Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

#1
Dudas y pedidos generales / Re:Auditoria de red
Febrero 06, 2025, 11:13:10 PM
Debe contratar los servicios de un profesional en Auditorías Informáticas si es una red compleja o de negocios.

No todos avalan, y el ser Administrador de Red no es determinante, y sí el ser auditor y poseer experiencia en este oficio.

Sé de ello por pasar un postgrado de Auditoría Informática en una Facultad de Economía, mientras cursaba cursos varios dedicados a los negocios.

De cualquier modo, el primer requisito que el Auditor debe realizar es pedir un acceso de "Solo Lectura" a la Red a Auditar.
La tendencia es a querer brindarle "Todo" el acceso y esto es un error, pues de haber delitos implicaría e incriminaría al auditor.

Esta es regla de oro y si un auditor pidiese lo contrario de entrada no es bueno.

Por otro lado, están las auditorías técnicas solamente; que se especializan en testear la red en su seguridad y funcionamiento tanto físico de hardware como de software.

Las Auditorías Informáticas son abarcadoras y complejas. Nunca es realizada por un solo individuo. Al menos son equipos de 2 o 3 profesionales especializados en distintas ramas.

Si posee una red, o es propietario de algún negocio que posea una, le recomiendo de manera marcada que contrate a una entidad especializada en este aspecto. Tendrá un informe al final del trabajo con los detalles de las anomalías y sugerencias de mejoras. Esto avala judicialmente si hay un delito para que establezca el proceso judicial y sea resarcido.

Historia más sencilla si es un entorno hogareño (sencillo - privado) que se resume a revisar los puntos de accesos (Routers, etc.), así como los dispositivos Pc fundamentalmente. Auditando las MAC e IP, así como los Logs, en especial del Router, o del Sistema de Seguridad Integral (si es que se posee) ya debiera ser suficiente.

Suerte.



#2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El año pasado se violaron más de cinco mil millones de cuentas, un aumento "asombroso" con respecto a los 730 millones de 2023, según los investigadores de la empresa de ciberseguridad Surfshark. Esto significa que casi 180 cuentas se vieron comprometidas cada segundo, dijeron.

El aumento se puede atribuir en parte a una única filtración de datos en 2024, que implicó una recopilación de más de tres mil millones de direcciones de correo electrónico únicas rastreadas hasta un foro clandestino sobre delitos en septiembre.

Si bien la filtración recopiló datos de filtraciones anteriores, se eliminaron los duplicados, según Surfshark.

Los investigadores de la empresa descubrieron que aproximadamente 790 millones de las cuentas violadas eran rusas, 310 millones eran estadounidenses, 160 millones eran chinas, 110 millones eran alemanas y 100 millones eran francesas, entre otras.

"Esta filtración masiva de correo electrónico proporciona a los ciberdelincuentes y estafadores de phishing una amplia gama de objetivos potenciales. Sin embargo, el hacker detrás de la filtración afirmó que ninguno de estos correos electrónicos se obtuvo a través de filtraciones privadas: toda esta información ya estaba disponible públicamente", dijo Surfshark.

Otra importante filtración, descubierta en febrero de 2024, afectó a más de 120 millones de personas y se originó en DemandScience, una empresa de generación de demanda B2B. La empresa recopila datos que incluyen nombres completos, direcciones físicas, direcciones de correo electrónico, números de teléfono, cargos laborales y enlaces a redes sociales.

"Esta información es esencial para que los anunciantes y los especialistas en marketing digital creen perfiles detallados de los consumidores que impulsen la generación de clientes potenciales y estrategias de marketing específicas", dijo Surfshark.

La gran mayoría (33 millones) de las cuentas comprometidas en esta brecha eran estadounidenses, seguidas de 2,4 millones de británicas, 1,4 millones de canadienses y 1,2 millones de australianas, entre otras.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Puntos críticos de violación de datos

De todas las cuentas violadas el año pasado, el 46 % se concentraron en solo tres países: China, Rusia y Estados Unidos. China ascendió a la cima de la clasificación en 2024 desde la 12.ª posición que ocupaba un año antes.

"En 2023, Estados Unidos y Rusia dominaron el panorama de la violación de datos, al representar casi el 80 % de todas las cuentas violadas. Sin embargo, en 2024, China también emergió como un actor clave en las violaciones de datos globales", afirmó Surfshark.

China y Rusia representaron cada una aproximadamente el 17 % de todas las cuentas violadas, mientras que Estados Unidos contribuyó con el 12 % del total global. Casi 1.800 cuentas fueron violadas cada minuto en China, seguidas de cerca por Rusia con más de 1.700 por minuto. Las cuentas vinculadas a Estados Unidos experimentaron 1.300 violaciones por minuto.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sin embargo, cuando se trata de la densidad de violaciones de datos (que podría indicar que los residentes enfrentan un mayor riesgo de sufrir una violación de datos), Europa encabezó la lista. Mientras que Rusia encabezó la lista con casi 6.400 cuentas vulneradas por cada 1.000 personas, Francia fue segunda con 2.300, por delante de Estados Unidos con más de 2.000.

De 15 países con más de un millón de personas donde las personas enfrentaron un promedio de más de una cuenta vulnerada por persona, el 70% estaban en Europa, descubrió Surfshark. La nación centroeuropea de Czechia, con una población de 11 millones, ocupó el cuarto lugar a nivel mundial, seguida de Australia, Alemania, Letonia y los Países Bajos.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un actor de amenazas en BreachForums publicó el martes lo que parece ser una muestra filtrada de un supuesto conjunto de datos de más de 160.000 registros robados del famoso Trump Hotels[.]com.

La supuesta muestra fue publicada en el foro de hackers alrededor de las 4:00 am, hora del Este, por un usuario bastante desconocido, activo únicamente en Breached desde agosto pasado, y que se hace llamar FutureSeeker.

Parece que el hacker expuso detalles del sistema de notificación por correo electrónico de TrumpHotels, "específicamente, el servicio responsable de recordar y/o verificar los detalles de las reservas para los huéspedes", dijo el repositorio de malware vx-underground, que publicó sobre la supuesta filtración en X.

La publicación sobre la filtración de la base de datos titulada "trumphotels.com - lista de invitaciones" afirma haber exfiltrado un total de 164.910 registros de los servidores del sitio.

"Hola comunidad de BreachForums, hoy he subido las invitaciones de Trump Hotel para que las descarguen, ¡gracias por leer y disfrutar!" Future Seeker publicó con la muestra.

Aunque Cybernews no ha examinado el conjunto completo de registros, la muestra de BreachForums muestra nombres completos, direcciones de correo electrónico, fechas de creación y otros datos de muestreo y fechas de comunicaciones.

Según vx-underground, lo más probable es que Future Seeker esté intentando hacerse un nombre en el mercado.

"Basándonos en la revisión de los datos, no creemos que este ataque tenga motivaciones políticas o financieras. Más bien, debido a la reciente investidura del presidente de los Estados Unidos, percibimos este ataque como una forma de que el o los actores de amenazas verifiquen su legitimidad como grupo y/o actor de amenazas", decía en la publicación.

Los recolectores de malware, que también parecen haber visto todo el conjunto de datos en el servicio anónimo de intercambio de archivos BiteBlob, señalaron que la información robada "abarca desde el 18 de enero de 2018 hasta el 15 de enero de 2025".

