar un dispositivo o acceder a una red.

Según la plataforma de monitoreo de amenazas The Shadowserver Foundation, un ataque de fuerza bruta ha estado en curso desde el mes pasado, empleando casi 2,8 millones de direcciones IP de origen diariamente para realizar estos ataques.

La mayoría de estos (1,1 millones) son de Brasil, seguido de Turquía, Rusia, Argentina, Marruecos y México, pero en general hay una gran cantidad de países de origen que participan en la actividad.



Se trata de dispositivos de seguridad de borde, como cortafuegos, VPN, puertas de enlace y otros dispositivos de seguridad, que suelen estar expuestos a Internet para facilitar el acceso remoto.

Los dispositivos que llevan a cabo estos ataques son en su mayoría enrutadores y equipos IoT de MikroTik, Huawei, Cisco, Boa y ZTE, que suelen verse comprometidos por grandes botnets de malware.

En una declaración, la Fundación Shadowserver confirmó que la actividad ha estado en curso durante un tiempo, pero que recientemente aumentó a una escala mucho mayor.

ShadowServer también dijo que las direcciones IP atacantes están distribuidas en muchas redes y sistemas autónomos y es probable que sean una botnet o alguna operación asociada con redes proxy residenciales.

Los proxies residenciales son direcciones IP asignadas a clientes consumidores de proveedores de servicios de Internet (ISP), lo que los hace muy buscados para su uso en delitos cibernéticos, scraping, evasión de restricciones geográficas, verificación de anuncios, scalping, y más.

Estos servidores proxy enrutan el tráfico de Internet a través de redes residenciales, lo que hace que parezca que el usuario es un usuario doméstico normal en lugar de un bot, un recopilador de datos o un pirata informático.

Los dispositivos de puerta de enlace como los que son el objetivo de esta actividad podrían usarse como nodos de salida de proxy en operaciones de proxy residencial, enrutando el tráfico malicioso a través de la red empresarial de una organización.

Estos nodos se consideran de "alta calidad" ya que las organizaciones tienen una buena reputación y los ataques son más difíciles de detectar y detener.

Los pasos para proteger los dispositivos periféricos de los ataques de fuerza bruta incluyen cambiar la contraseña de administrador predeterminada a una fuerte y única, aplicar la autenticación multifactor (MFA), usar una lista de permitidos de IP confiables y deshabilitar las interfaces de administración web si no son necesarias.

En última instancia, aplicar las últimas actualizaciones de firmware y seguridad en esos dispositivos es crucial para eliminar las vulnerabilidades que los actores de amenazas pueden aprovechar para obtener acceso inicial.

El pasado mes de abril, Cisco advirtió sobre una campaña de fuerza bruta de credenciales a gran escala dirigida a dispositivos Cisco, CheckPoint, Fortinet, SonicWall y Ubiquiti en todo el mundo. En diciembre, Citrix también advirtió sobre ataques de rociado de contraseñas dirigidos contra dispositivos Citrix Netscaler en todo el mundo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#21
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La interminable búsqueda para descubrir la identidad de Satoshi Nakamoto, el misterioso creador de bitcoin (BTC), ha dado otro giro. Nuevos hallazgos sugieren que una plataforma de intercambio de criptomonedas, Kraken, podría saber quién es realmente Nakamoto.

Al menos, Conor Grogan, jefe de operaciones comerciales de productos en la plataforma de intercambio de criptomonedas Coinbase, así lo cree.

Grogan examinó recientemente las direcciones de BTC que se cree que están controladas por Nakamoto, confirmando más o menos los hallazgos anteriores de que estas direcciones contienen alrededor de 1,096 millones de BTC (106 mil millones de dólares), lo que convierte al inventor de bitcoin en la 17.ª persona más rica del mundo (si Nakamoto es una persona y no un grupo de desarrolladores), según el Índice de multimillonarios de Bloomberg. En comparación, Elon Musk es considerado el más rico, con un patrimonio neto total estimado en 412 mil millones de dólares.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sin embargo, lo que Grogan cree que no se ha descubierto hasta ahora es que Nakamoto podría haber seguido activo en la cadena en 2014, cuando utilizó un intercambio canadiense de BTC, CaVirtEx, y que Kraken podría conocer la identidad de Satoshi.

"CaVirtEx fue comprada por Kraken en 2016. Como tal, existe la posibilidad de que [Jesse Powell, cofundador de Kraken] tenga información sobre la verdadera identidad detrás de Satoshi si mantuvieron alguna información KYC en esta billetera. Mi consejo para él sería que elimine los datos", sugirió Grogan.

Powell no respondió a esa publicación, al menos públicamente. Sin embargo, el intercambio Kraken intervino, repitiendo el viejo adagio de los bitcoiners de que "Todos somos Satoshi", lo que significa que, en este punto, no importa quién sea el creador de bitcoin.

Mientras tanto, Grogan también ha llegado a la conclusión de que esta investigación le da más confianza en que Satoshi ya no está activo.

"¡El hecho de que no haya habido movimiento en ninguna de las carteras conectadas durante 2014 es muy positivo!", dijo el director.

Algunos en la industria de Bitcoin temen que Satoshi Nakamoto, que fue visto por última vez en línea el 23 de abril de 2011, pueda regresar, vender su enorme cartera de BTC y hacer caer el precio de Bitcoin. Sin embargo, algunos también creen que Nakamoto ha muerto.

En cualquier caso, los intentos de descubrir la identidad de Nakamoto todavía están en curso. Uno de los últimos esfuerzos de este tipo incluso se convirtió en un documental de HBO, que sugería que el desarrollador de Bitcoin Peter Todd es Nakamoto, una afirmación que fue ampliamente rechazada por la industria.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#22
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Rusia ha estado experimentando interferencias con las terminales de comunicaciones satelitales Starlink, que son operadas por Space X de Elon Musk.

Según los corresponsales de guerra rusos, aproximadamente el 10% de las terminales Starlink a lo largo de la línea del frente rusa fueron bloqueadas a principios de esta semana.

La interrupción fue reportada por el periodista ruso Ivan Filippov, quien dirige el canal de Telegram Na Zzzzzapadnom fronte bez peremen. Los corresponsales de guerra Tatyana Kruglova y Roman Saponkov también confirmaron el incidente.

Además, el administrador del canal Z prorruso Tupi4ok Dizaynera afirmó que varias terminales se desconectaron a la vez, aunque no todas se vieron afectadas.

El ejército de Ucrania ha estado utilizando activamente Starlink para comunicarse desde la invasión rusa de su territorio, que se acerca a los tres años desde que comenzaron los ataques.

Mientras tanto, las fuerzas rusas han estado adquiriendo terminales Starlink del mercado negro para su uso en territorios ocupados.

El Pentágono declaró anteriormente que los gobiernos estadounidense y ucraniano han estado trabajando con SpaceX para acabar con el uso no autorizado de equipos, especialmente por parte de las partes sancionadas.

En 2023, el operador móvil más grande de Ucrania, Kyivstar, firmó un acuerdo con Starlink, una división de SpaceX, para implementar la tecnología de comunicación satelital de vanguardia Direct-to-Cell.

Fuente
:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#23
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para una invención que cambió tanto el mundo como la rueda, los estudiosos saben sorprendentemente poco sobre su origen, pero no faltan teorías posibles.

Una hipótesis que se mantiene desde hace tiempo es que la primera rueda no era realmente una rueda en el sentido en que solemos pensar en ellas, sino un torno de alfarero construido en Mesopotamia (probablemente por los sumerios) alrededor del año 4000 a. C.

