Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

#21
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Irónicamente, los cibercriminales ahora utilizan anuncios de búsqueda de Google para promocionar sitios de phishing que roban las credenciales de los anunciantes para la plataforma Google Ads.

Los atacantes publican anuncios en la Búsqueda de Google que se hacen pasar por Google Ads, que se muestran como resultados patrocinados que redirigen a las víctimas potenciales a páginas de inicio de sesión falsas alojadas en Google Sites, pero que parecen la página de inicio oficial de Google Ads, donde se les pide que inicien sesión en sus cuentas.

Google Sites se utiliza para alojar páginas de phishing porque permite a los atacantes camuflar sus anuncios falsos, dado que la URL (sites.google.com) coincide con el dominio raíz de Google Ads para una suplantación completa.

Anuncio falso que se hace pasar por Google Ads (Malwarebytes Labs)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"De hecho, no se puede mostrar una URL en un anuncio a menos que la página de destino (URL final) coincida con el mismo nombre de dominio. Si bien se trata de una regla destinada a proteger el abuso y la suplantación de identidad, es muy fácil de eludir", dijo Jérôme Segura, director sénior de investigación de Malwarebytes.

"Al observar el anuncio y la página de Google Sites, vemos que este anuncio malicioso no infringe estrictamente la regla, ya que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta utiliza los mismos dominios raíz que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. En otras palabras, se permite mostrar esta URL en el anuncio, por lo que no se puede distinguir del mismo anuncio publicado por Google LLC".

Según las personas que fueron víctimas de estos ataques o los vieron en acción, los ataques incluyen varias etapas:

La víctima ingresa la información de su cuenta de Google en la página de phishing.

El kit de phishing recopila identificadores únicos, cookies y credenciales.

La víctima puede recibir un correo electrónico que indique que ha iniciado sesión desde una ubicación inusual (Brasil)

Si la víctima no logra detener este intento, se agrega un nuevo administrador a la cuenta de Google Ads a través de una dirección de Gmail diferente.

El actor de la amenaza realiza una ola de gastos y bloquea a las víctimas si pueden
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Flujo del ataque (Malwarebytes Labs)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al menos tres grupos de cibercriminales están detrás de estos ataques, incluidos hablantes de portugués que probablemente operan desde Brasil, actores de amenazas con base en Asia que utilizan cuentas de anunciantes de Hong Kong (o de China) y una tercera banda probablemente formada por europeos del este.

Malwarebytes Labs, que detectó esta campaña en curso, cree que el objetivo final de los delincuentes es vender las cuentas robadas en foros de piratería y usar algunas de ellas para ejecutar futuros ataques utilizando las mismas técnicas de phishing.

"Esta es la operación de publicidad maliciosa más atroz que hemos rastreado, llegando al núcleo del negocio de Google y probablemente afectando a miles de sus clientes en todo el mundo. Hemos estado informando nuevos incidentes las 24 horas del día y, sin embargo, seguimos identificando otros nuevos, incluso en el momento de la publicación", agregó Segura.

"Irónicamente, es muy posible que las personas y las empresas que realizan campañas publicitarias no utilicen un bloqueador de anuncios (para ver sus anuncios y los de sus competidores), lo que los hace aún más susceptibles a caer en estos esquemas de phishing".

Las cuentas robadas de Google Ads son muy buscadas por los ciberdelincuentes, que las utilizan habitualmente como combustible para otros ataques que también abusan de los anuncios de búsqueda de Google para difundir malware y diversas estafas.

"Prohibimos expresamente los anuncios que tienen como objetivo engañar a las personas para robarles su información o estafarlas. Nuestros equipos están investigando activamente este problema y trabajando rápidamente para solucionarlo", dijo Google a BleepingComputer cuando se le pidió que proporcionara más detalles sobre los ataques.

A lo largo de 2023, Google también bloqueó o eliminó 206,5 millones de anuncios por violar su Política de tergiversación. También eliminó más de 3.400 millones de anuncios, restringió más de 5.700 millones y suspendió más de 5,6 millones de cuentas de anunciantes.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#22
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un documento de soporte independiente descubierto por primera vez por The Verge, la compañía dice que las aplicaciones de Office seguirán funcionando incluso después de que finalice el soporte de Windows 10, pero dijo que los clientes podrían encontrar problemas hasta que actualicen sus PC a Windows 11.

"Después de esa fecha, si está ejecutando Microsoft 365 en un dispositivo con Windows 10, las aplicaciones seguirán funcionando como antes. Sin embargo, recomendamos encarecidamente actualizar a Windows 11 para evitar problemas de rendimiento y confiabilidad con el tiempo", dice Microsoft.

Si bien la compañía ha presionado continuamente a los usuarios para que se pasen a Windows 11 desde su lanzamiento en octubre de 2021, incluso nombrando 2025 "el año de la actualización de PC con Windows 11" a principios de este mes, los clientes no están dispuestos a cambiar debido a los requisitos de soporte "no negociables" de TPM 2.0.

Aunque Windows 10 llegará al final del soporte en ocho meses, más del 62% de todos los sistemas Windows en todo el mundo todavía ejecutan Windows 10, mientras que menos del 35% ejecutan Windows 11, según datos de Statcounter Global.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft anunció en junio de 2021 que TPM 2.0 es un requisito obligatorio para las instalaciones o actualizaciones de Windows 11, afirmando que hace que los sistemas sean más resistentes a la manipulación y los ciberataques. Sin embargo, esto no ha impedido que los usuarios creen herramientas y encuentren técnicas para eludir el requisito de TPM.

Aunque el fin del soporte de Windows 10 se acerca rápidamente, la compañía anunció el 31 de octubre que los usuarios domésticos de Windows 10 podrían retrasar el cambio a Windows 11 un año más si pagan 30 dólares por las Actualizaciones de seguridad extendidas (ESU).

Además, las versiones de la rama de mantenimiento a largo plazo (LTSB) como Windows 10 2016 LTSB y las versiones del canal de mantenimiento a largo plazo (LTSC) como Windows 10 IoT Enterprise LTSC 2021 que atienden a dispositivos especializados, incluidos los sistemas industriales y médicos, también recibirán actualizaciones más allá de octubre de 2025.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#23
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Más de 660.000 servidores Rsync expuestos son potencialmente vulnerables a seis nuevas vulnerabilidades, incluida una falla de desbordamiento de búfer de pila de gravedad crítica que permite la ejecución remota de código en los servidores.

Rsync es una herramienta de sincronización de archivos y transferencia de datos de código abierto valorada por su capacidad de realizar transferencias incrementales, lo que reduce los tiempos de transferencia de datos y el uso de ancho de banda.

Admite transferencias de sistemas de archivos locales, transferencias remotas a través de protocolos seguros como SSH y sincronización directa de archivos a través de su propio demonio.

La herramienta es ampliamente utilizada por sistemas de respaldo como Rclone, DeltaCopy, ChronoSync, repositorios públicos de distribución de archivos y operaciones de administración de servidores y de la nube.

Los fallos de Rsync fueron descubiertos por Google Cloud e investigadores de seguridad independientes y pueden combinarse para crear poderosas cadenas de explotación que conducen a la vulneración remota del sistema.

"En el CVE más severo, un atacante solo requiere acceso de lectura anónimo a un servidor rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor", se lee en el boletín publicado en Openwall.

Los seis fallos se resumen a continuación:

Desbordamiento del búfer de montón ( CVE-2024-12084 ): vulnerabilidad que surge del manejo inadecuado de las longitudes de las sumas de comprobación en el demonio Rsync, lo que provoca escrituras fuera de los límites en el búfer. Afecta a las versiones 3.2.7 a < 3.4.0 y puede permitir la ejecución de código arbitrario. La mitigación implica la compilación con indicadores específicos para deshabilitar la compatibilidad con los resúmenes SHA256 y SHA512. ( Puntuación CVSS: 9,8 )

Fuga de información a través de una pila no inicializada ( CVE-2024-12085 ): falla que permite la fuga de datos de la pila no inicializada al comparar las sumas de comprobación de archivos. Los atacantes pueden manipular las longitudes de las sumas de comprobación para explotar esta vulnerabilidad. Afecta a todas las versiones anteriores a la 3.4.0, y se puede mitigar compilando con el indicador -ftrivial-auto-var-init=zero para inicializar el contenido de la pila. (Puntuación CVSS: 7,5 )

Fugas de archivos de cliente arbitrarios en servidores ( CVE-2024-12086 ) : vulnerabilidad que permite a un servidor malintencionado enumerar y reconstruir archivos de cliente arbitrarios byte a byte utilizando valores de suma de comprobación manipulados durante la transferencia de archivos. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,1 )

Recorrido de ruta mediante la opción --inc-recursive ( CVE-2024-12087 ) : problema que se origina en una verificación inadecuada de enlaces simbólicos al utilizar la opción --inc-recursive. Los servidores malintencionados pueden escribir archivos fuera de los directorios previstos en el cliente. Todas las versiones anteriores a la 3.4.0 son vulnerables. (Puntuación CVSS: 6,5 )

Omisión de la opción --safe-links ( CVE-2024-12088 ): falla que ocurre cuando Rsync no verifica correctamente los destinos de los enlaces simbólicos que contienen otros enlaces. Esto da como resultado un recorrido de ruta y escrituras de archivos arbitrarios fuera de los directorios designados. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,5 )

Condición de carrera de vínculo simbólico ( CVE-2024-12747 ) : vulnerabilidad que surge de una condición de carrera en el manejo de vínculos simbólicos. Su explotación puede permitir a los atacantes acceder a archivos confidenciales y escalar privilegios. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 5,6 )
 
El Centro de Coordinación CERT (CERT/CC) emitió un boletín de advertencia sobre las fallas de Rsync, señalando a Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation y el Centro de Datos Triton como afectados.

Sin embargo, muchos otros proyectos y proveedores potencialmente afectados aún no han respondido.

"Cuando se combinan, las dos primeras vulnerabilidades (desbordamiento del búfer de pila y fuga de información) permiten que un cliente ejecute código arbitrario en un dispositivo que tiene un servidor Rsync en ejecución", advirtió CERT/CC.

"El cliente solo requiere acceso de lectura anónimo al servidor, como espejos públicos. Además, los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos confidenciales, como claves SSH, y se puede ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt".

En su propio boletín sobre CVE-2024-12084, RedHat señaló que no existen mitigaciones prácticas y que la falla se puede explotar en la configuración predeterminada de Rsync.

"Tenga en cuenta que la configuración predeterminada de rsyncd permite la sincronización anónima de archivos, que corre el riesgo de sufrir esta vulnerabilidad", explica RedHat.

"De lo contrario, un atacante necesitará credenciales válidas para los servidores que requieren autenticación".

Se recomienda a todos los usuarios que actualicen a la versión 3.4.0 lo antes posible.

Fuente
:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#24
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft está investigando un error que activa alertas de seguridad en sistemas con un procesador Trusted Platform Module (TPM) después de habilitar BitLocker.

BitLocker es una función de seguridad de Windows que encripta las unidades de almacenamiento para evitar el robo o la exposición de datos. Según Redmond, "ofrece la máxima protección" cuando se utiliza con un TPM "para garantizar que un dispositivo no haya sido manipulado mientras el sistema está fuera de línea".

Los TPM son procesadores de seguridad dedicados que brindan funciones de seguridad basadas en hardware y actúan como componentes de hardware confiables para almacenar datos confidenciales, como claves de cifrado y otras credenciales de seguridad.

En un aviso publicado el martes, la empresa afirma que este problema conocido también afecta a los dispositivos no administrados, conocidos como BYOD (abreviatura de Bring Your Own Device). Por lo general, se trata de dispositivos de propiedad personal que se utilizan en entornos empresariales y que se pueden integrar o proteger mediante medidas proporcionadas por el equipo de TI o seguridad de cada organización.

En los PC con Windows 10 y 11 afectados, los usuarios verán una alerta que dice :

"Para su seguridad, algunas configuraciones son administradas por su administrador"

en el panel de control de BitLocker y en otros lugares de Windows.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft dice que actualmente está trabajando en una solución y brindará más detalles sobre el problema cuando tenga más información.

En abril de 2024, Microsoft solucionó otro problema que provocaba errores de cifrado de unidad BitLocker incorrectos en algunos entornos administrados de Windows. La empresa etiquetó este problema en octubre de 2023 como un problema de notificación que no afectaba al cifrado de la unidad.

Meses después, en agosto, Redmond abordó otro error que provocaba que algunos dispositivos Windows se iniciaran en modo de recuperación de BitLocker después de instalar las actualizaciones de seguridad de Windows.

El mismo mes, deshabilitó una solución para una vulnerabilidad de omisión de la función de seguridad de BitLocker ( CVE-2024-38058 ) debido a problemas de incompatibilidad de firmware que provocaban que los dispositivos Windows parcheados ingresaran al modo de recuperación de BitLocker.

Microsoft anunció en junio de 2021 que TPM 2.0 es un requisito obligatorio para instalar o actualizar a Windows 11, y dijo que haría que los sistemas fueran más resistentes a la manipulación y a los ciberataques sofisticados. Sin embargo, esto no ha impedido que los usuarios de Windows creen varias herramientas, scripts y técnicas para evitarlo.

Más de tres años después, en diciembre de 2024, Redmond dejó muy claro que la compatibilidad con TPM 2.0 es un requisito "no negociable", ya que los clientes no podrán actualizar a Windows 11 sin él.

Los datos globales de Statcounter muestran actualmente que más del 62 % de todos los sistemas Windows en todo el mundo todavía ejecutan Windows 10, mientras que menos del 34 % ejecutan Windows 11 tres años después de su lanzamiento en octubre de 2021.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#25
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva campaña de malware ha comprometido más de 5000 sitios de WordPress para crear cuentas de administrador, instalar un complemento malicioso y robar datos.

Los investigadores de la empresa de seguridad de scripts web c/side descubrieron durante una intervención de respuesta a incidentes para uno de sus clientes que la actividad maliciosa utiliza el dominio wp3[.]xyz para exfiltrar datos, pero aún no han determinado el vector de infección inicial.

Después de comprometer un objetivo, un script malicioso cargado desde el dominio wp3[.]xyz crea la cuenta de administrador falsa wpx_admin con credenciales disponibles en el código.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El script luego procede a instalar un complemento malicioso (plugin.php) descargado del mismo dominio y lo activa en el sitio web comprometido.

Según c/cide, el propósito del complemento es recopilar datos confidenciales, como credenciales de administrador y registros, y enviarlos al servidor del atacante de una manera ofuscada que los hace aparecer como una solicitud de imagen.

El ataque también implica varios pasos de verificación, como registrar el estado de la operación después de la creación de la cuenta de administrador no autorizada y verificar la instalación del complemento malicioso.

Bloqueando los ataques

c/side recomienda que los propietarios de sitios web bloqueen el dominio 'wp3[.]xyz' mediante cortafuegos y herramientas de seguridad.

Además, los administradores deben revisar otras cuentas privilegiadas y la lista de complementos instalados para identificar actividades no autorizadas y eliminarlas lo antes posible.

Por último, se recomienda que las protecciones CSRF en los sitios de WordPress se fortalezcan mediante la generación de tokens únicos, la validación del lado del servidor y la regeneración periódica. Los tokens deben tener un tiempo de expiración corto para limitar su período de validez.

La implementación de la autenticación multifactor también agrega protección a las cuentas con credenciales que ya se han visto comprometidas.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#26
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los científicos de materiales de la UCLA han desarrollado una tecnología de refrigeración compacta que puede bombear calor de forma continua mediante capas de películas delgadas flexibles. El diseño se basa en el efecto electrocalórico, en el que un campo eléctrico provoca un cambio temporal en la temperatura de un material.

En experimentos de laboratorio, los investigadores descubrieron que el prototipo podía reducir la temperatura ambiente de su entorno inmediato en 16 grados Fahrenheit de forma continua y hasta 25 grados en la fuente de calor después de unos 30 segundos.

Detallado en un artículo publicado en la revista Science, el enfoque podría incorporarse a la tecnología de refrigeración portátil o a los dispositivos de refrigeración portátiles.

"Nuestro objetivo a largo plazo es desarrollar esta tecnología para accesorios de refrigeración portátiles que sean cómodos, asequibles, fiables y energéticamente eficientes, especialmente para personas que trabajan en entornos muy calurosos durante muchas horas", dijo el investigador principal Qibing Pei, profesor de ciencia e ingeniería de materiales en la Escuela de Ingeniería Samueli de la UCLA. "A medida que las temperaturas medias siguen aumentando debido al cambio climático, hacer frente al calor se está convirtiendo en un problema de salud crítico. Necesitamos una variedad de soluciones al problema y esta podría ser la base para una de ellas".

Las películas de polímero del dispositivo se expanden y contraen como un acordeón para bombear el calor lejos de una fuente, enfriándola unos 16 grados Fahrenheit. Crédito: Laboratorio de Investigación de Materiales Blandos de la UCLA

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cuando se activa el campo eléctrico del dispositivo, las capas apiladas se comprimen entre sí en pares. Cuando se corta la electricidad, los pares apilados se separan para luego presionarse contra las otras capas vecinas. A medida que este proceso alterno se repite, la acción en cascada autorregenerativa, similar a un acordeón, bombea continuamente calor, capa por capa.

"Las películas de polímero utilizan un circuito para transportar cargas entre pares de capas apiladas, lo que hace que el dispositivo de enfriamiento flexible sea más eficiente que los acondicionadores de aire", dijo Hanxiang Wu, uno de los coautores principales del estudio y un investigador postdoctoral que trabaja en el laboratorio de Pei.

La tecnología de enfriamiento tradicional se basa en el aire acondicionado y la refrigeración, que requieren compresión de vapor que no solo consume una gran cantidad de energía, sino que también utiliza dióxido de carbono como refrigerante. El nuevo dispositivo es un diseño más simple que no requiere refrigerantes o líquidos que generen gases de efecto invernadero. Funciona únicamente con electricidad, que puede ser sostenible cuando se genera a través de fuentes de energía renovables como paneles solares.

"Este dispositivo de refrigeración integra materiales avanzados con una elegante arquitectura mecánica para ofrecer una refrigeración energéticamente eficiente al incorporar funcionalidad directamente en su estructura, reduciendo la complejidad, el uso de energía y las demandas computacionales", dijo el coautor principal del estudio, Wenzhong Yan, un investigador postdoctoral en ingeniería mecánica.

Pei tiene un puesto docente conjunto en el Departamento de Ingeniería Mecánica y Aeroespacial y dirige el Laboratorio de Investigación de Materiales Blandos en la UCLA. Él y su equipo han estado investigando tecnologías de refrigeración electrocalórica diseñadas para reducir las temperaturas lo suficiente para aplicaciones del mundo real.

"Dado que podemos utilizar películas delgadas y flexibles, la refrigeración electrocalórica sería la más ideal para los wearables de próxima generación que pueden mantenernos frescos en condiciones extenuantes", dijo Pei. "También podría usarse para enfriar dispositivos electrónicos con componentes flexibles".

Sumanjeet Kaur, científica de materiales del Laboratorio Nacional Lawrence Berkeley y líder de su Grupo de Energía Térmica, es otra autora del estudio y coinventora de la solicitud de patente que la UCLA ha presentado para esta invención. "No se puede exagerar el potencial de la refrigeración portátil eficiente para impulsar el ahorro de energía y mitigar el cambio climático", dijo Kaur.

Además de Wu y Yan, Yuan Zhu, estudiante de posgrado de UCLA Samueli y miembro del grupo de investigación de Pei, es otro coautor principal. Otros autores son los estudiantes de posgrado en ciencias de los materiales Siyu Zhang, William Budiman, Kede Liu, Jianghan Wu y el ex investigador postdoctoral en ciencias de los materiales Yuan Meng, todos ellos miembros del grupo de investigación de Pei; el estudiante de posgrado en bioingeniería Xun Zhao; y Ankur Mehta, profesor asociado de ingeniería eléctrica e informática de la UCLA.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#27
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Telefónica, una multinacional española de telecomunicaciones, confirmó una filtración de datos de su sistema interno de tickets. La confirmación se produjo después de que los datos robados aparecieran en Breach Forums, un foro sobre cibercrimen y piratería informática.

Telefónica, la mayor empresa de telecomunicaciones de España, opera en doce países con más de 104.000 empleados.
El ciberataque a Telefónica

La compañía ha confirmado que su sistema de tickets fue vulnerado y que actualmente está investigando el alcance del incidente y ha tomado medidas para evitar más accesos no autorizados. La filtración en el foro de piratería incluía una base de datos Jira de Telefónica.

Cuatro personas que utilizan los alias DNA, Grep, Pryx y Rey se atribuyeron la responsabilidad de la vulneración. Según Pryx, uno de los atacantes, el "sistema de tickets interno" es un servidor interno de desarrollo y emisión de tickets de Jira utilizado por Telefónica para informar y resolver problemas internos.

Según las fuentes, se utilizaron credenciales de empleados comprometidas para vulnerar el sistema el día anterior. Telefónica respondió bloqueando su acceso y restableciendo las contraseñas de las cuentas afectadas. Los atacantes dicen que pudieron extraer aproximadamente 2,3 GB de documentos, tickets y varios datos utilizando las cuentas de empleados comprometidas. Si bien algunos de estos datos estaban etiquetados como clientes, los tickets se abrieron con direcciones de correo electrónico @telefonica.com, lo que indica que podrían haber sido abiertos en nombre de clientes.

Captura de pantalla de los datos filtrados
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Pryx afirma que no se puso en contacto con Telefónica ni intentó extorsionarla antes de filtrar los datos en línea. Tres personas detrás del ataque, Grep, Pryx y Rey, también forman parte de una operación de ransomware lanzada recientemente conocida como Hellcat Ransomware. Hellcat es responsable de una reciente violación de datos en Schneider Electric, donde se robaron 40 GB de datos del servidor JIRA de la empresa.

Este ciberataque a Telefónica supuestamente involucra a Fortinet, un componente crucial de la infraestructura de red de la empresa. Si bien el alcance de la violación de datos y la naturaleza de los datos comprometidos siguen sin revelarse, han surgido inquietudes con respecto al impacto potencial. A pesar de la afirmación, el sitio web oficial de Telefónica sigue funcionando, lo que plantea dudas sobre la autenticidad del supuesto ciberataque.

Sin embargo, esta no es la primera vez que Telefónica sufre una violación de datos. En julio de 2018, millones de clientes de Telefónica vieron expuestos sus datos después de una violación de seguridad. Sin embargo, mientras la industria de las telecomunicaciones enfrenta amenazas cibernéticas, las empresas deben mantener su colaboración para establecer medidas de ciberseguridad adecuadas contra la infraestructura crítica.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#28
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han anunciado los ganadores oficiales del concurso de hacking Raspberry Pi y Hextree RP2350, que otorga 20.000 dólares.
En una entrada del blog del director de Raspberry Pi, Eben Upton, se describen los cuatro ganadores del premio.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Como Raspberry Pi quedó tan impresionada con la calidad de las propuestas, los cuatro ganadores recibirán el premio completo, en lugar de una parte.

Uno de los cuatro hackers competitivos que ganaron fue el ingeniero Aedan Cullen, con el detalle de la metodología de desenterrar el secreto OTP de su RP2350. Además, el pistolero a sueldo de Raspberry Pi, Hextree, logró eludir las medidas de seguridad OTP fuera del ámbito de la competición.

En un preámbulo a la designación de los ganadores del concurso de hacking RP2350, Upton nos recuerda el razonamiento detrás de la competición. El RP2350 se entregó en agosto pasado (a través del Raspberry Pi Pico 2) como sucesor del popular microcontrolador RP2040 (Raspberry Pi Pico). Tiene la ventaja de varias tecnologías, incluida la seguridad construida alrededor de Arm TrustZone para Cortex-M.

"Nuestro objetivo era descubrir las debilidades de forma temprana, para poder solucionarlas antes de que el RP2350 se implementara ampliamente en aplicaciones seguras", dijo Upton sobre el desafío del hackeo. De esta forma, el RP2350 debería obtener "seguridad a través de la transparencia", que Upton prefiere a la filosofía de "seguridad a través de la oscuridad" adoptada por algunos proveedores.

Raspberry Pi y Hextree anunciaron el desafío de piratería RP2350, anunciado en DEF CON en agosto, con un premio de $10,000. El premio se duplicó y Raspberry Pi contrató a Hextree como competidor fuera del campo, para garantizar que algunos resultados de piratería útiles estuvieran disponibles en enero de 2025. La competencia cerró el último día de diciembre de 2024.

Para recapitular, los competidores tenían la tarea de recuperar un valor secreto de la memoria programable una sola vez (OTP) en el RP2350. Además, se observa que las cuatro presentaciones válidas requerían acceso físico al chip.

Primer Ganador: Aedan Cullen


Cullen aisló físicamente el pin 53 del chip RP2350 cortando una pista de PCB, y luego utilizó un ataque de inyección de voltaje para activar los núcleos RISC-V "permanentemente desactivados" y su puerto de acceso de depuración, lo que le permitió leer el secreto.

El jefe de Raspberry Pi, Eben Upton, admite que aún no hay mitigación para esta vulnerabilidad, pero dice que "es probable que se resuelva en una futura versión de RP2350".

Segundo Ganador: Marius Muench


Muench emitió un comando de reinicio normal al cargador de arranque USB y luego empleó la inyección de errores mediante un error en el voltaje de suministro para omitir una instrucción. Con el tiempo correcto y al precargar el código malicioso en la RAM, el código podría ejecutarse y extraer el secreto OTP.

Este ataque ha sido designado E20 y ahora se puede mitigar configurando el indicador OTP BOOT_FLAGS0.DISABLE_WATCHDOG_SCRATCH.

Tercer Ganador: Kévin Courdesses

Inmediatamente después de que el firmware que se va a validar se haya cargado en la RAM, y justo antes de que se calcule la función hash necesaria para la comprobación de la firma, hay una debilidad explotable en la ruta de arranque segura.

Courdesses construyó un sistema de inyección de fallas láser personalizado para evitar la detección de fallas. Un breve pulso de luz láser en la parte posterior del chip, revelado al pulir parte de la superficie del paquete, introdujo una falla breve, lo que provocó que la lógica digital del chip se comportara mal y abriera la puerta a este ataque.

Al igual que con el ataque al RP2350 de Cullen, todavía no hay mitigación para esta vulnerabilidad (E24), pero dice que es probable que se resuelva en una futura versión del RP2350.

Método de haz de iones enfocado (FIB) de IOActive

Cuarto Ganador: IOActive

Los bits de datos almacenados en las memorias OPT del RP2350, basadas en antifusibles, se extrajeron utilizando una conocida técnica de análisis de fallos de semiconductores que aprovecha el contraste de voltaje pasivo (PVC) con un haz de iones enfocado (FIB).

El equipo de cinco miembros de IOActive considera que su vector de ataque único es lo suficientemente potente como para aplicarse a otros sistemas que utilizan memoria antifusible para la confidencialidad. Por lo tanto, las organizaciones que utilizan memoria antifusible de esta manera deberían "reevaluar inmediatamente su postura de seguridad", dice IOActive, y al menos utilizar técnicas de manipulación para dificultar a los atacantes la recuperación de datos.

El pistolero a sueldo también tiene éxito: Hextree

Las investigaciones de Hextree destacaron que la tasa de fallos no detectados del RP2350 era lo suficientemente alta como para que los fallos fueran un vector de ataque que valiera la pena. Con este descubrimiento inicial en mente, la empresa comenzó a centrar sus esfuerzos en la inyección de fallos electromagnéticos (EMFI).

De manera crucial, Hextree aprendió a usar fallas EMFI cronometradas con precisión para evitar que el OTP se bloquee correctamente. Por lo tanto, el secreto del OTP quedó abierto para leer.

Upton señala que existen varias mitigaciones contra este ataque (E21). Sin embargo, las mitigaciones actuales pueden evitar que los usuarios actualicen el firmware del dispositivo a través de USB.

Conclusión

El equipo de Raspberry Pi ha descubierto que el esquema de detección de fallas del RP2350 no es tan efectivo como esperaban. Si ha leído lo anterior, comprenderá que varios de los ataques de piratería pasaron por alto esta protección prevista.

Raspberry Pi está preparando otra competencia. Tiene una implementación de AES en el RP2350 que se dice que está reforzada contra ataques de canal lateral, y le gustaría desafiar a los piratas informáticos para que la derroten.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#29
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Ahora que la IA puede imitar a los humanos de forma fiable en determinadas situaciones, no sorprende oír que la están utilizando estafadores humanos de verdad. Según un artículo de The Express, una mujer francesa de 53 años que se identificó como "Anne" en el canal francés TF1 fue estafada por un monto de 830.000 euros (851.355 dólares) durante dos años utilizando imágenes de Brad Pitt generadas por IA. Anne fue convencida de entregar el dinero porque pensó que "Brad" lo necesitaba para el tratamiento del cáncer.

El estafador empleó tácticas que iban más allá de la simple fotografía y el vídeo de IA, incluida una extensa relación basada en texto con la víctima, que incluía el envío regular de poesía (probablemente también generada por IA) y, finalmente, una historia fingida de cáncer de riñón, completa con una foto generada por IA. La verdad es que ninguna de las fotos generadas parece algo que no se pueda hacer con Photoshop, pero al menos el trabajo típico de Photoshop requiere un poco más de esfuerzo que una rápida indicación de texto.

Anne pasó por alto una señal de alerta clave que es común en esquemas como este: la falta total de comunicación telefónica en tiempo real. Sin embargo, incluso si hubiera considerado eso, simular una llamada de voz no está fuera del rango de opciones disponibles para aquellos dispuestos a explotar la IA para ganar dinero rápido.

Otras formas en que los cibercriminales han mejorado su juego con la IA incluyen cometer fraude electrónico contra plataformas de música mediante la transmisión de música con bots y, por supuesto, generar spam, incluido contenido incendiario e ilegal para su uso con correos electrónicos de phishing, anuncios maliciosos, etc. Si bien la IA no ha cambiado mucho el panorama general del spam y el cibercrimen, la IA ha aumentado la velocidad y la eficiencia con la que ahora se pueden ejecutar los ataques.

Desafortunadamente para Anne, solo descubrió que era víctima de una elaborada estafa en línea cuando vio a su novio famoso perfectamente vivo y saludable con una nueva novia en la televisión, aproximadamente dos años después de que ella desembolsara el dinero. A pesar de acudir a las autoridades con su historia, Anne no pudo recuperar nada del dinero que perdió. Una buena parte de ello procedía de un acuerdo de divorcio con su ex marido millonario, cuyo conocimiento parece haber alentado a la estafadora a llegar a tales extremos.

Fuente
:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#30
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Algunos usuarios de Samsung podrán vender ahora sus smartphones usados a la empresa.

El programa "Galaxy Easy Compensation" de Samsung se lanzará el 14 de enero de 2025 y estará disponible primero para los usuarios de Corea del Sur. La empresa planea ampliar el servicio a otros países en una fecha posterior.

El programa permite a los usuarios vender sus viejos smartphones Samsung sin tener que comprar uno nuevo.

El programa está disponible para varios modelos de smartphones Samsung: Galaxy S23, Galaxy S22, Galaxy S21, Galaxy S20, Galaxy Z Fold 5, Galaxy Z Fold 4, Galaxy Z Fold 3, Galaxy Z Flip 5, Galaxy Z Flip 4, Galaxy Z Flip 3. La disponibilidad de los modelos puede depender del país.

La lista de smartphones aceptados revela que Samsung está aceptando dispositivos más nuevos lanzados en los últimos cinco años y que siguen recibiendo actualizaciones del sistema operativo.

Los smartphones usados serán valorados según su estado. La empresa clasificará los dispositivos como excelentes, buenos o aptos para reciclar. El precio de los smartphones usados aún no se conoce.

El nuevo programa podría ser otro paso hacia la simplificación del proceso para que los usuarios se deshagan de sus viejos dispositivos y las empresas que los utilicen, tal vez para reacondicionarlos y luego revenderlos, dándoles una segunda vida.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Por ejemplo, Google inició el año pasado un programa de Teléfonos reacondicionados certificados, a través del cual los usuarios pueden comprar dispositivos Pixel a precios más económicos.

La empresa también ha iniciado su programa Longevity GFR (Google Requirements Freeze), que permite a los dispositivos Android obtener una actualización de software de siete años.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#31
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al explotar esta vulnerabilidad, los atacantes podrían eludir la característica de seguridad vital de Apple, conocida como SIP.

La Protección de integridad del sistema (SIP) de MacOS es crucial para proteger el sistema operativo contra malware y un puñado de otras amenazas. SIP impone restricciones en las operaciones a nivel del sistema, incluso para usuarios con privilegios de root.

Microsoft Threat Intelligence descubrió una vulnerabilidad, ahora identificada como CVE-2024-44243, que podría usarse para eludir el escudo de seguridad SIP. Si se explota, permitiría la carga de extensiones de kernel de terceros, lo que resultaría en graves implicaciones de seguridad para los usuarios.

Una omisión de SIP afecta a todo el sistema operativo macOS y podría dar como resultado lo siguiente:

Instalación de malware o rootkits.

Eludir el marco de transparencia, consentimiento y control (TCC) de MacOS. El marco TCC evita que las aplicaciones accedan a la información personal de los usuarios, como la ubicación, el historial de navegación, la cámara, el micrófono u otros, sin su consentimiento. Eludirlo podría dar como resultado violaciones de datos privados. Deshabilitar o alterar las herramientas de seguridad para evitar la detección.

Crear más oportunidades para ataques adicionales.

Los investigadores identificaron una vulnerabilidad en el demonio Storage Kit, un proceso crítico de macOS responsable de administrar las operaciones de estado del disco.

Esta falla podría permitir a los atacantes con acceso root eludir las protecciones SIP inyectando y activando paquetes de sistemas de archivos personalizados para realizar acciones no autorizadas.

El equipo también encontró que varias implementaciones de sistemas de archivos de terceros, incluidas las de Tuxera, Paragon, EaseUS e iBoysoft, eran vulnerables a la explotación.

Al incorporar código personalizado en estos sistemas de archivos y utilizar herramientas como Disk Utility o el comando "diskutil", los atacantes podrían eludir SIP y anular la lista de exclusión de extensiones del kernel de Apple.

Tras la divulgación responsable de Microsoft y el investigador de seguridad Mickey Jin, Apple lanzó un parche para la vulnerabilidad en diciembre de 2024. Los usuarios deben mantener sus sistemas actualizados para evitar riesgos.

Los investigadores de Microsoft han encontrado anteriormente una técnica de omisión que elimina la protección TCC para el directorio del navegador Safari. Tras una divulgación responsable, Apple lanzó una solución para la vulnerabilidad el 16 de septiembre.

En agosto, un informe mostró que seis aplicaciones de Microsoft en macOS (Outlook, Teams, PowerPoint, OneNote, Excel y Word) son vulnerables a exploits que podrían otorgar a los atacantes acceso a información confidencial, enviar correos electrónicos y grabar video y audio sin ninguna interacción del usuario.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#32
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Todavía no está claro si TikTok será prohibida en Estados Unidos. Pero China, donde tiene su sede la empresa matriz de la aplicación, ByteDance, tiene una idea: vender TikTok a Elon Musk.

El destino de TikTok todavía se decidirá en la Corte Suprema de Estados Unidos, que está deliberando sobre la apelación de la empresa a la inminente prohibición. Sin embargo, los jueces señalaron firmemente la semana pasada que es probable que respeten la ley.

Esta última prohibiría la plataforma TikTok en Estados Unidos si su empresa matriz china no la vende antes del 19 de enero.

ByteDance probablemente hubiera preferido que el tribunal se centrara en la libertad de expresión, pero la mayoría de los jueces consideran que las preocupaciones de seguridad nacional de Estados Unidos son más importantes porque ByteDance, según el Congreso de Estados Unidos, tiene vínculos peligrosamente estrechos con el gobierno comunista de China.

El tiempo avanza rápido. Si TikTok fuera prohibida, no desaparecería inmediatamente para los usuarios, pero no habría actualizaciones disponibles y su rendimiento probablemente se deterioraría. Para evitar multas masivas, Google y Apple ya no alojarían ni distribuirían TikTok ni las actualizaciones de la aplicación.

Por eso, aunque la empresa china ha insistido constantemente en que no considerará la venta de TikTok que exige la ley, los funcionarios ahora están haciendo planes de contingencia urgentes, según fuentes de Bloomberg.

Uno de los escenarios supuestamente discutidos en los círculos del gobierno de China, que también demostraría que ByteDance no es exactamente independiente, alegaría un acuerdo para vender TikTok a Musk, un multimillonario con vínculos extremadamente estrechos con el presidente electo de Estados Unidos, Donald Trump.

Las personas involucradas en discusiones confidenciales dicen que X de Musk, anteriormente conocida como Twitter, tomaría el control de TikTok US y administraría estas plataformas juntas.

Según Bloomberg, hay zanahorias involucradas para hacer que el posible acuerdo sea más atractivo para Musk. Los 170 millones de usuarios de TikTok en Estados Unidos podrían ayudar a X a atraer más anunciantes, y la empresa de inteligencia artificial de Musk, xAI, podría beneficiarse de las grandes cantidades de datos generados por TikTok.

No está claro si Musk, ByteDance y TikTok han hablado sobre los términos del acuerdo, y TikTok ha declarado firmemente que los informes de una posible tasa son "pura ficción". Pero las estrellas están alineadas: Musk dijo en abril que no quería que TikTok se prohibiera en Estados Unidos, y Trump claramente prefiere que siga disponible en el país.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Trump ya había vilipendiado a TikTok como una amenaza a la seguridad nacional e incluso intentó prohibirla, pero ahora está defendiendo la plataforma e incluso pidió a la Corte Suprema en diciembre que suspendiera la prohibición.

Inmediatamente después de su investidura, Trump también podría intentar convencer al Congreso controlado por los republicanos de que derogue la ley original de 2024. Sin embargo, eso sería tremendamente difícil políticamente, por lo que su otra opción es simplemente ordenar al Departamento de Justicia que no aplique la ley.

Las operaciones de TikTok en Estados Unidos podrían estar valoradas en alrededor de 40.000 a 50.000 millones de dólares, según las estimaciones del año pasado. Pero si Musk tenía dinero para adquirir Twitter, seguramente también tiene el efectivo para pagar por TikTok. Además, es muy querido en China y tiene experiencia en el trato con el gobierno chino.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#33
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las personas que intenten desbloquear los servicios de inteligencia artificial de Microsoft se enfrentarán a acciones legales, según ha declarado la Unidad de Delitos Digitales (DCU) del gigante tecnológico, señalando a actores de amenazas extranjeros que abusan de los servicios de la empresa y los utilizan como armas.

La DCU de Microsoft quiere crear un precedente que permita emprender acciones legales contra actores maliciosos que desarrollen jailbreaks de inteligencia artificial que permitan la creación de contenido dañino. Los atacantes de inteligencia artificial han ideado varios métodos para eludir las medidas de seguridad integradas, lo que permite a los actores de amenazas utilizar la herramienta de una forma que sus creadores no pretendían que lo hicieran los usuarios.

La medida de la empresa indica que incluso las empresas tecnológicas más ricas son incapaces de poner un límite a la creatividad humana para convertir la nueva tecnología en un arma. Como dijo la propia Microsoft: "Los ciberdelincuentes siguen siendo persistentes e innovan sin descanso". Especialmente cuando el esfuerzo está coordinado en los niveles más altos.

Por ejemplo, Microsoft señala a un "grupo de actores de amenazas con base en el extranjero" que desarrolló un software "sofisticado" que permitía extraer credenciales de sitios web públicos, lo que conducía al acceso no autorizado a cuentas "con ciertos servicios de inteligencia artificial generativa".

Una vez dentro, los actores maliciosos modificaban las capacidades de la inteligencia artificial y procedían a vender el acceso a dichas cuentas. Con esas herramientas a mano, dijo Microsoft, los cibercriminales podían idear contenido dañino e ilícito. Si bien el fabricante de Windows finalmente revocó el acceso de los piratas informáticos al servicio modificado, la acción legal permitió a la empresa confiscar un sitio web que los delincuentes usaban para discutir y organizar el crimen.

"La orden judicial nos ha permitido confiscar un sitio web fundamental para la operación criminal que nos permitirá reunir evidencia crucial sobre las personas detrás de estas operaciones, descifrar cómo se monetizan estos servicios y desmantelar la infraestructura técnica adicional que encontremos", dijo Microsoft.

Si bien la compañía no identificó qué tipo de acciones maliciosas se iniciaron utilizando sus herramientas, a principios de este año, OpenAI, respaldada por Microsoft, dijo que había desmantelado cinco operaciones de influencia encubiertas que buscaban utilizar sus modelos de IA para "actividades engañosas" en Internet.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#34
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hoy es el martes de parches de enero de 2025 de Microsoft, que incluye actualizaciones de seguridad para 159 fallas, incluidas ocho vulnerabilidades de día cero, tres de las cuales se explotan activamente en ataques.

Este martes de parches también corrige doce vulnerabilidades "críticas", incluidas las fallas de divulgación de información, elevación de privilegios y ejecución remota de código.

A continuación, se muestra la cantidad de errores en cada categoría de vulnerabilidad:

40 vulnerabilidades de elevación de privilegios

14 vulnerabilidades de omisión de funciones de seguridad

58 vulnerabilidades de ejecución remota de código

24 vulnerabilidades de divulgación de información

20 vulnerabilidades de denegación de servicio

5 vulnerabilidades de suplantación de identidad

Se revelan tres vulnerabilidades de día cero explotadas activamente

El parche del martes de este mes corrige tres vulnerabilidades de día cero explotadas activamente y cinco expuestas públicamente.

Microsoft clasifica una falla de día cero como una que se divulga públicamente o se explota activamente sin que haya una solución oficial disponible.

Las vulnerabilidades de día cero explotadas activamente en las actualizaciones de hoy son:

CVE-2025-21333, CVE-2025-21334, CVE-2025-21335: vulnerabilidad de elevación de privilegios de Windows Hyper-V NT Kernel Integration VSP

Microsoft ha corregido tres vulnerabilidades de elevación de privilegios en Windows Hyper-V que se explotaron en ataques para obtener privilegios de SYSTEM en dispositivos Windows.

No se ha publicado información sobre cómo se explotaron estas fallas en los ataques, y todas muestran que se divulgaron de forma anónima.

Como los CVE de estas tres vulnerabilidades son secuenciales y corresponden a la misma función, es probable que todas se hayan encontrado o descubierto mediante los mismos ataques.

Las vulnerabilidades de día cero divulgadas públicamente son:

CVE-2025-21275: vulnerabilidad de elevación de privilegios en el instalador de paquetes de aplicaciones de Windows

Microsoft corrigió una falla de elevación de privilegios en el instalador de paquetes de aplicaciones de Windows que podría generar privilegios de SISTEMA.

"Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SYSTEM", explica el aviso de Microsoft.

La vulnerabilidad se envió de forma anónima a Microsoft.

CVE-2025-21308 - Vulnerabilidad de suplantación de temas de Windows

Microsoft solucionó una vulnerabilidad de temas de Windows que podía explotarse simplemente mostrando un archivo de tema especialmente diseñado en el Explorador de Windows.

"Un atacante tendría que convencer al usuario de que cargara un archivo malicioso en un sistema vulnerable, normalmente mediante un mensaje de correo electrónico o de mensajería instantánea, y luego convencer al usuario de que manipulara el archivo especialmente diseñado, pero no necesariamente de que hiciera clic o abriera el archivo malicioso", explica el aviso de Microsoft.

La falla fue descubierta por Blaz Satler con 0patch de ACROS Security, que es una omisión de una falla anterior identificada como CVE-2024-38030. 0patch lanzó microparches para esta falla en octubre, mientras esperaba que Microsoft la corrigiera.

Cuando se visualiza un archivo de tema en el Explorador de Windows y se utilizan las opciones BrandImage y Wallpaper que especifican una ruta de archivo de red, Windows envía automáticamente solicitudes de autenticación al host remoto, incluidas las credenciales NTLM del usuario conectado.

Estos hashes NTLM se pueden descifrar para obtener la contraseña de texto sin formato o se pueden utilizar en ataques de paso de hash.

Microsoft afirma que la falla se mitiga si se deshabilita NTLM o se habilita la política "Restringir NTLM: tráfico NTLM saliente a servidores remotos".

CVE-2025-21186, CVE-2025-21366, CVE-2025-21395: vulnerabilidad de ejecución remota de código en Microsoft Access

Microsoft corrigió tres vulnerabilidades de ejecución remota de código en Microsoft Access que se explotan al abrir documentos de Microsoft Access especialmente diseñados.

Microsoft ha mitigado este problema bloqueando el acceso a los siguientes documentos de Microsoft Access si se enviaron por correo electrónico:

accdb
accde
accdw
accdt
accda
accdr
accdu

Lo interesante de esto es que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, una plataforma de descubrimiento de vulnerabilidades asistida por IA, ha descubierto las tres fallas.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en enero de 2025 incluyen:

Adobe publicó actualizaciones de seguridad para Photoshop, Substance3D Stager y Designer, Adobe Illustrator para iPad y Adobe Animate.

Cisco publicó actualizaciones de seguridad para varios productos, incluidos Cisco ThousandEyes Endpoint Agent y Cisco Crosswork Network Controller.

Ivanti publicó actualizaciones de seguridad para una falla de día cero de Connect Secure explotada en ataques para implementar malware personalizado en dispositivos.

Fortinet publicó una actualización de seguridad para una vulnerabilidad de día cero de omisión de autenticación en FortiOS y FortiProxy que se explotó en ataques desde noviembre.

GitHub publicó actualizaciones de seguridad para dos vulnerabilidades de Git.

Moxa publicó actualizaciones de seguridad para vulnerabilidades de alta gravedad y críticas en sus dispositivos de redes industriales y de comunicaciones.

ProjectDiscovery publicó actualizaciones de seguridad en septiembre para una falla de Nuclei que permite que las plantillas maliciosas eludan la verificación de firmas. SAP publica actualizaciones de seguridad para varios productos, incluidas correcciones para dos vulnerabilidades críticas (9.9/10) en SAP NetWeaver.

SonicWall publica parches para una vulnerabilidad de omisión de autenticación en la administración de SSL VPN y SSH que es "susceptible de explotación real".

Zyxel ha publicado actualizaciones de seguridad para corregir una vulnerabilidad de administración de privilegios incorrecta en la interfaz de administración web.

Actualizaciones de seguridad del martes de parches de enero de 2025

A continuación, se incluye la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de enero de 2025.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, puede ver el informe completo aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#35
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad en la función "Iniciar sesión con Google" de OAuth de Google podría permitir a los atacantes que registran dominios de empresas emergentes desaparecidas acceder a datos confidenciales de cuentas de antiguos empleados vinculadas a varias plataformas de software como servicio (SaaS).

La brecha de seguridad fue descubierta por investigadores de Trufflesecurity y reportada a Google el año pasado, el 30 de septiembre.

Google inicialmente descartó el hallazgo como un problema de "fraude y abuso" y no un problema de OAuth o de inicio de sesión. Sin embargo, después de que Dylan Ayrey, CEO y cofundador de Trufflesecurity, presentara el problema en Shmoocon el pasado mes de diciembre, el gigante tecnológico otorgó una recompensa de $1337 a los investigadores y reabrió el ticket.

Sin embargo, en el momento de la publicación, el problema sigue sin solucionarse y es explotable. En una declaración para BleepingComputer, un portavoz de Google dijo que la empresa recomienda a los clientes que sigan las mejores prácticas y "cierren los dominios correctamente".

"Agradecemos la ayuda de Dylan Ayrey para identificar los riesgos que surgen cuando los clientes olvidan eliminar los servicios SaaS de terceros como parte de la cancelación de su operación", dijo un representante de Google.

"Como práctica recomendada, recomendamos a los clientes que cierren los dominios correctamente siguiendo estas instrucciones para que este tipo de problema sea imposible. Además, alentamos a las aplicaciones de terceros a seguir las mejores prácticas mediante el uso de identificadores de cuenta únicos (sub) para mitigar este riesgo", dijo un portavoz de Google.

El problema subyacente

En un informe publicado, Ayrey describe el problema como "el inicio de sesión OAuth de Google no protege contra alguien que compra el dominio de una startup fallida y lo usa para recrear cuentas de correo electrónico para antiguos empleados".

La creación de correos electrónicos clonados no otorga a los nuevos propietarios acceso a comunicaciones anteriores en plataformas de comunicación, pero las cuentas se pueden usar para volver a iniciar sesión en servicios como Slack, Notion, Zoom, ChatGPT y varias plataformas de recursos humanos (RR. HH.).

Cómo acceder a los miembros del espacio de trabajo registrado en Zoom
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El investigador demostró que al comprar un dominio obsoleto y acceder a plataformas SaaS, es posible extraer datos confidenciales de los sistemas de RR.HH. (documentos fiscales, información de seguros y números de seguridad social) e iniciar sesión en varios servicios (por ejemplo, ChatGPT, Slack, Notion, Zoom).

Al buscar en la base de datos de Crunchbase startups ahora desaparecidas con un dominio abandonado, Ayrey descubrió que había 116.481 dominios disponibles.

En el sistema OAuth de Google, una subdemanda tiene como objetivo proporcionar un identificador único e inmutable para cada usuario en todos los inicios de sesión, con la intención de actuar como una referencia definitiva para identificar a los usuarios a pesar de los posibles cambios de propiedad del dominio o del correo electrónico.

Sin embargo, como explica el investigador, hay una tasa de inconsistencia de aproximadamente el 0,04 % en la subdemanda, lo que obliga a los servicios posteriores como Slack y Notion a ignorarla por completo y confiar únicamente en las reclamaciones de correo electrónico y dominio alojado.

La reclamación por correo electrónico está vinculada a la dirección de correo electrónico del usuario y la reclamación por dominio alojado está vinculada a la propiedad del dominio, por lo que ambos pueden ser heredados por nuevos propietarios que luego pueden hacerse pasar por antiguos empleados en plataformas SaaS.

Una solución que proponen los investigadores es que Google introduzca identificadores inmutables, es decir, un ID de usuario único y permanente y un ID de espacio de trabajo único vinculado a la organización original.

Los proveedores de SaaS también pueden implementar medidas adicionales como referencias cruzadas de las fechas de registro de dominio, hacer cumplir las aprobaciones de nivel de administrador para el acceso a la cuenta o usar factores secundarios para la verificación de identidad.

Sin embargo, esas medidas introducen costos, complicaciones técnicas y fricción en el inicio de sesión. Además, protegerían a los antiguos clientes que actualmente no pagan, por lo que el incentivo para implementarlas es bajo.

Un riesgo en constante crecimiento

El problema afecta a millones de personas y miles de empresas, y no hace más que crecer con el tiempo.

El informe de Trufflesecurity señala que puede haber millones de cuentas de empleados en empresas emergentes que fracasaron y que tienen dominios disponibles para su compra.

Actualmente, hay seis millones de estadounidenses que trabajan para empresas emergentes de tecnología, de las cuales el 90 % está destinado estadísticamente a desaparecer en los próximos años.

Aproximadamente el 50 % de esas empresas utilizan Google Workspaces para el correo electrónico, por lo que sus empleados inician sesión en las herramientas de productividad con sus cuentas de Gmail.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#36
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los cibercriminales están aprovechando un truco para desactivar la protección antiphishing integrada de Apple iMessage para un mensaje de texto y engañar a los usuarios para que vuelvan a habilitar los enlaces de phishing desactivados.

Como gran parte de nuestras actividades diarias se realizan desde nuestros dispositivos móviles, ya sea pagar facturas, comprar o comunicarse con amigos y colegas, los actores de amenazas realizan cada vez más ataques de smishing (phishing por SMS) contra números móviles.

Para proteger a los usuarios de este tipo de ataques, Apple iMessage desactiva automáticamente los enlaces en los mensajes recibidos de remitentes desconocidos, ya sea una dirección de correo electrónico o un número de teléfono.

Sin embargo, Apple declaró que, si un usuario responde a ese mensaje o agrega al remitente a su lista de contactos, los enlaces se habilitarán.

Engañar a los usuarios para que respondan

Durante los últimos meses se ha visto un aumento de ataques de smishing que intentan engañar a los usuarios para que respondan a un mensaje de texto para que los enlaces se habiliten nuevamente.

Si bien ninguno de estos señuelos de phishing es nuevo, notamos que estos mensajes de smishing, y otros vistos recientemente, piden a los usuarios que respondan con "Y" para habilitar el enlace.

"Responda Y, luego salga del mensaje de texto, vuelva a abrir el enlace de activación del mensaje de texto o copie el enlace en el navegador Safari para abrirlo", se lee en los mensajes de smishing.

Investigaciones posteriores muestran que esta táctica se ha utilizado durante el año pasado, con un aumento desde el verano.

Como los usuarios se han acostumbrado a escribir STOP, Yes o NO para confirmar citas o cancelar la suscripción a mensajes de texto, los actores de amenazas esperan que este acto familiar lleve al destinatario del texto a responder al texto y habilitar los enlaces.

Al hacerlo, se habilitarán nuevamente los enlaces y se desactivará la protección antiphishing incorporada de iMessage para este texto.

Incluso si un usuario no hace clic en el enlace ahora habilitado, el acto de responder le dice al actor de amenazas que ahora tiene un objetivo que responde a los mensajes de phishing, lo que lo convierte en un objetivo más grande.

Si recibe un mensaje cuyos enlaces están deshabilitados o de un remitente desconocido que le pide que responda al mensaje de texto, se le recomienda encarecidamente que no lo haga.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En su lugar, comuníquese directamente con la empresa u organización para verificar el texto y preguntar si hay algo más que deba hacer.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#37
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas han violado la seguridad de la policía aeroportuaria (PSA) de Argentina y han comprometido los datos personales y financieros de sus oficiales y personal civil.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Según el sitio web "pagina12", los actores de amenazas explotaron una vulnerabilidad en el sistema de nóminas del Banco Nación para acceder a los registros de la policía de seguridad aeroportuaria de Argentina.

La nómina de efectivos, policiales y civiles, de la Policía de Seguridad Aeroportuaria (PSA) fue hackeada y en los recibos de sueldo aparecieron mutuales falsas por las que se descontaron, en algunos casos 5.000 pesos, en otros 3.000 y en otros 2.000. Los cargos figuraban como DD mayor, DD seguros. El ataque contra la fuerza que está bajo la órbita de la ministra de Seguridad Patricia Bullrich es mantenido en absoluta reserva y voceros oficiosos de la PSA afirman que el ingreso a la base de datos no fue en la fuerza de seguridad sino en el Banco Nación, a través del cual se pagan los sueldos. El origen de la incursión son servidores que, supuestamente, funcionan en países remotos, aunque nadie puede descartar que las operaciones se hayan hecho en la Argentina, utilizando esos servidores lejanos. Tampoco que haya existido complicidad interna.

La violación de la seguridad de la PSA es otro episodio más dentro de una serie de incursiones de hackers a organismos oficiales y privados, pero es más grave porque significa que los hackers obtuvieron toda la información de una fuerza de seguridad. Están quienes le echan la culpa a la falta de inversión del Estado: así como no arreglan rutas, no se invierte dinero en los sistemas antivirus, que son decisivos. Otros sostienen que hay gravísimas fallas en contrainteligencia por vaciamiento de esa área, tanto en las fuerzas de seguridad como en la misma SIDE. "Todo es caótico, como en otras áreas del gobierno", dicen quienes conocen de cerca lo que ocurre con los hackeos.

Apagón, hackeo y mutuales fantasmas

Seis fuentes distintas le describieron lo ocurrido a Página/12 y señalaron que hubo un primer apagón del sistema informático que se extendió durante más de una hora. Cuando los técnicos recuperaron el control, no detectaron ninguna irregularidad. El episodio se guardó en total secreto, algo que se repite en todos los ámbitos: nadie admite un hackeo, porque es admitir una gravísima falta, un agujero enorme en la seguridad. Es posible que las autoridades de la PSA o del Ministerio de Seguridad hagan una desmentida, pero todos saben en la fuerza que los hechos ocurrieron.

Sucedió algo parecido con dos conocidos laboratorios de estudios médicos -donde se hacen la revisión la mayoría de los jugadores de fútbol- cuyos sistemas informáticos estuvieron bloqueados y habían perdido los registros de las historias clínicas. Fue público y notorio que se vieron impedidos de dar turnos. Hay bancos que han tenido que negociar con los hackers y es un secreto a voces que pagaron lo que equivale a un rescate. También el Estado intentó amortiguar el ingreso de hackers a los datos de Mi Argentina en el que llegaron a cambiar hasta la gráfica. Se dice que la seguridad fue violada en el sistema de la Policía de la Ciudad y que intentaron hacerlo en la Policía Federal. No lo lograron, pero sí habrían ingresado al sistema del Hospital Churruca, que es de la órbita de la Federal.

El impacto en la PSA no se produjo el mismo día del apagón sino cuando efectivos policiales y civiles de esa fuerza se encontraron con raros descuentos en sus recibos de sueldos. Figuraban como DD major y DD seguros. Nunca cifras altas. Siempre 5.000, 3.000 o 2.000 pesos. Una especie de robo hormiga. Y el descuento se realizaba como si el titular hubiera sacado un crédito o hubiera contraído alguna obligación con una serie de mutuales que, en verdad, no existen. Es más, cada efectivo tuvo que gestionar la reversión, o sea que le devuelvan la plata, pero había que hacerlo en la web del Banco Nación. También hubo que generar un stop debit. Esto es lo que fundamenta la acusación de la PSA al Banco Nación en el sentido de que fue la entidad bancaria la que tuvo la falla en la ciberseguridad. Pero el punto es que la PSA es la que tiene la responsabilidad sobre los recibos, de manera que tuvo que intervenir y esos descuentos no volvieron a aparecer.

Algunas de las versiones recogidas por este diario indican que hubo efectivos a los que les descontaron en tres oportunidades: sucede que los hackers, cuando vulneran la seguridad, no sólo acceden a los datos -y a alterarlos-, sino que también dejan instalado un programa que les permite volver a acceder.

Hasta pruebas de vida

La ofensiva de los hackers aparece ya como máxima preocupación también en los principales diarios norteamericanos. Son grupos de jóvenes que actúan usando servidores ubicados en Corea del Norte, China, Rusia, pero también aparecen infinidad de países pequeños que en verdad sólo sirven de puentes. Las bandas de hackers que realmente operan redireccionan para engañar. "pueden estar en la esquina de tu casa, pero simulan estar en Moldavia, por ejemplo. Tratan de borrar los rastros". Y el sistema es de prueba y error, intentan miles de veces, hasta que encuentran alguna forma de entrar al sistema que tratan de hackear.

En el caso de la PSA, según parece, el objetivo fue el robo, inventando un código de descuentos y transfiriendo las pequeñas sumas a una única cuenta. No se sabe si lograron el objetivo, es decir si consiguieron quedarse con el dinero.

Sucede que en otras oportunidades -como ocurrió con los dos centros médicos conocidos y los bancos-, el objetivo es extorsionar: exigen un dinero para devolver los archivos. Quienes participaron en negociaciones con hackers le contaron a Página/12 que se les suele pedir una prueba de vida, como en los secuestros: "exhíbame el contenido de la carpeta denominada Francia". Se supone que, si los hackers se apropiaron de la información, pueden acceder a ese contenido y mostrarlo. El pago se hace en bitcoins, de manera difícil de rastrear, con muchas terminales en Dubai. Para los bancos y esos dos centros médicos, el bloqueo de su sistema significa casi la paralización.

Por otro lado, también está el hackeo para vender los datos en lo que llaman la dark-web o deep-web. Seguramente habrá interesados en quedarse con toda la lista de los efectivos de la PSA, de manera que puede ser otro objetivo, además del robo en los recibos. Finalmente, quienes conocen mucho el mundo de los hackeos, afirman que están las venganzas dentro de la misma fuerza, los pases de factura, los intereses económicos para que se compren más antivirus o para que se destituya a un jefe de sistemas. El hackeo es un mundo.
 
Inversión y equipos entrenados

Quienes se ocupan de la batalla contra los hackers sostienen que uno de los grandes problemas es la falta de inversión: se requiere tener super-actualizados, casi minuto a minuto, los antivirus. Esos sistemas no son sólo un software, sino que son sistemas on-line 24 horas, porque los ataques son permanentes y donde se produce una alarma hay que actuar de inmediato. Por supuesto que están quienes dicen que lo fundamental no son los sistemas antivirus -norteamericanos, israelíes, lo conveniente es combinar, no depender de un proveedor-, sino tener un equipo entrenado, con técnicos en las oficinas y otros con guardias pasivas, en su casa, pero con capacidad para reaccionar en instantes a cualquier irrupción. Hay organismos del estado a cuyos sistemas los hackers intentan ingresar 5.000 veces por día. El ataque es constante.

En ese marco, hay acusación contra los funcionarios de Milei porque, así como no hay inversión en obra pública y las rutas se empiezan a llenar de pozos, no hay inversión en los sistemas de seguridad. A esto se agrega que falló la PSA en proteger los datos -cada fuerza tiene un departamento de ciberseguridad- y también la SIDE. Según los trascendidos, la cuestión estuvo en manos de Jefatura de Gabinete, ahora en la SIDE, pero nadie se ocupa verdaderamente: es un agujero negro. La inteligencia dejó de ser el hombre en la esquina, simulando leer un diario: por supuesto que sigue siendo importante tener información, pero todas las cuestiones de ataques informáticos pasaron a ser claves.

El hecho concreto es que le entraron al sistema de una fuerza de seguridad y, más allá de que hubo un robo de dinero, está claro que los hackers tienen toda la nómina de los efectivos, con sus datos personales y mucho más. Y es una fuerza clave que está en los aeropuertos, con un papel protagónico en la prevención de atentados terroristas. La evidencia es que, lejos de ser una garantía, la defensa parece hacer agua.

El ataque probablemente involucró servidores remotos, posiblemente del exterior, y los expertos especulan con la participación de cómplices internos.

La PSA bloqueó servicios en respuesta al incidente y lanzó una investigación que aún está en curso.

En agosto de 2020, Telecom Argentina sufrió un ataque de ransomware que encriptó 18.000 estaciones de trabajo.

En septiembre de 2020, la Dirección Nacional de Migraciones, la agencia oficial de inmigración de Argentina, fue atacada por un ataque de ransomware Netwalker que provocó la interrupción del cruce fronterizo de entrada y salida del país durante cuatro horas.

Fuente:
Página12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#38
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tenable Nessus es una herramienta de escaneo de vulnerabilidades ampliamente utilizada diseñada para identificar y evaluar vulnerabilidades de seguridad en sistemas, redes y aplicaciones.

Tenable se vio obligada a deshabilitar dos versiones del agente del escáner Nessus porque una actualización defectuosa del complemento provocó que los agentes se desconectaran.

"Estamos al tanto de un problema que se produce cuando los agentes se desconectan después de las actualizaciones del complemento para ciertos usuarios en todos los sitios y lo estamos investigando activamente", se lee en la actualización publicada por Tenable el último día de 2024. "Las actualizaciones del complemento se han pausado temporalmente".

La empresa no compartió detalles técnicos sobre el problema

"Existe un problema conocido que puede provocar que Tenable Nessus Agent 10.8.0 y 10.8.1 se desconecten cuando se activa una actualización diferencial del complemento. Para evitar este problema, Tenable ha deshabilitado las actualizaciones de la fuente del complemento para estas dos versiones del agente. Además, Tenable ha deshabilitado las versiones 10.8.0 y 10.8.1 para evitar más problemas", informó la empresa.

Un par de días después, el proveedor anunció que estaba trabajando para solucionar el problema que afectaba a la versión 10.8.0/10.8.1 de Nessus Agent:

Nessus Agent para Tenable Vulnerability Management (TVM), TSC y Nessus se han rebajado de la versión 10.8.0/10.8.1 a la 10.7
Todas las actualizaciones de la fuente de complementos están deshabilitadas, excepto:
La versión de TVM Nessus Agent anterior a la 10.8
Nessus Scanner vinculado a TVM (todas las versiones)

Tenable lanzó Nessus Agent v10.8.2 para solucionar los problemas con las versiones 10.8.0 y 10.8.1, que estaban deshabilitadas.

"Para solucionar el problema anterior, todos los clientes de Tenable Vulnerability Management y Tenable Security Center que ejecuten la versión 10.8.0 o 10.8.1 de Tenable Nessus Agent deben actualizar a la versión 10.8.2 del agente o rebajar a la versión 10.7.3", continúa el aviso. "Si está utilizando perfiles de agente para actualizaciones o degradaciones de agente, debe realizar un restablecimiento del complemento por separado para recuperar cualquier agente fuera de línea".

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#39
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Telegram revela que la plataforma de comunicaciones ha cumplido 900 solicitudes del gobierno de EE. UU., compartiendo el número de teléfono o la dirección IP de 2253 usuarios con las fuerzas del orden.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta cifra supone un aumento considerable con respecto a años anteriores, y la mayoría de las solicitudes se procesaron después del cambio de política de la plataforma sobre el intercambio de datos de los usuarios, anunciado en septiembre de 2024.

Si bien Telegram ha sido durante mucho tiempo una plataforma utilizada para comunicarse con amigos y familiares, hablar con compañeros de ideas afines y como una forma de eludir la censura del gobierno, también se utiliza mucho para cometer delitos cibernéticos.

Los actores de amenazas suelen utilizar la plataforma para vender servicios ilegales, realizar ataques, vender datos robados o como servidor de comando y control para su malware.

Como informó por primera vez 404 Media, la nueva información sobre las solicitudes de aplicación de la ley cumplidas proviene del Informe de Transparencia de Telegram para el período comprendido entre el 1/1/24 y el 13/12/24.

Anteriormente, Telegram solo compartía las direcciones IP y los números de teléfono de los usuarios en casos de terrorismo y solo había cumplido 14 solicitudes que afectaban a 108 usuarios hasta el 30 de septiembre de 2024.

Cifras actuales (izquierda) y cifras del período anterior (derecha)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tras el cambio en su política de privacidad, Telegram compartirá ahora los datos de los usuarios con las fuerzas del orden en otros casos de delito, incluidos los delitos cibernéticos, la venta de bienes ilegales y el fraude en línea.

"Si Telegram recibe una orden válida de las autoridades judiciales pertinentes que confirme que eres sospechoso en un caso que involucra actividades delictivas que violan los Términos de Servicio de Telegram, realizaremos un análisis legal de la solicitud y podremos revelar tu dirección IP y número de teléfono a las autoridades pertinentes", se lee en la política de privacidad actualizada de Telegram:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este cambio se produjo en respuesta a la presión de las autoridades, que culminó con el arresto del fundador y CEO de Telegram, Pavel Durov, a fines de agosto en Francia.

Posteriormente, Durov enfrentó una larga lista de cargos, que incluían complicidad en delitos cibernéticos, fraude organizado y distribución de material ilegal, así como negativa a facilitar interceptaciones legales destinadas a ayudar en las investigaciones de delitos.

Aunque el cambio de política dio lugar a que varios grupos de ciberdelincuentes anunciaran su salida de Telegram, la empresa de inteligencia sobre ciberdelincuencia KELA informó en diciembre que el panorama no había cambiado todavía.

Si bien el aumento significativo en las prácticas de intercambio de datos de los usuarios registrado en el último trimestre de 2024 indica un cambio en la estrategia de Telegram, se dará un panorama más claro en abril de 2025, cuando se publique el próximo informe de transparencia.

Para acceder a los informes de transparencia de Telegram de su país, utilice el bot dedicado de la plataforma desde aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#40
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El lunes, la Organización de Aviación Civil Internacional (OACI) de las Naciones Unidas anunció que estaba investigando lo que describió como un "incidente de seguridad denunciado".

Establecida en 1944 como una organización intergubernamental, esta agencia de las Naciones Unidas trabaja con 193 países para apoyar el desarrollo de estándares técnicos mutuamente reconocidos.

"La OACI está investigando activamente los informes de un posible incidente de seguridad de la información presuntamente vinculado a un actor de amenazas conocido por atacar a organizaciones internacionales", dijo la OACI en un comunicado.

"Nos tomamos este asunto muy en serio y hemos implementado medidas de seguridad inmediatas mientras llevamos a cabo una investigación exhaustiva".

La agencia de la ONU dice que proporcionará más información después de que finalice su investigación preliminar sobre esta posible violación.

Aunque la OACI aún no ha proporcionado detalles específicos sobre lo que desencadenó esta investigación en curso, este anuncio se produce dos días después de que un actor de amenazas llamado "natohub" filtrara 42.000 documentos supuestamente robados de la OACI en el foro de piratería BreachForums.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según las afirmaciones de natohub, los documentos supuestamente robados contienen nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de correo electrónico e información sobre educación y empleo. Otro actor de amenazas dice que el archivo contiene 2 GB de archivos con información sobre 57.240 correos electrónicos únicos.

Un portavoz de la OACI no estaba inmediatamente disponible para hacer comentarios cuando BleepingComputer se puso en contacto con él esta mañana.

Esto se produce después de que otra agencia de la ONU, el Programa de las Naciones Unidas para el Desarrollo (PNUD), comenzara a investigar un ciberataque en abril de 2024 después de un ciberataque reivindicado por la banda de ransomware 8Base; el PNUD aún no ha proporcionado una actualización sobre la investigación.

En enero de 2021, el Programa de las Naciones Unidas para el Medio Ambiente (PNUMA) también reveló una filtración de datos después de que más de 100.000 registros de empleados con información de identificación personal (PII) quedaran expuestos en línea.

Las redes de la ONU en Viena y Ginebra también fueron violadas en julio de 2019 mediante un exploit de Sharepoint. Los atacantes obtuvieron acceso a registros de personal, seguros de salud y datos de contratos comerciales en lo que un funcionario de la ONU describió más tarde como una "crisis importante".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta