1 de mayo de 2016

CONFICKER. Resurge en central nuclear alemana

Durante un control de rutina, la central nuclear de Gundremmingen, situada entre las ciudades de Munich y Stuttgart, detectó que sus sistemas TI estaban infectados con el gusano Conficker.
En un comunicado, la entidad señala que el propósito del malware puede había sido establecer una conexión secreta a Internet.
Según la información, el ataque sólo afectó a un sistema de procesamiento de datos y visualización, instalado en 2008. Ninguno de los sistemas de importancia crítica para la seguridad de las instalaciones habría sido afectado por Conficker.
Un portavoz de Gundremmingen declaró a la publicación Zeit Online que los gusanos Conficker y W32.Ramnit habían sido detectados en 18 dispositivos portátiles de almacenamiento, incluyendo memorias USB. Por ahora se desconocen los detalles técnicos del ataque.
Después de detectada la infección, la entidad inició un análisis exhaustivo de todo su hardware, que hasta ahora ha incluido aproximadamente 1000 dispositivos. La conclusión preliminar es que ninguno de los sistemas de importancia crítica para la seguridad de la central nuclear ha sido afectado.
El malware fue detectado durante los preparativos para una inspección que habrían de realizar las autoridades alemanas. El representante de la central nuclear se apresuró a desmentir versiones de prensa, según las cuales el bloque B de las instalaciones habría sido cerrado como resultado del malware. Según el portavoz, este bloque estaba cerrado desde el 7 de abril, y el plan era reiniciar sus funciones a mediados de mayo.
En declaraciones hechas a Softonic, el experto ruso en seguridad informática Eugene Kaspersky descartó que se trate de un ataque específico contra la central nuclear, sino más bien de una infección ordinaria donde algún funcionario conectó un dispositivo infectado al sistema.
Fuente: Diarioti.com

CIBERSEGURIDAD. Revelan serias deficiencias en organizaciones de salud

ESET y el Instituto Ponemon desarrollaron el estudio titulado "El estado de la ciberseguridad en Organizaciones de Salud en 2016" donde analizaron el panorama actual de esta industria.
En este sentido, el equipo de investigación de ESET, en conjunto con el Instituto Ponemon de Estados Unidos, desarrollaron el estudio titulado “El estado de la ciberseguridad en Organizaciones de Salud en 2016” donde analizaron el panorama actual de esta industria. El mismo devela que, en promedio, las organizaciones representadas en la investigación han tenido casi un ataque cibernético por mes durante los últimos 12 meses. Además, casi la mitad de los encuestados (48%) dicen que sus organizaciones han experimentado un suceso relacionado con la pérdida o la exposición de la información de sus pacientes durante este mismo período.
“El estudio que realizamos desde ESET demuestra que todavía queda un gran camino por recorrer en el sector de salud. Es evidente que la importancia de la seguridad de la información todavía no llegó a los directivos, como si ha sucedido en otras industrias que hace más tiempo trabajan en los riesgos que se asumen al no contar con un plan de seguridad integral de la información”, mencionó Pablo Ramos, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Sorprendentemente según el estudio, el 39% de las personas encargadas de proteger datos en el sector de salud no tiene “ninguna comprensión de cómo protegerse contra ciberataques” y el 50% no tiene un plan de respuesta a incidentes. Asimismo 1 de cada 4 profesionales de TI en salud no pueden asegurar con exactitud:

  1. Cuántos ciberataques sufrió su organización en el último año.
  2. Si experimentaron un incidente resultante en pérdida o exposición de datos de pacientes.
  3. Si los ciberataques evadieron sus sistemas de prevención de intrusiones (IPS), sus soluciones antivirus u otros controles de seguridad tradicionales
“Hay una gran falta de planificación por parte del factor humano. Debe haber una evaluación de riesgos, planeamiento ante incidentes y educación a los empleados. Si el equipo de seguridad no tiene un plan de acción en caso de una amenaza, ¿qué los hace creer que el resto del personal lo tendrá?” aseguró Lysa Myers, investigadora de seguridad de ESET.
Aún no se toma dimensión de lo importante que es proteger la información en instituciones de salud. Desde ESET elaboramos una infografía que explica los distintos riesgos que enfrenta esta industria y también cómo afrontarlos para proteger a los pacientes y garantizar su seguridad. Medidas preventivas como el backup, la doble autenticación, el cifrado y los servicios profesionales que ayuden a detectar y corregir agujeros de seguridad en los sistemas, permiten a las instituciones de salud brindar un servicio más seguro a sus pacientes.
Las instituciones de salud como hospitales, clínicas y laboratorios se han convertido en un blanco atractivo para los cibercriminales, porque manejan información personal, financiera y médica de sus pacientes y personal. Ya no solo se trata de datos como nombre, teléfono, dirección o número de afiliado, sino que también entran en juego las dependencias a medicamentos, las necesidades de determinados tratamientos o prácticas especializadas y otros componentes que hacen a las personas.
Durante el año pasado las aseguradoras Anthem y Premera sufrieron grandes filtraciones de datos debido a un malware que puso en evidencia la magnitud de información que está en riesgo cuando se trata de la industria de la salud. En el caso de Premera los datos de 11 millones de clientes se vieron afectados. Pero los códigos maliciosos y los ataques dirigidos no son los únicos riesgos que enfrentan las instituciones de la salud, ya que empleados (actuales o antiguos) también pueden ser causantes de incidentes de seguridad.
Más información
Fuente: Diarioti.com

KASPERSKY LAB. Advierte sobre los hackers “menos cualificados y con menos recursos”

Kaspersky Lab está alertando sobre “grupos de hackers mucho menos profesionales, menos cualificados y con menos recursos” pueden poner en peligro a internautas comunes y a las organizaciones. ¿Por qué? 
Por una parte, porque habrían descendido los precios del software empleado para ataques, al tiempo que habría aumentado su accesibilidad. La eficacia de las campañas también se habría incrementado.
Pero es que, además, durante los últimos tiempos los ciberespías estarían aprovechando herramientas legítimas en su propio beneficio. No todo depende ya de usos personalizados o compras en el mercado negro. Entre dichas herramientas se encontraría el framework BeEF, en sus inicios pensada para mejorar la seguridad de los navegadores y que ahora está siendo utilizada para todo lo contrario, para aliarse con vulnerabilidades y llevar a cabo robos de información y descargas de malware, entre otras cosas.
“Anteriormente, hemos visto grupos de ciberespionaje que utilizaban diferentes herramientas legítimas para prueba de penetración de código abierto, tanto en combinación con su propio software malicioso o sin él”, comenta al respecto Kurt Baumgartner, investigador de seguridad en Kaspersky Lab.
“Lo que cambia ahora es que estamos viendo más y más grupos que utilizan BeEF como una alternativa atractiva y eficaz”, añade. Así se producirían infecciones por lo que se conoce como watering hole.
“Este hecho debe ser tenido en cuenta por los departamentos de seguridad de la empresa con el fin de proteger a la organización de este nuevo vector de amenazas”, concluye Baumgartner.
Fuente: Silicon.es