Otra teoría apunta al norte de Turquía como posible lugar de nacimiento de la rueda. Sin embargo, una nueva teoría (publicada por primera vez en el libro "The Wheel: Inventions and Reinventions" del profesor de la Universidad de Columbia Richard Buillet) ha estado ganando terreno recientemente. Esta nueva teoría sugiere que en realidad fueron los antiguos mineros de cobre que extraían el mineral en las profundidades de las minas de los Cárpatos quienes crearon las primeras ruedas.

Ahora, Bulliet, junto con dos coautores de la Universidad de Illinois en Urbana-Champaign y Georgia Tech, han profundizado en esta teoría y han utilizado modelos computacionales para determinar qué factores ambientales habrían facilitado la evolución de los rodillos (básicamente, troncos sin ramas) a las innovaciones reales basadas en ruedas y ejes. Los resultados del estudio se publicaron esta semana en la revista Royal Society Open Science.

Los investigadores sugieren que las minas antiguas habrían sido el entorno perfecto para el desarrollo de la invención de la rueda, no necesariamente por la necesidad de una herramienta de este tipo, sino por las limitaciones impuestas por las propias minas estrechas.

"Nuestros hallazgos también demuestran el papel fundamental que desempeñaron los factores ambientales en la creación de la tecnología de las ruedas", afirmaron los autores en el artículo. "Las características únicas del entorno de la mina acentuaron las ventajas del juego de ruedas sobre su predecesor, al tiempo que anularon su desventaja más importante: la incapacidad de girar".

Evolución de la rueda según Bulliet et al
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El estudio desglosa la probable evolución de la rueda durante sus inicios. En primer lugar, los mineros habrían creado ranuras en los rodillos para evitar que las cajas que contenían el mineral se deslizaran de la montaña. El extremo de los rodillos habría adquirido un diámetro mayor para crear una especie de sistema proto-rueda-eje (conocido como juego de ruedas). Y, por último, se habrían añadido piezas al extremo de los ejes para acoplar ruedas independientes. Los autores estiman que estas innovaciones probablemente se produjeron a lo largo de 500 años.

"Este capítulo de la historia de la humanidad contradice la creencia popular de que las tecnologías surgen de manera abrupta a partir de la epifanía repentina de un inventor solitario", se lee en el artículo. "En consecuencia, algunos académicos han adoptado el otro extremo, afirmando que la rueda no tuvo un punto de origen ni un inventor, sino que se desarrolló gradualmente a lo largo de una amplia zona geográfica".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Curiosamente, este enfoque científico que utiliza la ciencia del diseño y la mecánica computacional permite a los científicos establecer conexiones entre la estructura y la función en la ingeniería antigua, y acota las ventajas y desventajas de un sistema. Este enfoque, combinado con la arqueología más tradicional, puede ayudar a pintar un mejor panorama de cómo surgieron las tecnologías en la historia de la humanidad, incluso cuando no tenemos evidencia directa de su creación.

La invención de la rueda es solo un misterio de la historia, y una investigación similar podría ayudar a arrojar luz sobre algunos de los recovecos más oscuros de la historia humana.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#24
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha compartido una solución alternativa para los usuarios afectados por un problema conocido que impide que las actualizaciones de seguridad de Windows se implementen en algunos sistemas Windows 11 24H2.

Como explicó la empresa cuando reconoció el error en diciembre, solo ocurre cuando se instala Windows 11 desde CD y unidades flash USB que también instalan las actualizaciones acumulativas de octubre de 2024 o noviembre de 2024.

"Al usar medios para instalar Windows 11, versión 24H2, el dispositivo puede permanecer en un estado en el que no puede aceptar más actualizaciones de seguridad de Windows", dice Microsoft.

"Esto ocurre solo cuando el medio se crea para incluir las actualizaciones de seguridad de octubre de 2024 o noviembre de 2024 como parte de la instalación (estas actualizaciones se publicaron entre el 8 de octubre de 2024 y el 12 de noviembre de 2024)".

Sin embargo, estos problemas de implementación no afectan las actualizaciones de seguridad entregadas a través de Windows Update y el Catálogo de actualizaciones de Microsoft o si el medio de instalación viene con actualizaciones de seguridad publicadas en diciembre de 2024 o después.

Solución alternativa disponible

Si bien Redmond dijo que estaba trabajando en una solución, actualizó el panel de estado de la versión de Windows el jueves para etiquetar el problema conocido como resuelto y recomendar a los usuarios afectados que reinstalen Windows 11, versión 24H2, en sus sistemas utilizando medios que incluyan actualizaciones de seguridad publicadas desde diciembre de 2024 para evitar experimentar estos problemas.

"Para evitar este problema, no instale Windows 11, versión 24H2 utilizando medios que instalen las actualizaciones de seguridad de octubre de 2024 o noviembre de 2024", afirma la empresa.

"Si un dispositivo no puede recibir más actualizaciones como resultado de este problema, se puede remediar reinstalando Windows 11, versiones 24H2, utilizando medios que incluyan la actualización de seguridad mensual de diciembre de 2024 (publicada el 10 de diciembre de 2024) o posterior".

El jueves, Microsoft también anunció que las actualizaciones opcionales de Windows 11 de enero de 2025 solucionan otro problema (reconocido en noviembre) que impedía a los usuarios que no eran administradores cambiar su zona horaria en la configuración de fecha y hora.

Hasta que la solución se implemente para todos los usuarios con las actualizaciones acumulativas del martes de parches de febrero, los usuarios afectados que no quieran instalar actualizaciones opcionales pueden usar el Panel de control de Windows como solución alternativa para cambiar la fecha y la hora.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#25
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cisco ha publicado parches para solucionar dos vulnerabilidades críticas en su plataforma de gestión de políticas de seguridad Identity Services Engine (ISE).

Los administradores empresariales utilizan Cisco ISE como una solución de gestión de identidad y acceso (IAM) que combina autenticación, autorización y contabilidad en un único dispositivo.

Los dos fallos de seguridad (CVE-2025-20124 y CVE-2025-20125) pueden ser explotados por atacantes remotos autenticados con privilegios de administrador de solo lectura para ejecutar comandos arbitrarios como root y omitir la autorización en dispositivos sin parches.

Estas vulnerabilidades afectan a los dispositivos Cisco ISE y Cisco ISE Passive Identity Connector (ISE-PIC), independientemente de la configuración del dispositivo.

"Esta vulnerabilidad se debe a la deserialización insegura de los flujos de bytes de Java proporcionados por el usuario por parte del software afectado", dijo Cisco, describiendo el error CVE-2025-20124 etiquetado con una calificación de gravedad de 9,9/10.

"Un atacante podría aprovechar esta vulnerabilidad enviando un objeto Java serializado y diseñado a una API afectada. Si lo logra, podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo y elevar los privilegios".

La vulnerabilidad CVE-2025-20125 se debe a la falta de autorización en una API específica y a una validación incorrecta de los datos proporcionados por el usuario, que se pueden aprovechar mediante solicitudes HTTP diseñadas de forma malintencionada para obtener información, modificar la configuración de un sistema vulnerable y recargar el dispositivo.

Se recomienda a los administradores migrar o actualizar sus dispositivos Cisco ISE a una de las versiones corregidas que se enumeran en la siguiente tabla lo antes posible.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco aún no ha descubierto evidencia de código de explotación disponible públicamente o de que las dos fallas de seguridad críticas (reportadas por los investigadores de seguridad de Deloitte Dan Marin y Sebastian Radulea) hayan sido utilizadas de forma abusiva en ataques.

El miércoles, la compañía también advirtió sobre vulnerabilidades de alta gravedad que afectan a su software IOS, IOS XE, IOS XR (CVE-2025-20169, CVE-2025-20170, CVE-2025-20171) y NX-OS (CVE-2024-20397) que pueden permitir a los atacantes activar condiciones de denegación de servicio (DoS) o eludir la verificación de la firma de la imagen de NX-OS.

Cisco aún no ha parcheado las vulnerabilidades DoS que afectan al software IOS, IOS XE e IOS XR con la función SNMP habilitada. Sin embargo, afirmó que no se explotan en la naturaleza y proporcionó medidas de mitigación que requieren que los administradores deshabiliten los identificadores de objetos vulnerables (OID) en los dispositivos vulnerables (aunque esto podría afectar negativamente la funcionalidad o el rendimiento de la red).

La empresa planea implementar actualizaciones de software para abordar los errores de seguridad de DoS de SNMP en febrero y marzo.

En septiembre, Cisco solucionó otra vulnerabilidad de Identity Services Engine (con código de explotación público) que permite a los actores de amenazas escalar privilegios para rootear los dispositivos vulnerables.

Dos meses después, también corrigió una vulnerabilidad de máxima gravedad que permite a los atacantes ejecutar comandos con privilegios de root en puntos de acceso de backhaul inalámbrico ultra confiable (URWB) vulnerables.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#26
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft advierte que los atacantes están implementando malware en ataques de inyección de código de ViewState utilizando claves de máquina ASP. NET estáticas que se encuentran en línea.

Como descubrieron recientemente los expertos de Microsoft Threat Intelligence, algunos desarrolladores utilizan las claves validationKey y decryptionKey de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (diseñadas para proteger ViewState de la manipulación y la divulgación de información) que se encuentran en la documentación de código y en las plataformas de repositorio en su propio software.

ViewState permite que los formularios web No tienes permitido ver enlaces. Registrate o Entra a tu cuenta controlen el estado y conserven las entradas del usuario en las recargas de página. Sin embargo, si los atacantes obtienen la clave de máquina diseñada para protegerlo de la manipulación y la divulgación de información, pueden usarla en ataques de inyección de código para crear cargas útiles maliciosas adjuntando un código de autenticación de mensajes (MAC) diseñado.

Sin embargo, los actores de amenazas también utilizan claves de máquina de fuentes disponibles públicamente en ataques de inyección de código para crear ViewStates maliciosos (utilizados por los formularios web No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para controlar el estado y preservar las páginas) adjuntando un código de autenticación de mensajes (MAC) diseñado.

Al cargar los ViewStates enviados a través de solicitudes POST, el entorno de ejecución de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta en el servidor de destino descifra y valida los datos de ViewState creados maliciosamente por los atacantes porque usa las claves correctas, los carga en la memoria del proceso de trabajo y los ejecuta.

Esto les otorga ejecución de código remoto (RCE) en los servidores web IIS de destino, lo que les permite implementar cargas útiles maliciosas adicionales.

En un caso, observado en diciembre de 2024, un atacante no atribuido usó una clave de máquina conocida públicamente para entregar el marco de postexplotación Godzilla, que cuenta con capacidades de ejecución de comandos maliciosos e inyección de código shell, a un servidor web de Internet Information Services (IIS) de destino.

Cadena de ataques de inyección de código de ViewState (Microsoft)


"Desde entonces, Microsoft ha identificado más de 3.000 claves divulgadas públicamente que podrían utilizarse para este tipo de ataques, denominados ataques de inyección de código ViewState", afirmó la empresa el jueves.

"Mientras que muchos ataques de inyección de código ViewState conocidos anteriormente utilizaban claves comprometidas o robadas que suelen venderse en foros de la dark web, estas claves divulgadas públicamente podrían suponer un mayor riesgo porque están disponibles en varios repositorios de código y podrían haberse introducido en el código de desarrollo sin modificación".

Para bloquear estos ataques, Microsoft recomienda a los desarrolladores que generen claves de máquina de forma segura, que no utilicen claves predeterminadas o claves que se encuentren en línea, que encripten los elementos machineKey y connectionStrings para bloquear el acceso a secretos de texto sin formato, que actualicen las aplicaciones para que utilicen No tienes permitido ver enlaces. Registrate o Entra a tu cuenta 4.8 para habilitar las capacidades de la interfaz de análisis antimalware (AMSI) y que fortalezcan los servidores Windows mediante el uso de reglas de reducción de la superficie de ataque, como la creación de un bloque de Webshell para servidores.

Microsoft también compartió pasos detallados para eliminar o reemplazar claves No tienes permitido ver enlaces. Registrate o Entra a tu cuenta en el archivo de configuración web.config usando PowerShell o la consola del administrador de IIS y eliminó muestras de claves de su documentación pública para desalentar aún más esta práctica insegura.

"Si se ha producido una explotación exitosa de claves divulgadas públicamente, las claves rotativas de la máquina no abordarán de manera suficiente las posibles puertas traseras o métodos de persistencia establecidos por un actor de amenazas u otra actividad posterior a la explotación, y puede justificarse una investigación adicional", advirtió Redmond.

"En particular, los servidores que dan a la web deben investigarse a fondo y considerarse seriamente la posibilidad de volver a formatear y reinstalar en un medio fuera de línea en los casos en que se hayan identificado claves divulgadas públicamente, ya que estos servidores son los que corren mayor riesgo de posible explotación".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#27


La actualización opcional del 28 de enero de Windows 11 ha solucionado un problema de larga data en Windows 11 24H2 que impide que los usuarios que no son administradores cambien su zona horaria en la configuración de fecha y hora.

Windows 11 24H2 tiene un error que impide que los usuarios normales accedan a la página de fecha y hora de la configuración.

El problema fue confirmado por primera vez por Microsoft en noviembre de 2024, y Microsoft finalmente lo ha corregido para todos con KB5050094.

Este error solo afectó a los usuarios que no eran administradores y a la vista de fecha y hora en la configuración, por lo que aquellos con permisos de administrador aún podían usar la función.

Cómo solucionar el error de fecha y hora en Windows 11 sin instalar la actualización

Si no desea instalar KB5050094, que es una actualización opcional, existe una solución alternativa para cambiar la fecha y hora mediante el Panel de control.

Para cambiar la fecha y hora en Windows 11 24H2 con una cuenta que no sea de administrador, puedes abrir el menú Inicio y buscar el Panel de control.

Puede usar la barra de búsqueda en la ventana del Panel de control para buscar "cambiar la zona horaria" y seleccionar el resultado principal.

En la ventana Fecha y hora, haz clic en el botón "Cambiar zona horaria..." para actualizar su configuración.

También puede usar Windows Run, escribir timedate.cpl y presionar Enter para abrir la ventana Fecha y hora.

Microsoft está implementando la solución para el error de configuración de fecha y hora con la actualización opcional, pero todos la recibirán el 11 de febrero cuando la compañía envíe las actualizaciones del martes de parches de febrero de 2025.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#28
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un intento de bloquear una URL de phishing en la plataforma de almacenamiento de objetos R2 de Cloudflare fracasó ayer, lo que desencadenó una interrupción generalizada que dejó fuera de servicio varios servicios durante casi una hora.

Cloudflare R2 es un servicio de almacenamiento de objetos similar a Amazon S3, diseñado para un almacenamiento de datos escalable, duradero y de bajo costo. Ofrece recuperaciones de datos sin costo, compatibilidad con S3, replicación de datos en múltiples ubicaciones e integración con el servicio Cloudflare.

La interrupción se produjo ayer cuando un empleado respondió a un informe de abuso sobre una URL de phishing en la plataforma R2 de Cloudflare. Sin embargo, en lugar de bloquear el punto de conexión específico, el empleado desactivó por error todo el servicio R2 Gateway.

"Durante una remediación de abuso de rutina, se tomaron medidas sobre una queja que inadvertidamente deshabilitó el servicio R2 Gateway en lugar del punto de conexión/depósito específico asociado con el informe", explicó Cloudflare en su informe posterior.

"Se trató de un fallo de varios controles a nivel de sistema (en primer lugar) y de la capacitación de los operadores".

El incidente duró 59 minutos, entre las 08:10 y las 09:09 UTC, y además del propio almacenamiento de objetos R2, también afectó a servicios como:

Stream: 100 % de fallas en las cargas de video y la entrega de streaming.

Images: 100 % de fallas en las cargas/descargas de imágenes.

Cache Reserve: 100 % de fallas en las operaciones, lo que provoca un aumento en las solicitudes de origen.

Vectorize: 75 % de fallas en las consultas, 100 % de fallas en las operaciones de inserción, actualización y eliminación.

Log Delivery: demoras y pérdida de datos: hasta un 13,6 % de pérdida de datos para los registros relacionados con R2, hasta un 4,5 % de pérdida de datos para los trabajos de entrega que no son de R2.

Key Transparency Auditor: 100 % de fallas en las operaciones de lectura y publicación de firmas.

También hubo servicios afectados indirectamente que experimentaron fallas parciales, como Durable Objects, que tuvo un aumento de tasa de error del 0,09 % debido a reconexiones después de la recuperación, Cache Purge, que experimentó un aumento del 1,8 % en errores (HTTP 5xx) y un pico de latencia de 10x, y Workers & Pages, que tuvo un 0,002 % de fallas de implementación, lo que afectó solo a proyectos con enlaces R2.

Diagrama de disponibilidad del servicio


Cloudflare señala que tanto el error humano como la ausencia de salvaguardas, como controles de validación para acciones de alto impacto, fueron clave para este incidente.

El gigante de Internet ahora ha implementado soluciones inmediatas, como eliminar la capacidad de apagar sistemas en la interfaz de revisión de abusos y restricciones en la API de administración para evitar la desactivación del servicio en cuentas internas.

Entre las medidas adicionales que se implementarán en el futuro se incluyen un mejor aprovisionamiento de cuentas, un control de acceso más estricto y un proceso de aprobación de dos partes para acciones de alto riesgo.

En noviembre de 2024, Cloudflare experimentó otra interrupción notable durante 3,5 horas, lo que resultó en la pérdida irreversible del 55 % de todos los registros del servicio.

Ese incidente fue causado por fallas en cascada en los sistemas de mitigación automática de Cloudflare que se activaron al enviar una configuración incorrecta a un componente clave en el flujo de registro de la empresa.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#29
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según se informa, el gobierno del Reino Unido ha ordenado a Apple que cree una puerta trasera que daría a los funcionarios de seguridad acceso a las copias de seguridad cifradas de iCloud de los usuarios. Si se implementa, los servicios de seguridad británicos tendrían acceso a las copias de seguridad de cualquier usuario en todo el mundo, no solo de los británicos, y Apple no podría alertar a los usuarios de que su cifrado se ha visto comprometido.

El Washington Post informa de que la orden secreta, emitida el mes pasado, se basa en los derechos otorgados en virtud de la Ley de poderes de investigación del Reino Unido de 2016, también conocida como la Carta de los fisgones. Al parecer, los funcionarios han exigido un acceso generalizado a los archivos cifrados de extremo a extremo cargados por cualquier usuario en todo el mundo, en lugar de acceso a una cuenta específica.

Las copias de seguridad de iCloud de Apple no están cifradas de forma predeterminada, pero la opción de Protección avanzada de datos se añadió en 2022 y debe habilitarse manualmente. Utiliza el cifrado de extremo a extremo para que ni siquiera Apple pueda acceder a los archivos cifrados. En respuesta a la orden, se espera que Apple simplemente deje de ofrecer Protección avanzada de datos en el Reino Unido. Sin embargo, esto no satisfaría la demanda del Reino Unido de acceso a archivos compartidos por usuarios globales.

Apple tiene derecho a apelar la notificación basándose en el coste de su implementación y en si la exigencia es proporcional a los requisitos de seguridad, pero cualquier apelación no puede retrasar la implementación de la orden original.

Según se informa, el Reino Unido ha entregado a Apple un documento llamado notificación de capacidad técnica. Es un delito penal incluso revelar que el gobierno ha hecho una demanda. De manera similar, si Apple accediera a las demandas del Reino Unido, aparentemente no se le permitiría advertir a los usuarios de que su servicio encriptado ya no es completamente seguro.

"No hay ninguna razón por la que el Reino Unido [el gobierno] deba tener la autoridad para decidir por los ciudadanos del mundo si pueden aprovechar los beneficios de seguridad demostrados que se derivan del cifrado de extremo a extremo", dijo Apple al parlamento británico en marzo de 2024 en medio de un debate sobre una enmienda a la Ley de Poderes de Investigación. Anteriormente se ha opuesto a otros intentos del Reino Unido de legislar puertas traseras a las comunicaciones encriptadas.

Los servicios de seguridad y los legisladores del Reino Unido se han opuesto constantemente a los servicios de cifrado de extremo a extremo, argumentando que la tecnología facilita que los terroristas y los abusadores de menores se escondan de las fuerzas del orden. "No se puede permitir que el cifrado de extremo a extremo obstaculice los esfuerzos para atrapar a los autores de los delitos más graves", dijo un portavoz del gobierno del Reino Unido a The Guardian en 2022 después de que Apple introdujera por primera vez el cifrado de extremo a extremo.

Las agencias estadounidenses, incluido el FBI, han expresado temores similares en el pasado, pero más recientemente han comenzado a recomendar el cifrado como una forma de contrarrestar a los piratas informáticos vinculados a China. En diciembre de 2024, la NSA y el FBI se unieron a los centros de seguridad cibernética de Canadá, Australia y Nueva Zelanda para recomendar que el tráfico web se "cifre de extremo a extremo en la mayor medida posible", en las nuevas mejores prácticas de seguridad. Los servicios de seguridad del Reino Unido no se unieron a ellos.

Si Apple otorga al gobierno del Reino Unido acceso a los datos cifrados, es probable que otros países, incluidos Estados Unidos y China, vean la oportunidad de exigir el mismo derecho. Apple tendrá que decidir si cumple o elimina su servicio de cifrado por completo. Es casi seguro que otras empresas tecnológicas se enfrentarán a solicitudes similares a continuación.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ofrece copias de seguridad cifradas de Android de forma predeterminada desde 2018, y Meta también ofrece copias de seguridad cifradas para los usuarios de WhatsApp. Los portavoces de ambas empresas se negaron a hacer comentarios a The Washington Post sobre si habían recibido solicitudes gubernamentales para instalar puertas traseras. Ed Fernández, de Google, reiteró que la empresa "no puede acceder a los datos de copia de seguridad cifrados de extremo a extremo de Android, ni siquiera con una orden judicial", mientras que Meta señaló una declaración anterior de que no se implementarían puertas traseras.

Fuente:
The Verge
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#30
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un actor de amenazas ruso ha puesto a la venta las supuestas credenciales de acceso a 20 millones de cuentas de OpenAI ChatGPT en el mercado de hackers BreachForums.

La startup de inteligencia artificial y Malwarebytes Labs revelaron el robo en una publicación de blog el viernes, solo un día después de que un usuario de Breached que se hace llamar "emirking" publicara muestras de las supuestas credenciales robadas el jueves por la mañana.

La publicación de Emirking, escrita completamente en ruso, fue traducida al inglés por el equipo de Malwarebytes.