Vx-underground también dijo que los datos aparentemente no incluyen ninguna información de identificación personal (PII) de los "huéspedes presentes en el hotel o los hoteles operados por la Organización Trump", como fechas de reserva, llegadas, salidas, información financiera, etc.

En el período previo a las elecciones presidenciales estadounidenses de noviembre de 2024, Trump (y su equipo de campaña) habían sido el blanco de varios grupos de piratas informáticos pertenecientes a estados nacionales.

Las agencias de inteligencia estadounidenses confirmaron que Irán había orquestado un ciberataque contra la campaña de Trump en agosto de ese año, intentando pasar la información al equipo de Biden/Harris, que al parecer no respondió.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google dice que su modelo mejorado de inteligencia artificial Gemini 2.0 Flash ya está disponible para todos. La API de los mejores modelos de Google tiene un precio más bajo que DeepSeek-R1, el chatbot chino que revolucionó Silicon Valley.

El nuevo Gemini 2.0 Flash se presentó por primera vez en diciembre de 2024. Ahora, este modelo se ha actualizado con una función de "pensamiento" y está disponible para todos. Los usuarios pueden interactuar con él a través de la aplicación Gemini o la API en Google AI Studio y Vertex AI.

"También estamos lanzando una versión experimental de Gemini 2.0 Pro, nuestro mejor modelo hasta ahora para el rendimiento de codificación y las indicaciones complejas", anunció Google.

La versión Pro está disponible para suscriptores (usuarios avanzados de Gemini) y en Google AI Studio y Vertex AI.

Los chatbots de Google obtienen una puntuación alta en varios puntos de referencia. Sin embargo, su rendimiento parece inferior a las autoestimaciones de DeepSeek. La startup china lanzó el modelo R1 de código abierto hace unas semanas.

Por ejemplo, Gemini 2.0 Flash obtiene un 77,6 % en la prueba MMLU-Pro, que evalúa el conocimiento en múltiples materias. DeepSeek-R1 cuenta con un 84 % de puntuación.

En GPQA Diamond, un conjunto de datos muy desafiante con preguntas de biología, física y química, Gemini 2.0 Flash obtiene un 60 %, la versión Pro alcanza casi el 65 %, mientras que DeepSeek-R1 logró el 71,5 %.

Sin embargo, Google no proporciona resultados de referencia para las variantes "pensantes" de sus modelos, que ya están disponibles y pueden tener un mejor rendimiento. En Chatbot Arena, 2.0 Flash Thinking Experimental está clasificado actualmente como el mejor del mundo.

Google dice que su Germini 2.0 Pro "tiene el rendimiento de codificación más sólido y la capacidad de manejar indicaciones complejas, con una mejor comprensión y razonamiento del conocimiento del mundo, que cualquier modelo que hayamos lanzado hasta ahora". Según BigCodeBench, hasta que haya más pruebas disponibles, el R1 parece tener un mejor rendimiento en la codificación.

Gemini supera al R1 y a la mayoría de los otros modelos con una gigantesca ventana de contexto de dos millones de tokens para la versión Pro Experimental y un millón para los otros modelos Flash. La gran ventana de contexto permite "analizar y comprender de forma exhaustiva grandes cantidades de información, así como la capacidad de llamar a herramientas como Google Search y la ejecución de código".

Google ahora también ofrece mejores precios para la API Flash de Gemini 2.0 para desarrolladores. Su precio es de $0,10 por un millón de tokens de entrada (DeepSeek-R1: $0,14-$0,55/1 millón de tokens de entrada) y $0,4 por un millón de tokens de salida (DeepSeek-R1: $2,19/1 millón de tokens de salida). Google no ha indicado el precio del modelo Pro. Los modelos de Google también admiten entradas de imagen y audio.

Google también presentó una alternativa más rentable: el modelo Gemini 2.0 Flash-lite, que supera al Flash 1.5 anterior. Este modelo cuesta 0,075 y 0,3 dólares por millón de tokens de entrada y salida, respectivamente.

"Al igual que Flash 2.0, tiene una ventana de contexto de un millón de tokens y una entrada multimodal. Por ejemplo, puede generar un título relevante de una línea para alrededor de 40.000 fotos únicas, lo que cuesta menos de un dólar en el nivel de pago de Google AI Studio", dijo Google.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


#5
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Reddit, una popular red comunitaria, prohibió el miércoles más de 90 subreddits NSFW (no aptos para el trabajo).

Los usuarios siguen buscando respuestas sobre lo que sucedió con la plataforma de redes sociales.

El motivo de la prohibición fue que estos subreddits no habían sido moderados.

Sin embargo, esto resultó no ser del todo cierto, ya que los usuarios de la plataforma demostraron que muchos de los subreddits prohibidos sí lo están.

Poco después, la mayoría de los subreddits afectados fueron recuperados.

Más tarde se anunció en r/ModSupport que el "problema se había solucionado" y que la situación se produjo debido a un error "con una de [...] herramientas que provocó que algunos subreddits se prohibieran incorrectamente".

La publicación también afirmó que el equipo ha estado trabajando para solucionar el problema y que algunas comunidades ya han sido desbaneadas.

Entre los subreddits prohibidos había comunidades con varios millones de miembros. Por ejemplo, r/porn, r/rule34 con casi cuatro millones de redditors y r/NSFW_gifs con más de dos millones de miembros. La plataforma también prohibió los subreddits que publican contenido similar al NSFW, como r/cubancigars y r/transgender_surgeries.

Esta no es la primera vez que se prohíben subreddits NSFW, la última vez ocurrió hace cinco meses.

"Esto ya pasó dos veces. Los bots no deberían estar a cargo de prohibir subs", escribió uno de los usuarios.

Más personas participaron en la discusión sobre cómo pudo haber sucedido esto y por qué Reddit no había aprendido la lección durante la primera prohibición.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"El hecho de que sea la segunda vez en seis meses que esto sucede es muy inquietante. Cuando sucedió la primera vez, se deberían haber escrito scripts de prueba para probar este mismo escenario y cualquier otro escenario posible que se pudiera pensar para que no vuelva a suceder. [...] Hazlo mejor, Reddit", concluyó un usuario de Reddit.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#6
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un grupo de piratas informáticos no identificados ha violado las bases de datos de los talibanes, filtrando documentos de 21 ministerios y agencias gubernamentales, algunos de los cuales parecen estar clasificados, según informes que circulan en línea.

Los archivos filtrados incluyen documentos de los ministerios controlados por los talibanes de finanzas, justicia, asuntos exteriores, información y cultura, telecomunicaciones y minería, así como del Tribunal Supremo y el Ministerio para la Promoción de la Virtud y la Prevención del Vicio.

Los piratas informáticos han publicado cientos de estos documentos en un sitio web llamado "Talibleaks".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En una cobertura relacionada con el supuesto hackeo, también se informa:

Según los documentos, el líder talibán Haibatullah Akhundzada también ha prohibido los viajes académicos al extranjero sin su aprobación directa y ha impuesto restricciones de viaje a más de 8.000 ex empleados del gobierno, impidiéndoles salir del país.

Los documentos, publicados por el sitio web Talib Leaks, indican que, a partir de enero de 2024, alrededor de 80 ciudadanos extranjeros, incluidas seis mujeres, se encuentran detenidos en cárceles controladas por los talibanes.

Khaama Press informa hoy de la respuesta de los talibanes:

"El Ministerio ha confirmado que se han filtrado documentos de decenas de sus departamentos. El jueves, el ministerio declaró que la información inicial sugiere que estos documentos pueden haber sido obtenidos de ordenadores individuales que carecían de medidas de seguridad adecuadas."

Sin embargo, los funcionarios talibanes afirman que la base de datos del gobierno central no ha sido pirateada.

Fuente:
DataBreaches
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7


Microsoft ha publicado un script de PowerShell para ayudar a los usuarios y administradores de Windows a actualizar los medios de arranque para que utilicen el nuevo certificado "Windows UEFI CA 2023" antes de que se apliquen las mitigaciones del kit de arranque UEFI de BlackLotus a finales de este año.

BlackLotus es un kit de arranque UEFI que puede omitir el arranque seguro y obtener el control sobre el proceso de arranque del sistema operativo. Una vez que tiene el control, BlackLotus puede deshabilitar las funciones de seguridad de Windows, como BitLocker, Hypervisor-Protected Code Integrity (HVCI) y Microsoft Defender Antivirus, lo que le permite implementar malware en el nivel de privilegio más alto sin ser detectado.

En marzo de 2023 y luego en julio de 2024, Microsoft publicó actualizaciones de seguridad para una omisión del arranque seguro identificada como CVE-2023-24932 que revoca los administradores de arranque vulnerables utilizados por BlackLotus.

Sin embargo, esta solución está deshabilitada de forma predeterminada, ya que la aplicación incorrecta de la actualización o los conflictos en los dispositivos podrían hacer que el sistema operativo ya no se cargue. En cambio, la implementación de la corrección en etapas permite a los administradores de Windows probarla antes de que se implemente en algún momento antes de 2026.

Cuando se habilita, la actualización de seguridad agregará el certificado "Windows UEFI CA 2023" a la "Base de datos de firmas de arranque seguro" de UEFI. Luego, los administradores pueden instalar administradores de arranque más nuevos que estén firmados con este certificado.

Este proceso también incluye la actualización de la Base de datos de firmas prohibidas de arranque seguro (DBX) para agregar el certificado "Windows Production CA 2011". Este certificado se usa para firmar administradores de arranque más antiguos y vulnerables y, una vez revocado, hará que esos administradores de arranque dejen de ser confiables y no se carguen.

Sin embargo, si aplica las mitigaciones y tiene un problema al iniciar sus dispositivos, primero debe actualizar su medio de arranque para usar el certificado Windows UEFI CA 2023 para solucionar problemas de instalación de Windows.

"Si encuentra un problema con el dispositivo después de aplicar las mitigaciones y el dispositivo deja de arrancar, es posible que no pueda iniciar o recuperar su dispositivo desde un medio existente", explica Microsoft en un boletín de soporte sobre la implementación por etapas de correcciones para CVE-2023-24932.

"Será necesario actualizar los medios de recuperación o instalación para que funcionen con un dispositivo que tenga las mitigaciones aplicadas".

Ayer, Microsoft lanzó un script de PowerShell que le ayuda a actualizar los medios de arranque para que utilicen el certificado Windows UEFI CA 2023.

"El script de PowerShell descrito en este artículo se puede utilizar para actualizar los medios de arranque de Windows de modo que se puedan utilizar en sistemas que confíen en el certificado Windows UEFI CA 2023", explica un nuevo boletín de soporte sobre el script.

El script de PowerShell se puede descargar desde Microsoft y se puede utilizar para actualizar los archivos de medios de arranque para archivos de imagen ISO de CD/DVD, una unidad flash USB, una ruta de unidad local o una ruta de unidad de red.

Descarga directa:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para utilizar la utilidad, primero debe descargar e instalar Windows ADK, que es necesario para que este script funcione correctamente:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cuando se ejecuta, el script actualizará los archivos de medios para utilizar el certificado Windows UEFI CA 2023 e instalará los administradores de arranque firmados por este certificado.

Se recomienda encarecidamente que los administradores de Windows prueben este proceso antes de llegar a la etapa de aplicación de las actualizaciones de seguridad. Microsoft dice que esto sucederá a fines de 2026 y dará un aviso seis meses antes de que comience.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#8
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una imagen increíble, enterrada en lo más profundo de un informe militar anual publicado el mes pasado, muestra a la Marina de los EE. UU. probando un arma láser de alta potencia contra un objetivo de drones desde uno de sus buques de guerra.

La foto del arma láser en acción se publicó en enero como parte de un informe de 2024 publicado por la Oficina del Director de Pruebas y Evaluación Operativas, que asesora al Departamento de Defensa sobre sistemas de armas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La imagen sin fecha muestra a la Marina de los EE. UU. probando un sistema de armas conocido como HELIOS desde el destructor USS Preble en medio del océano. La demostración fue para "verificar y validar la funcionalidad, el rendimiento y la capacidad" del arma láser contra un objetivo aéreo no tripulado, según el informe.

El Centro de Contramedidas de los EE. UU. fue responsable de recopilar imágenes de la prueba.

El informe no proporcionó detalles específicos sobre la prueba y no especificó dónde estaba estacionado el buque de guerra en el momento de la prueba ni cuándo se disparó el arma láser.

¿Qué es el arma HELIOS?

El sistema de armas de láser de alta energía y deslumbramiento óptico integrado y vigilancia (HELIOS) es un sistema de armas desarrollado por Lockheed Martin capaz de atacar objetivos a la velocidad de la luz.

El sistema puede destruir drones, embarcaciones y misiles fundiéndolos o sobrecalentándolos. El arma no solo puede utilizar un láser de alta energía para destruir objetivos, sino que también está diseñada para interrumpir los esfuerzos de recopilación de inteligencia y los sensores de reconocimiento de los adversarios.

Según Naval News, que fue el primero en informar sobre la prueba, la Armada planea seguir probando el HELIO en 2025 desde el Preble. Según el informe anual, el Departamento de Defensa también necesitaría nuevos campos de prueba y entrenamiento especializados para seguir probando el HELIOS.

Reino Unido también probó armas láser

El Reino Unido también ha estado desarrollando su propio sistema de defensa basado en láser.

El año pasado, el Reino Unido probó con éxito su propia arma láser de alta potencia, DragonFire, contra objetivos aéreos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El alcance de DragonFire es secreto, pero el Ministerio de Defensa del Reino Unido dijo en un comunicado de prensa en enero de 2024 que el arma de línea de visión puede atacar cualquier objetivo visible con una precisión equivalente a golpear una moneda a un kilómetro de distancia.

"Este tipo de armamento de última generación tiene el potencial de revolucionar el campo de batalla al reducir la dependencia de municiones costosas, al tiempo que reduce el riesgo de daños colaterales", dijo el Secretario de Defensa del Reino Unido, Grant Shapp, en una declaración en ese momento.

¿Cómo funcionan las armas basadas en láser?

En conjunto, las pruebas de Estados Unidos y el Reino Unido indican un creciente interés mundial en las armas basadas en láser, lo que representa un cambio importante en las tácticas de guerra modernas.

Las armas de energía dirigidas por láser pueden atacar objetivos a la velocidad de la luz, utilizando un haz de luz intenso para atravesarlos.

Además, los sistemas de armas son alternativas de bajo costo a las armas tradicionales. Disparar un arma de este tipo durante 10 segundos equivale en costo a usar un calentador normal durante solo una hora, según el ejército del Reino Unido.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#9


La CISA ha ordenado a las agencias federales que aseguren sus sistemas en un plazo de tres semanas contra una falla de alta gravedad del kernel de Linux que se explota activamente en ataques.

Identificada como CVE-2024-53104, la falla de seguridad se introdujo por primera vez en la versión 2.6.26 del kernel y fue parcheada por Google para los usuarios de Android el lunes.

"Hay indicios de que CVE-2024-53104 puede estar bajo explotación limitada y dirigida", advierten las actualizaciones de seguridad de Android de febrero de 2025.

Según el aviso de seguridad de Google, esta vulnerabilidad es causada por una debilidad de escritura fuera de límites en el controlador USB Video Class (UVC), que permite "la escalada física de privilegios sin necesidad de privilegios de ejecución adicionales" en dispositivos sin parches.

La incapacidad del controlador para analizar con precisión los marcos UVC_VS_UNDEFINED dentro de la función uvc_parse_format desencadena el problema, lo que lleva a errores de cálculo del tamaño del búfer de marco y posibles escrituras fuera de límites.

Si bien Google no proporcionó información adicional sobre los ataques de día cero que explotan esta vulnerabilidad, el equipo de desarrollo de GrapheneOS dice que esta vulnerabilidad del controlador periférico USB es "probablemente uno de los errores USB explotados por herramientas de extracción de datos forenses".

Según lo dispuesto por la Directiva Operativa Vinculante (BOD) 22-01 de noviembre de 2021, las agencias federales de EE. UU. deben proteger sus redes contra ataques continuos dirigidos a fallas agregadas al catálogo de vulnerabilidades explotadas conocidas de CISA.

La agencia de ciberseguridad ha dado a las agencias de la Rama Ejecutiva Civil Federal (FCEB) tres semanas para parchear sus dispositivos Linux y Android antes del 26 de febrero.

"Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal", advirtió hoy CISA.

El martes, CISA también etiquetó vulnerabilidades críticas y de alta gravedad en el software Microsoft .NET Framework y Apache OFBiz (Open For Business) como explotadas activamente en la naturaleza. Sin embargo, no proporcionó detalles sobre quién estaba detrás de los ataques.

Junto con las agencias de ciberseguridad Five Eyes en el Reino Unido, Australia, Canadá, Nueva Zelanda y los EE. UU., también compartió una guía de seguridad para dispositivos de borde de red, instando a los fabricantes a mejorar la visibilidad forense para ayudar a los defensores a detectar ataques e investigar infracciones.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido cuatro vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas, instando a las agencias federales y a las grandes organizaciones a aplicar las actualizaciones de seguridad disponibles lo antes posible.

Entre ellas se encuentran fallas que afectan a Microsoft .NET Framework y Apache OFBiz (Open For Business), dos aplicaciones de software muy utilizadas.

Aunque la agencia ha marcado esas fallas como explotadas activamente en ataques, no ha proporcionado detalles específicos sobre la actividad maliciosa, quién la está llevando a cabo y contra quién.

La primera falla, rastreada bajo CVE-2024-29059, es un error de divulgación de información de alta gravedad ( puntuación CVSS v3: 7,5 ) en .NET Framework descubierto por CODE WHITE y divulgado a Microsoft en noviembre de 2023.

Microsoft cerró el informe de divulgación en diciembre de 2023, declarando que "después de una investigación cuidadosa, determinamos que este caso no cumple con nuestro estándar para un servicio inmediato".

Sin embargo, Microsoft finalmente solucionó la falla en las actualizaciones de seguridad de enero de 2024, pero por error no emitió una CVE ni reconoció a los investigadores.

En febrero, CODE WHITE publicó detalles técnicos y una prueba de concepto de explotación para filtrar las URI de objetos internos, que se pueden usar para realizar ataques de .NET Remoting.

Microsoft finalmente publicó un aviso para esta falla bajo CVE-2024-29059 en marzo de 2024 y atribuyó el descubrimiento a los investigadores.

La falla de Apache OFBiz es CVE-2024-45195, una vulnerabilidad de ejecución remota de código de gravedad crítica ( puntuación CVSS v3: 9.8 ) que afectaba a OFBiz antes del 18.12.16.

La falla es causada por una debilidad de navegación forzada que expone rutas restringidas a ataques de solicitud directa no autenticada.

La falla fue descubierta originalmente por Rapid7, que también presentó una prueba de concepto (PoC), mientras que el proveedor la solucionó en septiembre de 2024.

Se recomienda a los usuarios que actualicen a Apache OFBiz versión 18.12.16 o posterior, que aborda el riesgo en particular.

Ahora, CISA insta a las agencias y organizaciones potencialmente afectadas a aplicar los parches y mitigaciones disponibles antes del 25 de febrero de 2025, o dejar de usar los productos.

Las otras dos fallas agregadas a KEV esta vez son CVE-2018-9276 y CVE-2018-19410, ambas afectando al software de monitoreo de red Paessler PRTG. Los problemas se solucionaron en la versión 18.2.41.1652, lanzada en junio de 2018.

La primera falla es un problema de inyección de comandos del sistema operativo y la segunda es una vulnerabilidad de inclusión de archivos locales. La fecha límite para aplicar parches a estos también se fijó para el 25 de febrero de 2025.

Lamentablemente, no hay información sobre cómo se están explotando estas fallas en los ataques.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La policía española ha detenido en Alicante a un presunto pirata informático por haber llevado a cabo 40 ciberataques contra organizaciones públicas y privadas críticas, entre ellas la Guardia Civil, el Ministerio de Defensa, la OTAN, el Ejército de Estados Unidos y varias universidades.

Según los medios españoles, el sospechoso fue llevado ante un tribunal y posteriormente puesto en libertad tras confiscarle el pasaporte para impedirle salir del país.

La investigación sobre las actividades del sospechoso se inició a principios de 2024 tras un informe sobre una filtración de datos de una asociación empresarial de Madrid, que apuntaba a filtraciones en foros de la dark web donde el sospechoso utilizaba varios alias para ocultar su rastro.

"Utilizando hasta tres seudónimos diferentes, el sospechoso atacó a organizaciones gubernamentales internacionales, accediendo a bases de datos que contenían información personal de empleados y clientes, así como a documentos internos que luego se vendían o publicaban libremente en foros", se lee en el comunicado de la policía española.

Además de la organización madrileña, las autoridades han confirmado las siguientes víctimas, todas ellas vulneradas por el mismo individuo a lo largo de 2024:

La Fábrica Nacional de Moneda y Timbre

El Servicio Público de Empleo Estatal

El Ministerio de Educación, Formación Profesional y Deportes

Varias universidades españolas

Bases de datos de la OTAN y del Ejército de Estados Unidos

La Dirección General de Tráfico

La Generalitat Valenciana

Las Naciones Unidas

La Organización de Aviación Civil Internacional (OACI)

La Guardia Civil

El Ministerio de Defensa

Las publicaciones relacionadas con estos ataques aparecieron en el foro de piratería BreachForums, donde un actor de amenazas intentó vender o filtrar los datos. En algunos casos, el actor de amenazas afirmó haber vendido con éxito los datos a otros actores de amenazas.

El actor de amenazas utilizó habitualmente el foro de piratería BreachForums para vender y filtrar los datos robados en estos ataques, y las filtraciones de la OTAN, el ejército de Estados Unidos y la Guardia Civil y el Ministerio de Defensa de España figuran como vendidas con éxito.

En algunos de estos ataques, como el de la Organización de Aviación Civil Internacional, el hacker publicó los datos robados en BreachForums el 5 de enero de 2025, utilizando el alias 'natohub'. Las acusaciones sobre la filtración de datos se confirmaron posteriormente oficialmente como ciertas.

Aunque el sospechoso utilizó tecnologías de anonimización para evadir a las autoridades, la policía afirma que pudo localizarlo con la ayuda de investigadores del Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI), Europol y el Servicio de Investigaciones de Seguridad Nacional de Estados Unidos (HSI).

Durante el allanamiento en la residencia del sospechoso, la policía encontró y confiscó varios ordenadores, dispositivos electrónicos y 50 cuentas de criptomonedas que contenían varios activos digitales.

Las autoridades han declarado que, por el momento, no se descarta la vinculación del sospechoso con otros delitos o con complicidades.

En cuanto a las posibles sanciones, el hacker podría enfrentarse a cargos por descubrimiento y revelación de secretos, acceso ilegal a sistemas informáticos, daños informáticos y blanqueo de capitales, que conllevan una pena máxima de 20 años de cárcel según la legislación española.



Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12


Netgear ha corregido dos vulnerabilidades críticas que afectan a varios modelos de enrutadores WiFi e instó a los clientes a actualizar sus dispositivos al firmware más reciente lo antes posible.

Las fallas de seguridad afectan a varios puntos de acceso WiFi 6 (WAX206, WAX214v2 y WAX220) y modelos de enrutadores Nighthawk Pro Gaming (XR1000, XR1000v2, XR500).

Aunque la empresa estadounidense de redes informáticas no reveló más detalles sobre los dos errores, sí reveló que los actores de amenazas no autenticados pueden explotarlos para la ejecución remota de código (rastreado internamente como PSV-2023-0039) y la omisión de autenticación (PSV-2021-0117) en ataques de baja complejidad que no requieren la interacción del usuario.

"NETGEAR recomienda encarecidamente que descargue el firmware más reciente lo antes posible", dijo la empresa en los avisos de seguridad publicados durante el fin de semana.

La siguiente tabla enumera todos los modelos de enrutadores vulnerables y las versiones de firmware con parches de seguridad.

Vulnerable Netgear router   Patched firmware version
XR1000                          Firmware version 1.0.0.74
XR1000v2                   Firmware version 1.1.0.22
XR500                           Firmware version 2.3.2.134
WAX206                           Firmware version 1.0.5.3
WAX220                           Firmware version 1.0.5.3
WAX214v2                   Firmware version 1.0.2.5

Para descargar e instalar el último firmware para su enrutador Netgear, debe seguir los siguientes pasos:

Visite el soporte técnico de NETGEAR
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Comience a escribir el número de modelo en el cuadro de búsqueda y, a continuación, seleccione su modelo en el menú desplegable tan pronto como aparezca.

Si no ve un menú desplegable, asegúrese de haber introducido correctamente el número de modelo o seleccione una categoría de producto para buscar el modelo de su producto.

Haga clic en Descargas.

En Versiones actuales, seleccione la primera descarga cuyo título comience con Versión de firmware.

Haga clic en Notas de la versión.

Siga las instrucciones de las notas de la versión para descargar e instalar el nuevo firmware.

"La vulnerabilidad RCE no autenticada persiste si no completa todos los pasos recomendados", advirtió la empresa el sábado.

"NETGEAR no es responsable de ninguna consecuencia que se podría haber evitado siguiendo las recomendaciones de esta notificación".

En julio, Netgear también instó a los clientes a actualizar de inmediato el firmware para reparar las vulnerabilidades de cross-site scripting (XSS) y de omisión de autenticación que afectan a varios modelos de enrutadores WiFi 6.

Un mes antes, los investigadores de seguridad revelaron seis fallas de distintos niveles de gravedad en Netgear WNR614 N300, un enrutador al final de su vida útil popular entre los usuarios domésticos y las pequeñas empresas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta




#13
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las aplicaciones de Android e iOS en Google Play Store y Apple App Store contienen un kit de desarrollo de software malicioso (SDK) diseñado para robar frases de recuperación de monederos de criptomonedas mediante ladrones de reconocimiento óptico de caracteres (OCR).

La campaña se llama "SparkCat" por el nombre ("Spark") de uno de los componentes maliciosos del SDK en las aplicaciones infectadas, y es probable que los desarrolladores no participen en la operación de manera consciente.

Según Kaspersky, solo en Google Play, donde los números de descarga están disponibles públicamente, las aplicaciones infectadas se descargaron más de 242.000 veces.

"Encontramos aplicaciones de Android e iOS que tenían un SDK/marco malicioso integrado para robar frases de recuperación de monederos de criptomonedas, algunas de las cuales estaban disponibles en Google Play y App Store", explica Kaspersky.

"Las aplicaciones infectadas se descargaron más de 242.000 veces desde Google Play. Este es el primer caso conocido de un ladrón encontrado en App Store".

El SDK de Spark roba tus criptomonedas

El SDK malicioso en las aplicaciones de Android infectadas utiliza un componente Java malicioso llamado "Spark", disfrazado de módulo de análisis. Utiliza un archivo de configuración cifrado almacenado en GitLab, que proporciona comandos y actualizaciones operativas.

En la plataforma iOS, el marco tiene diferentes nombres como "Gzip", "googleappsdk" o "stat". Además, utiliza un módulo de red basado en Rust llamado "im_net_sys" para manejar la comunicación con los servidores de comando y control (C2).

El módulo utiliza el OCR de Google ML Kit para extraer texto de las imágenes en el dispositivo, tratando de localizar frases de recuperación que se pueden usar para cargar billeteras de criptomonedas en los dispositivos de los atacantes sin conocer la contraseña.

"Este (el componente malicioso) carga diferentes modelos de OCR según el idioma del sistema para distinguir caracteres latinos, coreanos, chinos y japoneses en las imágenes", explica Kaspersky.

"Luego, el SDK carga información sobre el dispositivo al servidor de comandos a lo largo de la ruta /api/e/d/u y, en respuesta, recibe un objeto que regula el funcionamiento posterior del malware".

El malware busca imágenes que contienen secretos mediante palabras clave específicas en diferentes idiomas, que cambian según la región (Europa, Asia, etc.).

Kaspersky afirma que, si bien algunas aplicaciones muestran una segmentación específica por región, no se puede descartar la posibilidad de que funcionen fuera de las áreas geográficas designadas.

Las aplicaciones infectadas

Según Kaspersky, hay dieciocho aplicaciones de Android y diez de iOS infectadas, y muchas de ellas aún están disponibles en sus respectivas tiendas de aplicaciones.

Una de las aplicaciones que Kaspersky ha informado como infectadas es la aplicación Android ChatAi, que se instaló más de 50.000 veces. Esta aplicación ya no está disponible en Google Play.

En general, almacenar frases de recuperación de billeteras de criptomonedas en capturas de pantalla es una práctica que se debe evitar.

En su lugar, guárdelas en medios físicos sin conexión, dispositivos de almacenamiento extraíbles cifrados o en la bóveda de administradores de contraseñas sin conexión alojados por usted mismo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14


Zyxel ha emitido un aviso de seguridad sobre fallas explotadas activamente en los dispositivos de la serie CPE, advirtiendo que no tiene planes de emitir parches de reparación e instando a los usuarios a pasarse a modelos con soporte activo.

VulnCheck descubrió las dos fallas en julio de 2024, pero la semana pasada, GreyNoise informó haber visto intentos de explotación en la red.

Según los motores de escaneo de red FOFA y Censys, más de 1500 dispositivos de la serie CPE de Zyxel están expuestos a Internet, por lo que la superficie de ataque es significativa.

En una nueva publicación de hoy, VulnCheck presentó los detalles completos de las dos fallas que observó en ataques destinados a obtener acceso inicial a las redes:

CVE-2024-40891: los usuarios autenticados pueden explotar la inyección de comandos Telnet debido a una validación de comandos incorrecta en libcms_cli.so. Ciertos comandos (por ejemplo, ifconfig, ping, tftp) se pasan sin marcar a una función de ejecución de shell, lo que permite la ejecución de código arbitrario utilizando metacaracteres de shell.

CVE-2025-0890: los dispositivos utilizan credenciales predeterminadas débiles (admin:1234, zyuser:1234, supervisor:zyad1234), que muchos usuarios no cambian. La cuenta de supervisor tiene privilegios ocultos que otorgan acceso total al sistema, mientras que zyuser puede aprovechar CVE-2024-40891 para la ejecución remota de código.

Cuentas predeterminadas en el archivo /etc/default.cfg



VulnCheck reveló los detalles completos de la explotación, demostrando su PoC contra VMG4325-B10A con la versión de firmware 1.00(AAFR.4)C0_20170615.

PoC para inyección de comandos Telnet


Los investigadores advirtieron que, a pesar de que estos dispositivos ya no reciben soporte desde hace muchos años, todavía se encuentran en redes de todo el mundo.

"Aunque estos sistemas son más antiguos y aparentemente hace tiempo que no reciben soporte, siguen siendo muy relevantes debido a su uso continuo en todo el mundo y al interés sostenido de los atacantes", advirtió VulnCheck.

"El hecho de que los atacantes sigan explotando activamente estos enrutadores subraya la necesidad de prestarles atención, ya que comprender los ataques del mundo real es fundamental para una investigación de seguridad eficaz".

Zyxel sugiere un reemplazo

El último aviso de Zyxel confirma que las vulnerabilidades reveladas por VulnCheck hoy afectan a varios productos al final de su vida útil (EoL).

El proveedor afirma que los dispositivos afectados alcanzaron el EoL hace varios años, lo que sugiere su reemplazo por equipos de nueva generación.

"Hemos confirmado que los modelos afectados informados por VulnCheck, VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 y SBG3500, son productos antiguos que han llegado al final de su vida útil (EOL) hace años", se lee en el aviso de Zyxel.

"Por lo tanto, recomendamos encarecidamente que los usuarios los reemplacen con productos de nueva generación para una protección óptima".

Zyxel también incluye una tercera falla en el aviso, CVE-2024-40890, un problema de inyección de comandos posterior a la autenticación similar a CVE-2024-40891.

Curiosamente, Zyxel afirma que, aunque solicitó a VulnCheck que compartiera un informe detallado desde julio pasado, nunca lo hicieron. En cambio, supuestamente publicaron su informe sin informarles.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


#15
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El fabricante israelí de software espía Paragon Solutions confirmó a TechCrunch que vende sus productos al gobierno de Estados Unidos y a otros países aliados no especificados.

El presidente ejecutivo de Paragon, John Fleming, dijo en una declaración a TechCrunch el martes que "Paragon otorga licencias de su tecnología a un grupo selecto de democracias globales, principalmente, Estados Unidos y sus aliados".

Fleming también dijo que Paragon "requiere que todos los usuarios acepten los términos y condiciones que prohíben explícitamente el ataque ilícito a periodistas y otras figuras de la sociedad civil. Tenemos una política de tolerancia cero contra ese tipo de ataques y terminaremos nuestra relación con cualquier cliente que viole nuestros términos de servicio".

Estos comentarios se producen después de que WhatsApp alegara el viernes que el software espía de Paragon se utilizó en una campaña de piratería informática dirigida a unos 90 periodistas y otros miembros de la sociedad civil. Desde entonces, al menos dos personas se han presentado y afirmaron que estaban entre los objetivos: el periodista italiano Francesco Cancellato y el activista libio radicado en Suecia Husam El Gomati.

Fleming no respondió a una serie de preguntas específicas, incluidas aquellas que pedían más detalles sobre a quién considera Paragon un aliado de Estados Unidos y una democracia; qué dicen exactamente sus términos de servicio sobre la prohibición de atacar a periodistas y miembros de la sociedad civil con su software espía; si la empresa puede investigar e investiga las denuncias de abuso, como las realizadas por WhatsApp; si la empresa está investigando las denuncias de WhatsApp; y si Paragon alguna vez ha rescindido un contrato debido a tales violaciones.

El año pasado, Wired fue el primero en informar que la filial estadounidense de Paragon había firmado un contrato por valor de 2 millones de dólares con el Servicio de Inmigración y Control de Aduanas de Estados Unidos, pero la empresa no hizo comentarios en ese momento.

La firma de capital privado estadounidense AE Industrial hizo una oferta para adquirir Paragon el año pasado por alrededor de 900 millones de dólares. Cuando se le solicitó un comentario, el portavoz de AE Industrial, Matt Conroy, no hizo comentarios y se remitió a Paragon.

WhatsApp dijo el viernes que había enviado una carta de cese y desistimiento a Paragon. Fleming se negó a hacer comentarios sobre la carta.

Cancellato es el director del sitio web de noticias No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que publicó una investigación el año pasado sobre "Gioventù Meloniana", el ala juvenil del partido Fratelli d'Italia, liderado por la actual primera ministra Giorgia Meloni, que ha estado al frente del gobierno italiano desde 2022. Gracias a grabaciones de video encubiertas de miembros de "Gioventù Meloniana", Fanpage mostró que varios de ellos hicieron comentarios racistas y antisemitas, usaron la palabra N y corearon consignas nazis y pro dictador italiano Benito Mussolini. La investigación llevó a los partidos de la oposición a criticar a Meloni.

"Me siento violado", dijo Cancellato, quien habló de enterarse de que su teléfono fue atacado, a TechCrunch. "Te preguntas, ¿por qué yo? Esta es la cuestión, quiero decir, ¿qué querían de mí?"

Aunque El Gomati vive en Suecia y es libio, ha criticado la relación entre el gobierno italiano y el libio, en particular su colaboración para impedir que los inmigrantes libios crucen el mar Mediterráneo y lleguen al país europeo.

Ynetnews informó el lunes que Italia es cliente de Paragon, pero hasta el momento no ha habido ninguna otra confirmación de esa afirmación.

Fleming no respondió cuando se le preguntó si Italia era cliente de Paragon, y el gobierno italiano no respondió a una solicitud de comentarios de TechCrunch.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente
:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Ayer, AMD y Google revelaron públicamente los hallazgos de septiembre de una vulnerabilidad clave en el microcódigo de las CPU AMD Zen 1 a Zen 4, específicamente las CPU EPYC de la plataforma empresarial/servidor. Esta vulnerabilidad, CVE-2024-56161, se analiza con más detalle en la publicación de GitHub del equipo de investigación de seguridad de Google y, por supuesto, en el boletín de seguridad de AMD sobre la vulnerabilidad.

Google
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

AMD
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según la documentación de Google, el problema original se informó el 25 de septiembre de 2024 y AMD lo solucionó aproximadamente dos meses y medio después, el 17 de diciembre de 2024. La fecha de divulgación pública se retrasó hasta ayer, 3 de febrero, para dar tiempo a los clientes de AMD de aplicar la solución antes de que el problema se generalizara.

Según la redacción oficial de AMD, "Los investigadores de Google han proporcionado a AMD información sobre una posible vulnerabilidad que, si se explota con éxito, podría provocar la pérdida de la protección basada en SEV de un invitado confidencial".

SEV hace referencia a Secure Encrypted Virtualization (virtualización cifrada segura), una función que utilizan las CPU AMD de nivel de servidor para permitir la virtualización. Por lo general, esto significa "clientes ligeros" remotos o locales cuyos datos se almacenan y gestionan en un servidor central. Los dispositivos que utilizan para acceder a ellos son tan secundarios que a veces tienen poca o ninguna capacidad de procesamiento. La configuración específica puede variar. Aun así, el propósito de virtualizar varios usuarios suele ser ahorrar en costes de hardware o proporcionar un mayor grado de seguridad (a veces, ambas cosas).

La pérdida de la protección basada en SEV a través de un exploit de microcódigo significa que los datos confidenciales de los usuarios virtualizados afectados por este exploit ahora pueden ser robados. Sin embargo, la carga de microcódigo malicioso podría permitir más exploits que el robo de datos.

La serie específica de CPU AMD EPYC afectadas incluye las siguientes: AMD EPYC 7001 (Nápoles), AMD Epyc 7002 (Roma), AMD Epyc 7003 (Milán y Milán-X) y AMD Epyc 9004 (Génova, Génova-X y Bérgamo/Siena). Afortunadamente, ya se han publicado actualizaciones de microcódigo para las CPU afectadas, por lo que el uso de las utilidades de actualización adecuadas (actualizaciones de BIOS, etc.) debería funcionar bien, pero como señala AMD, es posible que se requiera una actualización de firmware de SEV para algunas plataformas para admitir la solución a través de la certificación SEV-SNP correctamente.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#17
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para sorpresa de muchos otros usuarios de Discord que han sentido que la aplicación se ha vuelto más pesada y menos eficiente con el tiempo, un desarrollador solitario ha logrado adaptar Discord con la mayoría de sus funciones clave intactas a Windows 95 y Windows 98 Segunda Edición. Si reducimos Discord a su forma más básica, todavía tiene sentido que esto sea posible. Después de todo, cualquier mensajero instantáneo moderno y sofisticado es simplemente un cliente de IRC con un sombrero elegante.

IProgramInCpp realizó este trabajo de desarrollo y se destaca como uno de los muchos ejemplos de aplicaciones inesperadas que se hicieron funcionar en Windows 95 y 98; tenga en cuenta que una vez vimos que todo el .NET Framework (y por lo tanto miles de aplicaciones dependientes) se adaptaron a Windows 95.

Según el desarrollador, ejecutar el acertadamente llamado Discord Messenger en Windows 95 requerirá mucho más del usuario final que en Windows 98 Special Edition, donde el cliente funciona de inmediato. Para versiones anteriores de Windows, necesitará compilar el programa con MinGW.

Las instrucciones de instalación detalladas están disponibles en la página de GitHub para aquellos que deseen obtener un cliente de Discord que funcione en su PC anterior:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Afortunadamente, Windows 98 SE, Windows XP SP2 y otras versiones más nuevas de Windows deberían poder ejecutar este sin problemas. Incluso funciona en versiones modernas de Windows, aunque tienes muy pocas razones para usarlo en un sistema moderno a menos que odies esa sobrecarga de Discord.

Discord Messenger se ejecuta en Windows 98 Second Edition, con formato panorámico para su comodidad. Tenga en cuenta que lograr que funcione en formato panorámico en Windows 98 puede resultar muy difícil según la configuración de hardware específica. (Crédito de la imagen: @IProgramInCpp en Twitter)

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Por supuesto, este port no está necesariamente completo en cuanto a funciones, y algunas de ellas aparentemente nunca se agregarán, ya sea por limitaciones técnicas o por intentos de evitar que Discord detecte spam. Técnicamente, usar su propio cliente de Discord viola los Términos de servicio, por lo que se recomienda a los usuarios que sean cautelosos con este cliente, especialmente si existe la opción de una cuenta alternativa más segura.

Las funciones implementadas durante la redacción incluyen la funcionalidad de mensajería más básica: mensajes directos, servidores, imágenes, carga de archivos adjuntos, edición de mensajes, respuestas y eliminación. Esto incluye indicadores de tipeo, incrustaciones, visualización de listas de miembros del servidor e indicadores de URL no confiables.

Entre las funciones que no se han implementado y que se añadirán se encuentran la lista de amigos, el modo oscuro, la entrada y la unión a canales de voz, el bloqueo o cierre de mensajes directos, el silenciamiento de canales, el cambio de nombre para mostrar y el estado personalizado, y otras funciones básicas que todavía faltan. De estas funciones, parece que la compatibilidad con llamadas de voz (tanto la conexión a servidores como la compatibilidad con los protocolos en uso) está bastante lejos en el futuro, lo que es sensato teniendo en cuenta lo relativamente vanguardista que es ese aspecto de Discord en comparación con el resto, que es básicamente un cliente de IRC con un sombrero elegante.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


#18


Las actualizaciones de seguridad de Android de febrero de 2025 corrigen 48 vulnerabilidades, incluida una vulnerabilidad de día cero del kernel que se ha explotado de forma activa.

Este día cero de alta gravedad (identificado como CVE-2024-53104) es una falla de seguridad de escalada de privilegios en el controlador de clase de video USB del kernel de Android que permite a los actores de amenazas locales autenticados elevar los privilegios en ataques de baja complejidad.

El problema se produce porque el controlador no analiza con precisión los marcos del tipo UVC_VS_UNDEFINED dentro de la función uvc_parse_format. Como resultado, el tamaño del búfer de marcos se calcula mal, lo que genera posibles escrituras fuera de los límites que se pueden explotar en la ejecución de código arbitrario o en ataques de denegación de servicio.

Además de este error de día cero explotado activamente, las actualizaciones de seguridad de Android de febrero de 2025 también corrigen una falla de seguridad crítica en el componente WLAN de Qualcomm.

Qualcomm describe esta falla crítica (CVE-2024-45569) como un problema de corrupción de memoria de firmware causado por una debilidad de Validación incorrecta del índice de matriz en la comunicación del host WLAN al analizar el IE de ML debido a un contenido de trama no válido.

Los atacantes remotos pueden aprovechar CVE-2024-45569 para ejecutar código o comandos arbitrarios, leer o modificar la memoria y provocar fallas en ataques de baja complejidad que no requieren privilegios ni interacción del usuario.

Niveles de parches de seguridad de Android

Google lanzó dos conjuntos de parches para febrero de 2025, los niveles de parches de seguridad 2025-02-01 y 2025-02-05. El último incluye todas las correcciones del primer lote y parches adicionales para elementos de kernel y de terceros de código cerrado, que pueden no aplicarse a todos los dispositivos Android.

Los proveedores pueden priorizar el conjunto de parches anterior para actualizaciones más rápidas, lo que no necesariamente indica un mayor riesgo de explotación.

Los dispositivos Google Pixel recibirán actualizaciones de inmediato, mientras que otros fabricantes suelen tardar más en probar y ajustar los parches de seguridad para varias configuraciones de hardware.

En noviembre, Google corrigió dos vulnerabilidades de día cero de Android explotadas activamente (CVE-2024-43047 y CVE-2024-43093), también etiquetadas como explotadas en ataques limitados y dirigidos.

Google Project Zero detectó por primera vez CVE-2024-43047 como explotado activamente en octubre de 2024. El gobierno serbio también lo explotó en ataques con el software espía NoviSpy para comprometer los dispositivos Android de activistas, periodistas y manifestantes.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19


Microsoft anunció que eliminará su función de VPN de Protección de privacidad en la aplicación Microsoft Defender a fines de mes para centrarse en otras funciones.

El anuncio del gigante tecnológico no brinda una explicación detallada de por qué la función quedará obsoleta. Sin embargo, la redacción indica que la función no se usa mucho y que la empresa desea centrarse en otras funciones.

"Nuestro objetivo es garantizar que usted y su familia permanezcan más seguros en línea", se lee en el anuncio de Microsoft.

"Evaluamos de manera rutinaria el uso y la eficacia de nuestras funciones. Como tal, estamos eliminando la función de protección de privacidad e invertiremos en nuevas áreas que se alinearán mejor con las necesidades de los clientes".

La Protección de privacidad es una solución VPN agregada a la aplicación Microsoft Defender para Android, iOS, Windows y macOS como parte de las suscripciones 365 Personal y Familiar.

Los suscriptores reciben 50 GB de datos mensuales para proteger su privacidad mientras se conectan a puntos de acceso Wi-Fi públicos.

En septiembre de 2024, Microsoft amplió el uso de la función VPN de Defender, detectando automáticamente las conexiones no seguras y ofreciendo activarla para una protección mejorada contra ataques Man-in-the-Middle (MiTM) y Evil Twin.

A pesar de todo eso, Microsoft nunca comercializó la función de manera agresiva, y la VPN de Defender solo encontró una aceptación y adopción limitadas en el mercado estadounidense.

Aunque la Protección de la privacidad desaparecerá el 28 de febrero de 2025, Microsoft señaló que la protección del dispositivo, el robo de identidad y el monitoreo de crédito (solo para EE. UU.) seguirán estando disponibles como de costumbre.

Para los usuarios de Windows, iOS y macOS, no se requiere ninguna acción. Sin embargo, los usuarios de Android deben eliminar el perfil VPN de Defender de su dispositivo, ya que dejarlo sin cambios afectará su capacidad de navegación en la red después de la fecha de finalización del soporte.

Para hacer esto, dirígete a Configuración → VPN → Perfiles → Microsoft Defender → haz clic en información y elimínalo. Ten en cuenta que estos pasos pueden variar según las versiones de Android o OEM.

La eliminación de la Protección de privacidad en Defender se produce después de un aumento de precio en las suscripciones a Microsoft 365 el mes pasado, el primero en 12 años, lo que refleja la integración de funciones impulsadas por IA como Copilot en Word, Excel, PowerPoint, Outlook y OneNote.

Naturalmente, la eliminación de una función útil incluida en la suite tan pronto después de un aumento de precio no va a tener una buena acogida entre los clientes afectados.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El lunes, la División Penal del Departamento de Justicia de Estados Unidos (DoJ) acusó a un conocido pirata informático adolescente (ahora adulto) de explotar dos protocolos de finanzas descentralizadas (DeFi) y de robar 65 millones de dólares en criptomonedas de los inversores del protocolo.

La acusación penal de cinco cargos se hizo pública el lunes en un tribunal federal de Nueva York.

El ex pirata informático adolescente convertido en adulto, el canadiense Andean "Andy" Medjedovic, está acusado de explotar vulnerabilidades en los contratos inteligentes automatizados utilizados por dos protocolos de finanzas descentralizadas: KyberSwap e Indexed Finance.

Los investigadores dicen que, entre 2021 y 2023, Medjedovic "tomó prestados cientos de millones de dólares en tokens digitales" y luego "utilizó los fondos para participar en operaciones comerciales engañosas que sabía que harían que los contratos inteligentes de los protocolos calcularan falsamente variables clave".

Medjedovic pudo entonces retirar millones de dólares de fondos de inversores de los protocolos a precios artificiales, haciendo que las inversiones de las víctimas fueran esencialmente inútiles, afirmó el Departamento de Justicia.

El hacker adolescente intentó blanquear el botín robado mediante mezcladores de activos digitales (sitios que mezclan criptomonedas para ocultar el origen de los fondos) y puentes criptográficos, que permiten transferencias entre las principales cadenas inteligentes de criptomonedas, como Ethereum y Binance.

También se le acusa de intentar abrir cuentas en plataformas de intercambio de activos digitales utilizando identidades falsas o prestadas para ocultar su propiedad.

Además, el FBI dijo que alrededor de noviembre de 2023, Medjedovic intentó explotar a las víctimas de KyberSwap por segunda vez a través de "una propuesta de acuerdo falsa".

La propuesta de "doble extorsión" similar a un rescate le habría dado a Medjedovic el control total del protocolo defi KyberSwap a cambio de devolver el 50% de los fondos criptográficos robados de la víctima.

Tête-à-tête con la policía cibernética canadiense

Irónicamente, Medjedovic, que ahora tiene 22 años, ha sido buscado por las autoridades canadienses desde que tenía 18 años por el plan de extorsión desFi en Indexed Finance, por un valor de 16 millones de dólares en ese momento.

En ese plan, el prodigio adolescente de las matemáticas, programador excepcional y titular de un máster "supuestamente utilizó préstamos flash" para drenar los 16 millones de dólares de Indexed, informó CoinDesk en ese momento. (Los préstamos flash no requieren que el prestatario ponga ninguna garantía y son exclusivos de las plataformas desFi).

También llevó a los expertos en ciberseguridad que investigaban el ataque a revelar la identidad de Medjedovic, su antigua base de operaciones en Waterloo, Ontario, y su vida como fugitivo.

Lo que hace que el caso sea aún más inusual es que Medjedovic, en un momento dado, estuvo en comunicación con las autoridades canadienses, e incluso se presentó a una audiencia virtual sobre el robo.

Las autoridades habían instado a Medjedovic a devolver las criptomonedas, pero el adolescente nunca se presentó ante el tribunal y, en cambio, declaró que tenía derecho legal a los fondos debido a la defensa de que "el código es ley". CoinDesk dijo que incluso recurrió a Twitter para decir que "lucharía hasta la muerte" para conservar su escondite.

"El código es ley", que nunca se ha juzgado en un tribunal civil (y es posible que no se haga si Medjedovic sigue prófugo), es "un ethos no oficial de DeFi" que establece que cualquier actividad de contratos inteligentes que esté técnicamente permitida "no solo es inmutable, sino también legal y éticamente permisible en los tribunales", según Andrew Thurman de CoinDesk.

Aun así, en una entrevista con DL News en marzo de 2023, el fugitivo canadiense (y ahora estadounidense) afirmó haber cambiado de rol: un sombrero blanco, es decir, dijo que "ahora contribuye a una plataforma llamada Immunefi para ayudar a proteger a los inversores de la piratería".

Medjedovic está acusado por Estados Unidos de fraude electrónico, daño no autorizado a una computadora protegida, intento de extorsión en virtud de la Ley Hobbs, lavado de dinero y conspiración para lavar dinero.

Se enfrenta a un máximo total de 90 años de prisión si es declarado culpable de todos los cargos.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta