Un ransomware 'ARCrypter' previamente desconocido que comprometió a organizaciones clave en América Latina ahora está expandiendo sus ataques en todo el mundo.

Los actores de amenazas detrás de la nueva familia de ransomware  atacaron una agencia gubernamental en Chile en  agosto pasado, apuntando a los sistemas Linux y Windows y agregando la extensión ".crypt" en los archivos cifrados.

En ese entonces, el analista de amenazas chileno Germán Fernández le dijo a BleepingComputer que la cepa parecía completamente nueva, sin conexión con ninguna familia de ransomware conocida.

Los investigadores de BlackBerry han confirmado esto a través de un informe que identifica a la familia como ARCrypter y la vincula a un  segundo ataque  contra el Instituto Nacional de Vigilancia de Drogas y Alimentos de Colombia (Invima) en octubre.

BlackBerry también advierte que ARCrypter ahora está expandiendo sus operaciones fuera de América Latina y apuntando a varias organizaciones en todo el mundo, incluidas China y Canadá.

BleepingComputer confirmó esta expansión y también vio víctimas de ARCrypter en Alemania, EE. UU. y Francia.

Las demandas de rescate varían y llegan a ser tan bajas como $ 5,000 en algunos casos vistos por BleepingComputer, por lo que ARCrypter opera como un actor de ransomware de nivel medio.

Detalles de ARCrypter

BlackBerry dice que las primeras muestras de ARCrypter aparecieron a principios de agosto de 2022, unas semanas antes del ataque en Chile.

El vector de ataque sigue siendo desconocido, pero los analistas pudieron localizar dos URL de AnonFiles que se utilizan como recursos remotos para obtener un archivo "win.zip" que contiene "win.exe".

El ejecutable es un archivo cuentagotas que contiene los recursos BIN y HTML. HTML contiene los datos de la nota de rescate, mientras que BIN contiene datos cifrados que requieren una contraseña.


Si se proporciona una contraseña, BIN creará un directorio aleatorio en la máquina comprometida para almacenar la carga útil de la segunda etapa, que se nombra con caracteres alfanuméricos aleatorios.

"Si bien no pudimos identificar la clave de descifrado correcta utilizada para descifrar el recurso BIN, creemos con un alto grado de certeza que la segunda carga útil es el ransomware ARCrypter", dice BlackBerry en el informe.


La carga útil de ARCrypter luego crea persistencia agregando la siguiente clave de registro:

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate"

A continuación, el malware elimina todas las instantáneas de volumen para evitar una fácil restauración de datos, modifica la configuración de la red para asegurar una conectividad estable y luego encripta todos los archivos excepto los tipos que se muestran a continuación.


Los archivos en ubicaciones críticas como las carpetas "Arranque" y "Windows" también se omiten para evitar que el sistema quede completamente inutilizable.

Aparte de la extensión '.crypt', los archivos encriptados mostrarán un mensaje 'TODOS SUS ARCHIVOS HAN SIDO ENCRIPTADOS' en el administrador de archivos, gracias a las modificaciones en las siguientes claves del Registro:



Si bien los actores de amenazas afirman robar datos durante sus ataques, la operación de ransomware actualmente no tiene un sitio de fuga de datos que utilicen para publicar datos para víctimas no remuneradas.

En este momento, se sabe poco sobre los operadores de ARCrypter, su origen, idioma y vínculos potenciales con otras bandas de ransomware.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han revelado múltiples vulnerabilidades de seguridad en los dispositivos F5 BIG-IP y BIG-IQ que, si se explotan con éxito, comprometen completamente los sistemas afectados.

La firma de seguridad cibernética Rapid7 dijo que se podría abusar de las fallas para acceder de forma remota a los dispositivos y vencer las restricciones de seguridad. Los problemas afectan las versiones 13.x, 14.x, 15.x, 16.x y 17.x de BIG-IP, y las versiones 7.x y 8.x de BIG-IQ Centralized Management.

Los dos problemas de alta gravedad, que se informaron a F5 el 18 de agosto de 2022, son los siguientes:

- CVE-2022-41622 (puntaje CVSS: 8.: una vulnerabilidad de falsificación de solicitud entre sitios ( CSRF ) a través de iControl SOAP, lo que lleva a la ejecución remota de código no autenticado.

- CVE-2022-41800 (puntaje CVSS: 8.7): una vulnerabilidad REST de iControl que podría permitir que un usuario autenticado con una función de administrador eluda las restricciones del modo de dispositivo .

"Al explotar con éxito la peor de las vulnerabilidades (CVE-2022-41622), un atacante podría obtener acceso raíz persistente a la interfaz de administración del dispositivo (incluso si la interfaz de administración no está orientada a Internet)", dijo Ron Bowes, investigador de Rapid7 .

Sin embargo, vale la pena señalar que tal exploit requiere que un administrador con una sesión activa visite un sitio web hostil.

También se identificaron tres instancias diferentes de elusión de seguridad, que según F5 no se pueden explotar sin primero romper las barreras de seguridad existentes a través de un mecanismo previamente no documentado.

Si surgiera tal escenario, un adversario con acceso Advanced Shell ( bash ) al dispositivo podría utilizar estas debilidades como armas para ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o deshabilitar servicios.

Si bien F5 no ha mencionado ninguna de las vulnerabilidades que se explotan en los ataques, se recomienda que los usuarios apliquen los parches necesarios a medida que estén disponibles para mitigar los riesgos potenciales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo motivado financieramente con sede en China está aprovechando la confianza asociada con marcas internacionales populares para orquestar una campaña de phishing a gran escala que data de 2019.

Se dice que el actor de amenazas, apodado Fangxiao por Cyjax, registró más de 42,000 dominios impostores , con una actividad inicial observada en 2017.

"Se dirige a negocios en múltiples verticales, incluidos el comercio minorista, la banca, los viajes y la energía", dijeron las investigadoras Emily Dennison y Alana Witten . "Los incentivos financieros o físicos prometidos se utilizan para engañar a las víctimas para que sigan difundiendo la campaña a través de WhatsApp".

Los usuarios que hacen clic en un enlace enviado a través de la aplicación de mensajería son dirigidos a un sitio controlado por el actor que, a su vez, los envía a un dominio de destino que se hace pasar por una marca conocida, desde donde las víctimas son nuevamente conducidas a sitios que distribuyen aplicaciones fraudulentas. y recompensas falsas.

Estos sitios invitan a los visitantes a completar una encuesta para reclamar premios en efectivo, a cambio de lo cual se les pide que reenvíen el mensaje a cinco grupos o 20 amigos. La redirección final, sin embargo, depende de la dirección IP de la víctima y la cadena User-Agent del navegador .

Más de 400 organizaciones, incluidas Emirates, Shopee, Unilever, Indomie, Coca-Cola, McDonald's y Knorr, están siendo imitadas como parte del esquema criminal, dijeron los investigadores.

Alternativamente, se ha observado que los ataques en los que se hace clic en anuncios móviles fraudulentos desde un dispositivo Android culminan en el despliegue de un troyano móvil llamado Triada , que recientemente se detectó propagándose a través de aplicaciones falsas de WhatsApp.


No es solo Triada, ya que otro destino de la campaña es la lista de Google Play Store de una aplicación llamada "App Booster Lite - RAM Booster" ( com.app.booster.lite.phonecleaner.batterysaver.cleanmaster ), que tiene más de 10 millones descargas

La aplicación, creada por un desarrollador con sede en Chequia conocido como LocoMind, se describe como un "Potente refuerzo de teléfono", "Limpiador de chatarra inteligente" y un "Ahorrador de batería efectivo".

Las revisiones de la aplicación han llamado al editor por mostrar demasiados anuncios, e incluso señalan que "Llegaron aquí [la página de Play Store] desde uno de esos anuncios 'su Android está dañado x%'".

"Nuestra aplicación no puede propagar virus", respondió LocoMind a la revisión el 31 de octubre de 2022. "Google Play verifica cada una de nuestras actualizaciones; habrían eliminado nuestra aplicación hace mucho tiempo por este motivo".

Si se realiza la misma acción desde un dispositivo con iOS, la víctima es redirigida a Amazon a través de un enlace de afiliado, lo que le otorga al actor una comisión por cada compra en la plataforma de comercio electrónico realizada durante las próximas 24 horas.

Las conexiones chinas del actor de amenazas se derivan de la presencia de texto en mandarín en un servicio web asociado con aaPanel , un panel de control de código abierto basado en Python para alojar múltiples sitios web.

Un análisis más detallado de los certificados TLS emitidos para los dominios de la encuesta en 2021 y 2022 revela que la mayor parte de los registros se superponen con la zona horaria UTC+08:00, que corresponde a la hora estándar de China de 9:00 a. m. a 11:00 p. m.

"Los operadores tienen experiencia en la ejecución de este tipo de campañas impostoras, están dispuestos a ser dinámicos para lograr sus objetivos y son técnica y logísticamente capaces de escalar para expandir su negocio", dijeron los investigadores.

"Las campañas de Fangxiao son métodos efectivos de generación de clientes potenciales que se han redirigido a varios dominios, desde malware hasta enlaces de referencia, anuncios y adware".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El pasado 6 de noviembre, los seguidores de Sword Art Online conmemoraron la fecha de lanzamiento del VRMMORPG que da sentido a la historia del manganime. En él, la premisa arranca cuando los jugadores interesados en este título masivo de realidad virtual se dan cuenta que, una vez dentro de la propuesta, no pueden escapar hasta que completen los cien pisos del juego. Además, si mueren dentro de Aincrad, el mundo de Sword Art Online, también lo harán en la vida real.

Aunque suene macabro, muchos seguidores de la licencia nipona han buscado la forma de hacer realidad esta alocada premisa. Por ello, Palmer Luckey, fundador de Oculus VR y diseñador de Oculus Rift, se ha puesto manos a la obra para lograr lo inimaginable: unas gafas de realidad virtual capaces de acabar con tu vida si pierdes la partida. De hecho, Luckey ha querido ir más allá y ha ofrecido, además de detalles relacionados con la muerte del jugador, otras opciones que ha pensado para hacerlo más fiel a la premisa de Sword Art Online.


Será imposible destruir o retirarse el casco

Palmer ofreció varios detalles relacionados con esta macabra idea en su blog. En él detalla que su versión de NerveGear, el dispositivo de Sword Art Online que conecta a los jugadores con su avatar de Aincrad, lleva integrado una serie de explosivos que detonarán a través de un sensor que alcanza una frecuencia específica. Dicha frecuencia, tal y como sucede en el manganime, aparece cuando la vida del jugador llega a 0 y la partida se termina.

Además, Luckey añadió que está buscando la forma de hacer su dispositivo más real intentando evitar que los jugadores puedan quitárselo o, en su defecto, destruirlo. Pese a ello, hace hincapié en que se trata de un "trabajo de oficina", motivo por el que este casco no contará con distribución oficial ni llegará a varios puntos de venta ya que se trata de un proyecto cerrado que nunca verá la luz.

¿Y si...sí tuvieras la oportunidad de usarlo...lo harías?


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El servicio de alojamiento de repositorios basado en la nube GitHub ha abordado una falla de seguridad de alta gravedad que podría haberse aprovechado para crear repositorios maliciosos y montar ataques a la cadena de suministro.

La técnica RepoJacking , divulgada por Checkmarx, implica eludir un mecanismo de protección llamado retiro del espacio de nombres del repositorio popular , que tiene como objetivo evitar que los desarrolladores extraigan repositorios inseguros con el mismo nombre.

El problema fue abordado por la subsidiaria propiedad de Microsoft el 19 de septiembre de 2022 luego de una divulgación responsable.

RepoJacking ocurre cuando un creador de un repositorio opta por cambiar el nombre de usuario, lo que podría permitir que un actor de amenazas reclame el nombre de usuario anterior y publique un repositorio falso con el mismo nombre en un intento de engañar a los usuarios para que los descarguen.


Si bien la contramedida de Microsoft "retira  [ s ] el espacio de nombres de cualquier proyecto de código abierto que tuvo más de 100 clones en la semana previa al cambio de nombre o la eliminación de la cuenta del propietario", Checkmarx descubrió que esto se puede eludir a través de la característica de " transferencia de repositorio ". .

La forma en que esto funciona es la siguiente:

- Un actor de amenazas crea un repositorio con el mismo nombre que el repositorio retirado (por ejemplo, "repo") propiedad de un usuario llamado "víctima" pero con un nombre de usuario diferente (por ejemplo, "ayudante").

- "ayudante" transfiere la propiedad de "repo" a una segunda cuenta con el nombre de usuario "atacante"

- "atacante" cambia el nombre de usuario de la cuenta a "víctima"

- El espacio de nombres "víctima/repo" ahora está bajo el control del adversario

En otras palabras, el ataque depende de la peculiaridad de que GitHub solo considera como retirado el espacio de nombres, es decir, la combinación de nombre de usuario y nombre de repositorio, lo que permite que un mal actor reutilice el nombre del repositorio junto con un nombre de usuario arbitrario.


Una explotación exitosa podría haber permitido efectivamente a los atacantes impulsar repositorios envenenados, poniendo los nombres de usuario renombrados en riesgo de ser víctimas de ataques a la cadena de suministro.

"Si no se atiende explícitamente, todos los nombres de usuario renombrados en GitHub eran vulnerables a esta falla, incluidos más de 10,000 paquetes en los administradores de paquetes Go, Swift y Packagist", dijo Aviad Gershon, investigador de Checkmarx.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha puesto a disposición un parche no oficial para una falla de seguridad explotada activamente en Microsoft Windows que hace posible que los archivos firmados con firmas mal formadas pasen sigilosamente las protecciones Mark-of-the-Web ( MotW ).

La solución, lanzada por 0patch, llega semanas después de que HP Wolf Security revelara una campaña de ransomware Magniber que se dirige a los usuarios con actualizaciones de seguridad falsas que emplean un archivo JavaScript para propagar el malware de cifrado de archivos.

Si bien los archivos descargados de Internet en Windows están etiquetados con un indicador MotW para evitar acciones no autorizadas, desde entonces se descubrió que las firmas corruptas de Authenticode se pueden usar para permitir la ejecución de ejecutables arbitrarios sin ninguna advertencia de SmartScreen .

Authenticode es una tecnología de firma de código de Microsoft que autentica la identidad del editor de un software en particular y verifica si el software fue manipulado después de que se firmó y publicó.

"El archivo [JavaScript] en realidad tiene el MotW, pero aún se ejecuta sin una advertencia cuando se abre", señaló Patrick Schläpfer, investigador de HP Wolf Security.

Citar"Si el archivo tiene esta firma de Authenticode mal formada, se omitirá el cuadro de diálogo de advertencia de SmartScreen y/o apertura de archivo", explicó el investigador de seguridad Will Dormann .
Fuente: Twitter de Will Dormann

Ahora, según la cofundadora de 0patch, Mitja Kolsek, el error de día cero es el resultado de que SmartScreen devuelve una excepción al analizar la firma con formato incorrecto, lo que se interpreta incorrectamente como una decisión de ejecutar el programa en lugar de activar una advertencia.

Las correcciones para la falla también llegan menos de dos semanas después de que se enviaran parches no oficiales para otra falla de derivación de MotW de día cero que salió a la luz en julio y desde entonces ha sido atacada activamente, según el investigador de seguridad Kevin Beaumont .

La vulnerabilidad, descubierta por Dormann, se relaciona con la forma en que Windows no establece el identificador MotW en archivos extraídos de archivos .ZIP específicamente diseñados.

"Por lo tanto, los atacantes, comprensiblemente, prefieren que sus archivos maliciosos no estén marcados con MOTW; esta vulnerabilidad les permite crear un archivo ZIP de modo que los archivos maliciosos extraídos no estén marcados", dijo Kolsek.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mal día para los usuarios de Instagram. La red social centrada en la fotografía y el vídeo de Meta está dando fallos en todo el mundo. De acuerdo a comentarios de los usuarios en otras redes sociales, como Twitter, los problemas se presentan a la hora de iniciar sesión. Además, algunas cuentas parecen estar siendo bloqueadas por error.

El equipo de relaciones públicas de Instagram, a través de su cuenta en Twitter, ha reconocido los inconvenientes de este lunes. "Somos conscientes de que algunos de vosotros tenéis problemas para acceder a vuestra cuenta de Instagram. Lo estamos investigando y pedimos disculpas por las molestias", han indicado en el mensaje.


Instagram está dando fallos en todo el mundo


Downdetector, plataforma digital en línea que proporciona información en tiempo real sobre el estado actual de varias páginas web y servicios, señala que los inconvenientes con la red social adquirieron mayor magnitud alrededor de las 14:30 (hora peninsular española). Al momento de escribir este artículo, más de 7.000 usuarios han indicado en la mencionada plataforma digital que están teniendo problemas con Instagram.


Como podemos ver en la captura superior, uno de los errores que están recibiendo los usuarios tienen que ver con el inicio de sesión. Al ingresar su nombre usuario y contraseña y pulsar en Iniciar sesión, reciben el mensaje "Se ha producido un error al iniciar sesión en Instagram. Vuelve a intentarlo más tarde". Las cuentas con la sesión iniciada previamente parecen no estar dando problemas.

Otro de los inconvenientes tiene que ver con suspensiones de cuentas sin aparente razón. Después de intentar iniciar sesión, como menciona Trendulkar en Twitter, algunos usuarios están recibiendo un mensaje que les indica que su cuenta ha sido suspendida y enumera una serie de razones que podrían haber causado esta medida, dando al usuario la posibilidad de apelar la decisión.


Ante este escenario es recomendable no iniciar un proceso de apelación inmediatamente ya que, si la medida corresponde a un error por parte de Instagram, la compañía debería restaurar el acceso a las cuentas en cuestión de tiempo. Las cuentas suspendidas dejan de contabilizase, por lo que los usuarios pueden experimentar una caída temporal en el número de sus seguidores.


De momento se desconocen los motivos del fallo de la red social, pero coincide con el despliegue de una renovada interfaz web para la aplicación. Como mencionamos al principio, desde la red social han indicado que están investigando el origen de los inconvenientes y actualizaremos este artículo cuando tengamos más detalles.

En cuanto a los cambios que Instagram está desplegando, se trata de una renovada interfaz web que sitúa el menú con el acceso a Inicio, Buscar, Explorar, Mensajes, Notificaciones, Crear y Perfil en la parte izquierda de la pantalla. Anteriormente, todos estos accesos se encontraban en la parte superior.

Imágenes: Solen Feyissa
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El pasado jueves 27 de octubre, Elon Musk concretó la compra de la red social por 44,000 millones de dólares. Tras la noticia, usuarios comenzaron a externar su preocupación en la propia empresa sobre el nivel de control o las libertades que se perderían bajo la nueva dirección, comenzando a crear nuevas cuentas en otras plataformas, como Mastodon y Discord.

De acuerdo con Wired, solamente entre el 20 y el 27 de octubre, se inscribieron unas 18,000 personas en esta red social, y al 28 de octubre se contabilizaban 381,113 usuarios, según Eugen Rochko, director general de la plataforma.

El movimiento comenzó a tomar fuerza apenas horas después de la noticia de la adquisición, generando tendencias en Twitter con #TwitterMigration, en previsión a que se dieran cambios radicales en la nueva red social de Musk.

De acuerdo con la propia Mastodon, el nombre de su plataforma comenzó a ser tendencia conforme más usuarios creaban nuevas cuentas y las anunciaban en Twitter para que sus seguidores también los pudieran encontrar en sus nuevos sitios.

CitarFor anyone wondering, Mastodon got over 70K sign-ups yesterday alone. Let's keep the momentum going! The "public square" of the web must not belong to any one person or corporation!

— Mastodon (@joinmastodon) October 30, 2022

Según Mastodon, esto derivó en que solamente durante el viernes 28 de octubre, se registraron más de 70,000 nuevas cuentas, lo que derivó en una sobrecarga a los servidores por "el pico extremo" de usuarios.

Los argumentos para decidir abandonar Twitter

Las razones para decidir cambiarse son variadas, y Wired recoge los argumentos de distintos usuarios. Por ejemplo, en el caso de Cassie LaBelle, escritora que es parte de la comunidad transgénero en Twitter, escribió en su momento que "no sabía si Musk compraría y destruiría la plataforma".


Por esto, inició su propio servidor de Discord, que a pesar de no ser lo mismo, le permitiría "llevar consigo" a toda la comunidad para tener un espacio de respaldo que se sienta seguro, sobre todo por el riesgo que presentan las reglas de moderación, que puede convertirse en un problema para grupos marginados.

Otro caso es el de comunidades académicas y tecnológicas, que también se encuentran publicando sus perfiles de Mastodon en sus biografías o nombres de Twitter.


También está la situación de empresas, como Danny Groner, director de marketing en el grupo de riesgo Forecast Labs, que utiliza la plataforma para conectarse con la gente de forma profesional. A pesar de que no va a dejarla en este momento, lo tiene contemplado si la red social cambia y afecta la presentación del contenido inapropiado, donde Mastodon funciona como plan de contingencia si trolls y acosadores aumentan en Twitter.

Hay algunos que incluso son más extremos, como con Matt Haughey, quien tenía contemplado dejar Twitter en el momento en que el trato por la adquisición de la plataforma se completara, pues "no confía" en el juicio de Musk, ni quiere ser parte de una empresa de su propiedad.

Sin embargo, quizá el caso más sonado de todos es el de Nibel (@Nibellion), un periodista especializado en noticias de videojuegos, quien también anunció que dejaría la plataforma, por apoyo financiero, pero también por las preocupaciones sobre el liderazgo de Musk.

Imagen: Mastodon
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Reconocer que tiene un problema es el primer paso para abordar el problema de manera seria. Este parece ser el razonamiento por el que la Casa Blanca anunció recientemente su iniciativa "Fortalecimiento de la ciberseguridad de Estados Unidos".

El texto del anuncio contiene varias declaraciones que cualquiera que haya leído sobre seguridad cibernética habrá escuchado muchas veces: aumento de la resiliencia, mayor conciencia, contrarrestar los ataques de ransomware, y la lista continúa.

También hay algunos aspectos novedosos en el texto, incluida la comprensión de que la seguridad cibernética no es, nunca ha sido y nunca será algo que pueda resolverse a nivel de estado-nación.

La Casa Blanca también señaló las etiquetas de advertencia de IoT como una solución, y nos recordó a todos (y necesitamos que nos lo recuerden) sobre la importancia de la educación en seguridad cibernética. Vamos a ver.

La cooperación internacional es fundamental

Un punto clave que la declaración de la Casa Blanca deja muy claro es que los ataques cibernéticos son asimétricos en el sentido de que los actores de amenazas pueden operar a través de las fronteras con impunidad. Mientras tanto, los defensores a menudo se verán restringidos por requisitos legales que no permiten respuestas proporcionales.

Los atacantes sienten una sensación de protección porque disfrutan de medidas regulatorias y de aplicación más estrictas en casa, mientras que pueden apuntar a sistemas que operan prácticamente en cualquier parte del planeta, sin importar qué tan estricta sea la aplicación de la ley en el país de residencia del objetivo.

Mientras el problema no se aborde a nivel internacional, las soluciones que se encuentren no serán mejores que curitas. La iniciativa de la Casa Blanca afirma correctamente, en múltiples instancias, que los socios y organizaciones internacionales como la OTAN desempeñarán un papel decisivo en el espacio de la ciberseguridad.

Esta no es una solución ideal. Sí, los socios internacionales que trabajan juntos expanden el panorama de la defensa a un tamaño que se parece más al tamaño del problema. Sin embargo, esta sigue siendo una solución de retazos con una eficacia limitada.

Lo que necesitamos es algo más parecido a un tratado global que realmente haga cumplir la ley de seguridad cibernética. Basta pensar en el impacto del derecho marítimo internacional, por ejemplo.

No obstante, compartir información sobre actores de amenazas, metodologías y técnicas novedosas es, sin duda, lo mejor para todos y, si se pone en marcha adecuadamente, permitirá respuestas más rápidas a las nuevas amenazas.

La educación en ciberseguridad sigue siendo importante

Otro aspecto interesante de la iniciativa Fortalecimiento de la seguridad cibernética de Estados Unidos es el enfoque en impulsar la educación en seguridad cibernética. Como se nos advierte constante y dolorosamente, la ciberseguridad es ante todo un problema de personas más que un problema de tecnología.

Aumentar la alfabetización en seguridad cibernética y enseñar a las personas los conceptos básicos de cómo comportarse en línea de manera segura en todas las etapas de la vida privada y comercial tendrá efectos combinados tanto en la reducción del riesgo como en la reducción del impacto de cualquier incidente que inevitablemente seguirá ocurriendo.

Tome la Iniciativa Nacional para la Educación en Seguridad Cibernética (NICE) apoyada por el NIST, por ejemplo. Con un marco formal, eventos regulares y actualizaciones de boletines, hace un gran esfuerzo. Por supuesto, ninguna solución es infalible, pero los efectos acumulativos de cada iniciativa marcarán la diferencia.

¿Qué pasa con las etiquetas de riesgo para dispositivos IoT?

Hay un debate candente en torno a un nuevo esquema de etiquetas de riesgo para dispositivos IoT. Las etiquetas de seguridad cibernética para el consumidor están destinadas a actuar como una ruta para la divulgación, de manera similar a la forma en que las etiquetas de los alimentos enumeran los ingredientes y los puntajes nutricionales.

Sin embargo, aún no se sabe qué tan efectiva será una etiqueta de ciberseguridad para el consumidor. Surgen nuevas vulnerabilidades todo el tiempo, por lo que es discutible la precisión de una etiqueta impresa hace medio año cuando un dispositivo está en un estante en Best Buy.

Además, sin el apoyo internacional adecuado, la iniciativa de etiquetado probablemente conducirá a la fragmentación, tal como lo hizo el RGPD, ya que algunos sitios web ahora eligen simplemente bloquear a todos los visitantes de las regiones cubiertas por el RGPD en lugar de intentar cumplir con los requisitos del RGPD.

También existe la preocupación de que una etiqueta pueda ser simplemente un menú "a la carta" para los atacantes. Si una etiqueta especifica claramente todas las medidas de seguridad cibernética que tiene implementado un dispositivo, simplemente se lo hace más fácil para un atacante porque puede ahorrar tiempo al omitir estrategias de ataque que obviamente no funcionarán.

Es un proceso paso a paso

Una etiqueta de ciberseguridad para el consumidor es un paso en la dirección correcta en un panorama en el que a menudo es difícil lograr algún progreso. Si se implementan correctamente, las etiquetas de ciberseguridad para el consumidor podrían conducir a una mejora general de las condiciones de seguridad en Internet y sus diversas redes. Lo mismo ocurre con el creciente número de iniciativas de educación en ciberseguridad.

Pero, como dicen, el diablo está en los detalles, y esos aún están por anunciarse. La conclusión es que el gobierno de EE. UU. está haciendo al menos algún esfuerzo para ayudar a los ciudadanos y empresas del país a controlar la crisis de ciberseguridad.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa de seguridad de WordPress, Wordfence, dijo el jueves que comenzó a detectar intentos de explotación dirigidos a la falla recientemente revelada en Apache Commons Text el 18 de octubre de 2022.

A la vulnerabilidad, rastreada como CVE-2022-42889 , también conocida como Text4Shell , se le ha asignado una clasificación de gravedad de 9,8 de un posible 10,0 en la escala CVSS y afecta a las versiones 1.5 a 1.9 de la biblioteca.

También es similar a la ahora infame vulnerabilidad Log4Shell en el sentido de que el problema radica en la forma en que las sustituciones de cadenas realizadas durante las búsquedas de DNS, secuencias de comandos y URL podrían conducir a la ejecución de código arbitrario en sistemas susceptibles al pasar una entrada que no es de confianza.

"El atacante puede enviar una carga útil manipulada de forma remota utilizando búsquedas de 'script', 'dns' y 'url' para lograr la ejecución remota de código arbitrario", explicó el equipo de Zscaler ThreatLabZ .

Una explotación exitosa de la falla puede permitir que un actor de amenazas abra una conexión de shell inversa con la aplicación vulnerable simplemente a través de una carga útil especialmente diseñada, abriendo efectivamente la puerta para ataques de seguimiento.

Si bien el problema se informó originalmente a principios de marzo de 2022, Apache Software Foundation (ASF) lanzó una versión actualizada del software (1.10.0) el 24 de septiembre, y luego emitió un aviso la semana pasada, el 13 de octubre.

"Afortunadamente, no todos los usuarios de esta biblioteca se verían afectados por esta vulnerabilidad, a diferencia de Log4j en la vulnerabilidad Log4Shell, que era vulnerable incluso en sus casos de uso más básicos", dijo Yaniv Nizry, investigador de Checkmarx .

"Apache Commons Text debe usarse de cierta manera para exponer la superficie de ataque y hacer que la vulnerabilidad sea explotable".

Wordfence también reiteró que la probabilidad de una explotación exitosa tiene un alcance significativamente limitado en comparación con Log4j, con la mayoría de las cargas útiles observadas hasta ahora diseñadas para buscar instalaciones vulnerables.

"Un intento exitoso daría como resultado que el sitio de la víctima realice una consulta de DNS al dominio de escucha controlado por el atacante", dijo Ram Gall, investigador de Wordfence , y agregó que las solicitudes con prefijos de script y URL han sido comparativamente más bajas en volumen.

En todo caso, el desarrollo es otra indicación de los posibles riesgos de seguridad que plantean las dependencias de código abierto de terceros, lo que requiere que las organizaciones evalúen de forma rutinaria su superficie de ataque y establezcan estrategias de administración de parches adecuadas.

Se recomienda a los usuarios que tienen dependencias directas en Apache Commons Text que actualicen a la versión fija para mitigar posibles amenazas. Según Maven Repository , hasta 2593 proyectos usan la biblioteca, aunque Flashpoint señaló que muy pocos de los enumerados usan el método vulnerable.

La falla de Apache Commons Text también sigue a otra debilidad de seguridad crítica que se reveló en la configuración de Apache Commons en julio de 2022 ( CVE-2022-33980 , puntaje CVSS: 9., lo que podría resultar en la ejecución de código arbitrario a través de la funcionalidad de interpolación variable.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft está desarrollando un programa de optimización del sistema Windows llamado 'PC Manager' que combina las herramientas existentes de Windows en una sola interfaz.

Si es un usuario de Windows, es probable que se haya topado con varios limpiadores de sistema de Windows o programas de optimización del sistema que prometen aumentar la velocidad de su computadora al eliminar archivos innecesarios y claves de registro.

El más popular de estos tipos de programas es CCleaner de Piriform y Advanced System Care de Iobit.

Si bien a algunas personas les encantan estos programas y dicen que aumentan la velocidad de su computadora, Microsoft siempre ha dicho que los usuarios de Windows deben  evitar todos los limpiadores del Registro  , ya que podrían dañar el sistema operativo.

Si bien a primera vista, la aplicación PC Manager de Microsoft se parece a uno de estos optimizadores de sistema, en realidad actúa como una ubicación central para realizar varias tareas que ya existen en otras herramientas integradas de Windows.

El nuevo administrador de PC con Windows de Microsoft

Descubierto por primera vez por Aggiornamenti Lumia , PC Manager de Microsoft se encuentra actualmente en versión beta y se ofrece en el subdominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login . Como la página está escrita en chino, es probable que Microsoft esté probando primero la versión beta del administrador de PC en China.


Si bien el sitio web está en chino, la interfaz del programa está en inglés y contiene dos secciones: una sección de limpieza para varias herramientas de optimización del sistema y una sección de seguridad para el análisis antivirus y la protección del navegador, como se muestra a continuación.


La sección Limpieza contiene cuatro herramientas diferentes que se utilizan para optimizar su PC con Windows mediante la búsqueda de archivos innecesarios, procesos que utilizan muchos recursos, aplicaciones poco utilizadas, archivos grandes y programas de inicio automático que aumentan el tiempo de inicio del sistema operativo.

La primera herramienta, 'Comprobación de estado', escanea el dispositivo en busca de virus (usando Microsoft Defender), archivos innecesarios (como el Liberador de espacio en disco integrado de Windows), problemas potenciales (sin usar Edge como navegador predeterminado) y arranques que aumentan la tiempo de arranque de Windows (similar a la pestaña Inicios en el Administrador de tareas).


La función 'Administración de almacenamiento' le permite buscar nuevamente archivos innecesarios (Limpieza de disco), buscar archivos grandes en su dispositivo (Búsqueda de Windows) e iniciar las utilidades integradas de Windows para eliminar automáticamente archivos temporales (Storage Sense) o desinstalarlos que rara vez se usan aplicaciones (configuración de aplicaciones y características).


La función 'Administración de procesos' enumera los procesos que utilizan una gran cantidad de recursos y la función 'Aplicaciones de inicio' enumera los procesos que aumentan el tiempo de arranque del sistema operativo.

La sección 'Seguridad' de PC Manager contiene una función de 'Actualización de Windows' que le permite ver las actualizaciones disponibles y una función de 'Protección del navegador' que le permite cambiar su navegador predeterminado y bloquear los intentos de los programas de cambiarlo sin permiso.


En general, la herramienta es bastante interesante y proporciona una interfaz única para varias herramientas de optimización que ya están integradas en Windows hasta cierto punto.

Para usuarios avanzados, PC Manager no aportará mucho a la mesa que no se encuentre ya en Windows. Sin embargo, para usuarios menos experimentados, podría proporcionar una forma más fácil de realizar diversas tareas de mantenimiento.

A diferencia de CCleaner o Advanced System Care, no hay una limpieza del Registro integrada en la aplicación, por lo que aquellos a quienes les gusta evitar ese tipo de aplicaciones, están de suerte.

BleepingComputer se comunicó con Microsoft para obtener más información sobre esta nueva aplicación y actualizará el artículo cuando recibamos una respuesta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dos nuevas bandas de extorsión llamadas 'TommyLeaks' y 'SchoolBoys' están apuntando a empresas de todo el mundo. Sin embargo, hay una trampa: ambos son la misma banda de ransomware.

El mes pasado, el investigador de seguridad MalwareHunterTeam  tuiteó  sobre una nueva banda de extorsión conocida como 'TommyLeaks'.

Este grupo de piratas afirma violar las redes corporativas, robar datos y exigir un rescate para no filtrar datos. Las demandas de rescate vistas por BleepingComputer oscilan entre $ 400,000 y $ 700,000.


En octubre, MalwareHunterTeam  descubrió  otra nueva banda de extorsión llamada 'SchoolBoys Ransomware Gang' que afirma robar datos y cifrar los dispositivos de las víctimas como parte de sus ataques.


BleepingComputer luego encontró una muestra del encriptador de ransomware SchoolBoys [ VirusTotal ] y confirmó que fue creado usando el constructor filtrado LockBit 3.0 .


Los actores de amenazas roban datos durante sus ataques, pero no tienen un sitio de fuga de datos público conocido en este momento.

Si bien no había nada que vinculara a los grupos en ese momento, ambos usaban el mismo sistema de chat Tor para sus sitios de negociación.



Aún más curioso, este mismo sistema de chat solo ha sido utilizado antes por el grupo de extorsión de Karakurt.

Dos lados de la misma moneda

Esta semana, BleepingComputer ha confirmado que tanto TommyLeaks como SchoolBoys Ransomware Gang son, de hecho, el mismo grupo de extorsión.

En un chat de negociación de SchoolBoys compartido con BleepingComputer, los actores de amenazas saludan a su víctima como "TommyLeaks" en sus intentos de coaccionar el pago de un rescate.

Si bien no está claro por qué están utilizando dos nombres diferentes como parte de su operación, es posible que estén intentando un  enfoque similar al adoptado por Conti y Karakurt .

A principios de este año, el CEO de AdvIntel, Vitali Kremez, le dijo a BleepingComputer que Karakurt era parte del sindicato de delitos cibernéticos Conti.

Cuando el cifrador de ransomware de Conti fue bloqueado en los ataques, los piratas informáticos extorsionaron a la víctima utilizando los datos ya robados con el nombre de Karakurt en lugar de la marca Conti.

Para ir un paso más allá, ya que el grupo TommyLeaks/SchoolBoys usa el sistema de chat como Karakurt, es posible que veamos un cambio de marca de la rama de Conti en estas marcas más nuevas.

Si bien es demasiado pronto para saber si esto es lo que está ocurriendo, el grupo de extorsión es uno de los que las empresas deben vigilar, ya que se dirigen a entidades de todos los tamaños.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos constantemente actualizan las técnicas que utilizan para robar contraseñas y datos. Se aprovechan de vulnerabilidades que pueden explotar, de malware que pueden colar a sus víctimas y también de estrategias de ingeniería social para provocar algún error. En este artículo nos hacemos eco de cómo falsifican el traductor de Google para lanzar ataques Phishing. El objetivo es robar contraseñas.

Falsifican el traductor de Google para robar claves

Lo que hacen los ciberdelincuentes es falsificar Google Translate. Para ello utilizan una técnica de ofuscación de JavaScript y poder estafar a las víctimas, pero también evitar medidas de seguridad de los correos electrónicos. Una campaña de Phishing en toda regla con la que roban las claves de acceso.

Hay que tener en cuenta que el traductor de Google es un servicio popular, en el que confían los usuarios. Justo esto hace que no tengan la sensación de que están ante algo falso y pueden poner sus datos y terminan en manos de los piratas informáticos.

Ha sido un descubrimiento realizado por parte de Avanan, una empresa de software de Check Point. Indican que lo que hacen es ocultar los sitios de Phishing mediante el traductor de Google para que parezcan legítimos. Además, utilizan la ingeniería social para hacer que la víctima tenga que responder un e-mail. Por ejemplo, suelen indicar que necesitan contestar o cerrarán la cuenta.


Cuando la víctima hace clic, en realidad no va al sitio oficial; va a ir a una página falsa, creada solo para robar la contraseña. Sin embargo, esa página parece ser el traductor de Google y tiene una apariencia de seguridad. Ahí aparece un campo para poner el correo electrónico y la contraseña de acceso.

Este ataque sigue el patrón general cuando hablamos de Phishing. Suelen buscar la urgencia y celeridad, hacer creer que están ante algo legítimo y de esta forma robar las contraseñas. La víctima cae en el cebo y termina en una página que en realidad ha sido creada solo con ese objetivo, aunque pueda parecer legítima.


Tácticas cada vez más sofisticadas

El caso del traductor de Google es uno más de los que podemos ver hoy en día. Los ciberdelincuentes utilizan cada vez más ataques sofisticados de este tipo. Trabajan muy bien hasta el mínimo detalle para hacer creer a la víctima que están ante algo oficial, ante una página realmente segura pero que se trata de una estafa.

Esto hace que debamos tomar aún más precauciones para evitar el Phishing de clonación y otras estafas similares que podemos encontrarnos. El sentido común es fundamental para no cometer errores. Desconfía siempre de enlaces que te encuentres al navegar o que te llegan a través del correo electrónico.

También es importante contar con buenos antivirus y tener todo actualizado. Esto ayudará a evitar virus y malware en general que pueda afectar a la seguridad. Por ejemplo, si utilizas Windows y tiene alguna vulnerabilidad sin corregir podrían aprovecharla para colar alguna amenaza. Eso hace que sea imprescindible tener todo actualizado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Su historia es breve, un visto y no visto casi, y sin embargo a duras penas se puede entender la crónica patria del Internet sin el buscador Olé. La suya fue fue en cierto modo una vida de estrella del rock and roll: fugaz, acelerada, salpicada por la polémica y con un ascenso meteórico al que siguió la defenestración inevitable por el atractivo de los nuevos nombres. Todo aderezado con un indudable dominio y colores "made in Spain" que aún hoy arranca sonrisas y algún suspiro de nostalgia.

Los orígenes de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se remontan a la España de los años 90, la de Amistades Peligrosas y los acordes new age de ElBosco, las campanadas con Joaquín Prat y el Motorola Startac. Con ese telón de fondo se lanzó en enero de 1996 Olé, acrónimo de Ordenamientos de Links Especializados, un nombre quizás no tan comercial pero que capta bien qué era y para qué se utilizaba.


Olé era un buscador web, el primero disponible en castellano y que logró un auténtico alcance y popularidad. Su aspecto, eso sí, poco tiene que ver con el Google actual. Se parecía a un directorio, una lista de enlaces a otras webs agrupados y ordenados por diferentes categorías, como Ciencias, Cultura, Humanidades o Economía y Negocios. Estábamos a mediados de la década de los 90 y, si no todo, a los internautas que trasteaban con la Red aún les quedaba mucho por aprender.

Buen ojo, buen negocio


Detrás del proyecto estaba la mano de un hombre que a la larga llegó a hacerse casi tan popular como su propia creación, Josep (Pep) Vallés Rovira, un habilidoso hombre de negocios en el que la Fundació Catalana per a la Recerca (FCR) —entidad de patronazgo mixto público privado— vio un candidato ideal para vender las bondades de CINET, su proveedor de acceso a Internet.

Vallés hizo eso y más. Junto a José Gaspa Rovira ideó y propuso a los responsables de la FCR desarrollar un proyecto ambicioso, lo que acabaría siendo a la larga Olé.

Quizás no estuviese muy versado en tecnología o aquello de Internet, pero de olfato Vallés iba más que servido y no se le escapó el potencial de un buscador. ¿Si en Estados Unidos estaba empujando con fuerza Yahoo! por qué no iba a poder hacerlo Olé en España? La herramienta podría promover la implantación de la Red en las empresas catalanas y partía con un enorme potencial: los cientos de millones de hispanohablantes que quizás algún día decidiesen lanzarse a la Red.

Quienes entonces querían buscar información tecleando las tres "w" se veía a menudo obligado a hacerlo con herramientas como Yahoo!, AltaVista o WebCrawler, útiles, sÍ; pero en inglés.


La idea gustó lo suficiente en los despachos de la FCR como para que le diesen luz verde y una discreta asignación de fondos. Los términos del pacto quedaron claros: la Fundació reconocía la propiedad de la idea a sus padres originales y el derecho a recuperar su propiedad en el futuro. A cambio, eso sí, de el organismo conservase los derechos de utilización del recurso.

Durante alrededor de seis meses —precisa Profesional de la Información— el equipo de CINET se dedicó a peinar la Red a la caza de recursos en español, analizando más de 50.000 referencias y verificando las URLs, tarea a la que se sumó la de estructurar y diseñar el propio buscador. Para su presentación se optó por una mezcla bien estudiada: un nombre con una composición similar al famoso Yahoo! estadounidense y un logo inspirado en la estética del pintor Joan Miró.


La criatura echó a andar en enero de 1996. El "localizador" (sic) arrancó con 2.000 referencias y apenas seis meses después rondaba ya las 4.000, un alza considerable que palidece sin embargo con la del propio flujo de visitas: si en enero de 1996 sumaba unas 34.900, en mayo rondaban ya las 1,02 millones con un punto de inflexión claro en marzo, cuando había finalizado su fase inicial de pruebas. Los usuarios accedían desde España y otros países, como México o EEUU.

Su buena evolución no impidió sin embargo que se decidiese desprenderse del buscador, un movimiento polémico sobre el que, a la postre, correrían ríos de tinta y alentaría no pocas horas de acalorado debate político. ¿La razón? Una simple cuestión de sumas y restas. Sobre todo de restas.

La titularidad de Olé se devolvió a Vallés y Gaspa por 200.000 pesetas, unos 1.200 euros. No estaba mal. Sobre todo si tenemos en cuenta que no mucho después el buscador se vendía por una cifra bastante más abultada. "La Generalitat logró 200.000 pesetas por Olé, valorado después en 3.000 millones", titulaba El País en noviembre de 2000 una noticia en la que, entre otras cuestiones, apuntaba las dudas y debate que había desatado en la "privatización" de Olé.

El movimiento fue tan polémico que en 2002 el fiscal apreciaba aún indicios de una posible estafa en la venta y de delito fiscal por el traslado a sociedades extranjeras de los beneficios de la operación.

Pero no adelantemos acontecimientos.

De las faldas de FCR Olé pasó a un sótano propiedad de la familia de Vallés, donde continuó creciendo, alcanzó acuerdos con empresas como Mixmail o Alleurope y enriqueció su oferta con un servicio de noticias, chat y email gratuito. A mediados de 1998 un estudio de AIM-EGM ya la situaba como la tercera web más visitada en España, solo por detrás de Yahoo y El País y por delante de los sites de Microsoft, Altavista, ciudadfutura, el grupo Recoletos, Hotmail, El Mundo y Latinmail.

Así las cosas pasó lo esperable. Olé atrajo el interés de Telefónica, con la que cerró un acuerdo en 1999, cuando el célebre portal andaba ya por las cinco millones de visitas mensuales.

"Se sella la unión entre el líder global de telecomunicaciones en el mercado de habla hispana-portuguesa y el líder español de los portales y servidores de contenidos de Internet", presumía por aquellas fechas Juan Villalonga, presidente de Telefónica. La venta se acordó por 3.000 millones de pesetas —qué lejos quedaban ya las 200.000 que se había llevado la FCR solo unos años antes— y opciones sobre acciones que hacia el verano de 2002 valían aún la friolera de 6.500 millones.

Grandes cifras, grandes inversiones, pero no mucho camino por delante.

Telefónica apostó por Olé, priorizándolo incluso por delante de otros proyectos internos en los que había estado trabajando durante meses y generando un profundo malestar entre parte de su equipo, pero eso no significó que a aquella marca de resonancias castizas le quedase mucho carrete.

La teleco decidió mantenerla como el buscador de Terra, nombre que acabaría fagotizando al escogido en su día al amparo de la Fundació. La puntilla le llegó en abril de 2000, cuando Telefónica hizo un desembolso millonario para hacerse con la popular Lycos. Eran nuevos tiempos, los tiempos de Terra, una de las grandes "puntocom" de la España de los primeros 2.000, que amasó millones, marcó a una generación de internautas y acabó despidiéndose años después, en 2017.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Son un mal necesario. A todos nos fastidia el mensaje de las cookies, ¿pero cuántos estarían dispuestos a pagar para quitarlas? Aparentemente un número suficiente alto de usuarios como para que algunos grandes medios ofrezcan esta opción.

Es el caso de Der Spiegel, Bild o Die Welt. Los principales periódicos alemanes ofrecen lo que se conoce como "cookie paywall", un muro de pago que plantea una opción bastante directa: o pagas 4,99€ al mes o nos das tus datos a través de las cookies.


75€/año para evitar el rastreo. El muro de pago para las cookies es la solución que han ideado algunos medios para garantizar la privacidad de los usuarios y al mismo tiempo seguir obteniendo beneficios. No hay solución sencilla. Pero salvo navegadores como Brave, el resto trabaja con las cookies como una herramienta principal. Ni siquiera el modo incógnito las evita.

Cada vez son más webs (Xataka incluida) las que añaden un gran número de cookies. En ocasiones incluso es necesario aceptar un mínimo de cookies para poder ver un vídeo o leer una noticia. Como alternativa aparece este muro para las cookies que ya está popularizándose en medios alemanes.

Una opción que puede suponer unos 75 euros al año, según describe Cristiana Santos, profesora de privacidad y protección de datos en la Universidad de Utrecht y que ha publicado un estudio al respecto.

Para colmo, podrían ser ilegales. Pagar por quitar las cookies parecía una buena idea, pero en realidad es un método polémico, que incluso podría ser ilegal, según el European Data Protection Board (EDPB). Según explica el organismo regulador: "para que el consentimiento pueda darse libremente, el acceso no debe hacerse condicionado".

El problema es que algunos medios no dan opción a rechazar las cookies. La únicas opciones que ofrecen son "acepto las cookies", "pago por ellas" o "abandono el sitio". La ley europea establece que sí tiene que existir la opción de rechazar las cookies, aunque en ocasiones no esté lo suficiente visible.

Ya se ha denunciado a estos medios. Desde NOYB, especializados en privacidad y protección de datos, han denunciado a los distintos medios alemanes y austriacos que han implementado estos muros de pagos de cookies. Alan Dahi, uno de los abogados, resume bien el problema: "la mayoría de la gente visita muchos sitios web diferentes al mes. Si cada sitio cobrase 5 euros, deberíamos cobrar mucho para poder pagar por nuestra privacidad. Esto ya no tiene nada que ver con el consentimiento otorgado libremente".

Lo de las cookies todavía no tiene una solución clara. El debate con las cookies todavía durará unos años. Un ejemplo de su complejidad lo tenemos con Google, que lleva años intentando crear una alternativa y ha ido retrasándolo cada vez más. El equilibrio entre privacidad y la importancia para la industria publicitaria parecen incompatibles, pero están condenadas a entenderse.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los proveedores de servicios de telecomunicaciones y TI en el Medio Oriente y Asia están siendo atacados por un grupo de amenazas de habla china previamente indocumentado denominado WIP19 .

Los ataques relacionados con el espionaje se caracterizan por el uso de un certificado digital robado emitido por una empresa coreana llamada DEEPSoft para firmar artefactos maliciosos desplegados durante la cadena de infección para evadir la detección.

"Casi todas las operaciones realizadas por el actor de amenazas se completaron con un 'teclado práctico', durante una sesión interactiva con máquinas comprometidas", dijeron los investigadores de SentinelOne Joey Chen y Amitai Ben Shushan Ehrlich en un informe esta semana.

"Esto significó que el atacante renunció a un canal [de comando y control] estable a cambio del sigilo".

WIP, abreviatura de trabajo en curso, es el apodo asignado por SentinelOne a grupos de actividad emergentes o hasta ahora no atribuidos, similar a las designaciones UNC####, DEV-#### y TAG-## dadas por Mandiant, Microsoft y Futuro Grabado.

La firma de ciberseguridad también señaló que partes seleccionadas de los componentes maliciosos empleados por WIP19 fueron creados por un autor de malware de habla china llamado WinEggDrop, que ha estado activo desde 2014.

Se dice que WIP19 comparte enlaces con otro grupo cuyo nombre en código es Operation Shadow Force debido a superposiciones en el uso de malware creado por WinEggDrop, certificados robados y superposiciones tácticas.

Dicho esto, señaló SentinelOne, "no está claro si se trata de una nueva iteración de la operación 'Shadow Force' o simplemente de un actor diferente que utiliza TTP similares".


Las intrusiones montadas por el colectivo adversario se basan en un conjunto de herramientas personalizado que incluye una combinación de un volcador de credenciales, un escáner de red, un ladrón de navegador, un registrador de pulsaciones de teclas y un grabador de pantalla (ScreenCap), y un implante conocido como SQLMaggie.

SQLMaggie también fue objeto de un análisis en profundidad por parte de la empresa alemana de ciberseguridad DCSO CyTec a principios de este mes, destacando su capacidad para acceder a servidores Microsoft SQL y aprovechar el acceso para ejecutar comandos arbitrarios a través de consultas SQL.

Un análisis de los datos de telemetría reveló además la presencia de SQLMaggie en 285 servidores distribuidos en 42 países, principalmente Corea del Sur, India, Vietnam, China, Taiwán, Rusia, Tailandia, Alemania, Irán y EE. UU.

El hecho de que los ataques estén dirigidos con precisión y de bajo volumen, sin mencionar que se hayan centrado en el sector de las telecomunicaciones, indica que el motivo principal detrás de la campaña puede ser recopilar inteligencia.

Los hallazgos son otra indicación de cómo los grupos de piratería alineados con China se expanden y son fluidos a la vez debido a la reutilización de una variedad de familias de malware entre varios actores de amenazas.

"WIP19 es un ejemplo de la mayor amplitud de la actividad de espionaje china experimentada en las industrias de infraestructura crítica", dijeron los investigadores de SentineOne.

"La existencia de intendentes confiables y desarrolladores comunes permite un panorama de grupos de amenazas difíciles de identificar que utilizan herramientas similares, lo que hace que los grupos de amenazas sean difíciles de distinguir desde el punto de vista de los defensores".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tata Power Company Limited, la compañía eléctrica integrada más grande de la India, confirmó el viernes que fue objeto de un ciberataque.

La intrusión en la infraestructura de TI afectó a "algunos de sus sistemas de TI", dijo la compañía en una presentación ante la Bolsa Nacional de Valores (NSE) de India.

Dijo además que ha tomado medidas para recuperar y restaurar las máquinas afectadas, y agregó que colocó barandas de seguridad para los portales orientados al cliente para evitar el acceso no autorizado.

La compañía de servicios eléctricos con sede en Mumbai, parte del conglomerado Tata Group, no reveló más detalles sobre la naturaleza del ataque o cuándo tuvo lugar.

Dicho esto, la firma de seguridad cibernética Recorded Future en abril reveló ataques montados por adversarios vinculados a China contra organizaciones de redes eléctricas indias.

Se dice que las intrusiones en la red estaban dirigidas a "al menos siete Centros de Despacho de Carga del Estado de la India (SLDC) responsables de llevar a cabo operaciones en tiempo real para el control de la red y el despacho de electricidad dentro de estos respectivos estados".

Los ataques se atribuyeron a un grupo de amenazas emergentes que Recorded Future está rastreando bajo el nombre Threat Activity Group 38 (TAG-38).

La empresa evaluó además que la orientación está destinada a facilitar la recopilación de información relacionada con los activos de infraestructura crítica o es probable que sea un precursor de actividades futuras.

China refutó las acusaciones de que estuvo involucrada y afirmó que "muchos de los aliados de EE. UU. o países con los que coopera en ciberseguridad también son víctimas de ataques cibernéticos de EE. UU.".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fortinet insta a los clientes a parchear urgentemente sus dispositivos contra una vulnerabilidad crítica de omisión de autenticación FortiOS, FortiProxy y FortiSwitchManager explotada en ataques.

La compañía  lanzó actualizaciones de seguridad  para abordar la falla (CVE-2022-40684) la semana pasada y también  aconsejó a los clientes  en alertas privadas que deshabiliten las interfaces de usuario de administración remota en los dispositivos afectados "con la máxima urgencia" para bloquear los ataques si no pueden hacerlo de inmediato. parche.

Una semana después, los investigadores de seguridad de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login compartieron un  exploit de prueba de concepto (PoC)  y un análisis técnico de la causa raíz de la vulnerabilidad.

El viernes, después de que se lanzó el código de explotación, Fortinet emitió una advertencia pública pidiendo a los clientes que corrigieran urgentemente esta falla de seguridad explotada activamente.

"Después de múltiples notificaciones de Fortinet durante la semana pasada, todavía hay una cantidad significativa de dispositivos que requieren mitigación, y luego de la publicación por parte de un tercero del código POC, existe una explotación activa de esta vulnerabilidad", advirtió la compañía .

"Con base en este desarrollo, Fortinet nuevamente recomienda a los clientes y socios que tomen medidas urgentes e inmediatas como se describe en el Aviso público ".

Los atacantes comenzaron a buscar dispositivos Fortinet sin parches tan pronto como se envió la notificación confidencial inicial a los clientes el 6 de octubre, y Fortinet dijo que detectó actores de amenazas que explotaban la vulnerabilidad para crear cuentas de administrador maliciosas.


Las empresas de ciberseguridad GreyNoise y Bad Packets confirmaron los hallazgos de Fortinet después de compartir que también detectaron atacantes que buscaban e intentaban explotar CVE-2022-40684 en la naturaleza.

CISA también  agregó CVE-2022-40684 el martes a su lista de errores de seguridad explotados en ataques, lo que requiere que todas las agencias del Poder Ejecutivo Civil Federal parcheen los dispositivos Fortinet en sus redes hasta el 1 de noviembre.

Los administradores que no pueden aplicar parches de inmediato o deshabilitar dispositivos vulnerables para asegurarse de que no se vean comprometidos también pueden usar las medidas de mitigación compartidas por Fortinet en  este aviso de seguridad .

Estas soluciones alternativas requieren deshabilitar la interfaz administrativa HTTP/HTTPS o limitar las direcciones IP que se pueden usar para llegar a la interfaz administrativa mediante una política de entrada local.

Si desea verificar si sus dispositivos se han visto comprometidos antes de aplicar mitigaciones o parches, puede verificar los registros de los dispositivos para user=" Local_Process_Access", user_interface=" Node.js" o user_interface=" Report Runner".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 45 000 servidores VMware ESXi inventariados por Lansweeper acaban de llegar al final de su vida útil (EOL), y VMware ya no proporciona actualizaciones de software y seguridad a menos que las empresas adquieran un contrato de soporte extendido.

Lansweeper desarrolla software de administración y descubrimiento de activos que permite a los clientes rastrear qué hardware y software están ejecutando en su red.

A partir del 15 de octubre de 2022, VMware ESXi 6.5 y VMware ESXi 6.7 llegaron al final de su vida útil y solo recibirán soporte técnico pero no actualizaciones de seguridad, lo que pone el software en riesgo de vulnerabilidades.

La empresa analizó datos de 6000 clientes y encontró 79 000 servidores VMware ESXi instalados.

De esos servidores, el 36,5 % (28 835) ejecutan la versión 6.7.0, lanzada en noviembre de 2016, y el 21,3 % (16 830) tienen la versión 6.5.0, lanzada en abril de 2020. En total, hay 45 654 servidores VMware ESXi que llegan al final de La vida a partir de hoy

Los hallazgos de Lansweeper son alarmantes porque además del 57% que entra en un período de riesgo elevado, también hay otro 15,8% de instalaciones que ejecutan versiones aún más antiguas, que van desde la 3.5.0 a la 5.5.0, que llegaron a EOL hace bastante tiempo. .

En resumen, en este momento, solo uno de cada cuatro servidores ESXi (26,4 %) sigue siendo compatible y seguirá recibiendo actualizaciones de seguridad periódicas hasta el 2 de abril de 2025.


La guía técnica para ESXi 6.5 y 6.7 continuará hasta el 15 de noviembre de 2023, pero esto se refiere a problemas de implementación, sin incluir la mitigación de riesgos de seguridad.

La única forma de asegurarse de que puede continuar usando versiones anteriores de forma segura es solicitar el soporte extendido de dos años, que debe comprarse por separado. Sin embargo, esto no incluye actualizaciones para paquetes de software de terceros.

Para obtener más detalles sobre las fechas de EOL en todos los productos de software de VMware,  consulte esta página web

¿Qué significa esto?

Cuando un producto de software llega a la fecha de fin de vida, deja de recibir actualizaciones de seguridad periódicas. Esto significa que los administradores ya deberían haber planificado con anticipación y actualizado todas las implementaciones a una versión más reciente.

Si bien no es improbable que VMware aún ofrezca algunos parches de seguridad críticos para estas versiones anteriores, no está garantizado y ciertamente no lanzará parches para todas las nuevas vulnerabilidades que se descubran.

Una vez que un servidor ESXi no compatible ha funcionado durante el tiempo suficiente sin parches, habrá acumulado tantas vulnerabilidades de seguridad que los atacantes tendrán varias formas de violarlo.

Debido a que ESXi aloja máquinas virtuales, atacar el servidor puede causar una interrupción grave y a gran escala de las operaciones comerciales, razón por la cual las pandillas de ransomware están tan enfocadas en atacarlo.

Este año, las máquinas virtuales ESXi fueron blanco de  Black Basta ,  RedAlert ,  GwisinLocker ,  Hive y las   bandas de ransomware Cheers .

Más recientemente, Mandiant descubrió que los piratas informáticos encontraron  un nuevo método  para establecer la persistencia en los hipervisores VMware ESXi que les permite controlar el servidor y las máquinas virtuales alojadas sin ser detectados.

Dicho todo esto, ESXi ya disfruta de una gran atención por parte de los actores de amenazas, por lo que ejecutar versiones obsoletas y vulnerables del software sin duda sería una idea terrible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No sabemos si llegará el día en el que las tablets movidas por Linux serán una alternativa real, pero por falta de intentos no será. En marzo de 2021 se presentó la JingPad, una tablet con interfaz propia, basada en Linux y que se parecía mucho a lo que ofrece el iPadOS de Apple... pero este año han estado muy parados y no se sabe si el proyecto seguirá adelante. Antes, PINE64 y UBports lanzaron la PineTab... en la que las cosas podrían ser mejores. Ahora, Juno Computers ha presentado una tablet con Linux, y de momento sólo conocemos los primeros detalles.

En la descripción del producto, Juno Computers dice que estamos ante un producto beta (oh, no... otra vez) que en general funciona, pero aún hay bugs que tienen que corregir. Por ejemplo, PipeWire no funciona, y el micrófono interno y la cámara tampoco. Se supone que irán corrigiendo los fallos con el paso del tiempo, pero yo me sé de una tablet con dos años en el mercado en la que no se puede usar la cámara aún hoy en día.


De las especificaciones, destacar la resolución FHD, el soporte o pata que está integrado en la carcasa, de plástico, y los sistemas operativos, a elegir entre Mobian con Phosh o Manjaro también con Phosh y con Plasma. Se menciona Windows 11, por lo que en teoría lo soporta, pero el sistema operativo no vendría instalado por defecto. Esta tablet cuenta con 8GB de RAM y almacenamientos SSD de 256GB, 512GB (455$) o 1TB (480$).

Sobre el precio y disponibilidad, la Juno Tablet está disponible para reservar desde 429$, a lo que se le puede sumar un stylus por 22$ más. No tiene teclado oficial, pero se le podría añadir uno Bluetooth o por radio si se conecta la antena al puerto USB 3. Se enviarán en de 2 a 4 semanas, y, por su naturaleza, es un producto que no acepta devolución.

¿Merece la pena?

Sobre el papel, hardware tiene para que sea una tablet interesante. 8GB de RAM es la misma memoria que puede tener un portátil cuando lo compras, y con un almacenamiento rápido y la pantalla FHD, en teoría debería ir bien. Además, sí soporta la frecuencia de 5GHz, por lo que la velocidad de la conexión debería ser buena en la mayoría de escenarios.

Al final, lo que dirá si merece la pena o no será el soporte, y Mobian y Manjaro son dos de las mejores opciones que hay disponibles en el apartado de Linux para tablets. En ambos casos se pueden instalar paquetes de repositorios oficiales, por lo que soportarán a la perfección GIMP o LibreOffice, e incluso Visual Studio Code. Llegados a este punto, decir que este tipo de tablets no es apta para todos los públicos, ya que hay que saber solucionar los posibles problemas con los que nos vamos encontrando, y que entre Phosh y Plasma el que mejor funciona en la actualidad es Phosh. Además, Plasma no está en español.

Dentro de un mes deberían aparecer algunas reviews en sitios como YouTube, y será entonces cuando sepamos más. ¿Será Juno Computers quien se lleve este gato al agua?

Imagen: Juno Computers.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login