Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Dragora

#21

Sophos ha lanzado actualizaciones críticas para resolver tres vulnerabilidades de seguridad detectadas en sus productos Sophos Firewall. Estas fallas podrían permitir la ejecución remota de código y el acceso privilegiado al sistema en condiciones específicas. De las tres vulnerabilidades identificadas, dos se califican como críticas y actualmente no hay evidencia de que hayan sido explotadas de manera activa.

Vulnerabilidades detectadas:

CVE-2024-12727 (CVSS: 9.8 ):

Descripción: Vulnerabilidad de inyección SQL previa a la autenticación en la función de protección de correo electrónico.

Impacto: Ejecución remota de código cuando se habilita una configuración específica de Secure PDF eXchange (SPX) junto con el firewall en modo de alta disponibilidad (HA).

CVE-2024-12728 (CVSS: 9.8 ):

Descripción: Vulnerabilidad de credenciales débiles derivada de una frase de contraseña no aleatoria sugerida para el inicio de sesión SSH durante la configuración del clúster HA. Esta frase permanece activa tras completar el proceso de configuración.

Impacto: Acceso privilegiado si SSH está habilitado.

CVE-2024-12729 (CVSS: 8.8 ):

Descripción: Inyección de código posterior a la autenticación en el portal de usuario.

Impacto: Ejecución remota de código para usuarios autenticados.

Impacto y versiones afectadas:

  • CVE-2024-12727 afecta al 0,05% de los dispositivos.
  • CVE-2024-12728 afecta al 0,5% de los dispositivos.

Las vulnerabilidades afectan a Sophos Firewall en versiones 21.0 GA (21.0.0) y anteriores. Las correcciones se han implementado en las siguientes versiones:

  • CVE-2024-12727: v21 MR1 y posteriores (revisiones disponibles para versiones v21 GA, v20 GA, v20 MR1, entre otras).
  • CVE-2024-12728: v20 MR3, v21 MR1 y posteriores (revisiones disponibles para varias versiones anteriores).
  • CVE-2024-12729: v21 MR1 y posteriores (revisiones para v21 GA, v20 GA, y otras).

Verificación de parches aplicados:

CVE-2024-12727:

Ingrese a la consola avanzada desde Sophos Firewall.

Ejecute: cat /conf/nest_hotfix_status.

Revisión aplicada si el valor es 320 o superior.

CVE-2024-12728 y CVE-2024-12729:

Inicie la consola del dispositivo.

Ejecute: system diagnostic show version-info.

Revisión aplicada si el valor es HF120424.1 o posterior.

Medidas de mitigación temporales:

Mientras se aplican los parches, Sophos recomienda:

  • Restringir el acceso SSH al enlace HA dedicado físicamente separado.
  • Configurar HA con una frase de contraseña personalizada y segura.
  • Deshabilitar el acceso SSH desde la WAN.
  • Evitar exponer el portal de usuario y el administrador web a la WAN.

Contexto adicional:

Este anuncio llega poco después de que el gobierno de EE. UU. acusara a un ciudadano chino de explotar una vulnerabilidad de día cero (CVE-2020-12271, CVSS: 9.8) en Sophos Firewall, afectando a más de 81,000 dispositivos en todo el mundo. Este incidente subraya la importancia de mantener los sistemas actualizados y protegidos contra amenazas emergentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#22

Microsoft está investigando un problema que genera mensajes de error de "Producto desactivado" en aplicaciones de Office de Microsoft 365, afectando a numerosos usuarios. Según informes en plataformas como Reddit y la comunidad oficial de Microsoft, estos errores ocurren de forma aleatoria, causando interrupciones y confusión.

Causas principales del problema

De acuerdo con un documento de soporte publicado por Microsoft, los errores se originan debido a cambios en las licencias realizados por los administradores, tales como:

  • Mover usuarios entre grupos de licencias, incluyendo Azure Active Directory y grupos de seguridad locales sincronizados.
  • Cambiar suscripciones de usuario, como pasar de una licencia de Office 365 E3 a una de Microsoft 365 E3.
  • Modificar configuraciones de licencia o del plan de servicio, incluyendo el ajuste del plan de servicio "Última versión de Aplicaciones de escritorio".
  • Añadir o eliminar usuarios de grupos de licencias.

Soluciones sugeridas

Para resolver este problema, Microsoft recomienda las siguientes acciones:

  • Hacer clic en el botón "Reactivar" en el banner de error y volver a iniciar sesión.
  • Cerrar sesión en todas las aplicaciones de Microsoft 365, reiniciarlas e iniciar sesión nuevamente.
  • Contactar a los administradores para verificar el estado de la suscripción en el portal de administración de Microsoft 365 si el problema persiste.

Soporte adicional

Microsoft sugiere a los usuarios proporcionar registros y datos de diagnóstico a los ingenieros de soporte para facilitar la solución:

  • Utilizar la Herramienta de diagnóstico de licencias de Office.
  • Enviar los registros almacenados en el directorio %temp%/diagnostics.

Problemas relacionados recientes

Este error no es el único que afecta a los usuarios de Microsoft 365 en los últimos meses:

  • Outlook clásico: En noviembre, Microsoft lanzó una solución temporal para un problema que provocaba cuelgues al copiar texto.
  • Errores en aplicaciones de Office: En septiembre, corrigieron un fallo que bloqueaba Outlook, Word, Excel y OneNote al escribir o revisar la ortografía.

Próximos pasos

Aunque Microsoft no ha anunciado una solución definitiva, su equipo de ingeniería está trabajando activamente en este problema. Los usuarios y administradores deben seguir los canales oficiales de soporte para mantenerse informados sobre actualizaciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#23

Microsoft ha implementado un nuevo bloqueo de actualización para Windows 11 versión 24H2 en dispositivos que utilizan el software de mejora de audio Dirac, debido a problemas de compatibilidad que afectan la salida de sonido.

Problemas reportados

El inconveniente está relacionado con el archivo cridspapo.dll, un componente del software de procesamiento de audio de Dirac, que genera los siguientes errores:

  • Las aplicaciones no detectan dispositivos de audio conectados.
  • Los altavoces integrados, altavoces Bluetooth y auriculares Bluetooth dejan de funcionar tras la actualización.

Según Microsoft, tanto aplicaciones propias como de terceros son incapaces de reconocer los dispositivos afectados.

Medidas tomadas por Microsoft

Para evitar que el problema impacte a más usuarios, Microsoft ha aplicado una retención de actualización en los dispositivos con el software de audio Dirac. Esta medida, identificada como 54283088 en los informes de Windows Update para empresas, impide automáticamente que los sistemas vulnerables instalen la actualización de Windows 11 24H2.

Recomendaciones para usuarios y administradores:

  • Evitar actualizar manualmente los sistemas afectados mediante el Asistente de instalación de Windows 11 o la Herramienta de creación de medios.
  • Esperar a que el fabricante Dirac publique un controlador actualizado que solucione la incompatibilidad.

Solución en progreso

Microsoft ha asegurado que, una vez Dirac libere el controlador actualizado, trabajará para distribuirlo mediante Windows Update, lo que levantará la retención de salvaguarda y permitirá a los dispositivos actualizarse sin inconvenientes.

Cómo verificar retenciones de actualización

Los usuarios de Windows Home y Pro pueden comprobar si sus dispositivos están sujetos a una retención de protección siguiendo estos pasos:

  • Ir a Configuración > Inicio > Windows Update.
  • Seleccionar "Buscar actualizaciones".
  • Si existe una retención, aparecerá el mensaje:
  • "La actualización a Windows 11 está en camino a su dispositivo. No hay nada que requiera su atención en este momento."

El mensaje incluye un enlace "Más información" que redirige a una página con detalles sobre las medidas de seguridad. También puedes consultar el documento de soporte KB5006965 para obtener más información.

Problemas adicionales con Auto HDR

El mismo día, Microsoft añadió otro bloqueo de actualización para sistemas con Auto HDR, ya que la compatibilidad con esta función está causando bloqueos en juegos.

En fin, el problema de compatibilidad con Dirac Audio y otros errores como los relacionados con Auto HDR destacan la importancia de realizar pruebas de compatibilidad exhaustivas antes de implementar actualizaciones de software. Microsoft continúa trabajando para solucionar estos problemas y garantizar una experiencia estable para los usuarios de Windows 11 24H2.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#24

Juniper Networks ha emitido una advertencia crítica sobre una campaña maliciosa que explota los routers Session Smart Router (SSR) configurados con contraseñas predeterminadas. Esta actividad maliciosa utiliza el conocido malware de botnet Mirai para comprometer sistemas y lanzar ataques de denegación de servicio distribuido (DDoS).

El aviso fue emitido después de que "varios clientes" reportaran actividad anómala en las plataformas Session Smart Network (SSN) el 11 de diciembre de 2024. Según la compañía:
"Estos sistemas han sido infectados con el malware Mirai y utilizados como fuentes de ataques DDoS. Todos los dispositivos afectados empleaban contraseñas predeterminadas."

¿Qué es el malware Mirai?

Mirai, cuyo código fuente se filtró en 2016, es un malware especializado en reclutar dispositivos vulnerables en una botnet. Busca activamente vulnerabilidades conocidas y credenciales predeterminadas para tomar el control de sistemas conectados. Este malware ha evolucionado en diversas variantes utilizadas para ejecutar ataques DDoS de alto impacto.

Recomendaciones para mitigar el riesgo

Para proteger dispositivos contra estas amenazas, Juniper Networks recomienda implementar las siguientes medidas de seguridad:

  • Cambiar contraseñas predeterminadas por otras únicas y seguras.
  • Auditar registros de acceso para identificar actividad sospechosa, como intentos de fuerza bruta en SSH o escaneos de puertos inusuales.
  • Configurar firewalls para bloquear accesos no autorizados y restringir el tráfico saliente a direcciones IP no reconocidas.
  • Actualizar el software regularmente para cerrar posibles vulnerabilidades.
  • Reimaginar el sistema en caso de infección, ya que no se puede garantizar que el malware no haya alterado configuraciones o robado información.

Indicadores de infección por Mirai

Los siguientes comportamientos pueden indicar la presencia del malware Mirai:

  • Escaneo de puertos inusual.
  • Intentos repetidos de inicio de sesión SSH (ataques de fuerza bruta).
  • Aumento del tráfico saliente hacia direcciones IP sospechosas.
  • Reinicios inesperados del sistema.
  • Conexiones desde IPs maliciosas conocidas.

Amenaza emergente: malware cShell

En paralelo, el Centro de Inteligencia de Seguridad de AhnLab (ASEC) advirtió sobre una nueva familia de malware DDoS denominada cShell, que apunta a servidores Linux mal configurados, especialmente aquellos con servicios SSH expuestos públicamente.

Desarrollado en el lenguaje Go, cShell aprovecha herramientas de Linux como screen y hping3 para ejecutar ataques DDoS. Este descubrimiento subraya la importancia de fortalecer la seguridad de los servidores Linux y limitar la exposición de servicios críticos.

En fin, el reciente aumento en ataques relacionados con Mirai y cShell destaca la necesidad de una gestión robusta de contraseñas y medidas proactivas de seguridad en infraestructuras conectadas. Organizaciones y administradores deben priorizar la protección de sus redes para prevenir que dispositivos vulnerables sean utilizados como herramientas en campañas maliciosas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#25

Recientes investigaciones han detectado que ciberdelincuentes utilizan ataques de typosquatting para distribuir bibliotecas npm maliciosas, haciéndose pasar por herramientas populares como typescript-eslint y @types/node. Estas versiones falsificadas, denominadas @typescript_eslinter/eslint y types-node, han acumulado miles de descargas en el registro npm, permitiendo la distribución de troyanos y cargas útiles secundarias.

Ax Sharma, analista de seguridad en Sonatype, destacó:
"Aunque los ataques de typosquatting no son nuevos, la sofisticación de estas bibliotecas y sus altas descargas evidencian el esfuerzo de los atacantes y su impacto en los desarrolladores desprevenidos."

El análisis reveló que @typescript_eslinter/eslint apunta a un repositorio falso en GitHub bajo la cuenta "typescript-eslinter", creada el 29 de noviembre de 2024. Este paquete incluye un archivo llamado prettier.bat, que en realidad es un ejecutable malicioso (prettier.exe) identificado como dropper en VirusTotal. Al ejecutarse, este archivo instala persistencia en el sistema, permitiendo la ejecución automática tras reinicios.

Por su parte, el paquete types-node descarga scripts desde una URL de Pastebin, ejecutando un archivo malicioso nombrado engañosamente como npm.exe.

Extensiones VSCode maliciosas detectadas

El descubrimiento coincide con informes de extensiones maliciosas para Visual Studio Code (VSCode), detectadas por ReversingLabs en octubre de 2024. Estas extensiones, dirigidas inicialmente a la comunidad de criptomonedas, evolucionaron para suplantar aplicaciones como Zoom. Entre las extensiones eliminadas destacan:

  • EVM. Kit de herramientas de cadena de bloques
  • VoiceMod.VoiceMod
  • ZoomVideoComunicaciones.Zoom
  • Ethereum.SoliditySupport

CitarLucija Valentić, investigadora de ReversingLabs, afirmó:
"La posibilidad de comprometer un IDE lo convierte en un objetivo clave para los atacantes, especialmente cuando se trata de extensiones maliciosas que pasan desapercibidas."

Estas extensiones y bibliotecas incluyen JavaScript ofuscado, que actúa como descargador de cargas útiles de segunda etapa desde servidores remotos. Aún se desconoce la naturaleza exacta de estas cargas.

En fin, en este caso subraya la necesidad urgente de fortalecer la seguridad en la cadena de suministro de software y fomentar una mayor vigilancia al descargar herramientas de código abierto. Para los desarrolladores, es crucial evitar dependencias no verificadas que puedan comprometer proyectos y empresas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#26

Una reciente campaña de phishing, rastreada como FLUX#CONSOLE por la compañía de ciberseguridad Securonix, emplea archivos MSC (Microsoft Common Console Document) para desplegar una puerta trasera sigilosa y robar datos de sistemas comprometidos en Pakistán.

Inicio del ataque: Phishing con archivos MSC

Los investigadores Den Iuzvyk y Tim Peck señalaron que el ataque comienza con un enlace de phishing o un archivo adjunto malicioso, aunque el correo original no ha sido recuperado. La técnica principal se basa en archivos con extensiones dobles (.pdf.msc), que se hacen pasar por archivos PDF legítimos si la configuración del sistema no muestra las extensiones de archivo.

Una vez ejecutado a través de Microsoft Management Console (MMC), el archivo MSC activa un código JavaScript ofuscado que:

  • Recupera y muestra un archivo señuelo.
  • Carga encubiertamente un archivo DLL malicioso llamado DismCore.dll.

Un documento usado en esta campaña lleva el nombre "Reducciones de impuestos, reembolsos y créditos 2024", simulando ser un archivo legítimo de la Junta Federal de Ingresos de Pakistán (FBR).

Funcionalidad de la carga útil


La carga útil principal es una puerta trasera (backdoor) que:

  • Establece contacto con un servidor remoto.
  • Recibe comandos para exfiltrar datos sensibles del sistema infectado.
  • Establece persistencia mediante tareas programadas.

Innovación en métodos de ataque

Los expertos destacan que esta campaña muestra una evolución en el uso de archivos MSC, similar a la explotación de archivos LNK en años anteriores. Ambos formatos facilitan la ejecución de código malicioso mientras se integran con los flujos administrativos legítimos de Windows.

Además, la complejidad del ataque se evidencia en:

  • El uso de JavaScript altamente ofuscado en las etapas iniciales.
  • El código malicioso oculto en la DLL para evadir detecciones.

Relación con campañas anteriores

Aunque no hay atribución definitiva, Patchwork, un conocido actor de amenazas, utilizó anteriormente un documento similar relacionado con los impuestos de FBR en diciembre de 2023.

Recomendaciones de seguridad


Para protegerse contra este tipo de ataques, se recomienda:

  • Deshabilitar extensiones ocultas en los sistemas.
  • Implementar herramientas de seguridad que detecten archivos MSC y actividades inusuales.
  • Capacitar a los usuarios para identificar señuelos fiscales falsos.
  • Utilizar soluciones de detección avanzada que analicen el comportamiento del malware.

Esta campaña destaca la constante evolución de las tácticas de phishing y la necesidad de medidas proactivas para proteger sistemas críticos frente a amenazas avanzadas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#27

Una reciente campaña de ingeniería social utiliza Microsoft Teams para desplegar el malware DarkGate mediante el engaño a usuarios para instalar AnyDesk, una herramienta de acceso remoto.

Detalles del ataque

Según investigadores de Trend Micro, los atacantes contactaron a víctimas a través de Microsoft Teams, haciéndose pasar por clientes. Al no lograr instalar aplicaciones de soporte remoto de Microsoft, convencieron a las víctimas para descargar AnyDesk.

Una vez obtenido el acceso remoto, los atacantes implementaron DarkGate junto a otras cargas útiles, como ladrones de credenciales.

Características de DarkGate


DarkGate, activo desde 2018 y ahora ofrecido como Malware-as-a-Service (MaaS), posee capacidades como:

  • Robo de credenciales.
  • Keylogging (registro de teclas).
  • Captura de pantalla y audio.
  • Acceso remoto a escritorios.

La distribución del malware en este incidente se realizó mediante un script AutoIt, una técnica común en otras campañas detectadas en el último año.

Recomendaciones de seguridad

Ante esta amenaza, las organizaciones deben:

  • Habilitar la autenticación multifactor (MFA).
  • Restringir el uso de herramientas de acceso remoto no autorizadas.
  • Bloquear aplicaciones no verificadas.
  • Evaluar a proveedores de soporte técnico externos para evitar ataques de vishing.

Contexto: aumento de ataques de phishing

Este incidente coincide con un incremento global de campañas de phishing, que incluyen:

  • YouTube: Suplantación de marcas populares para engañar a creadores de contenido.
  • Quishing: Uso de códigos QR en archivos PDF maliciosos para robar credenciales de Microsoft 365.
  • Cloudflare Pages: Creación de sitios falsos con verificaciones CAPTCHA engañosas.
  • HTML adjuntos: Distribución de archivos disfrazados de facturas que ejecutan código malicioso.
  • Mensajes de WhatsApp: Dirigidos a usuarios en India con aplicaciones bancarias fraudulentas.

Estas campañas también aprovechan eventos globales para registrar dominios maliciosos que imitan sitios oficiales, explotando la urgencia y la confianza del público.

En fin la explotación de Microsoft Teams y AnyDesk para distribuir DarkGate demuestra la sofisticación de las tácticas de los ciberdelincuentes. Es fundamental que las organizaciones adopten medidas preventivas para protegerse de ataques basados en ingeniería social y otros vectores de acceso inicial.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#28

Una vulnerabilidad crítica en Apache Struts 2, identificada como CVE-2024-53677 (puntuación CVSS 9.5, "crítico"), está siendo explotada activamente mediante exploits de prueba de concepto (PoC) disponibles públicamente para localizar servidores vulnerables.

Descripción de la vulnerabilidad

Apache Struts es un marco de código abierto ampliamente utilizado para desarrollar aplicaciones web basadas en Java, empleado por organizaciones como agencias gubernamentales, instituciones financieras, plataformas de comercio electrónico y aerolíneas. La vulnerabilidad afecta a las siguientes versiones:

  • Struts 2.0.0 a 2.3.37 (fin de vida)
  • Struts 2.5.0 a 2.5.33
  • Struts 6.0.0 a 6.3.0.2

El problema reside en un error en la lógica de carga de archivos que permite el recorrido de rutas y la carga de archivos maliciosos, facilitando a los atacantes ejecutar código de manera remota.

"Un atacante puede manipular los parámetros de carga de archivos para habilitar el cruce de rutas y, en algunas circunstancias, cargar un archivo malicioso que permita la ejecución remota de código", indica el boletín de seguridad de Apache.

Riesgos de la vulnerabilidad

La falla CVE-2024-53677 permite a los atacantes:

  • Subir archivos maliciosos, como webshells.
  • Ejecutar comandos remotos en servidores afectados.
  • Descargar cargas útiles adicionales.
  • Robar información confidencial.

Esta vulnerabilidad guarda similitudes con CVE-2023-50164, lo que sugiere que podría tratarse de una solución incompleta de problemas anteriores.

Actividad de explotación detectada

El investigador Johannes Ullrich de SANS ISC reportó intentos activos de explotación mediante exploits basados en PoC públicas. Los atacantes están:

  • Cargando un archivo "exploit.jsp" que imprime la cadena "Apache Struts".
  • Verificando si el servidor es vulnerable al acceder a dicho script.

Hasta el momento, la explotación se ha originado desde una dirección IP única: 169.150.226.162.

Mitigación y recomendaciones

Para proteger los sistemas contra esta vulnerabilidad, Apache recomienda:

  • Actualizar a Apache Struts 6.4.0 o versiones posteriores.
  • Migrar al nuevo mecanismo de carga de archivos de acción.

Es importante destacar que aplicar el parche no es suficiente. Las aplicaciones deben ser reescritas para implementar el nuevo mecanismo de carga, ya que el antiguo sistema permanece vulnerable.

"Este cambio no es compatible con versiones anteriores. Continuar usando el antiguo mecanismo de carga te expone a ataques activos", advierte Apache.

Advertencias globales

Ante la explotación activa, agencias de ciberseguridad de Canadá, Australia y Bélgica han emitido alertas públicas instando a los desarrolladores a actualizar y proteger sus sistemas de forma inmediata.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#29

La Comisión Irlandesa de Protección de Datos (DPC) ha multado a Meta con 251 millones de euros (263,6 millones de dólares) por infracciones del Reglamento General de Protección de Datos (GDPR) tras una violación de datos personales ocurrida en 2018, la cual afectó a 29 millones de cuentas de Facebook.

Detalles de la violación y su impacto

El incidente fue provocado por la explotación de tokens de acceso de usuarios por parte de terceros no autorizados. Como resultado, se expusieron datos confidenciales, incluyendo:

  • Nombres completos
  • Direcciones de correo electrónico
  • Números de teléfono
  • Ubicaciones físicas

Además, la violación también afectó a menores de edad, lo que agravó la situación.

Acciones de Facebook y violaciones al GDPR

Aunque Facebook adoptó medidas correctivas inmediatas al descubrir el problema en la función "Ver como", el incidente incumplió varios artículos del GDPR. La DPC irlandesa destacó las siguientes violaciones y las correspondientes sanciones:

  • Artículo 33, apartado 3: Información incompleta en la notificación del incumplimiento → 8 millones de euros
  • Artículo 33, apartado 5: Documentación inadecuada sobre los hechos y recursos → 3 millones de euros
  • Artículo 25, apartado 1: Falta de integración de la protección de datos en el diseño del sistema → 130 millones de euros
  • Artículo 25, apartado 2: Incumplimiento de la limitación del tratamiento de datos a lo estrictamente necesario → 110 millones de euros

Declaraciones oficiales

El comisionado adjunto de la DPC, Graham Doyle, comentó:

Citar"Esta acción de cumplimiento subraya la importancia de integrar los requisitos de protección de datos desde el inicio del diseño y desarrollo de sistemas. No hacerlo puede exponer a las personas a riesgos significativos y daños graves, incluidos aquellos que afectan los derechos y libertades fundamentales".

La DPC ha prometido publicar próximamente la decisión completa, proporcionando al público más información sobre el caso.

Por su parte, Meta respondió al anuncio con la siguiente declaración enviada a BleepingComputer:

"Esta decisión está relacionada con un incidente de 2018. Adoptamos medidas inmediatas para solucionar el problema tan pronto como se identificó e informamos de manera proactiva tanto a las personas afectadas como a la Comisión de Protección de Datos de Irlanda".

Meta también enfatizó que cuentan con:

"Una amplia gama de medidas líderes en la industria para proteger a los usuarios en todas nuestras plataformas".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#30

Mozilla ha anunciado que, a partir de la versión Firefox 135, eliminará la opción de "No Rastrear" (DNT) de su navegador. Esta decisión surge debido a la falta de cumplimiento de esta función por parte de las páginas web, lo que genera una falsa sensación de seguridad en los usuarios.

¿Por Qué Mozilla Elimina "No Rastrear"?

Introducida hace 15 años, la opción DNT fue una innovación pionera que permitía a los usuarios solicitar a los sitios web que no rastrearan su actividad. Aunque originalmente fue efectiva, hoy en día la mayoría de las páginas ignoran esta solicitud. Según Mozilla, mantener esta función activa da a los usuarios una sensación errónea de protección, reduciendo la privacidad en lugar de incrementarla.

Con el lanzamiento de Firefox 135, que actualmente se encuentra en el canal Nightly, la opción "Enviar a los sitios web una solicitud de 'No Rastrear'" será retirada del apartado de Privacidad. En su lugar, se prioriza una herramienta más efectiva y alineada con las normativas legales actuales.

La Alternativa: Global Privacy Control

Mozilla recomienda usar la opción "Decir a los sitios web que no vendan ni compartan mis datos", que ya está disponible en las versiones estables de Firefox. Esta función se basa en el estándar Global Privacy Control (GPC), una solución respetada por un número creciente de sitios web debido a su respaldo legal.

Al marcar esta casilla, los usuarios pueden exigir que los sitios cumplan con las leyes de privacidad vigentes, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos.

Cambios para el Usuario Final

Para la mayoría de los usuarios, este cambio no supondrá grandes diferencias en la experiencia de navegación:

  • Mayor privacidad real: Al utilizar GPC, los datos de los usuarios estarán protegidos por ley.
  • Requiere acción mínima: Los usuarios solo deben asegurarse de marcar la nueva casilla de privacidad en el menú de configuración.

Firefox: Avanzando hacia una Privacidad Más Confiable

Aunque algunos podrían interpretar la eliminación de DNT como un retroceso, la realidad es que Mozilla está tomando medidas para ofrecer privacidad más efectiva y transparente. La transición a Global Privacy Control refuerza su compromiso con la protección de los datos de los usuarios, ajustándose a las exigencias de un entorno digital en constante evolución.

Con este cambio, Firefox 135 refuerza su posición como uno de los navegadores más comprometidos con la privacidad, alineándose con las mejores prácticas legales y tecnológicas para proteger a sus usuarios.


Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#31

Xfce 4.20, la esperada actualización del popular entorno de escritorio ligero, ya está disponible. Este lanzamiento trae importantes mejoras, incluyendo soporte experimental para Wayland, avances significativos en HiDPI, optimización del gestor de archivos Thunar y nuevas funcionalidades orientadas a la personalización y accesibilidad.

Soporte Experimental para Wayland

Xfce 4.20 marca un paso hacia la modernización con la introducción del soporte para Wayland, un sistema de ventanas más eficiente que promete revolucionar los escritorios en GNU/Linux. Aunque todavía en etapa experimental, los usuarios pueden probar esta funcionalidad utilizando el comando startxfce4 --wayland con compositores compatibles como Labwc o Wayfire. Sin embargo, algunos componentes clave como Xfwm4 o Xfdashboard aún no funcionan en este entorno.

Mejoras Destacadas en Thunar

El gestor de archivos Thunar ha recibido una serie de actualizaciones que lo hacen más ágil y funcional. Estas son algunas de las mejoras principales:

  • Soporte para enlaces simbólicos remotos y direcciones IPv6.
  • Barra de herramientas mejorada con nuevos botones e iconos en color.
  • Gestión avanzada de archivos, incluyendo la apertura automática de carpetas al arrastrar elementos y la visualización del número de archivos ocultos en la barra de estado.
  • Ordenación de carpetas antes de archivos, una función muy solicitada por los usuarios.

Estas novedades mejoran significativamente la experiencia al trabajar con grandes directorios o gestionar recursos en ubicaciones remotas.

Personalización y Usabilidad Mejoradas

Xfce 4.20 ofrece nuevas opciones para personalizar el escritorio:

  • Soporte para fondos de pantalla SVG, ideales para pantallas de alta resolución.
  • Etiquetas de iconos y fondos personalizables.
  • Menús contextuales rediseñados con opciones más claras y relevantes.
  • Configuración de atajos de teclado para una navegación más eficiente.

Además, la posibilidad de ubicar archivos o carpetas cerca del cursor al crearlos es un cambio sutil pero efectivo para optimizar flujos de trabajo.

Mejoras en el Panel y Configuración

El Panel de Xfce introduce ajustes inteligentes, como:

  • Ancho de borde personalizable y mejor detección de complementos.
  • Nuevas opciones para relojes analógicos y digitales.
  • Soporte para segmentos inactivos y perfiles de energía avanzados, ideales para usuarios de portátiles.

En el ámbito de configuración general, se han realizado mejoras significativas en:

  • Escalado de pantalla y temas oscuros.
  • Soporte para desplazamiento de alta resolución.
  • Gestión optimizada de aceleración de ratón y temas de iconos.

Accesibilidad y Aplicaciones Mejoradas

El buscador de aplicaciones ahora incluye funcionalidades como cierre automático al perder el foco y lanzamiento de aplicaciones con un solo clic. Estas opciones, junto con mejoras en la navegación por teclado, son especialmente útiles para usuarios que priorizan la accesibilidad.

Además, el diálogo "Acerca de Xfce" incluye nuevos detalles técnicos, como información sobre el sistema de ventanas y el procesador gráfico, facilitando el diagnóstico y soporte técnico.

Un Escritorio Ligero que No Sacrifica Funcionalidad

Con características como soporte para Wayland, optimizaciones en Thunar y mejoras de accesibilidad, Xfce 4.20 reafirma su compromiso de ofrecer un entorno de escritorio eficiente, moderno y personalizable. A medida que esta versión se integre en los repositorios estables de las principales distribuciones GNU/Linux, se consolidará como una opción ideal para quienes buscan ligereza sin renunciar a la funcionalidad.

Descubre Xfce 4.20 y lleva tu experiencia en escritorio a otro nivel.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#32
Noticias Informáticas / Alerta de Estafa Nomani
Diciembre 16, 2024, 02:49:55 PM

Investigadores de ciberseguridad han identificado un nuevo tipo de estafa, conocida como Nomani, que combina anuncios maliciosos, publicaciones en redes sociales y videos generados con IA que utilizan falsamente la imagen de personalidades famosas. Esta sofisticada estrategia ha provocado un aumento del 335% en casos reportados durante el segundo semestre de 2024, según el Informe de Amenazas H2 de ESET.

¿Cómo Operan los Estafadores?

La estafa tiene como objetivo redirigir a las víctimas a sitios web de phishing, donde se recopila información personal sensible. Nomani utiliza una red de perfiles robados o falsos, que incluyen cuentas de pequeñas empresas, entidades gubernamentales y microinfluencers. Estas cuentas publican anuncios en redes sociales como Messenger y Threads, además de reseñas positivas falsas en Google.

Estrategias de Engaño:

  • Anuncios Fraudulentos: Presentados como soluciones de inversión con nombres falsos como Quantum Bumex o Bitcoin Trader.
  • Phishing: Sitios web que imitan medios locales y abusan de marcas reconocidas.
  • Llamadas de Ingeniería Social: Los datos recolectados son usados para contactar a las víctimas y persuadirlas a invertir en supuestos productos financieros.

Cómo Nomani Despluma a las Víctimas

  • Captura de Información: Los usuarios proporcionan datos personales al completar formularios en sitios web falsos.
  • Manipulación Directa: Con los datos, los estafadores llaman a las víctimas para ofrecer "inversiones lucrativas".
  • Explotación Extrema: Los engañan para pedir préstamos o instalar aplicaciones de acceso remoto.
  • Estafa Final: Obligan a pagar comisiones para retirar supuestas ganancias, mientras roban más datos y dinero.

Al final, las víctimas no solo pierden su inversión inicial, sino también sus datos personales, utilizados en otros delitos.

¿Quién Está Detrás de Nomani?

Según ESET, esta operación podría estar vinculada a grupos de habla rusa, como lo evidencian comentarios en cirílico en el código fuente y el uso de herramientas de Yandex. Al igual que en otras estafas complejas como Telekopye, distintos equipos se encargan de cada etapa de la cadena de ataque: desde el robo y abuso de cuentas hasta la construcción de la infraestructura de phishing y gestión de call centers.

Operaciones Relacionadas: Fraude Global en Crecimiento

En Corea del Sur, una operación de fraude similar, llamada MIDAS, despojó a las víctimas de más de 6,3 millones de dólares usando plataformas de comercio falsas. Estas herramientas aparentaban realizar transacciones reales, pero en realidad capturaban información sensible y se negaban a devolver el dinero invertido.

Protección contra Estafas de Inversión

Para evitar ser víctima de Nomani u otras estafas similares, sigue estas recomendaciones:

  • Verifica fuentes: Comprueba la autenticidad de anuncios y perfiles en redes sociales.
  • Evita formularios sospechosos: Nunca compartas datos personales en sitios web no verificados.
  • Sé escéptico: Desconfía de ofertas que prometan ganancias rápidas.
  • Habilita la autenticación de dos factores: Esto dificulta el acceso no autorizado a tus cuentas.

Nomani es un claro ejemplo de cómo los cibercriminales están utilizando tecnologías avanzadas y estrategias de ingeniería social para llevar a cabo estafas a gran escala. La vigilancia y la educación son claves para evitar caer en sus trampas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#33

Un nuevo informe de Amnistía Internacional revela cómo el software espía NoviSpy fue utilizado para comprometer el teléfono del periodista serbio Slaviša Milanov tras ser desbloqueado con la herramienta Cellebrite. Este caso destaca un peligroso uso combinado de tecnologías invasivas para espionaje.

¿Qué es NoviSpy y cómo opera?

NoviSpy es un malware diseñado para recopilar datos confidenciales de teléfonos infectados. Según el informe técnico, este software:

Graba audio y video en tiempo real usando el micrófono y la cámara del dispositivo.

  • Captura capturas de pantalla de aplicaciones como Signal y WhatsApp.
  • Rastrea ubicaciones y roba archivos.

Se instala mediante Android Debug Bridge (adb) y opera con dos aplicaciones:

  • NoviSpyAdmin (com.serv.services): Permite registrar llamadas, SMS y contactos.
  • NoviSpyAccess (com.accessibilityservice): Abusa de servicios de accesibilidad para capturar datos sensibles.

Contexto de la instalación

El análisis forense indica que NoviSpy fue instalado mientras el dispositivo de Milanov estaba bajo custodia policial tras su detención en 2024. Entre las víctimas también figuran activistas destacados de Serbia, como Nikola Ristić e Ivan Milosavljević Buki.

¿Quién está detrás de NoviSpy?

Aunque no se conoce con certeza su origen, Amnistía sugiere que podría ser un desarrollo interno de las autoridades serbias o adquirido de un tercero. Serbia ha utilizado herramientas de vigilancia como Pegasus y Predator desde 2014 para espiar periodistas y líderes civiles.

Vulnerabilidades en Cellebrite

El informe también revela un fallo de seguridad en el dispositivo de extracción forense UFED de Cellebrite. La vulnerabilidad, catalogada como CVE-2024-43047 (CVSS: 7.8), permitía la escalada de privilegios en dispositivos Android. Qualcomm corrigió esta brecha en octubre de 2024.

Impacto y respuesta internacional

Amnistía Internacional y otras organizaciones, como Access Now, han pedido a la Unión Europea medidas estrictas contra el abuso de herramientas de vigilancia. Este caso no solo expone riesgos de privacidad, sino también el uso cuestionable de tecnologías comerciales por parte de estados autoritarios.

En fin el caso NoviSpy pone en evidencia la creciente amenaza de herramientas de vigilancia en combinación con fallas tecnológicas. Fortalecer la ciberseguridad y regular el uso de software de espionaje es fundamental para proteger los derechos digitales y la privacidad global.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#34

Electrica Group, uno de los principales actores del mercado energético rumano, se encuentra investigando un ataque de ransomware que aún estaba "en curso" al momento de su último comunicado. La compañía, que distribuye electricidad en Transilvania y Muntenia, atiende a más de 3,8 millones de usuarios y es un pilar en el suministro de energía, mantenimiento y servicios relacionados en Rumanía.

Fundada en 1998 como una división de la Compañía Nacional de Electricidad (CONEL), Electrica se convirtió en una entidad independiente en el año 2000. Desde 2014, cotiza tanto en las bolsas de valores de Bucarest como de Londres, consolidando su posición en el sector energético europeo.

Detalles del ciberataque

El lunes, Electrica informó a sus inversores que trabaja en estrecha colaboración con las autoridades nacionales de ciberseguridad para abordar el incidente. Según su CEO, Alexandru Aurelian Chirita, las medidas tomadas hasta ahora han protegido los sistemas críticos de la compañía:

"Queremos enfatizar que los sistemas críticos del Grupo no se han visto afectados. Las interrupciones en la interacción con nuestros consumidores son temporales y derivan de medidas de protección para la infraestructura interna".

Chirita agregó que estas medidas buscan garantizar la seguridad del sistema, priorizando la continuidad del suministro eléctrico y la protección de datos personales y operativos de todas las entidades del grupo.

Confirmación del ataque como ransomware

Aunque Electrica no ha detallado públicamente la naturaleza del ataque, el Ministerio de Energía de Rumanía lo ha identificado como un incidente de ransomware. Según el ministro de Energía, Sebastián Burduja, los sistemas SCADA utilizados para monitorear y controlar la red de distribución permanecen completamente funcionales y aislados:

"Las investigaciones iniciales confirman que fue un ataque de ransomware. Los sistemas SCADA no están afectados, y los equipos técnicos están trabajando en el terreno para eliminar cualquier riesgo".

Contexto político y ciberseguridad en Rumanía

Este ciberataque ocurre en un contexto de alta vulnerabilidad cibernética en Rumanía. Un informe desclasificado del Servicio de Inteligencia de Rumanía (SRI) reveló que más de 85,000 ciberataques dirigidos a la infraestructura electoral del país ocurrieron entre el 19 y el 25 de noviembre, coincidiendo con las elecciones presidenciales. Además, se confirmó que una campaña de influencia de TikTok vinculada a Rusia afectó la primera vuelta de las elecciones.

Implicaciones del ataque a Electrica

El incidente subraya la importancia de fortalecer las medidas de ciberseguridad en infraestructuras críticas. La capacidad de Electrica para proteger sus sistemas SCADA es un elemento positivo, pero el ataque pone de manifiesto la creciente amenaza que representan los actores maliciosos para el sector energético.

Recomendaciones para mitigar riesgos futuros

  • Implementar auditorías regulares de ciberseguridad en sistemas críticos.
  • Aislar redes SCADA de sistemas externos para minimizar vulnerabilidades.
  • Colaborar con socios internacionales para compartir inteligencia sobre amenazas emergentes.

El caso de Electrica Group es un recordatorio de que la ciberseguridad en infraestructuras críticas es esencial para garantizar la continuidad operativa y proteger a los consumidores frente a interrupciones masivas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#35

Microsoft ha implementado una suspensión de compatibilidad para las actualizaciones de Windows 11 24H2 en equipos con versiones obsoletas de Google Workspace Sync for Microsoft Outlook (GWSMO) debido a problemas que impiden el inicio de Outlook.

¿Qué es GWSMO y qué errores genera?

GWSMO es una herramienta que permite a los usuarios integrar su correo, calendario, contactos y tareas de Google Workspace con Microsoft Outlook. En las versiones antiguas, los usuarios afectados encuentran errores como:

"No se puede iniciar Microsoft Outlook. No se puede abrir la ventana de Outlook. MAPI no pudo cargar los errores del servicio de información."

Actualizar a la versión más reciente de GWSMO (4.3.68.0, lanzada el 22 de noviembre) resuelve este problema. Sin embargo, si se actualiza a Windows 11 24H2 antes de instalar esta versión, no será posible desinstalar ni reinstalar GWSMO, complicando aún más la solución.

Medidas tomadas por Microsoft

Microsoft ha bloqueado las actualizaciones para dispositivos con GWSMO desactualizado, clasificando este problema como un incidente conocido bajo el identificador 54318776 en Windows Update. Los usuarios deben:

  • Actualizar GWSMO a la versión 4.3.68.0 antes de instalar Windows 11 24H2.
  • Evitar el uso del Asistente de instalación de Windows 11 o la Herramienta de creación de medios para realizar actualizaciones manuales mientras persista el problema.

En caso de que el bloqueo persista después de actualizar GWSMO, Microsoft recomienda contactar al soporte de Google Workspace para obtener asistencia adicional.

Problemas similares y otras retenciones de actualizaciones

Microsoft ha identificado y bloqueado actualizaciones de Windows 11 24H2 en dispositivos afectados por otros problemas, como:

  • Juegos de Ubisoft que presentan fallos, problemas de audio o bloqueos.
  • Escáneres USB que usan el protocolo eSCL.
  • Controladores Intel Smart Sound Technology (SST) incompatibles, que provocan errores de pantalla azul de la muerte (BSOD).

Además, las actualizaciones también están bloqueadas en sistemas con:

  • Asphalt 8 (Airborne) y ciertas cámaras integradas.
  • Dispositivos Asus X415KA y X515KA.
  • Aplicaciones de personalización de fondos de pantalla.
  • Safe Exam Browser y el software Easy Anti-Cheat, utilizado en juegos multijugador en línea.

Es recomendable antes de actualizar a Windows 11 24H2, los usuarios deben asegurarse de que todas las aplicaciones, controladores y dependencias estén actualizados para evitar conflictos. Mantener un entorno de software compatible garantiza una transición fluida a nuevas versiones del sistema operativo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#36

Un nuevo ataque a la cadena de suministro de software ha comprometido dos versiones de la biblioteca de inteligencia artificial (IA) de Python, Ultralytics, para incluir un minero de criptomonedas. Las versiones afectadas, 8.3.41 y 8.3.42, ya han sido eliminadas del repositorio Python Package Index (PyPI), y se ha lanzado una actualización con una corrección de seguridad para garantizar un flujo de trabajo de publicación seguro.

¿Cómo ocurrió el ataque?

El mantenedor del proyecto, Glenn Jocher, confirmó que las versiones comprometidas resultaron de una inyección de código malicioso en el flujo de trabajo de implementación de PyPI. Este incidente se detectó cuando usuarios informaron un aumento anormal en el uso de CPU, un síntoma típico de la minería de criptomonedas.

El ataque comprometió el entorno de compilación del proyecto, permitiendo que actores maliciosos insertaran modificaciones no autorizadas después de la revisión del código. Esto generó discrepancias entre el código fuente publicado en PyPI y el repositorio oficial en GitHub.

Método utilizado: Inyección en GitHub Actions

Según Karlo Zanki, de ReversingLabs, los atacantes aprovecharon una vulnerabilidad en el flujo de trabajo de GitHub Actions asociado con el proyecto. La falla, identificada en "ultralytics/actions" por el investigador de seguridad Adnan Khan, permitió a los atacantes enviar solicitudes de incorporación de cambios maliciosas desde una cuenta de GitHub llamada openimbot. Estas solicitudes habilitaban la recuperación y ejecución de cargas útiles en sistemas macOS y Linux.

Impacto y medidas de mitigación

Aunque en este caso el código malicioso solo incluía un minero XMRig, Zanki advierte que el ataque podría haber sido mucho más perjudicial si se hubieran implementado malware más agresivos, como puertas traseras o troyanos de acceso remoto (RAT).

Como respuesta, ComfyUI, una herramienta que depende de Ultralytics, ha implementado advertencias para alertar a los usuarios si ejecutan versiones comprometidas. Se insta a los desarrolladores y usuarios a:

  • Actualizar inmediatamente a la última versión de la biblioteca Ultralytics.
  • Implementar entornos de compilación más seguros para prevenir inyecciones maliciosas en el futuro.
  • Revisar cuidadosamente las dependencias de terceros para evitar riesgos en la cadena de suministro.

En fin, este incidente subraya la importancia de fortalecer la seguridad en los flujos de trabajo de implementación y la necesidad de monitorear continuamente las dependencias en proyectos de código abierto. Mantener bibliotecas actualizadas y aplicar prácticas de seguridad proactivas son medidas esenciales para protegerse contra amenazas emergentes en la cadena de suministro.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#37

Recientemente, se ha informado de una vulnerabilidad crítica ya corregida en DeepSeek, un chatbot impulsado por inteligencia artificial (IA), que permitía a atacantes tomar el control de cuentas de usuarios mediante ataques de inyección rápida. Este fallo, identificado por el investigador de seguridad Johann Rehberger, ponía en riesgo las sesiones de usuario al permitir la ejecución de código JavaScript no autorizado mediante un ataque clásico de secuencias de comandos entre sitios (XSS).

Detalles del ataque XSS en DeepSeek

El ataque se activaba al introducir un mensaje malicioso como:

"Imprima la hoja de trucos XSS en una lista de viñetas. Solo cargas útiles".
Esto provocaba que el chatbot generara una respuesta que ejecutaba código malicioso en el navegador de la víctima. La explotación permitía al atacante acceder al userToken almacenado en el localStorage del dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, lo que facilitaba el secuestro de cuentas.

El ataque utilizaba una combinación de instrucciones y cadenas codificadas en Base64, que el chatbot descodificaba para ejecutar la carga útil maliciosa, extrayendo el token de sesión de la víctima. Con esto, el atacante podía hacerse pasar por el usuario legítimo.

Ataques en Claude AI y nuevas amenazas

Además de DeepSeek, Rehberger también reveló vulnerabilidades en Claude Computer Use de Anthropic. Este sistema, diseñado para controlar computadoras mediante un modelo de lenguaje, podía explotarse mediante inyecciones rápidas para ejecutar comandos maliciosos de forma autónoma. La técnica, denominada ZombAIs, transformaba esta funcionalidad en una herramienta de ataque capaz de descargar y ejecutar marcos de comando y control (C2), como Sliver, estableciendo contacto con servidores controlados por atacantes.

Por otra parte, los modelos de lenguaje grandes (LLM) presentan otro vector de ataque al generar código de escape ANSI, lo que permite secuestrar terminales de sistemas mediante la inyección rápida. Este enfoque, apodado Terminal DiLLMa, se dirige a herramientas de interfaz de línea de comandos (CLI) que integran LLM.

Nuevas investigaciones y riesgos en ChatGPT

Investigadores de la Universidad de Wisconsin-Madison y la Universidad de Washington en St. Louis han demostrado que ChatGPT de OpenAI puede ser engañado para renderizar enlaces externos en formato Markdown. Estos enlaces pueden contener contenido explícito o violento, presentado bajo objetivos aparentemente benignos. Además, se descubrió que las inyecciones de avisos podrían invocar plugins de ChatGPT sin la confirmación del usuario y evadir restricciones de seguridad impuestas por OpenAI, incluyendo la exfiltración de historiales de chat hacia servidores maliciosos.

