You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad revelaron el lunes dos nuevas vulnerabilidades en los sistemas operativos basados en Linux que, si se explotan con éxito, podrían permitir a los atacantes eludir las mitigaciones de ataques especulativos como Spectre y obtener información confidencial de la memoria del kernel.

Descubiertas por Piotr Krysiuk del equipo Threat Hunter de Symantec, las fallas, rastreadas como CVE-2020-27170 y CVE-2020-27171 (puntajes CVSS: 5.5), afectan a todos los kernels de Linux anteriores a 5.11.8. Los parches para los problemas de seguridad se lanzaron el 20 de marzo, con Ubuntu, Debian y Red Hat implementando correcciones para las vulnerabilidades en sus respectivas distribuciones de Linux.

Si bien se puede abusar de CVE-2020-27170 para revelar contenido desde cualquier ubicación dentro de la memoria del kernel, CVE-2020-27171 se puede usar para recuperar datos de un rango de 4GB de memoria del kernel.

Documentados por primera vez en enero de 2018, Spectre y Meltdown aprovechan las fallas en los procesadores modernos para filtrar datos que se procesan actualmente en la computadora, lo que permite que un mal actor eluda los límites impuestos por el hardware entre dos programas para obtener claves criptográficas.

Dicho de otra manera, los dos ataques de canal lateral permiten que el código malintencionado lea la memoria para la que normalmente no tendría permiso. Peor aún, los ataques también podrían iniciarse de forma remota a través de sitios web maliciosos que ejecutan código JavaScript malicioso.

Aunque se han ideado contramedidas de aislamiento y los proveedores de navegadores han incorporado defensas para ofrecer protección contra los ataques de sincronización al reducir la precisión de las funciones de medición del tiempo, las mitigaciones se han producido a nivel de sistema operativo en lugar de una solución para el problema subyacente.

Las nuevas vulnerabilidades descubiertas por Symantec  tienen como objetivo sortear estas mitigaciones en Linux aprovechando el soporte del kernel para los filtros de paquetes Berkeley extendidos (eBPF) para extraer el contenido de la memoria del kernel.

"Los programas BPF sin privilegios que se ejecutan en los sistemas afectados podrían evitar las mitigaciones de Spectre y ejecutar cargas especulativas fuera de los límites sin restricciones", dijo Symantec. "Esto luego podría abusarse para revelar el contenido de la memoria a través de canales laterales".

Específicamente, se descubrió que el kernel ("kernel / bpf / verifier.c") realiza especulaciones indeseables fuera de los límites en aritmética de punteros, derrotando así las correcciones para Spectre y abriendo la puerta a los ataques de canal lateral.

En un escenario del mundo real, los usuarios sin privilegios podrían aprovechar estas debilidades para obtener acceso a secretos de otros usuarios que comparten la misma máquina vulnerable.

"Los errores también podrían potencialmente ser explotados si un actor malintencionado pudiera obtener acceso a una máquina explotable a través de un paso previo, como descargar malware en la máquina para lograr el acceso remoto, esto podría permitirles explotar estas vulnerabilidades para obtener acceso a todos los perfiles de usuario de la máquina ", dijeron los investigadores.

Las noticias de las dos fallas se producen semanas después de que Google publicara un código de prueba de concepto (PoC) escrito en JavaScript para demostrar Spectre en un navegador web y filtrar datos a una velocidad de 1 kilobyte por segundo (kB / s) cuando se ejecuta en Chrome. 88 en una CPU Intel Skylake.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

VirtualBox v6.1.14
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Use una VPN para la descarga desde el sitio oficial.

Suerte.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Comité de Infraestructura y Transporte de la Cámara de Representantes dijo el lunes que está investigando un lanzamiento espacial comercial de SpaceX que los reguladores determinaron que violó los requisitos de seguridad de EE. UU. y su licencia de prueba.

La Administración Federal de Aviación dijo en febrero que el lanzamiento de Starship SN8 de SpaceX en diciembre se llevó a cabo sin que la compañía demostrara que el riesgo público de "sobrepresión de explosión de campo lejano" estaba dentro de los criterios regulatorios".

La FAA dice que la sobrepresión de la explosión del campo lejano puede ser un peligro para el público si el vehículo de lanzamiento explota en el impacto, creando potencialmente una onda de choque que daña las ventanas en áreas relativamente alejadas del lugar del impacto.

El presidente del Comité de Transporte de la Cámara de Representantes, Peter DeFazio, y el representante Rick Larsen, que supervisa el subcomité de aviación, dijeron en una carta el jueves pasado a la FAA que "dada la naturaleza de alto riesgo de la industria, nos decepciona que la FAA se haya negado a realizar una revisión independiente del evento y, a nuestro leal saber y entender, no ha llevado a cabo ninguna forma de acción de ejecución ".

La carta decía que el personal del comité había estado examinando durante dos meses "las actividades de lanzamiento de SpaceX que, en conjunto, plantean serias dudas".

SpaceX no respondió a una solicitud de comentarios y la FAA se negó a comentar sobre la carta.

En febrero, la FAA dijo que había solicitado a SpaceX que investigara el incidente, incluida una revisión exhaustiva de su cultura de seguridad, "toma de decisiones operativas y disciplina de procesos".

La FAA ordenó que se suspendieran algunas pruebas en el sitio de lanzamiento de Boca Chica, Texas, hasta que se completara la investigación y aprobara las acciones correctivas de la compañía.

La FAA dijo que las acciones correctivas de SpaceX se incorporaron en un lanzamiento en febrero y que anticipó "no tomar más medidas de cumplimiento en el asunto SN8".

El propietario de SpaceX y director ejecutivo de Tesla, Elon Musk, tuiteó el domingo sobre un "posible vuelo de Starship mañana por la tarde". Dijo el lunes que "el inspector de la FAA no pudo llegar a Starbase a tiempo para el lanzamiento hoy. Pospuesto hasta mañana".

La FAA dijo el lunes que revisó la licencia de SpaceX a partir del 12 de marzo para requerir que un inspector de la FAA esté presente en cada vuelo de SpaceX. Como "resultado de la supervisión continua de SpaceX por parte de la FAA para garantizar el cumplimiento de las regulaciones federales para proteger la seguridad pública ... SpaceX debe proporcionar un aviso adecuado de su programa de lanzamiento para permitir que un inspector de seguridad de la FAA viaje a Boca Chica".

En enero, Musk tuiteó que la "división espacial de la FAA tiene una estructura reguladora fundamentalmente rota" y que "la humanidad nunca llegará a Marte" según sus reglas.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

CARACAS (Reuters) - El gobierno de Venezuela acusó el domingo a Facebook Inc de "totalitarismo digital" después de que congeló la página del presidente Nicolás Maduro durante 30 días por violar sus políticas contra la difusión de información errónea sobre COVID-19.

Facebook dijo a Reuters este fin de semana que también había eliminado un video en el que Maduro promocionaba Carvativir, un remedio hecho en Venezuela que, según afirma, sin evidencia, puede curar la enfermedad. Facebook dijo que siguió la guía de la Organización Mundial de la Salud (OMS) de que actualmente no existe ningún medicamento que pueda curar el virus.

En un comunicado el domingo, el Ministerio de Información de Venezuela dijo que Facebook perseguía "contenido orientado a combatir la pandemia" y describió a Carvativir como un retroviral de "producción e ingeniería nacionales".

"Estamos asistiendo a un totalitarismo digital ejercido por empresas supranacionales que quieren imponer su ley en los países del mundo", dijo el ministerio.

Facebook se negó a comentar.

Los médicos venezolanos han advertido que no se ha establecido el efecto de Carvativir sobre el coronavirus. El tratamiento se deriva del tomillo, una hierba que se ha utilizado durante siglos en la medicina tradicional.

Maduro, quien ha supervisado un colapso económico desde que asumió el cargo en 2013 y es etiquetado como un dictador por Washington y muchas otras naciones occidentales, dijo en un tuit el domingo que transmitiría su informe diario sobre el coronavirus en la cuenta de Facebook de su esposa, la primera dama. Cilia Flores.

El país sudamericano ha reportado 155.663 casos del nuevo coronavirus y 1.555 muertes. Esas cifras están por debajo de los niveles de muchos pares regionales, pero la oposición política del país dice que el número real de casos probablemente sea mucho mayor debido a la falta de pruebas.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El pasado 18 de marzo, Google hizo público que, a través de sus equipos de ciberseguridad interceptó un ataque de APTs y Drive-by de "nivel experto". Según la compañía, los atacantes explotaron 11 vulnerabilidades en Safari y Chrome que afectaban a dispositivos con iOS, Android y Windows.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Lo que Google omitió en su reporte fue que el ataque era en realidad una operación antiterrorista llevada a cabo por aliados de Estados Unidos.
La decisión unilateral del gigante de Mountain View comprometió una maniobra de inteligencia que llevaba nueve meses activa.
Un informe publicado por Technology Review, del MIT (Instituto Tecnológico de Massachusetts), asegura que la operación desmontada por Google, por medio de los equipos Project Zero y Threat AnalysisGroup, era llevada adelante por "agentes de gobiernos occidentales".

Pero la polémica más importante se dio en el interior de Google. La decisión de hacer pública la información tras la detención del hackeo provocó una división en la compañía.

Un grupo de empleados sostenía que la divulgación de operaciones antiterroristas estaba fuera de los límites de la compañía.

Otra parte creía que el anuncio era clave para fomentar un internet más seguro y con usuarios protegidos, y que esto se encuadraba en los derechos de la empresa.

Google, hackers, antiterroristas y un informe plagado de omisiones

En su anuncio, Google omitió quiénes eran responsables del hackeo y quiénes resultaban blanco del mismo, así como información técnica más detallada del malware y los sitios utilizados para distribuirlos.

La falta de este tipo de información, que de un modo u otro siempre sale a la luz en situaciones "normales", hizo arquear las cejas de expertos en seguridad. Uno de los más fuertes fue Ryan Naraine, quien criticó el secretismo de Google y calificó el reporte sobre el ataque de los hackers como un "agujero negro".

En su boletín, Naraine se quejó del repentino secreto de Google en torno a los ataques de 0-Day en Chrome. Google no lanzó IOCs para ayudar a los cazadores de malware a buscar señales de este actor en sus redes. No hubo hashes. No hubo información sobre los dominios afectados. No hay detalles técnicos sobre los servidores de exploits. No hay reglas de YARA. Sin firmas IDS. Sin perfil de víctima ni distribución geográfica. Nada, en realidad. Ahora queda claro porqué.

La operación antiterrorista que detectó Google consistía en la distribución de malware a través de sitios web infectados. Lo que habría llamado la atención del equipo de ciberseguridad habría sido la escala, sofisticación y velocidad del ataque, usando técnicas "nunca antes vistas".

Project Zero se especializa en encontrar y reparar lo que se conoce como "Zero-Day exploits". Por su parte, el equipo Threat Analysis Group es el que se encarga de identificar a los hackers y atribuir los ataques. Como ambos trabajaron en conjunto para detener esta operación, los datos a disposición hacen entender que internamente Google sabía con quiénes estaban lidiando.

El informe de Technology Review cita a un exoficial de inteligencia de Estados Unidos remarcando que las operaciones realizadas por países occidentales son reconocibles. «Existen ciertos sellos en las operaciones occidentales que no aparecen en las de otras entidades. Se los puede ver traducidos en el código», manifestó.

No es la primera vez que equipos de seguridad de compañías privadas detienen hackeos realizados por agentes de países aliados. Lo que no es común es que se hagan públicas estas maniobras, menos si son de hackers de gobiernos allegados a su propio país. Si Google detenía la operación antiterrorista, pero no publicaba un informe al respecto, nada hubiese sucedido, al menos para el público. Puertas adentro se podía manejar de otra manera.

Las corporaciones tecnológicas están obligadas a brindar productos seguros para sus usuarios. El trabajo de equipos como Project Zero es fundamental para lograrlo, pero es cierto que las operaciones de inteligencia y contrainteligencia tienen límites muy borrosos (si es que poseen alguno). Tal es así que se generan discusiones éticas posiblemente interminables y más cuando existen situaciones de vida o muerte.
Si queda algún aprendizaje de este gran lío es que aún resta mucho por hacer para eliminar vulnerabilidades en productos de acceso masivo como Safari y Chrome.
Y esto afecta tanto a ordenadores como a dispositivos móviles.

Fuentes:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Project Zero
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MIT Technology Review
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Me gustaría darle un cierre apropiado a la solicitud y pedido, de este kit de pentesting, interesantísimo, pues trae sus propios exploit creados por la compañía.

El asunto es que, cuando este tipo de herramientas se filtran hay que "pillarlas al vuelo", porque una vez que pasa de mano en mano es un riesgo enorme, dada la naturaleza de la propia herramienta, que es muy difícil ver si trae compromisos serios de seguridad en su uso. Dicho en otras palabras, puede costarle "carísimo".

Buscándolo, ya tarde, pues no me enteré de la filtración hasta las noticias, y me mostré escéptico (he tenido experiencias previas), me topo con que el admin del Foro "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login", lo sube y comparte.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este es un hacker que le asiste cierta trayectoria y reputación, por lo que me animé a descargarlo. Como él mismo declara, lo obtiene de RaidForums.

Al descargarlo me percato de que el zip tiene clave.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y él no la pone. Por lo que se deduce que no lo probó, sino se hubiera percatado del detalle al poner el link... cierto?

Busco en la fuente "RaidForums", donde tuve que abrirme una cuenta.

Aquí destaco, para los intrépidos, que existen distintos tipos de Foros dadas sus intenciones o visión creadora (así como riesgos).

Por ejemplo:

-Nuestro Foro está enfocado "al conocimiento", en la mayoría de sus apartados, a excepción del de pedidos y dudas generales.
-El Foro de "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login" (así como muchos otros) su principal misión está en responder interrogantes, dudas, etc., en todos sus apartados, no quita que aparezca un post dedicado a exponer un trabajo, herramienta, o forma de hacer novedosa; o se entremezclen.
-Y "RaidForums"... tiene cierto enfoque mercantilista, en el cual se vende y compra "básicamente", y así giran los intereses. Muy polémico, como se verá.

Me encuentro con que el post que comparte el Immunity Canvas 7.26 ya está cerrado, así como caído sus links (ver imagen: #1).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El hacker que lo comparte, llevaba cierta trayectoria en el Foro, al parecer obtiene de primera mano la fuga del Immunity Canvas.

Es versado y sabe de lo que habla. Asiste en los problemas que se les presenta a los usuarios: con las dependencias, versión de python, etc.

Pero se complica con un trato de negocios, en el cual le pagan por una herramienta de geolocalización de números de móviles, que aún no estaba terminada; pasa el tiempo, y el cliente no obtiene lo que pagó; da la impresión que "deseaba zafarse" estando ya el dinero de su lado, y viene un reclamo de estafa en el Foro, que fue donde se realizaron los acuerdos, con la exposición de la evidencia. El hacker sale en su defensa, alegando razones e intenciones opuestas y, "el final del culebrón" es que, el staff lo banea permanentemente (ver imagen: #2), debido a que, al fin y al cabo, no cumplió con sus obligaciones. Orgulloso, soberbio y dolido, elimina todos los links de las herramientas que había compartido, entre los cuales se encontraba el Canvas.

Él cuando comparte el Canvas, en un punto cambia el Link de descarga y el zip con clave, al parecer en ese hilo fue que "el-brujo" admin y propietario de"You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login", lo copia y descarga.

Se abre otro post con igual intensión:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y con idéntico resultado: links caídos.

Uno con pinta de pillo, en las respuestas, sugiere la herramienta compartida por el GitHub:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y un usuario, que es "gato redondo", como la mayoría de los que por allí deambulan, destaca el riesgo de estar copiando de fuentes desconocidas y aleatorias, por las "sorpresitas" que implican.

Y con ese pensamiento le pongo fin al tema (e investigación), para aquellos que desean y se animan a la aventura de obtener el kit.

Por favor, no obvien los riesgos ni se regalen.

Como diría mi gato:

"desconfíen primero... y desconfíen después,
que nunca el desconfiar fue delito"

Si la red social que él crea y de la cual es propietario, entra en conflicto con los estatutos y reglamentaciones de gobierno norteamericano, como incitación a la violencia, o manipulación de la opinión pública de manera tóxica y que incite a situaciones,; el gobierno norteamericano a través del Congreso, pude cerrarle la plataforma e impedir su uso en USA, a través de un dercreto de emergencia primero, y una ley aprobada después.

Todavía con las redes sociales se está mucho por ver, y la intervención de los Estados en su poder y alcance.

Por cierto, nadie ha mencionado los posibles nombres que pudiera darle a dicha red social.

Ya somos dos...

Mi gato opina que hay mucho maníaco gamer sin tratamiento suelto por ahí...

No hayamos otra explicación.

Para los comienzos le recomiendo un SO amigable como Ubuntu. Con él, si lo tiene actualizado, no tendrá problemas con las dependencias, que suelen amargarle la vida a los novatos. De ahí ir aprendiendo los comandos, compilar, etc.

También, como le sugirieron arriba, debe tener en cuenta qué es lo que desea aprender, para enfocarse en el SO apropiado. Por ejemplo muchos creen que el Kali Linux es un todoterreno fácil, y se topan con muchos dolores de cabeza, sobretodo en el medio wireless, y en general.

Suerte.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha lanzado actualizaciones de seguridad para abordar un error de zero day de iOS, explotado activamente en el terreno y que afecta a los dispositivos iPhone, iPad, iPod y Apple Watch.

"Apple está al tanto de los informes de que existe un exploit para este problema", dijo la compañía en un aviso de seguridad publicado hoy.

La vulnerabilidad rastreada como CVE-2021-1879 fue reportada por Clement Lecigne de Google Threat Analysis Group y Billy Leonard de Google Threat Analysis Group.

El zero day se descubrió en el motor del navegador Webkit y permite a los atacantes lanzar ataques universales de secuencias de comandos entre sitios, después de engañar a los objetivos para que abran contenido web creado con fines maliciosos en sus dispositivos.

La lista de dispositivos afectados incluye:

    iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores, e iPod touch (séptima generación).
    iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (sexta generación)
    Apple Watch Series 3 y posterior

Los zero day fueron abordados por Apple hoy al mejorar la administración de la vida útil de los objetos en iOS 14.4.2, iOS 12.5.2 y watchOS 7.3.3.

"Esta actualización proporciona importantes actualizaciones de seguridad y se recomienda para todos los usuarios", les dice Apple a los usuarios que actualizan a la última versión de iOS.

Séptimo  zero day parcheado en los últimos cinco meses

Apple parcheó otros dos conjuntos de zero day de iOS explotados en el terreno, en enero de 2021 y noviembre de 2020, informados por un investigador anónimo y por el Project Zero, el equipo de búsqueda de errores de zero day de Google.

En enero, la compañía corrigió un error de condición de carrera en el kernel de iOS (registrado como CVE-2021-1782) y dos fallas de WebKit (rastreadas como CVE-2021-1870 y CVE-2021-1871).

En noviembre, Apple parcheó otros tres zero day de iOS: un error de ejecución de código remoto (CVE-2020-27930), una pérdida de memoria del kernel (CVE-2020-27950) y una falla de escalamiento de privilegios del kernel (CVE-2020-27932) —Que afectan a los dispositivos iPhone, iPad y iPod.

Project Zero reveló recientemente que un grupo de piratas informáticos utilizó 11 zero day en ataques dirigidos a usuarios de Windows, iOS y Android en un solo año.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las cuentas de correo electrónico de varios miembros del Parlamento alemán fueron blanco de un ataque de phishing. Aún no se sabe si se robaron datos durante el incidente.

El ataque se llevó a cabo mediante el envío de correos electrónicos de phishing, enviados a los correos electrónicos privados de los políticos alemanes, como informó Der Spiegel el viernes.

Se cree que los atacantes pudieron acceder a las cuentas de correo electrónico de siete miembros del parlamento federal alemán (Bundestag) y 31 miembros de los parlamentos regionales alemanes.

La mayoría de los parlamentarios objeto de este ataque son parte de los partidos gobernantes CDU / CSU y SPD.

Un portavoz del Bundestag dijo que los atacantes no tenían como objetivo la red del Bundestag. Una vez detectado el ataque, se notificó de inmediato a todos los parlamentarios afectados.

Hackers estatales rusos probablemente están detrás del ataque

Las autoridades de seguridad alemanas sospechan que un grupo de piratería de inteligencia militar rusa apodado Ghostwriter estuvo detrás del ataque.

Según la firma de ciberseguridad FireEye, Ghostwriter ha estado ejecutando "operaciones de información" impulsando narrativas alineadas con los intereses de seguridad rusos desde marzo de 2017.

El grupo de piratería ha utilizado personajes inventados que se hacen pasar por periodistas y analistas para dirigirse a las audiencias de Lituania, Letonia y Polonia con narrativas contra la Organización del Tratado del Atlántico Norte (OTAN) difundidas, utilizando sitios web comprometidos y cuentas de correo electrónico falsificadas.

"La campaña Ghostwriter aprovecha la actividad tradicional de amenazas cibernéticas y las tácticas de operaciones de información para promover narrativas destinadas a socavar la cohesión de la OTAN y socavar el apoyo local a la organización en Lituania, Letonia y Polonia", dijo FireEye.

Miembros de APT28 sancionados por un ataque similar

El Consejo de la Unión Europea sancionó a varios miembros del grupo de piratería APT28 respaldado por el estado ruso en octubre de 2020 por su participación en la piratería de las cuentas de correo electrónico de varios miembros del Bundestag en 2015.

En agosto de 2020, Noruega reveló un ataque sorprendentemente similar que también provocó la violación de varias cuentas de correo electrónico pertenecientes a representantes y empleados del Parlamento noruego.

La ministra de Asuntos Exteriores de Noruega, Ine Eriksen Søreide, reveló más tarde que el ataque de agosto fue coordinado por piratas informáticos estatales rusos que robaron información de cada una de las cuentas pirateadas. El Servicio de Seguridad de la Policía de Noruega dijo que el APT28 probablemente estaba detrás de la intrusión.

Los piratas informáticos estatales patrocinados por Rusia también fueron vinculados a un ataque contra el gobierno de Ucrania por parte del Consejo de Seguridad y Defensa Nacional de Ucrania (NSDC).

El NCSC dijo que los atacantes intentaron violar las agencias estatales después de comprometer el sistema de gestión de documentos del gobierno.

El Comando Cibernético de EE. UU. también compartió información sobre implantes de malware utilizados por piratas informáticos estatales rusos en ataques dirigidos a parlamentos nacionales, ministerios de relaciones exteriores y embajadas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

(CNN) — El expresidente Donald Trump regresará a las redes sociales, pero esta vez con su propia red, le comentó un portavoz de Trump a Fox News el domingo.

Jason Miller, asesor desde hace mucho tiempo de Trump y portavoz de la campaña 2020, le dijo a Howard Kurtz en «MediaBuzz» de Fox, que Trump «regresará a las redes sociales en probablemente unos dos o tres meses».

Agregó que el regreso del exmandatario será con «su propia plataforma» que atraerá a «decenas de millones» de nuevos usuarios y «redefinirá por completo el juego».

«Esto es algo que creo será muy atractivo en las redes sociales», dijo Miller a Kurtz. «Va a redefinir completamente el juego, y todos esperarán para ver lo que hace el presidente Trump, pero será su propia plataforma».

Miller dijo durante su aparición en Fox News que numerosas empresas se han acercado al expresidente y que está en conversaciones con equipos sobre la nueva plataforma.

«Esta nueva plataforma será grande», aseguró Miller el domingo. «Todos lo quieren y él traerá millones y millones, decenas de millones, a esta plataforma».

El anuncio se produce después de que Trump fue suspendido permanentemente de Twitter y otras plataformas sociales, como Facebook, luego de su incitación a los disturbios en el Capitolio de EE.UU. el 6 de enero, donde cientos de partidarios de Trump irrumpieron en el edificio del Capitolio; un incidente en el que fallecieron cinco personas.

Tras la prohibición de Trump en Twitter, Jared Kushner, yerno y asesor principal del expresidente, intervino cuando otros asistentes intentaron que Trump participara en plataformas de redes sociales alternativas como Parler y Gab.

Fuente:
CNN en Español
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

(Reuters) - En un momento en que las agencias estadounidenses y miles de empresas están luchando contra las principales campañas de piratería que se originan en Rusia y China, está resurgiendo un tipo diferente de amenaza cibernética: los piratas informáticos activistas que buscan hacer un punto político.

Tres importantes hacks muestran el poder de esta nueva ola de "hacktivismo"

La exposición de la videovigilancia impulsada por la inteligencia artificial realizada por la startup Verkada, una colección de videos de disturbios del 6 de enero de la red social de derecha Parler, y la divulgación de aparato de vigilancia de alta tecnología de la junta militar de Myanmar.

Y la respuesta del gobierno de Estados Unidos muestra que los funcionarios miran con alarma el regreso del hacktivismo.
Una acusación la semana pasada acusó a Tillie Kottmann, de 21 años de edad, un hacker suizo que se atribuyó el mérito de la violación de Verkada, de una amplia conspiración.

"Envolverse uno mismo en un motivo supuestamente altruista no elimina el hedor criminal de tal intrusión, robo y fraude", dijo la Fiscal Federal Interina con sede en Seattle, Tessa Gorman.

Según una estrategia de contrainteligencia de EE. UU. lanzada hace un año, "entidades motivadas ideológicamente como hacktivistas, filtradores y organizaciones de divulgación pública", ahora se consideran "amenazas importantes", junto con cinco países, tres grupos terroristas y " organizaciones  de delincuentes transnacionales".

Las primeras oleadas de hacktivismo, en particular por parte del colectivo amorfo conocido como Anonymous a principios de la década de 2010, se desvanecieron en gran medida bajo la presión de las fuerzas del orden.

Pero ahora una nueva generación de hackers jóvenes, muchos enojados por cómo funciona el mundo de la ciberseguridad y molestos por el papel de las empresas de tecnología en la difusión de propaganda, se está uniendo a la refriega.

Y algunos ex miembros de Anonymous están regresando al campo, incluido Aubrey Cottle, quien ayudó a revivir la presencia del grupo en Twitter el año pasado en apoyo de las protestas de Black Lives Matter.

Los seguidores anónimos llamaron la atención por interrumpir una aplicación que el departamento de policía de Dallas estaba usando para presentar quejas sobre manifestantes, al inundarla con tráfico sin sentido. También arrebataron el control de los hashtags de Twitter promovidos por seguidores de la policía.

"Lo interesante de la ola actual del archivo de Parler y de la piratería y filtración de Gab, es que el hacktivismo apoya la política antirracista o la política antifascista", dijo Gabriella Coleman, antropóloga de la Universidad McGill de Montreal, que escribió un libro sobre Anonymous.

Gab, una red social favorecida por los nacionalistas blancos y otros extremistas de derecha, también se ha visto afectada por la campaña hacktivista y tuvo que cerrar durante breves períodos después de las infracciones.

INTERRUPCIÓN DE QANON

Más recientemente, Cottle se ha centrado en QAnon y los grupos de odio.

"QAnon tratando de adoptar Anonymous y fusionarse con Anonymous propiamente dicho, fue la gota que colmó el vaso", dijo Cottle, quien ha tenido varios trabajos de ingeniería y desarrollo web, incluido un período en Ericsson.

Encontró datos de correo electrónico que mostraban que las personas a cargo del tablero de imágenes de 8kun, donde la persona conocida como Q publicaba, estaban en contacto constante con los principales promotores de las conspiraciones de QAnon.

Los hacktivistas de la nueva ola también tienen un lugar preferido para colocar los materiales que quieren hacer públicos:

Distributed Denial of Secrets, un sitio de transparencia que tomó el manto de WikiLeaks con menos sesgo geopolítico.
El colectivo del sitio está dirigido por Emma Best, una estadounidense conocida por presentar prolíficas solicitudes de libertad de información.

El sitio de Best de dos años coordina el acceso de investigadores y medios de comunicación a un montón de publicaciones tomadas de Gab por piratas informáticos no identificados.

En un ensayo de esta semana, Best elogió a Kottmann y dijo que seguirían llegando filtraciones, no solo de los hacktivistas, sino también de los conocedores y los operadores de ransomware que publican archivos cuando las empresas no los pagan.

"Las acusaciones como la de Tillie muestran cuán asustado está el gobierno y cuántas corporaciones consideran que la vergüenza es una amenaza mayor que la inseguridad", escribió Best aquí.

Los eventos cubiertos por la acusación de Kottmann aquí tuvieron lugar desde noviembre de 2019 hasta enero de 2021.
La acusación principal es que el desarrollador de software de Lucerne y sus asociados irrumpieron en varias empresas, eliminaron el código de computadora y lo publicaron.

La acusación también dijo que Kottmann habló con los medios de comunicación sobre las malas prácticas de seguridad de las víctimas y se beneficiaría, aunque solo fuera vendiendo camisetas que decían cosas como "anticapitalista de riesgo" y "pirata informático".

Pero fue solo después de que Kottmann se atribuyó públicamente el crédito por violar Verkada y publicó videos alarmantes desde el interior de grandes empresas, instalaciones médicas y una cárcel que las autoridades suizas allanaron su casa a instancias del gobierno de los Estados Unidos. Kottmann usa pronombres no binarios.

"Esta medida del gobierno de Estados Unidos es claramente no solo un intento de interrumpir la libertad de información, sino también principalmente de intimidar y silenciar esta nueva ola emergente de hacktivistas y filtradores", dijo Kottmann en una entrevista con Reuters.

Kottmann y su abogado se negaron a discutir los cargos estadounidenses de fraude electrónico por algunas de las declaraciones en línea de Kottmann, robo de identidad agravado por usar credenciales de empleados y conspiración, que en conjunto son suficientes para una larga sentencia de prisión.

El FBI rechazó una solicitud de entrevista.
Si busca la extradición, Suiza determinaría si las supuestas acciones de Kottmann habrían violado las leyes de ese país.

Un gran cambio con respecto a la era anterior de hacktivisimo es que, los piratas informáticos ahora pueden ganar dinero legalmente, informando las debilidades de seguridad que encuentran a las empresas involucradas o aceptando trabajos en empresas de ciberseguridad.

Pero algunos ven los llamados programas de recompensas por errores y la contratación de piratas informáticos para que entren en los sistemas y encuentren debilidades, como mecanismos para proteger a las empresas que deberían estar expuestas.

"No vamos a piratear y ayudar a proteger a nadie que creemos que está haciendo algo extremadamente poco ético", dijo John Jackson, un investigador estadounidense que trabaja con Cottle en proyectos sobre el suelo. "No vamos a piratear empresas de vigilancia y ayudarlas a proteger su infraestructura".

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Hacker del Ransomware de Tesla se declara "Culpable" y un Hacktivista Suizo es acusado de Fraude

El Departamento de Justicia de EE.UU. anunció  las novedades de dos casos distintos relacionados con ciberataques: un hacktivista suizo y un pirata informático ruso que planeaba plantar malware en la empresa Tesla.

El hacker suizo (Till Kottmann) que participó en la intrusión de la empresa de vigilancia en la nube Verkada y que expuso las imágenes de las cámaras de sus clientes, fue acusado el jueves por el Departamento de Justicia de Estados Unidos (DoJ) de conspiración, fraude electrónico y robo de identidad.

Se alega que Kottmann clonó el código fuente y otros archivos confidenciales que contenían credenciales administrativas y claves de acceso codificadas. Además, los fiscales dijeron que la Oficina Federal de Investigación de Estados Unidos (FBI) cerró el dominio que se utilizó para publicar los datos.

La larga lista de víctimas por el ataque a Verkada incluye a Nissan, Intel, Mercedes-Benz y muchas otras, obteniendo así acceso a más de 150.000 cámaras de la compañía instaladas en diversos lugares que van desde almacenes de Tesla hasta gimnasios, hospitales psiquiátricos y clínicas de salud.

Kottmann, dijo que la brecha «expone lo ampliamente que estamos siendo vigilados, y el poco cuidado que se pone al menos en la seguridad de las plataformas utilizadas para ello, persiguiendo únicamente el beneficio», al tiempo que intentaba justificar sus acciones como parte de una «lucha por la libertad de información y contra la propiedad intelectual».

Por otro lado, un ciudadano ruso se declaró culpable de ofrecer a un empleado de Tesla un millón de dólares para plantar un ransomware en la planta Gigafactory del fabricante de coches eléctricos en Nevada.

Según los documentos judiciales, el sospechoso, Egor Igorevich Kriuchkov, de 27 años, viajó a Estados Unidos en julio y se puso en contacto con un empleado de habla rusa en un intento de instalar un malware en la red informática de la empresa con el objetivo de exfiltrar datos para pedir un rescate.

Pero el plan de extorsión se vino abajo después de que el empleado en cuestión alertara a la empresa del incidente, que entonces involucró al FBI en el asunto. Kriuchkov declaró ante un tribunal en septiembre que el gobierno ruso estaba al tanto del hackeo planeado, pero el FBI y los abogados no han alegado que hubiera vínculos con el Kremlin.

Kriuchkov, que previamente negó cualquier delito en septiembre ante un juez magistrado federal, el jueves se declaró culpable de un cargo de conspiración para causar daño a un ordenador protegido intencionalmente. Está previsto que sea condenado el 10 de mayo.

«Este caso pone de relieve el compromiso de nuestra oficina de proteger los secretos comerciales y otra información confidencial perteneciente a las empresas estadounidenses, lo que es cada vez más importante a medida que Nevada se convierte en un centro de innovación tecnológica», declaró el fiscal federal en funciones del distrito de Nevada, Christopher Chiou. «Junto con nuestros socios encargados de hacer cumplir la ley, seguiremos dando prioridad a impedir que los ciberdelincuentes perjudiquen a las empresas y los consumidores estadounidenses».

Más información:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad de Sucuri han compartido ideas sobre una estrategia de exfiltración de datos diferente, activa en el terreno.
Como se detalla en su publicación, la nueva técnica implica el uso de la API de Telegram para robar datos de sitios web.

En resumen, la técnica se basa en la inyección de código, donde el código transmite directamente los datos del objetivo desde el sitio infectado a los atacantes a través de un mensaje privado a su bot.

Los investigadores detectaron el código malicioso que se ejecutaba en la página de inicio de sesión (wp-login.php) de un sitio web de WordPress. Esta ubicación permitió a los atacantes robar las credenciales de los usuarios directamente.

En el caso de los administradores, dicho robo de datos conduce directamente a la toma de control del sitio web.

Como se observó, los atacantes inicialmente habían ordenado al código que almacenara datos en un archivo .txt. Sin embargo, luego modificaron el código para incluir la transmisión de datos al bot de Telegram.

"El atacante usa file_get_contents para realizar su solicitud remota a la URL de la API de Telegram, lo que les permite transmitir los datos robados sin dejar mucha evidencia de la exfiltración en el servidor. Agregar esta función también permite al atacante acceder a los datos robados en tiempo real, en lugar de tener que verificar un archivo de texto para ver si hay información capturada."

Mitigaciones recomendadas

Si bien el ataque posee una gran capacidad para ejecutarse sigilosamente, aun así, los propietarios de sitios web pueden prevenir tales ataques estando alerta.

Al proteger los sitios web con un firewall de aplicaciones web y al emplear todas las medidas de seguridad básicas, los propietarios de sitios web pueden evitar significativamente que los atacantes inyecten códigos maliciosos en sus sitios.

Sin embargo, estas medidas no garantizan el 100% de seguridad ya que los atacantes continúan improvisando sus estrategias de ataque.

Fuente:
Latest hacking news

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de SySS, Michael Strametz y Matthias Deeg, han encontrado un grave problema de seguridad en la aplicación de videoconferencia de Zoom.

Específicamente, encontraron una falla en la función de compartir pantalla de Zoom que potencialmente puede exponer información confidencial del usuario.

Al describir el problema técnico en un aviso, SySS declaró:

"Cuando un usuario de Zoom comparte una ventana de aplicación específica a través de la función "compartir pantalla", otros participantes de la reunión pueden ver brevemente el contenido de otras ventanas de aplicación que no se compartieron explícitamente.
El contenido de las ventanas de aplicaciones no compartidas puede, por ejemplo, ser visto por otros usuarios durante un corto período de tiempo cuando esas ventanas se superponen a la ventana de la aplicación compartida y se enfocan.
Dependiendo de los datos compartidos involuntariamente, esta breve exposición del contenido de la pantalla puede ser un problema de seguridad más o menos grave."

Aunque, la falla aparentemente parece inofensiva ya que la exposición de información no intencional ocurre solo por un breve período. Sin embargo, puede convertirse en un problema grave si los otros usuarios utilizan una herramienta de grabación de pantalla durante las conferencias. Esto permitirá recuperar esa información expuesta accidentalmente después de acceder a las grabaciones de video.

Sin parche todavía

Los investigadores han presentado el PoC para esta vulnerabilidad (CVE-2021-28133) en el siguiente video:



Podrían encontrar fácilmente esta falla en las versiones 5.4.3 (54779.1115) y 5.5.4 (13142.0301) de los clientes Zoom de Windows y Linux.

Al descubrir la falla, se comunicaron con el equipo de Zoom para informar el error en diciembre de 2020.
Si bien Zoom reconoció la vulnerabilidad en el mismo mes, aún no han publicado una solución.

No obstante, han asegurado estar trabajando en ello. Por lo tanto, hasta que haya una solución disponible, los usuarios de Zoom deben tener mucho cuidado al compartir pantallas durante las videoconferencias.

Si los usuarios necesitan compartir pantallas, deben evitar abrir cualquier otra aplicación al mismo tiempo que no tengan la intención de compartir con los participantes.

Fuente:
Latest hacking news
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vulnerabilidades en Chrome

En estos meses, se han descubierto varias vulnerabilidades en Google Chrome, la más grave de las cuales podría permitir la ejecución de código arbitrario. Dependiendo de los privilegios asociados con la aplicación, un atacante podría ver, cambiar o eliminar datos.

Google ha publicado recientemente una nueva versión de Chrome, 89.0.4389.90, que incluye parches para 5 vulnerabilidades de severidad alta. En la publicación de marzo, Google advierte que la vulnerabilidad con CVE-2021-21193 está siendo explotada activamente y, que existe una PoC (video) de la CVE-2021-21123, corregida en enero y por la cual Google pagó 50 000 USD en premios.

Por eso se pide los usuarios a actualizar a la mayor brevedad posible.

Vulnerabilidad en Android

Google ha revelado que se está explotando una vulnerabilidad (ahora parcheada) que afecta a los dispositivos Android que usan conjuntos de chips de Qualcomm para lanzar ataques dirigidos.

Identificada como CVE-2020-11261 (CVSS puntuación 8.4), la falla se refiere a un problema de "validación de entrada incorrecta" en el componente de gráficos de Qualcomm que podría explotarse cuando una aplicación diseñada por un atacante solicita acceso a una gran parte de la memoria del dispositivo. CVE-2020-11261 fue descubierto e informado a Qualcomm por el equipo de seguridad de Android de Google el 20 de julio de 2020, después de lo cual se solucionó en enero de 2021.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Hay indicios de que CVE-2020-11261 puede estar bajo una explotación limitada y dirigida", dijo el gigante en un boletín de seguridad actualizado de enero el 18 de marzo.

Vale la pena señalar que el vector de acceso para la vulnerabilidad es "local", lo que significa que la explotación requiere acceso local al dispositivo. En otras palabras, para lanzar un ataque exitoso, el actor malintencionado debe tener acceso físico al teléfono vulnerable o usar otros medios, por ejemplo, un Watering Hole, para entregar el código malicioso y desencadenar el ataque.

Si bien no se han revelado detalles específicos sobre los ataques, la identidad del atacante y las víctimas objetivo, no es inusual que Google no comparta dicha información para evitar que otros actores de la amenaza aprovechen la vulnerabilidad.

En todo caso, el desarrollo subraya una vez más la necesidad de instalar rápidamente actualizaciones de seguridad mensuales tan pronto como estén disponibles para evitar que los dispositivos Android sean explotados.

Fuentes:
Hacking Land (spanish version)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

The Hacker News (english version)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ciberdelincuentes aprovechan la popularidad de Clubhouse para distribuir un troyano para Android capaz de robar información de inicio de sesión de cientos de servicios en línea.

El investigador de ESET Lukas Stefanko, especialista en malware, ha descubierto recientemente una aplicación para Android que simula ser la app de Clubhouse, la red social diseñada con el fin de fomentar conversaciones y debates sobre todo tipo de temáticas a la que, por el momento, se accede únicamente mediante invitación.

El troyano, que ha sido denominado BlackRock, es distribuido desde un sitio web que simula el sitio oficial, y tiene la capacidad de robar credenciales de acceso de servicios tales como Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA o Lloyds Bank, según se indica en la publicación de ESET.

Sitio web fraudulento para la descarga de la falsa app

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"El sitio web parece el auténtico. Para ser franco, es una copia bien lograda del sitio web legítimo de Clubhouse. Sin embargo, una vez que el usuario hace clic en 'Obtenerla en Google Play', la aplicación se descargará automáticamente en el dispositivo del usuario. Tengamos presente que los sitios web legítimos siempre redirigen al usuario a Google Play en lugar de descargar directamente el Android Package Kit (APK)"
Lukas Stefanko, investigador de malware de ESET

Una vez la víctima descarga e instala el troyano, este intentará robar las credenciales de cualquiera de los servicios que estén en su lista de interés mediante overlays o superposición de pantallas, una técnica muy popular entre los troyanos bancarios.

Proceso de instalación de la aplicación maliciosa

A grandes rasgos, el funcionamiento es el siguiente.

El software malicioso obtendrá la lista de servicios instalados en el dispositivo y después determinará sobre cuales debe realizar el ataque.
Posteriormente, será necesario detectar en qué instante el usuario inicia el servicio. De esta forma, el troyano podrá superponer en el momento justo una pantalla que simulará solicitar de forma legítima las credenciales del usuario para el servicio concreto, pudiendo engañar a este para que introduzca su información de acceso.

Tal como explican en el artículo publicado por ESET, en este caso el usar doble factor de autenticación mediante SMS no sería necesariamente de gran ayuda a la hora de evitar el acceso a las cuentas, dado que este troyano es capaz de interceptar los mensajes de texto.

Como vemos, la creciente popularidad de Clubhouse, así como los planes de lanzamiento de su aplicación para la plataforma Android, son un buen anzuelo que puede llevar a engañar a multitud de usuarios.

Por esta razón, es bueno recordar la importancia de seguir algunas buenas prácticas como descargar las aplicaciones desde plataformas oficiales, mantener nuestros dispositivos actualizados o revisar los permisos que se otorgan a las aplicaciones que vamos a instalar.

Fuentes:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WeLiveSecurity by ESET
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

 You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este es un relato en primera persona sobre la deficiencias del DNI Argentino y como se puede manipular el sistema de vacunación actual, falseando datos, usando para ello el número de DNI, el número de trámite o el código de barra PDF147.

1. Lo primero que me llamó la atención es que hace más de un año varios comentaban por Twitter que el número de trámite (o el código PDF417) se usaba en ANSES como clave de ingreso y empecé a negarme a que me fotocopiaran el DNI en los envíos de ML. Al principio alguno se quejó pero después aceptaron que tape ese número.

2. Yo vivo en Provincia de Buenos Aires, así que para registrarme para la vacuna lo hice a través de este formulario: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Al finalizar, no me enviaron ningún correo de confirmación así que me bajé la app "vacunatepba" y ahí apareció por primera vez el pedido de número de trámite.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

3. Aquí, como se puede verse, no se solicita el correo electrónico con que me registré la primera vez.

4. Como en la app tampoco me figuraba que estaba registrado (ahora si aparece) me pasaron este sitio web: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Como se puede ver, esto parece simular algún tipo de SSO (con DNI y trámite) y en RENAPER aparecen los mismos campos de entrada de la app:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

5. Este es un problema: cualquier persona con una copia de tu DNI podría ver tus datos, el DNI, el número de trámite y el PDF417. Además, los datos se pueden editar e inclusive se puede modificar el correo electrónico.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

6. Peor que el correo, también se puede editar el "Grupo poblacional" que es lo que determina la prioridad en los turnos para la vacunación (junto con la edad).

7. Uno podría pensar que la suplantación de identidad no tiene mucho sentido, más que perjudicar bajando la prioridad del turno pero hoy en día con los problemas de la vacunación VIP se podría incriminar a personas conocidas de alterar el grupo para recibir preferencias.

El Estado utiliza el número de trámite para otras actividades (como ANSES, AFIP, RENAPER, TAD, VACUNAR, etc.) pero me llamo poderosamente la atención que ninguno de mis conocidos nunca se había planteado tapar estos datos (trámite y PDF417).

Las soluciones a este diseño incorrecto del flujo de programa puede ser un segundo factor de autenticación a través del teléfono o del correo electrónico o directamente a través del reconocimiento facial.

La recomendación es la misma: NUNCA brindes tu número de trámite ni el código PDF417 a un tercero. Si alguien tiene una copia del DNI, y de ese dato en particular, puede hacerse pasar por otra persona.

Entonces, ¿es posible falsear el registro para vacunarse en Argentina con el DNI y número de trámite?
El tiempo (y los delincuentes) lo dirán.

Fuentes:
Marcos F. para Segu-Info
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login