Fernando Garcia

Diciembre de 2020 se cerró, entre otras polémicas y crispaciones, con el anuncio de la nueva web del Congreso de los Diputados, renovada tras catorce años con el mismo diseño y haciendo coincidir el estreno con el Día de la Constitución. Dicha renovación tendría que haber llegado un año antes, pero la doble disolución de las Cortes por la repetición electoral y la posterior pandemia trastocó todos los planes.

El rediseño finalmente llegó, y como suele ocurrir con estos lanzamientos, no lo hizo exento de polémica. Según el corte ideológico del diario consultado se podía leer como una noticia sin mucho que rascar o como el enésimo ejemplo del derroche, ya que el coste fue de 1,6 millones de euros. El resto de la conversación es historia de los mentideros digitales, con nulo resultado en cuanto a un consenso sobre si su coste fue adecuado o si en cambio el Gobierno pagó merluza a precio de marisco la víspera de Nochebuena.

Más que un rediseño, menos que un cambio de paradigma

Un vistazo a la web permite comprobar que al menos a primera vista no ha habido una gran renovación, al menos en la parte exterior. Al menos no se aprecia un lenguaje de diseño propio de estos tiempos, sino uno que encaja que podría pasar como implementado antes de 2010. Hay iconos que responden a estilos diferentes, tampoco hay una cohesión tipográfica e incluso los iconos que llevan a las redes sociales institucionales podrían ser el equivalente en diseño a la castiza expresión "cada uno de un padre y una madre".

Es posible que el rediseño de esta web tenga raíces mucho más profundas y sean las que empiecen a contextualizar el desembolso. El anuncio del procedimiento concursal fue publicado en el BOE en noviembre de 2017, justo tres años antes de la inauguración y con el Gobierno anterior al frente de las Cortes.

En julio de 2018 se hizo pública la adjudicación a GFI Informática por 1,6 millones de euros (IVA incluido), quien se impuso a Telefónica como único contrincante en la lista de empresas admitidas y tras dejar en la lista de excluidas a Informática El Corte Inglés, Ricoh Spain, Everis o Indra, entre otras.

En Xataka

Estos son los locos que dedican años a hacer un juego para una máquina de hace 30 años

Así, fue GFI Informática quien debía encargarse del rediseño atendiendo al pliego de cláusulas administrativas y prescripciones técnicas, que ya dejaban entrever que era un proyecto que iba mucho más allá de un simple rediseño. A saber:

• Desarrollo de la nueva web del Congreso.
• Nueva herramienta de gestión de contenidos (CMS).
• Infraestructura de servidores para desarrollo, preproducción y producción de la web.
• Migración de contenidos.
• Auditoría de seguridad externa.
• Formación y transferencia tecnológica del proyecto.
• Garantía, mantenimiento y soporte por al menos tres años a partir de la entrega, tanto para el software como para el hardware, incluyendo asistencia telefónica o entrega de nuevas versiones de productos contratados sin coste adicional.

En este viaje al entendimiento de si aquel rediseño tuvo un precio adecuado o no, Beatriz Belmonte, especialista en diseño de servicios y govtech, deja una frase lapidaria para cambiar el rumbo: "No debemos quedarnos en el precio, la solución no es recortar. No basta con buscar propuestas más baratas y pensar permanentemente que las adjudicaciones se inflan. Hay que pensar que hace falta cambiar la forma de hacer diseño en la administración pública, y buscar la eficiencia. Lo que no podemos es tener webs publicadas porque peor es nada, ese es el lugar donde no nos podemos conformar".

Sobre su valoración del precio pagado, recalca que la hace "teniendo en cuenta que lo que se ve no es lo mismo que el trabajo que se ha hecho", y que parte de la base de que webs similares, sin transaccionalidad (que no permite ejecutar transacciones, sean monetarias o de otros tipos), "a una empresa privada le podría costar en torno a un millón de euros, quizás no medio millón más, pero es una estimación sin conocer a fondo las implicaciones de los pliegos, donde entran licencias, equipos físicos, servidores, alojamiento, mantenimiento...".

Sobre la web cree que "es una ocurrencia como elemento aislado, algo que ocurre de forma ajena al resto. Si abres la web del Senado, o de la Agencia Tributaria, de la Seguridad Social... vas a ver que cada una tiene un diseño distinto, un sistema de interacción diferente, y aunque quizás comparten cosas, a nivel de lenguaje visual o contenidos no hay consistencia, y la experiencia suele ser nefasta, son páginas contenedoras de enlaces que generan rutas en cascada a otras páginas que derivan en un PDF, y esto es un problema de accesibilidad".

María Izquierdo, diseñadora de estrategia y servicios en Valor Público, coincide con Beatriz. "Es mi perspectiva y no he mirado el 100% de la web, en general se ve como un rediseño, es algo congruente con lo que hay actualmente en la administración y la falta de entendimiento sobre la tecnología digital, y sobre cómo hacer que los organismos públicos funcionen en la era digital".

Apunta María que el contenido y la arquitectura de la información "asume mucho conocimiento por parte de las personas usuarias a la hora de navegar". "Hay muchísima información enterrada en PDFs, esto hace que la información sea más difícil de encontrar, usar y mantener en comparación con HTML, además de generar problemas de accesibilidad". También hay imágenes distorsionadas o sin texto alternativo, que es lo que describe a los invidentes su contenido. Lo mismo ocurre en etiquetas como las del banner de las cookies.

Web del 'portal educativo' del Congreso.

"La tipografía y su jerarquía es inconsistente en toda la web, con distintos estilos y animaciones. El 'portal educativo' tiene una estructura distinta al resto. No es muy legible y el contraste del color del texto con el fondo es insuficiente. Alguien con problemas de visión probablemente tenga dificultades para leer este contenido. Y el estilo visual y el tipo de interacciones son algo anticuadas, pero entiendo que esto es algo secundario", remata María. Por otro lado, dice que el diseño visual "es como de hace diez o quince años, pero ese limitante les puede venir por la tecnología heredada, quizás haya que usar una infraestructura donde es complicado que todo eso funcione".

Luego está la cuestión de a quién está dirigida esta web. Si a la prensa, si al ciudadano de a pie... Una pregunta difícil de responder tras visitarla y que tanto María como Beatriz ven complicada de dilucidar. "Entiendo que esta web haya costado esta cantidad, pero no sé si lo que necesita la ciudadanía es una visita virtual en 360 grados al edificio del Congreso, por ejemplo. ¿Eso crea valor?", se pregunta María, que además hace una analogía: "nadie quiere un taladro, la gente quiere un agujero en la pared para colgar un cuadro. A la gente no le interesa que haya una nueva web, sino que sea una plataforma útil".

Otros apartados de la web también hacen arquear las cejas. José Luis Antúnez, diseñador de interacción, explica que al pulsar en el apartado 'Conócenos' es esperable encontrar "el funcionamiento y las funciones del Congreso, su historia, etc. Pero no. El contenido de esa sección es un mapa de su ubicación".

En Xataka

19 mandos que demuestran lo mucho que ha cambiado nuestra forma de jugar a videojuegos en consolas

El modelo británico

Un ejemplo no muy lejano y con bastante recorrido en el que podría mirarse España de cara a reorientar su forma de gestionar las webs de instituciones públicas es el de Reino Unido. María Izquierdo lo conoce bien: trabajó para el Government Digital Service, un departamento encargado de la transformación digital del gobierno en el país anglosajón. Cuenta que allí se abrió un departamento específico para ello hace diez años, encargado de trabajar en la transformación digital de las administraciones.

Web del gobierno británico.

"Es el ejemplo perfecto de que con la web del Congreso no deberíamos hablar tanto de su coste, sino de cambiar el paradigma desde el que pensamos. No pensar en páginas web, sino en servicios. Hace diez años se gastaba muchísimo dinero en estos asuntos, y por eso se creó aquel departamento, para controlar el gasto tecnológico".

Desde entonces, todos los equivalentes a nuestros ministerios tienen la obligación de escribir qué problema quieren resolver, cómo serán las personas usuarias de esa solución o si el código debe ser abierto entre otros requisitos. Aquello lo arrancó Francis Maude, Jefe de la Oficina del Gabinete entre 2010 y 2015, para hacer más eficientes las contrataciones públicas digitales. De aquello salió la web Gov.uk, que aloja a todas las webs del gobierno británico y cuyo lema interno, según explica María, era que "nunca iba a estar terminada" en referencia a que iba a requerir de actualizaciones continuas y perpetuas. Su estilo visual es el de una aséptica elegancia que permea a todas las instituciones públicas del país.

Hoy, la web del gobierno británico es una de las referencias mundiales en diseño público digital junto a Canadá o Australia. ¿Qué estructuras impiden a España llegar a ese nivel? Entre otras, su forma de contratación: la institución que requiera hacer una ha de escribir unos pliegos y la solución que requiere, quien se lleva la adjudicación se limita a proveerla. Las empresas se adaptan a los pliegos. En Reino Unido, como hemos visto, la búsqueda de la mejor solución también se deja en manos de quien la va a ejecutar. No se asume que saldrá de quien tiene el problema. En España, por imperativo legal, sí.

Web del gobierno australiano.

Web del gobierno canadiense.

No hay visos de momento de que en España se produzca este cambio de modelo, que podría derivar como en otros países en un lenguaje visual y unas estructuras homogéneas entre las webs de cada institución. Congreso, Senado, Agencia Tributaria, los diferentes ministerios, Moncloa, Zarzuela, comunidades autónomas, diputaciones... Hoy todas completamente heterogéneas, con sus propios códigos y jerarquías de contenido. Mientras eso llega, solo podremos ver rediseños eventuales que persistan en el modelo.

Desde Xataka tratamos de contactar con GFi Informática para obtener sus declaraciones para este artículo sin haber obtenido respuesta.

-
La noticia La nueva web del Congreso por 1,6 millones de euros no es un derroche, es una oportunidad perdida fue publicada originalmente en Xataka por Javier Lacort .

Son muchos los ataques que podemos sufrir a la hora de navegar por Internet. Los piratas informáticos se adaptan a los nuevos cambios que introduzcan los usuarios. Es cierto que tenemos cada vez más herramientas y métodos para protegernos, pero también las amenazas de seguridad mejoran y evitan saltarse esa protección. En este artículo nos hacemos eco de un informe que alerta del gran aumento de los ataques contra escritorios remotos.

Se disparan los ataques contra escritorios remotos

Se trata de un informe presentado por ESET. Han indicado que los ataques contra escritorios remotos han crecido nada menos que un 768% durante el último año. Concretamente entre el primer y último trimestre. Un crecimiento que implica la necesidad de mejorar la seguridad y reducir así el impacto.

¿Por qué han crecido los ataques contra escritorios remotos? Sin duda la razón detrás de esto es la pandemia del Covid-19. En los últimos meses ha aumentado mucho el número de trabajadores en remoto. Muchos usuarios han comenzado a desempeñar sus funciones desde casa y para ello utilizan el escritorio en remoto.

Esto ha sido aprovechado por los piratas informáticos para llevar a cabo sus ataques. Como hemos podido ver en otras muchas ocasiones, los ciberdelincuentes ponen sus miras en aquello que alberga más usuarios. Siempre suelen adaptarse a los tiempos y atacar donde más probabilidad de éxito pueden tener.

Los investigadores de seguridad han indicado que la seguridad en los escritorios remotos debe estar presente en todo momento. Especialmente el ransomware es una de las amenazas más presentes. Se basan en exploits de RDP, con tácticas agresivas que representan un riesgo importante tanto para los sectores públicos como organizaciones privadas.

No obstante, esperan que en los próximos meses el aumento de este tipo de ataques se ralentice. Las medidas de seguridad tomadas por las organizaciones deberían dar resultados, aunque sigue siendo insuficiente y es necesario que mejoren. Mantener la seguridad en el trabajo es muy importante, especialmente si es en remoto.

Aumento de ataques relacionados con el Covid-19

Pero no han aumentado únicamente los ataques relacionados con el escritorio remoto. Según este informe presentado por ESET, ha habido muchos ataques relacionados con el Covid-19 que han crecido enormemente en los últimos meses.

Un ejemplo son los ataques Phishing en los que utilizan el tema del coronavirus para captar la atención de las víctimas y lograr el robo de información y contraseñas. También las vacunas han estado presentes en los asuntos de e-mails para que la víctima pique en links maliciosos y poder así infectar los equipos.

Desde ESET esperan que los piratas informáticos sigan aprovechándose de esta temática durante los próximos meses. Esto hace que sea necesario incrementar las medidas de seguridad. Ya sabemos que no basta solo con tener un buen antivirus instalado, sino que debemos actualizar los sistemas y dispositivos, así como mantener el sentido común. Esto último es muy importante para protegernos de ataques como la suplantación de identidad por correo electrónico y similares.

En definitiva, los ataques relacionados con la pandemia han crecido en los últimos meses. El escritorio en remoto es uno de los objetivos de los ciberdelincuentes y debemos siempre tomar medidas de precaución para no cometer errores.

El artículo Los ataques contra escritorios remotos se disparan y debes protegerte se publicó en RedesZone.

El Internet de las Cosas está cada vez más presente entre los usuarios. Tenemos muchos aparatos domésticos con acceso a Internet, como pueden ser bombillas, televisiones, detectores de humo… Como cualquier equipo conectado pueden sufrir fallos que pongan en riesgo la seguridad y privacidad. En este artículo nos hacemos eco de una vulnerabilidad antigua que ha expuesto millones de dispositivos IoT y pueden sufrir ataques.

Un fallo de seguridad antiguo expone millones de equipos IoT

En otras ocasiones hemos visto vulnerabilidades con muchos años y que han puesto en riesgo programas o sistemas operativos. En este caso estamos ante un ejemplo más. Un problema de seguridad conocido desde hace décadas podría utilizarse para manipular dispositivos IoT.

Hay que tener en cuenta que este tipo de vulnerabilidades que afectan a los protocolos de comunicación que se utilizan en dispositivos IoT pueden permitir interceptar y manipular los datos. Eso podría comprometer seriamente tanto el buen funcionamiento de los equipos como la propia privacidad de los usuarios.

Este problema de seguridad ha sido detectado por un grupo de investigadores de Forescout. En concreto son nueve y afectan a algunas pilas TCP/IP. Se basan en la generación del número de secuencia inicial (ISN). Estos ISN están diseñados para garantizar que cada TCP entre dos ordenadores u otros dispositivos conectados a Internet sea único y que terceros no puedan interferir o manipular las conexiones. Siempre debemos proteger los dispositivos IoT. https://www.redeszone.net/tutoriales/seguridad/proteger-dispositivos-iot-seguridad/

Para garantizar esto, los ISN deben generarse de forma aleatoria para que un atacante no pueda adivinarlo, secuestrarlo o falsificarlo. Es un aspecto fundamental de la seguridad informática que ya se conocía en los años 90, pero cuando se trata de la seguridad de los dispositivos IoT, los investigadores encontraron que esta vieja vulnerabilidad estaba presente ya que los números no eran completamente aleatorios, por lo que el patrón de los números ISN en estas comunicaciones TCP podría predecirse.

Este tipo de vulnerabilidades se ha solucionado en sistemas como Windows o Linux. Sin embargo al analizar los dispositivos IoT, podemos comprobar que vuelven a aparecer este tipo de problemas, como así indican desde Forescout.

No es complicado para un atacante encontrar estos fallos

Desde Forescout indican además que no es difícil ni para atacantes ni para investigadores de seguridad encontrar este tipo de vulnerabilidades. Esto es así ya que se puede ver claramente que la forma en la que la pila genera los números es predecible.

Al predecir una conexión TCP existente, los atacantes podrían cerrarla, provocando esencialmente un ataque de denegación de servicio al evitar que los datos se transfieran entre dispositivos.

Además, de forma alternativa podrían secuestrarlo e inyectar sus propios datos en la sesión, a través de lo cual es posible interceptar el tráfico no cifrado, agregar descargas de archivos para enviar malware o usar respuestas HTTP para dirigir a la víctima a un sitio web malicioso. También es posible que los atacantes exploten las conexiones TCP de los dispositivos integrados para eludir los protocolos de autenticación, que potencialmente brindan a los atacantes acceso adicional a las redes.

Todas estas vulnerabilidades ya han sido reveladas a los proveedores y responsables de las pilas TCP/IP. Por ello ya muchas de ellas han sido parcheadas y es importante que los usuarios siempre tengan las últimas versiones instaladas. Especialmente cualquier equipo que tengamos conectado permanentemente a la red deben estar correctamente actualizados.

El artículo Una vulnerabilidad antigua deja millones de dispositivos IoT en peligro se publicó en RedesZone.

Enlarge (credit: Getty Images / Leon Justice)

The Florida water treatment facility whose computer system experienced a potentially hazardous computer breach last week used an unsupported version of Windows with no firewall and shared the same TeamViewer password among its employees, government officials have reported.

The computer intrusion happened last Friday in Oldsmar, a Florida city of about 15,000 that’s roughly 15 miles northwest of Tampa. After gaining remote access to a computer that controlled equipment inside the Oldsmar water treatment plant, the unknown intruder increased the amount of sodium hydroxide—a caustic chemical better known as lye—by a factor of 100. The tampering could have caused severe sickness or death had it not been for safeguards the city has in place.

Beware of lax security

According to an advisory from the state of Massachusetts, employees with the Oldsmar facility used a computer running Windows 7 to remotely access plant controls known as a SCADA—short for “supervisory control and data acquisition”—system. What’s more, the computer had no firewall installed and used a password that was shared among employees for remotely logging in to city systems with the TeamViewer application.

Read 8 remaining paragraphs | Comments

En muchas ocasiones pueden surgir fallos de seguridad que pongan en riesgo los sistemas y dispositivos. Permiten incluso la entrada de intrusos que puedan robar contraseñas e información personal. En este artículo nos hacemos eco de algunas vulnerabilidades que afectan al firewall y VPN de Fortinet. Permiten diferentes tipos de ataques que pueden poner en riesgo a los usuarios de sus aplicaciones.

Vulnerabilidades en Fortinet afectan al firewall y VPN

Fortinet es una importante empresa de ciberseguridad que cuenta con una gran cantidad de productos como antivirus, cortafuegos o VPN para proteger a los usuarios y evitar problemas como la entrada de atacantes que puedan robar información.

Han detectado una serie de vulnerabilidades que ponen en riesgo la seguridad de su cortafuegos y también de su aplicación VPN. Concretamente afecta a Fortinet SSL VPN y a FortiWeb Web Application Firewall. Han lanzado múltiples avisos para que los usuarios conozcan estos fallos y puedan corregirlos.

Algunas de estas vulnerabilidades fueron reportadas hace dos años. Una de ellas, la vulnerabilidad CVE-2018-13381, está presente en Fortinet SSL VPN y podría ser explotada por un intruso remoto sin autenticación a través de una solicitud POST. Esto podría ocurrir debido a un desbordamiento de búfer en el portal SSL VPN de FortiProxy. Podría dar lugar a una denegación de servicios.

Otro fallo ha sido registrado como CVE-2018-13383. Un atacante podría desencadenar un desbordamiento en la VPN mediante contenido HREF de JavaScript. En caso de que FortiProxy SSL VPN analice una página web creada por un atacante que contenga la carga útil de JavaScript, podría provocar la ejecución remota de código, además de DoS. Las VPN pueden ser un peligro para la privacidad cuando tienen fallos de este tipo.

Estas vulnerabilidades, que han sido publicadas en enero de 2021, permiten en ambos casos la inyección de SQL, RCE y llevar a cabo ataques DoS.

El firewall de Fortinet, vulnerable

Por otra parte, las vulnerabilidades en FortiWeb Web Application Firewall fueron descubiertas e informadas de manera responsable por el investigador Andrey Medov de Positive Technologies. En total cuatro vulnerabilidades, de las que dos fueron más importantes: CVE-2020-29015, que permite la inyección de SQL, y CVE-2020-29016, que provoca desbordamiento de búfer.

La primera de esas vulnerabilidades permitiría obtener el hash de la cuenta de administrador del sistema y la segunda podría permitir la ejecución de código arbitrario. También hay que indicar otra vulnerabilidad, la CVE-2020-29018, que podría permitir la ejecución de código, aunque su explotación sí requiere autenticación.

Estos fallos de seguridad han sido calificados como de gravedad alta o crítica. Esto hace que los usuarios deban actualizar estas aplicaciones y poder corregir las vulnerabilidades que podrían ser un peligro importante. Hay que tener en cuenta que programas como un cortafuegos o VPN pueden ser muy sensibles.

Desde RedesZone siempre recomendamos tener los equipos y sistemas actualizados correctamente. Solo así podremos corregir los posibles fallos que puedan ser explotados por parte de ciberdelincuentes y llevar a cabo sus ataques. Esto es algo que debemos aplicar sin importar el tipo de dispositivos o sistemas que estemos utilizando.

El artículo El firewall de Fortinet tiene importantes fallos de seguridad se publicó en RedesZone.

Salvo que vayas a actualizar a Windows 10 directamente desde un ordenador con una versión anterior del sistema, para poder instalar el sistema operativo desde cero será necesario que descargues una imagen ISO.

Para hacer esto tienes múltiples opciones, desde las mismas soluciones oficiales que te ofrece Microsoft y que son bastante sencilla y completas, hasta algunas opciones de terceros que en algunos casos pueden resultar incluso más cómodas para bajar un ISO y crear un disco de arranque con Windows 10.

Herramienta de Microsoft

La solución más obvia en muchos casos es utilizar la herramienta de creación de medios de Microsoft. La puedes descargar desde aquí y esta te va a guiar por el proceso, ya sea que quieras actualizar a Windows 10, crear un medio de arranque USB para instalar Windows 10 en otro ordenador, o solo descargar el ISO.

Lo único que tienes que hacer es ejecutar el archivo .exe y cuando te pregunte lo qué deseas hacer, deberás elegir "Crear medios de instalación", luego seleccionar idioma, arquitectura y edición de Windows 10, y al final marcar la opción "Archivo ISO" seleccionando una carpeta para guardar la imagen.

Rufus

Una opción de terceros es utilizar la famosa herramienta Rufus que sirve para crear unidades USB de arranque para instalar gran variedad de sistemas operativos. Rufus ofrece además de esto, la opción de descargar directamente muchas distros Linux y también varias versiones de Windows.

Con este método solo tienes que descargar y ejecutar Rufus, hacer click en el botón que dice "Seleccionar" y cambiar a "Descargar". Cuando hagas click en "Descargar" aparecerá una nueva ventana ofreciendo versiones de Windows para descargar imagen ISO y luego podrás crear un disco de arranque USB con Windows 10.

HeiDoc

Otra opción aún más granular es la herramienta de HeiDoc para bajar todos los ISOs oficiales de Windows y Office. HeiDoc los descarga directo desde los servidores de Microsoft, y te ofrece múltiples versiones de Windows 10 y no solo la última versión estable.

Es su principal ventaja, que tiene una gran variedad de builds y versiones del sistema y no solo la última actualización de Windows 10. Incluso te deja bajar las versiones chinas.

En Genbeta

Esto es todo lo que te estás perdiendo si no aprovechas la integración de Android con Windows 10

La web oficial

Suponiendo que no tienes acceso a un PC con Windows y no puedes usar estas herramientas, o que no quieres descargar la herramienta de creación de medios por cualquier razón, igual es posible descargar Windows 10 directamente desde la web de Microsoft.

Lo único que tienes que hacer es cambiar el user-agent del navegador para que este crea que estas usando otro sistema no Windows y te ofrezca descargar el ISO en lugar de la Media Creation Tool.

Entra en este enlace desde cualquier navegador y presiona el atajo de teclado CTRL + MAYÚS + I para abrir las herramientas para desarrolladores. Cambia el dispositivo en el menú desplegable que aparece arriba y selecciona iPad. Refresca la pagina y listo.

Imagen de portada | wallpaperhub

-
La noticia Cuatro formas de descargar una ISO de Windows 10 gratis fue publicada originalmente en Genbeta por Gabriela González .

Supercookie.me es un ingenioso método demostrado por Jonas Strehle (un programador de 20 años) para identificar el navegador que visita una web mediante una especie de «huella digital» imborrable. Lo hace utilizando algo tan aparentemente inofensivo como es el icono Favicon de la página. Lo verdaderamente inquietante del asunto es que a pesar de su nombre no se trata de una «cookie» convencional: no puede borrarse. Ni eliminando las cookies, ni la caché, ni el historial, ni abriendo una «ventana anónima», ni con Do-Not-Track, usando una VPN, ni con un Adblocker… Es tan intratable como el Alien después de haberse zampado a media tripulación de la Nostromo.

La idea original está descrita con sumo detalle técnico en un trabajo titulado Tales of favicons and Caches: Persistent Tracking in Modern Browsers de Solomos, Kristoff, Kanich y Polakis, de la Universidad de Chicago. La web Supercookie.me es una mera demostración de cómo funciona.

Por explicarlo de forma resumida: los favicons son esos pequeños iconos () que se muestran normalmente junto a la URL de la página, por ejemplo en la barra del navegador, en los favoritos, como icono de la app, etcétera. Como se accede a ellos muy frecuentemente, el navegador los guarda en una memoria caché especial: el «caché de favicons» (F-Cache). Pues resulta que el servidor web al que se pide la página puede detectar si el navegador del usuario tiene un favicon determinado para una página dada. De este modo, realizando varias peticiones con ciertos valores, puede reconstruir un identificador determinado para cada visitante.

Según explica en la página de Github donde está el código esta vulnerabilidad –que podría considerarse como tal, porque no funciona como se espera de ella– afecta a todos los navegadores importantes: Chrome, Firefox, Safari y Edge al menos. Algunos de ellos también en sus versiones para móviles iOS/Android, en mayor o menor medida.

Una curiosidad es que puede distinguir más usuarios cuantas más redirecciones haga la web que se visita. El número exacto es proporcional es 2ⁿ, siendo n el número de redirecciones, de modo que hay «supercookies» de estas para un sinfín de visitantes. En la demo se utilizan 14 saltos (que podrían pasar desapercibidos para los visitantes) y unos 16.000 IDs distintos. Si visitas la web te asignará un número hexadecimal, que no variará aunque borres las cookies, la caché o abras una ventana de incógnito. La única forma de que el identificador sea distinto es usar otro navegador diferente.

Relacionado:

• Privacidad en Internet: llega la «cookie eterna» casi imposible de borrar
• Nuevas preocupaciones sobre privacidad en un estudio de la EFF
• Los sitios web ya pueden identificar con distintos navegadores
• Google probando una tecnología para eliminar «cookies»
• Panopticlick 3.0: para saber cuánta privacidad proporciona tu navegador

# Enlace Permanente

El router es una pieza fundamental para nuestras conexiones. Cuando hay un problema que afecta a la seguridad de este dispositivo podría poner en riesgo todos los equipos conectados a él. En este artículo nos hacemos eco de una serie de errores críticos que afectan a los routers de Cisco. Estos fallos podrían permitir la entrada de intrusos y ejecutar ataques al obtener acceso raíz de forma remota.

Vulnerabilidades críticas en los routers de Cisco

Recientemente se han detectado una serie de vulnerabilidades críticas en routers de Cisco Small Business. Concretamente se trata de problemas que permiten la ejecución remota de código previa a la autenticación.

Este problema permitiría a los piratas informáticos ejecutar código arbitrario como root en dispositivos explotados con éxito. Cisco afirmó que hay tres errores de seguridad importantes que se descubrieron en el firmware de los RV320 y RV325. Estos fallos fueron registrados como CSCvq34465, CSCvq34469 y CSCvq34472.

Estas vulnerabilidades están presentes ya que las solicitudes HTTP no se validan correctamente. Los ciberdelincuentes podrían explotar fácilmente estos fallos transfiriendo una solicitud HTTP diseñada a la interfaz de administración basada en web de un dispositivo atacado.

Cuando se realiza este exploit, los piratas informáticos podrían ejecutar código arbitrario en ese dispositivo y comprometerlo de forma remota.

Desde Cisco han indicado que todos los routers afectados para pequeñas empresas son vulnerables a los ataques y están tratando de explotar estas vulnerabilidades si ejecutan una versión de firmware anterior a la versión 1.0.01.02. Afecta a estos routeres:

• Router VPN RV160
• Router VPN inalámbrico RV160W
• Router VPN RV260
• Router VPN RV260P con POE
• Router VPN inalámbrico RV260W

No obstante, desde Cisco han mostrado también una lista de routers que no se han visto afectados por este problema. Son los siguientes:

• Router VPN Gigabit WAN dual RV340
• Router VPN inalámbrico-AC Gigabit WAN dual RV340W
• Router VPN Gigabit WAN dual RV345
• Router VPN POE Gigabit WAN dual RV345P

Actualizaciones disponibles

Un punto importante es que desde la compañía han indicado que no hay constancia de que hayan explotado estas vulnerabilidades. Ya hay parches disponibles, por lo que los usuarios de estos routers deberían actualizar el firmware a la última versión lo antes posible y así evitar problemas que puedan comprometer la seguridad.

Actualizar el firmware del router es un proceso muy importante y que debemos llevar a cabo siempre. Por un lado vamos a obtener las mejoras en rendimiento que puedan ayudar a que la velocidad, calidad y estabilidad de la conexión sea lo mejor posible. Pero también, y esto es lo más importante, podremos evitar posibles vulnerabilidades que puedan ser explotadas por parte de los ciberdelincuentes.

Por tanto, todos aquellos usuarios que tengan un router de Cisco vulnerable a este problema que hemos mencionado deberían actualizar el software a la última versión. Esto también lo podemos aplicar a cualquier otro usuario que quiera mantener su router seguro y con las últimas versiones para mejorar el rendimiento.

En muchas ocasiones hemos visto fallos de seguridad que afectan a los dispositivos de red. Por tanto, desde RedesZone recomendamos tener siempre las últimas versiones instaladas.

El artículo Un error crítico en routers Cisco permite el acceso remoto se publicó en RedesZone.

Si utilizas Google Drive, lo más probable es que habitualmente te hayas encontrado con muchos problemas de funcionamiento, una aplicación que funciona cuando quiere, como quiere, que parecía que Google había abandonado por completo y que había obligado a muchos usuarios a dejar utilizarla (entre los que me incluyo).

El servicio de almacenamiento Google Drive pone a disposición de sus clientes dos aplicaciones de sincronización con funcionamiento diferentes. La aplicación  Copia de seguridad y sincronización está destinada a los usuarios finales y se encarga de sincronizar todos los archivos de nuestro equipo con la nube.

Por otro lado, tenemos la aplicación File Stream, una versión destinada a los clientes empresariales de Google. Esta aplicación, en lugar de descargar todos los archivos de la nube y mantenerlos sincronizados en todo momento, nos ofrece un acceso directo al archivo, que al pulsar sobre él para abrirlo, lo descarga en ese momento y nos permite editarlo.

Además, nos permite descargar en nuestro equipo carpetas concretas por si tenemos la intención de trabajar sin conexión a internet, por lo que el problema que se puede presentar en esas circunstancias está solucionado.

Google ha anunciado la versión para clientes empresariales será la que reemplace la versión actual disponible para el resto de usuarios. De momento, ya le ha cambiado el nombre a la versión para empresas, pasando de File Stream a Drive para ordenadores. Este cambio está previsto para el primer semestres de 2021.

La versión de Drive para clientes de Google funciona de la misma forma que ya lo hacen Dropbox y Outlook pero estos la ofrecen a todos los usuarios no solo para las empresas. Gracias a ello, siempre vamos a tener a mano todos nuestros archivos almacenados en la nube sin tener que descargarlo en nuestro equipo aunque no nos haga falta en la mayoría de ocasiones, tenerlo siempre a mano.

iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet. Esta nueva versión iperf3 no es compatible con el antiguo iperf2, por tanto, debemos actualizar tanto el servidor como el cliente si queremos hacer uso de este nuevo programa. Esta herramienta permite ajustar varios parámetros de manera muy avanzada, relacionado con los protocolos TCP, UDP y SCTP, por supuesto, es compatible tanto con redes IPv4 como IPv6. Iperf3 ha sufrido una gran cantidad de mejoras que permiten exprimir aún más el rendimiento real de la red local, por tanto, es ideal para realizar las pruebas de rendimiento de equipos Multigigabit e incluso 10G. ¿Quieres conocer cómo descargarlo y utilizarlo para medir el rendimiento?

En RedesZone llevamos utilizando iperf3 mucho tiempo, para medir el rendimiento que obtenemos en las pruebas LAN-LAN, LAN-WAN y también pruebas WiFi 6. Hemos comprobado que se comporta mucho mejor que iperf2 en cuanto sobrepasamos la velocidad de 1Gbps, por tanto, cuando hacemos uso de routers, switches o puntos de acceso WiFi 6, hacemos uso de este programa que nos brinda una medición más exacta de la velocidad que conseguimos.

En este tutorial os vamos a enseñar cómo utilizar este programa tan interesante para medir la velocidad real entre dos equipos, independientemente de si están conectados en la red local LAN o en Internet, ya que al hacer uso de los protocolos TCP y UDP, podremos abrir un puerto en el servidor para que uno o varios clientes se comuniquen directamente, y poder comprobar la velocidad real.

Principales características de iperf3

iperf3 es un programa completamente renovado, que nada tiene que ver con iperf2, ya que no son compatibles entre ellos. iperf3 hereda lo mejor de iperf2, e incorpora características nuevas para permitirnos realizar mediciones a velocidades Multigigabit sin problemas. Para cada prueba que realicemos, nos informará del ancho de banda de subida y descarga, de la pérdida de paquetes y de otros parámetros.

Respecto a los protocolos TCP y SCTP, es capaz de medir el ancho de banda, informar del tamaño de MTU (Maximum Transfer Unit) y del MSS (Maximum Segment Size), además, también soporta para configurar el tamaño de ventana TCP a través del buffer del socket. En cuanto a UDP, el cliente puede crear diferentes flujos de datos UDP, permite medir la pérdida de paquetes, el jitter (fluctuación del retardo), e incluso soporta Multicast. El cliente permite establecer múltiples conexiones simultáneas con el servidor, además, el servidor es capaz de recibir múltiples conexiones simultáneas de varios orígenes diferentes. Por supuesto, podremos ejecutarlo durante un tiempo determinado, o definiendo una cantidad de datos a enviar determinados.

Otras características importantes de iperf3, es la posibilidad de mostrar periódicamente el estado de la conexión, el ancho de banda hasta el momento, el jitter, la pérdida de paquetes etc. También podremos hacer funcionar el servidor iperf como demonio en el sistema operativo. Otras novedades incorporadas, es la posibilidad de ignorar TCP Slowstart del propio protocolo TCP, fijar el ancho de banda para UDP o TCP, establecer una etiqueta de flujo para IPv6, configurar el algoritmo de control de congestión, posibilidad de sacar toda la información en formato JSON, e incluso podremos realizar test de lectura y escritura directamente en el disco duro.

Este nuevo programa iperf3 tiene licencia BSD, eso significa que es código abierto y multiplataforma, es compatible con sistemas operativos Windows, Linux, Android, MacOS X, FreeBSD, OpenBSD, NetBSD, VxWorks, Solaris y muchos otros.

Descarga e instalación de iperf3

Este programa continúa su desarrollo, en la web oficial de Iperf3 tenéis las últimas versiones disponibles para los diferentes sistemas operativos. Una vez descargado, tendremos que descomprimir el archivo ZIP y ya podremos ejecutarlo, pero en este caso no tenemos una interfaz gráfica de usuario ni tampoco un script ejecutable, debemos ejecutarlo a través de la línea de comandos, ya sea en Windows o en Linux/MacOS.

Ejecución de iperf3 en Windows, Linux y macOS

Una vez que hayamos descomprimido el ZIP descargado, entramos en el símbolo del sistema (cmd) o en el terminal de Linux, nos movemos con el comando «cd» por los diferentes directorios, y cuando ya estemos en el directorio de iperf3, debemos ejecutarlo en modo servidor en un PC, y en modo cliente en otro PC:

Por supuesto, al ejecutarlo nos saldrá la ayuda de iperf, ya que no hemos puesto ningún argumento.

Funcionamiento y primer test de velocidad

El funcionamiento de iperf3 es muy sencillo, lo primero que debemos tener claro es que es un programa que se ejecuta a través de la línea de comandos, y tenemos diferentes argumentos para configurar su comportamiento. Al estar ante un programa cliente-servidor, es necesario hacer funcionar dos iperf3, uno en un PC como servidor, y otro iperf como cliente para comprobar la velocidad desde el cliente hasta el servidor.

Para arrancar el iperf3 en modo servidor:

Para arrancar el iperf3 en modo cliente con ciertas opciones que posteriormente os explicaremos:

Una vez que ya sabemos realizar una prueba de rendimiento básica con iperf3, os vamos a enseñar todas las opciones disponibles en este programa.

Opciones de configuración generales: para cliente y servidor

Los siguientes argumentos se pueden introducir después de la ejecución del propio programa, de la siguiente forma: «iperf3 -argumentos» y no importa el orden a la hora de introducir los argumentos.

• -p puerto: podremos elegir el puerto a utilizar, ya sea TCP o UDP, este puerto debe ser exactamente tanto en el servidor como en todos los clientes.
• –cport puerto: esta opción nos permite especificar el puerto en el lado del cliente, solo para iperf 3.1 o superior.
• -f formato: podremos elegir la unidad de medición que nos aparecerá a la hora de ver la velocidad.
  • k: Kbits
  • K: Kbytes/s
  • m: Mbits
  • M: MBytes/s
  • g: Gbps
  • G: GBytes/s
• -i intervalo: intervalo de tiempo medido en segundos donde iperf3 nos mostrará toda la información de ancho de banda, jitter y pérdida de paquetes. Por defecto es 0.
• -F nombre_archivo: en el cliente es el archivo leído y escrito en la red local, en lugar de usar información aleatoria. En el servidor es lo leído desde la red y escrito a un archivo.
• -B host: permite realizar un binding a una tarjeta e red en concreto, ideal por si tenemos múltiples interfaces.
• -V: salida con todos los detalles (verbose)
• -J: salida en formato JSON
• –logfile archivo: envía la salida a un archivo de registro (solo en iperf 3.1)
• –d: debug
• -v: version del programa
• -h: lanza la ayuda del programa

Opciones de configuración solo para el servidor

Los siguientes argumentos se pueden introducir después de la ejecución del propio programa, de la siguiente forma: «iperf3 -argumentos» y no importa el orden a la hora de introducir los argumentos. Estos argumentos solamente se pueden usar en el servidor iperf3.

• -s: arranca iperf en modo servidor.
• -D: arranca el programa en segundo plano como demonio.
• -I: escribe un archivo con el ID del proceso, ideal para usarlo con -D (demonio).

A continuación, podéis ver algunos ejemplos.

Podemos ejecutar el servidor iperf3 de manera predeterminada, automáticamente hará uso del protocolo TCP en puerto 5201.

Podemos ejecutar el servidor iperf3 con TCP y el puerto 5000 de la siguiente forma:

Opciones de configuración solo para el cliente

Los siguientes argumentos se pueden introducir después de la ejecución del propio programa, de la siguiente forma: «iperf3 -argumentos» y no importa el orden a la hora de introducir los argumentos. Estos argumentos solamente se pueden usar en el cliente iperf3.

• -c direccion_IP: arranca iperf en modo cliente para conectarnos a un servidor, debemos definir la dirección IP justo después.
• –sctp: utiliza este protocolo SCTP en lugar de TCP (por defecto).
• -u: utiliza el protocolo UDP en lugar de TCP (por defecto).
• -b ancho_de_banda: permite definir un ancho de banda en N bits/sec, por defecto es 1MB/s en UDP e ilimitado en TCP. Si utilizamos el argumento -P para enviar múltiples flujos de datos, este ancho de banda se aplica a cada uno de ellos.
• -t tiempo: en segundos para transmitir información a la máxima velocidad. Por defecto son 10 segundos, pero podremos poner lo que queramos.
• -n número: número de datos a transmitir, en lugar de utilizar tiempo (-t) usamos datos.
• -k paquetes: número de paquetes a transmitir, en lugar de usar tiempo (-t) o datos (-n).
• -l (L minúscula): longitud del buffer leído o escrito.
• -P número: número de flujos de datos simultáneos, recomendable poner 5 o superior para exprimir la red al máximo.
• -R: el tráfico de iperf normalmente va desde el cliente hasta el servidor, si ponemos este argumento, el tráfico irá desde el servidor hasta el cliente.
• -w tamaño: permite especificar el tamaño de ventana de TCP
• -M mss: permite configurar el MSS de TCP
• -N: configura la opción no-delay de TCP.
• -4: utilizamos redes IPv4.
• -6: utilizamos redes IPv6.
• -S: tipo de servicio para los paquetes salientes.
• -L etiqueta: permite configurar la etiqueta de flujo para redes IPv6.
• -Z: utiliza el método zero-copy, reduce muchísimo el uso de CPU por parte del programa.
• -O segundos: omite los primeros X segundos del test, para evitar problemas con el TCP slowstart y que nos proporcione una medida sin la ráfaga del principio.
• -T título: permite poner un título delante de cada cadena
• -C algoritmo: permite configurar el algoritmo de congestión, solamente en Linux con iperf 3.0 y en FreeBSD con iperf 3.1

A continuación, podéis ver algunos ejemplos.

Podemos ejecutar el cliente iperf3 con algunos argumentos muy interesantes:

• -c 192.168.1.10: actúa en modo cliente con la IP definida.
• -P 50: mandamos un total de 50 conexiones TCP
• -p 5000: hacemos uso del puerto 5000, el por defecto es 5201
• -f g: mostramos la velocidad en Gbps
• -t 5: lanzamos el test durante 5 segundos.

Tal y como habéis visto, este programa iperf3 es muy sencillo porque nos permite ejecutar un iperf con interfaz gráfica de usuario, sin necesidad de introducir complicados comandos y argumentos.

El artículo iperf3: Mide la velocidad entre dos o más equipos en LAN, WiFi o Internet se publicó en RedesZone.

OWASP y OSINT: Más sobre Ciberseguridad, Privacidad y Anonimato

Hoy, continuaremos con nuestras entradas relacionadas con el tema de la Seguridad Informática (Ciberseguridad, Privacidad y Anonimato) y para ellos nos centraremos en OWASP y OSINT.

Mientras que, OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro, OSINT es un conjunto de técnicas y herramientas utilizadas para recopilar información pública, correlacionar los datos y procesarlos, con el fin de obtener conocimiento útil y aplicable para determinados objetivos o ámbitos.

Seguridad de la Información: Historia, Terminología y Campo de acción

Antes de entrar de lleno en el tema sobre OWASP y OSINT, como ya es costumbre, les recomendamos luego de leer esta publicación, explorar el contenido de otras de nuestras anteriores publicaciones relacionadas con el tema de la Seguridad Informática.

… es bueno precisar que no se debe confundir el concepto relacionado de la Seguridad de la Información con el de la Seguridad Informática, ya que, mientras la primera se refiere a la protección y resguardo de la información integral de un Sujeto (Persona, Empresa, Institución, Organismo, Sociedad, Gobierno), la segunda solo se centra en salvaguardar los datos dentro de un sistema informático como tal. Seguridad de la Información: Historia, Terminología y Campo de acción

OWASP y OSINT: Organizaciones, Proyectos y Herramientas

¿Qué es OWASP?

Según el sitio web oficial de OWASP es:

“Un Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) que esta a cargo de una fundación sin ánimo de lucro, del mismo nombre, que trabaja para mejorar la seguridad del software. Y cuya estructura incluye el desarrollo de proyectos de software de código abierto dirigidos por la comunidad. Dicha Fundación, actualmente posee más de 200 secciones locales en todo el mundo, decenas de miles de miembros y realiza conferencias educativas y de formación líderes en el sector.”

Por ende, queda claro que el objetivo de la Fundación OWASP es:

“Ser una comunidad abierta dedicada a permitir que las organizaciones conciban, desarrollen, adquieran, operen y mantengan aplicaciones en las que se pueda confiar. Y para ellos, todos sus proyectos, herramientas, documentos, foros y capítulos creados son gratuitos y están abiertos a cualquier persona interesada en mejorar la seguridad de las aplicaciones.”

Proyectos OWASP

Todos los Proyectos y Herramientas de Software elaborados por OWASP pueden visualizarse en su Sección de Proyectos, y también en su sitio web oficial en GitHub. Y entre los más conocidos podemos citar los siguientes:

• OWASP Top 10: Proyecto que consta de un documento de concienciación estándar para los desarrolladores y la seguridad de las aplicaciones web. Y que representa un amplio consenso sobre los riesgos de seguridad más críticos para las mismas.
• Web Security Testing Guide (WSTG): Proyecto que consta de una Guía de Pruebas de Seguridad Web que produce el principal recurso de pruebas de ciberseguridad para desarrolladores de aplicaciones web y profesionales de la seguridad. Por ende, es una excelente y muy completa guía para probar la seguridad de las aplicaciones y los servicios web, ya que, proporciona un marco de mejores prácticas utilizadas por los probadores de penetración y organizaciones de todo el mundo. También hay una para aplicaciones móviles.

¿Qué es OSINT?

Dado que OSINT es, como expresamos al inicio: «un conjunto de técnicas y herramientas utilizadas para recopilar información pública, correlacionar los datos y procesarlos, con el fin de obtener conocimiento útil y aplicable para determinados objetivos o ámbitos»; la misma no posee un sitio web oficial. Sin embargo, hay varios sitios webs que aportan mucha información y herramientas OSINT útiles. Las cuales pueden usarse tanto para investigar y atacar a un sujeto objetivo, o para que cualquiera tome las medidas necesarias para prevenir dichos ataques.

Es importante aclarar sobre OSINT lo siguiente:

“El término «código abierto» dentro de OSINT no se refiere al movimiento del software de Código Abierto, aunque muchas herramientas OSINT son de Código Abierto; sino que describe la naturaleza pública de los datos que se analizan.”

¿Qué es OSINT Framework?

Entre los sitios webs relacionados con OSINT podemos mencionar a OSINT Framework. El mismo puede ser descrito como:

Un repositorio en línea que incluye una gran cantidad de herramientas (aplicaciones, servicios webs) para llevar a cabo búsquedas en fuentes de información abierta. El mismo funciona como un archivo que almacena  almacena y clasifica dichas herramientas para que sean utilizadas en investigaciones OSINT. Estas herramientas son además, un conjunto de librerías del tipo GPLv3 (código libre y abierto), que permite recopilar todo tipo de datos (información) para las investigaciones necesarias. Especificamente, dichas herramientas pueden descubrir y recopilar datos, tales como, Nombres de usuarios, Direcciones de correo electrónico, Direcciones IP, Recursos multimedia, Perfiles en redes sociales, Geolocalización, entre muchos otros.

Para aquellos, interesados en querer saber más sobre OSINT pueden visitar su sitio web oficial en GitHub o el siguiente enlace.

Esperamos que esta “pequeña y útil publicación” sobre «OWASP y OSINT», 2 interesantes temas que abarcan organizaciones, proyectos, herramientas, y muchas cosas más, en favor de una más robusta y transparente Seguridad Informática (Ciberseguridad, Privacidad y Anonimato); sea de mucho interés y utilidad, para toda la «Comunidad de Software Libre y Código Abierto» y de gran contribución a la difusión del maravilloso, gigantesco y creciente ecosistema de aplicaciones de «GNU/Linux».

Por ahora, si te ha gustado esta publicación, no dejes de compartirla con otros, en tus sitios web, canales, grupos o comunidades favoritas de redes sociales o sistemas de mensajería, preferiblemente libres, abiertas y/o más seguras como Telegram, Signal, Mastodon u otra del Fediverso, preferiblemente. Y recuerda visitar nuestra página de inicio en «DesdeLinux» para explorar más noticias, además de unirte a nuestro canal oficial de Telegram de DesdeLinux. Mientras que, para mayor información, puedes visitar cualquier Biblioteca en línea como OpenLibra y JedIT, para acceder y leer libros digitales (PDFs) sobre este tema u otros.

La semana pasada les hablábamos sobre una vulnerabilidad crítica descubierta en Sudo que permite ganar acceso root en cualquier distro Linux y que puede ser explotada por cualquier usuario local.

Si bien los investigadores solo habían comprobado su existencia hasta el momento en distros como Ubuntu, Debian, Fedora y Gentoo, además de en BSD, ya habían advertido que probablemente otros sistemas operativos estilo Unix estarían afectados, ahora sabemos que el bug también afecta a macOS.

Baron Samedit afecta incluso a macOS Big Sur

Baron Samedit es un bug en Sudo que se introdujo en la herramienta en julio de 2011, y que puede ser explotado para ganar privilegios de root, incluso si el usuario no está listado en el archivo sudoers que controla quién, cuáles, con qué privilegios y en qué máquinas se pueden ejecutar comandos.

Incluso la última versión de macOS, es decir, Big Sur, incluye la herramienta Sudo en el sistema. El experto en ciberseguridad Matthew Hickey, conocido en Twitter como HackerFantastic, explicó que, con algunas modificaciones, la vulnerabilidad también puede ser explotada en los Mac para ganar acceso root.

CVE-2021-3156 also impacts @apple MacOS Big Sur (unpatched at present), you can enable exploitation of the issue by symlinking sudo to sudoedit and then triggering the heap overflow to escalate one's privileges to 1337 uid=0. Fun for @p0sixninja pic.twitter.com/tyXFB3odxE

— Hacker Fantastic 📡 (@hackerfantastic) February 2, 2021

En Genbeta

macOS Big Sur tiene un bug que solo afecta al idioma español de España, y consume mucha CPU y batería: así se arregla

Sus hallazgos fueron verificados por otros expertos en la materia, y comprobaron que el bug puede ser explotado en macOS incluso tras actualizar el sistema con los últimos parches de seguridad que Apple publicó el lunes 1 de febrero.

Hickey reportó el problema a Apple, pero hasta ahora le empresa no ha comentado al respecto, aunque es probable que un parche para la vulnerabilidad esté en camino, siendo que es un fallo tan crítico.

-
La noticia La vulnerabilidad crítica en Sudo que permite ganar acceso root en Linux también afecta a macOS Big Sur fue publicada originalmente en Genbeta por Gabriela González .

Imaginemos una tarjeta de Nespresso que podemos usar para pagar por café en la máquina de la oficina. Ahora imaginemos que conseguimos crackear la tarjeta, añadir fondos ilimitados y engañar a la máquina. Podríamos conseguir café ilimitado (y, de paso, quizá buscarnos un problema). Algo así es lo que ha conseguido Pollen Vanhoof, un investigador de ciberseguridad que explica en su web cómo ha conseguido engañar a ciertas máquinas de Nespresso explotando las Smart Cards de la marca.

Según explica Vanhoof, las antiguas tarjetas inteligentes de Nespresso usan el chip MIFARE Classic. Este era muy común en las tarjetas hace años e incluso hoy en día se pueden encontrar algunas que lo implementan. El problema es que en 2008 unos investigadores consiguieron hacerle ingeniería inversa al sistema, siendo capaces de clonar y manipular el contenido del chip. Desde entonces, "la serie MIFARE Classic se considera insegura" porque permite, entre otras cosas, lo que ha conseguido Vanhoof.

En Magnet

La irrupción del café casero: la epidemia está disparando las ventas directas y de cafeteras

Café infinito

Después de que los investigadores publicarán sus hallazgos en marzo de 2008 (que fueron especialmente llamativos porque afectaban a las tarjetas del transporte público OV-Chipkaart de Países Bajos), la serie MIFARE Classic fue considerada insegura. La compañía, actualmente, ofrece alternativas más seguras, como MIFARE Plus, que está basado en AES-128 y es compatible con MIFARE Classic.

Usando un lector de tarjetas NFC, el comando nfc-mfclassic y mfoc, un software que crackea el encriptado de los chips MIFARE Classic, Vanhoof es capaz de acceder, visualizar y modificar los binarios de la tarjeta. Haciendo una compra con la tarjeta, Vanhoof es capaz de ver qué binarios cambian exactamente, ya que asume que el valor de la tarjeta se guarda en la tarjeta en sí, y no en un servidor ajeno.

Comparando los binarios de antes y después de la compra, Vanhoof descubrió que la tarjeta usa tres bytes para representar el valor total. "Por lo tanto, la máxima cantidad posible de dinero en una de estas tarjetas es de 167.772,15 euros", explica el investigador. Simplemente hay que usar un editor hex, modificar el archivo y escribirlo en la tarjeta. Efectivamente, la máquina detecta que tenemos el saldo mencionado anteriormente y nos permite comprar café. Si cada uno vale un euro, pues tenemos para 167.772 cafés, que son un café al día durante 459 años.

En Xataka

Café para todos: 9 tazas y termos smart y otros gadgets tech originales para tomar bebidas calientes

Nespresso está al tanto de esta vulnerabilidad. De hecho, el investigador le comentó sus hallazgos el 24 de septiembre de 2020, pero no fue hasta el 2 de febrero cuando Nespresso confirmó que Vanhoof podía publicarlos.

Es más, no solo ha expuesto la vulnerabilidad, sino que también ha ofrecido dos potenciales mitigaciones a la misma: actualizar las tarjetas con alternativas más seguras y/o modificar las máquinas para que el dinero de las tarjetas se guarde en un servidor en lugar de en las propias tarjetas, de forma que las tarjetas sirvan como un método de identificación personal. "Tras hablar con Nespresso, parece que ya ofrecen estas dos opciones", concluye el investigador.

Vía | The Register

-
La noticia Café ilimitado: este investigador ha conseguido engañar a las máquinas Nespresso modificando las tarjetas de pago fue publicada originalmente en Xataka por Jose García .

Sipke Mellema publicó hace algunas semanas un artículo sobre cómo recuperar contraseñas de capturas de pantalla pixelizadas y añadió algunos interesantes enlaces sobre la técnica (Recovering passwords from pixelized screenshots). No sólo la técnica es interesante sino que algunos de los enlaces mencionados van mucho más allá: cómo recuperar todo tipo de textos e incluso imágenes borrosas de rostros que se han ocultado malamente. El código está disponible en Github: Depix.

Al hacer un pantallazo y aplicar un filtro del tipo mosaico / pixelizar con cualquier aplicación gráfica se aplica lo que técnicamente se conoce como filtro de caja lineal. Se divide la imagen en cajas cuadradas de cierto tamaño y se promedia un tono de color/gris en función del contenido de las cajas adyacentes.

Esa operación «destruye» información y detalles, pero de forma determinista (siempre con el mismo resultado). Con tamaños de caja pequeños los textos siguen siendo reconocibles; ampliándolos un poco más dan sensación de «texto oculto» sin que resulte visualmente desagradable como sería un bloque de negro puro. Es muy típico para ocultar contraseñas, matrículas y similares, además de rostros en fotografías.

La cuestión es que debido a ese determinismo a veces hay formas de recuperar los textos originales. Una muy sencilla es crear un gran documento con todos los números posibles (por ejemplo, números de tarjetas de crédito) y aplicar el filtro. Si es necesario puede hacer con varios tamaños de cajas, o calculando ese valor de antemano. Luego se comparan uno por uno con la imagen pixelada y los que sean más parecidos estarán cerca del resultado. Normalmente hay alguno idéntico.

Otra forma es ir haciéndolo carácter por carácter, considerando válidos los que coincidan de forma individual. Pero es mejor hacerlo por parejas, utilizando una secuencia de De Burijn, del tipo «00 10 20 30 … aa ba ca da …» etcétera) donde cada pareja aparece una sola vez. Si un valor coincide perfectamente, se da por bueno el valor. La tarea no es trivial porque a veces hay que ajustar las distancias de las cajas (no me quedó claro si porque el texto no siempre es monoespaciado o no) y algunas combinaciones dan valores iguales o muy parecidos.

El resultado no siempre es perfecto, pero es suficiente: las coincidencias perfectas se dan por válidas y las que coinciden pero no tanto se «promedian» con las que son similares, dando lugar a letras que quizá estén, por ejemplo, a medio camino entre un 1 y una L, pero más cerca del 1 que de la L… Algo que luego una persona puede reconocer sin mucho esfuerzo. ¡Humanos al poder!

Para quien le interese el tema esta es la literatura citada:

• Why Blurring Sensitive Information is a Bad Idea (2006)
• On the (In)effectiveness of Mosaicing and Blurring as Tools for Document Redaction (2016)
• Deblurring Images for OSINT and more — Part 1 / Part 2 (2019)

En el caso de imágenes de rostros pixelados la solución es más ingeniosa todavía: primero se aplican filtros para «enfocar» la imagen dentro de lo posible (un truco suele ser reducirla). Luego se puede realizar una búsqueda inversa en Google Images u otros servicios similares:

A veces las fotografías originales están ahí, al alcance de Google, y el algoritmo de Google Imagenes es suficiente como para reconocer que dos fotos son las misma, aunque una esté un poco más borrosa que la otra. Algo especialmente útil para «rostros populares».

Relacionado:

• Un avanzado algoritmo para reconocimiento de imágenes
• Cómo funcionan los sistemas de reconocimiento facial
• Cómo engañar al algoritmo de visión artificial
• Avances en reconstrucción de imágenes directamente desde el cerebro
• Google que puede saber dónde se tomó una foto sin GPS
• La ciencia tras la extraña imagen en la que se ven cosas irreconocibles

# Enlace Permanente

En España tenemos un supercomputador especialmente destacable con MareNostrum, en el Barcelona Supercomputing Center (es actualmente el 42 en la lista TOP500), pero ahora hay un proyecto que podría meter un segundo sistema en esa lista: se trata del nuevo supercomputador de AEMET, cuyo presupuesto y proyecto han sido aprobados recientemente.

El Ministerio para la Transición Ecológica y el Reto Demográfico ha hecho público ese proceso de licitación para el que será el nuevo sistema de supercomputación de la Agencia Estatal de Meteorología (AEMET). Aunque el Ministerio no da demasiados detalles sobre este sistema, sí sabemos que será 10 veces más potente que el actual, que según AEMET cuenta con una potencia de 168 TFLOPS.

Siete millones de euros para el nuevo supercomputador

En el expediente proceso de licitación se puede observar cómo el presupuesto base de la licitación era de casi 8,3 millones de euros (confirmada en el BOE del 14 de noviembre de 2020), pero el adjudicatario final ha sido Caixabank Equipment Finance S.A.U., que ha logrado ganar el concurso en el que participaron otras 5 empresas.

La oferta de Caixabank está basada "en la tecnología de la empresa tecnológica Atos IT Solutions and Services", y según la valoración final esta propuesta frente a las presentadas por Fujitsu, HP, NEC, Telefónica y Omega. Caixabank consiguió la adjudicación aun cuando la su valoración técnica no fue la mejor: HP la superó ligeramente (27,75 puntos) y NEC obtuvo el mismo resultado (27 puntos).

En Xataka

MareNostrum 4: así es el espectacular supercomputador encerrado en una capilla

Su propuesta tiene un importe de 7.125.490,20 euros, y según la nota de prensa oficial constará de "50.000 cores basados en la tecnología EPYC Roma de AMD", un tipo de procesadores presentes en 22 de los 500 supercomputadores más potentes del mundo según la lista TOP500 de noviembre de 2020, la última de este singular ránking bianual.

Se indica además que el supercomputador contará con 5,9 petabytes "de almacenamiento bruto" y hará uso de una red de baja latencia Infiniband a 200 Gbits por segundo.

Un sistema candidato a entrar en la lista TOP500 (si se dan prisa)

Este supercomputador "proporcionará una capacidad de cómputo cerca de 10 veces superior al actual" según la nota de prensa. Teniendo en cuenta que el actual supercomputador Bull DLCB700 cuenta con una potencia de 168 TFLOPS, este nuevo sistema rondaría los 1.680 TFLOPS.

Imagen del supercomputador Bull DLC B700, el actual sistema de AEMET con 168 TFLOPS de potencia.

En la lista TOP500 el último de los supercomputadores los 100 últimos posicionados del ranking tienen una potencia de entre 1.316,8 y 1.649,1 TFLOPS, lo que hace pensar que el nuevo supercomputador de AEMET podría llegar a formar parte de esa lista con los 500 sistemas más potentes de todo el mundo.

En Xataka

Biología computacional: así es como esta ciencia aspira a resolver algunos de los grandes problemas de la humanidad

Según el Ministerio, "uno de los retos más significativos de los servicios meteorológicos es el de proporcionar predicciones meteorológicas cada vez más precisas y detalladas especialmente en la previsión de fenómenos meteorológicos extremos cuya frecuencia e intensidad aumenta debido al cambio climático".

Con este supercomputador se podrá disponer de una capacidad de computación que "incremente la resolución espacial con la que trabajan (las dimensiones en kilómetros de los fenómenos que son capaces de reproducir)", algo que contribuirá a predicciones más exactas de los modelos climáticos.

En la nota de prensa no se especifica la fecha estimada de puesta en marcha de este supercomputador, aunque en el anuncio de adjudicación se indica que el plazo de ejecución será de 60 meses (5 años).

Como nos explican desde AEMET, ese dato no quiere decir que hasta 2026 no estará disponible el supercomputador, sino que la vigencia del contrato es de ese tiempo, tras lo cual "habrá que actualizar el sistema con nuevos componentes y arquitecturas". Esperemos, por tanto, que el nuevo supercomputador entre en acción pronto.

Más información | Ministerio para la transición ecológica y el reto demográfico

-
La noticia El nuevo supercomputador de AEMET 10 veces más potente que el actual: tendrá 50.000 cores y 5,9 petabytes de almacenamiento fue publicada originalmente en Xataka por Javier Pastor .

Los piratas informáticos, a la hora de realizar un ataque, buscan obtener un beneficio. En el caso del ransomware lo que hacen es cifrar archivos o sistemas y esperan que la víctima pague un rescate para poder acceder con normalidad. Es un problema que en los últimos años ha estado muy presente. Ahora bien, ¿podríamos estar ante una disminución muy importante? Nos hacemos eco de un informe que muestra cómo las víctimas ya no pagan.

Caen los pagos en ataques ransomware

Cuando algo deja de ser positivo para un ciberdelincuente, cuando dejan de obtener dinero o cualquier tipo de beneficio, suelen optar por otros medios para lucrarse. Perfeccionan los ataques, buscan estrategias diferentes, atacan otros tipos de usuarios…

En los últimos tiempos las víctimas del ransomware han dejado de pagar. Al menos no pagan un porcentaje tan significativo como antes. Esto plantea la duda de si este tipo de malware puede estar pasando un mal momento e incluso podríamos pensar en que caería. Sin embargo, los investigadores de seguridad informática creen que esto no va a provocar, al menos a corto plazo, que desaparezca.

Las empresas, según indican, cada vez son más reacias a pagar un rescate. Esto hace que en líneas generales haya habido una disminución muy importante en los pagos para recuperar archivos cifrados por el ransomware. Según la empresa de ciberseguridad Coveware, los pagos han caído en el último trimestre de 2020.

Entonces, ¿por qué va a continuar el ransomware? Lo cierto es que, como dijimos anteriormente, es un método muy utilizado y afecta tanto a usuarios particulares como a empresas. Esto hace que, aunque muchos opten por no pagar, todavía representa una cifra significativa los que sí lo hacen.

No obstante, es de esperar que algunos operadores de ransomware consideren que no merece la pena seguir debido a la disminución de ganancias. Esto puede hacer que se centren en determinados nichos de mercado o que incluso opten por métodos de ataque diferentes.

Aumentan los ataques para filtrar los datos

Hemos visto que ha habido una disminución importante de las víctimas que optan por pagar un rescate económico en ataques ransomware. Sin embargo hay que mencionar también que ha habido un aumento importante de los ataques de este tipo que no solo cifran los archivos o sistemas, sino que amenazan con filtrar los datos robados.

Esto puede afectar tanto a usuarios particulares como a empresas. Son las organizaciones las que pueden tener una mayor necesidad de evitar que esos datos puedan hacerse públicos, ya que podrían estar disponibles para la competencia y suponer pérdidas muy superiores al rescate que piden los piratas informáticos.

Sin embargo, según los investigadores de seguridad también ha habido un descenso importante de las víctimas de esta amenaza que deciden pagar. En muchos casos esto se debe a que no confían en que realmente los datos no van a ser filtrados una vez han realizado el pago.

También hay que indicar que los usuarios, las víctimas potenciales, cada vez realizan más copias de seguridad para estar protegidos precisamente frente a este tipo de amenazas. De esta forma, la necesidad de pagar por obtener los archivos disminuye. Os dejamos un artículo donde hablamos de consejos para evitar el ransomware.

El artículo ¿Llega el fin del ransomware? Las víctimas ya no pagan se publicó en RedesZone.

Figura 1: OpenWifiPass: Hacking iPhones con WiFi Sharing Protocol

Figura 2: Libro de Hacking iOS (iPhone & iPad) 2ª Edición de Chema Alonso, Alejandro Ramos, Igor Lukic, Ioseba Palop.

-

Hoy hablaremos del proyecto OpenWifiPass el cual permite escanear en busca de peticiones Bluetooth de dispositivos iPhone/iPad que están solicitando contraseña de WiFi para conectarse a una red. Esta es una característica de los dispositivos de Apple que si tienes un iPhone, seguramente la hayas utilizado en algún momento. Imagínate que estás en casa de un amigo y en vez de darte la contraseña para que la introduzcas, tu iPhone solicita que le compartan la contraseña de la WiFi al dueño de la casa, que también tiene un iPhone.

Figura 3: Opción de compartir la clave de la WiFi en iPhone

Como se indica en el Github del proyecto de OpenWifiPass es una prueba experimental de ingeniería inversa del proyecto Open Wireless Link. El código se proporciona con fines de investigación y educativos. Como prueba de concepto que es el proyecto no ha sido probado y está incompleto, aunque funcional para la prueba de concepto. ¿Qué es incompleto? Realmente el código no verifica la identidad del solicitante de la contraseña a través del protocolo.

Requisitos para probar el proyecto

Los requisitos para probar el proyecto son pocos, nos vale con tener a mano una Raspberry Pi 4 y disponer de Raspbian o cualquier distro GNU/Linux que ejecutemos en una Raspberry. Desde el punto de vista de dependencias se hará uso de bluepy, pero el proceso de instalación es realmente sencillo, por lo que no habrá problemas. El código de la herramienta está escrito en Python.

Figura 4: "Raspberry Pi para Hackers & Makers: PoCs & Hacks Just For Fun" de Amador Aparicio, Pablo Abel Criado y Héctor Alonso

El hacerlo con Raspberry es por darle un toque "maker" y hacerlo "portable" y porque tiene el adaptador de Bluetooth integrado y va a ser rápido montar el proyecto, pero podría hacerse en cualquier entorno con un adaptador Bluetooth compatible. El adaptador debe poder utilizar Bluetooth Low-Energy.

Figura 5: Repositorio GitHub de OpenWifiPass

¿Cómo instalamos el proyecto? Este paso es uno de los más sencillos, para el tipo de herramientas o pruebas de concepto con los que nos movemos generalmente. Lo primero será hacer el git clone del proyecto y, posteriormente, ejecutar la siguiente instrucción pip3 install ./openwifipass. La instalación es bastante rápida y nos prepara un módulo llamado openwifipass. Para la ejecución de la herramienta debemos ejecutar la instrucción:

sudo -E Python3 -m openwifipass --ssid [nombre SSID de la rea a compartir contraseña WiFi] --psk [contraseña que se quiere enviar al dispositivo].

Cuando lo arrancamos, veremos que se queda en “Start Scanning” un rato, y parece que no ocurre nada. Esto es normal, ya que debemos esperar a que desde un iPhone/iPad nos soliciten la contraseña WiFi de una red conocida. Nosotros, en el ejemplo, estamos ofreciendo la red bit_up, por lo que cuando un iPhone/iPad en nuestro alcance, intente conectarse a la red se produce el intercambio de información.

Figura 6: Arrancando OpenWifipass 

Nos estamos haciendo pasar por un dispositivo de Apple y estamos negociando y entregando la contraseña WiFi que el usuario quiere, y en el momento en que algún dispositivo se quiera conectar a la red, se entrega la password que hemos decidido nosotros.

Figura 7: Un dispositivo ha pedido la password y se la hemos entregado

Mientras tanto en el dispositivo móvil encontramos lo siguiente, la contraseña se configura automáticamente y se conecta contra la red WiFi. En la imagen no se visualiza, pero en el apartado de “contraseña” faltarían los puntos de la contraseña introduciéndose y conectando con la red.

Figura 8: Contraseña entregada al iPhone

La prueba de concepto está genial. El trabajo es brillante y todos los detalles de la investigación se irán publicando por parte de sus investigadores, pero lo que nos queda claro es que es más que utilizable, por ejemplo, en un ejercicio de Red Team en múltiples escenarios. Pongamos que necesitamos ganar acceso a un sitio o conseguir información de un objetivo concreto, dentro del ejercicio de Red Team. 

Figura 9: El Red Team de la empresa de Eduardo Arriols en 0xWord

 

Saludos,

Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters: Gold Edition", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell (2ª Edición)”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González - Conseguir 100 Tempos Gratis en MyPublicInbox

Contactar con Pablo González

Sigue Un informático en el lado del mal RSS 0xWord

Después de ver cómo instalamos Suricata y haberlo dejado funcional, ahora es momento de tratar sus datos y visualizarlos de una manera más amigable, para ello nos apoyaremos de Grafana como visualizador, aunque con Kibana podrás realizarlo de igual manera (o más sencilla). Todo ello gracias a que almacenaremos los LOGs de Suricata en Elasticsearch. […]

La entrada Visualizando los registros de Suricata en Grafana o Kibana apareció primero en Blog Bujarra.com.

Kobalos era, en la mitología griega, una pequeña y malévola criatura que se dedicaba a engañar y asustar a los mortales. Por eso, la versión troyanizada del software OpenSSH que está siendo empleada para poner en jaque a supercomputadores con Linux, la mayoría, y otros objetivos destacables ha sido bautizada así.

La compañía de ciberseguridad ESET ha analizado este malware y lo describe como "pequeño, pero complejo". Es multiplataforma, funcionando en sistemas como Linux, BSD, Solaris y posiblemente AIX y Windows, y esencialmente se está dirigiendo a los clústers de computación de alto rendimiento.

Sistemas gubernamentales, universidades y proveedores de servicios sufren sus efectos

Sector y región de las organizaciones comprendidas. / ESET

Los investigadores de la empresa eslovaca han observado que los tipos de objetivo cambian dependiendo del lugar en el que este programa malicioso actúe.

En América del Norte, por ejemplo, sus objetivos han sido sistemas gubernamentales y proveedores de seguridad de punto final. Las redes de universidades y específicamente los clústers de computación de alto rendimiento han sido algunos de los blancos en Europa. En cuanto a Asia, han actuado contra un gran proveedor de servicios de internet.

En Genbeta

Emotet, "el malware más peligroso del mundo", ha sido desmantelado por una acción policial a nivel mundial

Kobalos está siendo utilizado fundamentalmente para robar credenciales SSH de superordenadores, como pudieron comprobar en ESET al aplicar ingeniería inversa y rastrear a las posibles víctimas. Otorga acceso remoto al sistema de archivos, brinda capacidad de generar sesiones de terminal y permite conexiones de proxy a otros servidores infectados.

Lo que no se sabe, por ahora, cuál es el propósito concreto de estos ataques ni quién o quiénes están detrás de los mismos.

Esta creación tiene un nivel de sofisticación que poco habitual en el malware de Linux y los investigadores responsables del hallazgo recomiendan habilitar la autenticación de dos pasos a la hora de conectarse a los servidors SSH.

-
La noticia Kobalos, el malware multiplataforma que ataca a superordenadores con Linux fue publicada originalmente en Genbeta por Toni Castillo .

Enlarge (credit: Getty Images)

Network security provider SonicWall said on Monday that hackers are exploiting a critical zero-day vulnerability in one of the devices it sells.

The security flaw resides in the Secure Mobile Access 100 series, SonicWall said in an advisory updated on Monday. The vulnerability, which affects SMA 100 firmware 10.x code, isn’t slated to receive a fix until the end of Tuesday.

Monday’s update came a day after security firm NCC Group said on Twitter that it had detected “indiscriminate use of an exploit in the wild.” The NCC tweet referred to an earlier version of the SonicWall advisory that said its researchers had “identified a coordinated attack on its internal systems by highly sophisticated threat actors exploiting probable zero-day vulnerabilities on certain SonicWall secure remote access products.”

Read 7 remaining paragraphs | Comments

Estamos acostumbrados a ver muchas variedades de malware que pueden comprometer la seguridad de los usuarios. En este artículo nos hacemos eco de uno nuevo. Se trata de Vovalex y tiene algunas peculiaridades. Puede distribuirse a través de software que se hace pasar por utilidades de Windows. Vamos a dar algunos consejos para no ser víctimas de este tipo de amenazas.

Vovalex, el nuevo ransomware que afecta a Windows

Como sabemos, el ransomware tiene como objetivo cifrar los archivos o sistemas de las víctimas. De esta forma puede pedir un rescate económico a cambio de liberarlos y así obtener un beneficio. Con el paso del tiempo se han ido perfeccionando y cada vez tienen métodos más novedosos para lograr llegar a la víctima.

Esta vez se trata de Vovalex. Según los investigadores de seguridad que lo han descubierto podría tratarse del primer ransomware escrito en D. Se distribuye a través de software que se hace pasar por utilidades de Windows, programas que pueden mejorar el funcionamiento. Un ejemplo es CCleaner.

Hay que tener en cuenta que el lenguaje D se nutre de otros, principalmente de C++, con algunos añadidos que le ofrecen una mayor practicidad. Vovalex, según los investigadores detrás de su descubrimiento, sería el primer ransomware escrito en este lenguaje. Fue descubierto por primera vez por MalwareHunterTeam.

Esta amenaza se ejecuta como si fuera un instalador legítimo. Por ejemplo del programa CCleaner, como mencionamos anteriormente. Posteriormente se copiará en el sistema y comenzará a cifrar archivos en la unidad y agregar a todos ellos la extensión .vovalex.

Una vez ha finalizado su proceso, y como es habitual en el malware de este tipo, agrega una nota de rescate en el Escritorio de Windows que denominará README.VOVALEX.txt. Un simple archivo de texto donde informa a la víctima de cómo recuperar el control de los archivos. Por el momento se desconoce si existe herramienta para descifrar los archivos de forma gratuita.

Vovalex se distribuye principalmente a través de software pirateado. Programas gratuitos que los usuarios encuentran en Internet, archivos para saltarse la clave, etc. Se hace pasar por utilidades que los usuarios pueden instalar en Windows.

Cómo evitar ser víctimas de Vovalex

Es importante tener en cuenta ciertos consejos para evitar ser víctimas de Vovalex, aunque los podríamos aplicar también para protegernos de cualquier otra amenaza similar que pueda ponernos en peligro y comprometer nuestros sistemas.

Lo primero es el sentido común. Hemos visto que Vovalex llega a nuestro equipo después de haber descargado algún programa pirateado para Windows. Por tanto, algo que debemos tener en cuenta es la importancia de evitar este tipo de software pirateado que podemos descargar desde sitios ilegítimos. Podrían contener software malicioso, como es el caso de este ransomware. Pero también hay que prestar atención a posibles archivos adjuntos que nos lleguen por e-mail.

Por otra parte, contar con un buen antivirus puede ayudarnos. Son muchas las amenazas que hay presentes en la red y este tipo de software de seguridad nos ayuda a prevenir problemas. No importa el sistema operativo que usemos, siempre debemos contar con herramientas de seguridad.

Además, otro consejo importante es tener los equipos actualizados. Muchas de estas amenazas se aprovechan de vulnerabilidades que pueda haber. Las podemos corregir con parches y actualizaciones que hay disponibles siempre. Podéis ver un completo tutorial con consejos contra el ransomware.

El artículo Vovalex, un novedoso ransomware que se hace pasar por utilidades de Windows se publicó en RedesZone.

La Unión Europea hizo público hace unas horas un documento PDF del contrato que había firmado con la farmacéutica AstraZeneca para la compra de millones de dosis de la vacuna contra el coronavirus.

Rápidamente cundió la indignación en las redes sociales: amplias porciones del documento (las más relevantes, claro está) estaban profusamente censuradas, de tal forma que en algunas páginas a duras penas podían leerse un par de palabras.

Si la publicación del documento pretendía ser un ejercicio de transparencia por parte de la administración comunitaria, lo cierto es que dejaba bastante que desear.

Pero -¡ah!- contábamos con un aliado inesperado: la torpeza informática de alguno de los responsables de su difusión (¿funcionario de la Comisión Europea? ¿empleado de AstraZeneca?).

En Xataka

Qué son y cómo borrar los metadatos de una foto en Windows 10

"Esto te lo apaño yo en un momento con el Acrobat..."

Resulta que si abríamos el PDF en cuestión con un lector que muestre los marcadores del documento (es decir, prácticamente cualquiera), gran parte del texto censurado pasaba a ser visible sin mayor problema. Como muestra, un botón:

Lo pixelamos porque no queremos recibir una visita de la Europol.

Una vez que esto se ha hecho público, la Unión Europea ha sustituido el documento online por otro, ahora ya sí, carente de marcadores. Sin embargo, dado que ha estado colgada varias horas, esto no está impidiendo que se difunda en redes la primera versión.

Dicho eso, lo cierto es que AstraZeneca y la UE han aplicado la brocha gorda a la hora de censurar el texto, ocultando incluso datos que ya previamente se habían difundido sin mayor problema.

Un ejemplo de eso sería el precio total del contrato, de 870 millones de euros según el texto accidentalmente desvelado... una cifra que equivale a la multiplicación de las 300 millones de dosis adquiridas por su precio individual de 2,9 euros (sí, ambos datos eran ya públicos).

-
La noticia El PDF del contrato censurado de las vacunas de la UE y AstraZeneca revela por error gran parte de la información fue publicada originalmente en Genbeta por Marcos Merino .

Aunque Apple haya tenido problemas para hacer funcionar AirPower, su alfombrilla de carga para múltiples dispositivos, en el horizonte hay una nueva tecnología que promete hacer que la carga inalámbrica sea verdaderamente inalámbrica. Xiaomi es la última compañía en prometer un mundo sin cables de carga, pero no…

Read more...

Hoy en día el acceso a dispositivos de forma remota es muy habitual. Son muchas las herramientas que tenemos a nuestra disposición para poder controlar un ordenador, por ejemplo, que se encuentra en cualquier ubicación física. Puede ser interesante para usar un equipo informático de la oficina desde nuestro hogar, por ejemplo. También para poder resolver problemas sin necesidad de estar físicamente. En este artículo mostramos algunos programas para acceder de forma remota a un ordenador desde cualquier sitio.

Programas para acceder a un ordenador de forma remota

Son muchos los dispositivos que utilizamos en nuestro día a día. Hablamos no solo de equipos informáticos para el trabajo, sino también a nivel particular. Podemos tener varios ordenadores, tablets, móviles… En ocasiones incluso nos interesa acceder de forma remota a un equipo para poder leer documentos o abrir archivos.

El trabajo en remoto está cada vez más presente. Son muchos los empleados que desempeñan sus funciones desde cualquier lugar, sin necesidad de estar físicamente en la empresa. Sin embargo sí es necesario a veces tener que acceder a equipos informáticos de forma remota. De ahí la importancia de contar con programas que nos permitan controlar un ordenador sin necesidad de estar allí.

AnyDesk

Una de las herramientas que podemos utilizar para acceder a un ordenador de forma remota es AnyDesk. Es un programa muy útil y además funciona muy rápido. Es básicamente lo que se pide a un software de este tipo y evitar así ralentizaciones.

Es un programa seguro, con cifrado TLS 1.2. Ofrece una baja latencia, lo que permite que no haya retrasos en la mayoría de pantallas y conexiones. Además, un punto muy interesante y que debemos tener en cuenta es que es multiplataforma. Lo podemos utilizar en sistemas operativos como Windows, Linux, macOS, iOS y Android.

Podemos obtener toda la información y también descargarlo en su página web oficial.

SupRemo

Otro programa muy interesante para acceder de forma remota a un equipo informático es SupRemo. Podemos controlar un ordenador sin necesidad de estar físicamente allí. En su web hacen hincapié en la sencillez de uso. Indican que no es necesario configurar nada a nivel de firewall o router, además de tener un acceso rápido.

Un punto interesante es que permite instalarlo en múltiples sistemas al mismo tiempo. De esta forma podremos controlar más de un equipo si fuera necesario. Ofrece una transferencia segura y fiable, chat, podemos personalizar la interfaz y además es multiplataforma para usarlo tanto en dispositivos móviles como en equipos de escritorio.

En su página web podemos encontrar toda la información.

TeamViewer

Estamos ante un clásico del acceso remoto. TeamViewer ofrece una interfaz sencilla, completa y totalmente funcionable para el uso habitual de este tipo de programas. Funciona también en múltiples plataformas, ya que podemos instalarlo en Windows, Linux, macOS, iOS o Android.

La conexión establecida por TeamViewer es segura. Utiliza la combinación habitual de nombre de usuario y contraseña, así como un código numérico único para establecer el vínculo entre cliente y servidor. Una vez que confirmamos el acceso, podemos hacer cualquier cosa como si estuviera frente a ese equipo de forma física. El programa es gratuito para uso personal, aunque cuenta también con una versión de pago más completa.

En su web encontramos toda la información.

Chrome Remote Desktop

Con Chrome Remote Desktop también nos encontramos ante una herramienta muy utilizada. Es muy útil para poder entrar en un ordenador de forma remota, ya sea para uso personal o laboral. En este caso se trata de una extensión disponible para el popular navegador Google Chrome.

Su uso es muy sencillo, ya que básicamente consiste en instalar el complemento desde la tienda oficial de Chrome en los dos equipos (el que actúe como cliente y el servidor). Es necesario tener una cuenta de Google. Lo podemos instalar en cualquier equipo fácilmente.

Podemos ver todos los datos en su web.

Splashtop

Un programa más que nos permite controlar de forma remota un ordenador es Splashtop. Lo podemos instalar tanto en equipos de escritorio como en móviles, por lo que podemos utilizarlo en cualquier lugar.

Splashtop dispone tanto de versión gratuita como de pago. La primera está más orientada para usuarios particulares y cuenta con ciertas limitaciones que podemos evitar con la versión de pago, más orientada en el uso comercial. En su web encontramos toda la información.

RealVNC

RealVNC también es otra herramienta interesante que podemos tener en cuenta para acceder de forma remota a cualquier ordenador. Está disponible en diferentes versiones, también gratuita. Lo podemos instalar en Windows, Linux y macOS, así como en dispositivos móviles. Cuenta con cifrado AES de 256 bits, autenticación de doble factor y muy flexible.

Es, en definitiva, un servicio más para poder dar asistencia a un equipo remoto, por ejemplo. Es algo muy útil en muchas ocasiones. En su página web tenemos toda la información.

El artículo Conoce estos programas para controlar tu ordenador de forma remota en cualquier sitio se publicó en RedesZone.

A la hora de navegar por Internet son muchos los datos que podemos exponer. Nuestra información tiene un gran valor en la red y también hay muchos métodos que pueden utilizar terceros para recopilarla. Podrían incluirnos en campañas de Spam, por ejemplo. Dentro de toda la información que puede filtrarse al navegar, una de ellas es la dirección IP. En este artículo vamos a mostrar cómo podríamos saber cuál es la ubicación física real a través de la IP.

Qué es la dirección IP

En primer lugar vamos a recordar qué es exactamente la dirección IP. Podemos decir que es un conjunto de números que sirven para identificar en la red un dispositivo, ya sea un ordenador, móvil o cualquier otro con conexión. Puede ser tanto privada como pública. La primera sirve para identificarnos en el router, para que puedan conectarse equipos a él. La segunda es el identificador con el que salimos a la red.

Cuando entramos en una página web, ese sitio va a saber cuál es nuestra IP pública. De esta forma podría ofrecernos un servicio más personalizado. Por ejemplo si entramos en una página para consultar el tiempo, nos aparecerá de nuestra zona. También para entrar en determinadas plataformas que pudieran estar disponibles solo para un país en concreto.

Por tanto, con la dirección IP podrían saber, al menos de forma aproximada, dónde nos encontramos. Eso sí, existen herramientas que permiten ocultar esa dirección. Un ejemplo es si navegamos a través de un proxy o si utilizamos una VPN. De esta forma la dirección real se oculta y navegamos con otra diferente. Incluso podríamos mostrarnos como si estuviéramos en otro país.

Cómo saber la ubicación física de una dirección IP

Existen métodos para saber cuál es la ubicación física de una dirección IP pública. Podemos ver a qué país pertenece, a qué ciudad e incluso las coordenadas aproximadas. Lo primero que tenemos que hacer es conocer la IP que nos interesa. Podemos probar con la nuestra propia. Para ello simplemente hay que usar algún tipo de servicios donde indican cuál es mi IP.

Una vez tengamos la dirección IP pública que nos interesa es donde entra en juego la herramienta MaxMind. Allí podemos poner hasta 25 direcciones IP que queramos saber a qué lugar pertenecen. Su uso es muy sencillo, ya que simplemente tenemos que ponerlas en el cuadro que aparece arriba y posteriormente darle a Submit.

Posteriormente nos mostrará, en el cuadro de abajo, la ubicación física real que corresponde a cada dirección IP que hemos puesto. También nos indicará las coordenadas aproximadas, el operador, etc. En nuestro caso hemos probado con la VPN integrada en el navegador Opera.

Podemos probar tantas como queramos. Es una herramienta online totalmente gratuita. Como vemos es muy sencillo de averiguar la ubicación real de una dirección IP pública que queramos. Nos muestra incluso las coordenadas aproximadas. La exactitud puede variar. Veremos también un margen en kilómetros.

Cómo ocultar la dirección IP real

Hemos explicado qué es la dirección IP y cómo podrían saber dónde nos encontramos físicamente a través de esta información. Ahora vamos a explicar algunas opciones sencillas para poder navegar por Internet sin mostrar cuál es la dirección real.

Servicios VPN

Una de las herramientas más utilizadas para ocultar la dirección IP real son las VPN. Están disponibles tanto para equipos de escritorio como también dispositivos móviles. Las hay gratuitas y de pago, aunque recomendamos estas últimas para lograr un mejor servicio y que además mantenga nuestra privacidad.

Este tipo de programas lo que permite es ocultar la dirección IP real y además conectarnos a un servidor que se encuentre en cualquier lugar del mundo. Así, de forma virtual, es como si estuviéramos en otro lugar y poder acceder incluso a servicios que estén restringidos geográficamente.

Proxy

Otra opción similar son los servidores proxy. Los hay también gratuitos y de pago y la misión básicamente es la misma. Permite ocultar nuestra IP real y navegar a través de un intermediario. Es un tipo de herramientas muy utilizadas para navegar de forma anónima y modificar la ubicación.

Tor

Una última opción es usar el navegador Tor. En este caso es un servicio totalmente gratuito. Nuestra conexión pasa por múltiples nodos y oculta la dirección IP real. Es una forma más para navegar de forma anónima y evitar que pudiera saber nuestra ubicación física.

En definitiva, simplemente con tener la dirección IP pública podrían saber, al menos de forma aproximada, dónde nos encontramos. Hemos visto algunos métodos para ocultar esa IP real y no dar esa información al navegar por Internet.

El artículo Cómo saber la ubicación física de una dirección IP se publicó en RedesZone.

Junto a los Samsung Galaxy S21 la empresa coreana anunció las Galaxy SmartTags, unos pequeños dispositivos de localización similares a los Tile y a los tan rumoreados AirTags de Apple. Su objetivo es facilitar la localización de objetos perdidos de forma rápida y sencilla mediante tecnología Bluetooth. Han pasado algunas semanas desde su anuncio, pero finalmente Samsung ha revelado su precio y disponibilidad oficiales.

Las Samsung Galaxy SmartTag se pueden comprar desde ya en la web de Samsung por 39,91 euros. Cabe destacar que estamos hablando de la versión básica, ya que también existe una versión más potente, SmartTag+, que funciona con realidad aumentada y con tecnología UWB. Esta llegará, según Samsung, "a partir del segundo trimestre" de este año.

En Xataka

Parece una tarjeta más pero en realidad es un localizador TILE para tu cartera: lo hemos probado

Ficha técnica de las Samsung Galaxy SmartTag

Samsung Galaxy SmartTag

PVP en Samsung 39,91€

Buscando objetos a 120 metros de distancia

La idea de Las SmartTags es sencilla: simplemente hay que colocarla en cualquier objeto, como unas llaves, un collar de mascota o una mochila. Si el objetivo se pierde o no lo encontramos, simplemente hay que activar el localizador para que comience a pitar y nos ayude a encontrarlo.

El dispositivo funciona con Bluetooth y permite localizar objetos a unos 120 metros de distancia, aunque dependerá de los obstáculos que haya por el camino. En el caso de que esté fuera del alcance, la red Galaxy Find Network (solo disponible en móviles Samsung) puede usar datos escaneados previamente para encontrarlo.

Tal y como explica Samsung, cuando la Galaxy SmartTag se desconecta durante 30 minutos, envía una señal BLE (Bluetooth Low Energy) para que pueda ser detectada por otros dispositivos Galaxy cercanos. Cuando los dispositivos reconocen la señal de la SmartTag, mandan la información de la ubicación a SmartThings Find para que el usuario pueda acceder a la misma. De acuerdo a Samsung:

"Todos los datos de usuario de SmartThings Find están encriptados y protegidos. Eso significa que tanto la ubicación como información personal de los usuarios están seguras, independientemente de cuándo se haya perdido el objeto o de qué dispositivo se utilice para la búsqueda".

Además, las Galaxy SmartTags tienen un botón que permite realizar acciones en el hogar, siempre y cuando tengamos la domótica registrada dentro de la app SmartThings. Por otro lado, pulsando la SmartTag dos veces podremos hacer sonar el móvil, siempre y cuando esté en el rango de acción, por si lo hemos perdido.

En Xataka

Siete gadgets para conseguir el sueño de encontrar los objetos importantes a la primera (o no perderlos)

Finalmente, cabe destacar que el dispositivo no es recargable, sino que usa una pila CR2032. Esta promete una autonomía de alrededor de 300 días, pero pasado ese tiempo habrá que cambiarle la pila.

Precio y disponibilidad de las Samsung Galaxy SmartTags

Las Samsung Galaxy SmartTags se pueden comprar desde ya en la web de Samsung por 39,91 euros y solo están disponibles en color negro. Las Galaxy SmartTags+, que cuentan con UWB, llegarán a lo largo del segundo trimestre del año a un precio no determinado.

Samsung Galaxy SmartTag

PVP en Samsung 39,91€

Más información | Samsung

-
La noticia La Samsung Galaxy SmartTag llega a España: precio y disponibilidad oficiales del dispositivo localizador de Samsung fue publicada originalmente en Xataka por Jose García .

De forma inteligente y en el mejor momento, ahora Telegram permite pasar todos los chats de WhatsApp a la app sin apenas despeinarnos. Inteligente porque tanto Telegram como Signal se están aprovechando de la incertidumbre creada por la misma WhatsApp en este mes; la primera por esta nueva capacidad y la segunda por incluso traer características de la app del icono verde.

De hecho Telegram ha tomado su blog para anunciar esta gran novedad para que si quieres ya pasarte a Telegram, incluso con todas las conversaciones, lo vas a hacer de la forma más sencilla y elegante posible. Y no solamente desde WhatsApp, sino que lo puedes hacer desde Line o incluso Kakao Talk.

Cómo exportar las conversaciones de WhatsApp a Telegram (y otras)

Esta nueva capacidad de Telegram funciona tanto para chats privados como grupos y sí que vamos a tener que elegir el chat de destino, que sería el mismo contacto que tenemos en WhatsApp. Vamos a ello:

• Abre WhatsApp y ve a una conversación o chat
• Desde el botón de tres puntos verticales encontrarás la opción «más»
• Ahora hemos de pulsar sobre «Exportar»
• Nos permite seleccionar entre no incluir archivos (que serían imágenes, notas de voz y más) o incluirlos
• Del menú de compartir de Android hemos de elegir a Telegram

• Tendremos ante nosotros la lista completa de chats
• Seleccionamos un chat y se exportará todo el contenido

Mencionar que los chats serán importados en su día actual, y con la información misma su fecha original para que no existan confusiones.

Ahora tenemos ese chat exportado desde WhatsApp a Telegram, y así deberemos de hacer con todos los que nos interesen. Una gran forma de empezar de la mejor forma en Telegram y así tener una experiencia similar; como la que os explicamos hace semanas en otra publicación.

Los chats en Telegram

Mostrado cómo se pasan los chats de WhatsApp a Telegram, os recordamos que a diferencia de WhatsApp, Telegram no almacena los datos de los mensajes en el dispositivo, por lo que no consume almacenamiento y así no hemos de estar limpiando cada poco tiempo el mismo; que se lo digan a los más mayores que se quejan de que no les entran más mensajes por la limitación del espacio de su móvil.

Y de hecho en esta nueva actualización Telegram ofrece más control sobre los chats secretos, grupos creados por el usuario y el historial de llamadas al poder ser eliminados. Como no la app propiedad de Durov hace hincapié en el uso de los datos y la privacidad, un tema más que importante a día de hoy cuando Signal también está ganando muchos usuarios en poco tiempo; de hecho puedes conocer las diferencias más importantes de las dos por lo que respecta a la privacidad.

Otras novedades de Telegram

Se ha actualizado con un mayor control en los chats de voz para poder aumentar y subir el volumen de cada uno, e incluso los administradores tendrán la capacidad de controlarlo para que se asignen por defecto.

Mencionar también las mejoras en el reproductor para poder personalizar la experiencia y así al tocar una pista podemos pasar a ese mini reproductor con el que pasar hacia delante o hacia atrás. Algún que otro detalle se ha añadido como el sticker de saludo cuando iniciamos una conversación por primera vez, o una serie de nuevas animaciones para optimizar la experiencia de usuario desde Android; cuando se descarguen archivos, reproduces música o cargues los chats.

Finalmente mejoras en la accesibilidad relacionadas con TalkBack y VoiceOver, a la vez que la capacidad de reportar canales y grupos falsos. Una interesante actualización que permite pasar todos los chats de WhatsApp a Telegram, al igual que otras apps como Kakao Talk.

En el año 2016 presentamos el trabajo de SAPPO, una herramienta que permitía hacer pruebas de concienciación a los empleados de una organización que utilizaba Office 365 o que utiliza cuentas de Outlook más orientadas al uso personal. Fue en Rooted CON 2016 cuando, junto a Chema Alonso, presentamos el trabajo. Era un SAPPO que solo utilizaba Office 365. Después lo adaptamos también a ejemplos de ataques con Sappo a Twitter o Dropbox,  o la presentación en sociedad de Ransomcloud O365. Todo gracias a los tokens OAuth.

Figura 1: O365 Toolkit: El kit de phishing OAuth para pentesters al estilo Sappo

A día de hoy seguimos enseñando a SAPPO en charlas para mostrar cómo el phishing evoluciona y no quieren tus credenciales, si no que les vale con un Token OAuth que les da acceso a tu correo, a tu OneDrive o a poder usar emails en tu nombre. Cuando se enseña el phishing, no siempre se habla de esto y debemos enseñar a la sociedad que los ataques evolucionan, como por ejemplo en el caso del Ataque QRCode Jacking con Sappo que os contamos..Así cómo también mostrar los riesgos de la IA utilizándola en el campo de las estafas para suplantar una voz o una imagen de alguien. Enseñar a una IA a hablar como una persona que reconocemos es algo, realmente, peligroso y que hace que algunas estafas hayan evolucionado.

Hoy vamos a hablar de una herramienta llamada O365 Toolkit que hace lo mismo que hace nuestro querido SAPPO. Realmente, es un mundo interesante que se puede explorar. Tener un kit de herramientas específico para Office 365 u otros entornos que se apoyan en los Tokens OAuth es un entorno a estudiar, ya que no hay mucha herramienta que ayude a la auditoría o, en este caso, a un equipo de Red Team dentro de su ejercicio.

Figura 4: ¿Qué es o365-attack-toolkit?

Es un kit de herramientas que permitirá al auditor/pentester llevar a cabo un ataque de phishing con Tokens OAuth. El objetivo será conseguir acceso a la cuenta a través de estos tokens. Hasta aquí nada nuevo. Esta técnica, la de la obtención y uso de los Tokens OAuth, fue utilizada por grupos como Fancy Bear (APT28) durante campañas en el pasado al dirigirse a Google. Las principales características de o365 toolkit son:

- Extracción de e-mails por palabras claves: Es decir, podemos buscar dentro de los mensajes de e-mail ciertas palabras clave.  

- Generar reglas ‘maliciosas’ en Outlook. 

- Extraer archivos, es decir, descargarlos desde OneDrive o SharePoint. 

- Inyectar macros en documentos de Word almacenados. Esta es una función para conseguir llegar a otras máquinas de la organización dentro del ejercicio de Red Team.

La verdad que analizando la herramienta, tiene bastantes cosas que son útiles y que permiten desde comprometer una cuenta de Office 365 hasta moverse lateralmente a otros equipos de la organización. La arquitectura de o365 toolkit está formada por la Interfaz de gestión, el Backend y el Phishing Endpoint, y puede verse en el Github de la herramienta.

Figura 5: Arquitectura de o365-attack-toolkit

Con el phishing endpoint podemos servir el HTML que realiza el engaño al usuario para obtener el token OAuth. Por ejemplo, se envía un e-mail con el contenido del HTMl. En el caso de SAPPO, ejemplificábamos en la charla de RootedCON 2016, con un e-mail que te ofrecía un ‘AntiSpam PRO’. En las pruebas de concienciación de empleados que se hacen en las organizaciones, suele ser un gancho estilo concurso o algún tipo de producto que se activaría en su cuenta.

[server]

host = 127.0.0.1

externalport = 30662

internalport = 8080

[oauth]

clientid = [REDACTED]

clientsecret = [REDACTED]

scope = "offline_access contacts.read user.read mail.read mail.send files.readWrite.all files.read files.read.all openid profile"

redirecturi = "http://localhost:30662/gettoken"

La configuración que viene por defecto en el Github de la herramienta es bastante instructiva. Los scope indican los permisos que serán solicitados y en la parte “REDACTED” se indican los parámetros de la app OAuth. Cuando se obtiene un token, se puede ver una vista similar a esta en la parte web de o365 toolkit.

Figura 7: Interfaz de gestión de o365-attack-toolkit

Se puede ver que se puede utilizar las búsquedas dentro de los e-mails, enviar mensajes de correo electrónico, buscar en los archivos subidos de dicha cuenta y visualizar los ficheros, pudiendo manipularlos o reemplazarlos. En esta imagen se puede ver el acceso a los ficheros, pudiendo descargarlo o reemplazarlo directamente. Además, en el paso anterior, podíamos ver cómo podemos realizar la búsqueda sobre ficheros.

Figura 8: Búsquedas sobre ficheros

Sin duda es una herramienta interesante, escrita en go, y que puede ayudaros en un ejercicio de Red Team o un Ethical Hacking a conseguir los objetivos del ejercicio. Otra herramienta más que sumar a la mochila del pentester.

Saludos,

Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters: Gold Edition", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell (2ª Edición)”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González - Conseguir 100 Tempos Gratis en MyPublicInbox

Contactar con Pablo González

Sigue Un informático en el lado del mal RSS 0xWord

Emotet ha sido una de las amenazas de seguridad más importantes en los últimos años. Este troyano ha estado presente en muchos ataques en todo el mundo. La Europol ha desarticulado una de las redes de botnets más grandes. Surgió en 2014 y desde entonces ha ido mejorando con el paso del tiempo. Ahora ya tiene fecha definitiva para su desaparición: el 25 de marzo.

Emotet se desinstalará el 25 de marzo

La policía ha comenzado a distribuir un módulo de Emotet a los dispositivos infectados que desinstalarán el malware en esa fecha, el 25 de marzo. Desde Europol han indicado la interrupción de la botnet, que ha sido utilizada en numerosas ocasiones para distribuir archivos adjuntos maliciosos por correo que podían instalar malware como TrickBot y Qbot.

Milkream, un investigador de seguridad, descubrió recientemente un nuevo módulo que había comenzado a instalar Emotet en los equipos infectados. Este módulo tiene como misión desinstalar el malware Emotet de todos los dispositivos infectados el próximo 25 de marzo, concretamente a las 12:00 hora de Centroeuropa, ya que los servidores de control y comando están situados en Alemania.

Se desconoce por el momento por qué han elegido justo esa fecha y por qué esperar dos meses para ello. No obstante, con el control de la botnet por parte de las autoridades y distribuyendo el módulo que la desinstalará definitivamente, parece que será una interrupción definitiva, que podría dificultar mucho el regreso de Emotet.

Emotet, la puerta de entrada de muchos malware

Durante estos años Emotet ha sido la puerta de entrada de muchas variedades de malware. Muchos software maliciosos que llegaban a los usuarios lo hacían a través de esta botnet. Se calcula que en los últimos años representaba casi la mitad de los enlaces que se utilizaban para la descarga de virus a nivel mundial.

Emotet ha sido una opción muy accesible para muchos grupos de ciberdelincuentes. Permitían alquilarlo a otros para que pudieran entregar troyanos bancarios, ransomware y otros tipos de malware que pusiera en peligro la ciberseguridad de las víctimas.

Básicamente podemos decir que ha funcionado como una especie de almacenamiento para los virus informáticos. Contaba con cientos de servidores en todo el mundo, de ahí la importante infraestructura que ha tenido. Ha servido a una gran cantidad de grupos de piratas informáticos en todo el mundo.

Ahora la red será un poco más segura. El próximo 25 de marzo se desinstalará de los equipos de las víctimas. ¿Será un final definitivo? En cualquier caso, siempre debemos tener en cuenta la importancia de proteger correctamente nuestros equipos, para defendernos de cualquier otra amenaza similar. Es esencial contar con herramientas de seguridad que nos proteja, pero también tener los sistemas actualizados en todo momento. Además, el sentido común siempre va a ser fundamental para evitar cometer errores que puedan ayudar a la entrada de este tipo de amenazas de seguridad.

Os dejamos un artículo donde explicamos cómo saber si Emotet está instalado en un equipo. Es importante saber si podemos estar infectados por esta amenaza y así poder tomar medidas.

El artículo Ya hay fecha para el fin definitivo de Emotet, la amenaza más peligrosa se publicó en RedesZone.