Google ha lanzado actualizaciones de seguridad de marzo de 2023 para Android, corrigiendo un total de 60 fallas y, entre ellas, dos vulnerabilidades de ejecución remota de código (RCE) de gravedad crítica que afectan a los sistemas Android que ejecutan las versiones 11, 12 y 13.

Las fallas corregidas esta vez se entregan a través de dos niveles de parches de seguridad separados, a saber, 2023-03-01 y 2023-03-05. El primer paquete contiene 31 correcciones para componentes principales de Android como Framework, System y Google Play.

"El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin privilegios de ejecución adicionales necesarios", se lee en el boletín de seguridad.

"La interacción del usuario no es necesaria para la explotación".

Las dos fallas se rastrean como CVE-2023-20951 y CVE-2023-20954, mientras que Google ha retenido toda la información sobre ellas para evitar ayudar a los atacantes a participar en la explotación activa antes de que los usuarios puedan aplicar las actualizaciones disponibles.

Las 29 correcciones restantes en el primer nivel de parche se refieren a la escalada de privilegios de alta gravedad, la divulgación de información y los problemas de denegación de servicio.

El nivel de parche 2023-03-05 contiene 29 correcciones para el kernel de Android y componentes de proveedores de terceros de MediaTek, Unisoc y Qualcomm.

Los problemas más graves solucionados este mes son dos fallas de gravedad crítica en los componentes de código cerrado de Qualcomm, rastreados como CVE-2022-33213 y CVE-2022-33256.

El resto de los defectos para este nivel de parche son vulnerabilidades de alta gravedad de tipo indefinido.

Para actualizar su dispositivo Android, diríjase a Configuración → Actualización del sistema → del sistema y haga clic en el botón "Buscar actualizaciones". Alternativamente, puede navegar a Configuración → Seguridad y privacidad → actualizaciones → Seguridad update.

Si utilizas Android 10 o una versión anterior, tu dispositivo ha llegado al final de su vida útil (EoL) desde septiembre de 2022 (para v10) y no recibirá correcciones por los defectos anteriores.

Sin embargo, algunas correcciones de seguridad importantes pueden llegar a ellos a través de las actualizaciones del sistema de Google Play, accesibles a través de Configuración → Actualizaciones de seguridad y privacidad → → actualización del sistema de Google Play.

Se recomienda a los usuarios de dispositivos más antiguos que aún funcionan que cambien a una distribución activa de Android de terceros, como LineageOS o GrapheneOS, que ofrece imágenes actualizadas del sistema operativo para dispositivos que ya no son compatibles con sus OEM.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El gigante informático taiwanés Acer confirmó que sufrió una violación de datos después de que los actores de amenazas piratearan un servidor que alojaba documentos privados utilizados por técnicos de reparación.

Sin embargo, la compañía dice que los resultados de su investigación hasta ahora no indican que este incidente de seguridad haya afectado los datos de los clientes.

La confirmación de una violación de datos se produce después de que un actor de amenazas comenzó a vender en un popular foro de piratería lo que afirman son 160 GB de datos robados de Acer a mediados de febrero de 2023.


El actor de amenazas afirma que los datos robados contienen manuales técnicos, herramientas de software, detalles de infraestructura de backend, documentación del modelo de producto para teléfonos, tabletas y computadoras portátiles, imágenes de BIOS, archivos ROM, archivos ISO y claves de producto digital de reemplazo (RDPK).

Como prueba de que robaron datos, el actor de amenazas compartió capturas de pantalla de esquemas técnicos para la pantalla Acer V206HQL, documentos, definiciones de BIOS y documentos confidenciales.

El póster de los datos decía que estaban vendiendo todo el conjunto de datos al mejor postor, aclarando que solo aceptarían la criptomoneda difícil de rastrear Monero (XMR) como forma de pago.

Después de contactar a Acer sobre la violación de datos, un portavoz de la compañía confirmó a BleepingComputer que sufrió una violación en uno de sus servidores de documentos.

"Recientemente hemos detectado un incidente de acceso no autorizado a uno de nuestros servidores de documentos para técnicos de reparación.

Si bien nuestra investigación está en curso, actualmente no hay indicios de que se hayan almacenado datos de consumidores en ese servidor".

Esta violación se produce después de que Acer sufriera otros incidentes de seguridad en los últimos años.

En marzo de 2021, el fabricante de computadoras fue golpeado por la pandilla de ransomware REvil, exigiendo un pago de rescate récord de $ 50,000,000 a cambio de un descifrador mientras amenazaba con filtrar documentos financieros confidenciales.

En octubre de 2021, Acer confirmó que sus sistemas de posventa en India habían sido violados. Más de 60 GB de datos fueron robados de sus servidores, incluidos los registros de decenas de miles de clientes, distribuidores y minoristas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo sospechoso de amenaza persistente avanzada (APT) alineado con Pakistán conocido como Transparent Tribe ha sido vinculado a una campaña de espionaje cibernético en curso dirigida a usuarios de Android indios y paquistaníes con una puerta trasera llamada CapraRAT.

"Transparent Tribe distribuyó la puerta trasera de Android CapraRAT a través de aplicaciones de mensajería segura y llamadas troyanizadas con la marca MeetsApp y MeetUp", dijo ESET en un informe compartido con The Hacker News.

Se estima que hasta 150 víctimas, probablemente con inclinaciones militares o políticas, han sido atacadas, con el malware (com.meetup.app) disponible para descargar de sitios web falsos que se hacen pasar por los centros de distribución oficiales de estas aplicaciones.

Se sospecha que los objetivos son atraídos a través de una estafa romántica de trampa de miel en la que el actor de amenazas se acerca a las víctimas a través de otra plataforma y las persuade para que instalen las aplicaciones con malware con el pretexto de mensajes y llamadas "seguras".

Sin embargo, las aplicaciones, además de ofrecer la funcionalidad prometida, vienen implantadas con CapraRAT, una versión modificada del código abierto AndroRAT que fue documentada por primera vez por Trend Micro en febrero de 2022 y que exhibe superposiciones con un malware de Windows conocido como CrimsonRAT.


La puerta trasera está repleta de un amplio conjunto de características que le permiten tomar capturas de pantalla y fotos, grabar llamadas telefónicas y audio circundante, y filtrar otra información confidencial. También puede hacer llamadas, enviar mensajes SMS y recibir comandos para descargar archivos.

Dicho esto, los usuarios también deben crear una cuenta vinculando sus números de teléfono y completando un paso de verificación por SMS para acceder a las funcionalidades de la aplicación.

La compañía eslovaca de ciberseguridad declaró que la campaña está estrechamente dirigida y que no encontró evidencia que indique que las aplicaciones estaban disponibles en Google Play Store.

Transparent Tribe, también conocida como APT36, Operación C-Major y Mythic Leopard, se atribuyó recientemente a otro conjunto de ataques dirigidos a organizaciones gubernamentales indias con versiones maliciosas de una solución de autenticación de dos factores llamada Kavach.

Los hallazgos también llegan semanas después de que la firma de ciberseguridad ThreatMon detallara una campaña de spear-phishing por parte de actores de SideCopy dirigida a entidades gubernamentales indias con el objetivo de implementar una versión actualizada de una puerta trasera conocida como ReverseRAT.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una versión anterior de la aplicación Android de Shein sufría de un error que periódicamente capturaba y transmitía el contenido del portapapeles a un servidor remoto.

El equipo de investigación de Microsoft 365 Defender dijo que descubrió el problema en la versión 7.9.2 de la aplicación que se lanzó el 16 de diciembre de 2021. Desde entonces, el problema se ha abordado a partir de mayo de 2022.

Shein, originalmente llamado ZZKKO, es un minorista chino de moda rápida en línea con sede en Singapur. La aplicación, que actualmente está en la versión 9.0.0, tiene más de 100 millones de descargas en Google Play Store.

El gigante tecnológico dijo que no es "específicamente consciente de ninguna intención maliciosa detrás del comportamiento", pero señaló que la función no es necesaria para realizar tareas en la aplicación.


Además, señaló que el lanzamiento de la aplicación después de copiar cualquier contenido al portapapeles del dispositivo activó automáticamente una solicitud HTTP POST que contenía los datos al servidor "api-service[.] shein[.] com."

Para mitigar tales riesgos de privacidad, Google ha realizado mejoras adicionales en Android en los últimos años, incluida la visualización de mensajes del sistema cuando una aplicación accede al portapapeles y la prohibición de que las aplicaciones obtengan los datos a menos que se estén ejecutando activamente en primer plano.

"Teniendo en cuenta que los usuarios móviles a menudo usan el portapapeles para copiar y pegar información confidencial, como contraseñas o información de pago, el contenido del portapapeles puede ser un objetivo atractivo para los ataques cibernéticos", dijeron los investigadores Dimitrios Valsamaras y Michael Peck.

"Aprovechar los portapapeles puede permitir a los atacantes recopilar información del objetivo y filtrar datos útiles".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft dice que su cliente de correo electrónico y calendario Outlook para Mac ahora está disponible de forma gratuita, y ya no requerirá una licencia de Office o una suscripción a Microsoft 365 para ser utilizado.

Outlook para Mac viene con soporte para Microsoft 365, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (incluidos Hotmail y MSN), Gmail, Yahoo Mail, iCloud, IMAP y cuentas POP, de acuerdo con su página de Mac App Store.

También ha sido rediseñado para que coincida con la interfaz de usuario de macOS, y aprovechará toda la potencia que viene con los chips basados en Arm de Apple.

"El nuevo Outlook está optimizado para Apple Silicon, con un rendimiento ágil y velocidades de sincronización más rápidas que las versiones anteriores", dijo el primer ministro de Outlook, Jeremy Perdue.

"Con nuestra nueva función Handoff, puede retomar tareas donde las dejó entre dispositivos iOS y Mac, para que pueda levantarse e irse sin perder el ritmo".

Outlook para Mac también le permite realizar un seguimiento de sus recordatorios a través del Centro de notificaciones de macOS y viene con un widget dedicado para ayudarlo a ver su agenda diaria.

Sin embargo, algunas funciones, como Handoff, requieren que inicie sesión en sus dispositivos iOS y macOS con el mismo ID de Apple.


Microsoft presentó el nuevo Outlook rediseñado para Mac en noviembre de 2019 cuando se puso a disposición de los Insiders en el anillo rápido, con experiencias actualizadas de Mail, Búsqueda y Calendario y un rendimiento mejorado.

En julio de 2020, el nuevo Outlook para Mac alcanzó el anillo Insider Slow, lo que permite a los evaluadores usar un interruptor "Nuevo Outlook" en la esquina superior derecha de la ventana para habilitar la nueva experiencia.

Casi dos años después, a mediados de febrero de 2022, el nuevo Outlook para Mac se convirtió en la experiencia predeterminada para los usuarios nuevos y existentes.

"Hay más por hacer y muchas más características que estamos entusiasmados de traer a la experiencia de Outlook Mac", dijo Perdue hoy.

Una nueva campaña de phishing se dirige a organizaciones en países de Europa del Este con el malware Remcos RAT con la ayuda de un antiguo bypass de Control de cuentas de usuario de Windows descubierto hace más de dos años.

El uso de directorios de confianza simulados para eludir el Control de cuentas de usuario de Windows se destaca en el ataque, ya que se conoce desde 2020, pero sigue siendo efectivo hoy en día.

La última campaña de Remcos fue observada y analizada por investigadores de SentinelOne, quienes documentaron sus hallazgos en un informe publicado hoy.

Comienza con una factura falsa
Los correos electrónicos de la campaña de phishing se envían desde dominios de nivel superior que coinciden con el país del destinatario y, por lo general, se enmascaran como facturas, documentos de licitación y otros documentos financieros.

Los correos electrónicos no contienen mucho texto aparte de lo que se requiere para dirigir la atención del destinatario al archivo adjunto, un archivo tar.lz que contiene el ejecutable DBatLoader.


Una elección tan inusual del formato de archivo reduce las posibilidades de que las víctimas abran con éxito el archivo adjunto, pero también ayuda a evadir la detección del software antivirus y las herramientas de seguridad del correo electrónico.

La carga útil de la primera etapa del cargador de malware se disfraza como un documento de Microsoft Office, LibreOffice o PDF utilizando extensiones dobles e iconos de aplicaciones para engañar a la víctima para que lo abra.

Al iniciar el cargador de malware, se obtiene una carga útil de segunda etapa de un servicio de nube pública, como Microsoft OneDrive o Google Drive.

Sentinel One informa que en un caso, se abusó del servicio en la nube para alojar DBatLoader durante más de un mes, aunque no está claro si los actores de amenazas usaron su propia cuenta o una cuenta comprometida con un historial limpio.

Abusar de carpetas "de confianza" simuladas

Antes de cargar Remcos RAT, DBatLoader crea y ejecuta un script por lotes de Windows para abusar de un método de omisión de UAC de Windows documentado en 2020.

El método, demostrado por primera vez en Windows 10 por el investigador de seguridad Daniel Gebert, implica el uso de una combinación de secuestro de DLL y directorios de confianza simulados para omitir UAC y ejecutar código malicioso sin preguntar al usuario.

Windows UAC es un mecanismo de protección que Microsoft introdujo en Windows Vista, pidiendo a los usuarios que confirmen la ejecución de aplicaciones de alto riesgo.

Windows confía en algunas carpetas, como C:\Windows\System32\, lo que permite que los ejecutables se eleven automáticamente sin mostrar un mensaje de UAC.

Un directorio simulado es un directorio de imitación con un espacio final. Por ejemplo, "C:\Windows\System32" es una carpeta legítima y se considera una ubicación de confianza en Windows. Un directorio simulado se vería como "C:\Windows \System32", con un espacio adicional después de C:\Windows\.

El problema es que algunos programas de Windows, como el Explorador de archivos, tratan "C:\Windows" y "C:\Windows" como la misma carpeta, engañando así al sistema operativo para que piense que C:\Windows\System32 es una carpeta de confianza y debería tener sus archivos auto-elevados sin un mensaje de UAC.

El script utilizado por DBatLoader, en este caso, crea directorios de confianza simulados de la misma manera, creando una carpeta "C:\Windows \System32" y copiando ejecutables legítimos ("easinvoker.exe") y archivos DLL maliciosos ("netutils.dll").


"easinvoker.exe es susceptible al secuestro de DLL que permite la ejecución de netutils maliciosos.dll en su contexto", explica Sentinel One

"easinvoker.exe es un ejecutable autoelevado, lo que significa que Windows eleva automáticamente este proceso sin emitir un mensaje de UAC si se encuentra en un directorio de confianza: el directorio simulado %SystemRoot%\System32 garantiza que se cumplan estos criterios".

El cargador de malware agrega el script malicioso ("KDECO.bat") que se oculta en la DLL a la lista de exclusión de Defender de Microsoft y luego establece la persistencia para Remcos creando una nueva clave de registro.

Eventualmente, Remcos se ejecuta a través de la inyección de procesos, configurada con capacidades de registro de teclas y captura de pantalla.


Sentinel One sugiere que los administradores del sistema configuren Windows UAC para "Notificar siempre", aunque esto podría ser demasiado obstructivo y ruidoso.

Los administradores también deben supervisar la creación de archivos sospechosos o las ejecuciones de procesos en rutas de sistemas de archivos de confianza con espacios finales, especialmente carpetas que contengan la cadena "\Windows".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de investigadores ha revelado lo que dice es una vulnerabilidad en una implementación específica de CRYSTALS-Kyber, uno de los algoritmos de cifrado elegidos por el gobierno de Estados Unidos como resistente a la cuántica el año pasado.

El exploit se relaciona con "ataques de canal lateral en implementaciones enmascaradas de hasta quinto orden de CRYSTALS-Kyber en CPU ARM Cortex-M4", dijeron Elena Dubrova, Kalle Ngo, y Joel Gärtner del KTH Royal Institute of Technology en un artículo.

CRYSTALS-Kyber es uno de los cuatro algoritmos postcuánticos seleccionados por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos después de un riguroso esfuerzo de varios años para identificar los estándares de cifrado de próxima generación que pueden soportar grandes saltos en la potencia informática.

Un ataque de canal lateral, como su nombre lo indica, implica extraer secretos de un criptosistema a través de la medición y el análisis de parámetros físicos. Algunos ejemplos de tales parámetros incluyen corriente de suministro, tiempo de ejecución y emisión electromagnética.

La idea subyacente es que los efectos físicos introducidos como resultado de una implementación criptográfica se pueden utilizar para decodificar y deducir información confidencial, como texto cifrado y claves de cifrado.

Una de las contramedidas populares para endurecer las implementaciones criptográficas contra ataques físicos es el enmascaramiento, que aleatoriza el cálculo y separa la información del canal lateral de las variables criptográficas dependientes de secretos.

"El principio básico del enmascaramiento es dividir cada variable intermedia sensible del algoritmo criptográfico en múltiples acciones utilizando el intercambio secreto, y realizar cálculos en estas acciones", explicó otro grupo de investigadores en 2016.

"Desde el momento en que se divide la entrada hasta que se libera la salida compartida del algoritmo criptográfico, las acciones de las variables intermedias sensibles nunca se combinan de manera que estas variables se desenmascaren, es decir, las variables sensibles no compartidas nunca se revelan. Solo después de que el cálculo haya finalizado, la salida compartida se reconstruye para revelar su valor desenmascarado.

El método de ataque ideado por los investigadores implica un método de entrenamiento de redes neuronales llamado aprendizaje recursivo para ayudar a recuperar bits de mensajes con una alta probabilidad de éxito.

"Los ataques de canal lateral basados en el aprendizaje profundo pueden superar las contramedidas convencionales, como el enmascaramiento, el barajado, la inserción de retrasos aleatorios, la codificación de peso constante, el polimorfismo de código y el reloj aleatorio", dijeron los investigadores.

Los investigadores también desarrollaron un nuevo método de recuperación de mensajes llamado rotación cíclica que manipula los textos cifrados para aumentar la fuga de bits de mensajes, aumentando así la tasa de éxito de la recuperación de mensajes.

"Tal método nos permite entrenar redes neuronales que pueden recuperar un bit de mensaje con una probabilidad superior al 99% de implementaciones enmascaradas de alto orden", agregaron.

Cuando se contactó para hacer comentarios, NIST le dijo a The Hacker News que el enfoque no rompe el algoritmo en sí y que los hallazgos no afectan el proceso de estandarización de CRYSTALS-Kyber.

"El trabajo de canal lateral fue parte de la evaluación, y continuará siendo estudiado en el futuro", dijo Dustin Moody del NIST a Inside Quantum Technology (IQT) News. "Destaca la necesidad de tener implementaciones protegidas".

"Existen documentos que atacan casi todos los algoritmos criptográficos utilizando canales laterales. Se desarrollan contramedidas, y muchos de los ataques no son realistas o prácticos en escenarios del mundo real".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores maliciosos pueden aprovechar la visibilidad forense "insuficiente" en Google Cloud Platform (GCP) para filtrar datos confidenciales, según una nueva investigación.

"Desafortunadamente, GCP no proporciona el nivel de visibilidad en sus registros de almacenamiento que se necesita para permitir cualquier investigación forense efectiva, lo que hace que las organizaciones sean ciegas ante posibles ataques de exfiltración de datos", dijo la firma de respuesta a incidentes en la nube Mitiga en un informe.

El ataque se basa en el requisito previo de que el adversario pueda obtener el control de una entidad de gestión de identidad y acceso (IAM) en la organización objetivo mediante métodos como la ingeniería social para acceder al entorno de GCP.

El quid del problema es que los registros de acceso de almacenamiento de GCP no proporcionan la transparencia adecuada con respecto al posible acceso a archivos y eventos de lectura, sino que los agrupan todos como una sola actividad de "Obtención de objetos".

"El mismo evento se usa para una amplia variedad de tipos de acceso, que incluyen: leer un archivo, descargar un archivo, copiar un archivo a un servidor externo [y] leer los metadatos del archivo", dijo la investigadora de Mitiga Veronica Marinov.

Esta falta de distinción podría permitir a un atacante recopilar datos confidenciales sin ser detectado, principalmente porque no hay forma de diferenciar entre la actividad del usuario malicioso y legítimo.


En un ataque hipotético, un actor de amenazas puede usar la interfaz de línea de comandos de Google (gsutil) para transferir datos valiosos de los depósitos de almacenamiento de la organización víctima a un depósito de almacenamiento externo dentro de la organización atacante.

Desde entonces, Google ha proporcionado recomendaciones de mitigación, que van desde controles de servicio de nube privada virtual (VPC) hasta el uso de encabezados de restricción de la organización para limitar las solicitudes de recursos en la nube.

La revelación se produce cuando Sysdig descubrió una sofisticada campaña de ataque llamada SCARLETEEL que se dirige a entornos en contenedores para perpetrar el robo de datos y software propietarios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un sigiloso kit de arranque de la Interfaz de firmware extensible unificada (UEFI) llamado BlackLotus se ha convertido en el primer malware conocido públicamente capaz de eludir las defensas de arranque seguro, lo que lo convierte en una potente amenaza en el panorama cibernético.

"Este bootkit puede ejecutarse incluso en sistemas Windows 11 totalmente actualizados con UEFI Secure Boot habilitado", dijo la compañía eslovaca de ciberseguridad ESET en un informe compartido con The Hacker News.

Los bootkits UEFI se implementan en el firmware del sistema y permiten un control total sobre el proceso de arranque del sistema operativo (SO), lo que permite deshabilitar los mecanismos de seguridad a nivel del sistema operativo e implementar cargas arbitrarias durante el inicio con altos privilegios.

Ofrecido a la venta a $ 5,000 (y $ 200 por nueva versión posterior), el kit de herramientas potente y persistente está programado en Assembly y C y tiene un tamaño de 80 kilobytes. También cuenta con capacidades de geofencing para evitar infectar computadoras en Armenia, Bielorrusia, Kazajstán, Moldavia, Rumania, Rusia y Ucrania.

Los detalles sobre BlackLotus surgieron por primera vez en octubre de 2022, y el investigador de seguridad de Kaspersky Sergey Lozhkin lo describió como una solución sofisticada de crimeware.

"Esto representa un poco de un 'salto' adelante, en términos de facilidad de uso, escalabilidad, accesibilidad y, lo que es más importante, el potencial de mucho más impacto en las formas de persistencia, evasión y / o destrucción", señaló Scott Scheferman de Eclypsium.

BlackLotus, en pocas palabras, explota una falla de seguridad rastreada como CVE-2022-21894 (también conocida como Baton Drop) para sortear las protecciones de arranque seguro UEFI y configurar la persistencia. La vulnerabilidad fue abordada por Microsoft como parte de su actualización Patch Tuesday de enero de 2022.

Una explotación exitosa de la vulnerabilidad, según ESET, permite la ejecución de código arbitrario durante las primeras fases de arranque, lo que permite a un actor de amenazas llevar a cabo acciones maliciosas en un sistema con UEFI Secure Boot habilitado sin tener acceso físico a él.


"Este es el primer abuso públicamente conocido de esta vulnerabilidad", dijo el investigador de ESET, Martin Smolár. "Su explotación aún es posible ya que los binarios afectados y firmados válidamente aún no se han agregado a la lista de revocación de UEFI".

"BlackLotus se aprovecha de esto, trayendo sus propias copias de binarios legítimos, pero vulnerables, al sistema para explotar la vulnerabilidad", allanando efectivamente el camino para los ataques Bring Your Own Vulnerable Driver (BYOVD).

Además de estar equipado para desactivar mecanismos de seguridad como BitLocker, integridad de código protegida por hipervisor (HVCI) y Windows Defender, también está diseñado para eliminar un controlador de kernel y un descargador HTTP que se comunica con un servidor de comando y control (C2) para recuperar malware adicional en modo usuario o kernel.

El modus operandi exacto utilizado para implementar el bootkit aún se desconoce, pero comienza con un componente de instalación que es responsable de escribir los archivos en la partición del sistema EFI, deshabilitar HVCI y BitLocker y, a continuación, reiniciar el host.

El reinicio es seguido por la militarización de CVE-2022-21894 para lograr la persistencia e instalar el bootkit, después de lo cual se ejecuta automáticamente en cada inicio del sistema para implementar el controlador del kernel.

Mientras que el controlador tiene la tarea de iniciar el descargador HTTP en modo usuario y ejecutar cargas útiles en modo kernel de la siguiente etapa, este último es capaz de ejecutar comandos recibidos del servidor C2 a través de HTTPS.

Esto incluye descargar y ejecutar un controlador de kernel, DLL o un ejecutable normal; Obtener actualizaciones de bootkit e incluso desinstalar el bootkit del sistema infectado.

"Muchas vulnerabilidades críticas que afectan la seguridad de los sistemas UEFI se han descubierto en los últimos años", dijo Smolár. "Desafortunadamente, debido a la complejidad de todo el ecosistema UEFI y los problemas relacionados con la cadena de suministro, muchas de estas vulnerabilidades han dejado a muchos sistemas vulnerables incluso mucho tiempo después de que se hayan solucionado las vulnerabilidades, o al menos después de que nos dijeron que se solucionaron".

"Era solo cuestión de tiempo antes de que alguien aprovechara estas fallas y creara un kit de arranque UEFI capaz de operar en sistemas con UEFI Secure Boot habilitado".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco lanzó el miércoles actualizaciones de seguridad para abordar una falla crítica que afecta a sus productos IP Phone 6800, 7800, 7900 y 8800 Series.

La vulnerabilidad, rastreada como CVE-2023-20078, tiene una calificación de 9.8 sobre 10 en el sistema de puntuación CVSS y se describe como un error de inyección de comandos en la interfaz de administración basada en web que surge debido a una validación insuficiente de la entrada proporcionada por el usuario.

La explotación exitosa del error podría permitir a un atacante remoto no autenticado inyectar comandos arbitrarios que se ejecutan con los privilegios más altos en el sistema operativo subyacente.

"Un atacante podría explotar esta vulnerabilidad enviando una solicitud elaborada a la interfaz de administración basada en la web", dijo Cisco en una alerta publicada el 1 de marzo de 2023.

También parcheado por la compañía es una vulnerabilidad de denegación de servicio (DoS) de alta gravedad que afecta al mismo conjunto de dispositivos, así como el Cisco Unified IP Conference Phone 8831 y Unified IP Phone 7900 Series.

CVE-2023-20079 (puntuación CVSS: 7,5), también como resultado de una validación insuficiente de la entrada proporcionada por el usuario en la interfaz de administración basada en web, podría ser abusada por un adversario para causar una condición DoS.

Si bien Cisco ha lanzado Cisco Multiplatform Firmware versión 11.3.7SR1 para resolver CVE-2023-20078, la compañía dijo que no planea arreglar CVE-2023-20079, ya que ambos modelos de teléfono de conferencia IP unificado han entrado en el final de su vida útil (EoL).

La compañía dijo que no tiene conocimiento de ningún intento de explotación maliciosa dirigida a la falla. También dijo que las fallas fueron descubiertas durante las pruebas de seguridad interna.

El aviso se produce cuando Aruba Networks, una subsidiaria de Hewlett Packard Enterprise, lanzó una actualización de ArubaOS para remediar múltiples fallas de inyección de comandos no autenticadas y desbordamiento de búfer basado en pila (desde CVE-2023-22747 hasta CVE-2023-22752, puntuaciones CVSS: 9. que podrían resultar en la ejecución de código.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aruba Networks publicó un aviso de seguridad para informar a los clientes sobre seis vulnerabilidades de gravedad crítica que afectan a múltiples versiones de ArubaOS, su sistema operativo de red patentado.

Las fallas afectan a Aruba Mobility Conductor, Aruba Mobility Controllers y Gateways WLAN y SD-WAN Gateways administrados por Aruba.

Aruba Networks es una subsidiaria con sede en California de Hewlett Packard Enterprise, especializada en redes informáticas y soluciones de conectividad inalámbrica.

Las fallas críticas abordadas por Aruba esta vez se pueden separar en dos categorías: fallas de inyección de comandos y problemas de desbordamiento de búfer basados en pila en el protocolo PAPI (protocolo de gestión de puntos de acceso de Aruba Networks).

Todas las fallas fueron descubiertas por el analista de seguridad Erik de Jong, quien las informó al proveedor a través del programa oficial de recompensas de errores.

Las vulnerabilidades de inyección de comandos se rastrean como CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 y CVE-2023-22750, con una clasificación CVSS v3 de 9.8 de 10.0.

Un atacante remoto no autenticado puede aprovecharlos enviando paquetes especialmente diseñados al PAPI a través del puerto UDP 8211, lo que resulta en la ejecución de código arbitrario como usuario privilegiado en ArubaOS.

Los errores de desbordamiento de búfer basados en pila se rastrean como CVE-2023-22751 y CVE-2023-22752, y también tienen una clasificación CVSS v3 de 9.8.

Estas fallas son explotables mediante el envío de paquetes especialmente diseñados al PAPI a través del puerto UDP 8211, lo que permite a los atacantes remotos no autenticados ejecutar código arbitrario como usuarios privilegiados en ArubaOS.

Las versiones afectadas son:

• ArubaOS 8.6.0.19 y versiones anteriores
• ArubaOS 8.10.0.4 y versiones anteriores
• ArubaOS 10.3.1.0 y versiones anteriores
• SD-WAN 8.7.0.0-2.3.0.8 y versiones anteriores

Las versiones de actualización de destino, según Aruba, deberían ser:

• ArubaOS 8.10.0.5 y superior
• ArubaOS 8.11.0.0 y superior
• ArubaOS 10.3.1.1 y superior
• SD-WAN 8.7.0.0-2.3.0.9 y superior

Desafortunadamente, varias versiones del producto que han llegado al final del ciclo de vida (EoL) también se ven afectadas por estas vulnerabilidades y no recibirán una actualización de reparación. Estos son:

• ArubaOS 6.5.4.x
• ArubaOS 8.7.x.x
• ArubaOS 8.8.x.x
• ArubaOS 8.9.x.x
• SD-WAN 8.6.0.4-2.2.x.x

Una solución para los administradores de sistemas que no pueden aplicar las actualizaciones de seguridad o que utilizan dispositivos EoL es habilitar el modo "Seguridad PAPI mejorada" utilizando una clave no predeterminada.

Sin embargo, la aplicación de las mitigaciones no aborda otras 15 vulnerabilidades de gravedad alta y ocho de gravedad media enumeradas en el aviso de seguridad de Aruba, que están corregidas por las nuevas versiones.

Aruba afirma que no tiene conocimiento de ninguna discusión pública, código de explotación o explotación activa de estas vulnerabilidades a partir de la fecha de lanzamiento del aviso, 28 de febrero de 2022.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha lanzado 'Decider', una herramienta de código abierto que ayuda a los defensores y analistas de seguridad a generar rápidamente informes de mapeo MITRE ATT&CK.

El marco MITRE ATT&CK es un estándar para identificar y rastrear tácticas y técnicas adversarias basadas en observaciones de ataques cibernéticos, lo que permite a los defensores ajustar su postura de seguridad en consecuencia.

Al tener un estándar común, las organizaciones pueden compartir rápidamente información completa y precisa sobre amenazas recién descubiertas o emergentes y ayudar a obstaculizar su efectividad.

CISA publicó recientemente una guía de "mejores prácticas" sobre el mapeo MITRE ATT&CK, destacando la importancia de usar el estándar.

Decider fue desarrollado en asociación con el Instituto de Ingeniería y Desarrollo de Sistemas de Seguridad Nacional y MITRE y se puso a disposición de forma gratuita a través del repositorio GitHub de CISA.

"Hoy, CISA lanzó Decider, una herramienta gratuita para ayudar a la comunidad de ciberseguridad a mapear el comportamiento de los actores de amenazas al marco MITRE ATT&CK", se lee en un anuncio de CISA.

"Creado en asociación con el Instituto de Ingeniería y Desarrollo de Sistemas de Seguridad Nacional (HSSEDI) y MITRE, Decider ayuda a que el mapeo sea rápido y preciso a través de preguntas guiadas, una poderosa función de búsqueda y filtro, y una funcionalidad de carrito que permite a los usuarios exportar resultados a formatos de uso común".

La herramienta hace preguntas guiadas por el usuario sobre la actividad observada del adversario y genera el correspondiente informe MITRE ATT&CK.


Por ejemplo, una pregunta podría ser "¿Qué está tratando de hacer el adversario?", a lo que una posible respuesta es "Obtener un punto de apoyo inicial dentro del entorno", que corresponde a la táctica de acceso inicial.

Las preguntas continuarán hasta que se alcance una subtécnica para todas las tácticas, o al menos una técnica, en caso de que ninguna subtécnica se ajuste a la actividad en particular.


El defensor puede usar el informe MITRE ATT&CK generado para desarrollar tácticas de defensa específicas o exportarlo en formatos comunes y compartirlo con otros en la industria para evitar la proliferación de la amenaza identificada.

Como explica CISA en una hoja informativa publicada junto con el lanzamiento de Decider, los informes de mapeo de MITRE ATT&CK pueden ayudar a pasar a las siguientes etapas de respuesta a amenazas, que incluyen:

- Visualización de los hallazgos en ATT&CK Navigator
- Compartir los hallazgos con otros mediante la publicación de informes de inteligencia de amenazas
- Encontrar sensores y análisis para detectar esas técnicas
- Descubrir mitigaciones que ayudan a evitar que las técnicas funcionen en primer lugar
- Compilación de planes de emulación de amenazas para validar las defensas

CISA insta a la comunidad de ciberseguridad a descargar y usar Decider y enviar sus comentarios, informes de errores o incluso sugerencias de características.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

ChatGPT, el famoso chatbot de inteligencia artificial que permite a los usuarios conversar con diversas personalidades y temas, tiene problemas de conectividad en todo el mundo.

OpenAI ha confirmado que los usuarios están experimentando problemas en todo el mundo, y muchos no pueden acceder a la IA.


Al acceder a ChatGPT, los usuarios ven el mensaje de error "el servidor web de origen agotó el tiempo de espera respondiendo a esta solicitud".


Esta interrupción comenzó en los últimos 45 minutos. Según DownDetector, ChatGPT está experimentando actualmente una interrupción en los Estados Unidos, Europa, India, Japón, Australia y otras partes del mundo.

En la página de estado, OpenAI ha reconocido un problema que afecta a ChatGPT.

"El tráfico para ChatGPT está comenzando a mejorar después de que se hayan implementado las correcciones iniciales", dijo la compañía.

Actualización 1: ChatGPT parece estar regresando en línea para algunos usuarios, mientras que otros continúan enfrentando problemas.

Esta es una historia en desarrollo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas ha publicado los supuestos datos robados del editor de juegos estadounidense Activision en diciembre de 2022 en un foro de piratería, destacando el valor de los datos para las operaciones de phishing.

En una publicación del foro Breaching Hacking, un sitio web utilizado por actores de amenazas para vender y publicar datos robados, los piratas informáticos afirman haber robado los datos de la base de datos Azure de Activision.

Los datos filtrados consisten en 19,444 registros únicos que contienen nombres completos, números de teléfono, cargos, ubicaciones y direcciones de correo electrónico de supuestos empleados de Activision. El volcado se ofrece gratuitamente a todos los miembros del foro en un archivo de texto.


La publicación del foro fue descubierta por primera vez por la plataforma de inteligencia de amenazas FalconFeedsio, que informó sobre la posible fuga de datos en Twitter.

El 21 de febrero de 2023, Activision confirmó que sufrió una violación de datos a principios de diciembre de 2022 después de que los piratas informáticos engañaron a un empleado de recursos humanos para que regalara sus credenciales a través de smishing (phishing basado en SMS).

"El 4 de diciembre de 2022, nuestro equipo de seguridad de la información abordó rápidamente un intento de phishing por SMS y lo resolvió rápidamente. Después de una investigación exhaustiva, determinamos que no se accedió a datos confidenciales de los empleados, códigos de juego o datos de jugadores", dijo un portavoz de la compañía a BleepingComputer.

En ese momento, el fabricante de videojuegos aseguró que el incidente no había comprometido el código fuente del juego o los detalles del jugador y le dijo a BleepingComputer que cualquier detalle filtrado sobre el próximo contenido del juego ya formaba parte de los materiales de marketing público.

Además, Activision declaró que después de realizar una investigación interna exhaustiva, determinó que los intrusos no habían robado datos confidenciales de los empleados.

Esto contrastó con las afirmaciones de los medios, como Insider Gaming, que revisó los datos robados, informando que contenían detalles confidenciales de los empleados que coinciden con lo que se filtró hoy.

La aparición de la base de datos de empleados en un foro hace que esté ampliamente disponible para un público más amplio, incluido un foro muy popular utilizado por los actores de amenazas, lo que aumenta las posibilidades de que los empleados de Activision sean blanco de ataques de phishing e ingeniería social.

BleepingComputer se ha puesto en contacto con Activision sobre los datos de empleados supuestamente filtrados, y actualizaremos esta publicación tan pronto como recibamos una respuesta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de un año de desarrollo, se dio a conocer el primer lanzamiento del nuevo motor de juegos de código abierto Ambient. El motor proporciona un tiempo de ejecución para crear juegos multijugador y aplicaciones 3D que se compilan en una representación WebAssembly y utilizan la API WebGPU para la representación.

Un objetivo clave en el desarrollo de Ambient es proporcionar herramientas que simplifiquen el desarrollo de juegos multijugador y hagan que su creación no sea más difícil que los proyectos para un solo jugador.

El motor inicialmente tiene como objetivo crear un tiempo de ejecución universal que admita el desarrollo de juegos y aplicaciones en cualquier lenguaje de programación para el cual sea posible la compilación en el código intermedio WebAssembly. Sin embargo, la primera versión solo es compatible con el desarrollo de Rust hasta el momento.

Sobre Ambient

De las características que se destacan de Ambient, se menciona que cuenta con soporte transparente para la creación de redes. El motor combina las funciones de un cliente y un servidor, proporciona todos los componentes necesarios para crear una lógica de cliente y servidor, y sincroniza automáticamente el estado del servidor en los clientes.

Tambien se menciona que se utiliza un modelo de datos común en el lado del cliente y del servidor, lo que facilita la transferencia de código entre el backend y el frontend. Este ejecuta cada módulo en su propio entorno aislado para limitar el impacto del código que no es de confianza, ademas de bloquear un módulo no hace que se bloquee toda la aplicación.

Ambient, cuenta con una arquitectura orientada a datos, con lo cual proporcionar un modelo de datos basado en un sistema de componentes que cada WASM puede manipular. Utilizando el patrón de diseño ECS (Entity Component System).

Ademas de ello, tambien almacena los datos de todos los componentes en una base de datos centralizada en el servidor, cuyo estado se replica automáticamente en el cliente, que por su parte puede ampliar los datos teniendo en cuenta el estado local.

La capacidad de crear módulos Ambient en cualquier lenguaje de programación que se compile en WebAssembly (hasta ahora solo se admite Rust), mientras que la generación de archivos ejecutables universales de salida, pueden ejecutarse en Windows, macOS y Linux, y funcionar como cliente y como servidor.

Por otra parte, tambien se destaca que cuenta con la capacidad para definir sus propios componentes y «conceptos» (colecciones de componentes). Los proyectos que usan los mismos componentes y conceptos aseguran que los datos sean portátiles y compartidos, incluso si los datos no están diseñados específicamente para su uso en proyectos específicos.

De las demás características que se destacan de Ambient:

- Soporte para compilar recursos en diferentes formatos, incluidos «.glb» y «.fbx». Capacidad para transmitir recursos a través de la red: el cliente puede obtener todos los recursos necesarios cuando se conecta al servidor (puede comenzar a jugar sin esperar a que se carguen todos los recursos).
- Se admiten formatos de modelo FBX y glTF, varios formatos de sonido e imagen.
- Un sistema de renderizado avanzado que utiliza la GPU para acelerar el renderizado y admite LOD y recorte del lado de la GPU.
- Uso de renderizado basado en la física ( PBR ) por defecto , soporte para animación y mapas de sombras en cascada.
- Soporte para simulación de procesos físicos basados ��en el motor PhysX .
- Sistema de construcción de interfaz de usuario similar a React.
- Sistema de entrada unificado independiente de la plataforma actual.
- Sistema de sonido espacial con filtros enchufables.
- El desarrollo aún se encuentra en la etapa alfa. De la funcionalidad aún no implementada, podemos notar la capacidad de ejecutar en la Web, una API de cliente, una API para administrar subprocesos múltiples, una biblioteca para crear una interfaz de usuario, una API para usar sus propios sombreadores, soporte de sonido, cargar y guardar
- Componentes ECS (Entity Component System), recarga de recursos sobre la marcha, escalado automático de servidores, un editor para co-crear mapas de juegos y escenas de juegos.

Finalmente, para los interesados en poder conocer más al respecto, deben saber que el código está escrito en Rust y se distribuye bajo la licencia MIT.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

l desarrollo de Ubuntu Touch parece no ir tan rápido como a algunos nos gustaría. A finales de 2022 nos entregaron la primera RC del Ubuntu Touch basado en Focal Fossa, versión de Ubuntu que ya tiene tres años. Además, no está disponible para todos los aparatos, y la PineTab no recibe nada nuevo desde noviembre, ni en el canal para desarrolladores. Pero pasitos sí que van dando, y desarrolladores del equipo también, como demuestra Winebox, una nueva aplicación que ha llegado a la OpenStore.

Codemasters Freeders ha publicado un hilo en Twitter en el que expica algunas cosas. Para empezar, es un paquete que une WINE y Box64, y lo hace para mejorar y aumentar el soporte de aplicaciones en Ubuntu Touch. También se puede usar para activar algunos casos divertidos, dice el hilo, pero lo importante es que Winebox permite usar algunas aplicaciones de Windows en Ubuntu Touch.

Winebox: WINE y Box64 en Ubuntu Touch

Lo malo es que esto no funcionará por defecto en cualquier aparato con la versión móvil y táctil de Ubuntu. Antes que nada, el mantenedor del sistema operativo debe activar el soporte para binfmt_misc en sus respectivos kernels. También hay que tener instalado xwayland(-hybris), lo que no está incluido por defecto aún, pero afirma que ese momento llegará.

Teniendo yo sólo una PineTab Early Adopter con un sistema opeartivo de noviembre de 2022 y con muchas cosas sin funcionar, no he podido probar este Winebox, pero la aplicación ya está disponible en la OpenStore, la tienda de aplicaciones oficial de Ubuntu Touch. El enlace es este, y dice que «Activa ejecutables x86_64 y binarios de Linux para que se ejecuten en tu dispositivo Ubuntu Touch basado en ARM64«, y que contiene WINE (LGPL v2.1+), Box64 (MIT) y GL4ES (MIT).

Para más información, de momento escasa, hay que dirigirse a la página de GitHub de Box64AndWine de Fred.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Debido a los cambios introducidos en el modelo de desarrollo, cada pocos meses tenemos una nueva versión del kernel, así que Linus Torvalds ha anunciado la disponibilidad oficial de Linux 6.2, del que sobresale principalmente el soporte para el hardware, algunos avances introducidos en Btrfs y otros sistemas de ficheros, además de haber mejorado el rendimiento de las mitigaciones contra ciertas vulnerabilidades.

Siguiendo el orden expuesto, lo primero que nos encontramos es que las gráficas dedicadas Intel Arc ya deberían de funcionar oficialmente, por lo que a partir de Linux 6.2 no debería de ser necesaria la introducción de un parámetro o argumento del kernel para liberar su poder. A eso se ha sumado para los mismos productos el soporte de monitorización del sensor de energía a través de las interfaces de HWMON.

El driver Nouveau ofrece soporte de aceleración por hardware para la generación Ampere (RTX 30) de gráficas de NVIDIA y el DualShock 4 ha pasado a estar oficialmente soportado a través del driver hid-playstation, aunque si al final eso no se ha cumplido, el mando de la PlayStation 4 seguiría funcionando con hid-sony. Esto es un paso más en los planes de Sony de ir trasladando el soporte para sus mandos, los cuales se dieron a conocer cuando se confirmó que las variantes del DualSense iban a estar soportadas oficialmente por Linux.

En lo que respecta a los sistemas de ficheros, Btrfs parece haberse llevado la mayor parte de las cosas de interés debido a que en Linux 6.2 se ha mejorado el rendimiento de ciertas funciones o características, avanzado en la implementación del soporte de RAID 5/6, además de haberse habilitado por defecto el soporte de descarte automático en los dispositivos que admiten dicha característica. Xfs ha avanzado en el soporte de reparación online del sistema de ficheros, exFAT es capaz de manejar la creación de ficheros y carpetas más rápido y SquashFS ha añadido soporte para montajes IDMAPPED.

A nivel de procesadores no parece que Linux 6.2 haya sido un lanzamiento especialmente potente, pero eso no quiere decir que no haya traído nada. Los datos de utilización de la tuberías de AMD Zen 4 están ahora expuestos para ayudar a los desarrolladores y los administradores de sistemas a crear perfiles y encontrar cuellos de botella en los modelos de procesadores que emplean dicha arquitectura (Ryzen 7000 y Epyc 9004). Se han introducido mejoras en la escalabilidad de los sistemas IBM Power y añadido soporte de RISC-V para dispositivos de memoria persistente.

Continuando ahora con Intel, se ha corregido el driver de IFS (In-Field Scan) y se ha establecido como listo para producción el driver bajo demanda de la marca, un componente polémico porque permite la activación bajo licencia de ciertas características de los procesadores Xeon Scalable. A nivel de seguridad está la inclusión del soporte de AEX Notify para ayudar en la defensa frente a ciertos ataques contra las SGX (Extensiones de Protección Segura) de la propia Intel.

En el frente de ARM está la introducción en la rama principal de los soportes para más modelos de SoC Qualcomm Snapdragon y de los procesadores Apple M1 Pro, Ultra y Max, mientras que para Raspberry Pi el soporte para 4K a 60Hz se encuentra habilitado.

Y por último tenemos las mejoras en el rendimiento de las mitigaciones contra ciertas vulnerabilidades. En primer lugar están las técnicas implementadas para mitigar Retbleed, una vulnerabilidad tipo Spectre que afecta a Intel y AMD. Linux cuenta desde hace tiempo con mitigaciones para reducir las probabilidades de llevar con éxito un ataque (recordamos que las vulnerabilidades tipo Spectre son irresolubles), pero estas tienen un alto coste a nivel de rendimiento. Las nuevas mitigaciones permiten reducir el impacto en el rendimiento en los procesadores Skylake de Intel, donde IBRS termina causando una gran merma. Estas nuevas mitigaciones requieren de colocar retbleed=stuff como parámetro de lanzamiento del kernel.

Por otro lado y siguiendo con las mitigaciones, Linux 6.2 ha incorporado FineIBT, un nuevo esquema de integridad de flujo de control que se basa en la implementación del software kCFI (una implementación de la integridad del control de flujo para el kernel Linux) y utiliza el soporte de hardware IBT (rastreo indirecto de saltos) donde esté presente para anotar y rastrear saltos indirectos usando un hash para validarlas.

Cambiar la versión del kernel no suele ser algo crítico para la mayoría de los usuarios, sobre todo si el hardware tiene algunos años. Aparte del tortuoso proceso de compilación, los usuarios pueden recurrir a una distribución rolling release y bleeding edge como Arch Linux, tener algo más de paciencia y esperar a que llegue a Fedora 37 (la versión 36 está cerca de su fin de ciclo, así que es probable que no llegue ahí) o recurrir a los repositorios de terceros que hay para Ubuntu.

Todos los detalles de en torno Linux 6.2 están disponibles en la correspondiente página de Kernel Newbies, donde están presentados de forma más masticada y amigable para aquellos no tengan profundos conocimientos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hay novedades en torno a ONLYOFFICE, la suite ofimática de código abierto que, con el permiso de LibreOffice, más lleva dando de que hablar estos últimos años.

Si hace unas semanas que nos hacíamos eco del lanzamiento de ONLYOFFICE 7.3, la nueva versión de la suite y de sus aplicaciones de escritorio, la novedad llega ahora vía plugins, uno de los métodos con los que extender la funcionalidad de la misma, que de manera predeterminada ya se distribuye con varias integraciones.

Inteligencia artificial y comunicaciones, o integración con ChatGPT y Zoom, respectivamente, es lo que ONLYOFFICE tiene para ofrecer a sus usuarios de nuevo. Es cierto que ambos añadidos son servicios basados en software privativo -en el caso de ChatGPT, solo en parte- y de que puedes usar una suite ofimática de manera independiente a algo como Zoom, pero para gustos, colores.

Por supuesto, el añadido más interesante es el de ChatGPT, el chatbot de inteligencia artificial de moda y que en la presenta integración puede ayudar al usuario con cosas como la «generación de textos a partir de preguntas; predicción y elaboración de fragmentos de texto basados en la información de entrada; respuesta a preguntas; traducción; resumen y estructuración de textos; análisis de sentimientos; comunicación de tipo conversacional.



Hay novedades en torno a ONLYOFFICE, la suite ofimática de código abierto que, con el permiso de LibreOffice, más lleva dando de que hablar estos últimos años.

Si hace unas semanas que nos hacíamos eco del lanzamiento de ONLYOFFICE 7.3, la nueva versión de la suite y de sus aplicaciones de escritorio, la novedad llega ahora vía plugins, uno de los métodos con los que extender la funcionalidad de la misma, que de manera predeterminada ya se distribuye con varias integraciones.

Inteligencia artificial y comunicaciones, o integración con ChatGPT y Zoom, respectivamente, es lo que ONLYOFFICE tiene para ofrecer a sus usuarios de nuevo. Es cierto que ambos añadidos son servicios basados en software privativo -en el caso de ChatGPT, solo en parte- y de que puedes usar una suite ofimática de manera independiente a algo como Zoom, pero para gustos, colores.

Por supuesto, el añadido más interesante es el de ChatGPT, el chatbot de inteligencia artificial de moda y que en la presenta integración puede ayudar al usuario con cosas como la «generación de textos a partir de preguntas; predicción y elaboración de fragmentos de texto basados en la información de entrada; respuesta a preguntas; traducción; resumen y estructuración de textos; análisis de sentimientos; comunicación de tipo conversacional.

ONLYOFFICE chatGPT

Por otro lado, la integración con Zoom facilita la comunicación entre colaboradores o grupos de trabajo mediante videollamadas o llamadas de audio.

Sea como fuere, ninguno de los dos plugins se encuentran por ahora preinstalados en los editores de ONLYOFFICE, por lo que de querer usarlos, hay que instalarlos a mano. Un proceso sencillo, pero que hay que conocer para llevar a cabo, obviamente, aunque cabe advertir que se complica un poco en los editores de escritorio.

No solo eso: mientras que el uso de Zoom es gratuito con limitaciones, la API de ChatGPT es una funcionalidad de pago.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de amenazas están explotando la popularidad del chatbot ChatGPT de OpenAI para distribuir malware para Windows y Android, o dirigir victimas desprevenidas a páginas de phishing.

ChatGPT ganó una inmensa tracción desde su lanzamiento en noviembre de 2022, convirtiéndose en la aplicación de consumo de más rápido crecimiento en la historia moderna con más de 100 millones de usuarios en enero de 2023.

Esta popularidad masiva y rápido crecimiento obligó a OpenAI a acelerar el uso de la herramienta y lanzó un nivel de pago de $ 20 / mes (ChatGPT Plus) para las personas que desean usar el chatbot sin restricciones de disponibilidad.

La medida creó las condiciones para que los actores de amenazas aprovecharan la popularidad de la herramienta prometiendo acceso ininterrumpido y gratuito a ChatGPT premium. Las ofertas son falsas y el objetivo es atraer a los usuarios para que instalen malware o proporcionen credenciales de cuenta.

El investigador de seguridad Dominic Alvieri fue uno de los primeros en notar uno de esos ejemplos utilizando el dominio "chat-gpt-pc.online" para infectar a los visitantes con el malware de robo de información Redline bajo la apariencia de una descarga para un cliente de escritorio ChatGPT Windows.


Ese sitio web fue promovido por una página de Facebook que usaba logotipos oficiales de ChatGPT para engañar a los usuarios para que fueran redirigidos al sitio malicioso.


Alvieri también detectó aplicaciones falsas de ChatGPT que se promocionaban en Google Play y tiendas de aplicaciones de Android de terceros, para empujar software dudoso en los dispositivos de las personas.


Los investigadores de Cyble han publicado hoy un informe relevante donde presentan hallazgos adicionales sobre la campaña de distribución de malware descubierta por Alvieri, así como otras operaciones maliciosas que explotan la popularidad de ChatGPT.

Cyble descubrió "chatgpt-go.online" que distribuye malware que roba contenidos del portapapeles y el ladrón Aurora.

Además, "chat-gpt-pc[.] online" entregó el ladrón Lumma en las pruebas de Cyble. Otro dominio, "openai-pc-pro[.] en línea", descarta una familia de malware desconocida.

Además de lo anterior, Cyble descubrió una página de robo de tarjetas de crédito en "pay.chatgptftw.com" que supuestamente ofrece a los visitantes un portal de pago para comprar ChatGPT Plus.


Cuando se trata de aplicaciones falsas, Cyble dice que descubrió más de 50 aplicaciones maliciosas que usan el icono de ChatGPT y un nombre similar, todas ellas falsas e intentan actividades dañinas en los dispositivos de los usuarios.

Dos ejemplos destacados en el informe son 'chatGPT1', que es una aplicación de fraude de facturación por SMS, y 'AI Photo', que contiene el malware Spynote, que puede robar registros de llamadas, listas de contactos, SMS y archivos del dispositivo.


ChatGPT es exclusivamente una herramienta en línea disponible solo en "chat.openai.com" y no ofrece ninguna aplicación móvil o de escritorio para ningún sistema operativo en este momento.

Cualquier otra aplicación o sitio que diga ser ChatGPT son falsificaciones que intentan estafar o infectar con malware y deben considerarse al menos sospechosas y los usuarios deben evitarlas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dole Food Company, uno de los mayores productores y distribuidores mundiales de frutas y verduras frescas, ha anunciado que está lidiando con un ataque de ransomware que afectó sus operaciones.

Hay pocos detalles en este momento y la compañía está investigando actualmente "el alcance del incidente", señalando que el impacto es limitado.

La compañía emplea a alrededor de 38,000 personas y tiene un ingreso anual de $ 6.5 mil millones. En una declaración en su sitio web, Dole dice que ya se ha comprometido con expertos externos que ayudan con la remediación y seguridad de los sistemas afectados.

Las autoridades policiales también han sido informadas del incidente.

Aunque Dole caracterizó el impacto como "limitado", un memorando filtrado en Facebook por una tienda de comestibles texana indica que el gigante de los alimentos se vio obligado a cerrar sus plantas de producción en América del Norte.

Parece que Dole también ha detenido sus envíos a las tiendas de comestibles.

"Dole Food Company está en medio de un ataque cibernético, y posteriormente hemos cerrado nuestros sistemas en toda América del Norte", dice el memorando.

"Nuestras plantas están cerradas por el día, y todos los envíos están en espera", dijo la compañía en la notificación a sus socios.


Los consumidores se han estado quejando de la escasez de ensaladas Dole preenvasadas en los estantes de las tiendas durante más de una semana. Aunque la compañía no reveló cuándo ocurrió el ataque, es probable que la escasez haya sido causada por este ataque de ransomware.

El memorándum enviado a las tiendas menciona que Dole implementará su protocolo de gestión de crisis que incluye el "Programa de copia de seguridad manual". Esto significa que la empresa podría volver a las operaciones manuales, que deberían reanudar la producción y los envíos, aunque a un ritmo más lento.

BleepingComputer se ha puesto en contacto con Dole para conocer más detalles sobre el ciberataque, pero la compañía se negó a proporcionar un comentario fuera de la declaración pública.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login