Category Archives: Blog

  • 0

Ataques homográficos: Qué son y como evitarlos

A menudo se recomienda verificar que un sitio use HTTPS y tenga un certificado de seguridad para identificar si es un engaño. Pero, ¿qué pasa cuando los cibercriminales registran dominios que se escriben muy parecido a los originales y obtienen certificados completamente válidos para sus sitios?

De la misma forma que los atacantes encuentran métodos cada vez más sofisticados para intentar evadir las técnicas de detección del antivirus, también mejoran aquellas que les permiten engañar al usuario o al menos evadir los consejos básicos que se suelen enseñar en una clásica capacitación de seguridad informática.

A pesar de ello, siempre podemos dar un paso más para reforzar nuestra seguridad y detectar sus engaños, como veremos más abajo.

Primero apuntaron a mejorar notablemente el diseño de los engaños de phishing, utilizando imágenes elaboradas o la inclusión de iframes provenientes de una página auténtica.

Además, gracias a las ventajas que hoy en día proporcionan los diccionarios y traductores en línea, logran evitar (algunos) errores de gramática u ortografía en los correos.

Por otro lado, ya no basta con mirar la dirección del remitente de un correo electrónico o SMS, ya que gracias a las técnicas de spoofing un atacante se puede hacer pasar por una entidad distinta, falsificando los datos en una comunicación.

También es necesario prestar especial atención a los enlaces a los cuales conducen los correos engañosos, ya que muchas veces los sitios fraudulentos se ocultan detrás de direcciones acortadas o compuestas, para no revelar a simple vista su intención.

Aún así, nos quedaba un consejo que, hasta ahora, creíamos infalible: revisar que la página sea segura, que utilice el protocolo HTTPS y, sobre todo, que tenga el certificado de seguridad.

Cibercriminales con sitios seguros

Si bien es cierto que la mayoría de las páginas fraudulentas utilizan HTTP, mientras que los sitios originales que solicitan credenciales (como redes sociales, portales bancarios, etc.) lo hacen a través de HTTPS, esto no significa que un atacante no pueda hacer lo mismo. De hecho, podría fácilmente convertirlo en HTTPS, obteniendo un certificado SSL/TLS completamente válido para su sitio, incluso de manera gratuita.

Ahora bien, para que esto funcione, el atacante debería ser capaz de registrar un dominio que se vea lo más parecido posible al sitio que desea falsificar y luego adquirir el certificado para este nuevo dominio. Una opción es buscar dominios que se escriban similar. Por ejemplo: “twiitter.com” versus el original “twitter.com”, o “rnercadolibre.com” versus el original “mercadolibre.com”.

¿Recuerdas esos experimentos en los que te muestran palabras incompletas o con errores casi imperceptibles, y las lees rápido como si estuviesen completas y bien escritas? Bueno, lo mismo le sucede a muchos con las URL al navegar.

A simple vista y leyendo con rapidez, esos ejemplos podrían engañar a más de uno, pero basta con prestar atención a cómo está escrita la dirección para detectar el engaño. Lo que aún necesita el atacante es poder registrar un sitio que se escriba diferente, pero se vea igual para el usuario, y para esto es que se utilizan los ataques homográficos.

Veamos un ejemplo. ¿Puedes decir si este sitio es falso?

Este ejemplo pertenece a una prueba de concepto realizada por el investigador Xudong Zheng, quien registró el dominio https://www.xn--80ak6aa92e.com/. Puedes ver cómo funciona ingresando al enlace a través del navegador Firefox.

Lo que hace esto posible es la utilización de caracteres Unicode en otros idiomas, como cirílico, griego o ruso. En estos idiomas podemos encontrar caracteres similares o, muchas veces, iguales a los que utilizamos habitualmente en el latín y en las URLs. Gracias a Punycode, que es una sintaxis de codificación que permite que cualquier carácter Unicode pueda ser traducido en una cadena de caracteres más limitada y compatible con las URLs, es que se puede registrar un nombre de dominio utilizando estos caracteres.

Por ejemplo, se puede registrar un dominio como “xn--pple-43d.com”, que es interpretado por el navegador como “apple.com”, pero en realidad está escrito utilizando el caracter cirílico “а” (U+0430) en vez de la “a” en ASCII (U+0041). Si bien ambos caracteres se ven iguales a simple vista, para los navegadores y certificados se seguridad se trata de dos caracteres diferentes y, por lo tanto, forman parte de dominios diferentes.