"Cuando me di cuenta de que OpenAI podría tener que verificar cuentas en masa, comprendí que mi contraseña no permanecería oculta. Tengo más de 20 millones de códigos de acceso a cuentas de OpenAI. Si quieres, puedes contactarme; esto es un tesoro", afirmó el usuario de BreachFoums.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Emirking parece ser nuevo en el foro de hackers, con una fecha de ingreso de enero de 2025 y mostrando solo una publicación más.

Aun así, los investigadores dicen que 'emirking' también podría ser un usuario veterano que usa un nuevo perfil para permanecer anónimo, posiblemente incluso intentando evitar a las fuerzas del orden, que son conocidas por acechar en el sitio y otros foros con la esperanza de atrapar a los cibercriminales.

Malwarebytes, que dijo que todavía estaba verificando la afirmación en el momento de este informe, explica que la publicación en sí "sugiere que el cibercriminal encontró códigos de acceso que podrían usarse para eludir los sistemas de autenticación de la plataforma".

Sobre cómo se podrían haber comprometido las credenciales, los investigadores de amenazas señalaron que era poco probable que una cantidad tan grande de credenciales de inicio de sesión "pudiera ser recolectada en operaciones de phishing contra los usuarios".

En cambio, los investigadores creen que el malhechor puede haber descubierto una forma de "comprometer el subdominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta" a través de la explotación de vulnerabilidades o consiguiendo credenciales de administrador.

De cualquier manera, el blog de Malwarebytes advierte a los usuarios que si la filtración es legítima, cualquier cibercriminal en posesión de los datos robados podría tener acceso a las consultas y conversaciones de ChatGPT de un usuario.

Además, esa información personal confidencial podría usarse para atacar a un usuario con ataques de ingeniería social, como phishing selectivo y fraude financiero, advirtió.

Para mantenerse protegidos, Malwarebytes dijo que los titulares de cuentas OpenAI deben inmediatamente:

Cambiar su contraseña.

Habilitar la autenticación multifactor (MFA).

Monitorear su cuenta para detectar cualquier actividad inusual o uso no autorizado.

Tener cuidado con los intentos de phishing que utilizan información intercambiada con ChatGPT.

Los investigadores también mencionaron que la supuesta información de inicio de sesión podría usarse para otros actos maliciosos, incluido "el abuso de la API de OpenAI para hacer que las víctimas paguen por las funciones 'Plus' o 'Pro' del chatbot".

Malwarebytes Labs también señaló que otros usuarios de Breached afirmaron que las credenciales filtradas no brindan acceso directo a ninguna de las conversaciones de ChatGPT de los titulares de las cuentas.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#31
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

ChatGPT se está volviendo más accesible. Su función ChatGPT Search ahora está disponible sin tener que iniciar sesión en el popular chatbot. La empresa matriz OpenAI también ha confirmado que ChatGPT Search será de uso gratuito; la función funciona de manera similar a un motor de búsqueda.

Al acceder a la dirección web del servicio, ChatGPT, verá ChatGPT Search en primer plano, con un mensaje que dice "¿En qué puedo ayudarlo?". Puede ingresar inmediatamente su consulta en el cuadro de texto. En la parte inferior del cuadro de texto hay opciones que dicen "Buscar" y "Motivo". La opción Buscar es la opción que le permite usar la página sin iniciar sesión. Al seleccionar la opción Motivo, se le solicitará que inicie sesión o se registre para acceder a ChatGPT.

Las opciones de inicio de sesión y registro se han movido a los lados izquierdo y derecho de la página web. Cabe destacar que ChatGPT Search ofrece información adicional y más reciente, sobre cómo funciona normalmente ChatGPT, como resultados deportivos actualizados, noticias, cotizaciones de acciones y más. CNET señaló que, como la mayoría de las herramientas de inteligencia artificial, la opción de búsqueda aún es susceptible a alucinaciones o a proporcionar información falsa. Los usuarios deben optar por verificar los hechos con los enlaces proporcionados.

ChatGPT Search está disponible desde octubre de 2024 y ha sido una competencia directa de las funciones Gemini de Google, mientras la marca desarrolla sus propios servicios de inteligencia artificial. Actualmente, Google está probando internamente una función llamada AI Mode que brindaría una experiencia más contextual a su motor de búsqueda de Google. Otra competencia ha sido Anthropic, así como la marca china de inteligencia artificial DeepSeek.

El director ejecutivo de OpenAI, Sam Altman, retuiteó el anuncio de la publicación de ChatGPT Search y añadió: "Hagamos que la búsqueda vuelva a ser genial".

Esta no es la única característica de OpenAI que está haciendo más omnipresente. Microsoft ahora ofrece el modelo o1 de OpenAI de forma gratuita a través de un nuevo botón llamado "Think Deeper" como parte de su chat Copilot. Los últimos modelos de razonamiento de OpenAI suelen ser exclusivos de sus planes de suscripción de pago y su acceso puede costar hasta 200 dólares. Sin embargo, aquellos que tengan una cuenta de Microsoft pueden acceder a la función impulsada por el modelo o1 de forma gratuita.

OpenAI también ha anunciado recientemente otras herramientas, entre ellas un agente de IA llamado Operator y el minimodelo de razonamiento o3.

Fuente:
DigitalTrends
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#32
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El año pasado se violaron más de cinco mil millones de cuentas, un aumento "asombroso" con respecto a los 730 millones de 2023, según los investigadores de la empresa de ciberseguridad Surfshark. Esto significa que casi 180 cuentas se vieron comprometidas cada segundo, dijeron.

El aumento se puede atribuir en parte a una única filtración de datos en 2024, que implicó una recopilación de más de tres mil millones de direcciones de correo electrónico únicas rastreadas hasta un foro clandestino sobre delitos en septiembre.

Si bien la filtración recopiló datos de filtraciones anteriores, se eliminaron los duplicados, según Surfshark.

Los investigadores de la empresa descubrieron que aproximadamente 790 millones de las cuentas violadas eran rusas, 310 millones eran estadounidenses, 160 millones eran chinas, 110 millones eran alemanas y 100 millones eran francesas, entre otras.

"Esta filtración masiva de correo electrónico proporciona a los ciberdelincuentes y estafadores de phishing una amplia gama de objetivos potenciales. Sin embargo, el hacker detrás de la filtración afirmó que ninguno de estos correos electrónicos se obtuvo a través de filtraciones privadas: toda esta información ya estaba disponible públicamente", dijo Surfshark.

Otra importante filtración, descubierta en febrero de 2024, afectó a más de 120 millones de personas y se originó en DemandScience, una empresa de generación de demanda B2B. La empresa recopila datos que incluyen nombres completos, direcciones físicas, direcciones de correo electrónico, números de teléfono, cargos laborales y enlaces a redes sociales.

"Esta información es esencial para que los anunciantes y los especialistas en marketing digital creen perfiles detallados de los consumidores que impulsen la generación de clientes potenciales y estrategias de marketing específicas", dijo Surfshark.

La gran mayoría (33 millones) de las cuentas comprometidas en esta brecha eran estadounidenses, seguidas de 2,4 millones de británicas, 1,4 millones de canadienses y 1,2 millones de australianas, entre otras.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Puntos críticos de violación de datos

De todas las cuentas violadas el año pasado, el 46 % se concentraron en solo tres países: China, Rusia y Estados Unidos. China ascendió a la cima de la clasificación en 2024 desde la 12.ª posición que ocupaba un año antes.

"En 2023, Estados Unidos y Rusia dominaron el panorama de la violación de datos, al representar casi el 80 % de todas las cuentas violadas. Sin embargo, en 2024, China también emergió como un actor clave en las violaciones de datos globales", afirmó Surfshark.

