Category Archives: Blog

  • 0

Expuestos 250 millones de registros de asistencia al cliente de Microsoft

Si se ha puesto en contacto con Microsoft para solicitar asistencia técnica en los últimos 14 años, su consulta técnica, junto con alguna información personal identificable, puede haber estado en peligro.

Microsoft ha admitido hoy un incidente de seguridad que ha puesto al descubierto casi 250 millones de registros de «Servicio y soporte técnico al cliente» en Internet debido a un servidor mal configurado que contiene registros de conversaciones entre su equipo de soporte técnico y los clientes.

De acuerdo con Bob Diachenko, el investigador de seguridad que detectó el problema e informó a Microsoft, la base de datos desprotegida contenía registros desde 2005 hasta diciembre de 2019.

En una entrada de blog, Microsoft confirmó que debido a la mala configuración de las reglas de seguridad añadidas al servidor en cuestión el 5 de diciembre de 2019, se permitió la exposición de los datos. El servidor permaneció en ese estado hasta que los ingenieros corrigieron la configuración el 31 de diciembre de 2019.

Microsoft también comunicó que la base de datos se construyó utilizando herramientas automatizadas para eliminar la información que identificaba de forma personal a la mayoría de los clientes, excepto en algunos escenarios, en los que dicha información no cumplía el formato estándar.

«Nuestra investigación confirmó que la gran mayoría de los registros fueron eliminados de la información personal, de acuerdo con nuestras prácticas estándar», dijo Microsoft.

Sin embargo, según Diachenko, muchos registros de la base de datos filtrada contenían datos legibles sobre los clientes, incluyendo:

· Direcciones de correo electrónico
· Direcciones IP
· Localizaciones
· Descripciones de las reclamaciones y casos de CSS
· Correos electrónicos del agente de soporte técnico de Microsoft
· Números de casos, resoluciones y observaciones
· Notas internas marcadas como "confidenciales"

«Este problema era específico de una base de datos interna utilizada para el análisis de casos de soporte y no representa una exposición de nuestros servicios comerciales en la nube«, dijo Microsoft.

Al tener a mano información real de casos sensibles y direcciones de correo electrónico de los clientes afectados, los datos filtrados podrían ser objeto de abuso por parte de estafadores de soporte técnico para engañar a los usuarios y hacerles pagar por problemas informáticos inexistentes, haciéndose pasar por representantes de soporte de Microsoft.

«La ausencia de información de identificación personal es irrelevante aquí, dado que los registros de soporte técnico frecuentemente exponen a los clientes VIP, sus sistemas internos y configuraciones de red, e incluso las contraseñas. Los datos son una mina de oro para los criminales pacientes que buscan atacar las grandes organizaciones y los gobiernos», dijo el director de operaciones de ImmuniWeb Ekaterina Khrustaleva a The Hacker News.

«Peor aún, muchas grandes empresas y no sólo Microsoft han perdido la visibilidad de su superficie de ataque externo, exponiendo a sus clientes y socios a riesgos significativos. Es probable que veamos una multitud de incidentes similares en 2020».

Un trabajador de Microsoft, Roger Grimes, compartió:

«Habiendo trabajado para Microsoft durante 15 años, 11 años como empleado a tiempo completo, he visto de primera mano lo mucho que tratan de luchar contra escenarios como éste. Hay múltiples capas de control y educación diseñadas para evitar que esto suceda. Y te muestra lo difícil que es prevenirlo el 100% del tiempo. Nada es perfecto. Los errores y las fugas ocurren. Las organizaciones tienen permisos demasiado permisivos. ¡Todas! Es sólo cuestión de si alguien fuera de la organización lo descubre o si alguien se aprovecha de ello».

«En este caso, por muy malo que sea, fue descubierto por alguien que no hizo cosas maliciosas con él. Claro que los datos, al estar desprotegidos, también podrían haber sido utilizados por los malos, pero hasta ahora nadie ha planteado ese caso ni ha aportado pruebas de que haya sido utilizado de forma maliciosa», añadió Grimes.

«Cualquiera puede cometer un error. La pregunta más importante es cómo ocurrió el error y cómo evitar que ocurra la próxima vez y si pudo haber ocurrido algún otro en las mismas circunstancias».

Como resultado de este incidente, la compañía comunicó que comenzó a notificar a los clientes afectados cuyos datos estaban presentes en la base de datos expuesta de Servicio y Soporte al Cliente.

Más información:
Comunicado de Microsoft
https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/
Comparitech
https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/
The Hacker News
https://thehackernews.com/2020/01/microsoft-customer-support.html


  • 0

Varias vulnerabilidades críticas encontradas en sistemas médicos de GE healthcare

La Agencia de Seguridad DHS ha informado de seis vulnerabilidades de clasificación crítica en varios dispositivos médicos de GE.

En el documento informativo ICSMA-20-023-01 vemos que la lista de dispositivos afectados se resume a los siguientes: los servidores de telemetría GE CARESCAPE y ApexPro, la estación central CARESCAPE (CSCS), los sistemas del Centro de información clínica (CIC) y los monitores CARESCAPE B450, B650, B850.

Entre las vulnerabilidades descubiertas se incluyen el almacenamiento desprotegido de credenciales, validación de entrada incorrecta, Utilización de credenciales en texto plano en el código de la aplicación, falta de autenticación para funciones crítica, subida de archivos sin restricciones en el tipo de archivo y cifrados inadecuados o débiles.

GE Comenta que por el momento no se ha reportado ningún incidente de ataque en los que se aproveche estas nuevas vulnerabilidades.

Los fallos son:

  • CVE-2020-6961, nivel crítico, podría permitir a un atacante obtener acceso a la clave privada SSH en los archivos de configuración.
  • CVE-2020-6962, nivel crítico, es una vulnerabilidad de validación de entrada en la utilidad de configuración del sistema basada en la web que podría permitir a un atacante obtener la ejecución arbitraria de código remoto.
  • CVE-2020-6963, nivel crítico, donde los productos afectados utilizan credenciales SMB expuestas en texto plano en el código de la aplicación, lo que puede permitir que un atacante ejecute código arbitrario de forma remota si se explota.
  • CVE-2020-6964, nivel crítico, donde el servicio integrado para el cambio de teclado de los dispositivos afectados podría permitir a los atacantes obtener acceso con un teclado remoto sin autenticación a través de la red.
  • CVE-2020-6965, nivel crítico, es una vulnerabilidad en el mecanismo de actualización de software que permite a un atacante autenticado cargar archivos arbitrarios en el sistema a través de un paquete de actualización.
  • CVE-2020-6966, nivel crítico, los productos afectados utilizan un esquema de cifrado débil para el control de escritorio remoto, que puede permitir que un atacante obtenga la ejecución remota de código de dispositivos en la red.

GE está en el proceso de desarrollar y lanzar parches para estos problemas. Mientras tanto, la compañía recomienda:

  • Aislar las redes MC e IX y,en caso de necesitar conectividad fuera de las redes MC y/o IX, utilizar un router/firewall.
  • El router/firewall debería configurarse para bloquear todo el tráfico entrante iniciado desde fuera de la red, con la excepción de los flujos de datos clínicos necesarios.
  • Restringir el acceso físico a estaciones centrales, servidores de telemetría y las redes MC e IX. Además de cambiar la contraseña por defecto de Webmin.
  • Se siguen las mejores prácticas de gestión de contraseñas.
  • La mejor manera de eliminar las vulnerabilidades es encontrarlas lo antes posible utilizando un ciclo de vida de desarrollo seguro (SDLC). En cada etapa del desarrollo del producto, se identifican y erradican dichas vulnerabilidades.

Más información:

Us Cert
https://www.us-cert.gov/ics/advisories/icsma-20-023-01

GE Healthcare
https://www.gehealthcare.com/security

SC Magazine
https://www.scmagazine.com/home/health-care/critical-vulnerabilities-found-in-ge-medical-gear/


  • 0

Fallo en Cisco WebEx permitiría el acceso a reuniones privadas

Cisco Systems ha solucionado una vulnerabilidad de alta gravedad en su popular plataforma de videoconferencia WebEx que podría permitir la intervención de extraños en reuniones privadas protegidas por contraseña, sin necesidad de autentificación.

WebEx es un popular servicio que permite realizar reuniones en línea como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

Se ha hecho publico un fallo de seguridad en Cisco WebEx que podría permitir que un atacante remoto no autentificado ingresase en una reunión de videoconferencia protegida con contraseña. El problema se debe a la exposición involuntaria de información de la reunión en un flujo de unión a la reunión que es específico para aplicaciones móviles. Por tanto los únicos requisitos para poder aprovechar la vulnerabilidad son conocer la ID o URL de la reunión y disponer de la aplicación WebEx para los sistemas móviles iOS o Android.

