Un investigador de ciberseguridad hoy descubre un conjunto de 7 nuevas vulnerabilidades de hardware que no se pueden reparar que afectan a todos los equipos de escritorio y portátiles vendidos en los últimos 9 años con Thunderbolt o puertos USB-C compatibles con Thunderbolt.

Llamadas colectivamente 'ThunderSpy', las vulnerabilidades pueden explotarse en 9 escenarios realistas de ataques de malvadas, principalmente para robar datos o leer / escribir toda la memoria del sistema de una computadora bloqueada o inactiva, incluso cuando las unidades están protegidas con cifrado de disco completo.

En pocas palabras, si cree que alguien con unos minutos de acceso físico a su computadora, independientemente de la ubicación, puede causarle algún tipo de daño significativo, corre el riesgo de un malvado ataque de mucama.

Según Björn Ruytenberg de la Universidad Tecnológica de Eindhoven, el ataque ThunderSpy"puede requerir abrir la carcasa de una computadora portátil objetivo con un destornillador, [pero] no deja rastro de intrusión y se puede quitar en solo unos minutos".

En otras palabras, la falla no está vinculada a la actividad de la red ni a ningún componente relacionado, por lo que no se puede explotar de forma remota.

"Thunderspy funciona incluso si sigue las mejores prácticas de seguridad al bloquear o suspender su computadora al salir brevemente, y si el administrador del sistema ha configurado el dispositivo con arranque seguro, contraseñas seguras de BIOS y sistema operativo, y ha habilitado el cifrado de disco completo". investigador dijo.

Además de cualquier computadora con sistemas operativos Windows o Linux, las MacBook de Apple con tecnología Thunderbolt, excepto las versiones de retina, vendidas desde 2011, también son vulnerables al ataque de Thunderspy, pero en parte.

Vulnerabilidades de ThunderSpy

La siguiente lista de siete vulnerabilidades de Thunderspy afecta a las versiones 1, 2 y 3 de Thunderbolt, y puede explotarse para crear identidades arbitrarias de dispositivos Thunderbolt, clonar dispositivos Thunderbolt autorizados por el usuario y, finalmente, obtener conectividad PCIe para realizar ataques DMA.

- Esquemas de verificación de firmware inadecuados
- Esquema de autenticación de dispositivo débil
- Uso de metadatos de dispositivos no autenticados
- Ataque de degradación utilizando compatibilidad con versiones anteriores
- Uso de configuraciones de controlador no autenticadas
- Deficiencias de la interfaz flash SPI
- No hay seguridad de Thunderbolt en Boot Camp

Para aquellos que no lo saben, los ataques de acceso directo a memoria (DMA) contra el puerto Thunderbolt no son nuevos y se han demostrado previamente con ataques ThunderClap.

Los ataques basados ​​en DMA permiten a los atacantes comprometer las computadoras específicas en cuestión de segundos con solo enchufar dispositivos maliciosos de conexión en caliente, como una tarjeta de red externa, mouse, teclado, impresora o almacenamiento, en el puerto Thunderbolt o el último puerto USB-C .

En resumen, los ataques DMA son posibles porque el puerto Thunderbolt funciona a un nivel muy bajo y con un alto acceso privilegiado a la computadora, lo que permite que los periféricos conectados eludan las políticas de seguridad del sistema operativo y lean / escriban directamente en la memoria del sistema, que puede contener información confidencial, incluida su contraseñas, inicios de sesión bancarios, archivos privados y actividad del navegador.


Para evitar ataques de DMA, Intel introdujo algunas contramedidas, y una de ellas fueron los 'niveles de seguridad' que evitan que los dispositivos no autorizados basados ​​en Thunderbolt PCIe se conecten sin la autorización del usuario.

"Para fortalecer aún más la autenticación del dispositivo, se dice que el sistema proporciona 'autenticación criptográfica de las conexiones' para evitar que los dispositivos falsifiquen los dispositivos autorizados por el usuario", dijo el investigador.

Sin embargo, al combinar las tres primeras fallas de Thunderspy, un atacante puede romper la función de 'niveles de seguridad' y cargar un dispositivo Thunderbolt malintencionado no autorizado falsificando las identidades de los dispositivos Thunderbolt, como se muestra en una demostración de video compartida por Ruytenberg.

"Los controladores Thunderbolt almacenan los metadatos del dispositivo en una sección de firmware denominada ROM de dispositivo (DROM). Hemos encontrado que el DROM no se verifica criptográficamente. Después del primer problema, esta vulnerabilidad permite construir identidades de dispositivo Thunderbolt falsificadas", agregó.

"Además, cuando se combina con el segundo problema, las identidades falsificadas pueden comprender parcial o totalmente datos arbitrarios".

"Además, mostramos la anulación no autenticada de las configuraciones de nivel de seguridad, incluida la capacidad de deshabilitar la seguridad de Thunderbolt por completo, y restaurar la conectividad de Thunderbolt si el sistema se limita a pasar exclusivamente a través de USB y / o DisplayPort", agregó.


"Concluimos este informe demostrando la capacidad de desactivar permanentemente la seguridad de Thunderbolt y bloquear todas las futuras actualizaciones de firmware".

Según Ruytenberg, algunos de los últimos sistemas disponibles en el mercado desde 2019 incluyen la protección DMA Kernel que mitiga parcialmente las vulnerabilidades de Thunderspy.

Para saber si su sistema se ve afectado por las vulnerabilidades de Thunderspy, Ruytenberg también ha lanzado una herramienta gratuita y de código abierto, llamada Spycheck.

Curiosamente, cuando el investigador informó sobre las vulnerabilidades de Thunderspy a Intel, la compañía de chips reveló que ya había sido consciente de algunas de ellas, sin planes de parchearlas o revelarlas al público.

Ruytenberg afirma haber encontrado más vulnerabilidades potenciales en el protocolo Thunderbolt, que actualmente forma parte de un investigador en curso y se espera que se revele pronto como 'Thunderspy 2'.

En conclusión, si te consideras un objetivo potencial para ataques de sirvientas malvadas y llevas un sistema Thunderbolt contigo, siempre evita dejar tus dispositivos desatendidos o apaga el sistema por completo, o al menos considera usar la hibernación en lugar del modo de suspensión.

Además de esto, si quieres ser más paranoico, evita dejar tus periféricos Thunderbolt desatendidos o prestarlos a nadie.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

DigitalOcean, una de las plataformas de alojamiento web modernas más grandes, golpeó recientemente con un incidente preocupante de fuga de datos que expuso algunos de los datos de sus clientes a terceros desconocidos y no autorizados.

Aunque la empresa de alojamiento aún no ha publicado una declaración pública, sí ha comenzado a advertir a los clientes afectados sobre el alcance de la violación a través de un correo electrónico.

De acuerdo con el correo electrónico de notificación de incumplimiento que recibieron los clientes [ 1 , 2 ], la fuga de datos se produjo debido a una negligencia en la que DigitalOcean "involuntariamente" dejó un documento interno accesible a Internet sin requerir ninguna contraseña.

"Este documento contenía su dirección de correo electrónico y / o nombre de cuenta (el nombre que le dio a su cuenta al registrarse), así como algunos datos sobre su cuenta que pueden haber incluido recuento de gotas, uso de ancho de banda, algunas notas de soporte o comunicaciones de ventas, y la cantidad que pagó durante 2018 ", dijo la compañía en el correo electrónico de advertencia como se muestra a continuación.


Tras el descubrimiento, una rápida investigación digital reveló que terceros no autorizados habían accedido al archivo expuesto que contenía los datos de los clientes al menos 15 veces antes de que el documento fuera finalmente eliminado.

"Nuestra comunidad se basa en la confianza, por lo que estamos tomando medidas para asegurarnos de que esto no vuelva a suceder. Vamos a educar a nuestros empleados sobre la protección de los datos de los clientes, establecer nuevos procedimientos para alertarnos de posibles exposiciones de manera más oportuna, y haciendo cambios de configuración para evitar la exposición futura de datos ", agregó la compañía.

Cabe señalar que esta violación específica no indica que el sitio web de DigitalOcean se haya visto comprometido, ni que las credenciales de inicio de sesión de los clientes se hayan filtrado a los atacantes.

Por lo tanto, si tiene una cuenta con el servicio de alojamiento, no tiene que apresurarse a cambiar su contraseña. Sin embargo, el servicio también ofrece autenticación de dos factores que cada usuario debe habilitar para agregar una capa adicional de seguridad a sus cuentas.

The Hacker New contactó a DigitalOcean para obtener un comentario, y la historia se actualizará con la respuesta.