China y Rusia representaron cada una aproximadamente el 17 % de todas las cuentas violadas, mientras que Estados Unidos contribuyó con el 12 % del total global. Casi 1.800 cuentas fueron violadas cada minuto en China, seguidas de cerca por Rusia con más de 1.700 por minuto. Las cuentas vinculadas a Estados Unidos experimentaron 1.300 violaciones por minuto.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sin embargo, cuando se trata de la densidad de violaciones de datos (que podría indicar que los residentes enfrentan un mayor riesgo de sufrir una violación de datos), Europa encabezó la lista. Mientras que Rusia encabezó la lista con casi 6.400 cuentas vulneradas por cada 1.000 personas, Francia fue segunda con 2.300, por delante de Estados Unidos con más de 2.000.

De 15 países con más de un millón de personas donde las personas enfrentaron un promedio de más de una cuenta vulnerada por persona, el 70% estaban en Europa, descubrió Surfshark. La nación centroeuropea de Czechia, con una población de 11 millones, ocupó el cuarto lugar a nivel mundial, seguida de Australia, Alemania, Letonia y los Países Bajos.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#33
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un actor de amenazas en BreachForums publicó el martes lo que parece ser una muestra filtrada de un supuesto conjunto de datos de más de 160.000 registros robados del famoso Trump Hotels[.]com.

La supuesta muestra fue publicada en el foro de hackers alrededor de las 4:00 am, hora del Este, por un usuario bastante desconocido, activo únicamente en Breached desde agosto pasado, y que se hace llamar FutureSeeker.

Parece que el hacker expuso detalles del sistema de notificación por correo electrónico de TrumpHotels, "específicamente, el servicio responsable de recordar y/o verificar los detalles de las reservas para los huéspedes", dijo el repositorio de malware vx-underground, que publicó sobre la supuesta filtración en X.

La publicación sobre la filtración de la base de datos titulada "trumphotels.com - lista de invitaciones" afirma haber exfiltrado un total de 164.910 registros de los servidores del sitio.

"Hola comunidad de BreachForums, hoy he subido las invitaciones de Trump Hotel para que las descarguen, ¡gracias por leer y disfrutar!" Future Seeker publicó con la muestra.

Aunque Cybernews no ha examinado el conjunto completo de registros, la muestra de BreachForums muestra nombres completos, direcciones de correo electrónico, fechas de creación y otros datos de muestreo y fechas de comunicaciones.

Según vx-underground, lo más probable es que Future Seeker esté intentando hacerse un nombre en el mercado.

"Basándonos en la revisión de los datos, no creemos que este ataque tenga motivaciones políticas o financieras. Más bien, debido a la reciente investidura del presidente de los Estados Unidos, percibimos este ataque como una forma de que el o los actores de amenazas verifiquen su legitimidad como grupo y/o actor de amenazas", decía en la publicación.

Los recolectores de malware, que también parecen haber visto todo el conjunto de datos en el servicio anónimo de intercambio de archivos BiteBlob, señalaron que la información robada "abarca desde el 18 de enero de 2018 hasta el 15 de enero de 2025".

Vx-underground también dijo que los datos aparentemente no incluyen ninguna información de identificación personal (PII) de los "huéspedes presentes en el hotel o los hoteles operados por la Organización Trump", como fechas de reserva, llegadas, salidas, información financiera, etc.

En el período previo a las elecciones presidenciales estadounidenses de noviembre de 2024, Trump (y su equipo de campaña) habían sido el blanco de varios grupos de piratas informáticos pertenecientes a estados nacionales.

Las agencias de inteligencia estadounidenses confirmaron que Irán había orquestado un ciberataque contra la campaña de Trump en agosto de ese año, intentando pasar la información al equipo de Biden/Harris, que al parecer no respondió.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#34
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google dice que su modelo mejorado de inteligencia artificial Gemini 2.0 Flash ya está disponible para todos. La API de los mejores modelos de Google tiene un precio más bajo que DeepSeek-R1, el chatbot chino que revolucionó Silicon Valley.

El nuevo Gemini 2.0 Flash se presentó por primera vez en diciembre de 2024. Ahora, este modelo se ha actualizado con una función de "pensamiento" y está disponible para todos. Los usuarios pueden interactuar con él a través de la aplicación Gemini o la API en Google AI Studio y Vertex AI.

"También estamos lanzando una versión experimental de Gemini 2.0 Pro, nuestro mejor modelo hasta ahora para el rendimiento de codificación y las indicaciones complejas", anunció Google.

La versión Pro está disponible para suscriptores (usuarios avanzados de Gemini) y en Google AI Studio y Vertex AI.

Los chatbots de Google obtienen una puntuación alta en varios puntos de referencia. Sin embargo, su rendimiento parece inferior a las autoestimaciones de DeepSeek. La startup china lanzó el modelo R1 de código abierto hace unas semanas.

Por ejemplo, Gemini 2.0 Flash obtiene un 77,6 % en la prueba MMLU-Pro, que evalúa el conocimiento en múltiples materias. DeepSeek-R1 cuenta con un 84 % de puntuación.

En GPQA Diamond, un conjunto de datos muy desafiante con preguntas de biología, física y química, Gemini 2.0 Flash obtiene un 60 %, la versión Pro alcanza casi el 65 %, mientras que DeepSeek-R1 logró el 71,5 %.

Sin embargo, Google no proporciona resultados de referencia para las variantes "pensantes" de sus modelos, que ya están disponibles y pueden tener un mejor rendimiento. En Chatbot Arena, 2.0 Flash Thinking Experimental está clasificado actualmente como el mejor del mundo.

Google dice que su Germini 2.0 Pro "tiene el rendimiento de codificación más sólido y la capacidad de manejar indicaciones complejas, con una mejor comprensión y razonamiento del conocimiento del mundo, que cualquier modelo que hayamos lanzado hasta ahora". Según BigCodeBench, hasta que haya más pruebas disponibles, el R1 parece tener un mejor rendimiento en la codificación.

Gemini supera al R1 y a la mayoría de los otros modelos con una gigantesca ventana de contexto de dos millones de tokens para la versión Pro Experimental y un millón para los otros modelos Flash. La gran ventana de contexto permite "analizar y comprender de forma exhaustiva grandes cantidades de información, así como la capacidad de llamar a herramientas como Google Search y la ejecución de código".

Google ahora también ofrece mejores precios para la API Flash de Gemini 2.0 para desarrolladores. Su precio es de $0,10 por un millón de tokens de entrada (DeepSeek-R1: $0,14-$0,55/1 millón de tokens de entrada) y $0,4 por un millón de tokens de salida (DeepSeek-R1: $2,19/1 millón de tokens de salida). Google no ha indicado el precio del modelo Pro. Los modelos de Google también admiten entradas de imagen y audio.

Google también presentó una alternativa más rentable: el modelo Gemini 2.0 Flash-lite, que supera al Flash 1.5 anterior. Este modelo cuesta 0,075 y 0,3 dólares por millón de tokens de entrada y salida, respectivamente.

"Al igual que Flash 2.0, tiene una ventana de contexto de un millón de tokens y una entrada multimodal. Por ejemplo, puede generar un título relevante de una línea para alrededor de 40.000 fotos únicas, lo que cuesta menos de un dólar en el nivel de pago de Google AI Studio", dijo Google.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


#35
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Reddit, una popular red comunitaria, prohibió el miércoles más de 90 subreddits NSFW (no aptos para el trabajo).

Los usuarios siguen buscando respuestas sobre lo que sucedió con la plataforma de redes sociales.

El motivo de la prohibición fue que estos subreddits no habían sido moderados.

Sin embargo, esto resultó no ser del todo cierto, ya que los usuarios de la plataforma demostraron que muchos de los subreddits prohibidos sí lo están.

