• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (100)
  • Facebook (54)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (18)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (70)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (122)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (54)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (13)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Roban 45 millones de dólares aprovechando vulnerabilidades en tarjetas de débito

Los ladrones de bancos modernos han dejado atrás las pistolas, máscaras y otros métodos más tradicionales y directos y los han cambiado por técnicas más ingeniosas y con menos riesgo aparente. Como muestra del uso de la tecnología a la hora de cometer este tipo de delitos, tenemos la reciente detención en Estados Unidos de varios sospechosos de lo que podría tratarse del mayor ciberatraco conocido hasta la fecha.

El robo, que se produjo en varios cajeros automáticos repartidos en 27 países, demostró la existencia de varias vulnerabilidades en el actual sistema de seguridad financiera. En una operación que duró apenas diez horas todos los miembros de la banda repartidos por varios países lograron retirar de varios cajeros alrededor de 40 millones de dólares, cantidad que se sumó a otros cinco millones obtenidos en una operación similar realizada en diciembre.

Todo esto fue posible gracias a una intrusión que los ciberdelincuentes realizaron en diciembre y febrero en dos empresas en la India y Estados Unidos, encargadas de procesar tarjetas de crédito y débito. Tras acceder a los ordenadores de estas empresas, los cabecillas de esta banda consiguieron modificar tanto la cantidad disponible como el límite de extracción de dinero de varias tarjetas de débito Mastercard asociadas con dos bancos de Emiratos Árabes Unidos.

Una vez obtenidas las tarjetas modificadas, estas fueron repartidas a todos los miembros de la banda repartidos por varios países para, seguidamente y con una metodología bien estudiada, conseguir retirar de multitud de cajeros automáticos la nada despreciable cantidad de 40 millones de dólares en apenas 10 horas. En total, se produjeron más de 40.000 peticiones de retirada de efectivo en 27 países en las dos operaciones realizadas por esta banda.

Este robo ha demostrado los agujeros de seguridad presentes en los sistemas de seguridad financiera, más aun si tenemos en cuenta que muchos países siguen utilizando tarjetas de crédito y débito que tan solo incorporan una banda magnética y no cuentan con un chip (más seguro pero no infranqueable).

Las operaciones delictivas como esta y otras similares, a pesar de parecer algo más propio de las películas que de un caso real, son algo a lo que, por desgracia, deberemos habituarnos, a no ser que se tomen las medidas necesarias tanto por las entidades bancarias como por parte de los usuarios de banca online.

Josep Albors

Nueva vulnerabilidad grave en Internet Explorer 8

En un caso similar al que ya vimos a finales del año pasado y principios de este, Microsoft ha confirmado la existencia de un nuevo agujero de seguridad en su navegador Internet Explorer 8. Esta vulnerabilidad ha estado utilizándose en los últimos días para propagar malware desde webs legítimas, pertenecientes a grandes empresas con intereses en la industria aeroespacial, defensa y seguridad, pasando por organizaciones no gubernamentales e incluso llegando a organismos oficiales del Gobierno de los Estados Unidos.

Las sospechas de la existencia de esta vulnerabilidad aparecieron cuando se descubrió, el pasado 1 de mayo, que la web del Departamento de Trabajo de los Estados Unidos estaba distribuyendo malware a todos los visitantes de uno de sus subdominios. Si hacemos un poco de memoria recordaremos que ocurrió un caso muy similar a principios de año y que afectó a la web del Council of Foreign Relations.

En un principio se llegó a pensar que se trataba de la misma vulnerabilidad vista en meses anteriores, pero, tras varios análisis, se descubrió que se trataba de un nuevo agujero de seguridad en Internet Explorer 8 instalado en Windows XP, Vista, 7 y 8. Las muestras analizadas en este ataque se encontrarían distribuyendo la herramienta maliciosa Poison Ivy, malware usado por ciberdelincuentes para, entre otras funcionalidades, robar información confidencial de redes corporativas y gubernamentales.

El problema ahora no es tanto el ataque inicial en el que se vieron comprometidas algunas webs importantes, sino la publicación de la vulnerabilidad usada y su consecuente exploit. Una vez desvelada la técnica usada para realizar este ataque, se ha tardado poco tiempo en incorporar esta nuevo agujero de seguridad a herramientas como Metasploit, de forma que queda automáticamente a disposición del público en general.

De momento, Microsoft no se ha pronunciado acerca de si lanzará un parche de seguridad que solucione esta vulnerabilidad, ya sea el próximo martes (dentro de su ciclo de actualizaciones mensuales) o como actualización fuera de ciclo. Mientras tanto, los usuarios que aún se encuentren utilizando Internet Explorer 8 pueden optar por actualizar a una versión más reciente (IE9 e IE10 no se ven afectados) o descargar la herramienta Enhaced Mitigation Experience Toolkit de Microsoft para minimizar los daños.

Son ya dos los casos similares en lo que llevamos de año que tienen como protagonistas a webs legítimas de cierta importancia y al navegador Internet Explorer. Esto nos debería bastar para concienciarnos de la importancia de mantener nuestro sistema y aplicaciones actualizadas y dejar de confiar ciegamente en páginas con una elevada reputación, puesto que podemos encontrar malware en cualquiera de ellas.

Josep Albors

Vulnerabilidad en Instagram permite acceder a cualquier cuenta

Se ha descubierto una vulnerabilidad Oauth sobre Instagram que permitiría a un atacante acceder a cualquier cuenta sin permiso de su propietario. Esta vulnerabilidad fue reportada por Nir Goldshlager, quien ya ha descubierto e informado de otras vulnerabilidades en Facebook. Nuestros compañeros de ESET Latinoamérica han comentado esta noticia en un interesante artículo que nos gustaría compartir.

Instagram es una red social que permite a los usuarios compartir fotografías a través de diferentes plataformas, como por ejemplo, Facebook. Usando la vulnerabilidad descubierta recientemente, un atacante que logre explotarla tendría acceso a fotos privadas e incluso podría borrar dicha información. Además, el ciberdelincuente podría subir nuevas imágenes y también editar o borrar comentarios existentes.

La vulnerabilidad puede ser aprovechada de dos formas diferentes. La primera opción es el robo de la cuenta a través de la propia vulnerabilidad Oauth de Instagram, mientras que la segunda opción utiliza el robo de sesión a través de Facebook.

En el primer método, el atacante utiliza el parámetro redirection_uri que valida el sitio web indicado, donde, en primera instancia, parecía que no era vulnerable. Sin embargo, el investigador descubrió que este parámetro podía ser explotado si se modificaba el sufijo del sitio especificado. En otras palabras, si el sitio finalizaba en “.com” podía pasarse como parámetro “.com.es”. Si el ciberdelincuente deseaba llevar a cabo el ataque, debía comprar previamente el dominio con el sufijo modificado. De esta forma, podría robar el token de la propia cuenta.

Mediante el segundo método, el investigador demostró que es posible utilizar cualquier dominio en el parámetro redirection_uri. De esta manera, un atacante podría robar el token de sesión de cualquier usuario de Instagram. Esta vulnerabilidad ya ha sido solucionada por el equipo de seguridad de Facebook tras ser informados de ella.

No es la primera vez que informamos de vulnerabilidades relacionadas con Facebook. Es algo ya conocido la existencia de aplicaciones maliciosas en Facebook, siendo este caso en particular una vulnerabilidad que ya se encuentra solucionada. Sin embargo, más allá de las vulnerabilidades que afecten a las redes sociales, es importante que los usuarios consideren adoptar buenas prácticas de seguridad, prácticas que pueden ser complementadas con herramientas gratuitas como ESET Social Media Scanner para detectar enlaces potencialmente maliciosos en Facebook.

Josep Albors

Los cuatro primeros meses del año han estado protagonizados por numerosos agujeros de seguridad

Si tuviéramos que hacer balance de lo que han sido los cuatro primeros meses del año en cuanto a incidentes de seguridad se refiere, sin duda tenemos que afirmar que los agujeros de seguridad en conocidas aplicaciones y sistemas operativos han marcado la tónica. Java se ha llevado la palma, aunque también Microsoft ha tenido que lanzar bastantes parches para soluciones graves problemas de su navegador y de su sistema operativo. Y Oracle no se ha quedado atrás…

Vulnerabilidades que han sido aprovechadas por colectivos asiáticos para lanzar diferentes ataques contra objetivos occidentales. Los primeros que dieron la voz de alarma fueron algunos de los periódicos más importantes a nivel mundial como New York Times, Washington Post o Wall Street Journal. Pero no fueron los únicos, también les siguió tanto Facebook como Twitter, que también denunciaron en febrero de intrusiones en su red. No ha quedado clara la autoría, aunque se apuntaba a coletivos chinos.

Y hablando de vulnerabilidades y redes sociales, Facebook y Twitter también han protagonizado serios incidentes con errores de programación que suponían riesgos contra la privacidad de los usuarios, que sumados a otros problemas derivados de scams y amenazas que utilizan las conocidas plataformas para distribuirse, han supuesto más de un quebradero de cabeza. El supuesto vídeo de Justin Bieber con su novia o el falso sorteo de varios Samsung Galaxy SIII son solo dos ejemplos de cómo la ingeniería social sigue siendo una de las técnicas más lucrativas de los ciberdelincuentes que buscan un alto número de víctimas muy rápidamente.

Y hablar de Twitter supone, irremediablemente, hablar de la cantidad de cuentas de marcas muy conocidas que han sido hackeadas, como ha sido el caso de la de Burger King y Jeep. Pero sin duda, la que ha conseguido desplomar al índice bursátil norteamericano Dow Jones ha sido el secuestro de la cuenta de la agencia de noticias Associated Press, que mostró durante unos minutos un tweet que aseguraba que había habido varias explosiones en la Casa Blanca y que Barack Obama había resultado herido. Tweet que fue desmentido solo unos minutos después pero que fue suficiente para convulsionar un país que venía de sufrir los recientes atentados de Boston.

Y aún a pesar del excelente trabajo realizado por los cuerpos policiales deteniendo a algunos miembros que estaban detrás de la trama del “Virus de la Policía“ (aquel que secuestra el ordenador por haber visto pornografía y solicita un rescate para poder acceder a los archivos), durante estos meses hemos visto cómo proliferaban muchas nuevas variantes que utilizando otros argumentos, como la pedofilia, buscaban el mismo fin: el dinero del usuario que, asustado, preferiría pagar a enfrentarse a una supuesta denuncia por sus actividades online.

Igualmente, estos meses hemos visto multitud de robos de datos personales. Quizá los más sonados han sido los cometidos en Estados Unidos: personas tan conocidas como Michelle Oba­ma, Beyoncé, Hillary Clinton, Tom Cruise o Bill Gates, entre otros, vieron cómo varios de sus datos privados eran accesibles a cualquie­ra que visitara la web preparada a tal efecto. Entre esta información encontramos varios lugares de residencia, números de teléfono e incluso movimientos de sus cuentas bancarias.

Por supuesto, el colectivo hacktivista Anonymous ha seguido haciendo de las suyas durante este tiempo, atacando tanto a objetivos nacionales como internacionales. Todo ello en un contexto en el que el sistema de monedas virtuales Bitcoin volvía a ser vulnerado y en el que se aprovechaban los atentados de Boston para distribuir una red de botnets.

Un cuatrimestre intenso que no hace más que evidenciar que los incidentes en materia de seguridad, lejos de solucionarse, siguen creciendo y evolucionando, y más en tiempos de crisis.

Yolanda Ruiz Hervás

Java y otros productos de Oracle solucionan decenas de vulnerabilidades

No corren buenos tiempos para la seguridad de los muchos productos que forman parte del catálogo de la empresa Oracle, especialmente para Java. El malware que se aprovecha de vulnerabilidades en este software sigue creciendo y suponiendo una grave amenaza para millones de usuarios que tienen instalado Java; en muchas ocasiones se trata de versiones muy antiguas, lo que agrava la situación.

Las últimas actualizaciones de Java han solucionado hasta 42 vulnerabilidades además de, como indican nuestros compañeros de Hispasec, mejorar un poco sus opciones de seguridad, aunque aún resulten insuficientes. Muchas de estas vulnerabilidades han sido aprovechadas recientemente por varias familias de malware, entre las que destacamos el conocido como “Virus de la Policía”.

Además de estas vulnerabilidades en Java, Oracle también ha publicado otros parches de seguridad para varios de sus productos que solucionan la nada despreciable cifra de 128 vulnerabilidades en productos como MySQL o Solaris. Esta cantidad de vulnerabilidades puede parecer elevada, pero conociendo los varios productos que están bajo el control de Oracle, no es de extrañar.

Independientemente del número de parches publicados, la verdad es que Oracle se está poniendo las pilas en los últimos meses, algo provocado, muy probablemente, por las críticas dirigidas a Java y a su preocupante falta de seguridad. Aún queda mucho camino que recorrer y los usuarios también tienen que poner mucho de su parte para conseguir que las actualizaciones del sistema y de las aplicaciones instaladas se conviertan en una práctica habitual.

Josep Albors

Controlando un avión desde un dispositivo móvil: ¿realidad o ficción?

En este blog nos gusta estar de todo lo que se comenta en las múltiples conferencias de seguridad informática que se realizan durante todo el año en todo el mundo. En ocasiones tenemos la suerte de poder acudir en persona a alguna de ellas como la Rooted Con en España o BlackHat y Defcon en Estados Unidos. Nos gustan esas conferencias porque se habla de lo que realmente nos interesa en el laboratorio, desvelando las nuevas vulnerabilidades y fallos de seguridad descubiertos por los investigadores que dan sus ponencias ante un público principalmente técnico.

Una de esas conferencias, la conocida como “Hack in the box” tuvo lugar la semana pasada en Amsterdam y hubo una charla que destacó entre el resto, sobre todo por el revuelo mediático que ha ocasionado. Nos estamos refiriendo a la charla que dio el investigador Hugo Teso y que consistió en tomar el control de los sistemas de navegación y de cabina de un avión, usando para demostrarlo un laboratorio que simulaba un entorno real.

Hugo, quien además de investigador de seguridad es piloto comercial, ha programado un conjunto de herramientas de explotación llamada Simon y una aplicación complementaria para dispositivos Android. Según este investigador, se pueden usar estos programas para modificar casi cualquier cosa relacionada con la navegación de la aeronave, algo que a más de uno le causará sudores fríos.

Para realizar sus investigaciones, Hugo adquirió una serie de componentes, tanto software como hardware, para replicar los sistemas de un avión comercial. Estos componentes están al alcance de cualquiera que quiera comprarlos en portales como Ebay y no son especialmente difíciles de encontrar. Una vez preparado el laboratorio sobre el que realizar las pruebas, Hugo utilizó las vulnerabilidades presentes en los sistemas de comunicación ACARS y ADS-B (del cual ya hablamos largo y tendido tras asistir a la charla de Renderman en la pasada Defcon) para tomar el control del avión virtual.

En respuesta a esta investigación, la Administración Federal de Aviación (FAA por sus siglas en inglés) asegura que no es posible tomar el control del sistema de navegación de un avión real usando esta técnica. No obstante, tras estas declaraciones Teso anunció que tanto la FAA como la Administración Europea de Seguridad Aerea ya estaban trabajando para resolver estas vulnerabilidades.

Independientemente de quién lleve la razón en este tema, y aun sabiendo que la mayoría de las veces los investigadores que presentan sus descubrimientos en este tipo de eventos suelen acertar, es difícil afirmar categóricamente que la prueba de concepto realizada en un entorno simulado funcione de la misma manera en un entorno real. De cualquier forma, es reconfortante saber que los organismos responsables de gestionar la seguridad de estos sistemas ya están trabajando en una posible solución.

Josep Albors

La plataforma de juegos Origin podría ser usada como vector de ataque

Aquellos lectores que nos siguen desde hace tiempo sabrán de nuestra pasión por los videojuegos y por las noticias de seguridad relacionadas con ellos. En este blog hemos tratado todo tipo de ataques y vulnerabilidades relacionados con algunos de los juegos más populares como World of Warcraft o Call of Duty, juegos que cuentan con millones de usuarios, lo que seguramente habrá atraído la atención de los ciberdelincuentes.

Además de descubrirse vulnerabilidades en los propios juegos, las plataformas de distribución digital de videojuegos como Steam también se han visto afectadas. No hace mucho comentábamos cómo se podría aprovechar una vulnerabilidad en Steam donde un atacante podría aprovecharse de la forma en la que el cliente de esta plataforma manejaba las peticiones a los buscadores.

Los mismos investigadores de la empresa Revuln que descubrieron esta vulnerabilidad vuelven a la carga con una investigación similar, pero en otra de las plataformas de distribución digital de videojuegos, Origin. La vulnerabilidad es muy similar a la que ya descubrieron en Steam y también tiene como protagonistas a los enlaces utilizados para lanzar los juegos y que, en este caso, tienen la siguiente nomenclatura: “origin://”.

De esta forma, un atacante tan solo tendría que preparar un enlace de este tipo e incluirlo en una web maliciosa, distribuirlo por correo o incluso por redes sociales. A partir de ahí, un usuario desprevenido podría pulsar sobre ese enlace creyendo que se trata de algo relacionado con su plataforma de distribución digital de videojuegos, pero que en realidad está ejecutando malware.

Se puede incluso utilizar una función denominada OpenAutomate y crear un enlace malicioso que, además de arrancar el juego, ejecutaría el malware desde la dirección IP definida por el atacante. Podemos observar un ejemplo de este tipo de enlace malicioso en la siguiente imagen, así como un vídeo preparado por los investigadores:

La solución temporal, al menos hasta que se solucione por parte de Origin, pasa por utilizar el protocolo “origin://” solo desde la propia plataforma de distribución digital, evitando o desactivando su ejecución en el sistema y (sobre todo) en el navegador.

De nuevo vemos otro ejemplo de cómo los más jugones también deben preocuparse por su protección. Aun hoy, muchos usuarios desactivan su protección antivirus mientras juegan, quedando expuestos durante tiempo más que suficiente para resultar infectados. Se puede jugar y contar con una solución antivirus sin que esta afecte al rendimiento del sistema, evitándonos así más de un desagradable disgusto.

Josep Albors

Vulnerabilidad permite acceder a sistemas Windows al estilo Hollywood

Hace una semana Microsoft lanzó sus parches de seguridad mensuales entre los que se incluía uno calificado como “Importante”. Este parche solucionaba una vulnerabilidad en sistemas Windows que requería acceso físico a la máquina pero que permitía saltarse los controles de seguridad del sistema con solo utilizar un pendrive USB.

Si somos seguidores del cine de Hollywood o las series americanas veremos que eso ya se lleva haciendo desde hace años en estas producciones, donde espías, super-hackers y forenses de todo tipo solucionan casos con tan solo insertar un pendrive en el sistema y apretando muchas teclas lo más fuerte posible. Como muestra, un botón:

La realidad, no obstante, es bien diferente y el acceso a un sistema para obtener información del mismo es, normalmente, un trabajo que requiere su tiempo y la utilización de muchas herramientas.

Es por eso que esta vulnerabilidad llamó la atención cuando Microsoft lanzo el parche que la solucionaba, porque permitiría a un atacante realizar (aunque no con tanta parafernalia) un ataque a un sistema usando una memoria USB cargada con el exploit y saltarse, de ese modo, los controles de seguridad. De hecho, esta vulnerabilidad permitía acceder al sistema aun si el sistema de autoarranque de este tipo de dispositivos se encontrase desactivado y la pantalla bloqueada.

Esta vulnerabilidad aprovecha un fallo a la hora de enumerar los dispositivos conectados por lo que no se requiere interacción alguna por parte del usuario, permitiendo a un atacante con acceso a la máquina obtener una elevación de privilegios aun con el sistema bloqueado. A pesar de ya haber sido solucionada, Microsoft advierte de que esta vulnerabilidad podría abrir nuevos vectores de ataque sin tener que acceder físicamente al sistema.

Mientras tanto, si no queremos sufrir un ataque al estilo Hollywood, será mejor que actualizamos nuestro sistema Windows con los últimos parches de seguridad. Solo así evitaremos que un aprendiz de Jason Bourne acceda a nuestro sistema y robe la información que allí almacenamos.

Josep Albors

Nuevas actualizaciones para aplicaciones de Adobe

Además de las actualizaciones mensuales que publicó Microsoft el pasado martes y que solucionaban siete vulnerabilidades de diferente gravedad, Adobe ha tenido la iniciativa de lanzar parches de seguridad en algunos de sus productos. Esta es la cuarta actualización que se lanza para productos de Adobe en apenas un mes, lo que demuestra que los ciberdelincuentes siguen utilizando vulnerabilidades en el software de esta empresa para propagar sus amenazas, sin olvidarnos de Java, claro está.

En esta ocasión, los programas de Adobe que han recibido los parches de seguridad son Adobe Flash Player y Adobe Air. Recordemos que Flash Player es una aplicación muy extendida, usada, entre otras cosas, para visualizar contenido multimedia (p.ej. vídeos de Youtube) en nuestro navegador. Un agujero de seguridad en una aplicación tan usada como esta siempre representa un grave peligro para los usuarios, por lo que recomendamos la instalación de estos parches de seguridad cuanto antes.

No se han observado ataques que estén aprovechándose de estas vulnerabilidades, aunque esto puede cambiar en poco tiempo. Recordemos que las vulnerabilidades en los programas de Adobe y en Java representan uno de los agujeros de entrada más importante para el malware que se propaga actualmente.

Dicho esto, hemos de recordar que es importante revisar constantemente si hay actualizaciones del sistema o de las aplicaciones que usemos, y no esperar a que se lance una alerta de seguridad para hacerlo. Si descuidamos esta medida de seguridad es muy probable que, tarde o temprano, terminemos siendo infectados.

Josep Albors

Más vale tarde: Apple empieza a utilizar HTTPS en su App Store

El cifrado de las comunicaciones es algo básico cuando hablamos de transacciones en servicios tan usados hoy en día como puedan ser las tiendas online. Entre estas tiendas online, destacamos las de aplicaciones que utilizan la mayoría de dispositivos móviles actuales. Es precisamente por la utilización de forma masiva de este tipo de tiendas de aplicaciones que no entendemos cómo la App Store de Apple ha estado tanto tiempo sin cifrar las comunicaciones de sus usuarios.

Fue curiosamente un investigador de Google, Elie Bursztein, el que avisó en julio de 2012 a Apple de este fallo de implementación al usar HTTP mientras los usuarios utilizan la App Store para realizar sus compras. Esto significaría que cualquiera que estuviese conectado a la misma red que el usuario podría ver los datos enviados a la tienda de Apple, ya que estos se transmitían en texto plano.

Obviamente, esto suponía un peligro, ya que los datos de la cuenta de iTunes (usuario y contraseña) estaban al alcance de cualquiera que se pusiera a espiar las comunicaciones en una Wi-Fi pública, por ejemplo. Además de este riesgo, existen otros quizás no tan conocidos pero que desde Hispasec se encargan de recordarnos.

Entre estos ataques se encuentra la posibilidad de cambiar la aplicación seleccionada del usuario por otra a la elección del atacante o generar una actualización falsa. Estos ataques tendrían como finalidad instalar una aplicación maliciosa que permitiría, entre otras cosas, que un atacante instalase una puerta trasera en nuestro dispositivo para acceder a él cuando lo desease.

Además, también se podría evitar que se instalase una aplicación sustituyendo su identificador por el de una aplicación ya instalada o mostrar las aplicaciones que se encuentran instaladas en el dispositivo para buscar agujeros de seguridad que aprovechar en ellas.

Por todo eso, Apple ha terminado por empezar a usar HTTPS, una medida que soluciona todos los problemas que hemos comentado anteriormente. Esta es una buena noticia para los millones de usuarios que compran aplicaciones en la App Store, entre otras cosas porque ellos no tendrán que cambiar nada en sus  dispositivos, pero sin olvidar que elegir una contraseña segura que solo utilicemos en ese servicio es también una medida importante de seguridad.

Josep Albors

Artículos Anteriores »