Existen numerosos ejemplos, como “tωitter.com” (xn--titter-i2e.com en Punycode) o “gmạil.com” (xn--gmil-6q5a.com). Incluso, puedes jugar a crear tus propias combinaciones con un conversor de Unicode a Punycode.

Muchos navegadores actuales tienen mecanismos que intentan evitar este tipo de ataques. Por ejemplo, en Firefox o Chrome, cuando un dominio contiene caracteres en diferentes idiomas, en lugar de mostrar su forma Unicode, mostrará el Punycode correspondiente.

Es decir, en los ejemplos anteriores, en vez de ver “apple.com” (forma Unicode), veríamos “xn--pple-43d.com” (forma Punycode); y en el caso de tωitter.com” sería “xn--titter-i2e.com”.

Sin embargo, en la prueba de concepto, Xudong Zheng logra evitar esta protección registrando el dominio “apple.com” utilizando únicamente caracteres en lenguaje cirílico. De esta forma, “xn--80ak6aa92e.com” se verá como: аррӏе.com.

Además, el investigador va un paso más allá obteniendo a través de Amazon un certificado TLS para su dominio, el cual a simple vista se ve bastante convincente:

Pero si entramos a ver los detalles podemos observar que en realidad pertenece a “xn--80ak6aa92e.com”:

Si bien esta vulnerabilidad ya ha sido corregida en las últimas versiones de Chrome e Internet Explorer, navegadores como Firefox aún sufren este problema. En este último navegador, una alternativa es configurar la opción network.IDN_show_punycode en true, de forma tal que siempre muestre los caracteres en su forma Punycode.

Aun así, el sitio gmạil.com del ejemplo anterior también logra evitar la protección de Chrome, debido a que utiliza únicamente caracteres del latín, inclusive caracteres especiales como “ạ”, los cuales sí son mostrados por el navegador.

La necesidad de reforzar la protección

Cada vez que encontramos un nuevo caso de phishing o alguna página fraudulenta que busca engañar al usuario, repetimos los mismos consejos: revisar el remitente del mensaje, prestar atención al enlace de la página a la que estamos ingresando, asegurarnos que esté bien escrita y, por sobre todas las cosas, que sea segura (utilice HTTPS) y tenga certificado de seguridad.

Sin embargo, hoy en día no alcanza con solo estos cuidados, ya que los cibercriminales emplean técnicas cada vez más complejas para engañar al usuario. Implementar HTTPS y certificados no es un tema de seguridad para el atacante; después de todo, si está robando tus credenciales, ¿qué importa si las recibe cifradas o no?

El punto es que estas técnicas se usan para dar a los usuarios una falsa sensación de seguridad que los lleve a ingresar sus datos creyendo que están en un sitio seguro, y obedeciendo al consejo que les repitieron hasta el hartazgo de que miren si el sitio tiene un candadito y HTTPS. Pero, como vemos, ya no es suficiente.

Es por esto que además de prestar especial atención a los correos y sitios web, también te recomendamos mirar cuidadosamente los certificados de seguridad, evitar acceder a los sitios a través de enlaces en correos electrónicos (mejor hacerlo siempre escribiendo la URL o a través de accesos directos de confianza) y agregar una capa extra de protección en tus cuentas utilizando el doble factor de autenticación.


  • 0

Por qué no repetir contraseñas

Vivimos inmersos en redes sociales, accedemos a sistemas webs cotidianamente, desactivamos y activamos la alarma diariamente y realizamos muchisimas acciones mas que involucran contraseñas.

Pero entendemos como funcionan? Por qué nos dicen que no hay que repetirlas? Nadie me vá a mirar a mí. La vengo usando por años y jamás me pasó nada. Estas y varias preguntas y afirmaciones más, nos hacen creer de que elegimos las correctas y que son seguras.

Lo anterior dista mucho de la realidad. Hoy se necesita un manejador de contraseñas como (KeyPass o algún otro) para almacenar cientos de contraseñas que usamos diariamente.

Como se graban esas contraseñas en los sevidores y como se chequean es una tarea que como usuario final no podemos controlar, pero lo que generalmente hacen los sistemas es aplicarle una función (sha-1, bcrypt, etc) al valor introducido en la contraseña y éste se almacena junto a nuestra información personal en una base de datos. A este valor se le llama «hash»

Más allá de que la contraseña sea ilegible para cualquiera que pueda acceder a la base de datos, cuando suceden eventos de robo de información de los distintos servidores los diferentes «hashes» junto con la información son almacenados por millones en servidores que después se usan como consulta.

Pero porqué necesito cambiarla si la contraseña es ilegible? Por el simple motivo de que cuando un hash es descubierto y tus datos revelados se ingresa en una segunda etapa, que se conoce generalmente como «pentesting», también se usa ingenieria social, para poder averiguar la mayoria de las redes sociales que se usan y/o demás

Una vez que una vulnerabilidad es explotada, nuestra información es expuesta a internet. Existen grandes bases de datos con información real de millones de personas que se venden en la deep web (internet profunda).

Es por eso que le aconsejamos que por cada sistema que use no repita contraseñas. También le aconsejamos que no vuelva a utilizar las contraseñas anteriores. Ustéd se preguntará, cómo podría recordar tantas contraseñas y si además las debo cambiar cada 180 días por ejemplo. Para eso se crearon los manejadores de contraseñas, en donde uno almacena bajo una contraseña segura todas las que usamos en los distintos sistemas.

Hay varios manejadores de contraseñas que se pueden usar, algunos tienen mas pros que cons que otros, pero si necesita alguna información sobre algunos no dude en escribir un comentario debajo y con gusto le responderé a la brevedad.


  • 0

Reflexión sobre Sharenting

El sharenting es un anglicismo utilizado para describir la práctica de publicar en las redes sociales fotos y contenido de niños, principalmente por parte de los padres. En el ámbito digital es un fenómeno que puede considerarse relativamente nuevo y que representa un cambio cultural en la forma en que los más chicos crecen. Se trata de una acción que, en general, está acompañada de insuficiente reflexión previa, al igual que muchas otras acciones que realizamos a medida que nos apropiamos de las tecnologías de la comunicación vigentes.

¿Cómo reflexionar acerca de algo cuyo alcance desconocemos? 

Sí, a ciencia cierta, lo desconocemos aún; pero tratándose de personas menores de edad, de la privacidad de nuestros niños y niñas, tenemos la responsabilidad de detenernos a pensar antes de postear, para seguir cuidándolos tal como lo hacemos en los otros ámbitos de sus vidas.  Es por eso que el presente artículo recoge ciertas inquietudes relacionadas al sharenting que considero no podemos pasar por alto, como así tampoco a los consejos para preservar a los niños de las consecuencias indeseadas de la exposición pública (algunas, lamentablemente, peligrosas).

Del sharenting analógico al digital

A nuestras madres les encanta siempre alguna foto nuestra, de niño, que seguramente estará en algún lado visible de nuestra casa, a la vista de todos.  Seguramente le trae lindos recuerdos del momento. No hay otra razón, porque algunas fotos pueden no gustarnos, se lo habremos dicho varias veces, pero la respuesta, que nos consuela un poco, es “no la ve nadie más que nosotros”. Tiene razón en ese punto. El sharenting analógico tiene su lado inofensivo.

Muchos hemos crecido en una época previa al auge de las redes sociales. No sé si nuestros padres hubieran compartido fotos de nosotros, pequeños, en Internet. Me resulta imposible saber si algún portarretratos no hubiera tenido el marco de Facebook, Instagram o cualquier otra red social. Sospecho que la ternura y la felicidad que nos provocaron en tantas oportunidades, hubiera querido compartirla con la mayoría de mis contactos.  Sin embargo, leyendo el artículo de Javier Lombardi me asaltó la reflexión.  ¿Qué margen nos hubieran dejado a nosotros, hoy adultos, para que eligieramos qué parte de nuestras vidas querríamos mantener en la intimidad?  ¿Qué tan libres seriamos de presentarnos ante el mundo a nuestra manera, tal como lo hicieron nuestros padres?  Una vez más, imposible saberlo.

Se dice que una imagen reemplaza a muchas palabras, pero ese no es el punto en el que me quiero detener, sino en la importancia que tiene comprender que estamos en la era de la imagen, de la espectacularización de nuestras vidas a través de medios audiovisuales.  Por eso, no es de extrañar que los bebés ya tengan presencia digital desde que están en la panza.  Quizá, construir la biografía online de nuestros hijos e hijas también sea una moda pasajera.  Imposible saberlo hoy.

Los ejemplos que uno puede encontrar sobre el sharenting de la época de nuestros abuelos y de nuestros padres me parecen pertinentes para quitarle todo el peso de la culpa a Internet.  Es que el ser humano siempre hace uso de las tecnologías disponibles para dejar huellas, desde las mismísimas rocas que analizamos para poder conocer la historia de la humanidad.

Sin embargo, la cosa es distinta en los tiempos que corren. Internet imprime perpetuidad a los portarretratos y a algunas partes de su superficie las vuelve punzantes, de tal forma que si las tocamos, a veces nos podemos lastimar.  Si bien es inocente pensar que desaparecerá para siempre algo que publicamos en cualquier medio de comunicación, la realidad indica que se necesitan ciertos conocimientos, que no se adquieren de manera espontánea, para moverse de manera segura y responsable en el mundo digital.  Es bien intuitivo el uso, no así sus consecuencias, y los adultos vamos aprendiendo por ensayo y error.

Suena complicado enseñar a desarrollar hábitos digitales saludables, cuando ni siquiera los imaginamos.  No hay recetas para ser padres y madres, “se hace camino al andar” (como dice la canción).  Y menos para terrenos poco explorados.  No obstante, el artículo de Javier Lombardi sobre los perfiles “promo” en Instagram y cómo éstos pueden afectar la reputación de los jóvenes, nos invita a reflexionar sobre el alcance del sharenting en la actualidad, y a anticipar el efecto que compartir determinada información de nuestros hijos e hijas puede llegar a tener en sus vidas.

En varios pasajes de este artículo hice referencia a “imposible saberlo”.  Creo que alrededor del sharenting habría que usar “imposible no suponerlo”.


  • 0

Vulnerabilidad Crítica en Whatsapp

Vulnerabilidad en WhatsApp permite instalar spyware en teléfonos con solo realizar una llamada

El fallo, que afecta tanto a usuarios de Android como de iOS, ya fue reparado en la última actualización que lanzó WhatsApp

WhatsApp reveló la existencia de una vulnerabilidad crítica en la aplicación que permite instalar el conocido spyware Pegasus en dispositivos Android e iOS con solo realizar una llamada al número de teléfono que se busca comprometer. La vulnerabilidad ya fue reparada y la compañía lanzó un parche con la última actualización.

De acuerdo a la información revelada el lunes, Facebook, propietario de WhatsApp, anunció oficialmente la existencia de una vulnerabilidad (CVE-2019-3568) de buffer overflow (o desbordamiento de búfer) en WhatsApp VOIP que permiten la ejecución remota de código en el dispositivo de la víctima cuando se logra enviarle al número de teléfono elegido como blanco de ataque paquetes de SRTP especialmente diseñados. En este sentido, para explotar el fallo el atacante solo necesita llamar a un dispositivo vulnerable. Además, la víctima ni siquiera necesita aceptar la llamada para que su equipo sea comprometido e incluso la llamada desaparece del registro, explicó Financial Times.

Según explicaron algunos medios, la compañía sospecha que un bajo número de usuarios fue blanco de este ataque que busca instalar el spyware. Probablemente operado por actores con conocimientos avanzados dado que no se trata de una acción trivial.

Asimismo, luego de ser descubierto el fallo, en un período menor a los diez días la compañía desarrolló un parche que lanzó el pasado viernes con la última actualización. Por lo tanto, aquellos usuarios que cuenten con la última versión de la app no podrán ser víctimas de este exploit.

Son vulnerables a este fallo:

Las versiones para Android anteriores a la 2.19.134 y para iOS anteriores a la 2.19.51; las versiones de WhatsApp Business para Android anteriores a la 2.19.44 y de Business para iOS anteriores a la 2.19.51; así como las versiones para Windows Phone anteriores a la 2.18.348 y de WhatsApp para Tizen anteriores a la 2.18.15.

Acerca del spyware Pegasus

Pegasus fue desarrollado por el grupo israelí NSO como herramienta para uso gubernamental para la investigación contra el crimen y lucha contra el terrorismo. En este sentido, Pegasus permite acceder a una gran cantidad de información del dispositivo en el cual se encuentra instalado, como mensajes de texto, correo, mensajes de WhatsApp, información de los contactos, registro de llamadas, acceso al micrófono y a la cámara; todo esto sin que la víctima se dé cuenta.

Este spyware ocupó los titulares de varios medios internacionales en 2017 cuando el New York Times diera a conocer un estudio realizado por el laboratorio Citizen Lab ubicado en la Universidad de Toronto, que aseguraba que la aplicación espía fue utilizada desde el 2011 para fines para los cuales no fue diseñada. Asimismo, el año pasado en un nuevo informe divulgado por Citizen Lab se supo que los dispositivos infectados con Pegasus estaban presentes en 45 países siendo operados por 36 actores.

Por lo tanto, recomendamos a los usuarios que revisen si cuentan con la última actualización instalada y en caso de no ser así, que actualicen la app con la última versión.


  • 0

«Hot Sale»: Cosas a tener en cuenta en cuanto a seguridad informática

La facilidad para realizar compras online se ha incrementado notablemente en los últimos años, como así también las precauciones que uno debe tener en cuenta a la hora de realizar dichas compras.

«Hot Sale» es un evento en donde las empresas ofrecen grandes descuentos en una gran variedad de productos y servicios que ofrecen estas.

Le recomendamos que para tener una experiencia satisfactoria en este evento tenga en cuenta los siguientes consejos en cuanto a seguridad informática:

  • Verifique que la página a la cual accede tenga conexión segura (https) y que sea una tienda oficial del evento mencionado (
    https://www.hotsale.com.ar/ )
  • Solo introduzca los datos de su tarjeta de crédito/débito en las pasarelas de pago que siempre tienen que estar bajo una conexión segura (https) de estas tiendas oficiales. Evite introducir sus datos en lugares sospechosos.
  • Si el proceso tarda mientras está realizando el pago no refresque la página para que cargue más rápido (puede ocasionar multiples compras).
  • Si ingresa a alguna promoción mediante algun link que le hayan enviado via sms, whatsapp, email, etc verifique que la dirección sea la correcta y que sea conexión segura (https).
  • En caso de algún inconveniente en la compra, comunicarse directamente con la empresa en cuestión para que los ayude a resolverlo.
  • Si realiza las compras vía telefónica solo de sus datos personales si el teléfono aparece en la página oficial de la empresa.

Cualquier otra duda que tenga o alguna consulta en cuanto a «Hot Sale» o ciberseguridad, no deje de consultarme y a la brevedad le responderé.


  • 0

Los parches de Microsoft están congelando las PC más antiguas que ejecutan Sophos, Avast

Las computadoras que ejecutan el software de Sophos o Avast no han podido iniciarse luego de la última actualización de Patch Tuesday. Los últimos parches de seguridad de Microsoft están causando que las máquinas más antiguas que ejecutan el software Sophos o Avast se bloqueen o no se inicien por completo después de que se aplican, informan ambas compañías. El problema afecta a las PC con Windows 7, 8.1, Server 2008, Server 2008 R2, Server 2012 y Server 2012 R2 con «cualquier terminal o producto de servidor de Sophos Windows», excepto Sophos Central Intercept X. Afecta a Intercept X Advanced e Intercept X Advanced con EDR. Las PC no se inician cuando se aplican las actualizaciones mensuales más recientes y solo de seguridad y se reinicia la computadora. «Microsoft y Sophos han identificado un problema en los dispositivos con Sophos Endpoint Protection instalado y administrado por Sophos Central o Sophos Enterprise Console (SEC) que puede causar que el sistema se bloquee o se cuelgue al reiniciar después de instalar esta actualización», informa Microsoft. Por ahora, Microsoft ha bloqueado temporalmente que los dispositivos no reciban la actualización si Sophos Endpoint está instalado hasta que haya una solución disponible. Sophos insta a los usuarios a no realizar la actualización; se recomienda a los que lo hayan hecho y no lo hayan reiniciado que eviten hacerlo hasta que se elimine la actualización.

Avast dice que las máquinas con Windows, en particular las que ejecutan Windows 7, se están bloqueando o congelando durante el inicio cuando se aplican ciertas actualizaciones de seguridad. Los clientes han reportado problemas con las PC que usan Avast for Business y Avast CloudCare en Windows. Algunos no pueden iniciar sesión; algunos pueden iniciar sesión después de «un período de tiempo muy prolongado», advierte Avast a los usuarios. Vale la pena señalar que Microsoft no ha comentado públicamente el problema de Avast ni ha bloqueado las actualizaciones para PC. Lea el aviso de Sophos aquí y el asesoramiento de Avast aquí para obtener más información.

Fuente:
https://www.darkreading.com/risk/microsoft-patches-are-freezing-older-pcs-running-sophos-avast/d/d-id/1334403?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

https://community.sophos.com/kb/en-us/133945

https://kb.support.business.avast.com/GetPublicArticle?title=Windows-machines-running-Avast-for-Business-and-Cloud-Care-Freezing-on-Start-up


  • 0

Vulnerabilidad en el navegador por defecto de Xiaomi

Tags : 

Se ha descubierto una vulnerabilidad en el navegador predeterminado de los dispositivos Android de Xiaomi que permite realizar ataques despoofing.

Una vulnerabilidad en el navegador predeterminado que incorpora la versión Android de los dispositivos Xiaomi permite realizar ataques de spoofing a las URLs visitadas a través del mismo, gracias a un fallo en la barra de navegación. 

Una vulnerabilidad de spoofing en la barra de navegación permite al atacante hacer creer al usuario que se encuentra en una página web que en realidad no es en la que está navegando. Esto que permite realizar, por ejemplo, ataques de phishing mucho más creíbles, pues no solo se copia el aspecto de la web, sino que utilizando la vulnerabilidad de spoofing el atacante puede engañar al usuario haciéndole creer que está visitando una URL legítima. 

De acuerdo a la información que se ha hecho pública, la vulnerabilidad se debe a que el navegador no procesa correctamente el parámetro q de las URLs, fallando al mostrar la parte de la URL que va delante de ?q=

De modo que, si la victima visita la URL de ejemplo: https://atacante.com/?q=www.bancolegitimo.com, la barra del navegador mostrará únicamentewww.bancolegitimo.com

Como sabemos, en los navegadores de dispositivos móviles, la barra de navegación es el elemento más fiable (y habitualmente el único) para comprobar de forma rápida si estamos navegando en el sitio legítimo o no, por lo que esta vulnerabilidad se convierte en un problema de seguridad realmente grave. 

Las versiones afectadas son: Xiaomi Mi browser 10.5.6-g (MIUI native browser) y Mint Browser 1.5.3. Ambas versiones son las últimas versiones disponibles en el momento en el que se escribe esta noticia.  Una aclaración importante es que solo se dá en celulares internacionales y no los distribuídos en China.

Más información:
Fuente: TheHackerNews
CVE: CVE-2019-10875
Twitter: Arif Khan


  • 0

El antivirus preinstalado de Xiaomi y su vulnerabilidad

Tags : 

Los celulares de Xiaomi no paran de crecer en ventas en todo el mundo gracias a su reducido precio. Sin embargo, lo que más echa atrás a la gente a la hora de comprar un celular de la compañía es MIUI, su capa de personalización sobre Android que, entre otras cosas, muestra publicidad a los usuarios. Ahora, una de las apps que viene preinstaladas en los móviles de Xiaomi cuenta con una grave vulnerabilidad.

Guard Provider, el antivirus de Xiaomi que cuenta con una grave vulnerabilidad

Esta vulnerabilidad ha sido descubierta por investigadores de Check Point, y, curiosamente, afecta a la aplicación Guard Provider (llamada Security, o Seguridad). Esta app, es la que se debe encargar de la seguridad del celular, protegiéndolo ante posibles ataques de malware. Sin embargo, en su código hay un fallo que permite realizar ataques de man-in-the-middle e inyectar código malicioso.

El principal problema está en que esa aplicación tiene acceso a Internet y lo usa para enviar y recibir información, la cual no se hace a través de HTTPS, por lo que los datos van en texto plano sin cifrar. Eso hace que un atacante que esté conectado a la misma red WiFi que nosotros pueda llevar a cabo un ataque man-in-the-middle e inyectar código malicioso en el dispositivo para robar contraseñas, instalar ransomware, robo de datos o introducir básicamente cualquier tipo de malware.