Poco después, la mayoría de los subreddits afectados fueron recuperados.

Más tarde se anunció en r/ModSupport que el "problema se había solucionado" y que la situación se produjo debido a un error "con una de [...] herramientas que provocó que algunos subreddits se prohibieran incorrectamente".

La publicación también afirmó que el equipo ha estado trabajando para solucionar el problema y que algunas comunidades ya han sido desbaneadas.

Entre los subreddits prohibidos había comunidades con varios millones de miembros. Por ejemplo, r/porn, r/rule34 con casi cuatro millones de redditors y r/NSFW_gifs con más de dos millones de miembros. La plataforma también prohibió los subreddits que publican contenido similar al NSFW, como r/cubancigars y r/transgender_surgeries.

Esta no es la primera vez que se prohíben subreddits NSFW, la última vez ocurrió hace cinco meses.

"Esto ya pasó dos veces. Los bots no deberían estar a cargo de prohibir subs", escribió uno de los usuarios.

Más personas participaron en la discusión sobre cómo pudo haber sucedido esto y por qué Reddit no había aprendido la lección durante la primera prohibición.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"El hecho de que sea la segunda vez en seis meses que esto sucede es muy inquietante. Cuando sucedió la primera vez, se deberían haber escrito scripts de prueba para probar este mismo escenario y cualquier otro escenario posible que se pudiera pensar para que no vuelva a suceder. [...] Hazlo mejor, Reddit", concluyó un usuario de Reddit.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#36
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un grupo de piratas informáticos no identificados ha violado las bases de datos de los talibanes, filtrando documentos de 21 ministerios y agencias gubernamentales, algunos de los cuales parecen estar clasificados, según informes que circulan en línea.

Los archivos filtrados incluyen documentos de los ministerios controlados por los talibanes de finanzas, justicia, asuntos exteriores, información y cultura, telecomunicaciones y minería, así como del Tribunal Supremo y el Ministerio para la Promoción de la Virtud y la Prevención del Vicio.

Los piratas informáticos han publicado cientos de estos documentos en un sitio web llamado "Talibleaks".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En una cobertura relacionada con el supuesto hackeo, también se informa:

Según los documentos, el líder talibán Haibatullah Akhundzada también ha prohibido los viajes académicos al extranjero sin su aprobación directa y ha impuesto restricciones de viaje a más de 8.000 ex empleados del gobierno, impidiéndoles salir del país.

Los documentos, publicados por el sitio web Talib Leaks, indican que, a partir de enero de 2024, alrededor de 80 ciudadanos extranjeros, incluidas seis mujeres, se encuentran detenidos en cárceles controladas por los talibanes.

Khaama Press informa hoy de la respuesta de los talibanes:

"El Ministerio ha confirmado que se han filtrado documentos de decenas de sus departamentos. El jueves, el ministerio declaró que la información inicial sugiere que estos documentos pueden haber sido obtenidos de ordenadores individuales que carecían de medidas de seguridad adecuadas."

Sin embargo, los funcionarios talibanes afirman que la base de datos del gobierno central no ha sido pirateada.

Fuente:
DataBreaches
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#37


Microsoft ha publicado un script de PowerShell para ayudar a los usuarios y administradores de Windows a actualizar los medios de arranque para que utilicen el nuevo certificado "Windows UEFI CA 2023" antes de que se apliquen las mitigaciones del kit de arranque UEFI de BlackLotus a finales de este año.

BlackLotus es un kit de arranque UEFI que puede omitir el arranque seguro y obtener el control sobre el proceso de arranque del sistema operativo. Una vez que tiene el control, BlackLotus puede deshabilitar las funciones de seguridad de Windows, como BitLocker, Hypervisor-Protected Code Integrity (HVCI) y Microsoft Defender Antivirus, lo que le permite implementar malware en el nivel de privilegio más alto sin ser detectado.

En marzo de 2023 y luego en julio de 2024, Microsoft publicó actualizaciones de seguridad para una omisión del arranque seguro identificada como CVE-2023-24932 que revoca los administradores de arranque vulnerables utilizados por BlackLotus.

Sin embargo, esta solución está deshabilitada de forma predeterminada, ya que la aplicación incorrecta de la actualización o los conflictos en los dispositivos podrían hacer que el sistema operativo ya no se cargue. En cambio, la implementación de la corrección en etapas permite a los administradores de Windows probarla antes de que se implemente en algún momento antes de 2026.

Cuando se habilita, la actualización de seguridad agregará el certificado "Windows UEFI CA 2023" a la "Base de datos de firmas de arranque seguro" de UEFI. Luego, los administradores pueden instalar administradores de arranque más nuevos que estén firmados con este certificado.

Este proceso también incluye la actualización de la Base de datos de firmas prohibidas de arranque seguro (DBX) para agregar el certificado "Windows Production CA 2011". Este certificado se usa para firmar administradores de arranque más antiguos y vulnerables y, una vez revocado, hará que esos administradores de arranque dejen de ser confiables y no se carguen.

Sin embargo, si aplica las mitigaciones y tiene un problema al iniciar sus dispositivos, primero debe actualizar su medio de arranque para usar el certificado Windows UEFI CA 2023 para solucionar problemas de instalación de Windows.

"Si encuentra un problema con el dispositivo después de aplicar las mitigaciones y el dispositivo deja de arrancar, es posible que no pueda iniciar o recuperar su dispositivo desde un medio existente", explica Microsoft en un boletín de soporte sobre la implementación por etapas de correcciones para CVE-2023-24932.

"Será necesario actualizar los medios de recuperación o instalación para que funcionen con un dispositivo que tenga las mitigaciones aplicadas".

Ayer, Microsoft lanzó un script de PowerShell que le ayuda a actualizar los medios de arranque para que utilicen el certificado Windows UEFI CA 2023.

"El script de PowerShell descrito en este artículo se puede utilizar para actualizar los medios de arranque de Windows de modo que se puedan utilizar en sistemas que confíen en el certificado Windows UEFI CA 2023", explica un nuevo boletín de soporte sobre el script.

El script de PowerShell se puede descargar desde Microsoft y se puede utilizar para actualizar los archivos de medios de arranque para archivos de imagen ISO de CD/DVD, una unidad flash USB, una ruta de unidad local o una ruta de unidad de red.

Descarga directa:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para utilizar la utilidad, primero debe descargar e instalar Windows ADK, que es necesario para que este script funcione correctamente:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cuando se ejecuta, el script actualizará los archivos de medios para utilizar el certificado Windows UEFI CA 2023 e instalará los administradores de arranque firmados por este certificado.

Se recomienda encarecidamente que los administradores de Windows prueben este proceso antes de llegar a la etapa de aplicación de las actualizaciones de seguridad. Microsoft dice que esto sucederá a fines de 2026 y dará un aviso seis meses antes de que comience.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#38
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una imagen increíble, enterrada en lo más profundo de un informe militar anual publicado el mes pasado, muestra a la Marina de los EE. UU. probando un arma láser de alta potencia contra un objetivo de drones desde uno de sus buques de guerra.

La foto del arma láser en acción se publicó en enero como parte de un informe de 2024 publicado por la Oficina del Director de Pruebas y Evaluación Operativas, que asesora al Departamento de Defensa sobre sistemas de armas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La imagen sin fecha muestra a la Marina de los EE. UU. probando un sistema de armas conocido como HELIOS desde el destructor USS Preble en medio del océano. La demostración fue para "verificar y validar la funcionalidad, el rendimiento y la capacidad" del arma láser contra un objetivo aéreo no tripulado, según el informe.

El Centro de Contramedidas de los EE. UU. fue responsable de recopilar imágenes de la prueba.

El informe no proporcionó detalles específicos sobre la prueba y no especificó dónde estaba estacionado el buque de guerra en el momento de la prueba ni cuándo se disparó el arma láser.

¿Qué es el arma HELIOS?

El sistema de armas de láser de alta energía y deslumbramiento óptico integrado y vigilancia (HELIOS) es un sistema de armas desarrollado por Lockheed Martin capaz de atacar objetivos a la velocidad de la luz.

El sistema puede destruir drones, embarcaciones y misiles fundiéndolos o sobrecalentándolos. El arma no solo puede utilizar un láser de alta energía para destruir objetivos, sino que también está diseñada para interrumpir los esfuerzos de recopilación de inteligencia y los sensores de reconocimiento de los adversarios.

Según Naval News, que fue el primero en informar sobre la prueba, la Armada planea seguir probando el HELIO en 2025 desde el Preble. Según el informe anual, el Departamento de Defensa también necesitaría nuevos campos de prueba y entrenamiento especializados para seguir probando el HELIOS.

Reino Unido también probó armas láser

El Reino Unido también ha estado desarrollando su propio sistema de defensa basado en láser.

El año pasado, el Reino Unido probó con éxito su propia arma láser de alta potencia, DragonFire, contra objetivos aéreos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El alcance de DragonFire es secreto, pero el Ministerio de Defensa del Reino Unido dijo en un comunicado de prensa en enero de 2024 que el arma de línea de visión puede atacar cualquier objetivo visible con una precisión equivalente a golpear una moneda a un kilómetro de distancia.

"Este tipo de armamento de última generación tiene el potencial de revolucionar el campo de batalla al reducir la dependencia de municiones costosas, al tiempo que reduce el riesgo de daños colaterales", dijo el Secretario de Defensa del Reino Unido, Grant Shapp, en una declaración en ese momento.

¿Cómo funcionan las armas basadas en láser?

En conjunto, las pruebas de Estados Unidos y el Reino Unido indican un creciente interés mundial en las armas basadas en láser, lo que representa un cambio importante en las tácticas de guerra modernas.

Las armas de energía dirigidas por láser pueden atacar objetivos a la velocidad de la luz, utilizando un haz de luz intenso para atravesarlos.

Además, los sistemas de armas son alternativas de bajo costo a las armas tradicionales. Disparar un arma de este tipo durante 10 segundos equivale en costo a usar un calentador normal durante solo una hora, según el ejército del Reino Unido.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#39


La CISA ha ordenado a las agencias federales que aseguren sus sistemas en un plazo de tres semanas contra una falla de alta gravedad del kernel de Linux que se explota activamente en ataques.

Identificada como CVE-2024-53104, la falla de seguridad se introdujo por primera vez en la versión 2.6.26 del kernel y fue parcheada por Google para los usuarios de Android el lunes.

"Hay indicios de que CVE-2024-53104 puede estar bajo explotación limitada y dirigida", advierten las actualizaciones de seguridad de Android de febrero de 2025.

Según el aviso de seguridad de Google, esta vulnerabilidad es causada por una debilidad de escritura fuera de límites en el controlador USB Video Class (UVC), que permite "la escalada física de privilegios sin necesidad de privilegios de ejecución adicionales" en dispositivos sin parches.

La incapacidad del controlador para analizar con precisión los marcos UVC_VS_UNDEFINED dentro de la función uvc_parse_format desencadena el problema, lo que lleva a errores de cálculo del tamaño del búfer de marco y posibles escrituras fuera de límites.

Si bien Google no proporcionó información adicional sobre los ataques de día cero que explotan esta vulnerabilidad, el equipo de desarrollo de GrapheneOS dice que esta vulnerabilidad del controlador periférico USB es "probablemente uno de los errores USB explotados por herramientas de extracción de datos forenses".

Según lo dispuesto por la Directiva Operativa Vinculante (BOD) 22-01 de noviembre de 2021, las agencias federales de EE. UU. deben proteger sus redes contra ataques continuos dirigidos a fallas agregadas al catálogo de vulnerabilidades explotadas conocidas de CISA.

La agencia de ciberseguridad ha dado a las agencias de la Rama Ejecutiva Civil Federal (FCEB) tres semanas para parchear sus dispositivos Linux y Android antes del 26 de febrero.

"Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal", advirtió hoy CISA.

El martes, CISA también etiquetó vulnerabilidades críticas y de alta gravedad en el software Microsoft .NET Framework y Apache OFBiz (Open For Business) como explotadas activamente en la naturaleza. Sin embargo, no proporcionó detalles sobre quién estaba detrás de los ataques.

Junto con las agencias de ciberseguridad Five Eyes en el Reino Unido, Australia, Canadá, Nueva Zelanda y los EE. UU., también compartió una guía de seguridad para dispositivos de borde de red, instando a los fabricantes a mejorar la visibilidad forense para ayudar a los defensores a detectar ataques e investigar infracciones.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#40
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido cuatro vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas, instando a las agencias federales y a las grandes organizaciones a aplicar las actualizaciones de seguridad disponibles lo antes posible.

Entre ellas se encuentran fallas que afectan a Microsoft .NET Framework y Apache OFBiz (Open For Business), dos aplicaciones de software muy utilizadas.

Aunque la agencia ha marcado esas fallas como explotadas activamente en ataques, no ha proporcionado detalles específicos sobre la actividad maliciosa, quién la está llevando a cabo y contra quién.

La primera falla, rastreada bajo CVE-2024-29059, es un error de divulgación de información de alta gravedad ( puntuación CVSS v3: 7,5 ) en .NET Framework descubierto por CODE WHITE y divulgado a Microsoft en noviembre de 2023.

Microsoft cerró el informe de divulgación en diciembre de 2023, declarando que "después de una investigación cuidadosa, determinamos que este caso no cumple con nuestro estándar para un servicio inmediato".

Sin embargo, Microsoft finalmente solucionó la falla en las actualizaciones de seguridad de enero de 2024, pero por error no emitió una CVE ni reconoció a los investigadores.

En febrero, CODE WHITE publicó detalles técnicos y una prueba de concepto de explotación para filtrar las URI de objetos internos, que se pueden usar para realizar ataques de .NET Remoting.

Microsoft finalmente publicó un aviso para esta falla bajo CVE-2024-29059 en marzo de 2024 y atribuyó el descubrimiento a los investigadores.

La falla de Apache OFBiz es CVE-2024-45195, una vulnerabilidad de ejecución remota de código de gravedad crítica ( puntuación CVSS v3: 9.8 ) que afectaba a OFBiz antes del 18.12.16.

La falla es causada por una debilidad de navegación forzada que expone rutas restringidas a ataques de solicitud directa no autenticada.

La falla fue descubierta originalmente por Rapid7, que también presentó una prueba de concepto (PoC), mientras que el proveedor la solucionó en septiembre de 2024.

Se recomienda a los usuarios que actualicen a Apache OFBiz versión 18.12.16 o posterior, que aborda el riesgo en particular.

Ahora, CISA insta a las agencias y organizaciones potencialmente afectadas a aplicar los parches y mitigaciones disponibles antes del 25 de febrero de 2025, o dejar de usar los productos.

Las otras dos fallas agregadas a KEV esta vez son CVE-2018-9276 y CVE-2018-19410, ambas afectando al software de monitoreo de red Paessler PRTG. Los problemas se solucionaron en la versión 18.2.41.1652, lanzada en junio de 2018.

La primera falla es un problema de inyección de comandos del sistema operativo y la segunda es una vulnerabilidad de inclusión de archivos locales. La fecha límite para aplicar parches a estos también se fijó para el 25 de febrero de 2025.

Lamentablemente, no hay información sobre cómo se están explotando estas fallas en los ataques.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta