Una filtración de datos masiva sufrida por el servicio Nitro PDF afecta a muchas organizaciones conocidas, incluidas Google, Apple, Microsoft, Chase y Citibank.

Nitro es una aplicación que se utiliza para crear, editar y firmar archivos PDF y documentos digitales, que se dice que la utilizan más de 10 mil clientes comerciales y 1,8 millones de usuarios con licencia.

Como parte de su oferta de servicios, Nitro ofrece un servicio en la nube utilizado por los clientes para compartir documentos con compañeros de trabajo u otras organizaciones involucradas en el proceso de creación de documentos.

El software Nitro sufre una violación de datos

El 21 de octubre, Nitro Software emitió un aviso a la Bolsa de Valores de Australia, indicando que se vieron afectados por un "incidente de seguridad de bajo impacto", pero que ningún dato del cliente se vio afectado.

"NITRO ADVIERTE INCIDENTE DE SEGURIDAD DE BAJO IMPACTO

* UN INCIDENTE DE SEGURIDAD AISLADO QUE IMPLICA ACCESO LIMITADO A LA BASE DE DATOS NITRO POR PARTE DE UN TERCERO NO AUTORIZADO

* LA BASE DE DATOS NO CONTIENE DOCUMENTOS DE USUARIO O CLIENTE.

* EL INCIDENTE NO HA TENIDO IMPACTO MATERIAL EN LAS OPERACIONES EN CURSO DE NITRO.

* LA INVESTIGACIÓN DEL INCIDENTE SIGUE EN CURSO

* NO HAY EVIDENCIA ACTUALMENTE DE QUE CUALQUIER DATOS SENSIBLES O FINANCIEROS RELACIONADOS CON CLIENTES IMPACTADOS O SI LA INFORMACIÓN SE UTILIZÓ MAL

* NO ESPERA QUE SE PRODUZCA UN IMPACTO FINANCIERO IMPORTANTE DEL INCIDENTE

* NO SE ESPERA QUE EL INCIDENTE IMPACTE EL PROSPECTO DEL PROSPECTO DE CO PARA EL AF2020 "

Resulta que puede haber más en la historia de lo que se dijo inicialmente.

La firma de inteligencia de ciberseguridad Cyble  le dijo a BleepingComputer que un actor de amenazas está vendiendo las bases de datos de usuarios y documentos, así como 1 TB de documentos, que afirman haber robado del servicio en la nube de Nitro Software.

Estos datos ahora se están vendiendo en una subasta privada con el precio inicial establecido en $ 80,000.

Cyble afirma que la tabla de base de datos 'user_credential' contiene 70 millones de registros de usuario que contienen direcciones de correo electrónico, nombres completos, contraseñas con hash bcrypt, títulos, nombres de empresas, direcciones IP y otros datos relacionados con el sistema.


BleepingComputer pudo determinar la autenticidad de la base de datos del usuario robada al confirmar las direcciones de correo electrónico conocidas de las cuentas de Nitro que estaban presentes en la base de datos.

La base de datos de documentos contiene el título de un archivo, si fue creado, firmado, qué cuenta es propietaria del documento y si es público.

Según Cyble, estas bases de datos contienen una cantidad considerable de registros relacionados con empresas reconocidas, como se ilustra en la siguiente tabla:


A partir de las muestras de la base de datos compartida con BleepingComputer, los títulos de los documentos por sí solos revelan una gran cantidad de información sobre informes financieros, actividades de fusiones y adquisiciones, NDA o lanzamientos de productos.


Si los actores de la amenaza robaron los documentos como afirman, esta podría ser una de las peores violaciones de datos corporativos que hemos visto en mucho tiempo.

Como las empresas suelen utilizar Nitro para firmar digitalmente documentos confidenciales financieros, legales y de marketing, podría permitir la filtración de información que afectaría significativamente el negocio de una empresa.

BleepingComputer no ha podido confirmar si los documentos fueron robados en este ataque.

Para aquellos a los que les preocupa que su cuenta de Nitro sea parte de esta violación, Cyble ha agregado los datos a su servicio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login . Los usuarios pueden enviar su dirección de correo electrónico y verificar si se reveló en la base de datos robada utilizando este servicio.

BleepingComputer se ha puesto en contacto con Nitro Software con preguntas sobre la infracción, pero no ha recibido respuesta.

Vía: Bleepingcomputer

La Recording Industry Association of America, Inc. (RIAA) ha eliminado los repositorios de GitHub de YouTube-dl mediante un aviso de eliminación de DMCA.

YouTube-dl es un programa de línea de comandos extremadamente popular que se utiliza para descargar contenido multimedia de  YouTube.com  y otros sitios. El proyecto utilizó repositorios de GitHub para alojar el código fuente del programa y los ejecutables compilados que los usuarios podían descargar.

la RIAA eliminó los repositorios de YouTube-dl GitHub mediante la presentación de un aviso de infracción de la DMCA (Ley de derechos de autor del milenio digital) en GitHub.

Ahora, cuando los usuarios intentan descargar el programa o visitar el repositorio, son recibidos con el siguiente mensaje:

El repositorio no está disponible debido a la eliminación de DMCA.

CitarEste repositorio está actualmente inhabilitado debido a un aviso de eliminación de DMCA. Hemos desactivado el acceso público al repositorio. El aviso que se ha  dado a conocer públicamente .

Los avisos de infracción de la DMCA están destinados a eliminar material protegido por derechos de autor alojado en sitios web sin el permiso del titular de los derechos de autor.

Si bien GitHub afirma que este es un aviso de infracción de la DMCA, no es una solicitud de eliminación por una infracción de derechos de autor. En cambio, el aviso establece que el repositorio debe eliminarse porque permite descargar música con derechos de autor y, por lo tanto, es ilegal según las leyes de EE. UU. Y Alemania.

"De hecho, los comentarios en el código fuente de youtube-dl dejan en claro que el código fuente fue diseñado y comercializado con el propósito de eludir las medidas tecnológicas de YouTube para permitir el acceso no autorizado a las obras protegidas por derechos de autor de nuestros miembros, y hacer copias y distribuciones no autorizadas de las mismas: identifican las obras de nuestros miembros, notan que las obras son videos de VEVO (prácticamente todos son propiedad de nuestras empresas miembro), reconocen que esas obras tienen licencia para YouTube bajo la licencia estándar de YouTube y usan esos ejemplos en la fuente código para describir cómo obtener acceso no autorizado a copias de los trabajos de nuestros miembros ".

"A la luz de las infracciones de derechos de autor y las infracciones anticircunvención mencionadas anteriormente, le pedimos que elimine y deshabilite inmediatamente el acceso al código fuente de youtube-dl en todas sus ubicaciones donde está alojado en GitHub, incluidas, entre otras, esas ubicaciones en el representante lista establecida anteriormente ", se lee en el aviso de infracción de la RIAA contra YouTube-dl.

Como han señalado otros, YouTube-dl se utiliza para mucho más que descargar videos de YouTube, sino también para descargar documentales gratuitos, videos de dominio público y otros trabajos.


El uso exitoso de un aviso de infracción de la DMCA para apagar software que en sí mismo no es una infracción de derechos de autor es un precedente aterrador y que sienta las bases para un uso indebido en el futuro.

Vía: Bleepingcomputer

La nueva version de la distribución de Linux "Scientific Linux 7.9" ya fue liberada y llega con diversas mejoras de las cuales se destacan la inclusión de algunos nuevos paquetes que llegan para mejorar algunas cosas en el sistema. Esta nueva version de Scientific Linux 7.9 está construida sobre la base del paquete de Red Hat Enterprise Linux 7.9 y complementada por herramientas destinadas a su uso en instituciones científicas.

Las principales diferencias con RHEL se reducen al cambio de marca y la limpieza de enlaces a los servicios de Red Hat. Se ofrecen aplicaciones científicas específicas, así como controladores adicionales, para su instalación desde repositorios externos como EPEL y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login . Antes de actualizar a Scientific Linux 7.9, se recomienda que ejecute 'yum clean all' para borrar la caché.

Principales novedades de Scientific Linux 7.9

En esta nueva version de la distribución podremos encontrar que se ha añadido el paquete con OpenAFS, sistema de archivos FS Andrew distribuido de código abierto, así como también el paquete SL_gdm_no_user_list, que deshabilita la visualización de la lista de usuarios en GDM cuando es necesario para cumplir con una política de seguridad más estricta y el paquete SL_enable_serialconsole para configurar la consola serial.

Además, se ha realizado cambios en los paquetes, principalmente relacionados con el cambio de marca.

El sistema yum-cron se utiliza para instalar actualizaciones automáticamente, en lugar de yum-autoupdate. De forma predeterminada, las actualizaciones se aplican automáticamente y luego se envía una notificación al usuario. Para cambiar el comportamiento en la etapa de instalación automatizada, se han preparado los paquetes SL_yum-cron_no_automated_apply_updates (prohíbe la instalación automática de actualizaciones) y SL_yum-cron_no_default_excludes (permite la instalación de actualizaciones con el kernel).

Los archivos con la configuración de repositorios externos (EPEL, ELRepo, SL-Extras, SL-SoftwareCollections, ZFSonLinux) se han trasladado a un repositorio centralizado, ya que estos repositorios no son específicos para lanzamientos específicos y se pueden utilizar con cualquier versión de Scientific Linux 7. Para descargar datos sobre los repositorios, el usuario debe ejecutar: «yum install yum-conf-repos» y luego configure repositorios individuales, por ejemplo, «yum install yum-conf-epel yum-conf-zfsonlinux yum-conf-softwarecollections yum-conf-hc yum-conf-extras yum-conf -elrepo».

En comparación con la rama Scientific Linux 6.x, los paquetes alpine, SL_desktop_tweaks, SL_password_for_singleuser, yum-autoupdate, yum-conf-adobe, thunderbird (disponibles en el repositorio EPEL7) están excluidos de la composición base y se agregó el paquete SL_no_colorls para deshabilitar la salida de color en ls.

Los componentes (shim, grub2, kernel de Linux) que se utilizan al arrancar en modo UEFI Secure Boot están firmados con una clave Scientific Linux, que, cuando está habilitada, requiere operaciones manuales, ya que la clave debe agregarse al firmware.

Por último se menciona que Scientific Linux 7, ha adoptado un uso más fuerte de las variables yum para ayudar a simplificar la personalización para administradores individuales.

Ahora, cualquier personalización de archivos de repositorio, como el uso de espejos locales, se guarda fácilmente entre versiones, ya que no se espera que cambien los archivos de repositorio proporcionados por SL.

Sin embargo, esto proporciona un comportamiento inesperado durante nuestro proceso de Release Candidate. Si la 7xconfiguración está habilitada, apuntará al7x repositorio en lugar del repositorio Release Candidate. En ese momento, el  7x repositorio contendrá software más antiguo que el Release Candidate.

Vía: Linuxadictos

La piratería encontró en Telegram un refugio casi perfecto, ya que podía llevarse a cabo todo tipo de actividad sin que la plataforma hiciese nada. Sin embargo, desde hace un par de años, Telegram ya sí cierra canales que comparten contenido sujeto a derechos de autor, y algunos que se abren nuevos apenas duran días abiertos porque hay detrás asociaciones denunciándolos. Ahora, le ha tocado el turno a los bots.

Los bots de Telegram permiten automatizar multitud de tareas, y como es lógico, muchos de ellos se han utilizado para descargar contenido bajo demanda. Hay bots que permiten descargar todo tipo de archivos y contenido, incluyendo libros, música o películas. Hay incluso algunos bots de Telegram para descargar vídeos de YouTube.

Telegram elimina los bots de Spotify, Deezer y de eBooks

Por ello, era cuestión de tiempo que las autoridades empezasen a cerrar este tipo de bots. Los que permiten descargar ebooks ya llevan un tiempo enfrentándose a cierres, pero ahora les ha tocado a los de música. Estos bots de música utilizan plataformas como Deezer o Spotify para descargar canciones en calidades de 320 Kbps o incluso algunas en FLAC.

Desde ayer, decenas de estos bots han empezado a dejar de funcionar. Esto no suele ser un inconveniente al principio, donde suelen crearse nuevos bots a raíz del cierre de los originales. El problema es que, una vez las asociaciones antipiratería ponen el foco en estos sistemas, se hace muy difícil huir de ellos porque están monitorizando constantemente la red para cerrarlos.

Uno de los casos donde consiguieron acabar con la piratería siguiendo este método fue con los canales de kiosko que compartían prensa y revistas ilegalmente, los cuales ya no están disponibles. Los bots que permitían descargar libros ya habían sido cerrados previamente, pero hasta la fecha siempre habían vuelto en nuevos bots con nombres diferentes.

Universal Music Group parece estar detrás de los cierres

No obstante, parece que a partir de ahora lo tendrán más difícil. Uno de los creadores de uno de estos bots para descargar música de Spotify ha recibido un mensaje del soporte de Telegram indicándole que «representantes de Universal Music Group» les han contactado indicando que su bot estaba violando sus derechos de propiedad intelectual».

Telegram detalla que ellos no procesan solicitudes referentes a contenido privado, como puede ser un canal privado o un grupo cerrado. Sin embargo, con los paquetes de stickers, canales y bots de Telegram que son públicos sí que aceptan este tipo de quejas relacionadas con la legalidad del contenido, por lo que analizan el contenido que ofrece ese bot o canal, y lo cierran cuando lo consideran necesario. Cerrando la comunicación, Telegram pide a los usuarios que sean ellos quienes eliminen el contenido en 24 horas y que no lo vuelvan a compartir.


Identificar a una persona a través de Telegram es bastante complicado, ya que pueden registrarse con un número falso o con el que sea imposible identificarles. Además, no hay rastro de IP que seguir, siendo un refugio para que los piratas operen impunemente hasta que se detecta este tipo de actividad.

Por tanto, la incertidumbre sobre el futuro de estos bots es muy alta, ya que puede que reabran y duren apenas unos días. Algunos bots siguen funcionando, pero es cuestión de tiempo que esos acaben también cerrándose y entrando en este ciclo infinito de cierres.

Vía: Adslzone

Los dispositivos del Internet  de las Cosas están cada vez más presentes entre los usuarios. Son muchos los aparatos conectados a la red que tenemos en nuestro hogar. Hablamos por ejemplo de televisiones, bombillas inteligentes, reproductores de vídeo... Todos estos equipos pueden ser vulnerables y necesitan estar correctamente protegidos. En este artículo nos hacemos eco de una nueva herramienta presentada por Microsoft para proteger los dispositivos IoT.

Microsoft lanza una herramienta para proteger el Internet de las Cosas

Podemos contar con muchos programas de seguridad para proteger nuestros equipos. Muchos tipos de antivirus y otras herramientas que de una u otra forma nos ayudan a evitar amenazas que puedan comprometernos. Ahora bien, es una realidad que los dispositivos IoT no siempre han estado bien protegidos. Hay muchas vulnerabilidades sin corregir y también los propios usuarios pasan por alto las medidas de seguridad.

Ahora Microsoft ha anunciado que Azure Defender va a estar disponible para los dispositivos IoT. Es una solución muy interesante para ayudar a protegernos frente amenazas que dañen a este tipo de equipos. Se integra con Azure Sentinel de Microsoft, así como otras herramientas de terceros.

Se centra en ofrecer un monitoreo de seguridad para tipos de dispositivos especializados y aplicaciones, así como protocolos industriales especializados. Todo ello dentro de lo que se conoce como el Internet de las Cosas.

Detectar dispositivos IoT en riesgo, el principal objetivo

Lo que hace es agregar visibilidad a dispositivos de IoT mal configurados, no administrados y sin parches. Esto hace que sea mucho más difícil para los piratas informáticos poder abusar de ellos para colarse en las redes.

Las alertas enviadas por Azure Defender para IoT a Azure Sentinel son activadas por motores de detección de análisis con el objetivo de detectar las amenazas y solventar posibles incidentes.

Estas alertas cubren una amplia gama de incidentes. Se basan en el análisis del tráfico en tiempo real. Puede detectar dispositivos no autorizados y conectados a la red, conexión a Internet no autorizada, acceso remoto, operación de escaneo de red, programación de PLC, cambios en las versiones del firmware, errores en diferentes solicitudes y operaciones, malware conocido (como EternalBlue o WannaCry) o error de autenticación.

En definitiva, Microsoft, a través de Azure Defender, va a otorgar una mayor seguridad a los dispositivos IoT. El objetivo es que no haya problemas que puedan afectar a los usuarios, a la manera en la que pueden funcionar correctamente.

Como decimos, son muchas las amenazas que pueden afectar a nuestros equipos y comprometer la privacidad y seguridad de una u otra forma. Por ello es esencial tener instalados programas que nos protejan, así como mantener los equipos correctamente actualizados. El sentido común también es muy importante. Son muchas las ocasiones en las que los atacantes requieren de la interacción de los usuarios.

Os dejamos un artículo donde mostramos cómo mantener la seguridad en dispositivos IoT. Un repaso por todos los métodos que podemos utilizar para no correr riesgos que puedan comprometer a nuestros equipos conectados a la red.

Vía:  Bleeping Computer

Microsoft lanzó ayer Windows 10 October 2020 Update, la segunda gran actualización anual de su sistema operativo. De momento hay ordenadores que no la están recibiendo debido a problemas de compatibilidad, donde la propia compañía ha reconocido ya cuatro fallos e incompatibilidades.

October 2020 Update se instala como un parche encima de May 2020 Update, por lo que los problemas de compatibilidad no deberían ser nuevos o diferentes de los ya conocidos. No obstante, Microsoft parece que siempre se las arregla para generar incompatibilidades a los usuarios, y lo peor es que no detalla en el sistema operativo cuál es la que nos impide actualizar el sistema. Los cuatro fallos detectados ya en el sistema operativo son los siguientes:

Incompatibilidades de drivers: problemas para instalar Windows 10 October 2020 Update

El primero es algo que ya comentamos hace unos días, y es que cuando instalemos un driver antiguo de terceros, es probable que recibamos un error diciendo que «Windows no puede verificar el editor de este controlador», debido a que la compañía va a bloquear la instalación de drivers sin firmar a partir de ahora. Esto hará que algunos drivers antiguos no puedan instalarse en tu ordenador, y si los tienes instalados, puede que no te deje actualizar. Los parches tendrán que estar firmados con PKCS#7 y codificados en DER.

El segundo fallo tiene que ver con dispositivos que usen drivers de audio Conexant con versiones 8.65.47.53, 8.65.56.51, o 8.66.0.0 hasta 8.66.89.00 para los archivos chdrt64.sys y chdrt32.sys. Si tienes instalado alguno de esos drivers de Conexant HDAudio Driver dentro de la sección «Controladoras de sonido y vídeo y dispositivos de juego», además de otros de Synaptics, Windows 10 October 2020 Update no se te instalará en tu ordenador hasta que actualices los drivers o hasta que lo haga el propio sistema operativo.

El tercer fallo tiene que ver también con otros drivers de Conexant ISS de Synaptics, donde puede aparecer un error al instalar la actualización, o incluso después. El driver afectado es Conexant ISST Audio o Conexant HDAudio Driver, y están bajo la sección de «Controladoras de sonido y vídeo y dispositivos de juego» bajo el nombre uci64a96.dll hasta uci64a231.dll, con una versión de archivo 7.231.3.0.

El cuarto y último fallo, menos común por España, implica problemas a la hora de usar Microsoft IME (Input Methor Editor) para japonés o chino.

Actualizar los drivers con Windows Update como posible solución

El primer fallo aparece como «resuelto» por parte de Microsoft porque ese es el funcionamiento normal del sistema con drivers no firmados a partir de ahora, mientras que el de japonés y chino está «mitigado». Los otros dos relacionados con drivers de audio están siendo investigados, pero si ahora mismo no puedes actualizar el sistema operativo es probable que sea por esos drivers u otros de los que todavía Microsoft no es consciente.


Por ello, os recomendamos ir a Windows Update y pulsar en «Ver actualizaciones opcionales». Ahí puede que os aparezcan nuevas versiones de drivers para descargar que pueden solucionar tus problemas de compatibilidad.

Vía: Microsoft

Un troyano de acceso remoto basado en Windows que se cree que fue diseñado por grupos de piratas informáticos paquistaníes para infiltrarse en computadoras y robar datos de los usuarios ha resurgido después de un período de dos años con capacidades renovadas para atacar dispositivos Android y macOS.

Según la firma de ciberseguridad Kaspersky, el malware, denominado " GravityRAT ", ahora se hace pasar por aplicaciones legítimas de Android y macOS para capturar datos del dispositivo, listas de contactos, direcciones de correo electrónico y registros de llamadas y mensajes de texto y transmitirlos a un servidor controlado por el atacante.

Documentado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) en agosto de 2017 y posteriormente por Cisco Talos en abril de 2018, se sabe que GravityRAT apunta a entidades y organizaciones indias a través de documentos de Microsoft Office Word con malware al menos desde 2015.

Al señalar que el actor de amenazas desarrolló al menos cuatro versiones diferentes de la herramienta de espionaje, Cisco dijo que "el desarrollador fue lo suficientemente inteligente como para mantener segura esta infraestructura y no tenerla en la lista negra de un proveedor de seguridad".

Luego, el año pasado, se supo que los espías paquistaníes utilizaron cuentas falsas de Facebook para comunicarse con más de 98 funcionarios de varias fuerzas y organizaciones de defensa, como el Ejército, la Fuerza Aérea y la Armada de la India, y engañarlos para que instalen el malware disfrazado de aplicación de mensajería segura llamada Whisper.


Pero incluso cuando la última evolución de GravityRAT va más allá de las capacidades de evasión anti-malware para obtener soporte multiplataforma, incluidos Android y macOS, el modus operandi general sigue siendo el mismo: enviar enlaces de objetivos a Android con trampa explosiva (por ejemplo, Travel Mate Pro) y aplicaciones macOS (Enigma, Titanium) para distribuir el malware.

Kaspersky dijo que encontró más de diez versiones de GravityRAT que se estaban distribuyendo bajo la apariencia de aplicaciones legítimas mediante referencias cruzadas de las direcciones de comando y control (C2) utilizadas por el troyano.

En total, las aplicaciones troyanizadas abarcaron categorías de viajes, intercambio de archivos, reproductores multimedia y cómics para adultos, dirigidas a usuarios de Android, macOS y Windows, lo que permitió a los atacantes obtener información del sistema, documentos con extensiones específicas y una lista de procesa, registra las pulsaciones de teclas y toma capturas de pantalla, e incluso ejecuta comandos de Shell arbitrarios.

Citar"Nuestra investigación indica que el actor detrás GravityRAT sigue invirtiendo en sus capacidades de espionaje," dijo Kaspersky Tatyana Shishkova.

"Un disfraz astuto y una cartera de sistemas operativos ampliada no solo nos permiten decir que podemos esperar más incidentes con este malware en la región APAC, sino que también respalda la tendencia más amplia de que los usuarios malintencionados no están necesariamente enfocados en desarrollar nuevo malware, sino en desarrollar en cambio, en un intento de tener el mayor éxito posible ".

Vía: The Hacker News

Investigadores de ciberseguridad revelaron el martes detalles sobre una vulnerabilidad de suplantación de la barra de direcciones que afecta a múltiples navegadores móviles, como Apple Safari y Opera Touch, dejando la puerta abierta a los ataques de spear-phishing y la entrega de malware.

Otros navegadores afectados incluyen UCWeb, Yandex Browser, Bolt Browser y RITS Browser.

Las fallas fueron descubiertas por el investigador de seguridad paquistaní Rafay Baloch en el verano de 2020 y reportadas conjuntamente por Baloch y la firma de ciberseguridad Rapid7 en agosto antes de que fueran abordadas por los fabricantes de navegadores en las últimas semanas.

UCWeb y Bolt Browser siguen sin actualizarse, mientras que se espera que Opera Mini reciba una solución el 11 de noviembre de 2020.

El problema se debe al uso de código JavaScript ejecutable malicioso en un sitio web arbitrario para obligar al navegador a actualizar la barra de direcciones mientras la página todavía se carga en otra dirección elegida por el atacante.

Citar"La vulnerabilidad se produce debido a que Safari conserva la barra de direcciones de la URL cuando se solicita a través de un puerto arbitrario, la función de intervalo establecido recarga You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login:8080 cada 2 milisegundos y, por lo tanto, el usuario no puede reconocer la redirección de la URL original a la URL falsificada, "Rafay Baloch dijo en análisis técnico.

"Lo que hace que esta vulnerabilidad sea más efectiva en Safari de forma predeterminada no revela el número de puerto en la URL a menos que y hasta que el foco se establezca mediante el cursor".

Dicho de otra manera; un atacante puede configurar un sitio web malicioso y atraer al objetivo para que abra el enlace desde un correo electrónico o mensaje de texto falsos, lo que lleva a un destinatario desprevenido a descargar malware o arriesgarse a que le roben sus credenciales.

La investigación también encontró que la versión macOS de Safari es vulnerable al mismo error, que según Rapid7 se ha abordado en una actualización de macOS de Big Sur lanzada la semana pasada.

Esta no es la primera vez que se detecta una vulnerabilidad de este tipo en Safari. En 2018, Baloch reveló un tipo similar de falla de suplantación de la barra de direcciones que hizo que el navegador conservara la barra de direcciones y cargara el contenido de la página falsificada a través de un retraso de tiempo inducido por JavaScript.

Citar"Con la sofisticación cada vez mayor de los ataques de spear phishing, la explotación de vulnerabilidades basadas en el navegador, como la suplantación de la barra de direcciones, puede exacerbar el éxito de los ataques de spear-phishing y, por tanto, resultar muy letales", dijo Baloch.

"En primer lugar, es fácil persuadir a la víctima para que robe credenciales o distribuya malware cuando la barra de direcciones apunta a un sitio web confiable y no proporciona indicadores falsos, en segundo lugar, dado que la vulnerabilidad explota una característica específica en un navegador, puede evadir varios anti -esquemas y soluciones de phishing ".

Vía: The Hacker News

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Gracias por informar y compartir

-Kirari

Un placer, Saludos!!

Los investigadores de seguridad de Google advierten sobre un nuevo conjunto de vulnerabilidades sin hacer clic en la pila de software Bluetooth de Linux que puede permitir que un atacante remoto no autenticado cercano ejecute código arbitrario con privilegios del kernel en dispositivos vulnerables.

Según el ingeniero de seguridad Andy Nguyen , las tres fallas, llamadas colectivamente BleedingTooth , residen en la pila de protocolos BlueZ de código abierto que ofrece soporte para muchas de las capas y protocolos centrales de Bluetooth para sistemas basados ​​en Linux como computadoras portátiles y dispositivos IoT.

El primero y el más grave es una confusión de tipo basada en el montón ( CVE-2020-12351 , CVSS puntuación 8.3) que afecta al kernel de Linux 4.8 y superior y está presente en el Protocolo de Adaptación y Control de Enlace Lógico ( L2CAP ) del estándar Bluetooth, que proporciona multiplexación de datos entre diferentes protocolos de capa superior.

"Un atacante remoto a corta distancia que conoce la dirección [del dispositivo Bluetooth] de la víctima puede enviar un paquete l2cap malicioso y provocar la denegación de servicio o posiblemente la ejecución de código arbitrario con privilegios del kernel", señaló Google en su aviso. "Los chips Bluetooth maliciosos también pueden desencadenar la vulnerabilidad".

La vulnerabilidad, que aún no se ha abordado, parece haberse introducido en un cambio en el módulo "l2cap_core.c" realizado en 2016.


Intel, que ha invertido significativamente en el proyecto BlueZ, también ha emitido una alerta que caracteriza a CVE-2020-12351 como una falla de escalada de privilegios.

La segunda vulnerabilidad sin parchear ( CVE-2020-12352 ) se refiere a una falla de divulgación de información basada en pilas que afecta al kernel 3.6 de Linux y superior.

Como consecuencia de un cambio de 2012 realizado en el protocolo principal alternativo MAC-PHY Manager (A2MP), un enlace de transporte de alta velocidad utilizado en Bluetooth HS (alta velocidad) para permitir la transferencia de grandes cantidades de datos, el problema permite un atacante remoto a corta distancia para recuperar información de la pila del kernel, usándola para predecir el diseño de la memoria y anular la aleatorización del diseño del espacio de direcciones ( KASLR )

Por último, un tercer defecto ( CVE-2020-24490 ) descubierto en HCI (Interfaz de controlador de host), una interfaz Bluetooth estandarizada utilizada para enviar comandos, recibir eventos y transmitir datos, es un desbordamiento de búfer basado en el montón que afecta al kernel 4.19 de Linux y superior, provocando que un atacante remoto cercano "provoque la denegación de servicio o posiblemente la ejecución de código arbitrario con privilegios del kernel en las máquinas víctimas si están equipadas con chips Bluetooth 5 y están en modo de escaneo".

La vulnerabilidad, a la que se puede acceder desde 2018 , se ha parcheado en las versiones 4.19.137 y 5.7.13 .

Por su parte, Intel ha recomendado instalar las correcciones del kernel para mitigar el riesgo asociado con estos problemas.

"Las posibles vulnerabilidades de seguridad en BlueZ pueden permitir la escalada de privilegios o la divulgación de información", dijo Intel sobre las fallas. "BlueZ está lanzando correcciones del kernel de Linux para abordar estas posibles vulnerabilidades".

Vía: The Hacker News

La botnet Emotet ha comenzado a utilizar un nuevo archivo adjunto malicioso que pretende ser un mensaje de Windows Update que le indica que actualice Microsoft Word.

Emotet es una infección de malware que se propaga a través de correos electrónicos no deseados que contienen documentos maliciosos de Word o Excel. Estos documentos utilizan macros para descargar e instalar el troyano Emotet en la computadora de la víctima, que utiliza la computadora para enviar correo electrónico no deseado y, en última instancia, conduce a un ataque de ransomware en la red de la víctima.

Después de unas breves vacaciones, el malware Emotet volvió a funcionar el 14 de octubre y comenzó a lanzar spam malicioso en todo el mundo.

Estas campañas de spam pretenden ser facturas, información de envío, información de COVID-19 , información sobre la salud del presidente Trump , currículums u órdenes de compra, como se muestra a continuación.


Adjuntos a estos correos electrónicos no deseados hay archivos adjuntos maliciosos de Word (.doc) o enlaces para descargar uno.

Cuando se abren, estos archivos adjuntos pedirán al usuario que 'Habilite contenido' para que se ejecuten macros maliciosas para instalar el malware Emotet en la computadora de la víctima.

Para engañar a los usuarios para que habiliten las macros, Emotet utiliza varias plantillas de documentos, incluida la simulación de que se han creado en dispositivos iOS, Windows 10 Mobile o que el documento está protegido.

Con su regreso a la actividad, Emotet cambió a una nueva plantilla que pretende ser un mensaje de Windows Update que indica que Microsoft Word debe actualizarse antes de que se pueda ver el documento.


Para actualizar Word, el mensaje le dice al usuario que haga clic en los botones Habilitar edición y Habilitar contenido, lo que hará que se activen las macros maliciosas.


Estas macros maliciosas descargarán e instalarán el malware Emotet en la computadora de la víctima, como se muestra a continuación.


¿Por qué es necesario reconocer los archivos adjuntos de Emotet?

Emotet se considera el malware más extendido dirigido a los usuarios en la actualidad. También es particularmente peligroso ya que instala otro malware como Trickbot y QBot en la computadora de la víctima.

Si bien TrickBot y QBot realizan actividades maliciosas por su cuenta, como robar contraseñas almacenadas, información bancaria y otra información variada, también suelen provocar   ataques de ransomware Conti (TrickBot) o ProLock (QBot) .


Debido a esto, es vital reconocer las plantillas de documentos maliciosos que utiliza Emotet para que no se infecte accidentalmente.

Vía: Bleepingcomputer.

Días después de que el gobierno de los EE. UU. Tomara medidas para interrumpir la notoria botnet TrickBot , un grupo de empresas de ciberseguridad y tecnología ha detallado un esfuerzo coordinado por separado para derribar la infraestructura de back-end del malware.

La colaboración conjunta, que involucró a la Unidad de Delitos Digitales de Microsoft , Black Lotus Labs de Lumen , ESET , el Centro de Análisis e Intercambio de Información de Servicios Financieros ( FS-ISAC ), NTT y Symantec de Broadcom , se llevó a cabo después de que la solicitud de detener las operaciones de TrickBot fuera concedida por el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia.

El desarrollo se produce después de que el Comando Cibernético de EE. UU. Montó una campaña para frustrar la propagación de TrickBot sobre las preocupaciones de los ataques de ransomware dirigidos a los sistemas de votación antes de las elecciones presidenciales del próximo mes. KrebsOnSecurity informó por primera vez de los intentos destinados a obstaculizar la botnet a principios de este mes.

Microsoft y sus socios analizaron más de 186.000 muestras de TrickBot, usándolas para rastrear la infraestructura de comando y control (C2) del malware empleada para comunicarse con las máquinas víctimas e identificar las direcciones IP de los servidores C2 y otros TTP aplicados para evadir la detección.

Citar"Con esta evidencia, el tribunal otorgó la aprobación para que Microsoft y nuestros socios deshabiliten las direcciones IP, hagan inaccesible el contenido almacenado en los servidores de comando y control, suspendan todos los servicios a los operadores de botnets y bloqueen cualquier esfuerzo de los operadores de TrickBot para comprar o arrendar servidores adicionales ", dijo Microsoft.

Desde su origen como un troyano bancario a finales de 2016, TrickBot se ha convertido en una navaja suiza capaz de robar información confidencial e incluso lanzar ransomware y juegos de herramientas posteriores a la explotación en dispositivos comprometidos, además de reclutarlos en una familia de bots.

Citar"A lo largo de los años, los operadores de TrickBot pudieron construir una botnet masiva y el malware evolucionó hasta convertirse en un malware modular disponible para malware como servicio", dijo Microsoft .

"La infraestructura de TrickBot se puso a disposición de los ciberdelincuentes que usaban la botnet como punto de entrada para campañas operadas por humanos, incluidos ataques que roban credenciales, exfiltran datos y despliegan cargas útiles adicionales, sobre todo el ransomware Ryuk, en las redes objetivo".

Por lo general, se entrega a través de campañas de phishing que aprovechan los eventos actuales o los señuelos financieros para atraer a los usuarios a abrir archivos adjuntos maliciosos o hacer clic en enlaces a sitios web que alojan el malware, TrickBot también se ha implementado como una carga útil de segunda etapa de otra botnet nefasta llamada Emotet .

La operación de ciberdelito ha infectado a más de un millón de computadoras hasta la fecha.

Microsoft, sin embargo, advirtió que no esperaba que la última acción interrumpiera permanentemente TrickBot, y agregó que los ciberdelincuentes detrás de la botnet probablemente harán esfuerzos para reactivar sus operaciones.

Según Feodo Tracker , con sede en Suiza , ocho servidores de control TrickBot, algunos de los cuales se vieron por primera vez la semana pasada, todavía están en línea después de la eliminación.

Vía: The Hackernews

La industria de lose semiconductores ha dado un gran cambio desde la última vez que se hizo un informe sobre su estado. Hablamos de 2010, y en aquel entonces EE.UU era el gran y absoluto dominador del mercado por encima de todas las restantes potencias mundiales. Pero el tiempo pasa y el mercado de los chips se mueve a cotas distintas buscando por un lado la innovación y por otro los menores costes, donde entra aquí directamente China, ¿qué mercado tenemos actualmente en 2020?

El aumento de China en los semiconductores ha sido bestial, no puede calificarse con otro adjetivo. Los datos que lo muestran solo ofrecen los porcentajes de dos valores: el del año 2010 y el de este 2020, y como era de esperar, han conducido a su país a unos niveles que EE.UU ya ha intentado controlar con la famosa guerra económica.

¿Peligra el monopolio de EE.UU?

La guerra comercial comenzó el año pasado y tras meses de duras luchas Donald Trump consiguió una victoria parcial, ya que el crecimiento económico de su rival se vio reducido, se ralentizó, pero curiosamente en cuanto a chips se refiere, el mercado de los semiconductores y la fundición para microprocesadores se vio aumentado en dos puntos porcentuales hasta el 21%.

Pero, ¿qué hay de sus rivales directos demográficos? Japón como país potencial para los semiconductores de bajo rendimiento ha pasado de un 3% de participación en 2010 a un 5% de participación general. Todo con un valor de 3,6 mil millones en 2020, pero dentro de estos datos, hay que tener en cuenta que se estipula que un 10% de esas ventas sean desde la fundición pura del país si lo comparamos con América.


Además, los analistas no creen que el país nipón vaya a crecer demasiado, porque la falta de fábricas de alto rendimiento y volumen unido a la externalización de otras empresas para producir productos de bajo coste no hacen pensar que en los próximos 5 años las cifras se muevan demasiado.

Asia y el pacífico caen de un 22% a un 15%, Europa se desploma del 10% en 2010 al 6% y lógicamente todo ese porcentaje ha sido absorbido por China, los cuales también roban cuota a EE.UU.

La lucha ahora se centra en China vs EE.UU en los semiconductores


China ha pasado del 5% al 22% en 10 años, mientras que América ha perdido 8 puntos, desde el 60% hasta el 52%. ¿De dónde vienen esos datos? Pues del aumento de la fundición pura en China, con un 10% de aumento, las cuales deberían de ser del 26% al finalizar este año.

El año pasado, las ventas en el país asiático llegaron al 19% al cerrar curso, donde TSMC aumentó sus ventas en un 17% en 2019, destinadas casi con total seguridad a las obleas de 300 mm para los Ryzen 3000 y las GPU Navi de AMD, sin olvidar a Apple por supuesto.

Por ello, el movimiento de hace meses de EE.UU para traer a la fundición a suelo americano, ya que los datos para este año 2020 dicen que TSMC tendrá un incremento de ventas en China del 32% al 30%. Si a esto le sumamos los datos de SMIC, fabricante financiado por el gobierno chino, hablamos de un volumen de ventas general y mundial abrumador, que ya está poniendo en jaque a la industria estadounidense.

Por lo tanto, es de esperar que esta guerra comercial continúe, porque ninguno quiere ceder terreno, pero el gato se lo está llevando poco a poco China al agua. Quizás en 10 años EE.UU pierda mucho más valor como productor, ya que el hermetismo del gobierno Chino le otorga gran ventaja a la hora de disponer de un plan de acción prolongado en el tiempo

Vía:  TechPowerUp

Hacienda exigirá que las monedas virtuales sean declaradas y se informe sobre su saldo: esto es lo que propone la Ley contra el Fraude


El Gobierno ha aprobado el proyecto de Ley de Medidas de Prevención y Lucha contra el Fraude Fiscal, un paquete de medidas que bebe del anterior anteproyecto propuesto en octubre de 2018 y tiene, entre otros objetivos, poner el foco en las criptomonedas y monedas virtuales.

Entre las obligaciones se establece la necesidad de "informar sobre la tenencia y operativa con monedas virtuales, tanto en España como en el extranjero si afecta a contribuyentes españoles". Adicionalmente, se deberá "informar sobre saldos y titulares de las monedas en custodia". Estos son los detalles que afectan a los usuarios de criptomonedas de la ley contra el fraude con la que el Gobierno pretende tener un impacto de 828 millones de euros.

Todos los movimientos con criptomonedas deberán ser informados a Hacienda

Durante la campaña de la Renta de 2019, Hacienda avisó a 14.700 usuarios que sus beneficios generados con monedas virtuales estaban sujetas a IRPF y debían incluirse en la casilla 389, como 'Otras ganancias patrimoniales a integrar en la base imponible del ahorro'.

Según explica el Gobierno, el uso de las monedas virtuales hace "necesario ajustar la Ley 7/2012 que introdujo la obligación de informar sobre bienes y derechos situados en el extranjero". Siguiendo los cambios propuestos, los usuarios deberán "suministrar información sobre las operaciones de adquisición, transmisión, permuta, transferencia, cobros y pagos, con criptomonedas".


Una de las dudas recurrentes a día de hoy para los inversores de criptomonedas es acerca del modelo 720, por los bienes y derechos en el extranjero que superen los 50.000 euros. Los expertos indican que si el dinero está en un monedero virtual no tienen una ubicación geográfica y no se tendría que presentar el modelo 720.

El planteamiento de esta nueva Ley, de la que faltan por conocer cómo serán sus detalles finales, establece la "obligación de informar en el modelo 720 de declaraciones de bienes y derechos en el exterior, sobre la tenencia de monedas virtuales en el extranjero".

Hasta la fecha, el criterio de Hacienda no estaba bien definido. En opinión de expertos como David Maetzu, "la obligación de declarar es siempre del contribuyente, así que deberías notificar todas las compra ventas que realices". Desde hace años explican que "no falta mucho tiempo para que se establezca cómo, cuándo, dónde y por qué conceptos deben declararse los bitcoins". Con esta Ley del Fraude, el Gobierno establece la obligatoriedad y buscará reforzar el control tributario sobre personas y entidades y su uso de las criptomonedas.

Más allá de la obligatoriedad, está por ver cómo queda la normativa y cómo se articula, por la dificultad de informar sobre carteras de criptomonedas de cualquier tamaño. Habrá que esperar para conocer qué ocurre en casos como los forks.

La normativa también introduce la prohibición del uso de software que manipule la contabilidad. El proyecto de Ley explica que los programas de gestión empresarial deberán garantizar su trazabilidad e inalterabilidad de los registros.

Vía:  Xataka

BBVA acaba de lanzar una nueva y peculiar tarjeta: Aqua. A efectos prácticos y de diseño, es una tarjeta normal y corriente, pero tiene la peculiaridad de que no tiene ningún tipo de información impresa más allá del nombre del cliente. La única forma de conocer la numeración (PAN), la fecha de caducidad y el CVV es usando la app para smartphones, algo que, dicho sea de paso, habrá que hacer en reiteradas ocasiones, ya que el CVV es dinámico.

La inmensa mayoría de tarjetas del mercado suelen tener el CVV impreso en la parte trasera. Cuando compras online, es bastante frecuente que la pasarela de pagos nos solicite el CVV para verificar que, efectivamente, tenemos la tarjeta con nosotros. La idea de Aqua es añadir una capa extra de seguridad mediante un CVV dinámico. La tarjeta tiene un CVV, pero no siempre es el mismo, ya que cambia cada cinco minutos.

Más seguridad para las compras online



La idea de Aqua es reforzar la seguridad al usar la tarjeta para hacer compras online, algo que según Gonzalo Rodríguez, director de Desarrollo de Negocio de BBVA en España, sucede 500 millones de veces al mes en nuestro país. Para ello, la tarjeta se vale de un CVV dinámico que solo puede consultarse a través de la app.

Si hacemos una compra online y queremos introducir la información de la tarjeta no bastará con tenerla delante, sino que tendremos que acceder a la app y, desde ella, copiar el número PAN y la fecha de caducidad. Además, la app generará un CVV con una caducidad de cinco minutos que tendremos que introducir en la web y que solo funcionará durante esa franja de tiempo.


A lo largo de esos cinco minutos el usuario podrá realizar tantas compras como desee, pero pasado el tiempo tendrá que generar otro código CVV para seguir comprando. Eso, sobre el papel, debería redundar en una mayor seguridad, ya que "si el cliente pierde la tarjeta nadie podrá utilizar los datos de la misma para efectuar pagos online", tal y como explican desde la compañía. Además, la tarjeta se puede apagar desde la app, por lo que a efectos prácticos se puede dejar inutilizable.

El banco español ha recalcado en su comunicado que esta funcionalidad está basada en la tecnología cloud y en "algoritmos criptográficos avanzados" para "asegurar la inviolabilidad del código generado para el usuario final". En materia de seguridad también conviene tener en cuenta los cambios introducidos por PSD2, que exige una doble autenticación del cliente en las compras por Internet.

Desde BBVA han explicado que el banco ya ha desplegado esta iniciativa en México y Turquía y que pretenden llevarla también a Perú y Colombia. En nuestras fronteras la tarjeta estará disponible a finales del mes de octubre en modalidad prepago, débito y crédito. Será compatible con todos los sistemas de pago móviles que ofrece BBVA (Apple Pay, Samsung Pay y Google Pay, donde la tarjeta solo habrá que configurarla una vez) y confían en que de aquí a dos años haya un millón de clientes usándola.

Vía: Xataka

Los operadores de pandillas TrickBot apuntan cada vez más a objetivos de alto valor con el nuevo troyano sigiloso BazarLoader antes de implementar el ransomware Ryuk.

Durante años, la pandilla TrickBot ha estado utilizando su troyano para comprometer las redes empresariales al descargar diferentes módulos de software utilizados para comportamientos específicos, como robar contraseñas , propagarse a otras máquinas o incluso robar la base de datos de Active Directory de un dominio .

A medida que estos módulos se han analizado en profundidad con el tiempo, las soluciones de seguridad se han vuelto mejores para detectar estos módulos antes de ser utilizados.

De TrickBot a BazarLoader

En abril de 2020, informamos que la banda TrickBot había comenzado a usar una nueva infección BazarLoader / BazarBackdoor en ataques de phishing.

En un nuevo informe, los investigadores de seguridad de Advanced Intel explican que en lugar de quemar a las víctimas con el troyano TrickBot altamente detectado, los actores de amenazas ahora prefieren a BazarBackdoor como su herramienta de elección para objetivos empresariales de alto valor.

"BazarBackdoor sigue siendo el malware encubierto que depende de una funcionalidad mínima mientras está en el host y produce infecciones de alto valor a largo plazo debido a su simplicidad y dependencia de operaciones externas para explotar más información más adelante".

Citar"En otras palabras, la capa de simplicidad y ofuscación de" mezcla "de BazarBackdoor permite que la carga útil sea una mejor opción para objetivos de alto valor", dijo Kremez a BleepingComputer en una conversación sobre su informe.

Un compromiso de BazarLoader comienza con un ataque de phishing dirigido, como lo muestra un correo electrónico de phishing recibido por BleepingComputer en abril.


Después de infectar una computadora, BazarLoader utilizará el proceso de vaciado para inyectar el componente BazarBackdoor en procesos legítimos de Windows como cmd.exe, explorer.exe y svchost.exe. Se crea una tarea programada para cargar BazarLoader cada vez que un usuario inicia sesión en el sistema.


Finalmente, BazarBackdoor desplegará una baliza Cobalt Strike, que proporciona acceso remoto a los actores de amenazas que instalan herramientas posteriores a la explotación como BloodHound y Lasagne para mapear un dominio de Windows y extraer credenciales.

En última instancia, el ataque lleva a que los actores de amenazas implementen el ransomware Ryuk en toda la red y exijan rescates masivos.


Incluso con este aumento en la utilización, ya que BazarBackdoor requiere una cantidad más significativa de operación humana, Kremez cree que BazarLoader se reservará para objetivos seleccionados.

Citar"La desventaja de cazar con BazarBackdoor es que requiere una operación de explotación costosa para pivotar de las infecciones", explicó Kremez.

Para la distribución masiva, deberíamos seguir viendo que TrickBot se utiliza para comprometer la red.

Vía: Bleepingcomputer

Google ha agregado una protección contra malware mejorada para todos los usuarios de Google Chrome que también están inscritos en el Programa de protección avanzada (APP) de la compañía.

El Programa de protección avanzada de Google   es un servicio gratuito que tiene como objetivo proteger las cuentas de los usuarios, incluidos, entre otros, activistas, periodistas, líderes empresariales y equipos políticos que tienen un mayor riesgo de ser blanco de ataques en línea.

La aplicación bloquea el acceso no autorizado a las cuentas de los usuarios registrados, ofrece protección adicional contra descargas dañinas y protege la información de los usuarios.

Más concretamente, el programa proporcionará a los usuarios inscritos en la aplicación una protección mejorada contra ataques de phishing de cuentas de Google, aplicaciones maliciosas e intentos de robo de datos.

Advertencias en tiempo real

Citar"Específicamente, cuando Chrome detecta la descarga de un archivo potencialmente sospechoso, los usuarios verán un nuevo mensaje que les preguntará si desean enviar el archivo a la Protección avanzada de Google para buscar malware", explicó Google hoy.

"Si eligen enviarlo, Google Safe Browsing lo escaneará en tiempo real y advertirá al usuario si determina que el archivo no es seguro".


La nueva protección mejorada contra malware y las advertencias están habilitadas de forma predeterminada para todos los usuarios inscritos en el Programa de protección avanzada y que también iniciaron sesión en Chrome.

Esta función está disponible a partir de hoy para todos los usuarios del Programa de protección avanzada. Los usuarios que aún no están inscritos pueden hacerlo usando la llave de seguridad incorporada de su teléfono o una llave de seguridad física compatible con FIDO.

Una vez inscritos, se les pedirá que utilicen la clave de seguridad utilizada durante el proceso de registro al iniciar sesión en sus cuentas en nuevos dispositivos.

Con esta protección adicional, incluso si un usuario de Google es víctima de una campaña de phishing, el actor de amenazas detrás de ella no podrá obtener acceso a la cuenta de la víctima sin la clave de seguridad.

También recibirán alertas adicionales cuando instalen aplicaciones o descarguen archivos que parezcan sospechosos debido a las configuraciones y comprobaciones de protección de aplicaciones más estrictas. así como debido a varias características de seguridad de cuenta opcionales que están activadas de forma predeterminada para los usuarios inscritos en la aplicación.

Ni un solo usuario inscrito en una aplicación realizó suplantación de identidad en 2019

A principios de este año, Google anunció que envió aproximadamente 40.000 advertencias de intentos de piratería de software malicioso o phishing patrocinado por el estado a sus usuarios durante el año pasado.

La suplantación de periodistas y medios de comunicación se encontraban entre las tácticas de phishing más comúnmente identificadas utilizadas por los actores de amenazas respaldados por el estado durante 2019, dijo Toni Gidwani, gerente de ingeniería de seguridad del Grupo de análisis de amenazas de Google (TAG, en ese momento.

Citar"Aún no hemos visto personas que hayan realizado suplantación de identidad con éxito si participan en el Programa de protección avanzada (APP) de Google, incluso si son atacadas repetidamente", explicó Gidwani. .

"APP proporciona las protecciones más sólidas disponibles contra el phishing y el secuestro de cuentas y está diseñada específicamente para las cuentas de mayor riesgo".

Vía: Bleepingcomputer

Microsoft advirtió sobre una nueva variedad de ransomware móvil que aprovecha las notificaciones de llamadas entrantes y el botón de inicio de Android para bloquear el dispositivo detrás de una nota de rescate.

Los hallazgos se refieren a una variante de una conocida familia de ransomware de Android denominada "MalLocker.B" que ahora ha resurgido con nuevas técnicas, que incluyen un medio novedoso para entregar la demanda de rescate en los dispositivos infectados, así como un mecanismo de ocultación para evadir las soluciones de seguridad.

El desarrollo se produce en medio de un gran aumento de los ataques de ransomware contra la infraestructura crítica en todos los sectores, con un aumento del 50% en el promedio diario de ataques de ransomware en los últimos tres meses en comparación con la primera mitad del año, y los ciberdelincuentes incorporan cada vez más la doble extorsión en sus libro de jugadas.

MalLocker ha sido conocido por estar alojado en sitios web maliciosos y circular en foros en línea usando varios señuelos de ingeniería social haciéndose pasar por aplicaciones populares, juegos crackeados o reproductores de video.

Las instancias anteriores de ransomware de Android han explotado las funciones de accesibilidad de Android o el permiso llamado "SYSTEM_ALERT_WINDOW" para mostrar una ventana persistente sobre todas las demás pantallas para mostrar la nota de rescate, que generalmente se hace pasar por avisos policiales falsos o alertas sobre supuestamente encontrar imágenes explícitas en el dispositivo.

Pero justo cuando el software anti-malware comenzó a detectar este comportamiento, la nueva variante de ransomware de Android ha desarrollado su estrategia para superar esta barrera. Lo que ha cambiado con MalLocker.B es el método mediante el cual logra el mismo objetivo a través de una táctica completamente nueva.


Para hacerlo, aprovecha la notificación de "llamada" que se utiliza para alertar al usuario sobre las llamadas entrantes con el fin de mostrar una ventana que cubre toda el área de la pantalla y, posteriormente, la combina con una pulsación de tecla Inicio o Recientes para activar la nota de rescate. al primer plano y evitar que la víctima cambie a cualquier otra pantalla.

Citar"Esto crea una cadena de eventos que desencadena la ventana emergente automática de la pantalla del ransomware sin hacer un rediseño infinito o hacerse pasar por una ventana del sistema", dijo Microsoft.

Además de desarrollar gradualmente una serie de técnicas antes mencionadas para mostrar la pantalla de ransomware, la compañía también notó la presencia de un modelo de aprendizaje automático aún por integrar que podría usarse para ajustar la imagen de la nota de rescate dentro de la pantalla sin distorsión. insinuando la siguiente etapa de evolución del malware.

CitarAdemás, en un intento de enmascarar su verdadero propósito, el código de ransomware está muy ofuscado y se vuelve ilegible debido a la manipulación de nombres y el uso deliberado de nombres de variables sin sentido y código basura para frustrar el análisis, dijo la compañía.

"Esta nueva variante de ransomware móvil es un descubrimiento importante porque el malware exhibe comportamientos que no se han visto antes y podría abrir puertas para que lo sigan otros malware", dijo el equipo de investigación de Microsoft 365 Defender.

"Refuerza la necesidad de una defensa integral impulsada por una amplia visibilidad de las superficies de ataque, así como expertos en el dominio que rastrean el panorama de amenazas y descubren amenazas notables que podrían estar escondidas en medio de señales y datos de amenazas masivas".

Vía: The Hackernews

Ya tenemos entre nosotros a Terminator 2, no la conocida película de acción y ciencia ficción de James Cameron protagonizada por Arnold Schwarzenegger, sino la nueva versión mayor de la aplicación que permite dividir y organizar terminales y que está basada en GNOME Terminal.

Después de más de cuatro años de trabajo, Terminator 2 no trae el juicio final, pero sí llega con algunos cambios de calado, empezando por la migración a GTK 3 y Python 3. Lo primero parece venir del hecho de que a muchas aplicaciones les ha costado mucho pasar a GTK 3. De hecho, una institución como GIMP todavía sigue empleando GTK 2 cuando la cuarta versión del toolkit está a la vuelta de la esquina. Lo segundo responde a que Python 2 fue descontinuado este mismo año, lo que está forzando la migración de muchas aplicaciones.

Aparte de la migración tecnológica, Terminator 2 también tiene novedades entre sus características, como la posibilidad de utilizar una imagen como fondo, la adición de una opción para mostrar el texto en negrita en colores brillantes, combinaciones de teclas para crear grupos en la pestaña actual, la posibilidad de inhabilitar la combinación "ctrl+scroll" para cambiar el tamaño de la fuente, la característica de abrir un diseño en la nueva pestaña y la capacidad de crear un submenú de diseños en el menú emergente. Entre las correcciones destaca una para un fallo que hacía que las búsquedas no funcionasen correctamente.

Terminator es un proyecto veterano del que hablamos hace 10 años. Según cuenta Linux Uprising, el desarrollo de la aplicación ha tenido algunos cambios importantes en los últimos tiempos, ya que en abril de 2020 su código fue movido a GitHub y está siendo desarrollado por un equipo de personas que no es el original. Por suerte, el proyecto no se ha muerto y ahora lo tenemos actualizado a las tecnologías actuales que se usan en GNU/Linux, si bien el equipo de desarrolladores comenta que todavía que mucho por hacer y piden ayuda de voluntarios dispuestos a contribuir.

Los detalles sobre el lanzamiento de Terminator 2 pueden ser consultados a través del anuncio publicado en el repositorio de GitHub. Si bien un emulador de terminal simple es más que suficiente para los perfiles de usuario menos avanzados, Terminator puede ser una aportación interesante para aquellos que dependan o prefieran hacer un uso intensivo de la terminal.

Vía: Muy Linux

Al hablar de los tan importantes programas de edición fotográfica actuales, son muchas las propuestas de este tipo que podemos usar. Las hay más complejas, otras simples, de pago o gratuitas. Pero sin duda una de las más representativas en el mercado de las gratuitas, es GIMP.

De hecho esta es una de las alternativas para la edición de fotos más importante que nos vamos a encontrar. Muchos la comparan con el editor por excelencia propiedad del gigante Adobe, nos referimos a Photoshop. Pues bien, os contamos todo esto porque GIMP acaba de recibir una importante actualización hace solo unas horas. Así, si tenemos en cuenta la enorme cantidad de usuarios que, para una cosa u otra, usa GIMP, debemos informar de las novedades que llegan.

Por tanto, como os comentamos, los desarrolladores de este conocido editor de imágenes de código abierto han lanzado la versión 2.10.22. Esta se lanza al gran público disponible para todos los sistemas operativos soportados por el programa. De esta manera el nuevo GIMP 2.10.22 introduce algunas interesantes novedades que os detallaremos a continuación.

GIMP 2.10.22 con soporte para exportar e importar AVIF y HEIC

Sirva como ejemplo que el programa a partir de ahora ya tendrá soporte para que podamos trabajar con los formatos AVIF y HEIC. Al mismo tiempo introduce mejoras en el soporte del formato Paint Shop Pro PSP y mejoras en la exportación de TIFF multicapa. Antes de nada os diremos que todos los interesados en ello podrán descargar el programa desde este enlace.

Además, como os comentamos antes, tenemos la posibilidad de descargar la última versión de GIMP para Windows, Mac OS X o Linux. Estas se proporcionan a través de HTTPS y de archivos torrent. Por tanto, una vez la tengamos a nuestra disposición, como os comentamos la nueva versión del editor soporta el formato AVIF. En concreto ahora podemos usar archivos de este tipo tanto en modo de importación como de exportación. Esto se debe principalmente a que este formato tiene todo lo necesario para convertirse en un formato muy popular en Internet en un futuro próximo.

Para los que no lo sepáis, AVIF significa AV1 Image File Format y ofrece mejores capacidades de compresión que los PNG y JPG, además sin pérdida de calidad. Está respaldado por varias compañías del peso de Google, Mozilla o Cisco, entre otras. Por otro lado, decir que mientras que GIMP soportaba HEIF anteriormente, la nueva versión agrega soporte para importar y exportar archivos HEIF con alta profundidad de bits.

Exportar como GIMP

Esto es algo que podremos comprobar de primera mano en la opción de menú Archivo / Exportar como. Aquí ya podremos seleccionar los tipos que os hemos mencionado HEIF/AVIF o HEIF/HEIC de la lista de opciones de exportación soportadas.

Otras novedades que llegan al nuevo GIMP


Por otro lado, GIMP 2.10.22 introduce otros cambios que hacen el programa evolucionar poco a poco. Así, a continuación os resumimos algunas de las más importantes:

- El plugin para la lectura de los archivos de Paint Shop Pro PSP ha sido actualizado con correcciones de errores.
- La exportación multicapa del formato TIFF ha sido mejorada al reforzar los límites de la imagen.
- Se mejora la compatibilidad con los formatos de archivo BMP, JPEG, WEBP, XMP, DDS.
- Ahora GIMP elimina la etiqueta de metadatos de orientación si existe para asegurar que la foto se muestre como se ve en el programa en el futuro con otro editor.
- Hay una nueva opción llamada Sample Merged para los filtros implementados y está activada por defecto.

Vía: Softzone