Un SDK de terceros, principal culpable de la vulnerabilidad

La culpa de esta vulnerabilidad la tiene un kit de desarrollo (SDK) de terceros utilizado en la app. Ese es el problema que pasa al utilizar librerías de terceros, ya que éstas pueden contener vulnerabilidades desconocidas incluso por los propios desarrolladores. De media, una aplicación cuenta en la actualidad con 18 SDK, y una vulnerabilidad en una de ellas pone en peligro a todas las demás, ya quecomparten permisos y contexto dentro de una unidad de ejecución en el sistema operativo.

Este uso excesivo de SDK puede ser positivo para los desarrolladores, que no tienen que preocuparse en desarrollar y testear algunas partes de la app, pero también puede generar inestabilidad, dando lugar a cuelgues, a que se inyecte malware, a que el dispositivo se vuelva lento, o a un consumo excesivo de batería en Android.

Nada más al descubrirla y documentarla, los investigadores comunicaron la vulnerabilidad a Xiaomi, que rápidamente se apresuraron a parchearla mediante el lanzamiento de una nueva versión. Esta aplicación viene preinstalada en todos los celulares de Xiaomi, que tiene un 8% de cuota en todo el mundo, por lo que hay millones de usuarios afectados. Por ello, es recomendable que se actualicen los celulares cuanto antes. Si tienes el celular rooteado, también puedes desinstalar la aplicación del celular.

Xiaomi ha comunicado que es consciente del fallo y que ya ha trabajado con Avast para solucionarlo. Al momento de la nota no podemos comprobar de que el patch este para descargar, pero le recomiendo ampliamente mantener siempre las aplicaciones actualizadas


  • 0

Para contraseñas usá PassPhrases

Tags : 

Las contraseñas son el último paso para que nuestra seguridad se vea vulnerada. Ya que actualmente las usamos para un sinfín de configuraciones, desde un simple email, hasta nuestra cuenta bancaria. Pero los tiempos cambian y también los recursos para descifrar una contraseña. Es por eso que a medida que el nivel de cómputos de los ordenadores se fue incrementando las contraseñas requerían mas caracteres, números, símbolos, etc.

Se estima que en los próximos años las contraseñas de muchos caracteres se van a poder descifrar en minutos. Es por eso que los Administradores de Seguridad Informática están recomendando pasar a usar frases como contraseñas. Estas frases no deberían ser conocidas y en lugar de vocales deberían usar números; si le agregaramos algún símbolo especial estariamos ante una constraseña que tardarían muchisimos años en poder descifrarla.

Ejemplo, si nuestra contraseña para el email fuera «f5R$iu8a» nosotros podríamos pensar que es segura y que nadie la pueda adivinar, pero en 12 días esta contraseña puede ser adivinada. Si quieres verificar el nivel de tu contraseña lo puede hacer aquí (recomiendo no poner la contraseña real sino una parecida modificando letras y números). Si tenemos en cuenta que los GPUs van incrementando su velocidad a niveles cada vez mayores es claramente una señal de que debemos incrementar la cantidad de caracteres.

Es por todo lo anterior de que las frases es nuestra mejor alternativa a la hora de generar una contraseña confiable. Debemos recordar de no usar frases conocidas de películas, letras de canciones, nombres de mascotas, etc. y usar frases aleatorias pero que sean fácil de memorizar. A continuación algunos ejemplos que no se deben usar y algunos que si se pueden usar (no utilice los ejemplos dados a continuación en la vida real).

Contraseñas que no deberías usar

  • «mi perro se llama firulai»
  • «mi apellido es lopez»
  • «hoy hace calor»
  • «estrella fugaz»

Contraseñas que son robustas y que deberías usar

  • 4lgun0s P33rr0s lluv1a?
  • S3nt1m13nt0s 4zul3s 28!
  • P3rfum3 4m4r1ll0 3ur0p4

Si tiene alguna duda o consulta no deje de escribirme. Toda opinión es válida y trataré de ayudarle de la mejor manera posible


  • 0

El engaño del cambio de color del WhatsApp

Está circulando un engaño para cambiar los colores de WhatsApp. Si los usuarios instalan la extensión para el cambio de colores, automáticamente enviarán un mensaje con la invitación toda su lista de chats activos

En estos días se han detectado varios casos sobre un mensaje que llega a través de WhatsApp invitando a cortar con la monotonía del verde tradicional de la aplicación y acceder a nuevos colores con tal solo hacer un clic. Esto es meramente un engaño.

Como ya es usual en este tipo de campañas, el link reacciona de manera diferente si se hace clic desde un teléfono celular o desde la aplicación WhatsApp web.

En el caso de acceder desde una computadora a través de WhatsApp web, se invita al usuario a instalar una extensión de Google Chrome, llamada Black Theme for Whatsapp, que permitirá cambiar la aplicación a un color más oscuro. Se observó también que el mensaje aparece en portugués, a diferencia del mensaje original en español, lo que puede ser una señal de que la campaña originalmente buscaba victimas en Brasil y solo se preocuparon por traducir algunos mensajes claves.

Esta extensión la podemos encontrar dentro del Chrome Web Store y presenta un número importante de descargas; lo cual nos da una idea de la magnitud de la campaña.

En el caso de que un usuario desprevenido instale la extensión y abra su sesión de WhatsApp web, automáticamente enviará un mensaje a toda su lista de chats activos invitando a cambiar los colores de la aplicación.

Dentro del complemento se encuentran mensajes en diferentes idiomas (1) para enviar, además de los diferentes componentes que integran el mensaje (2, 3 y 4) incluyendo la imagen (5), también para diferentes idiomas.

También son diferentes URLs (6) que pueden estar asociadas con el mensaje que se va construyendo de manera aleatoria (7) a medida que se envían los mensajes.

Inclusive si el usuario se percata de lo que está ocurriendo y cierra la ventana del navegador web, la acción no se detiene, ya que es el propio teléfono el que envía los mensajes.

Esta funcionalidad en particular demuestra las estrategias utilizadas por los atacantes para propagar de manera rápida y efectiva este tipo de campañas y así lograr un mayor alcance. Además, es la respuesta para muchos usuarios cuando nos preguntan como es posible que este mensaje llegue a todos sus contactos cuando nunca compartieron el mensaje de manera consciente.

Por otro lado, si se accede al enlace de manera convencional desde el celular, aparece un mensaje pidiéndole al usuario que comparta la aplicación con 30 amigos o 10 grupos antes de llegar a la posibilidad del tan prometido cambio de colores.

Igualmente, aunque no se comparta con los contactos y quisiéramos seguir adelante, la aplicación empieza a mostrar su verdadero fin y de manera simultanea solicita descargar una APK llamada best_video.apk y activar notificaciones desde un servidor ubicado en Rusia.

Si la potencial victima deja que ocurra toto lo anterior, el teléfono celular quedará infectado con una variante conocida como Android/Hiddad, una familia de troyanos que se había identificado propagando adware entre usuarios de Android.

Vale la pena resaltar que esta aplicación se instala en el dispositivo pero no deja ninguna evidencia de su instalación, ya que se oculta el icono y solamente se activa cuando el usuario empieza a navegar, mostrando banners publicitarios al usuario asociados a diferentes servicios legítimos de publicidad; pero para el usuario no es evidente que se están utilizando sus recursos para este tipo de acciones.

A la hora de cuidarse de este tipo de amenazas que utilizan estrategias de ingeniería social, que buscan tentar al usuario para que acceda a un enlace con una promesa atractiva de por medio, como es en este caso personalizar su WhatsApp, lo que siempre se debe recordar es la premisa de nunca acceder a enlaces que nos llegan por cualquier medio digital, inclusive cuando nos llegue a través de un contacto conocido. En estos casos lo primero que debemos hacer es verificar la veracidad del mismo, es decir, preguntarle a la persona que nos envía la invitación ─en este caso del cambio de colores de WhatsApp─ si efectivamente es algo que nos mandó conscientemente o si fue por haber sido víctima del engaño y está ayudando sin intención a su propagación.

Adicionalmente, contar con una solución de seguridad instalada en el teléfono que haga sonar las alarmas ante la presencia de enlaces o descargas de contenidos potencialmente maliciosos.


Explorar el mundo y ser audaz es nuestra mayor fortaleza