CIBERCRIMEN. 'Hackers', ladrones y espías, los más buscados por el FBI

Hace más de seis décadas que el FBI mantiene una lista pública de las personas más buscadas del mundo. Además de esa lista, el FBI publica una lista de los cibercriminales más buscados. Robos online, boicot de páginas, suplantación de personalidad para obtener información sensible... 
Las actividades cometidas por los presentes en esa lista comenzaron siendo comprensibles solo para los expertos en ciberseguridad, aunque poco a poco han ido calando en el vocabulario general. Se trata de delitos que en muchos casos costaron grandes cantidades de dinero y en otros pusieron en peligro información sobre seguridad nacional estadounidense.
Lista de los lista de los cibercriminales más buscados

1.    Siete iraníes responsables de ataques DDos.- El 16 de enero de 2016 un gran jurado de Nueva York acusaba a siete ciudadanos iraníes de estar implicados en una conspiración para realizar ataques coordinados de denegación de servicios realizados entre 2011 y 2013 contra el sector financiero y una serie de compañías estadounidenses. Cada uno de los acusados era responsable o empleado de ITSecTeam o Mersad, compañías privadas de seguridad informática con sede en la República Islámica de Irán que realizaban trabajos para el gobierno iraní. Sus nombres son Ahmad Fathi, Hamid Firoozi, Amin Shokohi, Sadegh Ahmadzadegan, Omid Ghaffarinia, Sina Keissar y Nader Saedi. Entre los siete, lanzaron este tipo de ataques durante un total de 176 días contra 46 víctimas: deshabilitando webs bancarias, impidiendo a sus clientes acceder a sus cuentas y costándoles en total decenas de millones de dólares en costes intentando neutralizar o al menos mitigar los ataques.
2.   Firas Dardar .- Firas Dardar está en búsqueda y captura por su implicación en el Ejército Electrónico Sirio (Syrian Electronic Army, o SEA), un grupo que comete 'hackeos' en nombre del régimen sirio. Se cree que entre septiembre de 2011 y enero de 2014, Dardar cometió ocenas de ciberataques contra agencias gubernamentales estadounidenses, medios de comunicación y organizaciones privadas bajo la bandera del SEA con el alias 'The Shadow'. El 12 de junio de 2014 se abrió una querella criminal en Virginia que acusaba a Dardar de conspirar para violar numerosas leyes referentes a la intrusión informática. Según una declaración del Departamento de Justicia, junto a otros dos ciudadanos sirios, habría "participado en la difusión de información falsa sobre un ataque terrorista" y "intentado causar un motón en las fuerzas armadas estadounidenses". Dardar también es sospechoso de haber puesto en marcha varios casos de ciberextorsión a distintas compañías estadounidenses e internacionales. Por eso se abrió otra causa contra él en septiembre de 2015.El FBI recompensa con hasta 100.000 dólares cualquier información que pueda conducir hasta su captura. En su web aporta un par de datos: que se cree que reside en Homs, Siria, y que se sabe es fumador.
3.    Ahmed Al Agha.- Igual que Dardar, Ahmed Al Agha está considerado un miembro del SEA y acusado de haber cometido docenas de ataques contra agencias del gobierno, medios de comunicación y empresas entre finales de 2011 y principios de 2014. Fue acusado junto a Dardar de haber violado varias leyes sobre intrusiones informáticas. La acusación del distrito de Virginia asegura que utilizaban la técnica del 'phishing', con la que enviaban correos electrónicos a sus víctimas haciéndose pasar por interlocutores conocidos o de confianza. Esos correos contenían un link, que si las víctimas pinchaban conducían a la descarga de 'malware' en su servidor. Ese 'software' malicioso permitía acceder a los nombres de usuario y contraseñas para entrar en cuentas personales. Los objetivos solían ser medios de comunicación, agencias de noticias y grupos de defensa de los derechos humanos con posturas contrarias al régimen sirio de Bashar al Assad. Una vez conseguían hacerse con sus claves, procedían a llenar sus webs de propaganda pro Assad. En abril de 2013, por ejemplo, lograron el control de la cuenta de Twitter de Associated Press, y publicaron un mensaje que decía: "Última hora: dos explosiones en la Casa Blanca y Barack Obama está herido". La noticia se expandió a toda velocidad y las bolsas de todo el mundo vivieron momentos de convulsión hasta que la agencia emitió un comunicado desmintiendo la noticia.
4.    Evgeniy Mikhailovich Bogachev.- El ruso Evgeniy Mikhailovich Bogachev está en el punto de mira del FBI por la creación y el uso de Zeus, un troyano capaz de hacerse con información bancaria, contraseñas, números de identificación personal y cualquier otro dato para acceder a las cuentas bancarias de la víctima. Se acusa a Bogachev de haber actuado como administrador, mientras que otros actuaron distribuyendo emails de 'phishing', que contenían links a 'sites' comprometidos. Las víctimas que los visitaban quedaban infectadas con el virus, de forma que Bogachev y sus cómplices podían utilizar su información para robarles. El FBI comenzó a investigar este tipo de fraude en 2009. En septiembre de 2011 comenzó a seguirle la pista a una versión modificada, llamada GameOver Zeus (GOZ), que se cree que ha infectado a más de un millón de ordenadores y ha causado pérdidas de más de 100 millones de dólares. En agosto de 2012, el ruso fue acusado por el gran jurado del distrito de Nebraska de conspiración para el crimen organizado: fraude bancario, violación de la ley de fraude y abuso informático, robo de identidad... Para incentivar las pistas que puedan llevar hasta él, el FBI ofrece la mayor recompensa jamás asociada a un ciberdelincuente: hasta tres millones de dólares.
5.    Joshua Samuel Aaron.- En noviembre de 2015, el FBI incluía en esta lista a Joshua Samuel Aaron, buscado porque supuestamente participó en el pirateo de los sitemas de grandes compañías estadounidenses con el fin de robar datos de contactos de clientes. En un plan desarrollado entre 2007 y mediados de 2015, su estructura utilizó esa información de contacto de millones de ciudadanos estadounidenses para manipular el precio y el volumen de numerosas operaciones de compraventa pública de acciones a través de campañas de email engañosas y de intercambios previamente amañados. Se cree que Aaron actuaba como la cara visible de esta manipulación bajo el nombre de Mike Shields, con carnés de identidad y números de la seguridad social pertenecientes a otra persona. Así se comunicaba con compañías de brokers y con sus cómplices. Utilizando campañas de email promocionales, lograban que durante días o semanas subiesen los precios de acciones y stocks de forma artificial. Después Aaron y el resto de participantes vendían sus acciones, consguiendo en muchos casos enormes beneficios.
6.    Otros implicados en el caso 'Zeus'.- Ivan Viktorvich Klepikov, Alexey Dmitrievich y Vycheslav Igorevich Penchukov son tres 'hackers' que el FBI sitúa en Rusia y Ucrania. Se les busca por estar involucrados en el grupo de crimen organizado responsable de instalar en miles de ordenadores el 'malware' Zeus, utilizado para robar información bancaria y robar a las víctimas a través de internet. Se cree que ellos se encargaban de coordinar transferencias no autorizadas desde las cuentas de las víctimas.
7.    Carlos Enrique Pérez-Melara.- Nacido en El Salvador, Carlos Enrique Pérez-Melara es conocido como "el 'hacker' del amor" porque creó una web para espiar a amantes infieles. Lo hacía enviando 'spyware' disimulado como una tarjeta de felicitación. Las víctimas que abrían la tarjeta instalaban sin querer un programa en sus ordenadores o dispositivos que recogía lo que tecleaban así como las comunicaciones entrantes y salientes, que luego reenviaba a los clientes que le habían contratado. Así obtenían esas comunicaciones, así como contraseñas, webs visitadas y otros datos sobre sus actividades en internet. El FBI ofrece una recompensa de 50.000 dólares por las pistas que lleven a su captura. Su caso es especialmente llamativo porque Pérez-Melara no consiguió ganar grandes cantidades de dinero con su programa, pero sí que ayudó a cientos de internautas a convertirse en piratas y espías, dándoles el poder de presionar a sus víctimas.
8.    Sun Kailiang, Huang Zhenyu y Wen Xinyu.- El 1 de mayo de 2014, el gran jurado del distrito de Pensilvania acusó a cinco miembros del Ejército de Liberación Popular de la República Popular de China de 31 cargos, entre ellos conspiración para cometer fraude informático, acceso no autorizado a un ordenador con el propósito de obtener ventaja comercial y ganancias económicas particulares, daño a ordenadores a través del envío de códigos e instrucciones, espionaje económico y robo de secretos comerciales. Sun Kailiang, Huang Zhenyu y Wen Xinyu eran tres de esos acusados. Hasta el momento de su acusación, en que borraron todo rastro de su vida en internet, eran usuarios habituales de redes sociales y foros. Wen, por ejemplo, tenía una cuenta en Weibo, la versión china de Twitter, en la que indicaba su afición por el cine, los viajes y la música. Para el FBI, más que sus aficiones son de interés sus habilidades. La agencia asegura que cada uno de ellos utilizó aportó sus conocimientos a una conspiración para penetrar en las redes informáticas de seis compañías americanas que estaban participando en negociaciones con o tomando medidas legales contra compañías de propiedad estatal china. Después utilizaban ese acceso ilegítimo para hacerse con información, como mensajes intercambiados o propiedad intelectual relacionada con el diseño de plantas nucleares.
Fuente: El Confidencial.es

PIRATERIA. ¿Puede 'hackearse' un avión? El FBI sostiene que ya lo han hecho

El experto en seguridad informática Chris Roberts ha hecho saltar las alarmas tras 'hackear' algunos vuelos comerciales. Boeing y United Airlines lo niegan, pero el FBI aconseja extremar la seguridad
El experto en seguridad informática Chris Roberts, fue interrogado recientemente por el FBI después de anunciar haber hackeado los sistemas de seguridad de varios aviones en los que viajó entre 2011 y 2014. El fundador de la empresa dedicada a la ciberseguridad One World Labs, publicó un tuit hace un mes en el que, aparentemente de broma, decía estar “jugando” con un Boeing 737/800 de la compañía United Airlines y que iba a activar en remoto el sistema de mascarillas de oxígeno de la aeronave.
El FBI sostiene ahora que Roberts entró en los sistemas del avión y ha emitido una alerta a las aerolíneas en la que les solicita extremar la vigilancia. Boeing por su parte ha asegurado que una incursión pirata en los sistemas internos de sus aviones es imposible. Y el último en discordia, United Airlines, ha retado a cualquier hacker a detectar un bug en su plataforma a cambio de una suculenta recompensa.
¿Son hackeables los sistemas de los aviones?
  •  Según el FBI sí. Los expertos sin embargo, apuntan a que actualmente es imposible. O por lo menos los que guardan relación con la navegación y funcionamiento de la aeronave.
  • Según ha explicado a Teknautas Daniel Montero Yéboles, Jefe de Sistemas de Aviónica de GMV, "el único sistema susceptible de ser hackeado dentro de un avión es el de entretenimiento, pero está aislado del resto". Por regla general los aviones disponen de unas pantallas en los asientos desde las que los pasajeros pueden desde ver películas hasta escuchar música o seguir la trayectoria del vuelo. Otros cuentan con una entrada USB e incluso ethernet. "Este sistema puede llegar a ser susceptible pero no está conectado con ningún otro. Los sistemas críticos como el Flight Management System no son accesibles desde fuera. En este caso y aunque el hacker hubiera podido meter un virus o troyano, no habría tenido ninguna capacidad real de afectar a la operación del avión".
  • 'El único sistema susceptible de ser hackeado dentro de un avión es el de entretenimiento, pero está aislado del resto'
  • Chris Roberts reconoció haber entrado en el sistema de entretenimiento del avión. El FBI sin embargo le acusa de haber accedido a otras redes, incluidas las conectadas con el sistema de propulsión y combustible del avión.
  • El director de Comunicación y Laboratorio de Eset España, Josep Albors, ha añadido al respecto que "en la mayoría de casos el sistema de entretenimiento que incorporan los aviones es un Linux modificado, mientras que los de navegación son sistemas propietarios que desarrollan las compañías aeronaúticas. Lo máximo que puedes hacer es borrar las películas del resto de pasajeros o el audio, pero no acceder a los sistemas de navegación".
Interfiriendo entre el avión y la torre de control
  • Donde sí flojean los vuelos comerciales es en la comunicación con tráfico aéreo. El español Hugo Teso demostró durante una conferencia Hack in the box y gracias a un simulador, que se pueden piratear los sistemas de comunicación ACARS y ADS-B. "El autopiloto no admite órdenes externas, lo que impide que pueda ser hackeado. Sin embargo, el avión intercambia datos con tráfico aéreo, por lo que existe la posibilidad de que estos puedan ser alterados", ha explicado Daniel Montero.
  • En la misma línea se ha manifestado Albors: "Estos sistemas de comunicación se empezaron a implementar a mediados de los años 90 pero todavía presentan problemas con el cifrado. Hugo Teso demostró que se podían interferir los datos entre un avión y la torre de control".
  • El investigador Brad Haines por su parte demostró que la infinidad de datos que comparten los vuelos comerciales con aplicaciones como por ejemplo Planefinder AR o Flightradar 24 vienen sin cifrar, por lo que también pueden ser interceptados. Haines explicó que algunos de los ataques que se podían conseguir como consecuencia de esto eran crear datos falsos en los sistemas de los aviones, interferir en el GPS o crear un tráfico erróneo.
  • A pesar de los trágicos accidentes aéreos ocurridos recientemente y la creciente sensación de que se están incrementando, lo cierto es que según el Bureau of Aircraft Accidents Archives, 2014 fue el año en el que menos tragedias ocurrieron en décadas. Tras el incidente del vuelo de Germanwings fueron muchos los que apuntaron a un ataque hacker. Sin embargo, hasta la fecha esto no ha ocurrido.
  • El experto Hugo Teso ha reconocido que, a pesar de que todavía queda mucho margen de mejora, a día de hoy, todavía estamos muy lejos de que un ciberdelincuente pueda hacerse con el control de un avión en pleno vuelo. 
Pero, ¿y en un futuro?
  • Actualmente ya existen proyectos que aspiran a controlar las aeronaves de forma automática. Es decir, que permitan controlar el avión desde tierra para evitar de esta forma posibles accidentes. Se prevé que esto sea una realidad dentro de 20 años. "Cuando esto ocurra sí que puede haber un riesgo de que los vuelos sean hackeados. Si hoy en día un avión tiene un problema y no responde a tráfico aéreo lo único que puede hacer la torre de control es ver cómo se estrella. La idea es que en un futuro se pueda controlar el avión. Es en ese momento cuando tendremos que implementar las medidas de seguridad para que ese lazo de control no pueda ser hackeado".
Fuente: El Confidencial.es