Actualización: un portavoz de la compañía confirmó The Hacker News del incidente y compartió una declaración:

"Teníamos un documento que se descubrió que se compartía públicamente y, aunque confiamos en que no había acceso malicioso a ese documento, informamos a nuestros clientes independientemente de la transparencia. Menos del 1% de nuestra base de clientes se vio afectada, y la única PII incluida en el archivo estaba el nombre de la cuenta y la dirección de correo electrónico
" . Esto no estaba relacionado con un acto malicioso para acceder a nuestros sistemas. Nuestros clientes confían en nosotros con sus datos y creemos que un uso no intencionado de esos datos, por pequeño que sea, es motivo suficiente para ser transparente ".

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Afirmamos con frecuencia el hecho de que la principal amenaza de seguridad somos nosotros mismos, incluyendo si pasamos al mundo empresarial. Las amenazas de tipo «Insider» se encuentran más vigentes que nunca. Esto es a razón de que se convirtieron en servicios que se ofrecen a través de la Dark Web. Así como cualquiera que pudiese, ofreciese sus servicios de desarrollo web o reparación de ordenador, una persona o un grupo de personas puede ofrecerte acceso a una red corporativa y sus datos, lógicamente a cambio de una importante suma de dinero.

La Dark Web es conocida por tener múltiples opciones de acceso a conjuntos de datos originados por filtraciones de datos, herramientas de hacking y malware. Todo esto puede ser en concepto de compra, alquiler e incluso es posible lanzar «tu oferta» para la venta o alquiler, sin que pase precisamente por el escrutinio del público en general, los negocios que se han originado por esta vía superan con facilidad los miles de dólares.

Hoy en día, las amenazas de seguridad tipo «Insider» se están expandiendo muy rápidamente. Pero, ¿qué es un Insider? Hoy en RedesZone os lo vamos a explicar con un ejemplo práctico.

Imagina que una persona que trabaja en el departamento de TI en una organización, es la responsable del área y, prácticamente, cuenta con todos los accesos «maestros» a la infraestructura de red y las bases de datos que se manejan. Se le considera como una persona sumamente capacitada y muchas mejoras que se han implementado, ha sido gracias a esta persona durante su trabajo en la organización.

Sin embargo y, sin razón aparente, le despiden. En el último día hábil del mes, le informan que ya no pertenece a la misma y aplican la figura del despido injustificado. En consecuencia, le solicitan que se retire lo antes posible. Sin mucho control por parte de recursos humanos y TI, este responsable logra mantener sus accesos a la red y las bases de datos en general desde su ordenador particular, aunque ya no trabaje para la empresa.

Con todo esto, ha logrado ejecutar varios ciberataques a la organización. Prácticamente todos estos se han dado con éxito y ha generado muchos ingresos en poco tiempo. Este es un ejemplo de una amenaza Insider, cualquier persona que forme parte de una organización (o que ya no forme parte) y que tenga conocimientos importantes sobre la red interna y que con éstos, logre llevar a cabo ataques de todo tipo.

Casos de amenazas insider


Insider-trading-as-a-service

Este tipo de servicio es bastante similar a las los servicios DDoS de alquiler. Se ha estado ofreciendo hace ya unos años. ¿En qué consiste? Pues, toda persona u organización que esté interesada, debe pagar un dinero establecido, este dinero es definido por la persona u organización que ofrece el servicio Insider-trading-as-a-service.

Los precios varían bastante, puede costar cientos de euros o incluso puede haber casos en que se ofrece este servicio de insider trading mediante una suscripción anual que cuesta un Bitcoin. Recordemos que a pesar de que las criptomonedas se caracterizan por ser sumamente volátiles en relación a su precio, el bitcoin sigue siendo el más valioso. Últimamente, el precio de un Bitcoin ronda los 9000 USD.

Una vez que se haya pagado, se acostumbra a recibir instrucciones que te comenta cómo realizar el trading de información de manera maliciosa sin que seas descubierto. Incluso, es posible encontrar sitios en la Dark Web que se especializan en reclutar insiders, los cuales son motivados a compartir su conocimiento. ¿De qué manera? Mediante recompensas que consisten en dinero, o bien, acceso privilegiado a sitios especializados en trading de información corporativa.


Venta de bases de datos de clientes

Las amenazas Insider tienen la capacidad de ofrecer las bases de datos de clientes de una organización para la cual trabaja o trabajaba. Su principal diferencia es que la base de datos está disponible en tiempo real. Esto significa que la persona u organización interesada, puede conseguir información privilegiada y sumamente actualizada. Por supuesto, este servicio tiene un muy alto precio, el cual puede llegar a cientos de miles de dólares.

Venta de algoritmos

Existen organizaciones que además de bases de datos, documentación y datos sobre la infraestructura de red en general, cuentan con datos muy valiosos como algoritmos. Estos algoritmos pueden servir para determinar los anuncios a ser desplegados a los usuarios en base a preferencias, por ejemplo. Este tipo de algoritmos pueden llegar a costar muchísimo dinero en la Dark Web, tanto que puede llegar a valer más de un millón de dólares en determinados casos.

No hay duda de que existe una gran industria alrededor de actividades cibercriminales como las llevadas a cabo por las amenazas Insider. Dicha industria no para de crecer día a día y las sumas de dinero que se manejan son impresionantes. Queda claro que una buena práctica a llevar a cabo en la gestión de redes es el estricto control sobre aquellos usuarios que cuentan con permisos privilegiados o de administrador.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Recientemente se descubrió que un grupo avanzado de piratas informáticos chinos está detrás de una campaña sostenida de espionaje cibernético dirigida a entidades gubernamentales en Australia, Indonesia, Filipinas, Vietnam, Tailandia, Myanmar y Brunei, que no se detectó durante al menos cinco años y todavía está en curso. amenaza.

El grupo, llamado 'Naikon APT', una vez conocido como uno de los APT más activos en Asia hasta 2015, llevó a cabo una serie de ataques cibernéticos en la región Asia-Pacífico (APAC) en busca de inteligencia geopolítica.

Según el último informe de investigación que los investigadores de Check Point compartieron con The Hacker News, el grupo APT de Naikon no había guardado silencio durante los últimos 5 años, como se sospechaba inicialmente; en cambio, estaba usando una nueva puerta trasera, llamada " Aria-body ", para operar sigilosamente.

"Dadas las características de las víctimas y las capacidades presentadas por el grupo, es evidente que el propósito del grupo es reunir inteligencia y espiar a los países a los que se dirige", dijeron los investigadores.

En resumen, la puerta trasera del cuerpo Aria se está utilizando para tomar el control de las redes internas de una organización objetivo, además de los ataques crecientes de una compañía ya violada para infectar a otra.

"Esto incluye no solo ubicar y recopilar documentos específicos de computadoras y redes infectadas dentro de los departamentos gubernamentales, sino también extraer unidades de datos extraíbles, tomar capturas de pantalla y registro de teclas y, por supuesto, recolectar los datos robados para espionaje".

Una campaña de inteligencia geopolítica

Documentado por primera vez en 2015, el grupo Naikon APT utiliza señuelos de correo electrónico diseñados como un vector de ataque inicial contra agencias gubernamentales de alto nivel y organizaciones civiles y militares, que, cuando se abrieron, instalaron software espía que filtraba documentos confidenciales para mando y control remoto (C2 ) servidores.

Aunque no se han informado nuevos signos de actividad desde entonces, la última investigación de Check Point proyecta sus operaciones desde una nueva perspectiva.

"Naikon intentó atacar a uno de nuestros clientes haciéndose pasar por un gobierno extranjero, fue cuando volvieron a nuestro radar después de una ausencia de cinco años, y decidimos investigar más", dijo Lotem Finkelsteen, gerente de inteligencia de amenazas en Check Point.

No solo se emplearon múltiples cadenas de infección para entregar la puerta trasera del cuerpo Aria, sino que los correos electrónicos maliciosos también contenían un archivo RTF (llamado "The Indians Way.doc") que estaba infectado con un generador de exploits llamado RoyalBlood, que dejó caer un cargador (Intel .wll) en la carpeta de inicio de Microsoft Word del sistema ("% APPDATA% \ Microsoft \ Word \ STARTUP").


RoyalBlood es un armador RTF compartido principalmente entre los actores de amenazas chinos. Vale la pena señalar que un modus operandi similar se ha relacionado con una campaña contra las agencias gubernamentales de Mongolia, llamada Vicious Panda , que se descubrió explotando el brote de coronavirus en curso para plantar malware a través de trucos de ingeniería social.

En un mecanismo de infección separado, los archivos de almacenamiento se empaquetaron con un ejecutable legítimo (como Outlook y Avast Proxy) y una biblioteca maliciosa para colocar el cargador en el sistema de destino.

Independientemente del método para obtener un punto de apoyo inicial, el cargador estableció una conexión con un servidor C2 para descargar la carga útil de la puerta trasera Aria de la siguiente etapa.

"Después de obtener el dominio C&C, el cargador lo contacta para descargar la siguiente y última etapa de la cadena de infección", anotaron los investigadores. "Aunque parezca simple, los atacantes operan el servidor de C&C en una ventana diaria limitada, conectándose en línea solo durante unas pocas horas cada día, lo que dificulta el acceso a las partes avanzadas de la cadena de infección".

El Aria-body RAT, llamado así en base al nombre "aria-body-dllX86.dll" dado por los autores del malware, tiene todas las características que esperarías de una puerta trasera típica: crea y elimina archivos y directorios, toma capturas de pantalla, buscar archivos, recopilar metadatos de archivos, recopilar información del sistema y la ubicación, entre otros.

Algunas variaciones recientes de Aria-body también vienen equipadas con capacidades para capturar pulsaciones de teclas e incluso cargar otras extensiones, según los investigadores, lo que sugiere que la puerta trasera está en desarrollo activo.

Además de filtrar todos los datos recopilados al servidor C2, la puerta trasera escucha cualquier comando adicional que se ejecute.

Un análisis posterior de la infraestructura C2 descubrió que se utilizaron varios dominios durante largos períodos de tiempo, con la misma dirección IP reutilizada con más de un dominio.

Llevando sus tácticas de evasión al siguiente nivel, el adversario comprometió y usó servidores dentro de los ministerios infectados como servidores C2 para lanzar ataques y retransmitir y enrutar los datos robados, en lugar de la detección de riesgos al acceder a los servidores remotos.

Lazos con Naikon APT

Check Point dijo que atribuyó la campaña a la APT Naikon basada en similitudes de código en Aria-body y la herramienta de espionaje detallada por Kaspersky (llamada "XSControl") en 2015, así como en el uso de dominios C2 (mopo3 [.] Net ) que se resuelven en la misma dirección IP que los dominios mencionados por este último (myanmartech.vicp [.] net).


"Si bien el grupo Naikon APT se ha mantenido fuera del radar durante los últimos 5 años, parece que no han estado inactivos", concluyó Check Point. "De hecho, todo lo contrario. Al utilizar una nueva infraestructura de servidor, variantes de cargadores en constante cambio, carga sin archivos en memoria, así como una nueva puerta trasera, el grupo APT de Naikon pudo evitar que los analistas rastrearan su actividad hacia ellos". "

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Descargar contenido de Internet no es algo nuevo, ya hablemos de películas, series o de anime. Sin embargo, se trata de una actividad que se suele realizar de forma individual. No obstante, hoy conocemos la curiosa historia de un hacker que pasó más de 8 años controlando una botnet (red de ordenadores o dispositivos) para descargar anime de Internet. Formada principalmente con dispositivos del Internet de las cosas, esta red llegó a superar los 10.000 dispositivos en 2015. Os contamos todos los detalles de la historia a continuación.

No hay duda de que las mejores series Anime son algo que muchos no quieren perderse. Ante la dificultad de ver muchas de manera legal en España, se suele optar por descargarlas de Internet. Allí ha nacido una enorme comunidad que incluso las subtitula en nuestro idioma para que entendamos todas las conversaciones. También es cierto que la oferta legal no para de crecer, sobre todo gracias a plataformas como Netflix.

Aprovechó una sola vulnerabilidad

Sea como fuere, la situación hace 8 años no era la misma. Por esa razón, un hacker aprovechó una única vulnerabilidad en dispositivos D-Link NVR y NAS para crear una inmensa botnet de hasta 10.000 dispositivos. Lo curioso del caso es que el propósito único era el de conectarse a webs y descargar vídeos de anime. La botnet fue detectada por primera vez en 2012.


Además, pese a su tamaño, ha estado operando sin que las grandes firmas de ciberseguridad hayan sido conscientes. Ahora, la botnet está desapareciendo a marchas forzadas ya que los dispositivos con la vulnerabilidad están quedando obsoletos y sus dueños los están reemplazando por otros más modernos y seguros.

La firma de seguridad Forcepoint ha decidido publicar ahora todos los detalles de su forma de actuación para intentar tener una referencia sobre cómo podrían comportarse otras redes zombis de dispositivos u ordenadores. Una de las cosas más destacables es que, pese a aprovechar una sola vulnerabilidad, era una botnet bastante avanzada.

Otra curiosidad es que podría tratarse del hobby de una persona. Lo primero es por aprovechar únicamente una vulnerabilidad en los 8 años que ha estado activa, sin preocuparse expandir o cambiar de objetivo. Lo segundo, por no abandonar nunca su objetivo principal de descargar anime.

Se cree que autor de la botnet, un ciudadano alemán que se llamaría Stefan, nunca tuvo intenciones criminales y lo único que quería era descargar el máximo número de vídeos anime. Ni malware ni otro tipo de acciones similares fueron puestas en marcha utilizando esta botnet, algo raro en el momento en el que estamos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Kodi, a pesar de ser un simple reproductor multimedia, es asociado comúnmente con la piratería por permitir añadir addons para ver contenido pirata en streaming, ya sea en directo o en diferido. Tal es la persecución que sufre el proyecto que han demandado a GitHub por culpa del programa.

Los desarrolladores de Kodi están a salvo de demandas, ya que ellos no realizan ninguna actividad relacionada con la piratería. Es como si denunciasen a los creadores de VLC por facilitar la piratería. Sin embargo, los creadores de addons para Kodi sí que se enfrentan a las garras de la industria, ya que esos addons sí enlazan o permiten encontrar o acceder a contenido sujeto a derechos de autor.

GitHub permite a creadores de addons pirata de Kodi alojar su contenido

Un creador de addons, cuyo alias es Blamo, recibió en 2018 amenazas legales de la MPA (Motion Picture Association), MPA-Canada, Amazon y Netflix una demanda. Sin embargo, no ocurrió nada más, pero sí se presentó una demanda contra GitHub en Canadá por alojar el addon.

Blamo no se presentó al juicio inicial contra él, y se dictó sentencia en su ausencia el 15 de enero de 2019, pero se falló en su contra por haber distribuido o promocionado en sus repositorios addons de Kodi que infringen los derechos de autor. El repositorio tenía su mismo nombre (Blamo), y el nombre del addon que infringía los derechos era Chocolate Salty Ballds.

El caso no quedó ahí, y es que Blamo sigue operando en su cuenta de GitHub (github.com/MrBlamo6969) con total normalidad, ya que ahí sigue "almacenando y distribuyendo los addons de Kodi y su repositorio; los mismos que ya el juez dictaminó que infringían los derechos de autor". La MPA afirma que esto es resistencia a la autoridad.


Por tanto, la MPA ha solicitado a GitHub que suspenda de manera inmediata la cuenta para preservar los derechos de sus clientes. Sin embargo, GitHub ha denegado eliminar la cuenta, aunque sí ha eliminado las dos URL listadas en la demanda de la MPA que contenían contenido específicamente detallado como ilegal por parte de la Corte Federal de Canadá. Así, no sabemos si este será el último episodio de esta batalla legal, donde la única opción que tiene la MPA es demandar a GitHub, algo que es bastante complicado que hagan.

La MPA ha hecho que GitHub elimine el repositorio de Popcorn Time

Esta semana también se ha sabido que la MPA ha sugerido que GitHub podría ser acusada de piratería por alojar el código de la popular aplicación de películas y series por torrent Popcorn Time. Esa aplicación sí que está relacionada directamente con la piratería, y por ello la MPA está tomando todas las medidas posibles para restringir su disponibilidad.


En la demanda hay dos URL: una al repositorio de la aplicación de PC de Popcorn Time, y otra relacionada con su API. En este caso, GitHub sí ha hecho caso de las peticiones de la MPA, y ha dado de baja ambos repositorios, y es muy poco probable que vaya a permitir su restablecimiento.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El robo de tarjetas de crédito es uno de los más lucrativos que hay en la actualidad, ya que no sólo se puede ganar dinero usando estas tarjetas para realizar compras, sino que también pueden venderse sus datos por bastante dinero en la Dark Web. Hay muchas técnicas para obtener los datos robados de las tarjetas, como el skimming en los cajeros, pero expertos de Malwarebytes han encontrado uno de los métodos más avanzados hasta la fecha en una página web.

La técnica utilizada es conocida como web skimming, e-skimming o ataque de Magecart. Todo representan la misma técnica: hackers tomando el control de web y escondiendo código malicioso en las páginas que registra y roba datos de pago que los usuarios introducen en los formularios de pago. Esta técnica empezó a utilizarse hace cuatro años, y conforme las empresas de ciberseguridad van mejorando su detección, los atacantes también están trabajando en sistemas más complejos para evitar ser detectados.

Un icono incluía un código JavaScript malicioso

El último ataque fue además descubierto de casualidad mientras Malwarebytes analizaba una serie de misteriosos hackeos en los que lo único que estaba modificado en las webs era el favicon, el icono que aparece en la pestaña del navegador identificando a la web.

El favicon era un archivo de imagen legítimo alojado en la web You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, sin ningún código malicioso en él. Sin embargo, la clave estaba en que el icono que se cargaba en los enlaces de la web en los que había formularios de pago era diferente. Así, cuando hacías una compra e ibas a pagar, la web cargaba el favicon por un código JavaScript malicioso oculto mediante esteganografía que creaba un formulario de pago falso y recopilaba todos los datos del usuario. Es curioso que los navegadores web no bloqueen este tipo de actividad por defecto.


La web se hacía pasar por otra real

La web de MyIcons, aunque parecía legitima porque al entrar contenía esos iconos, en realidad estaba controlada por los hackers. Según Malwarebytes, varias webs de compra online obtenían los iconos de Magento de esa web. El dominio había sido creado hace unos pocos días, y era un clon de la web real de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, además de usar un dominio parecido a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Además, la web falsa estaba alojada en servidores que han formado parte de otras operaciones de web skimming en el pasado. La web falsa todavía sigue operativa, pero algunos antivirus ya están bloqueándola por defecto.

Como vemos, el esfuerzo por parte de los atacantes es mucho mayor que en ataques previos, ya que se han tomado la molestia de crear una web falsa desde cero con tal de poder robar unas cuantas tarjetas de crédito. En ataques previos de este tipo también se han llegado a realizar actividades parecidas, donde una banda llamada Zirconium registró 28 empresas de anuncios falsas para mostrar los anuncios en miles de web, los cuales incluían malware.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las filtraciones de datos en Internet es algo que está muy presente. Son muchas las ocasiones en las que nos hemos hecho eco de este tipo de problemas que han ocurrido en la red. A veces ocurre a importantes servicios y plataformas y eso hace que puedan verse afectados muchos usuarios. Por ejemplo las contraseñas e información personal pueden verse en peligro. Hoy nos hacemos eco de una noticia que informa sobre una filtración de datos de más de 500 GB que ha afectado a la cuenta de Microsoft en GitHub.

500 GB de datos filtrados de la cuenta de Microsoft en GitHub

En esta ocasión el filtrado de datos ha afectado a la cuenta de Microsoft en GitHub. Se trata de una filtración de datos de más de 500 GB del gigante del software en este popular repositorio. Un pirata informático ha logrado descargar una gran cantidad de proyectos privados que han sido filtrados en la red.

Esta filtración de datos tuvo lugar a finales de marzo, aunque ha sido ahora cuando ha salido a la luz. Concretamente ha sido Shiny Hunters quien ha anunciado el acceso a estos datos. Asegura, eso sí, que ya no tiene acceso a la cuenta. Sin embargo ha ofrecido 1 GB de datos para demostrar que lo que dice es cierto y que cuenta realmente con datos de Microsoft.

Los datos robados principalmente corresponden a muestras de código, proyectos de prueba, un libro electrónico y también algunos artículos genéricos. En total, como hemos mencionado, serían 500 GB de datos.


Sin embargo dentro de todos los datos que se han podido filtrar no hay nada realmente importante. No hay código que podría considerarse vital como el de Microsoft Office o el del sistema operativo Windows, ni mucho menos.

De hecho, según firma de inteligencia cibernética Under the Breach, que vio la filtración en el foro de hackers, tampoco cree que haya mucho de qué preocuparse.

Desde Under the Breach han mostrado también información a través de su cuenta de Twitter. Muestran que realmente no creen que haya algo privado o de vital importancia. Simplemente se habría filtrado información poco relevante de Microsoft en GitHub.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La importancia de la privacidad en la red
En definitiva, estamos ante una filtración de datos que en esta ocasión le ha tocado a la cuenta de Microsoft en GitHub. Sin embargo esto es algo que puede ocurrir a cualquier tipo de usuario, servicio o plataforma. Lo podemos ver muy frecuentemente en la red y es un problema importante.

Debemos proteger siempre nuestras cuentas y registros. Es vital tener contraseñas que sean fuertes y complejas y así evitar la entrada de posibles intrusos. También debemos tener instalado software de seguridad que pueda evitar la entrada de malware que pongan en riesgo el buen funcionamiento de los sistemas y también la seguridad.

Igualmente es esencial contar con las últimas versiones y parches instalados. Son muchas las ocasiones en las que surgen vulnerabilidades.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de seis años después de que Facebook lanzó su ambicioso programa Free Basics para llevar Internet a las masas, la red social vuelve a funcionar con una nueva iniciativa de calificación cero llamada Discover .

El servicio, disponible como una web móvil y una aplicación para Android, permite a los usuarios navegar por Internet utilizando límites de datos diarios gratuitos.

Facebook Discover se está probando actualmente en Perú en asociación con empresas locales de telecomunicaciones como Bitel, Claro, Entel y Movistar.

A diferencia de la navegación regular de contenido enriquecido, el último proyecto de conectividad de Facebook solo proporciona navegación basada en texto de bajo ancho de banda, lo que significa que no se admiten otras formas de contenido intensivo en datos como audio y video.

Otro diferenciador clave es que trata a todos los sitios web por igual, mientras que los usuarios de Free Basics están limitados a un puñado de sitios enviados por desarrolladores y que cumplen con los criterios técnicos establecidos por Facebook.

La medida, en última instancia, generó críticas por violar los principios de neutralidad de la red , lo que llevó a su prohibición en la India en 2016.

Un proxy seguro basado en la web

Pero, ¿cómo funciona realmente Discover? Es muy similar a Free Basics en que todo el tráfico se enruta a través de un proxy . Como resultado, el dispositivo solo interactúa con los servidores proxy , que actúa como un "cliente" para el sitio web que los usuarios han solicitado.

Este servicio proxy basado en la web se ejecuta dentro de un dominio incluido en la lista blanca en "freebasics.com" en el que el operador pone a disposición el servicio de forma gratuita (por ejemplo, "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login" se reescribe como "https: // https-example-com .0.freebasics.com "), que luego busca las páginas web en nombre del usuario y las entrega a su dispositivo.


"Existe una amplia lógica del lado del servidor para garantizar que los enlaces y hrefs se transformen correctamente", dijo la compañía . "Esta misma lógica ayuda a garantizar que incluso los sitios solo HTTP se entreguen de forma segura a través de HTTPS en Free Basics entre el cliente y el proxy".

Además, las cookies utilizadas por los sitios web se almacenan de forma cifrada en el servidor para evitar que los navegadores móviles alcancen los límites de almacenamiento de cookies. La clave de cifrado (llamada clave de cookie de Internet o "ick") se almacena en el cliente para que el contenido de la clave no se pueda leer sin conocer la clave del usuario.

"Cuando el cliente proporciona el ick, el servidor lo olvida en cada solicitud sin haber sido registrado", señaló Facebook.

Pero permitir el contenido de JavaScript de sitios web de terceros también abre caminos para que los atacantes puedan inyectar código malicioso y, lo que es peor, incluso conducir a la fijación de la sesión.

Para mitigar este ataque, Facebook Discover utiliza una etiqueta de autenticación (llamada "ickt") que se deriva de la clave de cifrado y una segunda cookie de identificación del navegador (llamada "datr"), que se almacena en el cliente.


La etiqueta, que está incrustada en cada respuesta de proxy, se compara con el 'ickt' en el lado del cliente para verificar si hay signos de manipulación. Si hay una falta de coincidencia, las cookies se eliminan. También hace uso de una "solución de dos cuadros" que integra el sitio de terceros dentro de un iframe que está asegurado por un marco externo, que utiliza la etiqueta antes mencionada para garantizar la integridad del contenido.

Pero para los sitios web que deshabilitan la carga de la página en un marco para contrarrestar los ataques de clickjacking, Discover funciona eliminando ese encabezado de la respuesta HTTP, pero no antes de validar el marco interno.

Además, para evitar la suplantación del dominio Discover por los sitios de phishing, el servicio bloquea los intentos de navegación a dichos enlaces mediante el sandboxing del iframe, evitando así que ejecute código no confiable.

"Esta arquitectura ha sido sometida a importantes pruebas de seguridad internas y externas", concluyó el equipo de ingeniería de Facebook. "Creemos que hemos desarrollado un diseño que es lo suficientemente robusto como para resistir los tipos de ataques a aplicaciones web que vemos en la naturaleza y ofrecer de forma segura la conectividad que es sostenible para los operadores móviles".

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las autoridades de Polonia y de Suiza han colaborado con la Europol para acabar con el grupo hacker conocido como InfinityBlack. Estos piratas informáticos eran bastante conocidos por distribuir credenciales robadas, además de por crear y distribuir malware o herramientas hacking. También se le atribuyen diversos fraudes. Sus operaciones se realizaban en suelo europeo, por lo que supone una victoria de las fuerzas y cuerpos de seguridad del estado en este terreno. Os damos todas las claves tras el salto.

La Europol continúa colaborando con las diferentes policías nacionales en diversas operaciones contra el hacking o la piratería de contenido. En los últimos tiempos, han conseguido logros importantes para acabar con el IPTV pirata, pero ahora han conseguido anotarse un tanto en otro terreno diferente como el mundo de los hackers. En este caso, se trata de un grupo que vendía bases de datos completas con credenciales privadas.

Cae el grupo hacker InfinityBlack

El pasado 29 de abril se realizaron varias operaciones conjuntas en Polonia y se arrestaron cinco personas que serían miembros de este grupo hacker. La Policía Nacional polaca incautó diversos equipos informáticos, discos duros externos y monederos de criptomonedas con un valor de unos 100.000 euros. Además, cerraron dos bases de datos con más de 170 millones de registros en forma de credenciales privadas, obtenidas principalmente en Suiza.


Este grupo de hackers había creado incluso una plataforma de venta online para vender estas credenciales privadas en la Dark Web. Según señala la Europol, el grupo estaba perfectamente organizado en tres equipos diferentes, cada uno de ellos con un cometido. Unos creaban herramientas para comprobar "la calidad" de los datos robados, otros los analizaban en detalle y finalmente otros se encargaban de venderlos en paquetes en las citadas plataformas de venta por Internet.

Su principal fuente de datos robados estaba relacionada con los programas de puntos que permiten obtener recompensas. De hecho, habían creado un complejo sistema para robar miles de cuentas en Suiza. Se estima que las pérdidas ocasionadas fueron de unos 50.000 euros, aunque pudieron ser de hasta 610.000 euros si no se hubiera parado todo a tiempo la operación.

La Policía les tendió una trampa con la compra de estos datos, consiguiendo relacionarlos con personas en Polonia. La colaboración entre Suiza y Polonia, con la Europol de por medio, resultó clave para completar las detenciones. Este organismo también facilitó los medios técnicos y el soporte necesario para que todo concluyera satisfactoriamente.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La carga inalámbrica, después de varios años, finalmente parece estar establecida en dispositivos electrónicos de consumo como smartphones, relojes inteligentes o auriculares inalámbricos. Todos ellos con el estándar Qi como referencia, estándar al que ahora se va a sumar uno nuevo que parte de la tecnología NFC. 'Wireless Charging Specification' se plantea como alternativa al Qi a la hora de cargar pequeños dispositivos de bajo consumo.

Anunciado por NFC Forum, organismo que se encarga de gestionar la tecnología NFC, el nuevo estándar pasará a formar parte de las capacidades de los dispositivos con NFC. NFC es una tecnología de comunicación inalámbrica que actualmente se utiliza para intercambio de datos a la hora de realizar pagos móviles por ejemplo. Pero también permite transmitir energía para cargar un dispositivo, como ya vimos por ejemplo con la pantalla de tinta electrónica que no necesita batería.


A 1W y para dispositivos de baja potencia

La idea del estándar de carga inalámbrica por NFC no es tanto sustituir a Qi como complementarlo. Qi permite cargas de mínimo 5W y dependiendo del hardware puede subir a 10W o incluso 30W. Mientras tanto, por cómo está diseñado el sistema NFC, no permite más de 1W en este nuevo estándar.

La ventaja que plantea WLC es el poder usar una sola antena NFC tanto para la comunicación de datos como para la transmisión de energía. De este modo los fabricantes se podrían ahorrar por ejemplo implementar una matriz de carga por Qi en dispositivos de menor tamaño. Dispositivos que ni cuentan con una batería de gran capacidad ni requieren de una carga urgente.


NFC Forum pone como ejemplo relojes inteligentes, pulseras inteligentes, auriculares inalámbricos o stylus. Este tipo de dispositivos son los que últimamente se están cargando mediante una carga inalámbrica inversa (obteniendo la energía de un dispositivo mayor como el smartphone o la tablet).

De momento el estándar ha sido redactado y aprobado, ahora será cuestión de que los fabricantes quieran implementarlo y empiecen a hacerlo en sus próximos dispositivos. No hay absolutamente ninguna fecha para ello, pero será interesante ver cómo se desarrolla el uso de esta tecnología en futuros productos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En la oficina de Lucas, en una administración pública, el teletrabajo ya era una opción previa a la crisis sanitaria, con topes semanales, pero contemplada. Para esos momentos usaban AnyConnect, una solución de Cisco, de cara a mantener privada la información de la empresa y conectarse de forma segura mediante una VPN. Con el confinamiento, y el paso al teletrabajo como opción principal, pasaron a usar una solución algo más completa, esta vez de Fortinet.

Esta plataforma, además de permitir la conexión vía VPN o tener filtros de seguridad para el equipo, también permite a la empresa capar el acceso a ciertas páginas web -algo habitual desde hace mucho- o monitorizar las direcciones a las que accede cada empleado para prevenir fugas de información o usos indebidos del equipo de trabajo durante el horario laboral. Es solo un ejemplo del esfuerzo que están haciendo muchas empresas para monitorizar al máximo la actividad de sus empleados en remoto ahora que el trabajo ya no se hace en la oficina, y cuya adaptación se tuvo que hacer de la noche a la mañana.

Un script para simular actividad, un despido

En otros casos, este control puede tener una cara B, tanto por parte del empleado como de la propia compañía. Es el caso de la empresa de Miguel (nombre modificado a su petición para guardar su identidad), una financiera con sede en Madrid que hizo que sus empleados se llevaran a casa sus ordenadores justo antes de la instauración del estado de alarma para poder seguir trabajando en remoto, en prevención a lo que venía.

Uno de esos empleados, del departamento informático, tuvo una idea para no trabajar y que pareciese que sí lo hacía: programar un script que escribía borradores en Word y los descartaba, en bucle, para que el software usado por la empresa no detectase la inactividad, y así aprovechar para simular que estaba trabajando aunque ni siquiera estuviese frente al ordenador.

Con lo que no contaba era con que esos portátiles venían preparados para que la empresa pudiese acceder a su escritorio de forma remota. Cuando vieron que su cantidad de reportes era inusualmente baja en proporción a su tiempo de actividad, accedieron al ordenador y vieron el script en marcha. Despedido. En otros casos, la inventiva llega a niveles más básicos:

En Alicante está David (nombre igualmente modificado), trabajador en una empresa dedicada al desarrollo de software. Cuando empezó la crisis sanitaria, todos los trabajadores fueron enviados a casa. La empresa, que trabaja con ordenadores de sobremesa, les pidió que usasen sus ordenadores personales y que instalasen el software necesario para seguir trabajando a distancia.

Si la empresa no puede proveer de equipos a sus empleados para que trabajen desde casa, el control con sus equipos personales se hace mucho más complicado
Primer problema: no todos tenían ordenadores con suficiente potencia como para trabajar en condiciones. Segundo problema: la empresa también instaba a instalar un software concreto, ManicTime, para poder controlar su tiempo de actividad, de inactividad y el detalle de todas las webs visitadas y aplicaciones utilizadas durante la jornada, algo que no era habitual durante la vieja normalidad.

"Cuando nos lo comentaron no nos hizo gracia, pero tampoco sabíamos si podíamos negarnos, lo comentamos algunos internamente y nos enteramos gracias a un abogado de confianza de que sí que podíamos, así que dijimos que no queríamos instalar esa herramienta en nuestros ordenadores personales". La empresa planteó que tanto en esos casos como en los de ordenadores de potencia insuficiente se usasen los equipos personales únicamente para acceder a los de la oficina mediante un escritorio remoto, donde sí iban a instalar el software de control. Y se mataron dos pájaros de un tiro.


"Además, siendo un ordenador personal no quedaba claro qué tipo de uso nos podía suponer una sanción", dice David. "Igual tenemos software instalado para uso personal que envía notificaciones durante la jornada, o tenemos que hacer una consulta que equivaldría a la pausa del café en la oficina, pero ahí quedaría registrado todo lo que hiciéramos, no queríamos eso. Con el ordenador de la oficina en remoto nos importa menos, no hacemos nada que no sea trabajar cuando nos conectamos a él".

"Se trata de ser profesional, de que no haya abusos por ninguna de las partes, lo de instalar el software en nuestros ordenadores personales nos pareció un abuso"

En ese caso, cualquier actividad personal que se quiera hacer se puede llevar a cabo simplemente dejando de usar el escritorio virtualizado para pasar a usar el sistema operativo nativo del ordenador. Eso sí, el software de control en cuestión del ordenador del trabajo detectará la inactividad, aunque no debería ser problemático para momentos puntuales, cosa muy distinta a pasar media jornada laboral viendo YouTube.

"Al final se trata de trabajar desde casa de la misma forma que trabajas en la oficina, siendo profesional, nadie nos puede decir nada por parar dos minutos a enviar un mail personal que es necesario, igual que no nos importa quedarnos unos minutos después de la hora de salida para acabar algo pendiente. Se trata de que no haya abusos por ninguna de las partes, y lo de instalar el software en nuestros ordenadores personales nos pareció un abuso y por eso hicimos la consulta legal. La empresa lo respetó y no forzó una situación fea, al final estamos contentos con el resultado", cuenta el alicantino.

Cuestión legal

Joaquín Muñoz, abogado de Ontier experto en derecho digital y nuevas tecnologías, corrobora el procedimiento de la empresa alicantina. Explica que hay que diferenciar la instalación de software pensado para la comunicación en equipo en equipos personales (como Zoom o Microsoft Teams de software específico para controlar la actividad del trabajador, las webs que visita y demás. "En este segundo caso, es necesario el consentimiento expreso del usuario después de que se le haya comunicado todas las características de ese software", cuenta el abogado.


¿Y si el empleado se niega a instalar ese software en su equipo? "No se le podría obligar siempre que esté usando dispositivos de su propiedad. Es la empresa quien tiene que procurar los medios para que el empleado pueda trabajar". Distinta cuestión si le provee del ordenador, en ese caso solo estaría obligada a informarle en detalle de lo que hace el software elegido por la empresa, sin necesidad de obtener el consentimiento expreso.

No obstante, hay tres ámbitos que suele recoger la Agencia Española de Protección de Datos a la hora de determinar si esas prácticas son apropiadas o no: la necesidad (una justificación por el tipo de trabajo que hace ese empleado), la idoneidad (que no haya alternativas menos intrusivas para lograr el mismo resultado) y la proporcionalidad (que el fin a conseguir sea proporcional a la intrusión a la intimidad que se realiza). La empresa ha de ponderar si su propuesta encaja en esos tres ámbitos incluso para cada empleado concreto.

La jurisprudencia en España avala un uso residual incluso de los equipos informáticos de la empresa durante la jornada laboral, para momentos muy puntuales, según explica Joaquín, como enviar un correo personal o hacer una transferencia bancaria. El exceso sí que posibilita la toma de medidas por parte del empresario, que deberá ser proporcional a la infracción cometida.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si usas Ubuntu en cualquiera de sus versiones con GNOME Shell y además el navegador Firefox, puedes reproducir este problema ahora mismo, siempre que no te importe perder lo que tengas en ese momento en la pantalla.

Se trata de un bug que de hecho fue reportado hace dos años en la página de Gitlab de Gnome. Cuando el usuario presiona la tecla F11 dentro de Firefox por más de un segundo, la shell se congela y consume toda la memoria rápidamente.

La culpa es de la animación a pantalla completa

En Firefox y en otros programas, la tecla F11 sirve para pasar la aplicación a pantalla completa. Aparentemente, según los comentarios dentro del hilo con el reporte del bug, esto se debe a un problema con la animación para entrar en pantalla completa.


La conversación está llena de comentarios confirmando el fallo en el último año. Hace apenas dos días, fue confirmado también en el recién lanzado Ubuntu 20.04 con GNOME 3.36. Joey Sneddon de OMG!Ubuntu! también decidió probar en sus máquinas con Ubuntu y pudo reproducir el fallo en ambas.

Explica que tanto en sus equipos AMD/Radeon como Intel, la shell se bloquea y el sistema se hace prácticamente imposible de usar. Sin embargo, en Intel parece que el problema se resuelve solo si dejas el ordenador quieto un rato hasta que el sistema empieza a matar procesos por sí solo.

En AMD su experiencia fue que el portátil se recalentó tanto que se apagó solo. Si te pasa esto, puedes intentar volver a la normalidad matando el proceso de Firefox con el comando killall firefox. Eso si logras que el equipo responda lo suficiente como para poder hacerlo.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El investigador de ciberseguridad Mordechai Guri de la Universidad Ben Gurion del Negev de Israel demostró recientemente un nuevo tipo de malware que podría usarse para robar de forma encubierta datos altamente sensibles de sistemas con espacio de aire y audio utilizando una novedad acústica en unidades de fuente de alimentación que vienen con dispositivos informáticos modernos.

Apodado ' POWER-SUPPLaY ', la investigación más reciente se basa en una serie de técnicas que aprovechan canales encubiertos electromagnéticos, acústicos, térmicos, ópticos e incluso cables de alimentación para filtrar datos de computadoras que no están en red.

"Nuestro malware desarrollado puede explotar la unidad de fuente de alimentación de la computadora (PSU) para reproducir sonidos y usarlo como un altavoz secundario fuera de banda con capacidades limitadas ", describió el Dr. Guri en un documento publicado hoy y compartido con The Hacker News.

"El código malicioso manipula la frecuencia de conmutación interna de la fuente de alimentación y, por lo tanto, controla las formas de onda de sonido generadas por sus condensadores y transformadores".

"Mostramos que nuestra técnica funciona con varios tipos de sistemas: estaciones de trabajo y servidores de PC, así como sistemas integrados y dispositivos IoT que no tienen hardware de audio. Los datos binarios pueden ser modulados y transmitidos a través de las señales acústicas".

Uso de la fuente de alimentación como un altavoz fuera de banda

Los sistemas con espacio de aire se consideran una necesidad en entornos donde los datos confidenciales están involucrados en un intento de reducir el riesgo de fuga de datos. Los dispositivos suelen tener su hardware de audio deshabilitado para evitar que los adversarios aprovechen los altavoces y micrófonos incorporados para robar información a través de ondas sónicas y ultrasónicas .

También requiere que tanto las máquinas transmisoras como las receptoras estén ubicadas muy cerca unas de otras y que estén infectadas con el malware adecuado para establecer el enlace de comunicación, como a través de campañas de ingeniería social que exploten las vulnerabilidades del dispositivo objetivo.


POWER-SUPPLaY funciona de la misma manera en que el malware que se ejecuta en una PC puede aprovechar su PSU y usarlo como un altavoz fuera de banda, evitando así la necesidad de hardware de audio especializado.

"Esta técnica permite reproducir transmisiones de audio desde una computadora incluso cuando el hardware de audio está desactivado y los altavoces no están presentes", dijo el investigador. "Los datos binarios se pueden modular y transmitir a través de las señales acústicas. Las señales acústicas pueden ser interceptadas por un receptor cercano (por ejemplo, un teléfono inteligente), que demodula y decodifica los datos y los envía al atacante a través de Internet".

Dicho de otra manera, el malware de espacio de aire regula la carga de trabajo de las CPU modernas para controlar su consumo de energía y la frecuencia de conmutación de la PSU para emitir una señal acústica en el rango de 0-24 kHz y modular los datos binarios sobre ella.

Bypass de espacio de aire y seguimiento de dispositivos cruzados

El malware en la computadora comprometida, entonces, no solo acumula datos confidenciales (archivos, URL, pulsaciones de teclas, claves de cifrado, etc.), sino que también transmite datos en formato WAV utilizando las ondas de sonido acústicas emitidas por la fuente de alimentación de la computadora, que se decodifica por el receptor, en este caso, una aplicación que se ejecuta en un teléfono inteligente Android.

Según el investigador, un atacante puede extraer datos de sistemas con espacios de audio al teléfono cercano ubicado a 2.5 metros de distancia con una velocidad de bits máxima de 50 bits / seg.


Una consecuencia de este ataque que rompe la privacidad es el rastreo entre dispositivos , ya que esta técnica permite que el malware capture el historial de navegación en el sistema comprometido y transmita la información al receptor.

Como contramedida, el investigador sugiere sistemas sensibles a la zonificación en áreas restringidas donde los teléfonos móviles y otros equipos electrónicos están prohibidos. Tener un sistema de detección de intrusos para monitorear el comportamiento sospechoso de la CPU y configurar detectores de señales y bloqueadores basados ​​en hardware también podría ayudar a defenderse contra el canal secreto propuesto.

Dado que las instalaciones nucleares con espacios de aire en Irán e India son  blanco de violaciones de seguridad, la nueva investigación es otro recordatorio de que los ataques complejos de la cadena de suministro pueden dirigirse contra sistemas aislados.

"El código POWER-SUPPLaY puede funcionar desde un proceso ordinario en modo de usuario y no necesita acceso a hardware o privilegios de root", concluyó el investigador. "Este método propuesto no invoca llamadas especiales del sistema ni accede a recursos de hardware, y por lo tanto es muy evasivo".

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si posee un teléfono inteligente Xiaomi o ha instalado la aplicación del navegador Mi en cualquiera de sus dispositivos Android de otras marcas, debe habilitar una configuración de privacidad recientemente introducida de inmediato para evitar que la empresa espíe sus actividades en línea.

El fabricante de teléfonos inteligentes ha comenzado a implementar una actualización de Mi Browser / Mi Browser Pro (v12.1.4) y Mint Browser (v3.4.3) después de que surgieran preocupaciones sobre su práctica de transmitir historias de navegación web y metadatos del dispositivo a los servidores de la compañía.

La nueva configuración de privacidad ahora permite a los usuarios de Mi Browser deshabilitar la función de recopilación de datos agregados mientras están en modo de incógnito, pero cabe señalar que no está habilitada de manera predeterminada.

Se puede acceder a la opción tocando el ícono de configuración en el navegador> Configuración de modo de incógnito> y luego deshabilitar 'Modo de incógnito mejorado', como se muestra en una captura de pantalla adjunta a continuación.

Mint Browser y Mi Browser Pro se han descargado más de 15 millones de veces desde Google Play hasta la fecha.


El desarrollo se produce inmediatamente después de un informe de Forbes la semana pasada que detalla cómo los navegadores de la compañía registran las visitas al sitio web de los usuarios, incluso en modo de incógnito.

Los navegadores, que vienen preinstalados en millones de dispositivos Xiaomi, capturan consultas de motores de búsqueda en Google y DuckDuckGo, y también acumulan datos sobre qué carpetas abren los usuarios y a qué pantallas deslizan, incluida la barra de estado y el menú de configuración.


Los datos agregados luego se transfieren a los servidores ubicados en China y Rusia, contando los servidores que la compañía alquiló a otro gigante tecnológico chino, Alibaba, aparentemente para comprender mejor el comportamiento de sus usuarios.

"Mi principal preocupación por la privacidad es que los datos enviados a sus servidores pueden correlacionarse muy fácilmente con un usuario específico", dijo Gabi Cirlig a Forbes.


En respuesta al informe, Xiaomi afirmó que hubo "varias imprecisiones y malas interpretaciones sobre nuestro proceso de recopilación y almacenamiento de datos del navegador", y que no recopila ningún dato sin el permiso del usuario. Agregó que todos los datos están "agregados y no pueden usarse solos para identificar a ningún individuo".

El investigador de ciberseguridad Andrew Tierney, quien investigó el rastreo de datos junto a Cirlig, refutó la respuesta de Xiaomi durante el fin de semana, declarando "adjuntan UUID a mis solicitudes que persisten durante al menos 24 horas", y que "esto es lo suficientemente cercano a un individuo" . '"

Para optar o no?

Al impulsar la actualización, la compañía no parece estar deteniendo la práctica por completo. En otras palabras, a menos que los usuarios se excluyan explícitamente, Xiaomi continuará recopilando estadísticas agregadas mientras esté en modo incógnito.

Cabe señalar que la compañía aún recopila continuamente los mismos datos de actividad cuando navega en modo normal (sin incógnito), y no hay una forma adecuada de desactivarlo.

"Creemos que esta funcionalidad, en combinación con nuestro enfoque de mantener datos agregados en una forma no identificable, va más allá de los requisitos legales y demuestra el compromiso de nuestra empresa con la privacidad del usuario", dijo Xiaomi en una actualización.

El hecho de que esta recopilación de datos permanecerá habilitada en el modo de incógnito es otro ejemplo de un patrón oscuro que impulsa una configuración predeterminada intrusiva de la privacidad.

Además, seleccionar la opción amigable con la privacidad requiere al menos tres pasos, demostrando una vez más que la privacidad tiene un costo, y essiempre opte por no participar y nunca lo haga .
Si Xiaomi se tomara en serio su "compromiso con la privacidad del usuario", habría buscado a los usuarios por su consentimiento explícito. En su estado actual, es solo una ilusión de control.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tras más de tres lustros en desarrollo se acaba de anunciar el lanzamiento de Inkscape 1.0, la primera versión redonda -que no estable- de este veterano y cada vez más popular editor de gráficos vectoriales, convertido de unos años a esta parte en una de las aplicaciones de diseño profesional con mayor proyección del software de código abierto.

Repetimos lo dicho cuando nos hicimos eco de la beta, porque lo cierto es que poco y nada es lo que ha cambiado en este tiempo, en el que lo único que ha trascendido entre medias es el lanzamiento de una RC. El último lanzamiento estable de la aplicación fue el de Inkscape 0.92 y desde entonces sí ha llovido lo suyo.

A grandes rasgos, las principales novedades de Inkscape 1.0 contemplan «rendimiento más suave, soporte HiDPI, efectos de ruta en vivo nuevos y mejorados y aplicación nativa para macOS», según destacan los desarrolladores del proyecto. También hacen hincapié en la mejora de las traducciones o el salto a GTK3 y la renovación de la interfaz de la aplicación.

Otros cambios de Inkscape 1.0 incluyen:

Soporte de temass
Alineación de la esquina superior izquierda
Rotación y reflejo
Alineamiento de objetos
Mejor soporte de pantalla HiDPI
Control del ancho de PowerStroke en tableta gráfica sensible a la presión
LPE de operación booleana (no destructiva)
Nuevas opciones de exportación como PNG
Trazado de línea central
Nuevo cuadro de diálogo de selección de efecto de ruta en vivo
Operaciones de ruta más rápidas y 'deselección' de rutas
Soporte de fuentes variable
Revisión completa de extensiones
Cambios de sintaxis en la línea de comando
Soporte nativo para macOS con un archivo .dmg firmado


A continuación, el vídeo de presentación de Inkscape 1.0:


La descarga de Inkscape 1.0, se puede ir monitorizando en la página oficial, dado que aún no ha sido actualizada en todos los canales. Se puede instalar ya en formato AppImage y Snap, disponible en la Snap Store, y se espera que en las próximas horas llega también a Flathub.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los responsables de Endless OS han anunciado el lanzamiento de la versión 3.8 de la distribución, que junto con la empresa que lo desarrolla y sus ordenadores tiene el propósito de reducir la brecha digital en el mundo, algo muy loable si se tiene que en cuenta que en muchos lugares los ordenadores personales siguen siendo un lujo solo al alcance de los más pudientes.

Lo primero que destaca de Endless OS 3.8 es la inclusión de GNOME 3.36, la última versión del entorno de escritorio que ha demostrado una gran mejora en lo que se refiere al desempeño y la respuesta, aunque en el sistema que nos ocupa se encargan de personalizar la experiencia para que se asemeje un poco más a Windows.


El hecho utilizar el cacareado GNOME 3.36 deja en evidencia muchos de los cambios y mejoras que incluye Endless OS 3.8, sin embargo, la cosa no termina aquí, ya que los controles parentales pueden ser habilitados en el primer inicio del sistema tras la instalación, en la configuración del usuario inicial. Con el fin de facilitar la gestión del control parental, tras la configuración inicial se pone a disposición una aplicación para tenerlo todo más al alcance.


Con el fin de facilitar la ejecución del sistema en más tipos de ordenadores, ahora se pone a disposición imágenes preinstaladas en formato OVF para soluciones de virtualización como VirtualBox y VMware Player. Tras descargar el fichero, el usuario solo tiene que descomprimir y configurar su solución de virtualización favorita para poner en marcha Endless OS 3.8. Por otro lado, los encargados de la distribución están trabajando con desarrolladores de Linux para mejorar el soporte sobre Raspberry Pi 4.

Como no podía ser de otra manera, una nueva versión de una distribución GNU/Linux viene acompañada de la correspondiente mejora y actualización del soporte de hardware. En Endless OS 3.8 nos encontramos con el kernel Linux 5.4, el driver 440.64 de NVIDIA, VirtualBox Guest Utils 6.1.4, PulseAudio 13 y Mesa 19.3.3. Otros componentes a destacar son systemd 244 y GRUB 2.04.

Endless OS 3.8 puede ser descargado en distintos formatos desde el sitio web oficial de la empresa que lo desarrolla. Merece la pena mencionar que Endless tiene una estrecha relación con GNOME Foundation, institución con la que ha colaborado en varios proyectos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Días después de que los investigadores de ciberseguridad dieron la alarma sobre dos vulnerabilidades críticas en el marco de configuración de SaltStack , una campaña de pirateo ya ha comenzado a explotar las fallas para violar los servidores de LineageOS, Ghost y DigiCert.

Rastreado como CVE-2020-11651 y CVE-2020-11652 , las fallas reveladas podrían permitir que un adversario ejecute código arbitrario en servidores remotos implementados en centros de datos y entornos de nube. SaltStack solucionó los problemas en un comunicado publicado el 29 de abril.

"Esperamos que cualquier pirata informático competente pueda crear exploits 100% confiables para estos problemas en menos de 24 horas", advirtieron previamente los investigadores de F-Secure en un aviso la semana pasada.

LineageOS, fabricante de un sistema operativo de código abierto basado en Android, dijo que detectó la intrusión el 2 de mayo alrededor de las 8 pm, hora del Pacífico.

"Alrededor de las 8 pm PST del 2 de mayo de 2020, un atacante usó un CVE en nuestro maestro SaltStack para obtener acceso a nuestra infraestructura" , señaló la compañía en su informe de incidentes, pero agregó que las compilaciones de Android y las claves de firma no se vieron afectadas por la violación.

Ghost, una plataforma de blogs basada en Node.js, también fue víctima de la misma falla. En su página de estado, los desarrolladores señalaron que "alrededor de la 1:30 am UTC del 3 de mayo de 2020, un atacante usó un CVE en nuestro maestro SaltStack para obtener acceso a nuestra infraestructura" e instaló un minero de criptomonedas.

"El intento de minería aumentó las CPU y rápidamente sobrecargó la mayoría de nuestros sistemas,Fantasma añadido .

Ghost, sin embargo, confirmó que no había evidencia de que el incidente resultó en un compromiso de los datos del cliente, las contraseñas y la información financiera.

Tanto LineageOS como Ghost han restaurado los servicios después de desconectar los servidores para parchear los sistemas y protegerlos detrás de un nuevo firewall.

En un desarrollo separado, la vulnerabilidad de Salt también se utilizó para piratear la autoridad de certificación DigiCert.

"Descubrimos hoy que la clave de CT Log 2 utilizada para firmar SCT (marcas de tiempo de certificado firmadas) se vio comprometida anoche a las 7 pm a través de la vulnerabilidad de Salt", dijo el vicepresidente de producto de DigiCert, Jeremy Rowley, en una publicación de Google Groups realizada el domingo.

"Aunque no creemos que la clave se haya utilizado para firmar SCT (el atacante no parece darse cuenta de que obtuvieron acceso a las claves y estaban ejecutando otros servicios en la infraestructura), cualquier SCT proporcionada desde ese registro después de las 7 pm MST ayer son sospechosos. El registro debe extraerse de la lista de registros de confianza ".

Con la alerta de F-Secure revelando más de 6, que puede explotarse a través de esta vulnerabilidad, si no se repara, se aconseja a las empresas que actualicen los paquetes de software de Salt a la última versión para resolver los defectos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando accedemos a diferentes tipos de servicios en Internet, siempre nos piden nuestro correo electrónico para registrarnos. Una buena técnica para proteger nuestra cuenta de correo «buena», es crearnos una cuenta secundaria, y que posteriormente esta cuenta redirija a nuestra cuenta principal. Esto se puede hacer fácilmente en Gmail o Outlook (Hotmail). Ahora Firefox ha lanzado un servicio que nos permitirá enmascarar nuestra dirección de email, gracias a Firefox Private Relay podremos mantener nuestra cuenta de correo lejos de miradas de cibercriminales y trackers.

¿Qué es Firefox Private Relay?

Este nuevo servicio gratuito de Mozilla nos permite crear un alias de nuestro correo electrónico, es decir, una cuenta de correo generada automáticamente por la herramienta, pero que todos los emails redirigen a nuestra cuenta de correo original. En este servicio, tendremos que dar de alta nuestra cuenta de correo real, y posteriormente la propia extensión generará una cuenta de correo para registrarnos en los diferentes servicios de Internet, pero siempre sin dar nuestra cuenta de correo real a dichos servicios.

Cuando vamos a registrarnos en una nueva web, o en un servicio del que no estamos del todo seguros de que es bueno, es posible que nos preocupe poner nuestra cuenta de correo electrónico que utilizamos habitualmente. ¿Alguna vez te han llegado emails de suscripciones que no recuerdas haberte suscrito? ¿Has probado a intentar darte de baja y darte cuenta de que sigues recibiendo esos correos? Gracias a la creación de este alias de nuestro email, podremos crear o eliminar fácilmente ese alias para dejar de recibir emails, y todo ello sin necesidad de configurar nada en nuestro email de Gmail, Outlook o cualquier otro servicio.

El funcionamiento de Firefox Private Relay es realmente fácil, cuando en un formulario necesitamos introducir un correo electrónico, automáticamente la extensión de Firefox lo detectará y podrá crear un alias del email automáticamente y sin que tengamos que hacer nada. Este alias lo creará de manera totalmente aleatorio y único, es decir, tendremos un alias diferente por cada uno de los servicios, para poder dar de baja el alias (e incluso eliminarlo por completo) en cuanto nosotros queramos. Por este motivo, se crea un alias por cada uno de los servicios donde nosotros nos registremos, porque si eliminamos un alias en concreto, no recibiremos emails de ningún servicio donde hayamos registrado ese alias.

¿Cuándo estará disponible Firefox Private Relay? ¿Lo puedo instalar ya?

Mozilla Firefox aún está ultimando la salida de Firefox Private Relay, ya que todavía está en fase alpha y solamente se puede acceder mediante invitación. En la web oficial de Firefox Private Relay podéis encontrar toda la información sobre esta herramienta tan interesante que verá la luz próximamente. Actualmente puedes acceder a la tienda de extensiones de Firefox e instalarla, pero todavía no está disponible para todos los públicos:


En los últimos tiempos, Firefox está lanzando servicios gratuitos y extensiones propias para proteger la privacidad y la seguridad de sus usuarios, algo que es de agradecer porque cada vez estamos más «vigilados» por las cookies de los diferentes sitios web. Algunas de las protecciones que Firefox ha incorporado recientemente son las de protección contra el rastreo, Facebook Container para evitar que el gigante de Internet nos rastree por las diferentes webs, e incluso lanzó un servicio para comprobar si nuestro email se había visto afectado por una filtración de datos, este servicio está basado en el popular Have I been Pwned que es uno de los mejores servicios ya que dispone de una gran base de datos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad están haciendo sonar la alarma sobre las vulnerabilidades recientemente descubiertas en algunos complementos populares del sistema de gestión de aprendizaje en línea ( LMS ) que varias organizaciones y universidades usan para ofrecer cursos de capacitación en línea a través de sus sitios web basados ​​en WordPress.

De acuerdo con el Check Point Equipo de investigación, los tres plugins de WordPress en cuestión - LearnPress , LearnDash , y LifterLMS - tienen fallos de seguridad que podrían permitir a los estudiantes, así como los usuarios no autenticados, sise a la información personal de los usuarios registrados y hasta alcanzar privilegios de los maestros.

"Debido al coronavirus, estamos haciendo todo desde nuestros hogares, incluido nuestro aprendizaje formal", Check PointOmri Herscovici de Research dijo. "Las vulnerabilidades encontradas permiten a los estudiantes, y a veces incluso a usuarios no autenticados, obtener información confidencial o tomar el control de las plataformas LMS".

Los tres sistemas LMS se instalan en aproximadamente 100,000 plataformas educativas diferentes, incluidas las principales universidades como la Universidad de Florida, la Universidad de Michigan y la Universidad de Washington, entre otras.

LearnPress y LifterLMS solo se han descargado más de 1,6 millones de veces desde su lanzamiento.

Múltiples vulnerabilidades en WordPress LMS Plugins

LMS facilita el aprendizaje en línea a través de una aplicación de software que permite a las instituciones académicas y a los empleadores crear el currículo del curso, compartir el trabajo del curso, inscribir estudiantes y evaluarlos con cuestionarios.

Los complementos como LearnPress, LearnDash y LifterLMS facilitan la adaptación de cualquier sitio de WordPress a un LMS totalmente funcional y fácil de usar.


Las fallas en LearnPress van desde la inyección SQL ciega (CVE-2020-6010) hasta la escalada de privilegios ( CVE-2020-11511 ), que puede autorizar a un usuario existente a obtener el rol de maestro.

"Inesperadamente, el código no verifica los permisos del usuario solicitante, por lo tanto, permite que cualquier estudiante llame a esta función", declararon los investigadores.

Asimismo, LearnDash sufre una falla de inyección SQL (CVE-2020-6009) que permite a un adversario elaborar una consulta SQL maliciosa utilizando el simulador de servicio de mensajes de Notificación de Pago Instantáneo ( IPN ) de PayPal para activar transacciones de inscripción en cursos falsos.

Por último, la vulnerabilidad de escritura arbitraria de archivos de LifterLMS (CVE-2020-6008) explota la naturaleza dinámica de las aplicaciones PHP para permitir que un atacante, por ejemplo, un estudiante registrado en un curso específico, cambie su nombre de perfil a una pieza maliciosa de código PHP.

En total, los defectos hacen posible que los atacantes roben información personal (nombres, correos electrónicos, nombres de usuario, contraseñas, etc.), y que los estudiantes cambien las calificaciones, recuperen exámenes y respondan las pruebas de antemano, y también falsifiquen certificados.

"Las plataformas implican pagos; por lo tanto, los esquemas financieros también son aplicables en el caso de modificar el sitio web sin la información del webmaster", advirtieron los investigadores.
Check Point Research dijo que las vulnerabilidades se descubrieron en marzo y se divulgaron de manera responsable a las plataformas en cuestión. Desde entonces, los tres sistemas LMS han lanzado parches para abordar los problemas.

Se recomienda que los usuarios actualicen a las últimas versiones de estos complementos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login