Medidas de mitigación para desarrolladores

Rehberger enfatizó la importancia de gestionar con cuidado las salidas generadas por LLM, ya que estas podrían contener datos arbitrarios no confiables. Los desarrolladores deben implementar:

  • Validación estricta de entradas y salidas generadas por LLM.
  • Parcheo oportuno de vulnerabilidades descubiertas.
  • Configuración de entornos de ejecución aislados para minimizar el impacto de posibles exploits.

En fin, estas vulnerabilidades destacan la creciente necesidad de robustecer la seguridad en herramientas de IA generativa, dada su adopción masiva. La atención proactiva a posibles vectores de ataque es esencial para proteger a los usuarios frente a riesgos emergentes en este panorama tecnológico en evolución.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#38

La Comisión de Protección de Datos de Irlanda (DPC) ha sancionado a LinkedIn con una multa de 310 millones de euros (335 millones de dólares) por infringir las normas de privacidad del Reglamento General de Protección de Datos (GDPR). Esta medida responde a que LinkedIn utilizó datos personales de sus usuarios para realizar análisis de comportamiento y desplegar publicidad dirigida sin el consentimiento adecuado.

Investigación y hallazgos del DPC sobre LinkedIn

La investigación, iniciada en 2018 tras una denuncia de la Autoridad de Protección de Datos de Francia, determinó que LinkedIn infringió varios principios del GDPR, entre ellos la transparencia y equidad en el procesamiento de datos. Estos incumplimientos se refieren específicamente a los artículos 5 y 6 del GDPR, que regulan la licitud y la necesidad de transparencia en el tratamiento de datos personales.

El DPC señaló que LinkedIn no obtuvo un consentimiento claro y explícito de sus usuarios para procesar datos con fines de publicidad dirigida. En su lugar, la plataforma utilizó la base de "intereses legítimos" para justificar el uso de datos personales en sus campañas publicitarias. Sin embargo, la DPC consideró que esta justificación no cumplía con los requisitos del GDPR. Además de la multa, LinkedIn debe adaptar sus prácticas para cumplir con las normativas de la Unión Europea en un plazo de tres meses.

Requisitos del GDPR para el consentimiento y la transparencia

El GDPR establece que el consentimiento de los usuarios debe ser libre, específico, informado y otorgado de forma clara. Asimismo, cualquier tratamiento de datos debe ser justo y transparente, asegurando que los usuarios comprendan cómo y por qué se utilizan sus datos. Según el comisionado adjunto de la DPC, Graham Doyle, "la legalidad del procesamiento de datos personales es fundamental para la protección de los derechos de privacidad de los usuarios". La falta de una base legal adecuada constituye una violación grave de estos derechos, afectando la confianza de los usuarios en la protección de sus datos personales.

Respuesta de LinkedIn y medidas futuras

Microsoft, empresa propietaria de LinkedIn, comentó que la plataforma está trabajando para que sus prácticas publicitarias cumplan con los requisitos del GDPR antes del plazo establecido. Aunque LinkedIn sostiene que sus prácticas publicitarias se ajustan a las normativas, asegura que revisará y ajustará cualquier proceso necesario para cumplir con la decisión del DPC.

Esta sanción a LinkedIn refleja el compromiso de las autoridades europeas por proteger la privacidad de los datos personales, y marca una advertencia para las empresas sobre la necesidad de adherirse estrictamente al GDPR. Las multas por violaciones de privacidad pueden alcanzar hasta el 4% de los ingresos anuales globales de una empresa, lo que convierte el cumplimiento en una prioridad estratégica.

Otros casos relevantes: Pinterest y la base legal de "intereses legítimos"

La organización de privacidad noyb, dirigida por el activista Max Schrems, también ha presentado una denuncia en Francia contra Pinterest, argumentando que la plataforma de redes sociales utiliza la base de "intereses legítimos" para rastrear la actividad de los usuarios sin su consentimiento explícito. Según noyb, Pinterest habilita el rastreo de usuarios de manera predeterminada, requiriendo que estos opten por la exclusión para evitar el seguimiento de sus datos.

Noyb sostiene que Pinterest debería buscar el consentimiento explícito de los usuarios para la publicidad dirigida, como estipula el artículo 6(1)(a) del GDPR, en lugar de invocar intereses legítimos para justificar su rastreo. Un portavoz de Pinterest afirmó que la empresa cumple con el GDPR en su enfoque hacia la publicidad personalizada, aunque la queja de noyb refleja una creciente presión en Europa sobre el uso de intereses legítimos para justificar el procesamiento de datos en campañas publicitarias.

Implicaciones de las sanciones del GDPR en el sector tecnológico

Las multas a empresas como LinkedIn subrayan la importancia de que las plataformas de redes sociales cumplan rigurosamente con las regulaciones de privacidad en Europa. La normativa GDPR exige a las empresas mantener una transparencia total sobre el uso de datos personales y obliga a las organizaciones a obtener el consentimiento expreso de los usuarios antes de realizar actividades de análisis de comportamiento o publicidad personalizada.

Este tipo de sanciones refuerza el mensaje de que las normativas de protección de datos en la Unión Europea están siendo estrictamente aplicadas y que las organizaciones deben adoptar prácticas sólidas de privacidad y transparencia. Las empresas tecnológicas que operan en la UE deben tomar en serio estos requisitos, dado que el incumplimiento puede resultar en sanciones financieras significativas y un daño reputacional considerable.

Con esta multa, LinkedIn se une a la lista de grandes plataformas tecnológicas que han enfrentado sanciones bajo el GDPR, resaltando la determinación de las autoridades europeas para asegurar que los derechos de privacidad de los usuarios estén debidamente protegidos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#39

Apple ha lanzado un entorno de investigación virtual para que los expertos en ciberseguridad puedan probar y evaluar la seguridad de su sistema Private Cloud Compute (PCC), una innovadora arquitectura de computación en la nube privada orientada a proteger la privacidad de los datos de los usuarios. Como parte de su estrategia para reforzar la seguridad, la compañía ha publicado el código fuente de varios "componentes clave" de PCC, lo que facilita a los investigadores el análisis de la privacidad y seguridad de esta arquitectura en un entorno controlado.

Private Cloud Compute: Innovación en privacidad y seguridad en la nube
Private Cloud Compute (PCC) es una infraestructura avanzada de inteligencia en la nube diseñada para procesar datos complejos de inteligencia artificial (IA) provenientes de dispositivos Apple sin comprometer la privacidad de los usuarios. PCC utiliza cifrado de extremo a extremo, lo cual garantiza que los datos enviados desde los dispositivos Apple estén accesibles solo para el usuario, impidiendo que incluso Apple pueda acceder a ellos.

Este entorno cumple con estrictos estándares de seguridad, de modo que los datos personales de los usuarios permanezcan privados y protegidos de accesos no autorizados. Poco después del lanzamiento de PCC, Apple permitió el acceso a un grupo de investigadores y auditores de seguridad seleccionados para validar la efectividad de sus protecciones de seguridad y privacidad.

Entorno Virtual de Investigación (VRE): Acceso público para verificar la seguridad de PCC

Apple ha ampliado el acceso al Entorno Virtual de Investigación (VRE), permitiendo a cualquier usuario interesado explorar cómo funciona PCC y confirmar el cumplimiento de las garantías de seguridad prometidas. La compañía ha puesto a disposición la "Guía de Seguridad de Cómputo en la Nube Privada," que describe la arquitectura de PCC y detalla los componentes técnicos.

El VRE permite ejecutar una réplica del sistema PCC en una máquina virtual, proporcionando a los investigadores la capacidad de inspeccionar y probar sus funcionalidades. En este entorno, es posible ejecutar el software del nodo PCC con solo mínimas modificaciones. El software en el espacio de usuario funciona como en un nodo PCC real, mientras que el proceso de arranque y el kernel han sido adaptados para la virtualización, permitiendo una evaluación de seguridad en profundidad.

Para usar el VRE, se requiere macOS Sequia 15.1 Developer Preview y un dispositivo Apple con chip Silicon y al menos 16 GB de memoria unificada. Gracias a este entorno, los investigadores pueden analizar a fondo el sistema, modificando y depurando el software de PCC y realizando inferencias en modelos de demostración.

Publicación del código fuente y herramientas clave para la investigación de PCC
Apple ha compartido el código fuente de varios componentes de PCC para promover una mayor transparencia en el funcionamiento de su sistema y facilitar la investigación de seguridad. Entre estos componentes se encuentran:

  • CloudAttestation: Encargado de construir y validar las atestaciones del nodo PCC, garantizando la autenticidad y la transparencia de los procesos.
  • Thimble: Incluye el demonio privatecloudcomputed, que aplica la transparencia verificable en el dispositivo del usuario mediante CloudAttestation.
  • Splunkloggingd: Un demonio que filtra los registros emitidos desde un nodo PCC, protegiéndolos contra la divulgación accidental de datos.
  • Srd_tools: Proporciona las herramientas de VRE que facilitan la ejecución del código de PCC, ayudando a los investigadores a comprender cómo funciona este entorno.

Estas herramientas permiten a los investigadores observar cómo funcionan los distintos componentes de PCC en condiciones simuladas, contribuyendo a identificar vulnerabilidades potenciales.

Programa de recompensas de seguridad para vulnerabilidades de PCC

Apple ha ampliado su programa de recompensas de seguridad, ofreciendo incentivos financieros para quienes descubran fallos significativos en PCC. La recompensa más alta es de hasta 1 millón de dólares por un ataque remoto que comprometa los datos de solicitud de los usuarios, logrando ejecución remota de código con permisos arbitrarios. Además, Apple ofrece recompensas de $250,000 para quienes demuestren métodos de acceso a datos de solicitud de usuarios o información confidencial.

Para ataques realizados desde la red con privilegios elevados, la recompensa varía entre $50,000 y $150,000, dependiendo de la complejidad del ataque y la naturaleza de la vulnerabilidad. Apple ha enfatizado que, aunque su programa incluye categorías específicas, cualquier vulnerabilidad significativa que afecte a PCC puede ser elegible para una recompensa.

Compromiso con la seguridad y privacidad en la computación en la nube

Apple considera que Private Cloud Compute es una de las arquitecturas de seguridad más avanzadas implementadas para computación en la nube de IA, pero reconoce que la colaboración con la comunidad de investigación es clave para seguir mejorando sus estándares de seguridad y privacidad. Con este entorno abierto, la compañía reafirma su compromiso en proporcionar soluciones seguras y transparentes a sus usuarios.

La apertura del acceso a PCC y la colaboración con investigadores no solo ayudan a fortalecer el ecosistema de seguridad de Apple, sino que también refuerzan su compromiso con la privacidad del usuario en un mundo digital en constante evolución. Este enfoque colaborativo es una señal de los esfuerzos de Apple por ofrecer un entorno de IA en la nube altamente seguro que responda a las crecientes demandas de privacidad de los usuarios.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#40

Amazon toma medidas contra el uso de dominios en campañas fraudulentas de Escritorio Remoto para proteger datos

Amazon ha tomado acción en la reciente campaña de ciberespionaje atribuida a APT29, un grupo de amenazas persistentes avanzadas (APT) vinculado a ataques sofisticados. En esta ocasión, el grupo empleó dominios que simulaban pertenecer a Amazon Web Services (AWS) para desplegar una campaña de phishing con el objetivo de capturar credenciales de Windows de usuarios desprevenidos, y no credenciales de AWS como podría pensarse. A través de su servicio de Escritorio Remoto de Microsoft (RDP), APT29 engañó a las víctimas para que se conectaran a servidores controlados por atacantes, comprometiendo así datos sensibles.

La Estrategia de Amazon para Contrarrestar el Fraude

Amazon respondió rápidamente al identificar esta actividad maliciosa, logrando la incautación de varios dominios utilizados por APT29. Estos dominios falsos simulaban servicios de AWS para atraer a los usuarios, aunque el verdadero objetivo del grupo era obtener credenciales de inicio de sesión de Windows. La intervención de Amazon resultó en la interrupción de esta operación, mitigando el riesgo para los usuarios.

Los actores de amenazas de APT29 se especializan en ataques dirigidos a instituciones gubernamentales, organizaciones de investigación y centros de análisis a nivel mundial. Emplean técnicas avanzadas de phishing y malware para infiltrarse y robar información crítica, especialmente de organizaciones consideradas adversarias de Rusia.

Alcance Global de la Campaña de APT29

La campaña de APT29 tuvo un impacto global, y aunque se descubrió inicialmente en Ucrania, se detectaron actividades de esta campaña en varios países, principalmente aquellos que mantienen una postura adversa hacia Rusia. Amazon observó que, a diferencia de las operaciones anteriores, esta campaña apuntó a un número significativamente mayor de objetivos. Este cambio en su enfoque sugiere una posible diversificación en las tácticas de APT29, ampliando su alcance para aumentar las posibilidades de éxito.

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) emitió alertas sobre los archivos adjuntos maliciosos utilizados en esta campaña, catalogados bajo el código "UAC-0215". Estos archivos estaban diseñados para activar conexiones RDP maliciosas, permitiendo a los atacantes obtener acceso a los dispositivos de las víctimas y comprometer la seguridad de sus redes. En los mensajes de phishing, los atacantes usaron temas relacionados con "problemas de integración" con los servicios de Amazon y Microsoft, aludiendo también a la implementación de arquitecturas de seguridad "de confianza cero" o "Zero Trust Architecture" (ZTA), una estrategia que suele despertar el interés en el sector empresarial.

Cómo Funciona la Amenaza de Escritorio Remoto

Los correos electrónicos de APT29 incluían archivos de conexión RDP con nombres engañosos como "Zero Trust Security Environment Compliance Check.rdp". Al abrir estos archivos, las víctimas activaban conexiones directas con los servidores de los atacantes, comprometiendo la seguridad de sus propios dispositivos. Estos archivos de conexión RDP configurados de forma maliciosa compartían automáticamente los recursos locales del dispositivo de la víctima con el servidor RDP de APT29. Entre los recursos comprometidos se encontraban:

  • Discos y archivos locales
  • Recursos de red
  • Impresoras
  • Puertos COM
  • Dispositivos de audio
  • Portapapeles

Además, los atacantes podían aprovechar esta conexión para ejecutar programas y scripts maliciosos en los dispositivos comprometidos, lo que les permitía obtener acceso directo a datos sensibles e incluso instalar software espía para mantener el control de los dispositivos infectados. Según CERT-UA, estos métodos son especialmente peligrosos, ya que permiten a los atacantes mantener una presencia persistente en las redes objetivo.

La Respuesta de Amazon y su Impacto en la Seguridad

Si bien la campaña de APT29 estaba enfocada en la obtención de credenciales de Windows a través de conexiones RDP, el acceso a los recursos locales compartidos brindaba a los atacantes una puerta abierta para robar información adicional. La rápida intervención de Amazon fue crucial para frenar la expansión de esta amenaza, y la incautación de los dominios comprometidos ha sido un paso esencial para mitigar el riesgo de futuros ataques similares.

Con estas acciones, Amazon ha reforzado su compromiso con la ciberseguridad y ha proporcionado un ejemplo para otras grandes organizaciones que enfrentan ataques sofisticados por parte de grupos APT. En un entorno de amenazas en constante evolución, las empresas tecnológicas están llamadas a actuar de manera proactiva para proteger tanto sus sistemas como los de sus usuarios.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta