Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

#81
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se dio a conocer a finales de la semana pasada, pero creo que merece la pena mencionarlo por estos lares por lo significativo del acontecimiento: la comunidad de Linux en Reddit ha superado el millón de usuarios. Y quien dice la comunidad, dice con mayor precisión el grupo o subreddit «oficial» de Linux en Reddit, r/Linux.

Cabe matizarlo, porque la comunidad de Linux en Reddit es muchísimo más amplia y cuenta con mil y un espacios dedicados a distribuciones, entornos de escritorio, aplicaciones y otros puntos de encuentro relacionados específicamente con cosas que, por lo general, solo son del interés de los usuarios de Linux. Aunque hay un poco de todo, claro.
 
A modo de ejemplo, hay otras comunidades multitudinarias alrededor de Linux en Reddit: Arch Linux cuenta con casi 250.000 miembros, Ubuntu supera los 220.000, KDE acumula más de 100.000, GNOME más de 85.000... Y los hay muy ligados a Linux, que no exclusivos, que siguen la misma línea como el de Open Source, que va ya por los 212.000 miembros, el de Firefox por los 183.000...

Es decir, que de sumar todo lo que engloba la auténtica comunidad de Linux en Reddit, nos iríamos muy por encima del millón, si bien encontraríamos a muchos usuarios repetidos, por no señalar lo obvio: Linux, en este caso también, va mucho más allá de GNU/Linux o el escritorio Linux, a pesar de que mucho de lo que ahí se publica gira en torno a este.

¿Cómo lo lleva Linux en comparación con otros sistemas o plataformas, por denominarlo de alguna manera? Nada mal, a decir verdad: el subreddit de Windows cuenta con unos 290.000 miembros, el de macOS con más de 300.000, el de iOS con unos 343.000... El de Microsoft está por encima de los 400.000 miembros, el de Apple por encima de los 4,6 millones... El de Android pasa de los 2,6 millones de usuarios suscritos...

Por supuesto, hay un mucho de todo, cabe repetir, y es por ello que las comparaciones no tienen más sentido que el de saciar la mera curiosidad. De hecho, en Reddit hay comunidades gigantescas con más de 20, 30, 40 y 50 millones de miembros. Pero una cosa no quita la otra y que r/Linux pase a formar parte del «Top 1%» de Reddit es significativo.

Es cierto que, en los últimos tiempos, a raíz de polémicas de distinta índole, Reddit se ha sacudido. Sin embargo, se mantiene como el foro de foros más popular de Internet y uno de los más eficientes para informarse y discutir de temas de todo tipo.

Fuente:
MuyLinux
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#82
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una nueva vulnerabilidad denominada 'LeftoverLocals' que afecta a las unidades de procesamiento de gráficos de AMD, Apple, Qualcomm e Imagination Technologies permite recuperar datos del espacio de memoria local.

Registrado como CVE-2023-4969, el problema de seguridad permite la recuperación de datos de GPU vulnerables, especialmente en el contexto de grandes modelos de lenguaje (LLM) y procesos de aprendizaje automático (ML).

LeftoverLocals fue descubierto por los investigadores de Trail of Bits, Tyler Sorensen y Heidy Khlaaf, quienes lo informaron en privado a los proveedores antes de publicar una descripción técnica.

Detalles de LeftoverLocals


La falla de seguridad surge del hecho de que algunos marcos de GPU no aíslan completamente la memoria y un kernel que se ejecuta en la máquina podría leer valores en la memoria local escritos por otro kernel.

Los investigadores de Trail of Bits, Tyler Sorensen y Heidy Khlaaf, quienes descubrieron e informaron sobre la vulnerabilidad, explican que un adversario solo necesita ejecutar una aplicación informática de GPU (por ejemplo, OpenCL, Vulkan, Metal) para leer los datos que un usuario dejó en la memoria local de la GPU.

"Al usarlos, el atacante puede leer los datos que la víctima ha dejado en la memoria local de la GPU simplemente escribiendo un núcleo de GPU que vuelca la memoria local no inicializada" - Trail of Bits

LeftoverLocals permite a los atacantes lanzar un 'escucha': un núcleo de GPU que lee desde la memoria local no inicializada y puede volcar los datos en una ubicación persistente, como la memoria global.

Si la memoria local no se borra, el atacante puede utilizar el oyente para leer los valores dejados por el "escritor", un programa que almacena valores en la memoria local.

La siguiente animación muestra cómo interactúan los programas de escritura y escucha y cómo estos últimos pueden recuperar datos del primero en las GPU afectadas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los datos recuperados pueden revelar información confidencial sobre los cálculos de la víctima, incluidas entradas, salidas, pesos y cálculos intermedios del modelo.

En un contexto de GPU multiinquilino que ejecuta LLM, LeftoverLocals se puede utilizar para escuchar las sesiones interactivas de otros usuarios y recuperar de la memoria local de la GPU los datos del proceso de "escritor" de la víctima.

Los investigadores de Trail of Bits crearon una prueba de concepto (PoC) para demostrar LeftoverLocals y demostraron que un adversario puede recuperar 5,5 MB de datos por invocación de GPU, según el marco de GPU.

En una AMD Radeon RX 7900 XT que alimenta el LLM llama.cpp de código abierto, un atacante puede obtener hasta 181 MB por consulta, lo que es suficiente para reconstruir las respuestas del LLM con alta precisión.


Impacto y remediación

Los investigadores de Trail of Bits descubrieron CVE-2023-4969 en septiembre de 2023 e informaron a CERT/CC para ayudar a coordinar los esfuerzos de divulgación y parcheo.

Se están realizando esfuerzos de mitigación, ya que algunos proveedores lo solucionaron, mientras que otros todavía están trabajando en una forma de desarrollar e implementar un mecanismo de defensa.

En el caso de Apple, el último iPhone 15 no se ve afectado y hubo correcciones disponibles para los procesadores A17 y M3, pero el problema persiste en las computadoras con tecnología M2.

AMD informó que los siguientes modelos de GPU siguen siendo vulnerables mientras sus ingenieros investigan estrategias de mitigación efectivas.

Qualcomm ha lanzado un parche a través del firmware v2.0.7 que corrige LeftoverLocals en algunos chips, pero otros siguen siendo vulnerables.

Imagination lanzó una solución en DDK v23.3 en diciembre de 2023. Sin embargo, Google advirtió en enero de 2024 que algunas de las GPU del proveedor todavía estaban afectadas.

Las GPU Intel, NVIDIA y ARM han informado que el problema de fuga de datos no afecta a sus dispositivos.

Trail of Bits sugiere que los proveedores de GPU implementen un mecanismo automático de borrado de memoria local entre llamadas al kernel, asegurando el aislamiento de los datos confidenciales escritos por un proceso.

Si bien este enfoque podría introducir cierta sobrecarga de rendimiento, los investigadores sugieren que la compensación está justificada dada la gravedad de las implicaciones de seguridad.

Otras posibles mitigaciones incluyen evitar entornos de GPU multiinquilino en escenarios críticos para la seguridad e implementar mitigaciones a nivel de usuario.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#83
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Citrix instó a sus clientes el martes a parchear inmediatamente los dispositivos Netscaler ADC y Gateway expuestos en línea contra dos vulnerabilidades de día cero explotadas activamente.

Los dos días cero (rastreados como CVE-2023-6548 y CVE-2023-6549) afectan la interfaz de administración de Netscaler y exponen las instancias de Netscaler sin parches a la ejecución remota de código y a ataques de denegación de servicio, respectivamente.

Sin embargo, para obtener la ejecución del código, los atacantes deben iniciar sesión en cuentas con pocos privilegios en la instancia objetivo y necesitan acceso a NSIP, CLIP o SNIP con acceso a la interfaz de administración.

Además, los dispositivos deben configurarse como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o un servidor virtual AAA para que sean vulnerables a ataques DoS.

La compañía dice que solo los dispositivos NetScaler administrados por el cliente se ven afectados por los días cero, mientras que los servicios en la nube administrados por Citrix o la autenticación adaptativa administrada por Citrix no se ven afectados.

La lista de versiones de productos Netscaler afectadas por estas dos vulnerabilidades de día cero incluye lo siguiente:

     NetScaler ADC y NetScaler Gateway 14.1 anteriores a 14.1-12.35
     NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-51.15
     NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-92.21
     NetScaler ADC 13.1-FIPS anterior a 13.1-37.176
     NetScaler ADC 12.1-FIPS anterior a 12.1-55.302
     NetScaler ADC 12.1-NDcPP anterior a 12.1-55.302

Según los datos proporcionados por la plataforma de monitoreo de amenazas Shadowserver, actualmente hay poco más de 1.500 interfaces de administración de Netscaler expuestas en Internet.

En un aviso de seguridad publicado hoy, Citrix instó a todos los administradores a parchear inmediatamente sus dispositivos Netscaler contra los dos días cero para bloquear posibles ataques.

"Se han observado explotaciones de estos CVE en dispositivos no mitigados", advirtió la empresa. "Cloud Software Group insta encarecidamente a los clientes afectados de NetScaler ADC y NetScaler Gateway a instalar las versiones actualizadas pertinentes lo antes posible".

A aquellos que todavía utilizan el software de fin de vida útil (EOL) NetScaler ADC y NetScaler Gateway versión 12.1 también se les recomendó que los actualicen a una versión que aún esté bajo soporte.

Los administradores que no puedan implementar inmediatamente las actualizaciones de seguridad actuales deben bloquear el tráfico de red hacia las instancias afectadas y asegurarse de que no queden expuestas en línea.

"Cloud Software Group recomienda encarecidamente que el tráfico de red hacia la interfaz de administración del dispositivo esté separado, ya sea física o lógicamente, del tráfico de red normal", dijo Citrix.

"Además, recomendamos que no exponga la interfaz de administración a Internet, como se explica en la guía de implementación segura. Eliminar dicha exposición a Internet reduce en gran medida el riesgo de explotación de este problema".

Otra falla crítica de Netscaler parcheada en octubre y rastreada como CVE-2023-4966 (posteriormente denominada Citrix Bleed) también fue explotada como día cero desde agosto por varios grupos de amenazas para piratear las redes de organizaciones gubernamentales y empresas tecnológicas de alto perfil en todo el mundo como Boeing.

El equipo de seguridad del HHS, el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3), también emitió una alerta para todo el sector instando a las organizaciones de salud a proteger sus instancias de NetScaler ADC y NetScaler Gateway contra los crecientes ataques de ransomware.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#84
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google ha lanzado actualizaciones de seguridad para corregir la primera vulnerabilidad de día cero de Chrome explotada desde principios de año.

"Google está al tanto de los informes de que existe un exploit para CVE-2024-0519", dijo la compañía en un aviso de seguridad publicado el martes.

La compañía solucionó el día cero para los usuarios del canal de escritorio estable, con versiones parcheadas implementándose en todo el mundo para usuarios de Windows (120.0.6099.224/225), Mac (120.0.6099.234) y Linux (120.0.6099.224) en menos de una semana. después de ser reportado a Google.

Aunque Google dice que la actualización de seguridad podría tardar días o semanas en llegar a todos los usuarios afectados, ya esta disponible de inmediato

Aquellos que prefieran no actualizar su navegador web manualmente pueden confiar en Chrome para buscar automáticamente nuevas actualizaciones e instalarlas después del próximo lanzamiento.

La vulnerabilidad de día cero de alta gravedad (CVE-2024-0519) se debe a una debilidad de acceso a memoria fuera de límites de alta gravedad en el motor JavaScript Chrome V8, que los atacantes pueden aprovechar para obtener acceso a datos más allá del búfer de memoria, proporcionándoles acceso a información confidencial o provocando un bloqueo.

"El centinela esperado podría no estar ubicado en la memoria fuera de los límites, lo que provocaría una lectura excesiva de datos, lo que provocaría un error de segmentación o un desbordamiento del búfer", explica MITRE. "El producto puede modificar un índice o realizar aritmética de punteros que hace referencia a una ubicación de memoria que está fuera de los límites del búfer. Una operación de lectura posterior produce resultados indefinidos o inesperados".

Además del acceso no autorizado a la memoria fuera de los límites, CVE-2024-0519 también podría aprovecharse para eludir mecanismos de protección como ASLR y facilitar la ejecución del código a través de otra debilidad.

Si bien Google conoce los exploits de día cero CVE-2024-0519 utilizados en ataques, la compañía aún tiene que compartir más detalles sobre estos incidentes.

"El acceso a los detalles del error y a los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución", dijo Google. "También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se ha solucionado".

Hoy, Google también parchó las fallas de escritura fuera de límites (CVE-2024-0517) y confusión de tipos (CVE-2024-0518) de V8, lo que permite la ejecución de código arbitrario en dispositivos comprometidos.

El año pasado, Google solucionó ocho errores de día cero de Chrome explotados en ataques rastreados como CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023- 4762, CVE-2023-2136 y CVE-2023-2033.

Algunos de ellos, como CVE-2023-4762, fueron etiquetados como días cero utilizados para implementar software espía en dispositivos vulnerables pertenecientes a usuarios de alto riesgo, incluidos periodistas, políticos de la oposición y disidentes, varias semanas después de que la compañía lanzara parches.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#85
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google está actualizando los descargos de responsabilidad por el uso del modo incógnito de Chrome para indicar con mayor claridad y transparencia hasta dónde llega la protección a la privacidad y a la recopilación de datos que también se produce cuando usamos esta función especial de su navegador.

Las nuevas páginas del modo incógnito de Chrome han comenzado a aparecer en la versión de prueba Canary en Android, Windows y otras plataformas, y suponemos que pronto se implementarán en las versiones estables. La medida es consecuencia del acuerdo extrajudicial alcanzado por Google para frenar una demanda colectiva de 5.000 millones de dólares.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El modo incógnito de Chrome (y del resto de navegadores) es una función enfocada a salvaguardar la privacidad y seguridad del usuario. Una sesión temporal de navegación privada que no comparte datos con el navegador, no guarda información sobre páginas web, ni historial de navegación, caché web, contraseñas, información de formularios, cookies u otros datos de sitios web, borrando éstas u otros archivos temporales cuando finalizamos la sesión.

O esa era la teoría... En 2020 fue presentada en el Tribunal Federal de San José, en California, una demanda que pretendía convertirse en colectiva con reclamación por daños de 5.000 millones de dólares. En la misma se acusaba a Google de mantener un «negocio de seguimiento de datos generalizado» al rastrear datos incluso si los usuarios tomaban medidas para proteger su información privada usando el modo incógnito de Chrome.

Google no negó la mayor, pero se defendió explicando que el funcionamiento de este modo se expresaba claramente cada vez que se utilizaba y que Incógnito no significaba invisible y que la actividad del usuario durante esa sesión podía ser visible para los sitios web que visitaban.

El tribunal californiano admitió la demanda y Google tenía que enfrentarse a un juicio por violar -supuestamente- las leyes de privacidad de California y las normas federales sobre escucha. Cargos graves a los que Google no ha querido enfrentarse porque ciertamente las políticas sobre este modo no estaban nada claras e incluso documentos internos de varios ejecutivos aconsejaban a Sundar Pichai aclarar la situación, dejar de llamarlo 'incógnito' e incluso cambiar el icono de Spy Guy.

Google ha llegado a un acuerdo externo para no llegar a juicio y ha cambiado el descargo de responsabilidad por el uso de esta función. El cambio principal es señalar que los sitios web que visitamos pueden recopilar datos y hacer un seguimiento de nuestra actividad on-line. También se detalla que Chrome guardará el historial de navegación, cookies o datos de formularios, y que la actividad puede ser visible por los sitios web que visitas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La «navegación privada» (aunque es muy útil en varios escenarios), no es lo mismo que «navegación anónima», una característica que necesita otras herramientas más avanzadas como TOR.

En resumen: el modo incógnito de Chrome no es anónimo ni ofrece tanta privacidad. Los cambios en el descargo de responsabilidad de Google son sutiles, pero reflejan mejor esta realidad y seguramente sea parte del acuerdo para frenar la demanda colectiva de un caso que se espera termine el próximo mes de febrero.

Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#86
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Múltiples ladrones de información para la plataforma macOS han demostrado la capacidad de evadir la detección incluso cuando las empresas de seguridad siguen e informan sobre nuevas variantes con frecuencia.

Un informe de SentinelOne destaca el problema a través de tres ejemplos de malware notables que pueden evadir el sistema antimalware integrado de macOS, XProtect.

XProtect funciona en segundo plano mientras escanea archivos y aplicaciones descargados en busca de firmas de malware conocidas.

A pesar de que Apple actualiza constantemente la base de datos de malware de la herramienta, SentinelOne dice que los ladrones de información la evitan casi instantáneamente gracias a la rápida respuesta de los autores del malware.

Evadir XProtect


El primer ejemplo del informe de SentinelOne es KeySteal, un malware documentado por primera vez en 2021, que ha evolucionado significativamente desde entonces.

Actualmente, se distribuye como un binario Mach-O creado por Xcode, llamado 'UnixProject' o 'ChatGPT' e intenta establecer persistencia y robar información de Keychain.

Keychain es el sistema de administración de contraseñas nativo de macOS que sirve como almacenamiento seguro para credenciales, claves privadas, certificados y notas.

El primer ejemplo del informe de SentinelOne es KeySteal, un malware documentado por primera vez en 2021, que ha evolucionado significativamente desde entonces.

Actualmente, se distribuye como un binario Mach-O creado por Xcode, llamado 'UnixProject' o 'ChatGPT' e intenta establecer persistencia y robar información de Keychain.

Keychain es el sistema de administración de contraseñas nativo de macOS que sirve como almacenamiento seguro para credenciales, claves privadas, certificados y notas.

KeySteal disfrazado de aplicación ChatGPT
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apple actualizó por última vez su firma para KeySteal en febrero de 2023, pero el malware ha recibido suficientes cambios desde entonces como para pasar desapercibido para XProtect y la mayoría de los motores AV.

Su única debilidad actual es el uso de direcciones de comando y control (C2) codificadas, pero SentinelOne cree que es solo cuestión de tiempo antes de que los creadores de KeySteal implementen un mecanismo de rotación.

El siguiente malware destacado como ejemplo de evasión es Atomic Stealer, documentado por primera vez por SentinelOne en mayo de 2023 como un nuevo ladrón basado en Go y revisado por Malwarebytes en noviembre de 2023.

Apple actualizó por última vez las firmas y las reglas de detección de XProtect este mes, pero SentinelOne informa que ya observa variantes de C++ que pueden evadir la detección.

El tercer ejemplo del informe es CherryPie, también conocido como 'Gary Stealer' o 'JaskaGo', visto por primera vez en estado salvaje el 9 de septiembre de 2023.

El malware multiplataforma basado en Go presenta antianálisis y detección de máquinas virtuales, envoltura de Wails, firmas ad hoc y un sistema que desactiva Gatekeeper usando privilegios de administrador.

La última versión de Atomic Stealer ha reemplazado la ofuscación del código con AppleScript de texto sin cifrar que expone su lógica de robo de datos, incluye comprobaciones anti-VM e impide ejecutar la Terminal junto con él.

La buena noticia es que Apple actualizó sus firmas XProtect para CherryPie a principios de diciembre de 2023, que funcionan muy bien incluso para las versiones más nuevas. Sin embargo, las detecciones de malware no funcionan tan bien en Virus Total.

De lo anterior queda claro que el desarrollo continuo de malware con el objetivo de evadir la detección hace que este sea un juego arriesgado de golpear al topo tanto para los usuarios como para los proveedores de sistemas operativos.

Depender únicamente de la detección estática para la seguridad es inadecuado y potencialmente riesgoso. Un enfoque más sólido debería incorporar software antivirus equipado con capacidades avanzadas de análisis heurístico o dinámico.

Además, la supervisión atenta del tráfico de la red, la implementación de firewalls y la aplicación constante de las últimas actualizaciones de seguridad son componentes esenciales de una estrategia integral de ciberseguridad.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#87
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han identificado un "método liviano" llamado iShutdown para identificar de manera confiable signos de software espía (Spyware) en dispositivos Apple iOS, incluidas amenazas notorias como Pegasus de NSO Group, Reign de QuaDream y Predator de Intellexa.

Kaspersky, que analizó un conjunto de iPhones que fueron comprometidos con Pegasus, dijo que las infecciones dejaron rastros en un archivo llamado "Shutdown.log", un archivo de registro del sistema basado en texto disponible en todos los dispositivos iOS y que registra cada evento de reinicio junto con las características de su entorno.

"En comparación con métodos de adquisición que requieren más tiempo, como imágenes forenses de dispositivos o una copia de seguridad completa de iOS, recuperar el archivo Shutdown.log es bastante sencillo", dijo el investigador de seguridad Maher Yamout. "El archivo de registro se almacena en un archivo sysdiagnose (sysdiag)".

La firma rusa de ciberseguridad dijo que identificó entradas en el archivo de registro que registraron casos en los que procesos "pegajosos", como los asociados con el software espía, causaron un retraso en el reinicio, observando en algunos casos procesos relacionados con Pegasus en más de cuatro avisos de retraso en el reinicio.

Es más, la investigación reveló la presencia de una ruta de sistema de archivos similar que utilizan las tres familias de software espía: "/private/var/db/" para Pegasus y Reign, y "/private/var/tmp/" para Predator. actuando así como indicador de compromiso.

Dicho esto, el éxito de este enfoque depende de la advertencia de que el usuario objetivo reinicie su dispositivo con la mayor frecuencia posible, cuya frecuencia varía según su perfil de amenaza.

Kaspersky también ha publicado una colección de scripts de Python para extraer y analizar al Shutdown.log.

"La naturaleza liviana de este método lo hace fácilmente disponible y accesible", dijo Yamout. "Además, este archivo de registro puede almacenar entradas durante varios años, lo que lo convierte en un valioso artefacto forense para analizar e identificar entradas de registro anómalas".

La divulgación se produce cuando SentinelOne reveló que los ladrones de información dirigidos a macOS como KeySteal, Atomic y JaskaGo (también conocidos como CherryPie o Gary Stealer) se están adaptando rápidamente para eludir la tecnología antivirus incorporada de Apple llamada XProtect.

"A pesar de los sólidos esfuerzos de Apple para actualizar su base de datos de firmas XProtect, estas cepas de malware que evolucionan rápidamente continúan evadiendo", dijo el investigador de seguridad Phil Stokes. "Dependerse únicamente de la detección basada en firmas es insuficiente ya que los actores de amenazas tienen los medios y los motivos para adaptarse rápidamente".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#88
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

GitHub ha revelado que ha rotado algunas claves en respuesta a una vulnerabilidad de seguridad que podría explotarse para obtener acceso a las credenciales.

La filial propiedad de Microsoft dijo que se enteró del problema el 26 de diciembre de 2023 y que abordó el problema el mismo día, además de rotar todas las credenciales potencialmente expuestas por precaución.

Las claves rotadas incluyen la clave de firma de confirmación de GitHub, así como las claves de cifrado de cliente de GitHub Actions, GitHub Codespaces y Dependabot, lo que requiere que los usuarios que dependen de estas claves importen las nuevas.

No hay evidencia de que la vulnerabilidad de alta gravedad, rastreada como CVE-2024-0200 (puntaje CVSS: 7.2), haya sido encontrada y explotada previamente.

"Esta vulnerabilidad también está presente en GitHub Enterprise Server (GHES)", dijo Jacob DePriest de GitHub. "Sin embargo, la explotación requiere que un usuario autenticado con un rol de propietario de la organización inicie sesión en una cuenta en la instancia de GHES, lo cual es un conjunto importante de circunstancias atenuantes para una posible explotación".

En un aviso separado, GitHub caracterizó la vulnerabilidad como un caso de GHES de "reflexión insegura" que podría conducir a la inyección de reflexión y la ejecución remota de código. Se ha parcheado en las versiones 3.8.13, 3.9.8, 3.10.5 y 3.11.3 de GHES.

GitHub también solucionó otro error de alta gravedad rastreado como CVE-2024-0507 (puntaje CVSS: 6.5), que podría permitir a un atacante con acceso a una cuenta de usuario de Management Console con la función de editor escalar privilegios mediante la inyección de comandos.

El desarrollo se produce casi un año después de que la compañía tomó la medida de reemplazar su clave de host RSA SSH utilizada para proteger las operaciones de Git "por precaución" después de que estuvo brevemente expuesta en un repositorio público.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#89
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los operadores detrás del ahora desaparecido Inferno Drainer crearon más de 16.000 dominios maliciosos únicos en un lapso de un año entre 2022 y 2023.

El esquema "aprovechó páginas de phishing de alta calidad para atraer a usuarios desprevenidos a conectar sus billeteras de criptomonedas con la infraestructura de los atacantes que falsificaron los protocolos Web3 para engañar a las víctimas y así autorizaran transacciones", dijo Group-IB, con sede en Singapur.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Se estima que Inferno Drainer, que estuvo activo desde noviembre de 2022 hasta noviembre de 2023, obtuvo más de 87 millones de dólares en ganancias ilícitas al estafar a más de 137.000 víctimas.

El malware es parte de un conjunto más amplio de ofertas similares que están disponibles para los afiliados bajo el modelo de estafa como servicio (o drenaje como servicio) a cambio de un recorte del 20% de sus ganancias.

Es más, los clientes de Inferno Drainer podrían cargar el malware en sus propios sitios de phishing o utilizar el servicio del desarrollador para crear y alojar sitios web de phishing, sin coste adicional o cobrando el 30% de los activos robados en algunos casos.

La herramienta DaaS ganó popularidad tras el cierre de Monkey Drainer en marzo de 2023, lo que también preparó el surgimiento de otro servicio de drenaje de corta duración llamado Venom Drainer.

Los datos recopilados por Scam Sniffer muestran que las estafas de criptophishing que proliferan en los kits de drenaje han robado acumulativamente 295,4 millones de dólares en activos de unos 320.000 usuarios en 2023.

Según Group-IB, la actividad falsificó más de 100 marcas de criptomonedas a través de páginas especialmente diseñadas que estaban alojadas en más de 16.000 dominios únicos.

Un análisis más detallado de 500 de estos dominios ha revelado que el drenaje basado en JavaScript se alojó inicialmente en un repositorio de GitHub (kuzdaz.github[.]io/seaport/seaport.js) antes de incorporarlos directamente en los sitios web. El usuario "kuzdaz" actualmente no existe.

De manera similar, otro conjunto de 350 sitios incluía un archivo JavaScript, "coinbase-wallet-sdk.js", en un repositorio de GitHub diferente, "kasrlorcian.github[.]io".

Estos sitios luego se propagaron en sitios como Discord y X (anteriormente Twitter), atrayendo a víctimas potenciales a hacer clic en ellos con el pretexto de ofrecer tokens gratis (también conocidos como lanzamientos aéreos) y conectar sus billeteras, momento en el cual sus activos se agotaron una vez que se aprobaron las transacciones.

Al usar los nombres seaport.js, coinbase.js y wallet-connect.js, la idea era hacerse pasar por protocolos Web3 populares como Seaport, WalletConnect y Coinbase para completar las transacciones no autorizadas. El primer sitio web que contiene uno de estos scripts se remonta al 15 de mayo de 2023.

"Otra característica típica de los sitios web de phishing pertenecientes a Inferno Drainer es que los usuarios no pueden abrir el código fuente del sitio web usando teclas de acceso rápido o haciendo clic con el botón derecho del ratón", dijo el analista de Group-IB Viacheslav Shevchenko. "Esto significa que los delincuentes intentaron ocultar sus guiones y actividades ilegales a sus víctimas".

Vale la pena señalar que la cuenta X de Mandiant, propiedad de Google, se vio comprometida a principios de este mes para distribuir enlaces a una página de phishing que aloja un drenaje de criptomonedas rastreado como CLINKSINK, una variante del cual conocida como Rainbow Drainer que ha robado casi $4,17 millones en activos de 3.947 usuarios de Solana durante el mes pasado.

"Creemos que el modelo 'X como servicio' seguirá prosperando, entre otras cosas porque crea mayores oportunidades para que personas menos competentes técnicamente intenten convertirse en ciberdelincuentes, y para los desarrolladores, es una forma muy rentable de reforzar sus capacidades de ingresos", dijo la compañía.

"También esperamos ver mayores intentos de piratear cuentas oficiales, ya que las publicaciones supuestamente escritas por una voz autorizada probablemente inspiren confianza a los ojos de los espectadores y pueden hacer que las víctimas potenciales sean más propensas a seguir enlaces y conectar sus cuentas".

Además de eso, Group-IB dijo que el éxito de Inferno Drainer podría impulsar el desarrollo de nuevos drenajes, así como provocar un aumento en los sitios web que contienen scripts maliciosos que falsifican los protocolos Web3, y señaló que 2024 podría convertirse en el "año del drenaje".

"Es posible que Inferno Drainer haya cesado su actividad, pero su prominencia a lo largo de 2023 pone de relieve los graves riesgos para los poseedores de criptomonedas a medida que los drenajes continúan desarrollándose", dijo Andrey Kolmakov, jefe del Departamento de Investigación de Delitos de Alta Tecnología del Grupo-IB.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#90
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de ciberseguridad han revelado una falla de seguridad ahora parcheada en el navegador web Opera para Microsoft Windows y Apple macOS que podría explotarse para ejecutar cualquier archivo en el sistema operativo subyacente.

El equipo de investigación de Guardio Labs ha denominado a la vulnerabilidad de ejecución remota de código como MyFlaw debido a que aprovecha una función llamada My Flow que permite sincronizar mensajes y archivos entre dispositivos móviles y de escritorio.

"Esto se logra a través de una extensión controlada del navegador, evitando efectivamente la zona de pruebas del navegador y todo el proceso del navegador", dijo la compañía en un comunicado.

El problema afecta tanto al navegador Opera como a Opera GX. Tras la divulgación responsable el 17 de noviembre de 2023, se abordó como parte de las actualizaciones enviadas el 22 de noviembre de 2023.

My Flow presenta una interfaz similar a un chat para intercambiar notas y archivos, el último de los cuales se puede abrir a través de una interfaz web, lo que significa que un archivo se puede ejecutar fuera de los límites de seguridad del navegador.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Está preinstalado en el navegador y se facilita mediante una extensión integrada (o interna) del navegador llamada "Opera Touch Background", que es responsable de comunicarse con su contraparte móvil.

Esto también significa que la extensión viene con su propio manifiesto de archivo que especifica todos los permisos necesarios y su comportamiento, incluida una propiedad conocida como externally_connectable que declara qué otras páginas web y extensiones pueden conectarse a ella.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


En el caso de Opera, los dominios que pueden comunicarse con la extensión deben coincidir con los patrones "*.flow.opera.com" y ".flow.op-test.net", ambos controlados por el propio proveedor del navegador.

"Esto expone la API de mensajería a cualquier página que coincida con los patrones de URL que usted especifique", señala Google en su documentación. "El patrón de URL debe contener al menos un dominio de segundo nivel".

Guardio Labs dijo que pudo descubrir una versión "olvidada hace mucho tiempo" de la página de inicio My Flow alojada en el dominio "web.flow.opera.com" utilizando la herramienta de escaneo de sitios web No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"La página en sí se ve bastante igual a la actual en producción, pero hay cambios bajo el capó: no solo carece de la metaetiqueta [política de seguridad de contenido], sino que también contiene una etiqueta de secuencia de comandos que solicita un archivo JavaScript sin ningún control de integridad", afirmó la empresa.

"Esto es exactamente lo que necesita un atacante: un activo inseguro, olvidado, vulnerable a la inyección de código y, lo más importante, que tenga acceso a una API nativa de navegador con permisos (muy) altos".

Luego, la cadena de ataque se articula, creando una extensión especialmente diseñada que se hace pasar por un dispositivo móvil para emparejarse con la computadora de la víctima y transmitir una carga maliciosa cifrada a través del archivo JavaScript modificado al host para su posterior ejecución solicitando al usuario que haga clic en cualquier lugar de la pantalla.

Los hallazgos resaltan la creciente complejidad de los ataques basados en navegador y los diferentes vectores que los actores de amenazas pueden explotar para su beneficio.

"A pesar de operar en entornos aislados, las extensiones pueden ser herramientas poderosas para los piratas informáticos, permitiéndoles robar información y violar los límites de seguridad del navegador", declaró la compañía.

"Esto subraya la necesidad de cambios de diseño internos en Opera y mejoras en la infraestructura de Chromium. Por ejemplo, se recomienda deshabilitar los permisos de extensión de terceros en dominios de producción dedicados, similar a la tienda web de Chrome, pero Opera aún no lo ha implementado".

Opera declaró que actuó rápidamente para cerrar el agujero de seguridad e implementar una solución en el lado del servidor y que está tomando medidas para evitar que tales problemas vuelvan a ocurrir.

"Nuestra estructura actual utiliza un estándar HTML y es la opción más segura que no interrumpe la funcionalidad clave", dijo la compañía. "Después de que Guardio nos alertara sobre esta vulnerabilidad, eliminamos la causa de estos problemas y nos aseguramos de que no aparezcan problemas similares en el futuro".

"Nos gustaría agradecer a Guardio Labs por su trabajo para descubrir y alertarnos inmediatamente sobre esta vulnerabilidad. Esta colaboración demuestra cómo trabajamos junto con expertos e investigadores en seguridad de todo el mundo para complementar nuestros propios esfuerzos para mantener y mejorar la seguridad de nuestros productos. y garantizar que nuestros usuarios tengan una experiencia en línea segura".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#91
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La vulnerabilidad fue parcheada el 14 de noviembre de 2023, pero la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) lo agregó a la lista de vulnerabilidades explotadas (KEV) conocidas debido a la evidencia de explotación en curso. Desde su descubrimiento, numerosas campañas de malware, incluida la carga útil de Phemedrone Stealer, lo han explotado en sus cadenas de ataque.

Los investigadores de ciberseguridad de Trend Micro han descubierto que una vulnerabilidad que afecta a Microsoft Windows Defender SmartScreen, rastreada como CVE-2023-36025 está siendo explotada para infectar a los usuarios con Phemedrone Stealer.

Windows Defender SmartScreen es una función de seguridad incorporada en Microsoft Windows 8 y posterior que ayuda a proteger a los usuarios de sitios web, descargas y aplicaciones maliciosas. Actúa como una primera línea de defensa contra una variedad de amenazas, incluidos sitios web de phishing, descargas maliciosas y aplicaciones no confiables.

Este malware de código abierto se dirige a navegadores web, billeteras de criptomonedas y aplicaciones de mensajería como Telegram, Steam y Discord. Sus capacidades adicionales permiten que el malware tome capturas de pantalla, recopile información del sistema, como detalles de hardware y datos de ubicación y envíe datos robados a los atacantes a través de Telegram o su servidor C2.

Phemedrone Stealer es mantenido y atendido desde Github y Telegram:

Descarga + Info:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según se informa, los piratas informáticos usan las redes sociales para difundir archivos de URL que aparecen como atajos de enlace inofensivos, que se descargan y se ejecutan al hacer clic en ellos.

El proceso de infección comienza con un atacante que aloja archivos de acceso directo de malicioso en servicios en la nube como Discord o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, disfrazado como URL al estilo de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Los atacantes elaboran un archivo de acceso directo (.URL) de Windows para evadir el mensaje de protección de pantalla inteligente al emplear un archivo .cpl como parte de un mecanismo de entrega de carga útil maliciosa.

El archivo.cpl se ejecuta a través del proceso de proceso del panel de control de Windows, llamando a rundll32.exe para ejecutar un DLL malicioso.

El malware, alojado en GitHub, descarga un archivo zip que contiene tres archivos: werfaultsecure.exe, wer.dll y secure.pdf. El archivo wer.dll es crucial para la funcionalidad del cargador. El atacante ejecuta el cargador utilizando DLL Sideloting, falsificando un archivo DLL malicioso en el directorio de la aplicación.

El archivo data3.txt enmascara su contenido, lo que dificulta descifrar su propósito.

El malware recopila información del sistema, la comprime en un archivo zip y envía los datos comprimidos al atacante a través de los métodos SendMessage y Sendzip.

A través de técnicas como el hashing de API y el cifrado de cadenas, el malware evade la detección y complica la ingeniería inversa.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

CVE-2023-36025, que tiene una puntuación CVSS de 8.8, afecta a Microsoft Windows Defender SmartScreen debido a su falta de corroboración en los archivos de acceso directo de Internet, lo que permite a los atacantes crear archivos.URL y ejecutar scripts maliciosos.

La vulnerabilidad fue parcheada el 14 de noviembre de 2023, pero la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) lo agregó a la lista de vulnerabilidades explotadas (KEV) conocidas debido a la evidencia de explotación en curso.

Desde su descubrimiento, numerosas campañas de malware, incluida la carga útil de Phemedrone Stealer, lo han explotado en sus cadenas de ataque.


Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#92
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los ayuntamientos parece que han pasado a estar en el foco de los ciberdelincuentes. Hace unos meses nos hacíamos eco del hackeo a los servidores del Ayuntamiento de Sevilla, donde exigían un rescate muy elevado para poder desbloquear los datos. Esta misma situación se está repitiendo ahora en las Islas Baleares, y más concretamente en Calvià.

Este ataque se fundamenta en un ransomware que secuestra todos los archivos que se tienen almacenados en los servidores del ayuntamiento. Un hecho que ralentiza, como es lógico, la actividad normal de la administración pública y que también afecta a la actividad futura al correr el riesgo de perder documentación importante. El objetivo final con estos hechos es extorsionar al consistorio para que le paguen un rescate por estos datos.

Los hackers ya han hablado y han pedido una cantidad de dinero desorbitada. En concreto, 10 millones de dólares, que se traduce en unos 9 millones de euros. Desde el Ayuntamiento, en voz de su alcalde, han afirmado que no van a pagar ese rescate tan elevado, teniendo que regresar a día de hoy a la actividad administrativa clásica.

"Volvemos al papel, boli y sello hasta que esto se restablezca. Trasladamos la máxima tranquilidad a los ciudadanos. Estamos trabajando acompañados por los mejores técnicos. La Administración ni quiere ni puede pagar ningún tipo de indemnización. Son piratas y delincuentes. Es un delito tipificado en el Código Penal. Se aprovechan de su capacidad tecnológica para atacarnos. Siempre piensas que le pasará a otros. Aprovecharemos esta experiencia par mejorar la ciberseguridad del Ayuntamiento" Son las palabras del alcalde que ha recogido No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Como en el caso de Sevilla, el ataque se ha realizado por parte del grupo de Lockbit que ya es muy conocido en todo el planeta al haber accedido también a las administraciones de justicia de Chile. 40 días fueron los que tardaron en recuperarse en Sevilla de esta misma acción, de la cual no se han dado detalles de cómo se accedió al sistema concretamente.

Actualmente, el servicio informático del ayuntamiento está tratando de realizar el diagnóstico del daño causado por los hackers con el objetivo final de recuperar los datos que han sido secuestrados. Hasta ese momento el registro de documentos se va a tener que hacer a través del registro general del Estado, y también ha retrasado los plazos administrativos de diferentes trámites.

Igualmente, a través de X han querido enfatizar en el mensaje de que sus actividades no se paralizan, aunque si se ralentizan. Esto solo hace que el resto de administraciones tome buena nota y revise copias de seguridad y estado de los servidores. Porque como vemos, hay una auténtica oleada de hackeos a este tipo de puntos.

Fuente:
Genbeta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#93
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Desde el lanzamiento de ChatGPT, son muchas las IA que se han ido lanzando para poder competir contra este auténtico fenómeno. Microsoft fue una de las que se sumó con su IA llamada Copilot (previamente Bing Chat) y que se ha ido enriqueciendo con GPT-4. Ahora desde Microsoft han dado un paso más al lanzar su versión de pago de Copilot llamada Copilot Pro.

Y es que como es lógico, estas empresas quieren sacar el máximo rendimiento a sus inversiones en IA, y esto es algo que pueden conseguir cobrando a los usuarios por tener las últimas novedades en IA. Esto lo hemos visto con ChatGPT Plus y ahora con Copilot Pro solo los usuarios que paguen tendrán acceso a sus últimas novedades. Aunque la versión gratuita seguirá estando ahí.

Copilot Pro llega cargada de funciones extras

Este anuncio ha sido realmente abrupto, ya que ha sido desencadenado por la filtración de los planes de Microsoft por parte de Android Authority. Horas después de esta filtración, la compañía ha decidido dar todos los detalles de esta nueva IA de pago a través de un comunicado en su página web.

Las características que se van a conseguir al pagar este plan van a ser las siguientes:

•    Acceso prioritario a GPT-4 Turbo cuando se encuentre totalmente colapsado por tener mucha actividad. Con este se podrán obtener respuestas más rápidas, desarrolladas y sobre una generación de imágenes mejorada.

•    La herramienta de generación de imágenes de Copilot, que funciona realmente bien, mejorará con Copilot Pro al permitir crear 100 imágenes al día con un mayor detalle. Algo que ya hemos visto por ejemplo, con la creación de pósteres con un estilo de Pixar.

•    Capacidad de personalizar Copilot GPT gracias al acceso a Copilot GPT Builder.

•    En el caso de que se esté suscrito a Microsoft Office 365 se va a poder acceder a Copilot en la suite ofimática de Word, Excel o PowerPoint.

En lo que respecta al precio, no han querido ser muy 'originales' y han apostado por tener un coste similar a ChatGPT Plus. Es decir, la suscripción mensual será de 20 dólares, que al cambio se traduce en 18 euros. Si bien, en ChatGPT Plus ya se van a poder disfrutar de complementos y también mejoras en GPT que llegarán antes que a Copilot.

Fuente:
Microsoft
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía (Compendio y Traducción al Español):
Genbeta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#94
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La compañía anuncia ahora una que interesará a todos sus usuarios de pago, pues llega sin coste adicional y es solo la avanzadilla de lo que vendrá: una VPN con la conectarse con seguridad y, se supone -o más bien se espera- privacidad a Internet.

Al estilo de Google One, MEGA potenciará su oferta con una VPN gratuita o más bien, cabe repetir, sin coste adicional, pues solo los usuarios de sus planes Pro tendrán acceso a la misma. Una VPN, por si alguien no sabe todavía de qué va la cosa, es una aplicación que cifra el tráfico saliente de un dispositivo, otorgando asimismo una IP diferente y, por consiguiente, mejorando la privacidad y la seguridad al conectarse a Internet.

De manera adicional una VPN permite también saltarse restricciones geográficas, pero no parece que ese vaya a ser uno de los puntos fuertes de la VPN de MEGA, y es que al menos en esta primera etapa, el número de ubicaciones disponibles es de apenas 11, incluyendo países en Norteamérica, Europa, Asia y Nueva Zelanda. Más adelante, aseguran, se añadirán más ubicaciones.

La disponibilidad de ubicaciones de conexión no es, también por el momento, la única limitación importante de la VPN de MEGA, pues solo la aplicación para Android está ya lista (la tienes en Google Play Store). De igual modo, aseguran que en esta primera mitad de 2024 se lanzarán las aplicaciones para iOS y PC, incluyendo Windows, macOS y Linux.

Por lo demás, MEGA describe su VPN como de alta velocidad, seguridad y privacidad: basada en el protocolo WireGuard y el sistema de cifrado ChaCha20, permite la conexión de hasta cinco dispositivos de manera simultánea. Más información en la página del producto.

Fuente:
MEGA
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía (Compendio):
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#95
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pandora es una herramienta que ayuda a extraer y recopilar credenciales de diferentes administradores de contraseñas. Se dividen en tres categorías: aplicaciones de escritorio de Windows 10, navegadores y complementos de navegador.

En esta versión (v0.5), la herramienta admite 14 administradores de contraseñas, con 18 implementaciones diferentes (por ejemplo, la herramienta podría volcar credenciales desde la aplicación de escritorio o el complemento del navegador del mismo producto). Específicamente, en la mayoría de los casos, los administradores de contraseñas deben estar activos y desbloqueados para que la herramienta funcione.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Entonces, el propósito de esta herramienta es proporcionar un vector de ataque adicional en las interacciones de un Red Team, ya que muchos usuarios utilizan administradores de contraseñas. Se han subido tres videos para ayudar a comprender cómo funciona esta herramienta.
 
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este no es un concepto completamente nuevo. Es bien sabido desde hace algún tiempo que no existe una forma de facto de proteger las aplicaciones de escritorio contra este tipo de ataques. Sin embargo, esta es la primera vez que una herramienta de este tipo se presenta al público.

Con respecto a solucionar estos problemas, la mayoría de los proveedores respondieron que dichos problemas están fuera de su alcance ya que el atacante necesita acceso local o el AV/EDR debería proteger al usuario contra tales ataques. Aunque algunos productos pueden ofrecer soluciones, sus exploits se publicarán más adelante (aún están en fase de divulgación).

Cabe señalar que hubo algunos casos como KeePass, StickyPassword y Opera en los que no se encontró que las credenciales fueran texto sin cifrar dentro de la memoria. Es posible que esto funcione en otros sistemas operativos, como Linux, pero aún no se ha probado.

Fuente:
Pandora
Descarga + Info:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía (Traducción al Español):
Segu-Info
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#96
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El push bombing es un ataque de fatiga MFA dirigido en el que un atacante realiza múltiples intentos de inicio de sesión en el portal SSO del objetivo o en aplicaciones y servicios corporativos expuestos públicamente.

El push bombing se utiliza con contraseñas robadas o filtradas contra MFA tradicional (contraseña + segundo factor). Una vez que el atacante ha escrito el primer factor, el nombre de usuario y la contraseña, sólo necesita que el usuario acepte el segundo factor enviado a su teléfono (o correo) para acceder a los recursos de la víctima.

Este tipo de "bombardeo" funciona porque los usuarios acceden a muchas aplicaciones diferentes y tienen que volver a autenticarse en aplicaciones varias veces al día. Esta repetición crea memoria muscular que puede hacer que los usuarios aprueben un mensaje push cualquiera. O, como implica la palabra bomba, los atacantes envían solicitudes continuas. La frustración exacerba la paciencia del usuario, lo que lo lleva a hacer clic en cualquier mensaje recibido.
 
Para los intrusos avanzados que buscan persistencia, el siguiente paso es cambiar las credenciales de la cuenta o los perfiles de MFA para una apropiación de la cuenta como punto de partida para un movimiento lateral hacia activos comerciales más interesantes.

A los atacantes les encanta explotar el push porque funciona (Cisco y Uber fueron víctimas recientes de este tipo de ataques). Pero lo que atrae a los atacantes a esta técnica es que es fácil. En muchos casos, no se requiere malware ni infraestructura de phishing de intermediario (MiTM) para que funcione.

Cómo funciona el ataque push bombing


Cuando un usuario activa la MFA en una cuenta, suele recibir un código o una solicitud de autorización de algún tipo. El usuario introduce sus credenciales de acceso. A continuación, el sistema envía una solicitud de autorización al usuario para completar su inicio de sesión.

El código MFA o la solicitud de aprobación suelen llegar a través de algún tipo de mensaje "push". Los usuarios pueden recibirlo de varias maneras:

•    SMS/texto

•    Un dispositivo emergente

•    Notificación de una aplicación

•    Correo electrónico

Recibir esa notificación es una parte normal del inicio de sesión de la autenticación multifactor. Es algo con lo que el usuario estaría familiarizado.

Con el push bombing, los atacantes empiezan con las credenciales del usuario. Pueden obtenerlas a través de phishing o de un volcado de contraseñas de una gran violación de datos. Luego, intentan entrar muchas veces a la cuenta. Esto envía al usuario legítimo varias notificaciones push, una tras otra. Muchas personas cuestionan la recepción de un código inesperado que no solicitaron. Pero cuando alguien es bombardeado con ellas, puede ser fácil hacer clic por error para aprobar el acceso.
 
Push bombing es una forma de ataque de ingeniería social diseñado para:

•    Confundir al usuario

•    Desgastar al usuario

•    Engañar al usuario para que apruebe la solicitud MFA para dar acceso al atacante.

Al principio, los ataques son simples contra un empleado para lograr engañarlo rápidamente. Sin embargo, estos ataques suelen ser puntos de entrada para un ataque dirigido contra el empleador de la víctima o hacia arriba en la cadena de suministro hacia clientes empresariales más grandes. El ataque está documentado en MITRE ATT&CK Framework como T1621 (Generación de solicitud de autenticación multifactor) y generalmente se ejecuta en cinco partes:
 
1. Reconocimiento: el atacante investiga el flujo de trabajo del objetivo y los recursos expuestos públicamente.

2. Acceso a credenciales: el atacante adquiere las credenciales del objetivo mediante phishing, robo de contraseñas o búsquedas en la la web.

3. Acceso inicial: el atacante inicia solicitudes de acceso a los recursos expuestos de las víctimas, lo que activa repetidas notificaciones push a la víctima con la intención de engañarla. A través de llamadas falsas al servicio de asistencia de TI que dicen: "Necesitamos que apruebe esa solicitud" o exacerbar al objetivo para que apruebe el reconocimiento del segundo factor accidentalmente o por frustración.
 
4. Movimiento lateral: el atacante pasa a un estado de intruso y, en muchos casos, se mueve lateralmente a través del interior de la empresa hacia activos más valiosos.
 
5. Impacto: el intruso detona cargas útiles de ransomware, extrae datos o instala puertas traseras para agregarlas al grupo de propiedades del agente de acceso inicial.

Cómo detener los ataques Push Bombing

Se pueden detener los ataques push bombing combinando la educación de los usuarios y tecnologías MFA reforzadas.

La concientización de los usuarios sobre los ataques de ingeniería social, es esencial para reducir la probabilidad de éxito de los atacantes. Sin embargo, los trabajadores son personas. Para el personal que no pertenece a la seguridad, esta ocupa un segundo lugar, o incluso más abajo, en la clasificación de prioridades después de realizar su trabajo.

La educación para la concientización tiene límites, como lo demuestran los informes anuales de phishing de KnowBe4: después de 12 meses de capacitación intensiva en phishing, el 5% de 9,5 millones de personas de 30.100 organizaciones todavía mordieron el anzuelo. Y los resultados de este año reflejan informes anteriores.

Técnicas adaptativas de MFA

La experiencia del usuario es esencial para el éxito de los programas de MFA. Imponer obstáculos draconianos genera descontento en los usuarios, lo que no es bueno para los administradores ni para la gerencia de TI.
Adaptive MFA agrega inteligencia a los flujos de trabajo tradicionales de MFA para combatir los indicadores anónimos. Tras la detección, la plataforma MFA presenta ayudas a los usuarios y obliga a realizar pasos adicionales en el flujo de trabajo de inicio de sesión. Éstas incluyen:

•    Geolocalización de la solicitud de origen

•    OTP en la aplicación para la entrada manual en el mensaje de servicio al que se accede

•    Solicitar acciones de violación de la política de frecuencia e intervalo para frenar y bloquear a los bombarderos

Estas técnicas adaptativas aumentan la capacidad del usuario para proteger los recursos de la empresa. Sin embargo, tienen límites. Por ejemplo, la geolocalización de direcciones IP puede ser propensa a errores debido a imprecisiones introducidas por VPN, TOR y la infraestructura móvil. En segundo lugar, cualquier aceptación errónea, incluso después de los mensajes de advertencia geográfica y OTP, resulta en el éxito del atacante.
 
Técnicas de MFA resistentes al phishing: el desarrollo más reciente contra el push bombing es el MFA resistente al phishing. Esta tecnología intenta eliminar las debilidades de los usuarios ante ataques relacionados con el phishing. En este caso se utilizan técnicas de fijación que vinculan a los usuarios, estaciones de trabajo y navegadores a sus aplicaciones y servicios asignados. La MFA resistente al phishing suele utilizar tokens de hardware como tarjetas inteligentes X.509 y llaves USB o tokens de hardware FIDO2 para imposibilitar el acceso no autorizado sin poseer los tokens.
 
MFA sin contraseña (passwordless): se libera a los usuarios de crear o recordar cualquiera de las contraseñas de su lugar de trabajo elimina el riesgo de phishing de contraseñas más grave. Se aumenta las apuestas al eliminar las contraseñas, algo que sabes a favor de algo que eres.
 
Lo más interesante es que, si bien a los usuarios les encanta la MFA sin contraseña, TI es el gran ganador. TI reduce inmediatamente los riesgos de seguridad y detiene las llamadas al servicio de asistencia técnica para contraseñas que consumen mucho tiempo. Sin mencionar que TI puede modernizar la infraestructura más rápidamente sin la coordinación para compartir secretos de los usuarios.

Fuente:
Double Octopus
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía (Traducción al Español):
Segu-Info
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


#97
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tiempos de "Vacas Flacas", Inflación, problemas económicos y por ende se impone una lista de los sitios de torrents más populares para este 2024, según TorrentFreak.

Clasificados según las estimaciones de tráfico, vemos que YTS sigue en la cima, seguido de cerca por 1337x y el sitio de torrents de anime NYAA. TorrentGalaxy continúa su rápido ascenso y acaba en el cuarto lugar.
YTS sigue encabezando la lista en 2024, ya que el indexador de torrents sigue atrayendo millones de visitantes al día.

Eso es todo un logro considerando los problemas legales que el sitio ha enfrentado en el pasado, además del hecho de que sólo presenta películas.

La lista anual de sitios de torrents populares permanece prácticamente sin cambios. Hay algunos cambios de posición, pero la lista se compone casi en su totalidad de los mismos nombres que el año pasado.

Hay un recién llegado inevitable, tras el cierre de RARBG. Si bien algunas imitaciones de RARBG estuvieron cerca, el lugar vacante lo ocupa un nombre familiar, LimeTorrents, que regresó después de estar ausente el año pasado.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hemos limitado la lista a sitios de torrents en inglés disponibles a nivel mundial, lo que significa que sitios como:
 
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
no están incluidos, aunque tienen cifras de tráfico sustanciales.

Por último, debemos destacar que la clasificación anual se basa en nombres de dominio únicos. Si se tuvieran en cuenta los sitios proxy y los dominios alternativos, The Pirate Bay y otros obtendrían una clasificación más alta.

A continuación se muestra la lista completa de los diez dominios de sitios de torrents más visitados a principios de año. La lista se basa en varios informes de tráfico. Tenga en cuenta que esta lista se crea como un registro histórico para realizar un seguimiento de la popularidad de estos sitios a lo largo del tiempo.

No recomendamos ni respaldamos el uso de ninguno de estos sitios. Se sabe que algunos enlazan con anuncios maliciosos, al menos de manera incidental. La tecnología BitTorrent en sí no es ilegal, pero sólo puede usarse para compartir contenido con el permiso del titular de los derechos.

Los 10 mejores sitios de torrents para este 2024

1. YTS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

2. 1337x (Excelente!!: Se recomienda)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

3. NYAA
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

4. TorrentGalaxy
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

5. The Pirate Bay (no se recomienda acceder si no se posee un buen antivirus con protección Web!!!: solo de acceder al sitio inyectan adware)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

6. FitGirl Repacks
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

7. Skidrow & RELOADED
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

8. EZTV
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

9. LimeTorrents (Excelente!!: Se recomienda)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

10. IGGGAMES
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Fuente
:
TorrentFreak
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#98
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El escritorio Linux está viviendo un gran momento, o al menos un gran momento dentro de sus propios parámetros. Después de volver a alcanzar la cuota del 3% a mediados de 2023, el sistema ha despedido el año acaparando el 3,82% según los datos proporcionados por Statcounter.

Statcounter, al igual que otros medidores como la encuesta de Steam, no destaca por su precisión y en no pocas ocasiones muestra fluctuaciones sorprendentes, pero al menos sirve para tener una idea del panorama y es el más tenido en cuenta desde hace tiempo, sobre todo desde el cierre de NetMarketShare. De hecho, sorprende un poco ver al escritorio Linux claramente por delante de ChromeOS, cuando el sistema operativo de Google llegó a superar el 4% en el mes de octubre de 2023.

Dejando de lado el porcentaje del último mes de 2023, lo más importante es que el escritorio Linux se ha mantenido relativamente estable en torno al 3% durante el transcurso del año, estando algo por debajo durante la primera mitad y un poco por encima en la segunda mitad. Esto es un indicio de que los tiempos en los que retener el 1% se han quedado atrás y que la cantidad de usuarios no solo ha aumentado, sino que además se mantiene estable si nos ceñimos a los datos proporcionados por Statcounter.

¿Qué factores han permitido a Linux consolidarse en el 3% de cuota (ahora mismo casi el 4%)? Entre los endógenos se pueden mencionar la mejora del propio sistema operativo, sobre todo en aspectos como la integración entre los componentes con los que está construido, la automatización para ofrecer una experiencia más desatendida y la mejora de los drivers gráficos, mientras que entre los posibles factores exógenos estarían un Windows que provoca más incidencias de las deseables en sus dos últimas versiones, los altos requisitos oficiales de Windows 11 a nivel de características y la presencia de la Steam Deck, que ha podido contribuir a que más de uno pierda el miedo a usar Linux en su computadora.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero si bien aquí se habla de Linux como si fuera un producto homogéneo, la realidad es que hay una distribución que tiene mucho más mérito que el resto: Ubuntu. El sistema de Canonical es desde hace casi dos décadas el gran referente del escritorio Linux a nivel de cantidad de usuarios, lo que se ha traducido en cosas como el hecho de que es la que cuenta con más y mejor soporte por parte de terceros. Otros factores como la gran cantidad de documentación disponible, tanto propia como de terceros, también ha contribuido, y es que cuando uno se encuentra con un problema es más fácil encontrar una solución para Ubuntu que para otra distribución.

Volviendo a un plano más generalista, la del escritorio Linux es una historia de supervivencia y de resistencia frente a otros dos sistemas, Windows y macOS, que están mucho más consolidados, con épocas en las que el producto de Microsoft casi logra hacerse con el monopolio absoluto. Esperemos que Linux siga recorriendo la misma senda de los últimos años para seguir ganando cuota a nivel de usuarios, aunque sea a cuentagotas.

Ubuntu es la distribución Linux más popular de 2023

Las distribuciones Linux más populares de 2023, al menos según los resultados de una encuesta, votada por la comunidad de lectores de MuyLinux da por resultado:

Distribuciones 2023

Total de votos: 4.145 (Tabla: votos / porcentaje)

Ubuntu        726    17,50%
Linux Mint    699    16,90%
Debian        619    14,90%
Arch Linux    422    10,20%
Fedora        405    9,80%
Manjaro       271    6,50%
openSUSE      142    3,40%
Zorin OS      137    3,30%
Otra          119    2,90%
KDE neon      108    2,60%
MX Linux       92    2,20%
EndeavourOS    86    2,10%
Pop!_OS        71    1,70%
Garuda Linux   56    1,40%
Deepin         49    1,20%
elementaryOS   44    1,10%
Mageia         37    0,90%
Slackware      21    0,50%
RHEL&cía       18    0,40%
Gentoo         13    0,30%
NixOS           9    0,20%

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ubuntu sigue siendo la reina, sí. Tened en cuenta, no obstante, que Ubuntu engloba a Kubuntu, Xubuntu y compañía, toda una familia de distribuciones por escritorio que en algunos casos son referentes en su estrato (por ejemplo, las dos mencionadas). En 2023, además, la familia creció con la incorporación de Ubuntu Cinnamon como miembro de pleno derecho. Hay quien se queja por el hecho de unir a todas las Ubuntu en una, pero así lo hacemos con todas. Es lo justo.

Por otro lado, aunque sabores como Kubuntu o Xubuntu con populares por sí solos, no vamos a negar tampoco que la reina de la casa es solo una, y esa es la edición oficial de Ubuntu con GNOME, una que no pasa por su mejor momento, pero que sigue siendo el número uno en lo suyo: representar al escritorio Linux. Lo que voy a decir ahora es una opinión, pero si ayer ensalzábamos a GNOME como el más popular de su categoría, es de rigor que Ubuntu esté donde está, porque es que la distribución que sirve un GNOME más adecuado para el gran público.
 
GNOME es el escritorio más popular de 2023

Según las encuestas de MuyLinux:

Escritorios 2023

Total de votos: 4.131 (Tabla: votos / porcentaje)

GNOME            1331    32,20%
KDE Plasma       1253    30,30%
Cinnamon          574    13,90%
Xfce              393    9,50%
MATE              193    4,70%
Otro              131    3,20%
Deepin             85    2,10%
LXQt               44    1,10%
Budgie             43    1%
Unity              43    1%
Pantheon           41    1%

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si tuviésemos que resumir la situación de Linux en lo que a los entornos de escritorio respecta, podríamos hacerlo hablando de GNOME y KDE Plasma como las referencias absolutas, de Cinnamon y Xfce como las alternativas de segunda fila y de ahí hacia abajo, con muchos matices.

GNOME se pone la corona por tercer año consecutivo y con el mayor margen conseguido hasta la fecha, algo especialmente notable en el número de votos recibido, aunque como suelo advertir, donde está el dato de interés en los porcentajes. ¿Por qué GNOME? Pues porque está en un momento excepcional, que ha consolidado en 2023 con dos lanzamientos a destacar como fueron GNOME 44 y GNOME 45, con lo que continúa su evolución.


Fuente:
MuyLinux
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#99
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Primer acto: una cuenta de X que se basa en viralizar contenido publica un post en el que incluye un vídeo cómico.

Segundo acto: logra más de 33 millones de visualizaciones, 24.000 'me gusta' y casi 1.000 respuestas.

Tercer acto: lo cómico del vídeo estaba en su sonido, y por un error, la cuenta lo publicó silenciado, por lo que perdía toda su gracia.

Eso no evitó las miles de interacciones, entre las que hay muchas de usuarios alertando del problema del sonido, pero también muchas otras dando respuestas como si el vídeo fuese correcto, riendo la gracia. También algunas aprovechando para hacer spam de su propio contenido.

Bot no come bot

Es un perfecto ejemplo de la teoría del Internet vacío, la adaptación en español de la 'Dead Internet Theory', que sugiere que Internet ha sido tomado en gran medida por la Inteligencia Artificial.

No es algo que haya venido por la popularización de ChatGPT: hace seis añazos ya se hablaba de ideas muy similares, como en este artículo de The Atlantic cuya tesis era que más de la mitad del tráfico web proviene de bots. Muchos de ellos, maliciosos. Sin embargo, el auge de las propuestas de OpenAI y su rápida adopción también han disparado la popularidad de esta teoría.

Una teoría que se hizo especialmente popular en Agora Road's, un foro en el que, entre otras cosas, se debate sobre teorías de la conspiración. Allí muchos retroalimentan la que dice que, desde 2017, gran parte de Internet es un lugar desprovisto de humanos, alimentado por bots que usan IA para generar su contenido o sus reacciones, como en el ejemplo que nos ocupaba sobre el post de X.


4chan o Wizardchan, lugares muy poco adecuados para tomar en serio las teorías que surjan de sus usuarios, también han debatido sobre esta, que ha cobrado fuerza. Y aunque se ha demostrado incorrecta en muchas ocasiones, parece más bien una predicción que poco a poco se va materializando.

En NYMag, otro medio que se hizo eco de esta teoría en 2018, intervino el escritor especializado en futurismo Max Read. Señaló que la mayoría del tráfico web proviene de bots, y que la propia YouTube tuvo durante un tiempo tanto tráfico de bots que sus empleados temían que sus sistemas acabasen detectándolos como humanos, y viceversa. El problema nunca ha sido completamente atajado.

También apuntó Read a que las métricas de engagement en grandes plataformas como Facebook habían sido fácilmente infladas, y que la presencia humana podía recrearse de forma sencilla con granjas de bots de bajo coste.

Esto fue en 2018, cuando quizás mucho de aquel discurso era visto como poco probable. Seis años después, con más de un año desde que ChatGPT y las últimas APIs de GPT llegaron a nuestra vida, esta tesis parece no solo razonable, sino incluso conservadora. Es extremadamente sencillo, al menos comparado con hace unos años, generar bots conversacionales capaces de entender texto y reaccionar a él.

Reddit o Twitter, ahora X, han sido escenarios donde la influencia de los bots ha sido especialmente notable. El acceso gratuito a API y datos de la primera hasta hace unos meses permitió que algunos usuarios entrenaran herramientas de IA en interacción humana.

En la segunda, Musk la acusó de estar plagada de bots y llegó a ser un argumento que dejó en el aire su compra durante meses. Pese a su insistencia, X es ahora un nido de bots riendo la gracia incluso de vídeos silenciados cuya gracia estaba en el sonido. El paso a una cronología algorítmica más agresiva que la anterior aviva los efectos.

Es posible que jamás un presentador de televisión kazajo pensase un clip suyo mal editado fuese a servir para ponerle el cascabel al gato: X se está convirtiendo en un cementerio de Internet, poblado por bots, riendo entre ellos, publicitando sus contenidos a otros bots.

Fuente:
Xataka
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#100
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Tribunal de Distrito de Estados Unidos en Seattle condenó al miembro de ShinyHunters, Sebastien Raoult, a tres años de prisión y ordenó una restitución de 5.000.000 de dólares.

Anteriormente, en septiembre de 2023, Raoult se declaró culpable de conspiración para cometer fraude electrónico y robo de identidad agravado, y se enfrentaba a una pena máxima de 27 años de prisión.

Raoult, un joven francés de 22 años, es conocido en línea como 'Sezyo Kaizen' y formó parte del grupo de hackers ShinyHunters. Fue arrestado en Marruecos en 2022 y extraditado a Estados Unidos en enero de 2023.

Entre abril de 2020 y julio de 2021, Raoult y sus cómplices causaron daños económicos superiores a los 6 millones de dólares, resultantes del robo de información personal de millones de personas y su venta.

Raoult atraía a las víctimas con páginas de phishing especialmente diseñadas que imitaban los portales de inicio de sesión de los empleadores de sus objetivos, engañándolas para que ingresaran las credenciales de sus cuentas y otros datos confidenciales.

A continuación, los miembros del grupo ShinyHunters utilizaron las credenciales robadas para iniciar sesión en los sistemas de la empresa y robar todos los datos a los que podían acceder en la red corporativa, instancias en la nube e incluso sistemas de proveedores de servicios externos.

"Los extremos a los que llegaron el Sr. Raoult y sus cómplices para robar información personal y financiera son notablemente tortuosos, y jugó un papel sustancial en el plan creando códigos y sitios web de phishing", comentó el agente del FBI Richard A. Collodi.

ShinyHunters utilizó este acceso corporativo para robar datos de más de 60 organizaciones, incluida información de identificación personal y detalles financieros de millones de personas.

Luego, los piratas informáticos amenazaron con filtrar o vender esos datos en plataformas como RaidForums, EmpireMarket y Exploit si la empresa víctima no les pagaba un rescate.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En muchos casos, los piratas informáticos cumplieron con sus amenazas, filtrando datos públicamente para exponer los datos de los clientes y causar daños financieros y de reputación a las empresas.

"Durante más de dos años, el Sr. Raoult participó en un extenso pirateo informático que causó millones de dólares en pérdidas a las empresas víctimas y pérdidas adicionales inconmensurables a cientos de millones de personas cuyos datos fueron vendidos a otros delincuentes", dijo la jefa criminal Sarah Vogel.

"El motivo del Sr. Raoult era pura codicia. Vendió datos pirateados. Robó criptomonedas de personas. Incluso vendió sus herramientas de piratería para poder obtener ganancias mientras otros piratas informáticos atacaban a víctimas adicionales.

Raoult expresó su arrepentimiento por sus actividades anteriores y prometió no volver a participar nunca más en la piratería.

"Entiendo mis errores y quiero dejar esa parte atrás. No más piratería. No quiero decepcionar a mi familia otra vez", dijo Raoult durante su sentencia.

Raoult puede salir en libertad supervisada en unos diez meses, ya que el tiempo que pasó detenido en Marruecos y Estados Unidos se suma a su sentencia de tres años.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#101
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La investigación de Cybernews reveló una instancia de Elasticsearch de acceso público, que contenía una asombrosa cantidad de datos privados pertenecientes a individuos brasileños.

Elasticsearch es una herramienta comúnmente utilizada para la búsqueda, análisis y visualización de grandes volúmenes de datos. Los datos filtrados no estaban vinculados a ninguna empresa u organización específica, lo que impidió identificar la fuente de la filtración.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El clúster, ubicado en un servidor en la nube, contenía datos con nombres completos, fechas de nacimiento, sexo y números del Cadastro de Pessoas Físicas (CPF). Este número de 11 dígitos identifica a los contribuyentes individuales en Brasil.

Los datos filtrados contenían más de 223 millones de registros, lo que implica que toda la población brasileña podría verse afectada por la filtración.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien los datos ya no están disponibles públicamente, los datos expuestos podrían haber sido utilizados indebidamente para robo de identidad, fraude y delitos cibernéticos dirigidos. Esto podría haber resultado en pérdidas financieras, acceso no autorizado a cuentas personales y otras consecuencias graves para las personas afectadas.

La escala masiva de la fuga amplifica el impacto potencial. Anteriormente se informó que se habían filtrado masivamente conjuntos de datos que supuestamente pertenecían a entidades gubernamentales y que se vendían en línea.

A principios de este año, los actores de amenazas enumeraron 23 terabytes de datos sobre mil millones de ciudadanos chinos y varios miles de millones de registros de casos de la policía de Shanghai. También se han filtrado y puesto a la venta en línea datos personales de 105 millones de ciudadanos indonesios, incluidos números de documentos de identidad, nombres completos, fechas de nacimiento y otra información de identificación personal (PII).

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#102
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los usuarios de Windows 10 en todo el mundo informan problemas al instalar las actualizaciones del martes de parches de enero de Microsoft y obtienen errores 0x80070643 al intentar instalar la actualización de seguridad KB5034441 para BitLocker.

Ayer, como parte del martes de parches de enero de 2024 de Microsoft, se lanzó una actualización de seguridad (KB5034441) para CVE-2024-20666, una omisión de cifrado de BitLocker que permite a los usuarios acceder a datos cifrados.

Sin embargo, al intentar instalar esta actualización, los usuarios de Windows 10 informan que reciben errores 0x80070643 y que la instalación falla.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Al reiniciar, los usuarios serán recibidos con una pantalla de Actualización de Windows que indica que ocurrió un error y que deben intentarlo nuevamente más tarde.

"Hubo algunos problemas al instalar las actualizaciones, pero lo intentaremos nuevamente más tarde. Si sigue viendo esto y desea buscar información en la web o comunicarse con el soporte técnico, esto puede ayudar: (0x80070643)", se lee en el error de Windows Update.

En un boletín de soporte también publicado ayer, Microsoft advierte que al instalar KB5034441, se supone que los usuarios verán el error "Error en el servicio del entorno de recuperación de Windows (CBS_E_INSUFFICIENT_DISK_SPACE)" cuando la partición de recuperación de Windows no es lo suficientemente grande para admitir la actualización.

Sin embargo, un error de codificación hace que Windows Update muestre por error el mensaje de error genérico "0x80070643 - ERROR_INSTALL_FAILURE".

Partición WinRE demasiado pequeña

Al instalar la actualización de seguridad KB5034441, Microsoft está instalando una nueva versión del Entorno de recuperación de Windows (WinRE) que corrige la vulnerabilidad de BitLocker.

Desafortunadamente, Windows 10 crea una partición de recuperación, generalmente de alrededor de 500 MB, que no es lo suficientemente grande como para admitir el nuevo archivo de imagen de Windows RE (winre.wim), lo que provoca el error 0x80070643 al intentar instalar la actualización.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En una prueba realizada con una nueva instalación de Windows 10 utilizando la última ISO de Microsoft creó una partición WinRE de 522 MB. Sin embargo, incluso esta nueva instalación tiene una partición demasiado pequeña, lo que provoca que la actualización de seguridad KB5034441 no se instale y muestre un error 0x80070643.

La única solución que Microsoft ha ofrecido en este momento es crear una partición de recuperación de Windows más grande para que haya suficiente espacio para instalar la actualización de seguridad.

Como la partición de recuperación de Windows se crea en el mismo disco que la partición C:, debe reducir la partición C: en 250 MB y usar ese espacio recién no asignado para crear una partición de recuperación más grande.

Microsoft había compartido previamente un boletín de soporte que describía cómo reducir la partición C: en 250 MB y crear una nueva partición de recuperación utilizando las utilidades de línea de comandos reagentc.exe y dispart.exe para acomodar las actualizaciones de seguridad de WinRE.

Reagentc.exe es una herramienta de línea de comandos para administrar el entorno de recuperación de Windows y diskpart.exe es una herramienta de línea de comandos para administrar la partición y los volúmenes del disco del dispositivo.

Sin embargo, si no se siente cómodo usando programas de línea de comandos, le recomendamos encarecidamente que posponga estos pasos ya que la vulnerabilidad requiere acceso físico a su dispositivo, minimizando su impacto.

En su lugar, debería esperar una solución de Microsoft, que puede ofrecer una forma automatizada de recrear una partición de recuperación de Windows más grande.

Además, siempre existe el riesgo de dañar las particiones al reducirlas y expandirlas, por lo que se recomienda encarecidamente que haga una copia de seguridad de sus datos antes de continuar.

Desafortunadamente, un usuario de Windows 10 declaró que esta actualización falló en su dispositivo incluso con una partición de Windows RE de 1 GB de tamaño. Por lo tanto, no hay garantía de que estos pasos resuelvan el problema.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#103
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los vídeos de YouTube ayudaron a difundir el malware Lumma Stealer, que apunta a carteras de criptomonedas y extensiones de navegador para robar datos confidenciales.

Los investigadores de la empresa de ciberseguridad Fortinet, con sede en California, descubrieron recientemente que actores maliciosos están utilizando canales de YouTube para distribuir el malware Lumma Stealer.

En el informe, los investigadores de ciberseguridad explican que las tácticas de los piratas informáticos implican violar una cuenta de YouTube para subir vídeos falsos con guías de instalación de software descifrado.

Las descripciones de los vídeos contienen un enlace malicioso que incita a los usuarios a descargar un archivo ZIP. Las URL suelen acortarse mediante servicios como TinyURL y Cuttly. Para eludir las listas negras de filtros web simples, los atacantes utilizan plataformas de código abierto como GitHub y MediaFire en lugar de configurar sus propios servidores maliciosos.

Los enlaces proporcionados dirigen a los usuarios a descargar un nuevo cargador .NET privado, que es responsable de recuperar el malware Lumma Stealer.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lumma Stealer, anteriormente conocido como LummaC2 Stealer, es un malware basado en suscripción que roba información confidencial del dispositivo de la víctima. Lumma Stealer se dirige principalmente a carteras de criptomonedas y extensiones de navegador con autenticación de dos factores (2FA), antes de robar información confidencial del dispositivo.

El malware está escrito en lenguaje C y ha estado disponible a través de un modelo de malware como servicio (MaaS) en foros clandestinos y un canal de Telegram desde 2022, a un precio de entre 140 y 160 dólares al mes.

Se cree que el malware fue desarrollado por el actor de amenazas "Shamel" bajo el alias "Lumma".

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#104
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Cuántas veces se debería permitir a los investigadores adivinar la contraseña de un teléfono celular bloqueado que pertenece a un sospechoso? Ciertamente no 44 millones, dictaminó ahora un juez canadiense.

El juez del Tribunal Superior de Ontario, Ian Carter, se enfrentó recientemente a este tipo de preguntas cuando se le pidió que se pronunciara sobre una solicitud del Servicio de Policía de Ottawa para retener tres teléfonos móviles de un sospechoso durante dos años más.

La policía tuvo los teléfonos durante más de un año y los incautó en octubre de 2022 con una orden judicial basada en información sobre un usuario de una cuenta de Google que subía imágenes de pornografía infantil. El problema era que los tres dispositivos estaban protegidos por códigos de acceso alfanuméricos complejos.

La decisión judicial decía que los investigadores probaron alrededor de 175 millones de contraseñas en un intento de acceder al teléfono. Pero el juez también escuchó que en realidad existían más de 44 millones de combinaciones potenciales para cada teléfono.

Si somos precisos, hay 44.012.666.865.176.569.775.543.212.890.625 posibles códigos de acceso alfanuméricos para cada teléfono. Según Carter, esto significa que la policía pedía encontrar una aguja en un pajar muy grande.

Así, el juez denegó la solicitud de retención de los teléfonos y ordenó su devolución o destrucción. Carter añadió que la investigación puede continuar sin el teléfono; además, la policía de Ottawa ya ha presentado una solicitud formal para obtener más datos de Google.

"Si bien es ciertamente 'posible' que encuentren la aguja en los próximos dos años (la duración de la orden de detención que solicitan), las probabilidades son tan increíblemente bajas que prácticamente no existen. Esta es una consideración importante a la hora de determinar si se justifica una nueva orden de detención", dijo el juez.

La única forma de obtener códigos de acceso alfanuméricos complejos es mediante un proceso de fuerza bruta. Eso es lo que intentaron hacer los investigadores forenses.

El método emplea software especializado y un diccionario de contraseñas. Este último presenta palabras en inglés combinadas con números y otras que emplean "leet talk", un sistema de ortografía modificada que reemplaza letras con números relacionados o caracteres especiales.

Aquellos que usan leet talk (es popular entre los jugadores y los piratas informáticos) normalmente cambiarían "alerta" por "@lert" y "miedo" por "f34r". El leet talk más avanzado reemplaza todas las letras de una palabra con números o símbolos.

Se necesitan unos ocho días para probar 30 millones de códigos de acceso de un diccionario de contraseñas existente, según escuchó el tribunal. Sin embargo, el éxito depende de si la contraseña buscada está incluida en el diccionario.

Ninguno de los intentos de la policía de Ottawa de irrumpir en los teléfonos del sospechoso en su investigación tuvo éxito y el juez decidió que era suficiente.

En su fallo, Carter también dijo que el tribunal tenía que equilibrar los derechos de propiedad de un individuo con el interés legítimo del Estado en preservar las pruebas en una investigación.

Fuente
:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#105
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un instituto de investigación respaldado por el estado chino afirma haber descubierto cómo descifrar los registros de dispositivos para la función AirDrop de Apple, lo que permite al gobierno identificar números de teléfono o direcciones de correo electrónico de quienes compartieron contenido.

China tiene una larga historia de censurar a su gente, solicitando a Apple que bloquee el acceso a aplicaciones móviles, bloqueando aplicaciones de mensajería cifrada, como Signal, y creando el Gran Cortafuegos de China para controlar qué sitios se pueden visitar en el país.

Para sortear la censura en el país, la gente recurrió a la función AirDrop de Apple, que no requiere servicio celular y utiliza Bluetooth y una red Wi-Fi privada para enviar imágenes y fotografías entre dispositivos.

Durante las protestas a favor de la democracia de 2019 en Hong Kong, los manifestantes utilizaron con frecuencia AirDrop para compartir folletos y carteles. En 2022, el New York Times informó que los manifestantes chinos volvieron a recurrir a AirDrop para generar conciencia sobre las protestas y los mensajes contra Xi.

Poco después, Apple lanzó iOS 16.1.1, que limitaba la capacidad de recibir imágenes AirDropped de "Todos" a solo 10 minutos para los teléfonos vendidos en China.

En ese momento, se creía que esta característica se agregó para evitar que los manifestantes chinos la utilizaran. Desde entonces, este cambio se ha aplicado a todos los dispositivos iOS, independientemente de su región geográfica.

Cracking AirDrop

Hoy, Bloomberg informó por primera vez que el Instituto de Evaluación Judicial Wangshendongjian de Beijing de China descubrió una manera de extraer los números de teléfono, direcciones de correo electrónico y nombres de dispositivos de quienes enviaron y recibieron una imagen AirDropped de los registros del dispositivo.

El instituto dice que llevaron a cabo esta investigación después de que se utilizara Apple AirDrop para enviar comentarios "inapropiados" en el metro de Beijing.

"Después de una investigación preliminar, la policía descubrió que el sospechoso utilizó la función AirDrop del iPhone para difundir de forma anónima información inapropiada en lugares públicos", se lee en un comunicado del gobierno chino.

"Debido al anonimato y la dificultad de rastrear AirDrop, algunos internautas han comenzado a imitar este comportamiento. Por lo tanto, es necesario encontrar la fuente de envío y determinar su identidad lo antes posible para evitar impactos negativos".

El instituto de investigación dice que el nombre del dispositivo del remitente, la dirección de correo electrónico y el número de teléfono móvil están codificados en los registros del dispositivo iOS.

Utilizando tablas de arcoíris, los investigadores afirman haber podido eliminar estos campos para obtener acceso a la información del remitente.

China dice que ya han utilizado esta capacidad forense para "identificar a múltiples sospechosos involucrados en el caso".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#106
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa de auditoría ha confirmado que NordVPN no almacena ningún dato de tráfico entrante o saliente.

"No sabemos nada sobre las actividades en línea de nuestros usuarios mientras utilizan nuestros servicios", dijo NordVPN.

Es la cuarta vez que la empresa completa una auditoría independiente para confirmar su declaración de no registros. Esto significa que la empresa no rastrea, recopila ni comparte ninguna actividad de los usuarios en línea.

NordVPN dijo que los expertos de Deloitte tuvieron acceso a los servicios de NordVPN desde el 30 de noviembre hasta el 7 de diciembre de 2023, y revisaron los ajustes y procedimientos de configuración relevantes para la privacidad en servidores Ofuscated, Double VPN, Standard VPN, Onion Over VPN (TOR) y P2P.

"Creemos firmemente que una política de no registros debería ser un estándar de la industria", se cita en un comunicado de prensa Marijus Briedis, CTO de NordVPN.

Si bien NordVPN necesita información específica del usuario, como credenciales y estado de suscripción durante un breve período de tiempo, no almacena ninguna dirección IP de usuario ni de destino, historial de navegación ni archivos descargados, entre otras cosas. Todas las comunicaciones entre el usuario y el servidor están cifradas.

Si bien una política de no registros debería ser un estándar de la industria, no lo es. Este suele ser el caso de las VPN gratuitas. Si bien algunos registros son inofensivos y no exponen a los usuarios, el registro extenso de datos es peligroso.

Algunos proveedores de VPN realmente ganan dinero registrando datos sobre la actividad en línea de sus usuarios y vendiéndolos a los anunciantes.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#107
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El libro blanco de bitcoin fue publicado por Satoshi Nakamoto, el seudónimo utilizado por el creador o creadores de bitcoin en el año 2008. Desde entonces, las criptomonedas y sus constantes cambios de valor pasaron a ser una realidad del mundo y Nakamoto se mantiene como una leyenda de misterio.

Hace diez años se especulaba mucho con quién podría ser esa persona detrás del sobrenombre de Nakamoto. Por ejemplo, la revista Newsweek dijo haber encontrado al creador de Bitcoin... y publicó todos los datos al respecto. Sin embargo, la persona señalada, negó esa información.

A finales de 2017 y con el precio del bitcoin en un alto histórico de 20.000 dólares, Satoshi Nakamoto se convertía en una de las 50 personas más ricas del planeta, aún cuando nadie sabía siquiera si es una persona o varias. Y se especuló con que la persona detrás de ese nombre podría ser Bram Cohen, el creador de BitTorrent

Ahora, vuelve a hablarse de él: la llamada billetera Génesis, que fue la primera creada en la red bitcoin, ha registrado un movimiento de mucho dinero, lo que ha generado especulaciones sobre que el creador del bitcoin ha vuelto después de muchos años sin tener ningún tipo de noticia al respecto de esto.

Concretamente, un usuario de Bitcoin no identificado transfirió 26,9 Bitcoin por valor de 1,17 millones de dólares a la billetera Génesis, la primera billetera en la red Bitcoin creada por Satoshi Nakamoto, el creador seudónimo de Bitcoin.

1 millón de dólares

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si Satoshi Nakamoto sigue vivo, aunque ni siquiera se sabe si es un individuo o un grupo, se cree que controla más de 1 millón de bitcoins, que actualmente valen casi 50.000 millones de dólares, lo que los ubica entre las 25 personas más ricas del mundo, según Forbes.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ahora, Satoshi Nakamoto, recibió casi 26 bitcoins por un valor de poco más de 1 millón de dólares. Conor Grogan, director de Coinbase, el intercambio de bitcoins y criptomonedas, ha publicado en la red social X que:

"O Satoshi se despertó, compró 27 bitcoins de Binance y los depositó en su billetera, o alguien simplemente quemó un millón de dólares".

Esta frase viene con un enlace de Arkham Intelligence que muestra la transacción.

Grogan dice que al principio pensó que podría ser "una especie de extraño plan de marketing". Hay que tener en cuenta que la última transacción aumentó el valor de los bitcoins guardados en la billetera Genesis, que inicialmente contenía los 50 bitcoins creados a partir del primer bloque de bitcoins. Según se ha sabido, el movimiento de Nakamoteo provocó una oleada de 34 microtransferencias a la misma dirección en las últimas horas.

No se había producido ningún movimiento de fondos de las billeteras asociadas a Nakamoto, incluida la billetera Genesis, desde que Nakamoto desapareció en diciembre de 2010.

La billetera Genesis inicialmente contenía los 50 Bitcoin minados cuando Nakamoto desapareció. En el cumpleaños número 14 de Bitcoin, los usuarios de Bitcoin de todo el mundo lo celebraron de varias maneras, y algunos optaron por enviar bitcoins a la dirección que contiene las recompensas por extraer.

Fuente:
Genbeta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#108
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El administrador detrás del famoso foro de piratería BreachForums ha sido arrestado nuevamente por violar las condiciones de liberación previas al juicio, incluido el uso de una computadora no monitoreada y una VPN.

El administrador de BreachForums, Conor Fitzpatrick, fue arrestado el 15 de marzo, cuando admitió abiertamente, sin un abogado presente, que era un actor de amenazas conocido como Pompompurin, y que era el administrador del extinto foro de piratería BreachForums.

Pompompurin ha sido un conocido actor de amenazas en una comunidad cibercriminal dedicada a violar empresas y vender o filtrar datos robados a través de foros y redes sociales. También fue un miembro destacado del foro sobre ciberdelincuencia RaidForums.

Después de que el FBI se apoderara de RaidForums en 2022, Pompompurin creó un nuevo foro llamado 'BreachForums', que se utilizó para seguir filtrando datos robados.

Fitzpatrick fue acusado de robo y venta de información personal confidencial perteneciente a "millones de ciudadanos estadounidenses y cientos de empresas, organizaciones y agencias gubernamentales estadounidenses y extranjeras".

Fitzpatrick fue liberado un día después con una fianza de $300,000 y bajo varias condiciones previas al juicio, incluyendo no visitar el sitio web de BreachForums ni tener contacto con ningún usuario o co-conspirador de BreachForums a menos que esté supervisado por un abogado.

Órdenes posteriores del tribunal agregaron condiciones adicionales de libertad preventiva, que incluyen:

     "El acusado no podrá acceder a una computadora y/o a Internet a menos que la oficina de servicios previos al juicio haya instalado un programa de monitoreo informático. El acusado deberá dar su consentimiento para la instalación de software de monitoreo informático en cualquier computadora a la que tenga acceso. La instalación deberá ser realizado por el oficial de servicios previos al juicio. El software puede restringir y/o registrar cualquier actividad en la computadora, incluida la captura de pulsaciones de teclas, información de aplicaciones, historial de uso de Internet, correspondencia por correo electrónico y conversaciones de chat".

     "El acusado no accederá a ningún sitio web o cuenta centrada en datos violados, filtrados o robados, piratería informática, investigación de seguridad, malware, programación informática, dominios, delitos cibernéticos, en línea Caso 1:23-cr-00119-TSE Documento 38 Presentado el 07/ 13/23 Página 1 de 2 PageID# 187 ofuscación o conexión en red informática, sin la aprobación previa de la libertad condicional".

     "El acusado no utilizará ninguna herramienta para ofuscar su identidad, como redes privadas virtuales (VPN), el enrutador cebolla (Tor) o servidores proxy".

En una Renuncia de Presentación Rápida firmada por el acusado en el Distrito Sur de Nueva York, se reveló que Fitzpatrick fue arrestado el 2 de enero por violar las condiciones de su libertad previa al juicio.

"Fui arrestado hoy en relación con una petición presentada al juez del Tribunal de Distrito de los Estados Unidos T.S. Ellis, III por la oficial supervisora de libertad condicional de los Estados Unidos, Kimberly Hess", se lee en el documento judicial.

"Entiendo que la petición alega ciertas violaciones de las condiciones de mi liberación previa al juicio, incluido el uso de una computadora sin el software de monitoreo requerido y el acceso a servicios VPN".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fitzpatrick permanecerá bajo custodia hasta que sea presentado ante un tribunal en el Distrito Este de Virginia.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#109
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad detectan diariamente cientos de direcciones IP que escanean o intentan explotar los servicios de Apache RocketMQ vulnerables a una falla de ejecución remota de comandos identificada como CVE-2023-33246 y CVE-2023-37582.

Ambas vulnerabilidades tienen una puntuación de gravedad crítica y se refieren a un problema que permaneció activo después del parche inicial del proveedor en mayo de 2023.

Inicialmente, el problema de seguridad se rastreó como CVE-2023-33246 y afectó a varios componentes, incluidos NameServer, Broker y Controller.

Apache lanzó una solución que estaba incompleta para el componente NameServer en RocketMQ y continuó afectando las versiones 5.1 y anteriores de la plataforma de transmisión y mensajería distribuida.

"El componente RocketMQ NameServer todavía tiene una vulnerabilidad de ejecución remota de comandos ya que el problema CVE-2023-33246 no se solucionó completamente en la versión 5.1.1", se lee en una advertencia de Rongtong Jin, miembro del Comité de Gestión de Proyectos Apache RocketMQ.

En sistemas vulnerables, los atacantes pueden aprovechar la vulnerabilidad para ejecutar comandos utilizando la función de configuración de actualización en el NameServer cuando su dirección se expone en línea sin las comprobaciones de permisos adecuadas.

"Cuando las direcciones de NameServer se filtran en la extranet y carecen de verificación de permisos, un atacante puede explotar esta vulnerabilidad utilizando la función de configuración de actualización en el componente NameServer para ejecutar comandos como los usuarios del sistema que ejecuta RocketMQ", el investigador, que también explica un ingeniero de investigación y desarrollo de Alibaba.

El problema ahora se conoce como CVE-2023-37582 y se recomienda actualizar NameServer a la versión 5.1.2/4.9.7 o superior para RocketMQ 5.x/4.x para evitar ataques que aprovechen la vulnerabilidad.

La plataforma de seguimiento de amenazas The ShadowServer Foundation ha registrado cientos de hosts que escanean en busca de sistemas RocketMQ expuestos en línea, algunos de ellos intentando explotar las dos vulnerabilidades.

La organización señala que los ataques que rastrea "pueden incluir intentos de explotación de CVE-2023-33246 y CVE-2023-37582".

ShadowServer dice que la actividad que observa puede ser parte de intentos de reconocimiento de posibles atacantes, esfuerzos de explotación o incluso investigadores que buscan puntos finales expuestos.

Los piratas informáticos comenzaron a apuntar a sistemas Apache RocketMQ vulnerables desde al menos agosto de 2023, cuando se observó una nueva versión de la botnet DreamBus aprovechando un exploit CVE-2023-33246 para colocar mineros XMRig Monero en servidores vulnerables.

En septiembre de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) instó a las agencias federales a corregir la falla antes de fin de mes, advirtiendo sobre su estado de explotación activa.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#110
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un cofundador de un servicio de billetera criptográfica comparte con el mundo su agonía después de perder 125.000 dólares en una estafa criptográfica.

El CEO de la startup, que en ese momento creía que estaba en un sitio web legítimo de lanzamiento "airdrop"  de criptomonedas, se dio cuenta después de su pérdida de que el dominio al que había accedido estaba configurado con el fin de realizar phishing a usuarios desprevenidos.

Un error le cuesta al CEO de criptobilletera $125,000

Bill Lou, cofundador de Nest Wallet, una startup de billeteras de criptomonedas, se sintió "devastado" después de haber sido estafado por lo que en ese momento le parecía ser un sitio web de obsequios de criptomonedas.

"Me acaban de estafar con 125.000 dólares en STEth mientras intentaba reclamar el lanzamiento "airdrop"  de $LFG. Y soy el puto fundador de una startup de billeteras que está tratando de mejorar la seguridad de las billeteras...", escribe Lou en las redes sociales.

"No puedo creer que esto esté sucediendo, siempre he sido muy cuidadoso. Vi la guía del artículo sobre el lanzamiento aéreo y seguí el enlace para firmar un mensaje. Ni siquiera lo cuestioné..."

Un "airdrop" de criptomonedas se refiere a una estrategia de marketing en la que una empresa regala cantidades nominales de monedas o tokens a direcciones de billetera como medio para promocionar su servicio blockchain, o para pedir a cambio favores menores a los miembros de la comunidad, como el token. destinatarios que saludan a la empresa en las redes sociales.

El CEO cometió el error de creer en un artículo sobre criptografía que se había publicado en Medium

El artículo ahora eliminado tenía como objetivo dirigir el tráfico a un dominio de phishing similar, lessfeesandgas[.]io.

Más tarde, Lou se dio cuenta de que el dominio se había hecho pasar por No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, un sitio web legítimo, como parte de una estafa.

Compartió la transacción exacta asociada con el error que le costó 52 stEth, aproximadamente $125 000 en ese momento (y $117 723,43 en el momento de escribir este artículo).

Afirma que su producto es seguro; pero es ridiculizado

Aunque el cofundador obtuvo bastante apoyo y simpatía por ser víctima de una estafa, algunos también lo ridiculizaron por afirmar que su producto podría haber evitado esto.

"Estaba usando Metamask en lugar de Nest Wallet porque tenía instalada una versión de prueba y estaba solucionando algunos errores", escribió Lou.

"No quiero parecer un imbécil promocionando su propio producto, pero mi billetera LITERALMENTE lo habría atrapado. F##K METAMASK, F##K MI PROPIA ESTUPIEZ. Asno codicioso tratando de reclamar un airdrop A medianoche en lugar de irse a dormir ..."

En respuesta al reclamo de Lou, Nick Bax, un usuario de las redes sociales respondió:

"Trato de no atacar a las víctimas del crimen, pero cuando dices cosas como 'F##K METAMASK' y 'mi billetera LITERALMENTE lo habría atrapado', abres la puerta a eso".

El usuario demostró por qué el producto de Lou no necesariamente habría protegido a un usuario desprevenido de este ataque de phishing.

Además, Bax dice que ahora tiene $600 atrapados en Nest Wallet debido a un error, mientras realiza esta pequeña demostración impugnando el reclamo de Lou.

Los comentarios de otros usuarios de las redes sociales parecieron apoyar a Lou y burlarse de la irónica situación.

El reciente aumento de las estafas con criptomonedas no ha salvado a nadie, ni siquiera a los expertos de la industria.

La semana pasada, se informó que un desarrollador de blockchain perdió su criptografía después de que se le acercara en LinkedIn para una "entrevista de trabajo" y completara una tarea de JavaScript para llevar a casa, lo que era una estafa disfrazada.

Es de esperar que historias desafortunadas como la de Lou y la del desarrollador de blockchain aumenten la conciencia sobre la seguridad en la esfera de blockchain y adviertan a los usuarios que tengan mucho cuidado al tratar con sitios web de criptomonedas, asignaciones de trabajo y acuerdos que parecen demasiado buenos para ser verdad.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#111
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los piratas informáticos se dirigen cada vez más a cuentas verificadas en X (anteriormente Twitter) que pertenecen a perfiles gubernamentales y empresariales y que están marcadas con "marcas de verificación" "doradas" y "grises" para promover estafas con criptomonedas, sitios de phishing y sitios con drenadores de criptomonedas.

Un caso reciente de alto perfil es la cuenta X de la empresa de inteligencia sobre amenazas cibernéticas Mandiant, una subsidiaria de Google, que fue secuestrada ayer para distribuir un lanzamiento aéreo falso que vació las billeteras de criptomonedas.

MalwareHunterTeam ha estado rastreando este tipo de actividad en X últimamente y reportó varios ejemplos notables de cuentas "doradas" y "grises" comprometidas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sólo en los últimos días, MHT ha publicado sobre las cuentas de la senadora canadiense Amina Gerba, el consorcio sin fines de lucro 'The Green Grid' y el político brasileño Ubiratan Sanderson cayendo en manos de piratas informáticos.

Ayer, la cuenta X de la empresa de ciberseguridad Mandiant fue pirateada para promocionar un sitio con un drenaje de criptomonedas. La compañía dice que se habilitó el sistema de dos factores en la cuenta, lo que hace que el secuestro sea aún más desconcertante.

Una marca de verificación dorada adjunta a una cuenta en X indica una organización/empresa oficial, mientras que la insignia gris marca perfiles que representan una organización gubernamental o un funcionario.

Ambos tipos de cuentas deben cumplir requisitos de elegibilidad específicos. Por el contrario, las marcas azules se entregan a cualquier usuario que pague una suscripción X Premium.

Debido a los estrictos criterios de elegibilidad, las "señales de identidad" doradas y grises inspiran confianza y el contenido que distribuyen suele considerarse más confiable.

Si bien la idea promovida detrás del sistema de verificación y suscripción paga de X es aumentar "en varios órdenes de magnitud" el costo y la dificultad de la suplantación de identidad y las estafas, las cuentas con insignia dorada y gris se han convertido en objetivos para los piratas informáticos y en un producto para los ciberdelincuentes.

Un informe reciente de CloudSEK, una plataforma de monitoreo de riesgos digitales, destaca el surgimiento de un nuevo mercado negro donde los piratas informáticos venden cuentas X doradas y grises comprometidas a precios de entre 1.200 y 2.000 dólares.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Algunos vendedores también ofrecen la opción de agregar cuentas fraudulentas como afiliados a las cuentas de Gold verificadas por $500, lo que les otorga credibilidad sin tener que pasar por el proceso de verificación más riguroso de la plataforma de redes sociales.

Las afirmaciones de los actores de amenazas en los mercados de la dark web y en Telegram sugieren que los ciberdelincuentes también trabajan con cuentas corporativas inactivas comprometidas que el comprador puede convertir en perfiles "Gold".

En otros casos, los piratas informáticos que comprometen estas cuentas bloquean a sus propietarios legítimos, se suscriben a Gold durante 30 días y pasan las cuentas a los nuevos propietarios.

CloudSEK dice que observó seis ventas de este tipo de cuentas en un mes. Uno de ellos, inactivo desde 2016 y con 28.000 seguidores, se anunciaba por 2.500 dólares.

Los investigadores recomiendan a las empresas cerrar las cuentas inactivas. Revisar la configuración de seguridad y activar la opción de autenticación de dos factores.

También vale la pena comprobar qué aplicaciones están conectadas a la cuenta, así como el registro de sesiones activas en otros dispositivos.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#112
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas anunció en un foro sobre ciberdelincuencia que vendió el código fuente y una versión descifrada del ransomware Zeppelin por sólo 500 dólares.

La publicación fue detectada por la empresa de inteligencia sobre amenazas KELA y, aunque no se ha validado la legitimidad de la oferta, las capturas de pantalla del vendedor indican que el paquete es real.

Quien haya comprado el paquete podría utilizar el malware para poner en marcha una nueva operación de ransomware como servicio (RaaS) o escribir un nuevo casillero basado en la familia Zeppelin.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El vendedor del código fuente y del constructor de Zeppelin utiliza el identificador 'RET' y aclaró que ellos no fueron los autores del malware, sino que simplemente lograron descifrar una versión del constructor. RET añadió que habían adquirido el paquete sin licencia.

"De dónde conseguí el constructor sin licencia es asunto mío. [...] Acabo de descifrar el constructor", escribió el vendedor en respuesta a otros miembros del foro de hackers.

El ciberdelincuente señaló que pretendían vender el producto a un único comprador y congelarían la venta hasta completar la transacción.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En noviembre de 2022, tras la interrupción de la operación Zeppelin RaaS, los investigadores de seguridad y aplicación de la ley revelaron que habían encontrado fallas explotables en el esquema de cifrado de Zeppelin, lo que les permitió construir un descifrador y ayudar a las víctimas desde 2020.

Un usuario en el hilo del foro de Zeppelin pregunta explícitamente si la nueva versión ha solucionado los fallos en la implementación de la criptografía, a lo que el vendedor responde diciendo que es la segunda versión del malware que ya no debería incluir las vulnerabilidades.
Antecedentes del ransomware Zeppelin

Zeppelin es un derivado de la familia de malware Vega/VegaLocker basada en Delphi que estuvo activo entre 2019 y 2022. Se utilizó en ataques de doble extorsión y sus operadores en ocasiones pedían rescates de hasta 1 millón de dólares.

Las versiones del ransomware Zeppelin original se vendieron por hasta 2300 dólares en 2021, después de que su autor anunciara una actualización importante del software.

El RaaS ofreció un trato relativamente ventajoso a los afiliados, permitiéndoles quedarse con el 70% de los pagos del rescate y el 30% para el desarrollador.

En el verano de 2022, la Oficina Federal de Investigaciones (FBI) advirtió sobre una nueva táctica empleada por los operadores del ransomware Zeppelin que implica múltiples rondas de cifrado.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#113
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Orange España sufrió un corte de Internet después de que un pirata informático violara la cuenta RIPE de la empresa para configurar incorrectamente el enrutamiento BGP y una configuración RPKI.

El enrutamiento del tráfico en Internet lo maneja el Border Gateway Protocol (BGP), que permite a las organizaciones asociar sus direcciones IP con números de sistemas autónomos (AS) y anunciarlas a otros enrutadores a los que están conectadas, conocidos como sus pares.

Estos anuncios BGP crean una tabla de enrutamiento que se propaga a todos los demás enrutadores perimetrales de Internet, lo que permite a las redes conocer la mejor ruta para enviar tráfico a una dirección IP particular.

Sin embargo, cuando una red fraudulenta anuncia rangos de IP generalmente asociados con otro número AS, es posible secuestrar esos rangos de IP para redirigir el tráfico a sitios web o redes maliciosos.

Según Cloudflare, esto es posible porque BGP se basa en la confianza y la tabla de enrutamiento se actualizará según qué anunciante tenga la ruta más corta y específica.

Para evitar esto, se creó un nuevo estándar llamado Infraestructura de clave pública de recursos (RPKI) que actúa como una solución criptográfica para el secuestro de BGP.

"La infraestructura de clave pública de recursos (RPKI) es un método criptográfico para firmar registros que asocian un anuncio de ruta BGP con el número AS de origen correcto", explica un artículo de Cloudflare sobre RPKI.

Al habilitar RPKI con un organismo de enrutamiento como ARIN o RIPE, una red puede certificar criptográficamente que solo los enrutadores bajo su control pueden anunciar un número AS y sus direcciones IP asociadas.

Hacker viola la cuenta RIPE para romper BGP

Ayer, un actor de amenazas llamado 'Snow' violó la cuenta RIPE de Orange España y tuiteó a Orange España para contactarlos para obtener nuevas credenciales.

Desde entonces, el atacante modificó el número AS asociado con las direcciones IP de la empresa y habilitó una configuración RPKI no válida en ellas.

Mensaje del hacker al haber secuestrado la cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

[Noten que el muy pillo... tiene de gato]

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Anunciar las direcciones IP en el número AS de otra persona y luego habilitar RPKI efectivamente provocó que estas direcciones IP ya no se anunciaran correctamente en Internet.

"Como vemos, lo que hicieron fue crear unos registros ROA /12, que básicamente indican quién es la AUTHORITY sobre un prefijo (es decir, el AS que puede anunciarlo)", dijo a BleepingComputer Felipe Cañizares, CTO de DMNTR Network Solutions.

"Estos agrupaban los prefijos /22 y /24 anunciados por Orange España, indicando que el AS que debía anunciar ese prefijo era AS49581 (Ferdinand Zink comercializando como Tube-Hosting)."

"Una vez hecho esto, activaron RPKI en ese /12... y adiós..."

Implementación de RPKI no válida en direcciones IP anunciadas
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto provocó un problema de rendimiento en la red de Orange España entre las 14:45 y las 16:15 UTC, que se puede ver en el gráfico de tráfico de Cloudflare a continuación para AS12479.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Desde entonces, Orange España ha confirmado que su cuenta RIPE fue pirateada y ha comenzado a restaurar los servicios.

"NOTA: La cuenta de Orange en el centro de coordinación de redes IP (RIPE) ha sufrido un acceso indebido que ha afectado a la navegación de algunos de nuestros clientes. El servicio está prácticamente restablecido", tuiteó Orange España.

"Confirmamos que en ningún caso se ven comprometidos los datos de nuestros clientes, sólo ha afectado la navegación de algunos servicios."

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No está claro cómo el actor de amenazas violó la cuenta RIPE, pero Cañizares le dijo a BleepingComputer que cree que Orange España no habilitó la autenticación de dos factores en la cuenta.

Credenciales probablemente robadas mediante malware

Si bien Orange España no ha revelado cómo se violó su cuenta RIPE, el actor de amenazas proporcionó una pista en una captura de pantalla publicada en Twitter que contenía la dirección de correo electrónico de la cuenta pirateada.

Alon Gal, del servicio de inteligencia de ciberseguridad Hudson Rock, le dijo a BleepingComputer que este correo electrónico y una contraseña asociada para la cuenta RIPE se encontraron en una lista de cuentas robadas por malware que roba información (stealer).

"El ordenador del empleado de Orange fue infectado por un Infostealer tipo Raccoon el 4 de septiembre de 2023, y entre las credenciales corporativas identificadas en la máquina, el empleado tenía credenciales específicas para "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta" utilizando la dirección de correo electrónico que fue revelado por el actor de la amenaza ([email protected])", explica una investigación de Hudson Rock.

Según Gal, la contraseña de la cuenta era "ripeadmin", que es una contraseña muy sencilla para una cuenta crítica.

El hacker, Snow, confirmó más tarde los hallazgos de Hudson Rock, diciendo en Twitter que encontraron la cuenta en filtraciones públicas de datos robados.

"Para aquellos que se preguntan cómo obtuve acceso a la cuenta en primer lugar, permítanme decirles que la seguridad de la contraseña era muy cuestionable", publicó Snow en Twitter/X.

"Estaba investigando filtraciones públicas de datos de bots y encontré una cuenta madura con la contraseña "ripadmin" y sin 2FA, sin SE en absoluto".

Cuando se le preguntó por qué piratearon la cuenta, el hacker dijo que lo hicieron por "lulz", o en otras palabras, por las risas.

RIPE también llevó a cabo una investigación sobre el incidente y dijo que restauraron la cuenta de Orange y aconsejaron a los usuarios que habilitaran MFA.

"Alentamos a los titulares de cuentas a que actualicen sus contraseñas y habiliten la autenticación multifactor para sus cuentas. Si sospecha que su cuenta podría verse afectada, infórmelo a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta", publicó RIPE en una página sobre la infracción.

El malware que roba información se ha convertido en la pesadilla de las empresas, ya que los actores de amenazas los utilizan para recopilar credenciales para el acceso inicial a las redes corporativas.

Los actores de amenazas suelen comprar credenciales robadas en mercados de ciberdelincuencia, que luego se utilizan para violar las redes y realizar robo de datos, ciberespionaje y ataques de ransomware.

Por esta razón, todas las cuentas deben tener habilitada la autenticación de dos o múltiples factores para que, incluso si una cuenta es robada, los atacantes no puedan iniciar sesión en ella.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#114
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para la propuesta de lenguajes de programación con más salidas y por tanto recomendados para el 2024 se ha usado el índice TIOBE, que analiza la popularidad de los lenguajes de programación y de la comunidad global Developer Nation, y la encuesta anual de Stack Overflow, en la que participaron casi 90.000 personas contando qué lenguajes han aprendido y cómo, qué herramientas usan y qué quieren aprender en el futuro.

Python

La comunidad TIOBE mide la popularidad de los lenguajes de programación y se basa en su popularidad considerando motores de búsqueda mainstream como Google, Bing, Yahoo!, Wikipedia, Amazon, YouTube y Baidu, profesionales de la ingeniería a escala mundial y cursos, entre otros.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Python despunta en TIOBE y a decir verdad, es uno de los lenguajes de programación más interesantes para aprender porque es relativamente sencillo y su parecido con el inglés, el idioma oficial de internet. Ojo, no confundir sencillez con potencia, ya que cuenta con cientos de librerías, frameworks y se postula como el estándar en dos áreas tan importantes en la actualidad como el big data y el machine learning.


JavaScript

Que JavaScript sea el número 1 de Stack Overflow no es una sorpresa, considerando que es su undécimo año consecutivo mandando en la lista. No obstante, cabe destacar la subida de Python hasta el tercer puesto, que ojo se coloca en el primer puesto para quienes no se dedican profesionalmente al desarrollo. Y es que como comentábamos más arriba, es el candidato perfecto para iniciarse.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lo de conocimientos en JavaScript abunda en las ofertas de trabajo y no es para menos, habida cuenta del auge del desarrollo web y lenguajes relacionados como TypeScript, ReactJS, React Native, NodeJS..., por lo que constituye toda una piedra angular con alta empleabilidad.

Fuente:
Índice TIOBE
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Stack Overflow
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía: (Compendio y Traducción al español)
Genbeta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#115
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

2023 arrancó, entre otras cosas, con un enorme salto por parte de Edge, el navegador de Microsoft, fruto del acuerdo con OpenAI. Integró una versión de ChatGPT a su buscador para cambiar un viejo paradigma: en lugar de introducir palabras clave en una caja de texto, pasaríamos a hacer preguntas en lenguaje natural al buscador. Luego pasó a ser un copiloto para la navegación.

Y llegaron más funciones como la multiventana en una misma pestaña para diferenciarse cada vez más y ganar cuota en un mercado que sigue dominado, de largo, por Chrome, con Safari, Firefox, Opera y la propia Edge recogiendo los restos.

Sin embargo, la cuota de mercado de Edge no ha crecido significativamente, teniendo en cuenta el potencial de sus novedades, y teniendo en cuenta todas las estrategias que Microsoft ha empleado para forzar a sus usuarios a mantenerse en Edge.

12% a costa de...

Veamos cómo ha evolucionado el mercado de navegadores de escritorio en el último lustro, según los datos de StatCounter. Una gráfica en la que se refleja bien lo que decíamos antes: dominio de Chrome, reparto del resto para los demás.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para entender bien lo que ha ocurrido con esas alternativas, vamos a eliminar a Chrome de la gráfica. Así ha evolucionado esa competencia entre minorías:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Edge, efectivamente, ha crecido. Del 10% de cuota que tenía hace un año al 12% con el que llega a 2024, el cual le permite, gracias a la caída de Safari, ser la segunda opción del mercado. Ahora bien, no deja de formar parte del grupo de navegadores minoritarios y su crecimiento no está, como decíamos, alineado con lo mucho y bueno que ha incorporado en 2023. Como tampoco con los esfuerzos poco sutiles de Microsoft por mantener en él a los usuarios de Windows en particular.

Quédese en Edge y cuénteselo a sus amistades

Por ejemplo, el mensaje disuasorio que ha estado mostrando Bing cuando buscamos en Edge "descargar Chrome". Un banner con el texto "no es necesario descargar un nuevo navegador web. Microsoft recomienda usar Edge para una experiencia web rápida, segura y moderna que puede ayudarle a ahorrar tiempo y dinero".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez descargado Chrome, aparecía otro mensaje pidiendo completar una encuesta sobre el motivo por el que hemos querido descargar otro navegador distinto a Edge.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Son mensajes que, como explica XDA Developers en un análisis sobre este tipo de avisos, dañan la reputación del navegador, que busca forzar demasiado a permanecer en él, rozando la intrusión. Y no son solo esos, también hay otros en la misma línea, y uno en concreto tiene mucho que rascar. Es el que advierte a sus usuarios de que Edge se ejecuta "con la misma tecnología que Chrome, con la confianza que añade Microsoft".

Ese es un mensaje completamente cierto: Edge, desde hace mucho, optó por usar Chromium, algo que le supuso mejoras inmediatas en rendimiento y compatibilidad, pero a costa de perder varias cosas, como capacidad de control sobre su propio navegador, quedando a expensas de las actualizaciones realizadas por Google, o capacidad de diferenciación frente al resto de navegadores basados en Chromium, que son casi todos a excepción de Safari, Firefox y poco más.

Manifest V3, su última gran actualización, llegó envuelta en polémica por incompatibilidades con extensiones y bloqueadores de anuncios, el ejemplo perfecto de la pérdida de control que supuso el paso a Chromium. No es que aquella decisión fuese incorrecta, simplemente es que aseguraba beneficios pero también acarreaba unos riesgos y unos peajes.

Hay más ejemplos, como la persistencia de Windows considerando a Edge como navegador por defecto para abrir enlaces directamente desde el sistema aunque hayamos escogido otra opción como navegador por defecto. Ya sea una búsqueda en Windows Search o el widget de noticias.

Así y todo, la incorporación de novedades basadas en el acuerdo con OpenAI de principios del año pasado ha hecho que Edge sea un navegador mucho más completo e interesante, con potencial de sobra para que muchos lo valoren incluso por encima de Chrome, algo que parecía una entelequia no hace tanto.

Sin embargo, esa mezcla de buenas propuestas e insistencia excesiva solo se ha traducido en una subida de dos puntos porcentuales en la cuota de mercado.

Fuente:
StatCounter
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía: (Compendio yTraducción al español)
Xataka
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


#116
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

2023 ha sido el primer año completo de Elon Musk al frente de Twitter, pues recordemos que la operación de compra se completó en octubre de 2022, tras un tortuoso proceso que comenzó cuando presentó su oferta de compra, de la que posteriormente quiso retractarse. Solo la amenaza de que la vía judicial pudiera salirle aún más cara, empujó finalmente al multimillonario a completar la compra y convertirse, de ese modo, en el propietario de la red social.

Lo transcurrido desde entonces es bien conocido: despidos masivos; la total pérdida de valor del tick de verificado; retomar su firme compromiso con la libertad de expresión al expulsar a periodistas; empezar a acumular impagos; acabar con la API gratuita; comprometer su presencia en la Unión Europea; cambiar su nombre a X; insultar a los anunciantes y enfrentarse con ellos... y todo esto, claro, acompañado de una constante pérdida de anunciantes clásicos, que se inició a las pocas semanas de su llegada y que no ha cesado de desde entonces.

Poco queda, por lo tanto, de aquella Arcadia Feliz, aquella tierra prometida, la neoágora global que Musk nos prometió y, en su lugar, lo que tenemos ahora es un espacio que ha ido haciéndose poco a poco más pequeño.

Los anunciantes más o menos prestigiosos del pasado han dejado espacio a publicidad engañosa y de ínfima calidad, los bots que informaban han sido sustituidos por los que desinforman y los de spam de contenido sexual y, eso sí, hay más verificados que nunca. Muchos de ellos sin ni siquiera un nombre real.

No hay que ser un genio para colegir, de esta evolución, que el valor de la red social ha descendido desde que Musk rige su destino, pero es interesante poder cuantificarlo. Así, según informa Axios, el valor de Twitter ha descendido un 71,5% desde que está en manos de Elon Musk. Y aunque es cierto que la situación económica global no es especialmente positiva, podemos comparar los datos de noviembre de 2023, en los que la valoración de Twitter descendió un 10,7%, mientras que la de Meta se incrementó un 4,9%, y la de Snap subió como la espuma, nada menos que un 38,2%.

En esto también influye, no obstante, que la oferta inicial de compra de Musk estaba muy por encima del valor real de Twitter, tal y como coincidieron en valorar muchos analistas de mercado. Esto explicaría, claro, sus intenciones de echarse atrás en la compra o, al menos, de intentar renegociar el precio alegando razones de lo más variadas. Ahora bien, lo que no cabía esperar es que, una vez tomado el control, actuara de manera tan activa para devaluarlo todavía mucho más.

Fuente:
CNN
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía:
MuyComputer (Traducción al español)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#117
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Los investigadores de seguridad han detallado una nueva variante de una técnica de secuestro de órdenes de búsqueda de biblioteca de enlaces dinámicos (DLL) que los actores de amenazas podrían utilizar para eludir los mecanismos de seguridad y lograr la ejecución de código malicioso en sistemas que ejecutan Microsoft Windows 10 y Windows 11.

El enfoque "aprovecha los ejecutables que se encuentran comúnmente en la carpeta confiable WinSxS y los explota a través de la técnica clásica de secuestro de orden de búsqueda de DLL", dijo la firma de ciberseguridad Security Joes en un nuevo informe compartido exclusivamente con The Hacker News.

Al hacerlo, permite a los adversarios eliminar la necesidad de privilegios elevados cuando intentan ejecutar código nefasto en una máquina comprometida, así como introducir archivos binarios potencialmente vulnerables en la cadena de ataque, como se observó en el pasado.

El secuestro del orden de búsqueda de DLL, como su nombre lo indica, implica jugar con el orden de búsqueda utilizado para cargar archivos DLL con el fin de ejecutar cargas útiles maliciosas con fines de evasión de defensa, persistencia y escalada de privilegios.

Específicamente, los ataques que explotan la técnica señalan aplicaciones que no especifican la ruta completa a las bibliotecas que necesitan y, en cambio, se basan en un orden de búsqueda predefinido para localizar las DLL necesarias en el disco.

Los actores de amenazas aprovechan este comportamiento moviendo archivos binarios legítimos del sistema a directorios no estándar que incluyen archivos DLL maliciosos que llevan el nombre de archivos legítimos, de modo que la biblioteca que contiene el código de ataque se selecciona en lugar de este último.

Ejemplo de DLL Search Order Hijacking abusando de un binario en la carpeta WinSxS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto, a su vez, funciona porque el proceso que llama a la DLL buscará primero en el directorio desde el que se está ejecutando antes de iterar recursivamente a través de otras ubicaciones en un orden particular para localizar y cargar el recurso en cuestión. En otras palabras, el orden de búsqueda es el siguiente:

    El directorio desde el que se inicia la aplicación.

    La carpeta "C:\Windows\System32"

    La carpeta "C:\Windows\System"

    La carpeta "C:\Windows"

    El directorio de trabajo actual

    Directorios enumerados en la variable de entorno PATH del sistema

    Directorios enumerados en la variable de entorno PATH del usuario

El novedoso giro ideado por Security Joes apunta a archivos ubicados en la carpeta confiable "C:\Windows\WinSxS". WinSxS, abreviatura de Windows lado a lado, es un componente crítico de Windows que se utiliza para la personalización y actualización del sistema operativo para garantizar la compatibilidad y la integridad.

"Este enfoque representa una aplicación novedosa en ciberseguridad: tradicionalmente, los atacantes se han basado en gran medida en técnicas bien conocidas como el secuestro de orden de búsqueda de DLL, un método que manipula cómo las aplicaciones de Windows cargan bibliotecas y ejecutables externos", Ido Naor, cofundador y CEO de Security Joes, dijo en un comunicado compartido con The Hacker News.

Los investigadores de seguridad han detallado una nueva variante de una técnica de secuestro de órdenes de búsqueda de biblioteca de enlaces dinámicos (DLL) que los actores de amenazas podrían utilizar para eludir los mecanismos de seguridad y lograr la ejecución de código malicioso en sistemas que ejecutan Microsoft Windows 10 y Windows 11.

El enfoque "aprovecha los ejecutables que se encuentran comúnmente en la carpeta confiable WinSxS y los explota a través de la técnica clásica de secuestro de orden de búsqueda de DLL", dijo la firma de ciberseguridad Security Joes en un nuevo informe compartido exclusivamente con The Hacker News.

"Nuestro descubrimiento se desvía de este camino y revela un método de explotación más sutil y sigiloso".

La idea, en pocas palabras, es encontrar archivos binarios vulnerables en la carpeta WinSxS (por ejemplo, ngentask.exe y aspnet_wp.exe) y combinarlos con los métodos habituales de secuestro del orden de búsqueda de DLL colocando estratégicamente una DLL personalizada con el mismo nombre que la DLL legítima en un directorio controlado por el actor para lograr la ejecución del código.

Como resultado, simplemente ejecutar un archivo vulnerable en la carpeta WinSxS configurando la carpeta personalizada que contiene la DLL maliciosa como el directorio actual es suficiente para activar la ejecución del contenido de la DLL sin tener que copiar el ejecutable de la carpeta WinSxS.

Security Joes advirtió que podría haber archivos binarios adicionales en la carpeta WinSxS que son susceptibles a este tipo de secuestro de orden de búsqueda de DLL, lo que requiere que las organizaciones tomen las precauciones adecuadas para mitigar el método de explotación dentro de sus entornos.

"Examine las relaciones padre-hijo entre procesos, con un enfoque específico en binarios confiables", dijo la compañía. "Supervise de cerca todas las actividades realizadas por los archivos binarios que residen en la carpeta WinSxS, centrándose tanto en las comunicaciones de red como en las operaciones de archivos".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#118
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Después de un repunte, se espera que el precio de la memoria NAND Flash aumente un 50% adicional o incluso más en 2024, dicen los analistas del mercado. Eso encarecería las unidades SSD de computadora.

Los aumentos de precios de las SSD ya se han hecho notables, poniendo fin a la era del almacenamiento excepcionalmente asequible. Sin embargo, el instituto de investigación de mercado TrendForce espera un fuerte aumento adicional de los precios, ya que los fabricantes no pueden recuperar sus gastos y los inventarios se están agotando.

"Las cotizaciones actuales todavía muestran una brecha para alcanzar el punto de equilibrio para proveedores como Samsung, Kioxia, SK Hynix y Micron", escribe TrendForce. "Los principales actores nacionales de la industria NAND Flash indican que los proveedores de NAND Flash, impulsados por el objetivo de rentabilidad, seguirán aumentando agresivamente los precios".

Para que los principales fabricantes alcancen el punto de equilibrio, los precios de NAND Flash deben aumentar en más del 40%; sin embargo, para lograr rentabilidad, se esperan aumentos de precios de al menos el 50% o incluso más.

Los precios de NAND tocaron fondo en julio de 2023. Desde entonces, los chips TLC de 512 GB han sido un 120 % más caros, señaló No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Samsung, líder del mercado con una cuota del 31,4%, ha reducido la producción de chips NAND desde septiembre del año pasado con el objetivo de acelerar la reducción de existencias y la estabilización de precios. Otros productores también cambiaron su producción a DRAM, que era más rentable.

Ahora, TrendForce está experimentando una escasez de suministro estructural, lo que proporciona una ventaja para que los fabricantes de chips controlen los precios.

No quedan fuentes de bajo precio disponibles para su compra. Sin embargo, los compradores siguen comprando y manteniendo altos niveles de inventario.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#119
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Humane, una startup (empresa emergente) que pertenece a dos exempleados de Apple, presentó a principios de noviembre un dispositivo a base de inteligencia artificial (IA) que se puede usar en el pecho y proyecta textos en una superficie.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El aparato llamado AI Pin tiene un costo inicial de 700 dólares y una suscripción mensual de 24 dólares. La reacción ante un dispositivo que no tiene pantalla ni aplicaciones ha sido negativa, incluso despectiva, y muchos expertos han predicho su fracaso, reportó la revista Forbes.

Aunque hay muchas posibilidades de que fracase, eso no significa que no se pueda aprender del nuevo invento, más después de las valoraciones sobre AI Pin que emitió Bill Gates, el magnate empresarial que fundó Microsoft.

Ars Technica, un medio especializado en tecnología, llamó a AI Pin "un cruce extraño entre las gafas de Google y un buscapersonas" con una "cámara espeluznante en la cara". Business Insider, otro medio digital estadounidense, dijo que es "incómodo" y no puede reemplazar al teléfono. TechCrunch, una web sobre iniciativas empresariales, dijo que "se parece un poco a Narrative Clip, la desafortunada cámara que registraba la vida".

Pero en el fondo, valoró Forbes, el Al Pin es un intento de llevar la informática ambiental a la experiencia humana. Lo más importante no son sus especificaciones y capacidades de hardware: cámara de 13 megapíxeles, GPS, conexión celular, acelerómetro, sensor de luz, micrófono, altavoz, miniproyector para comunicación visual y batería magnética adhesiva. El punto es la omnipresente asistencia de IA a través de ChatGPT, sin interponer un panel de vidrio o un auricular entre el usuario y la vida real.

"Como mínimo, eso es interesante. Si se explora por completo, podría significar una nueva forma de integrar la informática en nuestras vidas", predijo Forbes.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El fundador de Microsoft, Bill Gates, habló recientemente sobre el impacto de la IA en nuestros dispositivos a través de uno de sus medios menos oficiales: su cuenta de Reddit. Gates dijo que las aplicaciones morirán:
 
"Para realizar cualquier tarea en una computadora, debes decirle a tu dispositivo qué aplicación usar. Puedes usar Microsoft Word y Google Docs para redactar una propuesta comercial, pero no pueden ayudarte a enviar un correo electrónico, compartir una selfie, analizar datos, programar una fiesta o comprar entradas para el cine. En los próximos cinco años esto cambiará por completo. No tendrás que usar diferentes aplicaciones para diferentes tareas. Simplemente le dirás a tu dispositivo, en el lenguaje cotidiano, lo que quieres hacer".

Es casi como si Humane y Gates estuvieran trabajando juntos, porque el comunicado de prensa de Humane explicó la falta de aplicaciones de esta manera:

"Un marco de software de IA completamente nuevo, el AI Bus, da vida a AI Pin y elimina la necesidad de descargar, administrar o iniciar aplicaciones. En cambio, comprende rápidamente lo que necesita y lo conecta instantáneamente con la experiencia o el servicio de IA adecuado".

Las aplicaciones son una interfaz para realizar una tarea, pero la mejor interfaz es simplemente realizar la acción solicitada. Y aunque ChatGPT tiene complementos y ahora permite a los suscriptores crear versiones verticales de sí mismo, no tiene aplicaciones per se. Una aplicación para pedir una pizza genera mucha más fricción que simplemente pedirle a Siri, Google, Alexa o ChatGPT que lo haga.

Los teléfonos inteligentes han sido la forma más disruptiva y poderosa de llevar el poder de la informática a prácticamente todos los aspectos de nuestras vidas. Pero la interfaz que se les ha proporcionado (el panel de cristal y su cuadrícula de aplicaciones) ha guiado esa evolución en la medida que la ha permitido.

Forbes señaló que es probable que AI Pin tenga un error fatal: cuesta tanto como el teléfono inteligente que desea reemplazar y, al mismo tiempo, proporciona una funcionalidad significativamente menor.

Como computadora, incluso si se sostiene en la mano, un teléfono inteligente es una máquina de uso general, adaptable precisamente a los objetivos de Humane con el AI Pin, al tiempo que conserva funcionalidad adicional gracias a su pantalla y otras capacidades.

AI Pin de Humane también es una computadora, pero sus casos de uso son más limitados porque sus modalidades de entrada y salida son mucho más limitadas. Y si bien se puede proyectar texto verde en una mano o superficie con el AI Pin, la pantalla de un teléfono inteligente es claramente mucho más capaz.

Lo anterior no quiere decir que el AI Pin sea inútil o incluso malo. De hecho, para los casos de uso que el equipo de Humane ha identificado (quedar menos atrapados en nuestros teléfonos inteligentes y participar más en la vida real), las simplificaciones del AI Pin podrían incluso ser positivas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
Forbes
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#120
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

ChatGPT atrajo más visitantes en un año que las otras 49 herramientas líderes de IA juntas.

Las 50 herramientas de inteligencia artificial más populares generaron más de 24 mil millones de visitas en un año entre septiembre de 2022 y agosto de 2023, y ChatGPT representó el 60% de ellas, según una nueva investigación de Writerbuddy.

ChatGPT, lanzado por OpenAI el 30 de noviembre de 2022, atrajo 14 mil millones de visitas en el período analizado, con No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, otro chatbot, en un distante segundo lugar con 3.8 mil millones de visitas. QuillBot, un asistente de escritura con inteligencia artificial, completó los tres primeros con 1.100 millones de visitas.

Le siguió el generador de imágenes Midjourney con más de 500 millones de visitas, mientras que Hugging Face, la única herramienta de inteligencia artificial de ciencia de datos en la lista, tuvo más de 316 millones de visitas, según la investigación. El principal rival de ChatGPT, Bard de Google, generó más de 241 millones de visitas.

La explosiva popularidad de ChatGPT se puede atribuir a gran parte del interés en otras herramientas de inteligencia artificial, dijeron los investigadores. En septiembre de 2022, dos meses antes del lanzamiento de ChatGPT, el tráfico total generado por las herramientas analizadas fue de poco menos de 242 millones de visitas.

"Durante los últimos 12 meses, la industria de la inteligencia artificial ha sido uno de los desarrollos tecnológicos más importantes que hemos visto en mucho tiempo", dijo Writerbuddy en un informe.

El tráfico promedio durante todo el período fue de dos mil millones de visitas por mes, y la cifra saltó a 3,3 mil millones en los últimos seis meses. Los chatbots son, con diferencia, las herramientas de inteligencia artificial más populares y representan más de 19 mil millones de visitas, o casi el 80% de todo el tráfico.

Las herramientas de escritura especializadas en IA generaron 1.700 millones de visitas, seguidas de los generadores de imágenes con 1.600 millones de visitas.

Los usuarios en EE.UU. representaron 5.500 millones de visitas, o más del 22% del tráfico total, y los usuarios europeos generaron 3.900 millones de tráfico, o 16,21% del total. India, Indonesia y Filipinas se encuentran entre los usuarios más ávidos de herramientas de inteligencia artificial, según el estudio.

Mientras tanto, China ocupó sólo el puesto 47 en el uso de las mejores herramientas de inteligencia artificial. Esto se puede explicar por el hecho de que herramientas como ChatGPT no están disponibles allí: el país está ocupado desarrollando sus propios productos nativos de IA.

La mayoría de los usuarios, poco más del 63%, acceden a las herramientas de IA directamente a través de sus dispositivos móviles, y el resto del tráfico proviene de usuarios de escritorio. El estudio también encontró una "disparidad notable" entre el uso de herramientas de inteligencia artificial por parte de hombres y mujeres: los primeros representan el 69,5% de todo el tráfico.

"Esto pone de relieve una brecha de género en la utilización de estas herramientas de IA, que también podría deberse a diferencias subyacentes en los roles tecnológicos", dice el informe.


Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta