La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de EE. UU. ha anunciado RedEye, una herramienta analítica de código abierto para que los operadores visualicen e informen la actividad de comando y control (C2).

RedEye es tanto para los equipos rojos como para los azules y proporciona una forma fácil de medir datos que conducen a decisiones prácticas.

Evaluación de campañas de ataque

Un proyecto conjunto de CISA y el Laboratorio Nacional del Noroeste del Pacífico del DOE, RedEye puede analizar registros de marcos de ataque (por ejemplo, Cobalt Strike) para presentar datos complejos en un formato más digerible.

La herramienta permite a los usuarios cargar datos de campaña para ver información relevante, como balizas y comandos.


Los registros históricos de los registros de cada campaña cargados en RedEye se pueden ver en una representación gráfica que correlaciona los servidores y los hosts involucrados.


Los analistas también pueden explorar eventos clave en una campaña seleccionada para descubrir la actividad de carga útil y seguir la ruta de penetración de un atacante, como la actividad de movimiento lateral o el uso de credenciales para aumentar los privilegios en una máquina.


Las funciones disponibles en RedEye permiten a los analistas comentar sobre la actividad del atacante para una mejor colaboración y comprensión de la ruta del ataque.


Utilizando los comentarios de los analistas y las técnicas utilizadas en la campaña, RedEye también puede generar presentaciones que se pueden compartir con las partes interesadas y los clientes.

Todos los datos recopilados de una campaña y los comentarios de los analistas se pueden exportar para que los clientes puedan revisar

Los equipos azules también pueden usar RedEye para comprender más fácilmente los datos sin procesar recibidos de una evaluación y ver la ruta de ataque y los hosts comprometidos para que puedan tomar las medidas adecuadas.


Por el momento, RedEye puede analizar registros del marco Cobalt Strike.

Se ha probado que funciona en Linux (Ubuntu 18 y superior, Kali Linux 2020.1 o posterior), macOS (El Capitan y superior) y Windows 7 o posterior.

La herramienta está disponible en GitHub , en el repositorio de CISA.

CISA también ha lanzado un video, disponible a continuación, que repasa las principales funciones disponibles en RedEye:


RedEye es la última de un conjunto de herramientas que CISA lanzó como proyectos de código abierto en los últimos años.

Entre ellos se encuentran Malcom , una herramienta de análisis de tráfico de red,  ICS NPP , una herramienta para analizar los protocolos de red de los sistemas de control industrial, Sparrow , un script de PowerShell para detectar posibles cuentas y aplicaciones comprometidas en entornos Azure y Microsoft 365.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El jueves, un juez de Puerto Rico sentenció a una exalumna de la Universidad de Puerto Rico (UPR) a 13 meses de prisión por hackear más de una docena de cuentas de correo electrónico y Snapchat de colegas mujeres.

El acusado, Iván Santell-Velázquez (también conocido como Slay3r_r00t ), se declaró culpable de acoso cibernético el 13 de julio y admitió haber atacado a más de 100 estudiantes.

Citar"Este individuo se involucró en esquemas de suplantación de identidad y suplantación de identidad para robar información", dijo el fiscal federal Muldrow.

"Acosó a numerosas mujeres con las fotos de desnudos que les robó y, en algunos casos, las publicó".

Además de apuntar a docenas de cuentas de correo electrónico de estudiantes, pirateó con éxito varias cuentas de correo electrónico de universidades y recopiló información personal en ataques de suplantación de identidad y phishing.

Entre 2019 y 2021, Santell-Velázquez pirateó las cuentas de Snapchat de varias estudiantes y robó fotos de desnudos que luego terminaron en línea después de que las compartió con otros.

En al menos un caso, usó imágenes de desnudos robadas de una de las cuentas de Snapchat de su víctima para acosarla a través de mensajes de texto. El acusado también compartió las fotos robadas en Twitter y Facebook.

Lista de víctimas incluye a 15 estudiantes UPR

El acuerdo de culpabilidad dice que, en total, la lista de víctimas de Santell-Velázquez incluye a 15 estudiantes de la Universidad de Puerto Rico.

"El acoso cibernético puede tener un gran impacto en sus víctimas, que puede variar desde ideas suicidas, miedo, ira, depresión hasta trastorno de estrés postraumático",  dijo  el agente especial a cargo del FBI, Joseph González.

"Es por eso que en el FBI estamos comprometidos a investigar estos terribles crímenes e instamos al público a informar los incidentes a las fuerzas del orden público de inmediato".

La jueza del Tribunal Federal de Distrito, Silvia Carreño Coll, condenó al acusado el jueves a 13 meses de prisión y dos años de libertad supervisada por acoso cibernético.

En junio, un hombre de California que pirateó miles de cuentas de iCloud de Apple fue encarcelado durante 8 años después de declararse culpable de conspiración y fraude informático.

Hasta que lo atraparon, obtuvo acceso no autorizado a cientos de cuentas de iCloud de objetivos estadounidenses y recopiló 3,5 terabytes de contenido robado de más de 500 víctimas en la nube y almacenamiento físico, con aproximadamente 1 terabyte dedicado a fotos y videos de desnudos robados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El mundo de la electrónica parece abocado a experimentar un cambio con una envergadura equiparable a la del que se produjo hace algo más de setenta años, cuando los transistores irrumpieron para poner fin al reinado de las válvulas de vacío. A los fabricantes de semiconductores cada vez les cuesta más continuar mejorando su tecnología de fabricación porque cada paso que dan les acerca más al límite físico impuesto por el silicio. Pero, afortunadamente, parece que estamos rozando con la punta de los dedos la solución a este problema.

Sungsik Lee, un profesor de ingeniería electrónica de la Universidad Nacional de Pusan, en Corea del Sur, y antiguo investigador de la Universidad de Cambridge, en Reino Unido, ha publicado una investigación en la que describe en el plano teórico un nuevo tipo de dispositivo electrónico capaz de llevar a cabo la función inversa de un transistor.


Pero lo realmente interesante es que en su estudio defiende que estos «transistores inversos» nos permitirán fabricar circuitos integrados más simples, más rápidos y con un consumo inferior, por lo que se postula como la tecnología que podría evitar el estancamiento de los semiconductores. Tanto es así que en su artículo, que ha sido publicado en el diario de IEEE y ha tenido eco en la revista del MIT y el repositorio de la Universidad de Cornell (Estados Unidos), Lee habla de un «nuevo paradigma» del mundo de la electrónica.

Qué es un transistor inverso y qué nos promete esta tecnología

Antes de que veamos qué es un transistor inverso nos viene bien repasar qué es un transistor convencional. Actualmente podemos encontrar estos diminutos elementos en prácticamente cualquier circuito integrado que podamos imaginar: microprocesadores, amplificadores de potencia, conmutadores, rectificadores, osciladores... Y esto en la práctica significa que residen dentro de nuestros ordenadores, smartphones, tabletas, equipos de música, televisores, radios, coches, equipamiento médico y un sinfín de dispositivos más.

Aunque sus precursores son aún más antiguos, los primeros transistores tal y como los conocemos actualmente fueron inventados en 1947 por John Bardeen, William Shockley y Walter Brattain, tres físicos de los Laboratorios Bell. Una forma sencilla de definir un transistor nos invita a describirlo como un dispositivo electrónico semiconductor que es capaz de responder a una señal de entrada entregándonos una salida determinada. Un amplificador electrónico, por ejemplo, incrementará en su salida la potencia, la tensión o la corriente de la señal que coloquemos en su entrada, recurriendo, eso sí, a una fuente de alimentación externa.

CitarLos primeros transistores fueron inventados en 1947 por John Bardeen, William Shockley y Walter Brattain, tres físicos de los Laboratorios Bell

Existen varios tipos de transistores (bipolares, de contacto puntual, de efecto campo, uniunión, de electrón único, fototransistores, electroquímicos orgánicos, etc.), pero, afortunadamente, no hace falta que profundicemos en ellos para entender qué son los transistores inversos, que es lo que realmente nos interesa en este artículo. Nos basta conocer dos datos más acerca de los transistores. Por un lado, que son elementos activos dentro de los circuitos integrados. Y, además, que los que nos han permitido alcanzar el nivel de integración que utilizan las técnicas litográficas actuales son los de efecto campo (FET).


A diferencia de los condensadores, las bobinas o las resistencias, que son elementos pasivos, los transistores son componentes activos de un circuito porque o bien ejercen una función de control sobre su comportamiento, o bien introducen una determinada ganancia debido a que actúan de forma no lineal. Esto significa que la relación entre la tensión aplicada y la corriente que demanda el circuito no puede expresarse recurriendo a un valor constante, lo que introduce una complejidad que no está presente en los sistemas lineales.

Sin embargo, el comportamiento de los condensadores, las resistencias y las bobinas, que, como hemos visto, son elementos pasivos en un circuito eléctrico, está claramente delimitado y es lineal. Además, facilitan la conexión de los componentes activos y hacen posible la transferencia de la señal eléctrica mediante el almacenamiento en campos magnéticos o eléctricos, o por medio de la disipación de la energía eléctrica.

CitarLos condensadores, las bobinas y las resistencias son elementos pasivos de un circuito eléctrico, mientras que los transistores son elementos activos

Por otra parte, de los transistores de efecto campo (FET) nos interesa saber, sin entrar en detalles complejos, que utilizan el campo eléctrico para dejar pasar o no la corriente por un canal que transporta un solo tipo de carga eléctrica. Este tipo de transistores es el que ha hecho posibles los circuitos integrados que utilizamos actualmente en nuestros sistemas digitales.

Durante las últimas décadas muchos investigadores se han esforzado para estudiar las características de los elementos pasivos de los circuitos eléctricos con la intención de averiguar si existen otros componentes con diferentes propiedades que puedan reemplazarlos o complementarlos. Sungsik Lee, sin embargo, ha acometido una tarea similar, pero con los componentes activos. Con los transistores. Y el resultado de su investigación son los 'trancitores'.


a palabra 'transistor' describe con bastante precisión qué es lo que hace uno de estos elementos: toma una señal de entrada y transporta o no corriente en la salida. Podemos imaginarlo como algo parecido a una resistencia con capacidad variable. De hecho, la palabra 'transistor' procede de los términos en inglés transfer (transferencia) y resistor (resistencia). Lo que Lee ha descrito es un dispositivo con unas características similares a las de los transistores, pero, a diferencia de estos, capaz de tomar una señal de entrada y transportar o no voltaje en la salida. Es algo similar a un hipotético condensador con una capacidad de acumulación de energía variable.

CitarEl término que propone Sungsik Lee para identificar los transistores inversos es 'trancitor'

El término que propone Lee para identificar el elemento que ha ideado es 'trancitor' porque sus propiedades, tal y como sucede con la palabra 'transistor', se pueden condensar a partir de los términos en inglés transfer (transferencia) y capacitor (condensador). No obstante, no debemos pensar en los 'trancitores' como elementos activos concebidos para reemplazar a los transistores, sino como dispositivos diseñados para convivir con ellos en un mismo circuito.

¿Qué sentido tiene entonces utilizar en nuestros circuitos integrados más elementos aún? Parece lógico pensar que introducir los 'trancitores' sin eliminar los transistores incrementará la complejidad, el consumo y el tamaño de los circuitos integrados. Sin embargo, Lee asegura que no es así porque la introducción de los 'trancitores' conlleva el uso de una cantidad inferior de transistores. Esa es, según este investigador, la clave.

Para demostrar su teoría Lee propone un ejemplo sencillo que ilustra con bastante claridad las ventajas que acarrea el uso de los 'trancitores'. Combinando un solo 'trancitor' y un único transistor podemos fabricar un amplificador de voltaje, pero si queremos obtenerlo utilizando únicamente transistores tendremos que emplear cuatro de estos elementos. Justo el doble, lo que tiene un impacto claro en la complejidad, el tamaño y el consumo del circuito.


Acabamos de exponer las ventajas que conlleva la introducción de los 'trancitores' en los circuitos integrados: un menor consumo, menos complejidad y menos espacio. Pero aún falta otra ventaja importante que Lee también refleja en su investigación: los circuitos que integran 'trancitores' son más rápidos. Y todo esto en la práctica debería tener un impacto muy claro en los dispositivos que utilizamos cotidianamente y en cuyo interior residen circuitos integrados, como, por ejemplo, nuestros ordenadores.

Y es que la tesis de Sungsik Lee refleja que la introducción en nuestros dispositivos electrónicos de circuitos integrados «transistor-trancitor» en vez de los tradicionales circuitos «solo transistor» debería reducir sensiblemente su consumo, su complejidad y su tamaño, pero incrementando, al mismo tiempo, su rendimiento. De ahí el «cambio de paradigma» del que este investigador habla en su artículo.

¿Qué pinta la «Ley de Moore» en todo esto?

Si tenemos presente todo lo que hemos repasado hasta este momento y se confirman las propiedades tan atractivas que tienen sobre el papel los 'trancitores' no resulta difícil intuir que su introducción en la tecnología electrónica actual tendría un efecto muy positivo. Llegados a este punto nos viene que ni pintado recuperar la definición de la Ley de Moore que nos propuso Norberto Mateos, el Gerente de Intel España, durante la entrevista que le hicimos a principios del pasado mes de agosto.

CitarLos circuitos que combinan transistores y 'trancitores' serán más sencillos, más rápidos y consumirán menos, según la investigación de Sungsik Lee

Según Norberto, «la Ley de Moore, que fue observada en 1965, y que, por tanto, tiene más años que la propia Intel, se ha enunciado de diferentes formas dependiendo del momento. Durante las décadas de los 90 y la pasada hablábamos de velocidad. Después comenzamos a hablar de rendimiento. Al final, lo que la Ley de Moore ha establecido es una expectativa sobre la industria electrónica en general respecto a la cantidad de avance, funcionalidades y tecnología que somos capaces de poner en el mercado, y que es lo que motiva a los usuarios a comprar».

Si, tal y como Sungsik Lee defiende, la combinación de los transistores y los 'trancitores' nos permite fabricar microprocesadores, que no son otra cosa que circuitos integrados extraordinariamente complejos, más rápidos, simples y con un consumo inferior al de los actuales, es evidente que a la Ley de Moore puede quedarle cuerda para rato. Eso sí, para que esto sea posible es necesario que la reducción de la complejidad que promete esta innovación se confirme, de modo que pueda tener un impacto directo y positivo en las técnicas de litografía que utilizamos actualmente.

Los 'trancitores' aún no están listos: este es el reto que tenemos que resolver

Por el momento todo lo que propone Sungsik Lee en su investigación queda circunscrito al ámbito teórico y es difícil prever cuándo conseguiremos fabricar los primeros 'trancitores'. El motivo es bastante contundente. Sabemos cómo deberían funcionar y cuáles serán sus propiedades. También sabemos qué efecto tendría su introducción en los circuitos integrados que diseñamos y fabricamos actualmente. Pero aún no sabemos cómo podemos obtenerlos.

Lee propone la posibilidad de fabricar los 'trancitores' aprovechando el perfectamente conocido «efecto Hall», que es un fenómeno que provoca la generación de un campo eléctrico en el interior de un conductor por el que circula una corriente cuando está sometido a un campo magnético en dirección perpendicular al movimiento de las cargas. Pero hay un problema que todavía no ha sido resuelto: los científicos no saben cómo aprovechar este efecto en los circuitos CMOS a escala nanométrica.


Este es el reto que es necesario resolver para que la tecnología que propone Lee en su investigación llegue a buen puerto. Si queréis conocer lo que defiende este investigador con más detalle y el inglés no os intimida, os sugiero que echéis un vistazo al artículo que ha publicado, y en el que describe con todo lujo de detalles los fundamentos físicos de su innovación. Es evidente que queda mucho por hacer, pero al menos tener opciones con un fundamento sólido nos permite entrever el futuro de la electrónica digital con cierto optimismo.

Imagen de portada: TSMC
Imagen «efecto Hall»: Peo (Wikimedia Commons)
Más información: Sungsik Lee
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estados Unidos sigue intentando socavar la emergente industria de los semiconductores de China a golpe de restricciones. La administración de Joe Biden, que ya había limitado la capacidad de ciertas empresas estadounidenses de exportar tecnologías avanzadas al gigante asiático, acaba de agudizar sus medidas restrictivas.

De acuerdo a Bloomberg, el Departamento de Comercio ha agregado nuevos requisitos de licencia para la exportación de semiconductores avanzados y equipos de fabricación de chips destinados a compañías con instalaciones en China. Estas licencias no eran fáciles de conseguir y su acceso ahora estará mucho más restringido.


La Oficina de Industria y Seguridad de Estados Unidos, por su parte, está impidiendo que ciudadanos estadounidenses puedan apoyar "el desarrollo o la producción de chips" en ciertas empresas chinas. El argumento en este caso responde a evitar el avance tecnológico militar de país asiático, pero puede que tenga un impacto más profundo.

Las consecuencias aparecen en el horizonte

La industria global de los semiconductores es una de las más complejas y enraizadas que existen. Empresas de Asia Oriental y de Occidente dependen unas de otras para mantenerla con vida. En mayor o menor magnitud, China depende de proveedores de Estados Unidos, así como Estados Unidos depende de proveedores de China.

Debido a las últimas restricciones, Applied Materials, una compañía estadounidense que suministra equipos para la fabricación de chips, acaba de recortar su proyección de ventas en unos 400 millones de dólares. Este duro golpe se debe a que China es uno de sus principales clientes y, de momento, no puede venderle sus productos.

El trimestre pasado, según Wall Street Journal, las ventas de Applied Materials a empresas multinacionales que operan en China se tradujeron en casi 1.800 millones de dólares. Para no perder este mercado, la compañía asegura que hará lo posible por obtener las licencias necesarias para continuar con sus tareas de exportación.

Por otra parte, algunas compañías, tanto estadounidenses como chinas, están retirando a ciudadanos estadounidenses de proyectos de desarrollo e investigación de sus laboratorios y oficinas situadas dentro de las fronteras del país dirigido por Xi Jinping. Este movimiento responde a la última medida de Estados Unidos.


Yangtze Memory Technologies Co (YMTC) es una de las compañías afectadas. Este fabricante de memorias chino trabaja muy estrechamente con proveedores estadounidenses. De hecho, decenas de trabajadores extranjeros forman parte del proceso de producción de sus fábricas, encargándose de tareas altamente técnicas.

YMTC no solo es el mayor fabricante de chips de memoria de China, sino que también controla aproximadamente el 6% de la producción global de memorias. Pero sus avances, entre ellos del de un nuevo chip de memoria de 128 capas, han hecho que el Departamento de Comercio lo incluya en la lista de restricciones, según WSJ.

South China Morning Post añade que Naura Technology, una empresa china que se dedica a producir máquinas de deposición de vapor químico, un elemento fundamental para la fabricación de chips, también está tomando medidas debido a las restricciones. Les ha pedido a sus empleados estadounidenses que abandonen temporalmente sus proyectos.

Este último movimiento de Estados Unidos contra China llega poco después de que Washington intentara persuadir a Países Bajos, que es donde se encuentra la empresa encargada de diseñar y fabricar los equipos fotolitográficos ASML, de ampliar sus restricciones existentes para evitar la exportación de tecnologías avanzadas.

Todo este panorama se presenta en medio de una creciente demanda de semiconductores, demanda que seguirá incrementándose con el paso de los años debido a los avances de la supercomputación, la inteligencia artificial, la conducción autónoma y otras áreas que están cada vez más presentes, de una u otra forma, en la sociedad.

En los últimos meses, China ha incrementado su capacidad de producción de chips en más de un 40% y quiere seguir por ese camino. Sin embargo, Estados Unidos parece estar dispuesto a seguir tomando medidas drásticas con tal de impedirlo. Con el paso del tiempo veremos qué efecto tendrá esto en esta industria completamente globalizada.

Fortune advierte que la severidad de las regulaciones de Estados Unidos podría poner en peligro las operaciones de cientos de empresas chinas de semiconductores. Incluso, podrían causar retrasos en su programa espacial o desarrollo de sistemas armamentísticos avanzados, que incluyen armas nucleares.

Imágenes: ASML | Unsplash
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aruba ha lanzado actualizaciones de seguridad para EdgeConnect Enterprise Orchestrator, que abordan múltiples vulnerabilidades de gravedad crítica que permiten a los atacantes remotos comprometer el host.

Aruba EdgeConnect Orchestrator es una solución de administración de WAN ampliamente utilizada que ofrece a los usuarios empresariales funciones de optimización, administración, automatización y visibilidad y monitoreo en tiempo real.

Las fallas críticas y fáciles de explotar en este producto presentan riesgos para los sistemas y las redes, por lo que la aplicación de las actualizaciones de seguridad disponibles debe ser una prioridad para los administradores.

Las vulnerabilidades corregidas en el último parche de Aruba son las siguientes:

CVE-2022-37913 y CVE-2022-37914 (CVSS v3.1 – 9.8 ): falla de omisión de autenticación en la interfaz de administración basada en web de EdgeConnect Orchestrator, lo que permite que un atacante remoto no autenticado omita la autenticación.

La explotación exitosa de esta falla lleva a un atacante a elevar sus privilegios a administrador sin credenciales, abriendo el camino para el compromiso completo del host.

CVE-2022-37915 (CVSS v3.1 – 9.8 ): falla en la interfaz de administración basada en web de EdgeConnect Orchestrator, lo que permite la ejecución de comandos arbitrarios en el host subyacente y lleva a un compromiso completo del sistema.

Las versiones que abordan los graves problemas de seguridad son las siguientes:

Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 y superior
Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 y superior
Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 y superior
Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 y superior

Las versiones anteriores no son compatibles con el proveedor y no recibirán una actualización de seguridad para las vulnerabilidades anteriores. Por lo tanto, se recomienda a los usuarios de versiones anteriores que actualicen a una versión más nueva del producto lo antes posible.

Una solución proporcionada por el proveedor en el aviso de seguridad  es restringir la CLI del producto y las interfaces de administración basadas en web a un segmento de capa 2/VLAN dedicado o establecer políticas de firewall a la capa 3 y superior.

Aruba ha señalado que, a partir de hoy, no ha detectado la explotación activa de las fallas mencionadas y no ha visto discusiones o explotaciones de prueba de concepto que se dirijan a las vulnerabilidades.

Sin embargo, considerando la criticidad de las fallas y la amplia implementación de EdgeConnect en entornos valiosos, es seguro sugerir que los atacantes intentarán crear explotaciones para las vulnerabilidades.

Incluso sin un exploit de PoC para usar en los ataques, los piratas informáticos suelen  comenzar a escanear a los pocos minutos de la revelación de la falla para compilar listas con objetivos explotables para uso o venta en el futuro.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Signal dice que comenzará a eliminar el soporte de mensajes SMS y MMS de su aplicación de Android para optimizar la experiencia del usuario y priorizar la seguridad y la privacidad.

Si bien este anuncio puede sorprender a aquellos que no saben que Signal también se puede usar para administrar este tipo de mensajes de texto, la aplicación Signal para Android podría  configurarse como la aplicación SMS/MMS predeterminada  desde sus inicios como TextSecure, una aplicación que usaba el Protocolo Axolotl Ratchet.

"Hemos llegado al punto en que el soporte de SMS ya no tiene sentido. Para permitir una experiencia de Signal más optimizada, estamos comenzando a eliminar gradualmente el soporte de SMS de la aplicación de Android", dijo la compañía  en  una publicación de blog publicada hoy.

"Tendrá varios meses para dejar de usar SMS en Signal, exportar sus mensajes SMS a otra aplicación y dejar que las personas con las que hable sepan que tal vez quieran cambiar a Signal, o encontrar otro canal si no es así".


El cambio solo afectará a los usuarios de Android que configuren Signal como su aplicación de SMS predeterminada. Signal comenzará a notificarles que exporten sus mensajes SMS y cambien a una nueva aplicación predeterminada para administrar sus mensajes SMS.

Cuando Signal se usa como la aplicación de mensajería unificada de Android, tanto los contactos de Signal como los que no son de Signal se muestran en la lista de contactos, con los de Signal marcados con una letra azul.


Este movimiento se debió principalmente a que los mensajes SMS de texto sin formato son inseguros, ya que pueden interceptarse mediante varios métodos y permiten que los operadores de telefonía móvil de todo el mundo accedan a los metadatos de los mensajes.

Además, la compañía dijo que tener mensajes SMS sin cifrar justo al lado de mensajes seguros de Signal en la misma interfaz podría generar confusión fácilmente, aunque cada uno esté etiquetado como tal.

"Principalmente solo EE. UU. y partes de Europa tienen planes de SMS asequibles/ilimitados. En su mayor parte, el sur global tiene hambre de servicios superpuestos que puedan usar en lugar de SMS, precisamente porque los SMS son muy caros en esos lugares". Señal dijo.

Por último, pero no menos importante, una tercera razón dada por Signal para este movimiento es que pueden generar facturas telefónicas costosas cuando se envían mensajes SMS por error en lugar de mensajes de Signal debido a las altas tarifas en algunas partes del mundo.

"Entendemos que este cambio será frustrante para aquellos de ustedes que usan Signal en Android para enviar mensajes SMS además de enviar mensajes de Signal. Rara vez se siente bien tener que cambiar la forma en que se comunica con las personas que le importan, Señal añadido.

"No tomamos esta decisión a la ligera, pero creemos que es necesaria para garantizar que Signal cumpla con los más altos estándares de privacidad en el futuro".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se puede explotar una vulnerabilidad en el controlador lógico programable (PLC) Siemens Simatic para recuperar las claves criptográficas privadas globales codificadas de forma rígida y tomar el control de los dispositivos.

"Un atacante puede usar estas claves para realizar múltiples ataques avanzados contra los dispositivos SIMATIC de Siemens y el TIA Portal relacionado , mientras pasa por alto las cuatro protecciones de su nivel de acceso ", dijo la empresa de ciberseguridad industrial Claroty en un nuevo informe.

"Un actor malicioso podría usar esta información secreta para comprometer toda la línea de productos SIMATIC S7-1200/1500 de manera irreparable".

La vulnerabilidad crítica, a la que se le asignó el identificador CVE-2022-38465 , tiene una calificación de 9,3 en la escala de puntuación CVSS y ha sido abordada por Siemens como parte de las actualizaciones de seguridad emitidas el 11 de octubre de 2022.


La lista de productos y versiones afectados se encuentra a continuación:

- Familia SIMATIC Drive Controller (todas las versiones anteriores a la 2.9.2)
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2, incluidas las variantes SIPLUS (todas las versiones anteriores a la 21.9)
- SIMATIC ET 200SP Open Controller CPU 1515SP PC, incluidas variantes SIPLUS (todas las versiones)
- Familia de CPU SIMATIC S7-1200, incluidas las variantes SIPLUS (todas las versiones anteriores a la 4.5.0)
- Familia de CPU SIMATIC S7-1500, incluidas las CPU ET200 relacionadas y las variantes SIPLUS (todas las versiones anteriores a la V2.9.2)
- Controlador de software SIMATIC S7-1500 (todas las versiones anteriores a la 21.9), y
- SIMATIC S7-PLCSIM Advanced (todas las versiones anteriores a la 4.0)

Claroty dijo que pudo obtener privilegios de lectura y escritura para el controlador al explotar una falla previamente revelada en los PLC de Siemens ( CVE-2020-15782 ), lo que permitió la recuperación de la clave privada.

Hacerlo no solo permitiría a un atacante eludir los controles de acceso y anular el código nativo, sino también obtener el control total sobre cada PLC por línea de productos de Siemens afectada.

CVE-2022-38465 refleja otra deficiencia grave que se identificó en los PLC de Rockwell Automation (CVE-2021-22681) el año pasado y que podría haber permitido a un adversario conectarse de forma remota al controlador y cargar código malicioso, descargar información del PLC, o instale un nuevo firmware.

"La vulnerabilidad radica en el hecho de que el software Studio 5000 Logix Designer puede permitir que se descubra una clave criptográfica secreta", señaló Claroty en febrero de 2021.

Como soluciones alternativas y mitigaciones, Siemens recomienda a los clientes que utilicen comunicaciones PG/PC y HMI heredadas solo en entornos de red confiables y acceso seguro a TIA Portal y CPU para evitar conexiones no autorizadas.


La empresa de fabricación industrial alemana también ha dado el paso de cifrar las comunicaciones entre estaciones de ingeniería, PLC y paneles HMI con Transport Layer Security (TLS) en TIA Portal versión 17, al tiempo que advierte que la "probabilidad de que actores malintencionados hagan un mal uso de la clave privada global como creciente."

Los hallazgos son los últimos de una serie de fallas importantes que se han descubierto en el software utilizado en redes industriales. A principios de junio, Claroty detalló más de una docena de problemas en el sistema de administración de red (NMS) Siemens SINEC que podrían ser objeto de abuso para obtener capacidades de ejecución remota de código.

Luego, en abril de 2022, la empresa descubrió dos vulnerabilidades en los PLC de Rockwell Automation (CVE-2022-1159 y CVE-2022-1161) que podrían explotarse para modificar los programas de usuario y descargar código malicioso al controlador.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La actualización del martes de parches de Microsoft para el mes de octubre ha abordado un total de 85 vulnerabilidades de seguridad , incluidas correcciones para una falla de día cero explotada activamente en la naturaleza.

De los 85 errores, 15 se califican como Críticos, 69 como Importantes y uno como Moderado en gravedad. La actualización, sin embargo, no incluye mitigaciones para las fallas de ProxyNotShell explotadas activamente en Exchange Server .

Los parches vienen junto con actualizaciones para resolver otras 12 fallas en el navegador Edge basado en Chromium que se lanzaron desde principios de mes.

Encabezando la lista de parches de este mes está CVE-2022-41033 (puntuación CVSS: 7.8 ), una vulnerabilidad de escalada de privilegios en el servicio de sistema de eventos COM+ de Windows. A un investigador anónimo se le atribuye haber informado sobre el problema.

"Un atacante que explotó con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA", dijo la compañía en un aviso, advirtiendo que la deficiencia se está utilizando activamente como arma en ataques del mundo real.

La naturaleza de la falla también significa que es probable que el problema esté encadenado con otras fallas para aumentar los privilegios y llevar a cabo acciones maliciosas en el host infectado.

"Esta vulnerabilidad específica es una escalada de privilegios locales, lo que significa que un atacante ya necesitaría tener ejecución de código en un host para usar este exploit", dijo Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs.

Otras tres vulnerabilidades de elevación de privilegios importantes se relacionan con Windows Hyper-V ( CVE-2022-37979 , puntuación CVSS: 7,8), servicios de certificados de Active Directory ( CVE-2022-37976 , puntuación CVSS: 8,8 ) y Kubernetes habilitado para Azure Arc clúster Connect ( CVE-2022-37968 , puntuación CVSS: 10,0).

A pesar de la etiqueta "Explotación menos probable" para CVE-2022-37968, Microsoft señaló que una explotación exitosa de la falla podría permitir que un "usuario no autenticado eleve sus privilegios como administradores de clúster y potencialmente obtenga control sobre el clúster de Kubernetes".

En otros lugares, CVE-2022-41043 (puntuación CVSS: 3.3), una vulnerabilidad de divulgación de información en Microsoft Office, figura como conocida públicamente en el momento del lanzamiento. Podría explotarse para filtrar tokens de usuario y otra información potencialmente confidencial, dijo Microsoft.

Redmond también solucionó ocho fallas de escalada de privilegios en el kernel de Windows, 11 fallas de ejecución remota de código en el protocolo de tunelización punto a punto de Windows y SharePoint Server, y otra vulnerabilidad de elevación de privilegios en el módulo Print Spooler ( CVE-2022-38028 , Puntuación CVSS: 7,8 ).

Por último, la actualización del martes de parches aborda otras dos fallas de escalada de privilegios en el servicio de estación de trabajo de Windows ( CVE-2022-38034 , puntaje CVSS: 4.3) y el protocolo remoto de servicio de servidor ( CVE-2022-38045 , puntaje CVSS: 8.8 ).

La empresa de seguridad web Akamai, que descubrió las dos deficiencias, dijo que "aprovechan una falla de diseño que permite eludir las devoluciones de llamada de seguridad [Microsoft Remote Procedure Call ] a través del almacenamiento en caché".

Parches de software de otros proveedores

Además de Microsoft, varios proveedores también han lanzado actualizaciones de seguridad para corregir docenas de vulnerabilidades, que incluyen:

Adobe
Androide
Proyectos Apache
Manzana
cisco
Citrix
CODESYS
dell
F5
Fortinet (incluida una falla explotada activamente )
GitLab
Google Chrome
IBM
lenovo
Distribuciones de Linux Debian , Oracle Linux , Red Hat , SUSE y Ubuntu
MediaTek
NVIDIA
Qualcomm
Samba
SAVIA
Schneider Electric
Siemens
Trend Micro y
vmware

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Collabora ha lanzado NVK, un nuevo controlador de código abierto para Mesa que implementa la API de gráficos Vulkan para tarjetas gráficas NVIDIA. El controlador está escrito desde cero utilizando archivos de encabezado oficiales y módulos de kernel abiertos publicados por NVIDIA.

Al desarrollar un nuevo controlador, los componentes básicos del controlador Nouveau OpenGL se usan en algunos lugares, pero debido a las diferencias en los nombres de los archivos de encabezado de NVIDIA y los nombres de ingeniería inversa en Nouveau, el poder reutilizar código es difícil y en su mayor parte fue necesario repensar muchas cosas e implementarlas con cero.

El desarrollo también está en marcha con miras a la creación de un nuevo controlador Vulkan de referencia para Mesa, cuyo código se puede tomar prestado al crear otros controladores.

CitarLa compatibilidad con el hardware de NVIDIA en los controladores de código abierto siempre ha faltado un poco. Los controladores nouveau existen, pero a menudo les faltan funciones, tienen errores o simplemente no son compatibles con ciertas tarjetas. Esto se debe a una combinación de factores. A diferencia de los controladores Intel y AMD, la pila de controladores nouveau se ha desarrollado con poca o ninguna documentación oficial o ayuda de NVIDIA. Ocasionalmente brindan pequeños apoyos aquí. Históricamente, se ha centrado principalmente en habilitar nouveau lo suficiente como para que pueda instalar su distribución de Linux, acceder a un navegador web y descargar su pila de controladores patentada.

Para hacer esto, se menciona que durante el trabajo del controlador NVK, se intentó tener en cuenta toda la experiencia disponible en el desarrollo de controladores Vulkan, mantener la base de código en una forma óptima y minimizar la transferencia de código de otros controladores Vulkan, haciendo lo que debería hacerse para un trabajo óptimo y de alta calidad.

El controlador NVK solo ha estado en desarrollo durante unos meses, por lo que su funcionalidad es limitada. El controlador pasa con éxito el 98 % de las pruebas cuando ejecuta el 10 % de las pruebas de Vulkan CTS (Compatibility Test Suite).

En general, la preparación del conductor se estima en un 20-25 % de la funcionalidad de los controladores ANV y RADV. En términos de soporte de hardware, el controlador está actualmente limitado a tarjetas basadas en microarquitecturas Turing y Ampere. Se está trabajando en parches para admitir GPU Kepler, Maxwell y Pascal, pero aún no están listos.

CitarProbablemente, la mayor área de lucha técnica ha sido la conducción adecuada del hardware desde el espacio del kernel. El hardware NVIDIA depende del firmware firmado para todo, desde la visualización hasta la ejecución del trabajo y la administración de energía. Los blobs de firmware que NVIDIA proporcionó en el pasado fueron versiones recortadas que crearon solo para controladores de código abierto.

A largo plazo, se espera que el controlador NVK para tarjetas gráficas NVIDIA alcance un nivel de calidad y funcionalidad similar al controlador RADV para tarjetas AMD. Una vez que el controlador NVK está listo, las bibliotecas compartidas creadas durante su desarrollo se pueden usar para mejorar el controlador Nouveau OpenGL para tarjetas de video NVIDIA.

También se está considerando la posibilidad de usar el proyecto Zink para implementar un controlador OpenGL completo para tarjetas de video NVIDIA que funcione a través de la traducción de llamadas a la API de Vulkan.

CitarA largo plazo, la esperanza es que NVK sea para el hardware de NVIDIA lo que RADV es para el hardware de AMD

Finalmente, para los interesados en el proyecto, se menciona que está siendo desarrollado por un equipo que incluye a Karol Herbst (desarrollador de Nouveau en Red Hat), David Airlie (mantenedor de DRM en Red Hat) y Jason Ekstrand (desarrollador activo de Mesa en Collabora).

En cuanto al código del controlador, deben saber que es de código abierto bajo la licencia MIT. El controlador solo admite GPU basadas en microarquitecturas Turing y Ampere lanzadas desde septiembre de 2018.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Oracle ha lanzado durante la noche de hoy VirtualBox 7.0, la última versión estable de su software para instalar y usar máquinas virtuales de los sistemas operativos compatibles. En este sentido, esta actualización es la primera estable en soportar oficialmente Windows 11, ya que dicho soporte llegó por primera vez en agosto, pero lo hizo a la versión beta. Es algo que no se menciona en la nota de su lanzamiento, pero no es necesario, ya que sí lo dijeron el pasado verano.

A pesar de subir el número del 6 al 7, Oracle dice que se trata de una actualización de mantenimiento. El cambio de número podría deberse a que soporta Windows 11 de manera oficial, o a cualquier otro detalle como algunos retoques en la interfaz, pero no es una nueva versión que incluya novedades destacadas, o por lo menos no para la compañía que lo desarrolla.

Novedades más destacadas de VirtualBox 7.0

- Soporte inicial para máquinas virtuales con cifrado completo por línea de comandos.
- Soporte 3D basado en DXVK.
- Soporte para Secure Boot en EFI.
- Soporte para dispositivos IOMMU.
- Se ha incluido soporte para TPM 1.2 y TPM 2.0.
- Mejoras en la interfaz de usuario (otro motivo que podría dar sentido al salto de número).
- Nuevo centro de notificaciones en donde podremos consultar información sobre errores y otros avisos.
- Nuevo widget para ver la ayuda.
- Nuevo asistente para instalaciones desatendidas.
- Mejorada la gestión del ratón en configuraciones multi-pantalla en X11.
- Se ha mejorado la función de grabar audio, y ahora se usa OGG Vorbis como el audio por defecto para contenedores WebM.
- Soporte inicial para la auto-actualización de las Guest Additions en Linux.

Otras novedades disponibles en las You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desde hace tiempo System76 intenta impulsar COSMIC, un entorno de escritorio propio y para Pop!_OS que en un principio se apoya en las tecnologías de GNOME, pero que con el paso del tiempo espera tener cada vez más entidad propia. Con el fin de avanzar en esa dirección, la compañía ha anunciado la adopción del kit de herramientas Iced, basado en Rust, en detrimento de GTK.

La noticia ha podido saberse gracias a un hilo en el subreddit de Pop!_OS en el que se preguntó si Iced estaba siendo usado para reemplazar las aplicaciones hechas con GTK. Un ingeniero de System76 apareció para responder de forma afirmativa, diciendo que "el equipo de experiencia de usuario ha estado diseñando cuidadosamente widgets y aplicaciones durante el último año. Ahora estamos en el punto en el que es fundamental que el equipo de ingeniería decida sobre un conjunto de herramientas GUI para COSMIC. Después de mucha deliberación y experimentación durante el último año, el equipo de ingeniería decidió usar Iced en lugar de GTK."

"Iced es un kit de herramientas GUI nativo de Rust que últimamente ha progresado lo suficiente como para volverse viable para su uso en COSMIC. Ya se han escrito varios subprogramas COSMIC tanto en GTK como en Iced para comparar. Las últimas versiones de desarrollo de Iced tienen una API que es muy flexible, expresiva e intuitiva en comparación con GTK. Se siente muy natural en Rust, y cualquiera que esté familiarizado con Elm apreciará su diseño". En resumidas cuentas, parece que en System76 obtienen mejores resultados empleando Iced que GTK.


Es importante tener en cuenta que Iced no es un kit de herramientas exclusivo de Linux, sino que es multiplataforma al abarcar también Windows y macOS. Esto puede recordar un poco a la decisión de Canonical de emplear Flutter para su nuevo instalador, tecnología multiplataforma y procedente de Google que también ha sido empleada para la tienda de aplicaciones alternativa para Ubuntu.

Iced se vende a sí mismo como "una biblioteca GUI multiplataforma para Rust centrada en la simplicidad y la seguridad de tipos". Lo de la seguridad de los tipos es una característica que también tiene el propio Rust, así que su mención por parte de Iced no debería de sorprender a nadie.

System76 tiene ambiciosos planes para COSMIC, tanto, que ha decidido no lanzar Pop!_OS 22.10 para concentrar las fuerzas en su propio entorno de escritorio. La compañía tiene claro que, si quiere crecer, tiene que tener algún factor propio y diferenciador dentro del siempre caótico espectro de Linux (sobre todo cuando se trata de escritorio).

Veremos hasta dónde llega System76 con COSMIC, pero está claro que su desarrollo no es ni mucho menos un brindis al sol, sino más bien algo que se ha tomado muy en serio.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ensamblador alemán Tuxedo Computers sigue el ejemplo de otros como System76 y lanza Tuxedo OS, su propio sistema operativo, uno basado en Ubuntu (22.04 LTS) y KDE Plasma (5.24.6) que ya es la opción predeterminada para todos sus equipos, pero que también se pone a disposición de cualquiera que lo desee.

¿Y qué ofrece Tuxedo OS que no se pueda encontrar en otras tantas distribuciones? Lo cierto es que no mucho, pero atendiendo a lo que la compañía dice de su producto, este presumiría de características tales como un kernel Linux optimizado para el hardware de sus equipos, soporte cualificado y dos atributos que vienen directamente del entorno de escritorio que viste: el propio KDE Plasma, habida cuenta de que Tuxedo es patrocinador de KDE, y su faceta de ser «simple por defecto, potente cuando se necesita» (sí, el mismo lema de KDE Plasma).

En la página oficial de Tuxedo OS se hacen la misma pregunta: «¿Por qué otra distribución Linux? ¿Por qué invertir en tanto trabajo extra para crear nuestra propia distribución, cuando ya hay una gran cantidad para todos los gustos?» En primer lugar, por ofrecer a sus clientes la mejor experiencia posible pro defecto, vendría a ser el resumen.

Así, mientras que Tuxedo vende sus equipos con la opción de no llevar sistema operativo, o de traer alguna distribución conocida como Ubuntu, Kubuntu u openSUSE, «para los usuarios que solo desean encender su Tuxedo, comenzar a trabajar out of the box y obtener ayuda rápida en caso de problemas, ofrecemos Tuxedo OS». Un caso en el que sí que existe un valor añadido, pues incluye herramientas especialmente afinadas para su hardware, más allá del kernel.


Tuxedo OS se diferencia de, por ejemplo Kubuntu, en varios puntos: el instalador de sistema, ya que usa Calamares; retoques visuales aquí y allá, paquetes preinstalados y componentes que reemplazan a las actuales opciones predeterminadas, como PipeWire en lugar de PulseAudio, un cambio que ya viene por la vía oficial; o al contrario: Firefox en formato Deb, en vez de como Snap. Lo mismo sucede con Chromium. Tuxedo OS ni siquiera preinstala el soporte de Snap, pero lo mantiene en los repositorios por si el usuario tiene interés en instalarlo por su cuenta.

Tuxedo OS se distingue de otras distribuciones por sus mencionadas herramientas, que no son muchas, pero tampoco tienen mala pinta: un creador de unidades USB derivado de Etcher; y un «centro de control» bastante apañado en apariencia, enfocado principalmente en la gestión del, o más bien de su hardware y, por lo tanto, en los clientes de la compañía, dado que parece estar diseñado para sus equipos. O eso es lo que comenta quien ha probado Tuxedo OS: que hay opciones de Tuxedo Control Center que no funcionan bien con su equipo.

A falta de probarlo, poco más hay que contar acerca de Tuxedo OS: es una nueva alternativa, un tanto irrelevante para quienes no poseen un equipo Tuxedo, aunque al mismo tiempo trae algún que otro detalle curioso... que quizás hubiese estado mejor en la forma de repositorio que en la de distribución; pero eso es lo que hay en Linux y, si se me permite, e incluso teniendo cero interés en ello, es un buen uso de GNU/Linux: adaptar un sistema de fábrica para ofrecer la mejor experiencia a tus clientes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los estafadores se hacen pasar por investigadores de seguridad para vender exploits ProxyNotShell de prueba de concepto falsos para las vulnerabilidades de día cero de Microsoft Exchange recién descubiertas.

La semana pasada, la empresa de ciberseguridad vietnamita GTSC reveló que algunos de sus clientes habían sido atacados mediante dos nuevas vulnerabilidades de día cero en Microsoft Exchange .

Trabajando con Zero Day Initiative de Trend Micro, los investigadores revelaron las vulnerabilidades de forma privada a Microsoft, quien confirmó que los errores estaban siendo explotados en ataques y que estaban trabajando en un cronograma acelerado para lanzar actualizaciones de seguridad.

"Microsoft observó estos ataques en menos de 10 organizaciones a nivel mundial. MSTIC evalúa con confianza media que es probable que el único grupo de actividad sea una organización patrocinada por el estado", compartió Microsoft en un análisis de los ataques .

Los investigadores de seguridad mantienen en privado los detalles técnicos de las vulnerabilidades, y parece que solo una pequeña cantidad de actores de amenazas las están explotando.

Debido a esto, otros investigadores y actores de amenazas están a la espera de la primera divulgación pública de las vulnerabilidades para usar en sus propias actividades, ya sea defendiendo una red o pirateando una.

Estafadores que venden exploits falsos

Para aprovechar esta pausa antes de la tormenta, un estafador ha comenzado a crear repositorios de GitHub donde intenta vender exploits de prueba de concepto falsos para las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082.

John Hammond de Huntress Lab ha estado siguiendo a estos estafadores y ha encontrado cinco cuentas ahora eliminadas que intentan vender las hazañas falsas. Estas cuentas estaban bajo los nombres 'jml4da', 'TimWallbey', 'Liu Zhao Khin (0daylabin)', 'R007er' y 'spher0x'.

Otra cuenta fraudulenta encontrada por Paulo Pacheco se hizo pasar por Kevin Beaumont (también conocido como GossTheDog ), un conocido investigador/profesional de seguridad que ha estado documentando las nuevas vulnerabilidades de Exchange y las mitigaciones disponibles.


Los repositorios en sí mismos no contienen nada de importancia, pero el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login describe lo que se sabe actualmente sobre las nuevas vulnerabilidades, seguido de un discurso sobre cómo están vendiendo una copia de un exploit PoC para los días cero.

"Esto significa que puede pasar desapercibido para el usuario y potencialmente también para el equipo de seguridad. Una herramienta tan poderosa no debería ser completamente pública, estrictamente solo hay 1 copia disponible para que un investigador REAL pueda usarla: https://satoshidisk. com/pay/xxx", dice el texto en el repositorio de estafas.


Los archivos README contienen un enlace a una página de SatoshiDisk donde el estafador intenta vender el exploit falso por 0.01825265 Bitcoin, con un valor aproximado de $420.00.


Estas vulnerabilidades valen mucho más de $ 400, y Zerodium ofrece al menos $ 250,000 para la ejecución remota de código de Microsoft Exchange cero días.

No hace falta decir que esto es solo una estafa, y enviar cualquier bitcoin probablemente no dará como resultado que recibas nada.

Además, con toda la información ya disponible, es probable que descubrir un exploit para los errores no sea demasiado difícil, especialmente para los actores de amenazas más avanzados , como los piratas informáticos patrocinados por el estado que tendrían un incentivo para violar las organizaciones de interés.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un ex empleado de la Agencia de Seguridad Nacional de EE. UU. (NSA) fue arrestado por cargos de intentar vender información clasificada a un espía extranjero, que en realidad era un agente encubierto que trabajaba para la Oficina Federal de Investigaciones (FBI).

Jareh Sebastian Dalke, de 30 años, estuvo empleado en la NSA durante menos de un mes desde el 6 de junio de 2022 hasta el 1 de julio de 2022, y se desempeñó como diseñador de seguridad de sistemas de información como parte de una asignación temporal en Washington DC

Según una declaración jurada presentada por el FBI, Dalke también fue miembro del Ejército de los EE. UU. desde aproximadamente 2015 hasta 2018 y tenía una autorización de seguridad secreta, que recibió en 2016. El acusado también tuvo una autorización de seguridad de alto secreto durante su mandato en el NSA.

"Entre agosto y septiembre de 2022, Dalke usó una cuenta de correo electrónico cifrada para transmitir extractos de tres documentos clasificados que había obtenido durante su empleo a una persona que Dalke creía que trabajaba para un gobierno extranjero", dijo el Departamento de Justicia (DoJ) en un comunicado de prensa . liberar.

También se alega que Dalke arregló la transferencia de información adicional de la Defensa Nacional (NDI) en sus manos al agente encubierto del FBI en un lugar no revelado en el estado estadounidense de Colorado. Posteriormente fue arrestado el 28 de septiembre por las fuerzas del orden al llegar al lugar acordado.

Las conversaciones con la persona que Dalke asumió que estaba asociada con el gobierno extranjero comenzaron el 29 de julio de 2022. En ellas, afirmó haber robado datos confidenciales relacionados con la orientación extranjera de sistemas estadounidenses e información sobre operaciones cibernéticas estadounidenses.

El primero de los extractos de documentos compartidos como prueba se clasificó en el nivel Secreto, mientras que los otros dos se clasificaron en el nivel Top Secret, y Dalke exigió un pago en criptomoneda a cambio de pasar la información.

Algunos de los fragmentos ofrecidos se relacionan con los planes de la NSA para actualizar un programa criptográfico no especificado, así como evaluaciones de amenazas relacionadas con las capacidades de defensa sensibles de EE. UU. y las capacidades ofensivas del gobierno extranjero.

"El 26 de agosto de 2022 o alrededor de esa fecha, Dalke solicitó 85.000 dólares a cambio de información adicional en su poder", dijo el Departamento de Justicia, afirmando que "Dalke acordó transmitir información adicional mediante una conexión segura establecida por el FBI en un lugar público en Denver. ", lo que finalmente llevó a su captura.

El Departamento de Justicia no dice nada sobre el nombre del gobierno extranjero, pero hay indicios de que podría ser Rusia, dado que Dalke afirmó haber intentado establecer contacto a través de un "envío al sitio SVR TOR".

Vale la pena señalar que SVR, el Servicio de Inteligencia Exterior de Rusia, estableció una plataforma de denuncia de irregularidades similar a SecureDrop en la web oscura en abril de 2021, según informó The Record, para compartir información de forma anónima sobre "amenazas urgentes a la seguridad de la Federación Rusa". "

Además de eso, las comunicaciones por correo electrónico con el agente también muestran que Dalke estaba motivado por el hecho de que su "herencia se vincula con su país" y que había "cuestionado nuestro papel en el daño al mundo en el pasado".

El exempleado de la NSA ha sido acusado de tres violaciones de la Ley de Espionaje, una acusación que, si se demuestra su culpabilidad, conlleva una posible sentencia de muerte o cualquier período de años hasta cadena perpetua.

El arresto de Dalke se produce días después de que el gobierno ruso otorgara la ciudadanía rusa al excontratista de inteligencia estadounidense Edward Snowden, quien enfrenta cargos de espionaje por revelar numerosos programas de vigilancia dirigidos por miembros de la comunidad UKUSA .

En un desarrollo relacionado, los investigadores del Citizen Lab de la Universidad de Toronto revelaron fallas de seguridad "fatales" en los sitios web que la Agencia Central de Inteligencia (CIA) de EE. decenas de activos en China e Irán.

El método de comunicación ahora desaparecido aprovechó cientos de sitios web aparentemente legítimos, incluido un portal de noticias de fútbol llamado Irangoals[.]com, en el que ingresar una contraseña en el campo de búsqueda hizo que apareciera una interfaz de chat oculta, informó Reuters .

Citizen Lab dijo que pudo mapear la red de 885 sitios, que estuvieron activos entre 2004 y 2013, simplemente usando iraniangoals[.]com junto con material disponible públicamente de Wayback Machine de Internet Archive, una tarea que podría haber sido logrado por un "detective aficionado motivado".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A mediados del mes pasado nos enteramos que YouTube había comenzado a mostrar hasta diez anuncios por vídeo a algunos usuarios. ¿La alternativa para evitar esto? Suscribirte a YouTube Premium. Próximamente, sin embargo, también podrías tener que pagar para disfrutar de los contenidos en su máxima calidad.

Como recoge MacRumors, algunos usuarios de Reddit y Twitter (1, 2, 3) han notado que la plataforma de vídeos de Google les ha pedido que se suscriban a YouTube Premium para habilitar la reproducción en 4K (2160p), una característica que desde su introducción ha estado disponible para todos sin ningún tipo de limitación.

¿Una forma de atraer más usuarios a YouTube Premium?

De momento no queda claro si se trata de una prueba que la compañía está haciendo con unos pocos usuarios o de un despliegue en algunos países. En cualquier caso, un movimiento de este tipo podría responder a una estrategia de la compañía para aumentar su base de usuarios de pago, que está por detrás de la competencia.


YouTube alcanzó a tener 50 millones de usuarios de pago en el segundo trimestre de este año. Esta cantidad puede parecer enorme, pero si la comparamos con algunos de sus competidores en el mismo período descubrimos que la diferencia entre unos y otros es mayor. Veamos.

Netflix, que está viviendo uno los peores momentos de su historia, contaba con 220,7 millones de "hogares que pagaban", aunque estimaba que más de 100 millones de ellos utilizan contraseñas compartidas. Spotify, que ha experimentado una desaceleración de suscriptores en el último tiempo, cerró el segundo trimestre de este año con 188 millones de usuarios de pago.

En la actualidad, YouTube ofrece dos tipos de suscripciones. Por un lado, tenemos a YouTube Premium Lite, que por 6,99 euros al mes permite eliminar los anuncios. Por otro lado, tenemos a YouTube Premium, que por 11,99 euros al mes ofrece las ventajas del plan Lite más descargas en el dispositivo, reproducción en segundo plano y Music Premium.

Añadiendo la reproducción en 4K a las ventajas existentes en sus suscripciones, YouTube podría hacer que más usuarios opten por pagar por su servicio. No obstante, cabe señalar, no se ha emitido comunicado alguno al respecto. Por nuestra parte hemos escrito a YouTube y actualizaremos este artículo si recibimos una respuesta.

Imágenes | Unsplash
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hubo acceso a todos los datos y fuentes de información de Animal Político, luego de la infección de Pegasus, aseguró su director Daniel Moreno. En conferencia de prensa con Red por la Defensa de los Derechos Digitales, SocialTic, Amnistía Internacional y Artículo 19, las personas que han sido encontradas como espiadas y con equipos infectados por el malware Pegasus, dieron sus testimonios y exigieron respuesta de por qué el software sigue siendo utilizado.

Moreno dijo que ahora es necesario que el presidente, Andrés Manuel López Obrador, responda sobre cuántas infecciones hubo, bajo qué criterio se seleccionó a quienes fueron espiados y por qué se les espió. Destacó que ninguna de las tres personas en las que The Citizen Lab corroboró casos de infección de Pegasus, tienen relación alguna con actividades criminales.

Las personas son el periodista Ricardo Raphael, el defensor de derechos humanos Raymundo Ramos y un periodista sin identificar de Animal Político.

Las organizaciones que están detrás de la identificación de las nuevas infecciones dijeron que gobierno de México debe iniciar una nueva investigación sobre los casos, solicitaron que sea frenada la discusión en el Senado sobre la extensión de tiempo en que el ejército esté en las calles, y llamaron a que periodistas sospechen ante indicios por posibles infecciones por Pegasus.

Oficialmente, México no utiliza Pegasus. El propio presidente del país, López Obrador, dijo desde 2019 que el gobierno mexicano no utiliza malware para espiar a personas. "O el presidente mintió, o el ejército mexicano toma decisiones al margen de la decisión gubernamental", dijo en la conferencia de prensa Edith Olivares, presidenta de Amnistía Internacional.

La relación con el hackeo a la SEDENA

Además del análisis hecho por The Citizen Lab, Luis Fernando García, director de Red por la Defensa de los Derechos Digitales, explicó que una de las evidencias de que SEDENA ha utilizado Pegasus, está en el reciente hackeo de grupo Guacamaya a la Secretaría de Defensa Nacional.

En esos documentos, las organizaciones encontraron pruebas de la contratación de SEDENA de un servicio de "monitoreo remoto de información" a Comercializadora ANTSUA, representante de NSO Group, creador del software Pegasus.

Históricamente NSO Group ha asumido otros nombres o asociado con filiales comerciales para vender el software de Pegasus o alguna derivante en otros países. En Estados Unidos hizo lo propio bajo el nombre de 'Phantom', según The New York Times.
García explicó que aunque de momento solo se han identificado vulneraciones a tres personas, lo más probable es que haya muchos más casos en México, cuyas infecciones sucedieron de 2019 a la fecha.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se vio al notorio grupo de piratas informáticos de Corea del Norte 'Lazarus' instalando un rootkit de Windows que abusa de un controlador de hardware de Dell en un ataque de Traiga su propio controlador vulnerable.

La campaña de spear-phishing se desarrolló en el otoño de 2021 y los objetivos confirmados incluyen un experto aeroespacial en los Países Bajos y un periodista político en Bélgica.

Según ESET, que publicó hoy un informe sobre la campaña, el objetivo principal era el espionaje y el robo de datos.

Abuso del controlador Dell para ataques BYOVD

Los objetivos de esta campaña en la UE recibieron ofertas de trabajo falsas por correo electrónico, esta vez para Amazon,  un  truco de ingeniería social  típico  y  común empleado por los piratas informáticos  en 2022.

Al abrir estos documentos, se descarga una plantilla remota desde una dirección codificada, seguida de infecciones que involucran cargadores de malware, droppers, puertas traseras personalizadas y más.

ESET informa que entre las herramientas implementadas en esta campaña, la más interesante es un nuevo rootkit FudModule que abusa de una técnica BYOVD (Bring Your Own Vulnerable Driver) para explotar una vulnerabilidad en un controlador de hardware de Dell por primera vez.

"La herramienta más notable entregada por los atacantes fue un módulo de modo de usuario que obtuvo la capacidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo", explica ESET en un  nuevo informe  sobre el ataque . .

"Este es el primer abuso registrado de esta vulnerabilidad en la naturaleza".

Luego, los atacantes utilizaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta. "

Un ataque Bring Your Own Vulnerable Driver (BYOVD) es cuando los actores de amenazas cargan controladores legítimos y firmados en Windows que también contienen vulnerabilidades conocidas. Como los controladores del núcleo están firmados, Windows permitirá que el controlador se instale en el sistema operativo.

Sin embargo, los actores de amenazas ahora pueden explotar las vulnerabilidades del controlador para ejecutar comandos con privilegios a nivel de kernel.

En este ataque, Lazarus estaba explotando la vulnerabilidad CVE-2021-21551 en un  controlador de hardware de Dell  ("dbutil_2_3.sys"), que corresponde a un  conjunto de cinco fallas  que permanecieron explotables durante 12 años antes de que el proveedor de la computadora finalmente lanzara actualizaciones de seguridad para eso.


En diciembre de 2021, los investigadores de Rapid 7  advirtieron que este controlador en particular  es un excelente candidato para los ataques BYOVD debido a las soluciones inadecuadas de Dell, lo que permite la ejecución del código del kernel incluso en versiones firmadas recientes.

Parece que Lazarus ya estaba al tanto de este potencial de abuso y explotó el controlador de Dell mucho antes de que los analistas de seguridad emitieran sus advertencias públicas.

"Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta. " continuó el informe de ESET.

Para aquellos interesados ​​en el aspecto BYOVD del ataque Lazarus, pueden profundizar en los detalles en este  documento técnico de 15 páginas  que ESET publicó por separado.

BLINDINGCAN y otras herramientas

ESET agregó que el grupo implementó su puerta trasera personalizada HTTP(S) 'BLINDINGCAN', descubierta por primera vez por la inteligencia de EE  . UU . en agosto de 2020  y atribuida a Lazarus por Kaspersky  en octubre de 2021 .

El troyano de acceso remoto (RAT) 'BLINDINGCAN' muestreado por ESET parece ejecutarse con un respaldo significativo de un tablero del lado del servidor no documentado que realiza la validación de parámetros.

La puerta trasera admite un amplio conjunto de 25 comandos, que cubren acciones de archivos, ejecución de comandos, configuración de comunicación C2, captura de pantalla, creación y finalización de procesos y exfiltración de información del sistema.

Otras herramientas implementadas en la campaña presentada son FudModule Rootkit, un cargador HTTP(S) utilizado para la filtración segura de datos, y varias aplicaciones de código abierto troyanas como wolfSSL y FingerText.

Troyanizar herramientas de código abierto es algo que Lazarus continúa haciendo, ya que  un informe de Microsoft de ayer  menciona que esta técnica se usó con PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ahora está bloqueando la actualización de Windows 11 22H2 debido a problemas de compatibilidad que afectan a los dispositivos Windows con impresoras que utilizan el controlador de clase IPP de Microsoft o el controlador de clase de impresión universal.

En los sistemas afectados, es posible que algunas impresoras instaladas solo permitan a los clientes usar la configuración predeterminada con funciones como color, impresión a doble cara o resoluciones más altas que no están disponibles debido a problemas de conectividad.

"Windows necesita conectividad con la impresora para identificar todas las características de la impresora. Sin conectividad, la impresora está configurada con la configuración predeterminada y, en algunos escenarios, es posible que no se actualice una vez que se restablezca la conectividad con la impresora", explicó Microsoft.

"Es posible que se vea afectado por este problema si su impresora no puede usar funciones específicas de la impresora, como color, impresión a dos caras/dúplex, configuración de tamaño o tipo de papel, o resoluciones superiores a 300x300 ppp".

Redmond agregó una retención de compatibilidad (ID de protección 41332279) que solo se aplica a los sistemas Windows 11 22H2 con impresoras que usan controladores Universal Print Class o Microsoft IPP Class.

Microsoft aconseja a los clientes que no instalen manualmente la actualización de Windows 11 2022 en los sistemas afectados mediante la herramienta de creación de medios o el botón "Actualizar ahora" hasta que se resuelva este problema conocido y se elimine la protección.

Citar"Estamos trabajando en una resolución y proporcionaremos una actualización en un próximo lanzamiento",  agregó Redmond

"Estamos trabajando para apuntar solo a dispositivos Windows con controladores de impresora que incorrectamente solo permiten configuraciones predeterminadas y se actualizarán cuando haya más información disponible".

Solución para los sistemas afectados

Microsoft agregó que los clientes de Windows 11 podrían solucionar este problema para las impresoras que solo permiten la configuración predeterminada eliminando y reinstalando las impresoras afectadas.

Reinstalar la impresora obligará a Windows a descargar y reinstalar los controladores, lo que debería mitigar los problemas, según Microsoft.

"Si Windows no encuentra automáticamente un nuevo controlador después de agregar la impresora, busque uno en el sitio web del fabricante del dispositivo y siga sus instrucciones de instalación", explica Redmond en un  documento de soporte .

Los clientes afectados también pueden mitigar la protección para actualizar sus sistemas a Windows 11 22H2 eliminando las impresoras que usan los controladores Microsoft IPP Class o Universal Print Class instalados en sus dispositivos.

Microsoft agregó que podrían pasar hasta 48 horas antes de que se ofrezca la actualización de Windows 11 2022 SI su dispositivo no se ve afectado por otras retenciones de compatibilidad.

Reiniciar el sistema afectado y  buscar actualizaciones a  través de Windows Update podría ayudar a obtener la actualización más rápido.

Esta semana, Microsoft  agregó otra retención de compatibilidad que  bloquea la actualización de Windows 11 22H2 para que no se ofrezca en algunos sistemas con controladores de audio Intel Smart Sound Technology (SST) debido a un problema conocido que desencadena pantallas azules de la muerte (BSOD).

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Finalmente después de más de un año de haberlo anunciado y de conocer (en forma de disfraz) a Optimus, el robot humanoide de Tesla, Elon Musk al fin ha mostrado el prototipo, durante el Día de la IA.

El diseño no es similar al visto en todas las imágenes conceptuales, y Musk junto con su equipo han comentado que esta es la primera vez que el robot no está utilizando sus sistemas de seguridad.

Además, se han mostrado algunos videos adicionales sobre lo que el robot ya es capaz de hacer, como levantar cosas y moverse entre oficinas.

El equipo a cargo de Optimus ha señalado que el robot tiene una gran diferencia con el concepto original, dado que se necesitaba una plataforma realista sobre la que se pudiera desarrollar.


Para esto, se desarrolló el modelo que da pie a este prototipo, un robot con dimensiones y tamaño mucho más realista, con la intención de llegar a una nueva generación, que sería la refinación de la plataforma actual. Tesla también ha detallado que este cambio de diseño en el robot implica modificaciones tanto en su peso, potencia y nivel de movimiento.

Por ejemplo, ahora se tiene un peso de 73 kilos, contra los 56 del concepto original. Además, tendrá en total más de 200 grados de movimiento en todo el cuerpo y 27 de estos se encontrarán ubicados en las manos.


En los videos mostrados por Tesla, se puede ver cómo en situaciones controladas (con un arnés por ejemplo), Optimus es capaz de cargar objetos y completar algunas tareas básicas, como regar plantas y levantar componentes de vehículos de la fábrica de la compañía.

También se anunció que este reloj está potenciado por el mismo sistema Autopilot que se encuentra en los vehículos de Tesla para poder moverse por su entorno y reconocer los objetos.

En la parte de la mano el robot ha sido diseñado con una parecida a la de los humanos, con la intención de ser ergonómica, y de poder manipular objetos con relativa facilidad, pudiendo cargar hasta paquetes de nueve kilos en cada una.

Esta nueva versión de Optimus cuenta con una batería de 2.3 kWh, un chip de Tesla, e integra conectividad Wi-Fi, así como LTE. En la presentación también se mostró como por ejemplo, la rodilla del robot, está inspirada directamente en una rodilla humana, llevando así varios actuadores y articulaciones.


Por lo pronto, Elon Musk ha comentado que está planeado que el robot se fabrique en gran volumen a partir del próximo año, y se espera que tenga un costo final de menos de 20,000 dólares para su compra.

Musk en múltiples ocasiones ha comentado que la finalidad de Optimus será utilizarlos para tareas domésticas en los hogares, pero también para el cuidado de adultos mayores, así como realizar tareas repetitivas, aburridas y peligrosas para los humanos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Reportado primero por Latinus y luego confirmado por el presidente de la república, Andrés Manuel López Obrador, la SEDENA fue objetivo de un ataque cibernético y le fueron robados 6 TB de documentos. El responsable es grupo hacking Guacamaya, quien hizo lo propio con milicias de países latinoamericanos como Chile y Colombia.

La operación ha sido monitoreada por especialistas en ciberseguridad desde el pasado 19 de septiembre. Fue entonces cuando el investigador de la empresa de ciberseguridad Cronup, Germán Fernández, tuiteó que el grupo aprovechó la vulnerabilidad ProxyShell (notificada desde agosto del 2021 y que permite ejecutar remotamente código en el servidor) para acceder a servidores Microsoft Exchange de las organizaciones.

Los parches correspondientes fueron liberados en abril y mayo del 2021, según retoma el CEO de Seekurity, Hiram Camarillo, lo que indica que la plataforma de la SEDENA no fue actualizada adecuadamente para mejorar la protección de los servidores.

Citar"Es cierto, sí hubo un ataque cibernético, así le llaman al robo de información y mediante estos mecanismos modernos extraen archivos. Es gente muy especializada, no sé si en México haya especialistas en este ramo de la cibernética"
Presidente Andrés Manuel López Obrador

Apenas el comienzo

Grupo Guacamaya también vulneró con el mismo mecanismo a la Policía Nacional Civil de El Salvador, al Comando General de las Fuerzas Militares de Colombia, a la Fuerza Armada de El Salvador y al Ejército de Perú. La cantidad de datos robados varía entre 35 y 275 GB según la organización, salvo para la Policía Nacional Civil de El Salvador, cuyo robo ascendió a 4 TB,  y a la SEDENA, cuyo robo fue de 6 TB.

Grupo Guacamaya se reconoce a sí mismo como un grupo de hacktivismo.

Una cuenta auto identificada como la correspondiente a Grupo Guacamaya, ha tuiteado que el objetivo de las filtraciones es que los latinoamericanos "sepan la verdad acerca de lo que está pasando en cada país", y agradece a Latinus y a Carlos Loret por difundir información de la filtración, desde detalles sobre una hospitalización del presidente, hasta información sobre operativos de seguridad, como aquel en el que se capturó y liberó a Ovidio Guzmán.


Con más información filtrada en camino, el especialista Hiram Camarillo, dice a Xataka México que de poco sirve la cantidad de normas oficiales e iniciativas de ciberseguridad presentadas en Congreso. "Creo que han habido muchas iniciativas, muchas propuestas, mucha documentación que habla de cómo proteger a las instituciones gubernamentales, pero de nada sirve si del papel no pasa a la implementación", sentencia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login