Los asistentes no autorizados serían visibles en la lista de asistentes de la reunión como asistentes móviles, con lo cual su presencia podría ser detectada por otros participantes de la reunión. Sin embargo, si estos pasasen desapercibidos o no levantasen sospechas entre el resto de asistentes, podría suponer la revelación de cualquier tipo de información sensible que se compartiese en la reunión privada.

La vulnerabilidad, identificada como CVE-2020-3142 y con una puntuación CVSS de 7.5 sobre 10 debido a la facilidad de explotación, fue descubierta internamente durante la resolución de un caso de soporte de Cisco TAC. El equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) ha declarado no tener constancia de ningún anuncio público o explotación de la vulnerabilidad.

Se encuentran afectados los sitios de Cisco WebEx Meetings Suite en versiones anteriores a 39.11.5 y los sitios de Cisco WebEx Meetings Online en versiones anteriores a 40.1.3.

Aunque Cisco ha corregido esta vulnerabilidad y no se requiere interacción del usuario para la actualización, resulta recomendable verificar que la plataforma Cisco Webex utilizada se encuentre actualizada. Para ello se pueden seguir los siguientes pasos:

  • Iniciar sesión en el sitio de Cisco WebEx Meetings Suite o en el sitio de Cisco WebEx Meetings Online.
  • Navegar a Descargas en el lado izquierdo de la página.
  • Colocar el cursor sobre la i junto a «Información de la versión».
  • Verificar el valor que se muestra junto a la versión de la página.

Más información:
Cisco WebEx Meetings Suite and Cisco WebEx Meetings Online Unauthenticated Meeting Join Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200124-webex-unauthjoin

CVE-2020-3142 Detail
https://nvd.nist.gov/vuln/detail/CVE-2020-3142


  • 0

Adobe lanza parches para 9 vulnerabilidades

El pasado 14 de enero Adobe publicó actualizaciones de software para corregir un total de 9 vulnerabilidades en dos de sus aplicaciones más usadas: Adobe Experience Manager y Adobe Illustrator

Cinco vulnerabilidades críticas

Cinco de las nueve vulnerabilidades dadas a conocer son críticas (CVE-2020-3710, CVE-2020-3711, CVE-2020-3712, CVE-2020-3713, CVE-2020-3714), y todas ellas afectan a las versiones 24.0 y anteriores de Adobe Illustrator CC. Dichas fallos de seguridad fueron reportados a la compañía por el investigador Honggang Ren, de Laboratorios FortiGuard de Fortinet.

Según Adobe, los cinco fallos críticos en Adobe Illustrator se basan en bugs de corrupción de memoria que podrían permitir a un atacante ejecutar código remoto en los sistemas afectados en el contexto del usuario con el que se haya iniciado sesión. Este tipo de fallos tienen lugar cuando el contenido de la memoria se modifica debido a errores en programación, permitiendo la ejecución de código remoto.

Vulnerabilidades en Adobe Experience Manager

Las otras cuatro vulnerabilidades afectan a Adobe Experience Manager -una aplicación para marketing online y análisis web-, ninguna de las cuales son críticas pero deberían ser parcheadas lo antes posible.

Adobe ha marcado las actualizaciones de seguridad para Adobe Experience Manager con una prioridad de nivel 2, lo que quiere decir que se han visto fallos similares siendo explotados en el pasado, pero hasta el momento, la compañía no ha encontrado evidencia alguna de que las vulnerabilidades aquí reportadas hayan sido explotadas «in the wild».

Algunos de los vectores de ataque mediante los cuales explotar estas vulnerabilidades son:

  • Cross-site scripting reflejado (CVE-2019-16466 y CVE-2019-16467). Afecta a las versiones 6.3, 6.4 y 6.5. Este tipo de fallos permite al atacante usar una aplicación web para enviar código malicioso al usuario víctima.
  • Inyección en la interfaz del usuario (CVE-2019-16468). Afecta a las versiones 6.3, 6.4 y 6.5.
  • Inyección de expresión de lenguaje (CVE-2019-16469). Afecta a la versión 6.5. Este fallo ocurre cuando los datos controlados por el atacante se introducen en un intérprete de expresiones de lenguaje.

Numerosas versiones de Adobe Experience Manager se ven afectadas por estos fallos, y todos ellos dan lugar a la filtración de información sensible, siendo tres de las cuatro vulnerabilidades importantes en cuanto a su severidad y, la restante, moderada.

El mismo 14 de enero Adobe lanzó la versión 24.0.2 de Illustrator CC 2019 para Windows, así como parches para las versiones 6.3, 6.4 y 6.5 de Adobe Experience Manager.

Cabe señalar que el pasado mes de diciembre Adobe corrigió 25 CVEs que afectaban a múltiples productos de la compañía, entre las cuales se encontraban 17 vulnerabilidades críticas en Acrobat Reader, Phososhop y Brackets, las cuales también podían dar lugar a la ejecución de código remoto.

Desde Adobe se recomienda a los usuarios finales y administradores que instalen las actualizaciones más recientes de seguridad tan pronto como sea posible para proteger sus sistemas de potenciales ciberataques.

Más información

Adobe Releases First 2020 Patch Tuesday Software Updates

Adobe Patches Five Critical Illustrator CC Flaws

Adobe Security Bulletin: Security Updates Available for Adobe Illustrator CC | APSB20-03


  • 0

Filtradas las credenciales de más de 500.000 dispositivos IoT

Esta semana un hacker ha publicado una lista con las credenciales de telnet de más de 515.000 servidores, routers domésticos y dispositivos IoT.

La lista fue filtrada en un foro habitual de hacking e incluye la dirección IP del dispositivo junto con el nombre de usuario y la contraseña para el servicio telnet.

Según afirma el autor de la filtración, la lista se creó buscando dispositivos que tuviesen el puerto telnet abierto. Después el hacker intento combinaciones de contraseñas por defecto o combinaciones de credenciales típicas.

Una vez creada la lista de bots, el hacker se conectó a cada dispositivo para instalar malware.

Normalmente estas listas tienen carácter privado, aunque en el pasado algunas de ellas se han filtrado, como la liberada en agosto de 2017, donde más de 33.000 credenciales de routers domésticos se hicieron públicas.

Esta lista ha sido publicada por el operador de un servicio DDoS que alquila sus servicios. La razón por la cual esta lista se hizo pública (según el hacker) es que ha migrado sus servicios a un modelo basado en servidores cloud.

Esta lista se hizo entre octubre y noviembre de 2019. Muchos de estos dispositivos podrían haber cambiado de dirección IP o estar usando credenciales diferentes.

Aunque muchas de estas credenciales ya no serían válidas, esta lista puede llegar a ser muy útil en manos de un atacante experimentado.

Más Información:

https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/


  • 0

FRAUDE: gob: Fondos disponibles | Ministerio de Trabajo y Previsión Social de Argentina

El texto enviado por Whatsapp promete abonarle ese dinero a las personas que laburaron de 1990 a 2019.

Durante estos días se ha hecho viral un mensaje de Whatsapp que ofrece $120 mil a trabajadores argentinos que hayan cumplido funciones desde 1990 a 2019.

Aunque parezca muy tentador, este mensaje es falso y la única intención es robarle información a las personas que hacen click en el link apócrifo que sale al final del texto.

El mensaje se ha replicado en varios puntos de Latinoamérica desde hace meses y por ello utiliza un genérico como el Ministerio de Trabajo y Prevision Social de Argentina como organismo que entrega el dinero a los trabajadores, como otros organismos en otros lugares de Latinoamérica.

El mensaje dice lo siguiente:

«gob: Fondos disponibles. Obtenga $120.000

Aquellos que trabajaron entre 1990 y 2019 tienen el derecho de retirar de gob de Argentina. Verifique si su nombre figura en la lista de aquellos que tienen derecho a retirar estos fundos: (notese el error gramatical)

La página a la que no hay que hacer click es: http://maxhog.com/Argentina 

Luego sale un link que solicita datos personales y hasta el número de teléfono.

La idea es tomar datos para realizar publicidad o hasta cometer delitos. Por ello, es importante que si hacés click en la web  no dar información de ningún tipo.

Otra prueba de la falsedad es que la página no cuenta con protocolos de seguridad HTTPS, esta vulnera la privacidad del servicio de los usuarios, además de hacer difícil salir de la página, obligando a compartirla.


  • 0

Bug en app de cámara de Android permite a otras apps usar la cámara sin permisos

Ha sido descubierta una nueva vulnerabilidad en las aplicaciones de cámara de Google y Samsung que permite realizar fotos y grabar vídeo a otras aplicaciones sin que éstas soliciten los permisos necesarios para ello.

Investigadores de la empresa ‘Checkmarx’ han hecho publica una vulnerabilidad descubierta en verano de este año. El fallo afecta a las aplicaciones de cámara de Google y Samsung. Dicha vulnerabilidad ha sido identificada como CVE-2019-2234.

La aplicación de cámara de Google se encuentra instalada por defecto en los dispositivos Pixel de Google, mientras que la aplicación de cámara de Samsung se encuentra instalada en los dispositivos Samsung.

Por seguridad, una aplicación para Android debe solicitar permiso para acceder a la cámara, y por tanto, para tomar fotos y grabar vídeos. Los permisos que debe solicitar son: android.permission.CAMERA y android.permission.RECORD_AUDIO

Además, para el acceso a datos sobre la localización espacial del dispositivo es necesario que la aplicación solicite permisos para ello: android.permission.ACCESS_FINE_LOCATION y android.permission.ACCESS_COARSE_LOCATION

Aprovechando la vulnerabilidad descubierta, una aplicación maliciosa podría tomar fotos y grabar vídeos sin necesidad de solicitar dichos permisos. Además, como las fotografías incluyen metadatos del GPS del dispositivo, la aplicación podría también obtener información sobre la localización del dispositivo sin necesidad de solicitar los permisos para ello.

Como podemos observar en el vídeo publicado por Checkmarx, una aplicación maliciosa que aproveche esta vulnerabilidad puede obtener información confidencial y enviarla al atacante.

La vulnerabilidad reside en los ‘Intents’ que expone las aplicaciones de cámara afectadas. Dichos ‘Intents’ pueden ser ejecutados por otras aplicaciones sin necesidad de permisos especiales.

A través de los ‘intents’, la aplicación maliciosa puede ejecutar la app de cámara y forzarla a grabar vídeos o tomar fotos mientras el dispositivo está bloqueado o incluso mientras el usuario se encuentra en mitad de una llamada, permitiendo grabar el audio de la llamada.

Google corrigió el problema en Julio de 2019, poco después de que se les reportase. Se recomienda a todos los usuarios de la app que actualicen a la última versión para asegurarse de que no les afecta este problema.

Más información:

Post Checkmarx
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera

Fuente: Una al día


  • 0

Seguimiento de puntos de acceso Wi-Fi

Los puntos de acceso Wi-Fi gratuitos pueden rastrear su ubicación, incluso si no se conecta a ellos. Esto se debe a que su teléfono o computadora emite una dirección MAC única.

Lo que distingue a los proveedores de puntos de acceso de los distintos mercados o shoppings basados ​​en la ubicación como Zenreach y Euclid es que la información personal que ingresa en el portal cautivo, como su dirección de correo electrónico, número de teléfono o perfil de redes sociales, puede vincularse al Control de acceso a medios de su computadora portátil o teléfono inteligente (Dirección MAC), esa es la identificación alfanumérica única que los dispositivos transmiten cuando se enciende el Wi-Fi.

Como explica Euclid en su política de privacidad, «… si hoy lleva su dispositivo móvil a su tienda de ropa favorita que es una Ubicación – y luego un restaurante local popular unos días más tarde que también es una Ubicación – podemos saber que un dispositivo móvil estaba en ambas ubicaciones basándose en ver la misma dirección MAC «.

Las direcciones MAC por sí solas no contienen información de identificación además de la marca de un dispositivo, como si un teléfono inteligente iPhone o un Samsung Galaxy. Pero siempre que la dirección MAC de un dispositivo esté vinculada al perfil de alguien y la conexión Wi-Fi del dispositivo esté activada, los movimientos de su propietario pueden ser seguidos por cualquier punto de acceso del mismo proveedor.

«Después de que un usuario se registra, asociamos su dirección de correo electrónico y otra información personal con la dirección MAC de su dispositivo y con cualquier historial de ubicación que hayamos reunido previamente (o más tarde) para la dirección MAC de ese dispositivo», de acuerdo con la política de privacidad de Zenreach.

La defensa es apagar el Wi-Fi en su teléfono cuando no lo esté usando.


  • 0

ADVERTENCIA: Malware encontrado en la aplicación de Android, CamScanner, con más de 100 millones de usuarios

¡A tener cuidado! Los atacantes pueden secuestrar de forma remota su dispositivo Android y robar datos almacenados en él, si está utilizando CamScanner, una aplicación de creación de PDF de celulares muy popular con más de 100 millones de descargas en Google Play Store.

Entonces, para estar seguro, simplemente desinstale la aplicación CamScanner de su dispositivo Android ahora, ya que Google ya ha eliminado la aplicación de su Play Store oficial.

Desafortunadamente, CamScanner se ha vuelto deshonesto recientemente cuando los investigadores encontraron un módulo troyano oculto dentro de la aplicación que podría permitir a los atacantes remotos descargar e instalar secretamente programas maliciosos en los dispositivos Android de los usuarios sin su conocimiento.

Sin embargo, el módulo malicioso en realidad no reside en el código de la aplicación CamScanner para Android; en cambio, es parte de una biblioteca de publicidad de terceros que se introdujo recientemente en la aplicación de creación de PDF.

Descubierto por los investigadores de seguridad de Kaspersky, el problema salió a la luz después de que muchos usuarios de CamScanner detectaron un comportamiento sospechoso y publicaron críticas negativas en Google Play Store en los últimos meses, lo que indica la presencia de una función no deseada.

«Se puede suponer que la razón por la que se agregó este malware fue la asociación de los desarrolladores de la aplicación con un anunciante sin escrúpulos», dijeron los investigadores.

El análisis del módulo troyano Dropper malicioso reveló que el mismo componente también se observó anteriormente en algunas aplicaciones preinstaladas en teléfonos inteligentes chinos.

«El módulo extrae y ejecuta otro módulo malicioso de un archivo cifrado incluido en los recursos de la aplicación», advirtieron los investigadores.

«Como resultado, los propietarios del módulo pueden usar un dispositivo infectado para su beneficio de la manera que mejor les parezca, desde mostrar a la víctima publicidad intrusiva hasta robar dinero de su cuenta móvil mediante el cobro de suscripciones pagas».

Los investigadores de Kaspersky informaron sus hallazgos a Google, quien rápidamente eliminó la aplicación CamScanner de su Play Store, pero dicen que «parece que los desarrolladores de aplicaciones eliminaron el código malicioso con la última actualización de CamScanner».

A pesar de esto, los investigadores aconsejaron a los usuarios que solo tengan en cuenta «que las versiones de la aplicación varían para diferentes dispositivos, y algunas de ellas aún pueden contener código malicioso».

Aunque Google ha intensificado sus esfuerzos para eliminar aplicaciones potencialmente dañinas de Play Store en los últimos años y ha agregado controles de malware más estrictos para nuevas aplicaciones, las aplicaciones legítimas pueden volverse deshonestas durante la noche para apuntar a millones de sus usuarios.

«Lo que podemos aprender de esta historia es que cualquier aplicación, incluso una de una tienda oficial, incluso una con buena reputación e incluso una con millones de críticas positivas y una gran base de usuarios leales, puede convertirse en malware de la noche a la mañana».

Los investigadores concluyeron. Por lo tanto, se recomienda encarecidamente mantener siempre una buena aplicación antivirus en su dispositivo Android que pueda detectar y bloquear tales actividades maliciosas antes de que puedan infectar su dispositivo.

Además, siempre mire las revisiones de la aplicación dejadas por otros usuarios que la hayan descargado, y también verifique los permisos de la aplicación antes de instalar cualquier aplicación y otorgue solo los permisos que sean relevantes para el propósito de la aplicación.

Para obtener más detalles técnicos sobre el malware Trojan Dropper que se encuentra en CamScanner y una lista completa de sus indicadores de compromiso (IOC), incluidos los hash MD5 y sus dominios de servidor de comando y control, puede dirigirse al informe de Kaspersky.

¿Tienes algo que decir sobre este artículo? Comenta a continuación o compártelo en Facebook, o Twitter.


  • 0

Estafas mediante Google Calendar (Retira tu Iphone)

«Tu iPhone X está listo para que lo retires». Este mensaje apareció junto con un link en mi Calendario de Google (o Google Calendar). No abrí el mensaje, y no presioné en el enlace. A todas luces era un intento de phishing.

En este caso era demasiado obvio por varios motivos: además de que el mensaje aparecía en inglés, yo no había encargado ningún celular en ningún sitio, ni participado de ningún sorteo para obtener una recompensa de ese tipo. Además, el mensaje aparecía replicado en una misma franja horaria durante toda la semana.

Por otra parte, hace años que se viene advirtiendo sobre los engaños de phishing, tal como se denominan a las diferentes técnicas de ingeniería social que se utilizan para obtener datos personales de usuarios, contraseñas o detalles de tarjetas de crédito. A esta altura, como probablemente les ocurra a muchos de ustedes, estoy acostumbrada a dudar siempre. Además, son gajes de este oficio. Pero aún así nadie está exento de caer en engaños, sobre todo porque a veces son un poco más elaborados que en este caso y, a su vez, porque la distracción puede jugarnos una mala pasada.

Estas técnicas de ingeniería social son, básicamente, anzuelos que utilizan los cibercriminales para convencer al usuario para que, de algún modo (muchas veces sin saberlo) les dé su información privada. Usualmente lo hacen enviando un correo o mensaje con un enlace que, al ser presionado puede, por ejemplo, derivarlo a una página fraudulenta que emula ser un sitio legítimo. Allí se le pide al usuario que ingrese los datos de su tarjeta, o nombre de usuario y contraseña. Esa información es captada por el cibercriminal y luego es empleada para hackear a su víctima de diferentes formas. En otros casos se recurre a archivos adjuntos que encierran algún programa malicioso.

La invitación a retirar un iPhone X que llegó directamente a mi calendario.

En este caso no se utilizó un servicio de mensajería ni correo, sino que la invitación a hacer clic en el enlace para obtener el supuesto iPhone, llegó directamente al calendario de Google. Y esto puede tomar por desprevenido a más de un usuario que, quizás sin sospechar de que un enlace maliciosos pueda llegar por esa vía, presiona sobre él y puede caer en la trampa.

«Los atacantes han vuelto a un viejo vector de ataque, y es muy interesante porque el hecho de apalancarse en las notificaciones de Google hace que todo pareciera mucho más auténtico.. El recurso del calendario ya tiene unos 4 años», explicó Federico Teti, ingeniero de la empresa de ciberseguridad Forcepoint.

Cabe destacar que el engaño puede resultar un poco más sofisticado y, por ejemplo, se podría enviar al Calendario de Google un enlace que se le pide al usuario que presione para actualizar una información o para aceptar la invitación a algún evento que pueda resultarle familiar.

«Los phishers envían enlaces a encuestas falsas con descripciones de eventos breves como ‘Recibió una recompensa en efectivo o Hay una transferencia de dinero a su nombre´. La idea, por supuesto, es hacer que las víctimas hagan clic y luego ingresen información personal en la forma maliciosa. A veces, los formularios engañan a los objetivos para que ingresen la información de la tarjeta de crédito al pedirles que envíen una pequeña cantidad de dinero para ganar una suma mucho mayor», añadió Teti.

¿Por qué llegan estas invitaciones al Calendario y cómo evitarlo? Porque el Calendario de Google, por default, está configurado para ver las invitaciones que se reciben a eventos, aún cuando uno no las haya aceptado. Esto permite, por ejemplo, que alguien pueda enviarnos una invitación por mail y que la visualicemos directamente en el Calendario, pero esto se soluciona con cambiar los ajustes.

Ingresar en el ícono del Calendario que aparece al presionar el símbolo punteado que está en el margen superior derecho, junto a la foto de perfil, en el Gmail.

Ingresar a Gmail desde la desktop, presionar en el menú punteado que figura en el extremo superior derecho e ingresar al ícono de Calendario o Calendar.

Ingresar en el menú de configuración y elegir “Configuración de los eventos”

Luego presionar la tuerca, ícono de configuración y una vez allí seleccionar la opción que dice Configuración de eventos y donde dice «Añadir invitaciones de forma automática» seleccionar la opción que dice: «No, mostrar solamente las invitaciones a las que he respondido».

Elegir la opción que dice: “No, mostrar solamente las invitaciones a las que he respondido”.

Luego dentro de Opciones de visualización destildar la opción que dice «Mostrar eventos rechazados» para dejar de ver el mensaje en el calendario, caso contrario se seguirá viendo, aún luego de haber rechazado la invitación.

Dentro de Opciones de visualización destildar la opción que dice “Mostrar eventos rechazados”.

Explorar el mundo y ser audaz es nuestra mayor fortaleza