PIRATERIA. De como fracasó el millonario robo 'online' a un banco

¿Recuerdan el fallido robo al Banco Central de Bangladesh?, donde una errata impidió a los 'hackers' hacerse con más dinero? Pues ahora se han conocido los detalles de la operación
Hace pocas semanas, se informó informó sobre un absurdo error ortográfico evitó un multimillonario robo por parte de unos 'hackers' al Banco Central de Bangladesh. Pese a ello, los ladrones informáticos consiguieron hacerse con un cuantioso botín de cerca de 100 millones de euros. Ahora, tras las primeras investigaciones, se han conseguido saber algunos datos sobre la seguridad de la entidad: no tenía 'firewall' y su red era de segunda mano.
Según los primeros análisis sobre lo sucedido, llevados a cabo por la policía de Bangladesh, han salido a la luz varios fallos en los protocolos de seguridad de su Banco Central. Por un lado, no tenía instalado ningún cortafuegos en su red, además de carecer de los servidores de seguridad necesarios para una entidad de este tipo. Y, según la misma policía, los 'switches' -los dispositivos de interconexión de equipos- eran de segunda mano y tenían un valor de 9 euros cada uno.
BAE Systems, el segundo mayor contratista militar del mundo, ha sido uno de los encargados de analizar lo ocurrido en el Banco de Bangladesh, dando a conocer sus resultados este martes. Según sus investigadores, el mayor problema no sólo radica en las operaciones que los 'hackers' fueron capaces de realizar y, por ende, los problemas de seguridad que pueden conllevar sino, sobre todo, que se ha visto comprometido el SWIFT.
Malware muy elaborado, capaz de modificar todo tipo de órdenes

  • Pero, ¿qué es SWIFT? Se trata de un 'software' que utilizan cerca de 3.000 empresas para realizar transacciones financieras entre sí. Es una red privada a la que sólo tienen acceso determinadas instituciones, por el que se llevan a cabo todo tipo de operaciones. O, lo que es lo mismo, la entrada de los 'hackers' en esta red es la que les permitió mandar cantidades ingentes de dinero sin dejar rastro... hasta que cometieron un error ortográfico durante una de sus transferencias.
  • Tras entrar en la red SWIFT, los 'hackers' modificaron un 'software' denominado 'Alliance Access'. Este programa registra todo tipo de operaciones en una base de datos por lo que, modificado por los hackers, permitía falsear esta información sin que quedara constancia de su paso por el sistema. Pero, además, este 'malware' estaba realmente bien preparado, pues era capaz de modificar todo tipo de órdenes: desde las de pago, a almacenamiento y comprobación.
'Fandation', la palabra que cazó a los hackers
  • Todo sucedió en marzo, cuando varios 'hackers' fueron capaces de violar los sistemas de seguridad del Banco Central de Bangladesh, robar sus credenciales e iniciar multimillonarias transferencias para su beneficio. Su operación estaba funcionando a las mil maravillas hasta que se torció: en uno de sus movimientos económicos, los ladrones virtuales equivocaron una palabra, lo que dio al traste con esta operación y con algunas otras ya ejecutadas, pero que fueron detenidas a tiempo.
  • Tras hacerse pasar por el Banco de Bangladesh, los delincuentes comenzaron a bombardear a la Reserva Federal de Nueva York con más de cincuenta peticiones de transferencias por diversos importes. Estas operaciones comenzaron a ejecutarse, yendo a parar cerca de 100 millones de euros a unas cuentas situadas en Filipinas. Pero, entonces, llegó el error que los descubrió: el pedido para la 'Foundation Shalika' no se produjo... porque escribieron 'Fandation'.
Kaspersky, empresa experta en seguridad en la red, ya realizó el pasado año un estudio según el cual los ladrones cibernéticos se habían hecho, alrededor del mundo, con robos que alcanzaban los 1.000 millones de euros, consiguiendo entrar en los sistemas de seguridad de hasta 150 bancos. Por fortuna para el Banco de Bangladesh, el que podía haber sido uno de los mayores robos de la historia de internet se pudo detener -al menos en parte-... gracias a una errata.

Fuente: El confidencial.es

MOZILLA. Publica Firefox 46 y corrige 14 nuevas vulnerabilidades

Mozilla anunciaó la publicación de la versión 46 de Firefox, junto con 10 boletines de seguridad que solucionan 14 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.1
Detalle de la actualización
·   Mozilla acaba de lanzar una nueva versión que incorpora nuevas funcionalidades y mejoras., como la mejora de la seguridad del compilador JavaScript en tiempo de ejecución.
·         Por otra parte, se han publicado 10 boletines de seguridad del año (del MSFA-2016-039 al MSFA-2016-048). Solo uno de ellos está considerado crítico, cuatro son de gravedad alta y los cinco restantes de nivel moderado. En total se corrigen 14 nuevas vulnerabilidades en Firefox.
·         Tres de los boletines publicados también afectan a  Firefox ESR 45.1 (versión de soporte extendido) especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.
·         Las vulnerabilidades críticas residen en cuatro problemas (CVE-2016-2804 al CVE-2016-2807) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código.
·  Las vulnerabilidades de gravedad alta residen en una escritura inválida por un desbordamiento a través del método JavaScript .watch() que podría permitir la ejecución arbitraria de código (CVE-2016-2808). Un desbordamiento de búfer en la libería libstagefright por el tratamiento de offsets CENC (CVE-2016-2814). Vulnerabilidades en Firefox para Android al usar datos de orientación y de los sensores de movimiento a través de JavaScript en el navegador del dispositivo, que podrían permitir comprometer la privacidad del usuario (incluso descubrir el código PIN y otras actividades del usuario) (CVE-2016-2813). Una vulnerabilidad de uso después de liberar por un objeto ServiceWorkerInfo (CVE-2016-2811) y un desbordamiento de búfer en ServiceWorkerManager (CVE-2016-2812).
Recomendación
La nueva versión está disponible desde:
Más información:
Fuente: Hispasec

WIRESHARK. Actualizaciones de seguridad

Wireshark Foundation ha publicado diez boletines de seguridad que solucionan otras tantas un total de siete vulnerabilidades en la rama 1.12.x y nueve en la 2.0.x.
Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Los errores de seguridad corregidos en los boletines podrían llegar a provocar una denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados.
Detalle e Impacto potencial de las vulnerabilidades corregidas
  • CVE-2016-4076: un fallo al no inicializar la memoria para los patrones de búsqueda en 'epan/dissectors/packet-ncp2222.inc' en el disector 'NCP'.
  • CVE-2016-4077: el incorrecto manejo de estructuras de datos 'Tvb' truncadas en 'epan/reassemble.c' en Tshark.
  • CVE-2016-4078: la falta de control en las listas de elementos en 'epan/dissectors/packet-capwap.c' y 'epan/dissectors/packet-ieee80211.c' en el disector 'IEEE 802.11' causaría un bucle recursivo.
  • CVE-2016-4079: una falta de verificación de identificadores BER en 'epan/dissectors/packet-pktc.c' en el disector 'PKTC'' causaría una escritura fuera de límites.
  • CVE-2016-4080: un error al analizar campos 'timestamp' en 'epan/dissectors/packet-pktc.c' en el disector 'PKTC'' podría causar una lectura fuera de límites.
  • CVE-2016-4081: un uso incorrecto del tipo de datos entero en 'epan/dissectors/packet-iax2.c' en el disector 'IAX2' podría causar una entrada en un bucle infinito.
  • CVE-2016-4082: el uso de la variable incorrecta para indexar un array en 'epan/dissectors/packet-gsm_cbch.c' en el disector 'GSM CBCH' causaría un acceso fuera de límites.
  • CVE-2016-4083: un error al no garantizar la disponibilidad de los datos antes de asignar el array en 'epan/dissectors/packet-mswsp.c' en el disector 'MS-WSP'.
  • CVE-2016-4084: un desbordamiento de enteros en 'epan/dissectors/packet-mswsp.c' en el disector 'MS-WSP'.
  • CVE-2016-4085: un error al procesar cadenas largas en 'epan/dissectors/packet-ncp2222.inc' en el disector 'NCP' podría causar un desbordamiento de memoria.
Recomendación
  • Las vulnerabilidades se han solucionado en las versiones 1.12.11 y 2.0.3 ya disponibles para su descarga desde la página oficial del proyecto.
Más información:
Fuente: Hispasec

NETWORK TIME PROTOCOL. Múltiples vulnerabilidades en el protocolo NTP

Se han anunciado 11 vulnerabilidades en el protocolo Network Time Protocol (NTP), que podrían permitir modificar el reloj de los sistemas atacados o provocar condiciones de denegación de servicio.
NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.
Detalle e Impacto de las vulnerabilidades
  • La lista de problemas es amplia, calificados por ntp.org como de gravedad baja a media. Entre las vulnerabilidades más destacables podemos reseñar un fallo (con CVE-2016-1551) en el filtrado de paquetes del rango de red 192.0.0.0/8 podría permitir a un atacante que envíe paquetes falsificados modificar el reloj del sistema atacado.
  • A priori, no parece importante que se pueda modificar el reloj de un sistema. Sin embargo, tiene consecuencias indirectas sobre otras funcionalidades. Por ejemplo, cambiar la fecha a un año atrás haría al sistema aceptar certificados ya revocados con la clave privada comprometida, lo que permitiría realizar un ataque de suplantación de identidad. Además de afectar a servicios de autenticación como Kerberos y Active Directory, que dependen de un reloj en hora para su correcto funcionamiento.
  • Otro problema interesante, con CVE-2016-1550, resulta de la diferencia de tiempo al enviar un paquete de error cuando no se corresponde el resumen contenido en un paquete con el valor calculado por el cliente utilizando la clave secreta. Esto es, en comparación, desajustes en los primeros bytes generan paquetes crypto-NAK antes que los desajustes en los últimos bytes. Los atacantes pueden descubrir el valor de la clave compartida por un ataque de fuerza bruta al resumen MD5 y el examen del tiempo de los paquetes de crypto-NAK devueltos. Una vez conocida la clave el atacante podrá enviar paquetes NTP que serán autenticados como válidos.
  • Más problemas residen en que ntpd es vulnerable ante ataques Sybil (CVE-2016-1549), que pueden permitir la  creación de múltiples asociaciones peer-to-peer, y facilitar la falsificación del reloj del sistema. También (con CVE-2016-1548) la posibilidad de forzar a un cliente ntpd para cambiar del modo cliente-servidor básico a simétrico. Esto podría permitir al atacante cambiar el reloj o provocar denegaciones de servicio.
Recomendación
Más información:
Fuente: Hispasec

SUBVERSION. Actualización de seguridad

Apache ha publicado Subversion 1.8.16 y 1.9.4 destinadas a solucionar dos vulnerabilidades que podrían permitir provocar denegaciones de servicio o la posibilidad de autenticación con "realms" erróneos.
Subversion es un sistema de control de versiones Open Source, que en la actualidad pertenece a la Apache Software Foundation. Utiliza el concepto de revisión para guardar los cambios producidos en el repositorio, además de proporcionar un entorno eficiente y muy flexible.
Detalle e impacto potencial de las vulnerabilidades corregidas
  • El primer problema, con CVE-2016-2167, reside en que svnserve (el protocol de servidor svn://) puede utilizar de forma opcional la librería Cyrus SASL para autenticación, integridad y cifrado. Debido a un error de programación, la autenticación contra Cyrus SASLpodría permitir a un usuario remoto especificar una cadena realm que sea el prefijo de la cadena realm esperada. Esto podría permitir la autenticación en otros realms diferentes. P.ej. el usuario "prueba" en el realm "Texto", podría autenticarse con éxito en un repositorio cuyo realm sea "TextoNuevo". Solo afecta a repositorios servidor por svnserve usando SASL.
  • Por otra parte, con CVE-2016-2168, una vulnerabilidad de denegación de servicio en servidores httpd de Subversion en el módulo mod_authz_svn. El fallo se produce durante la comprobación de la autorización de peticiones COPY o MOVE con cabeceras específicamente manipuladas.
Recomendación
  • Apache ha publicado las versiones 1.8.16 y 1.9.4 que solucionan estos problemas, y otros fallos no relacionados con problemas de seguridad. Se encuentran disponibles desde, http://subversion.apache.org/packages.html
Más Información
Fuente: Hispasec

ADOBE. Actualización para librería Flash de Analytics AppMeasurement

Tras las recientes actualizaciones de Adobe de los últimos días, la compañía ha publicado una actualización para Analytics AppMeasurement para librería Flash que podría permitir la construcción de ataques de cross-site scripting basado en DOM.
El problema fue reportado por el investigador Randy Westergren (@RandyWestergren) que ha confirmado que en un par de semanas publicará los detalles técnicos. 
Technical write-up to follow in a couple weeks. https://t.co/MRTXAi5DuB
— Randy Westergren (@RandyWestergren) 21 de abril de 2016
Detalle de la actualización
  • En el boletín de seguridad APSB16-13 de Adobe se recoge una actualización, calificada como importante, para Adobe Analytics AppMeasurement para librería Flash versión 4.0 (y anteriores). Los desarrolladores pueden añadir este componente a los proyectos para registrar cuanta gente usa la aplicación Flash y lo que hace.
  • El problema solo afecta a AppMeasurement para Flash cuando esté activa la opción "debugTracking" (en la configuración por defecto está desactivada).
  • La vulnerabilidad (con CVE-2016-1036), de la que no se han facilitado detalles, podría permitir a un atacante construir ataques de cross-site scripting basados en DOM. En los ataques XSS basados en DOM se modifica el entorno DOM en el navegador de la víctima. Esto es, la página en sí (la respuesta http) no cambia (como ocurre en los XSS tradicionales), pero el código contenido en la página en el lado del cliente se ejecuta de forma diferente debido a las modificaciones realizadas por el ataque en el entorno DOM.
Recomendación
  • Adobe ha publicado Analytics AppMeasurement para librería Flash 4.0.1. El problema debe ser corregido por los desarrolladores, que deberán reconstruir los proyectos con la librería actualizada, disponible para descarga desde la consola Analytics.
Más información:
Fuente: Hispasec

SAMSUNG. Galaxy S7 y S7 edge integran primera cámara de tecnología Dual Pixel Sensor en smartphone

Los nuevos dispositivos Samsung Galaxy S7 y Samsung Galaxy S7 edge destacan por incluir la primera cámara con tecnología Dual Pixel Sensor que aportan gran calidad y funcionalidad a estos terminales de Samsung.
Las mujeres hacen más fotografías móviles que los hombres (78,3 por ciento saca al menos una foto al día con su smartphone, frente a un 69,7 por ciento de los hombres), según Smartme Analytics, como ha recogido Samsung, algo en lo que tiene mucho que ver el fenómeno selfie y el estilo de vida del nuevo usuario siempre conectado.
La tecnología Dual Pixel Sensor que incluyen los nuevos terminales de Samsung permite capturar con rapidez y precisión los mejores momentos de la vida del usuario, independientemente de la hora del día o del lugar en el que se encuentre, como ha explicado la compañía en un comunicado.
"Con la tecnología Dual Pixel Sensor, la apertura F1.7 y los píxeles de mayor tamaño incluidos en la cámara de nuestros Samsung Galaxy S7 y S7 edge hemos logrado este objetivo, con fotos de calidad profesional incluso en escenas nocturnas", ha añadido Pascual.
Enfoque ultra rápido incluso con poca luz
  • La tecnología Dual Pixel Sensor, propia de las cámaras DSLR profesionales, permite un enfoque ultra rápido para realizar fotografías nítidas y llenas de detalles incluso en situaciones con poca luz, como ha recordado la compañía. La apertura y calidad de la lente F1.7, tanto en la cámara delantera como en la trasera, y los píxeles de mayor tamaño (1,4 um) contribuyen también a incrementar la luminosidad y brillo de las fotografías.
  • Estas características hacen que Samsung Galaxy S7 tenga una velocidad de enfoque cuatro veces mayor que la anterior generación, Samsung Galaxy S6, en escenas nocturnas, y que tenga un 95 por ciento más de luminosidad (casi el doble).
  • Samsung Galaxy S7 y S7 edge utilizan todos los píxeles del Dual Pixel Sensor para la detección por fase, configurada con dos fotodiodos que trabajan de forma independiente.
Los mejores selfies y nuevas experiencias envolventes
  • La cámara frontal de Samsung Galaxy S7 y S7 edge ha sido diseñada para captar selfies más claros y luminosos incluso en escenas nocturnas, como ha destacado la compañía. Los nuevos terminales incluyen la función Selfie Flash, por la que se puede utilizar la pantalla AMOLED de los dispositivos como flash cuando se toman fotografías con escasa luz (por debajo de los 20 lux).
  • El modo Beauty Face Shot añade a los selfies efectos de luz 3D para que los autorretratos sean más claros y brillantes, mientras que el modo Wide Selfie Shot crea un efecto panorámico. Adicionalmente, la función HDR en tiempo real ofrece imágenes con gran riqueza y precisión de colores.
  • Samsung también ha destacado el nuevo modo Panorámica en movimiento lleva el movimiento a las fotos panorámicas tradicionales. Por su parte, la función Hyperlapse mejorada permite comprimir horas de grabación en segundos para ilustrar los sutiles movimientos del sujeto fotografiado. El dispositivo selecciona automáticamente los cortes con las imágenes más nítidas, al mismo tiempo que minimiza el movimiento de la cámara con su función de estabilización de la imagen.
Fuente: Europa Press

WAZE. Sus usuarios pueden ser rastreados y la red inundada con tráfico falso

Recientemente, investigadores de varias universidades de todo el mundo han descubierto una forma de inyectar información falsa sobre el tráfico en la plataforma mediante la creación de tráfico virtual inexistente de manera que la información que proporcione Waze a sus usuarios sea incorrecta y poder, por ejemplo, desviar el tráfico hacia ciertas rutas o ciertos puntos concretos.
Waze es una aplicación GPS social que, además de brindarnos información sobre la mejor ruta para desplazarnos entre dos puntos, nos muestra información actualizada en tiempo real sobre el estado de la carretera, el tráfico y rutas alternativas por las que llegar más rápido a nuestro destino. Esta plataforma, actualmente propiedad de Google, es utilizada a diario por millones de usuarios en todo el mundo, sin embargo, es posible que todos estos usuarios estén comprometiendo su seguridad y privacidad sin saberlo.
Para conseguir sus objetivos, los investigadores de seguridad solo han necesitado un cliente de Waze (un smartphone, por ejemplo) y un servidor proxy HTTPS. Este servidor consiguió robar el certificado raíz del servidor principal y, cuando el cliente intentaba conectarse con el servidor real, el proxy suplantaba su identidad, recopilaba los paquetes, los modificaba con distinta información sobre el tráfico y los enviaba de nuevo al servidor original.
Una vez que el servidor intermedio funcionaba correctamente, fue posible hacer ingeniería inversa al protocolo de Waze para crear scripts que simularan falsos clientes desde falsas ubicaciones de manera que se generara en la plataforma falso a información sobre el tráfico.
Servidor Waze suplantado
  • Waze es vulnerable a los ataques Sybill, un tipo de ataque informático creado inicialmente para comprometer Tor
  • A esta técnica de ataque se le conoce como Sybill, y es muy conocida especialmente en la red Tor, donde varios grupos de piratas informáticos intentan crear falsos nodos de salida de datos con el fin de controlar y espiar la actividad de dicha red distribuida. A día de hoy, Tor es capaz de defenderse a sí mismo de estos ataques, sin embargo, Waze, por el momento, es totalmente vulnerable y Google no se ha pronunciado al respecto.
  • Para evitar alterar el tráfico, las pruebas de inyección de falso tráfico se han realizado de madrugada, pudiendo ver cómo, por ejemplo, el programa nos manda dar un rodeo para llegar a una ruta que se encuentra en línea recta detectado un posible atasco.
Falso atasco en Waze
  • Obviamente, los dueños del proxy HTTPS, al tener acceso a los paquetes que envía el cliente a Waze, también pueden saber la ubicación real desde la que se está enviando esta información, pudiendo saber en todo momento dónde se encuentra el usuario. Incluso, si un atacante es capaz de controlar un determinado número de usuarios fantasma, es posible incluso que se llegue a poder monitorizar la actividad de todos los usuarios de Waze de una ciudad, un país e incluso un continente.
Fuente: UCSB

RUMMS. El malware afecta a Android y se distribuye por medio de SMS

Android es noticia de nuevo noticia por la detección de un malware que se está distribuyendo haciendo uso de mensajes de testo. RuMMS, que así es como se conoce a la amenaza. Las características desplegadas lo definen como un troyano bancario que busca el robo de las credenciales de acceso a servicios de banca en línea.
Ha sido la empresa de seguridad FireEye la que se ha percatado de la presencia de esta amenaza cuya difusión se realiza de momento haciendo uso de mensajes de texto que contienen un enlace invitando al usuario a acceder a cierto contenido multimedia, algo que no es así, ya que se produce la descarga de un archivo .apk que no es nada más y nada menos que el instalador del troyano bancario. Los expertos indican que se ha distribuido desde principios de año y que el pasado mes ha sido cuando mayor cantidad de infecciones se han producido, con más de un millar terminales afectados.
Durante los meses de enero y febrero los ciberdelincuentes centraron sus esfuerzos en afectar a usuarios ubicados en territorio ruso, pero ya se sabe como funciona esto y que esto dura muy poco tiempo. Esta ocasión no ha sido una excepción y en la actualidad la amenaza se distribuye por todos los países que conforman Europa, incluido el nuestro.
Para que sirva de toque de atención a todos los usuarios se trata de un mensaje en inglés que contiene un enlace, por lo que si no conocemos su destinatario lo mejor es hacer caso omiso del contenido y proceder a su borrado de forma inmediata.
RuMMS y el robo del dinero de las víctimas
  • Aunque los ransomware han ganado mucho terreno a este tipo de amenazas, la realidad es que aún están presentes y una prueba de ello es la que nos ocupa. Tal y como suele suceder, lo que realmente interesa a los ciberdelincuentes son las credenciales de acceso y los códigos de confirmación de los servicios de banca en línea, de ahí que busquen llevar a cabo el robo de estos. Los expertos en seguridad apuntan que también se ha detectado la búsqueda de monederos de Bitcoin, algo que ha vuelto a despertar interés entre este colectivo.
Envío de mensajes de forma masiva
  • Tal y como ya hemos apuntado con anterioridad, la única vía de difusión de la amenaza es a través de los mensajes de texto, de ahí que una vez infectado el terminal el troyano utilice este para enviar mensajes de texto sin el consentimiento del usuario a la agenda de contactos y así buscar la infección de otros dispositivos.
Fuente: Softpedia

TESLACRYPT. Llega la versión 4.2. del peligroso ransomware

Un investigador de seguridad llamado BloodDolly ha descubierto una nueva versión de TeslaCrypt, concretamente la 4.2, del que es considerado el ransomware más peligroso, extendido y veterano, que busca, principalmente, solucionar varias de las debilidades de la versión actual para poder continuar así con sus ataques.
Los ficheros que forman parte de este nuevo TeslaCrypt 4.2 son:
  • !RecoveR!-[5_characters]++.HTML -> Nota de rescate en formato de página web.
  • !RecoveR!-[5_characters]++.PNG -> Nota de rescate en formato de imagen.
  • !RecoveR!-[5_characters]++.TXT -> Nota de rescate en formato de texto.
  • -!recover!-!file!-.txt -> El fichero de recuperación (cifrado)
  • [random].exe -> El binario del ransomware.
Principales cambios de TeslaCrypt 4.2
  • Lo primero que se puede ver a simple vista es un cambio en la nota de rescate. Ahora, en vez de dar información sobre el secuestro de datos y explanarse en el proceso de recuperación de los mismos, la nota se centra en cómo realizar el pago para poder descifrar los datos.
  • Esta nueva versión también utiliza un nuevo compilador con una serie de optimizaciones de manera que su funcionamiento sea más estable y difícil de detectar a nivel de carga del sistema. También, se han encontrado varias funciones que hacen que el ransomware se inyecte en el proceso svchost.exe de manera que se eliminen las shadow copies, tanto antes del cifrado como después del mismo, impidiendo que los datos se puedan recuperar de esta manera.
  • Otro cambio relevante en esta nueva versión es que ahora el fichero de recuperación es el mismo que el fichero del programa, por lo que si se elimina este es posible que peligre el descifrado de los datos. Además, este fichero de recuperación está cifrado para evitar que se puedan conocer las configuraciones del mismo.
  • También se ha cambiado la entrada del registro de Windows donde se almacena este malware, apuntando directamente a la ruta donde se almacena.
  • Por último, la conexión con el servidor de control solo se establece si se detecta conectividad, de lo contrario, no.
  • Aunque no se ha confirmado, es muy probable que se haya cambiado el algoritmo de cifrado, por lo que, de momento, la recuperación de los datos cifrados por esta nueva versión no es posible sin pagar, y es muy peligroso hacerlo pagando ya que, como siempre indicamos, cabe la posibilidad de que no lleguemos a recibir la correspondiente clave. Sin duda, una peligrosa y preocupante actualización por la que debemos extremar las precauciones.
Fuente: Bleeping Computer

SPOTIFY. Niega ataque que pudiera dar lugar al robo de credenciales

El  23 de abril, un grupo de piratas informáticos anónimo publicaba en Internet una lista con cientos de credenciales e información personal de usuarios de Spotify, plataforma líder de reproducción de música en streaming, abriendo así la puerta a un posible ataque contra los servidores de la compañía, quien, hasta ahora, no se había pronunciado al respecto.
Entre la información publicada en Pastebin, plataforma donde, en otras ocasiones, ya hemos visto publicada información personal, cabe destacar:
  1. Direcciones de correo electrónico.
  2. Contraseñas.
  3. Tipo de cuenta (Free, Premium, etc).
  4. País de registro.
  5. Fecha de renovación del Premium.
  6. Cuentas robadas de Spotify abril 2016
La información publicada pertenecía a usuarios de todo el mundo, lo que hizo pensar que o se trataba de un ataque de alcance global o que, tal como se temía, los servidores de Spotify se habían visto comprometidos. Tras la publicación y los primeros escándalos al respecto, la compañía comenzó a comprobar sus sistemas y a auditarlos en busca de un posible acceso no autorizado a los mismos.
Los servidores de Spotify no se han visto comprometidos en ningún momento
  • 5 días más tarde de la publicación de la base de datos y el comiendo de la auditoría de seguridad por parte de Spotify, finalmente, la compañía ha hablado al respecto de dicha base de datos publicada asegurando que sus servidores no se han visto comprometidos en ningún momento, por lo que los datos deben venir de algún otro lugar.
  • Spotify asegura que cuando detecta la más mínima sospecha de ataque informático, enseguida advierte a los usuarios para que cambien sus datos de acceso y evitan así que los piratas informáticos puedan tomar el control de la cuenta. En esta ocasión, los datos parecen ser verdaderos ya que muchos usuarios han publicado en la red accesos no autorizados e incluso cambios en sus listas de canciones guardadas.
  • Por el momento todo esto sigue en el aire. Algunos expertos de seguridad aseguran que, si Spotify, de verdad, no ha sido comprometido, solo quedan 3 vectores de ataque posibles:
  1. Los datos publicados son producto de una fuga de datos pasada.
  2. Los datos han sido filtrados por otro servicio en línea que conecte con Spotify.
  3. Los datos han sido robados directamente de los ordenadores de los afectados con malware o ingeniería social.
Sea como sea, se recomienda cambiar la contraseña, e incluso el correo electrónico, tanto de Spotify como de otras plataformas con los mismos credenciales para evitar que los piratas informáticos y los usuarios con acceso a la base de datos puedan intentar iniciar sesión en otras plataformas (por ejemplo, en el correo electrónico o las redes sociales) con esos mismos datos.

Fuente: Techworm, Kaspersky

MALWARE. Detectados 3 nuevos ransomware, (CryptFlle2, BrLock y MM Locker)

Los usuarios de sistemas operativos Windows de nuevo en alerta por la distribución de tres nuevas familias de ransomware a través de Internet. Los expertos en seguridad han confirmado que CryptFlle2, BrLock y MM Locker no ofrecen nada nuevo con respecto a lo ya existente pero por el momento los archivos afectados no se pueden recuperar.
CryptFlle2 apareció en marzo
  • Vamos a tratar de hablar brevemente de cada una de las amenazas, buscando hablar de los aspectos más importantes. De las tres esta es la más longeva, ya que apareció a mediados del pasado mes y tal vez sea el más rudimentario, ya que para recuperar el acceso a los archivos el usuario debe contactar con el propietario de la amenaza a través del correo electrónico, algo que puede parecer un tanto chapucero. La amenaza utilizar el algoritmo de cifrado RSA de 2048 bits.
BrLock apareció la semana pasada
  • Si antes hemos hablado de la más longeva, en esta ocasión toca hablar de la que menos tiempo se encuentra en Internet, concretamente desde la pasada semana, por lo que en referido a infecciones no destaca. Se trata de una amenaza que en realidad lleva a cabo el bloqueo de la pantalla del equipo, permitiendo únicamente que el usuario realice el pago de la cantidad solicitada, oscilando entre 100 y 400 dolares.
MM Locker, el más tradicional
  • Es el único que más o menos se ciñe al funcionamiento habitual, añadiendo una extensión .locked y solicitando una recompensa a través de un mensaje guardado en un archivo. El propietario busca convencer al usuario para que realice el pago, buscando estafarlo, ya que tal y como informan, no se envía en ningún momento la clave de descifrado.
Fuente: Softpedia